大規模ボットネットを構築する新種のワームが出現――トレンドマイクロが警告|ウイルス／ワーム／スパム対策|トピックス|Computerworld

　米国のセキュリティ・ベンダー、Trend Microのセキュリティ研究員は12月1日、10月下旬に公表されたWindowsの重大な脆弱性を突いて感染するワームが出現したとして警戒を呼びかけた。このワームは、感染を広げて新たなボットネットを構築しようとしているという。

「DOWNAD.A」ワームの感染状況（Trend Microのウイルス・データベースより）。すでに日本でも感染したPCが見つかっている

　Trend Microのイバン・マカリンタル（Ivan Macalintal）氏によると、同社が「WORM_DOWNAD.A」と命名したワーム（Microsoftは「Conficker.a」、Symantecは「W32.Downadup」と呼んでいる）は、スパム・メールの大量配信やサイバー犯罪などに悪用される、新たなボットネットを構成するものだ。

　この新しいボットネットの規模についてマカリンタル氏は、「コンピュータの数は50万台程度ではないか。かつての『Kraken』や『Storm』といったボットネットと比べれば規模は小さいが、現在も拡大を続けている」と語っている。

　Microsoftでは先週、Windows Serverサービスの脆弱性につけ込むこの新しいワームが、今後急激に拡大する可能性があるとの警告を発表している（関連記事）。Microsoftではこのワームに感染した少数のPCが東南アジアで発見されたことから、10月23日に「緊急」レベルの脆弱性として公表し、セキュリティ・パッチもリリースしている（関連記事）。

　マカリンタル氏は、このワームは一部地域だけでなく世界レベルの脅威となっており、「現実に被害が発生する可能性がある」と警告している。すでにTrend Microでは、米国、カナダ、インド、中東、ヨーロッパ、ラテンアメリカのネットワークで、このワームに感染したIPアドレスを発見したという。また、このワームは1週間半ほど前に登場し、感謝祭（今年は11月27日）直前から勢力を拡大し始めたとのことだ。

　マカリンタル氏は、このボットネットを構築しようとしているのは新たなサイバー犯罪者グループであり、米国カリフォルニアのプロバイダーMcColoがインターネットから遮断された後、ボットネットを利用できなくなったグループの1つではないと見ている（関連記事）。

「DOWNAD.A」ワームの概要（Trend Microのウイルス・データベースより）。感染すると、マルウェアをWebからダウンロードするなどの活動を行う

　すでにTrend Microを含むセキュリティ・ベンダーの専門家たちは、ワームに感染したPCのリストをISPに提供し、ISP経由でコンピュータの持ち主にワームの除去を求めるという共同の取り組みを進めている。だが、ワームに感染するコンピュータの数は急増しているという。

　マカリンタル氏は、「まだMS08-067のセキュリティ・パッチを適用していないユーザーは、すぐに適用してほしい」と呼びかけている。