［世界］
Skypeを介して感染する強力なワームが登場

巧妙なチャット・メッセージで偽の画像リンクへ誘導

（2007年09月11日）

　米国イーベイの子会社でピア・ツー・ピアVoIPの草分けであるルクセンブルグのスカイプは9月10日、Windows PCをターゲットにしたワームが同社のIM（インスタント・メッセージング）ソフトウェアを介して広まっていると警告を発した。同様のワームは、すでに他社のVoIPチャット・ソフトウェアでも発見されており、今回はSkypeがターゲットになった。

　スカイプの広報担当者ヴィリュー・アラック氏がRamex.aと呼ぶこのワーム（シマンテックはPykspa.dと呼んでいる）は、IMソフトウェアを使った典型的なパターンで攻撃を行うという。

　まず感染したマシンのSkypeソフトウェアからアドレス帳を奪い、ライブ・リンクに入っている人にメッセージを送信する。メッセージを受け取った人がうかつに偽の画像リンク（JPEG画像を装っているが、実際は拡張子.scrの付いたファイルへのリンク）をクリックすると感染してしまう。

　アラック氏は、スカイプのサイトに掲載した警告の中で、「問題のチャット・メッセージ（複数のバージョンが存在）はきわめて巧妙に作られており、正規のチャット・メッセージに見えるので、だまされてリンクをクリックしてしまうユーザーがいるかもしれない」と指摘している。

　同氏は、感染したPCからワームを削除するための手順も紹介しているが、その中にはWindowsのレジストリを変更する作業が含まれており、多くのユーザーは尻込みするはずだ。

　このワームに感染したユーザーが9月10日にスカイプのメッセージ・フォーラムに書き込んだ情報によると、Ramex.a/Pykspa.dは、Explorer.exeプロセスにコードを挿入し、定期的にマルウェア（wndrivsd32.exeという名前のファイル）を稼働させる。また、Windowsのホスト・ファイルに偽のエントリを挿入して、インストールされているセキュリティ対策ソフトウェアが更新データを受け取れないようにするという。

　スカイプのWindowsサポート・フォーラムの管理人によると、ワームはSkypeを呼び出すことのできるプログラムのリストも書き換えてしまう。TheUberOverloadを名乗るユーザーは、「Skypeに対応する承認済みのプログラムを再度チェックしたほうがよい。不審なものを見つけたら、削除すべきだ」とアドバイスしている。承認済みプログラムのリストは、Skype 3.0上でTools＞Options＞Privacy＞Relatedと操作することで参照できる。

　10日朝の時点（米国時間）では、ウイルス対策ベンダー各社から提供される情報はきわめて少なかった。シマンテックは、新たな脅威としてPykspa.dの名前を挙げていたが、詳しい内容は調査中となっていた。その後、シマンテックやエフセキュア、カスペルスキーなど複数のセキュリティ・ベンダーが定義ファイルを更新し、このワームを検知して削除できるようにした。

　今回、クラッカーのターゲットになったIMクライアントはSkypeだったが、今年夏には、Yahoo MessengerおよびマイクロソフトのMSN MessengerとLive Messengerも攻撃を受けている。Yahoo Messengerが稼働するWindows PCを乗っ取るために設計されたエクスプロイト・コードが登場したのは6月はじめであり、それ以来ヤフーは、自社のIMクライアントに対応するパッチを何度も提供する必要に迫られた。

　一方マイクロソフトは、MSN MessengerとWindows Live Messengerに対応する修正プログラムを9月11日に提供する予定であり、これによって8月末に表面化したwebcamの脆弱性が解消される見通しだ（関連記事）。

(グレッグ・カイザー／Computerworld オンライン米国版)