Confickerワーム撲滅に向け、マイクロソフトやICANNなどが結集/index/rss|セキュリティ・マネジメント|トピックス|Computerworld

CW_Welcomeバナー

header_cwr_head_mid_fl_logo

CW_ADJUST_ウルトラバナー

CW_ウルトラバナー_Topics02

CW_ウルトラバナー_Topics04

CW_ウルトラバナー_Topics05

CW_ウルトラバナー_Topics06

CW_ウルトラバナー_Topics07

CW_ウルトラバナー_Topics08

セキュリティ・マネジメント

RSS

Confickerワーム撲滅に向け、マイクロソフトやICANNなどが結集

タスクフォースを結成し、感染経路遮断に尽力
(2009年02月13日)

 「Conficker」(別名:Downadup)ワームの感染拡大が懸念されるなか、約20のIT企業・団体がタスクフォースを結成した。現在、合同チームは同ワームのC&C(Command-and-Control)インフラストラクチャを断絶することに取り組んでいる。

 現時点でタスクフォースに参加している企業・団体は次のとおり。Microsoft、ICANN(ドメイン名を管理している非営利団体)、NeuStar、VeriSign、CNNIC、Afilias、Public Internet Registry、Global Domains International、M1D Global、AOL、Symantec、F-Secure、ISC、Georgia Tech(ジョージア工科大学)の研究者たち、The Shadowserver Foundation、Arbor Networks、Support Intelligence。


タスクフォース結成に関するSymantecのブログ

 彼らは、ICANNの協力の下、感染経路の遮断すべく手を尽くしている。Symantecのセキュリティ・レスポンス・グループ、製品マネジメント・ディレクターであるゲリー・イーガン(Gerry Egan)氏によると、感染PCに命令を送るコントローラが使用するインターネット・アドレスを事前に登録することで、感染経路を遮断するという。

 また、250とも言われるワーム使用ドメインへの感染経路を絶つことも計画中だ。「ドメインの事前登録と感染経路の遮断の両方が必要だ。われわれは、Confickerをブロックするため、ドメイン登録機関とも協力している」とイーガン氏は語る。

 PCに感染したConfickerワームは、250もの利用可能なドメインのリストを作成する(このリストは毎日変更される)。そして、その中の1つを選択し、悪意あるサーバに接続可能なURLを使って、ハイジャックしたコンピュータに別のマルウェアをダウンロードしてインストールする。

 SymantecやF-Secureといったセキュリティ・ベンダーは、これらのドメインのいくつかを毎週事前登録している。また、これらのドメインを監視して、Confickerワームのバックエンド・プロセスを把握し、感染拡大をトラッキング中だ。

 こうしたトラッキングのアプローチを使って、SymantecがConfickerワームの感染強度を測定したところ、莫大な数のPCが感染していることが明らかになった。イーガン氏によると、ここ5日間の感染強度は、Downadup.a(Confickerの2008年11月オリジナル版)で1日平均45万3,000の異なるIPアドレスが感染し、同年12月に発見された亜種Downadup.bで1日174万以上のIPアドレスが感染した。両方を合わせると、1日平均約220万台のPCが感染している計算になるという。

 Confickerワームの中には、フラッシュ・ドライブのようなUSBストレージ・デバイスを使って感染するものもある。これは、Microsoftが昨年10月に緊急アップデートによって修復した脆弱性を悪用している。

 Symantecでは、インターネット・ユーザーばかりか、インターネットのインフラストラクチャにまで危害が及ぶことを懸念している。

 「攻撃者によって制御される何百万もの感染PCが、特定のユーザーあるいは企業にDDoS攻撃を仕掛ければ、インターネット全体がマヒしてしまう可能性もある。それだけでなく、新しい脆弱性や未公表の脆弱性をターゲットにして新たなワームを植え付けるなど、(感染PCは)新たな脅威を蔓延させるために使われるかもしれない」(Symantecのセキュリティ・ブログより)

 タスクフォースがワームの制御メカニズムを無効化できるかどうか、イーガン氏は明言を避けている。また同氏は、タスクフォースに属している企業・組織の研究者だからといって、感染メカニズムに関する新しい情報を得られるとはかぎらないとも語った。

 一方、Microsoftは、Confickerワームの作者に関する情報提供に懸賞金もかけている。同社は2月12日、作者の逮捕と有罪判決に結び付く情報を提供すれば、25万ドルの懸賞金を受け取る権利が得られることを明らかにした。

 Microsoftがクラッカー逮捕に懸賞金を設けるのは、これが初めてではない。同社が懸賞金プログラム開始したのは2003年のことだ。とはいえ、そのときの500万ドルが使われることはなかった。

 もっとも、「Sasser」ワームのときに同社が提示した25万ドルは情報提供者に支払われている。ドイツの10代の少年たちが2004年5月に逮捕され、Sasserワームを作成した罪で告訴された翌年、Microsoftは逮捕につながる情報を提供した2人に懸賞金を支払った。

 またMicrosoftは1月、「Malicious Software Removal Tool(MSRT:悪意あるソフトウェアの削除ツール)」にConfickerワームのシグネチャを追加した。しかし、MSRTによって何台のPCが無効化されたのかという質問に対し、今のところ何も回答していない。

(Gregg Keizer/Computerworld米国版)

記事詳細テキストバナー

ページの先頭へ戻る

CW_Topics_レクタングルバナー08

CW_Topics_レクタングルバナー14

CW_Topics_レクタングルバナー15

CW_Topics_レクタングルバナー17

CW_Topics_レクタングルバナー19

CW_Topics_レクタングルバナー22

スポットライト

PR

CW_ADネットワーク_レクタングルバナー

フッター_impActウルトラバナー

content_bottom_cwr_txt

セキュリティ・マネジメント|Computerworld - エンタープライズITの総合ニュースサイト

Computerworldは、エンタープライズITの総合情報メディアです。90カ国に展開するIDGのグローバルな情報網を駆使し、世界の最新トレンドやケーススタディ、さらには情報システム/ネットワークの構築・運用テクニックなどをわかりやすく解説します。