猛威を振るう「Conficker」ワーム、感染PCは約900万台に
「前例を見ない拡大速度、規模も過去最大級」――セキュリティ関係者フィンランドのセキュリティ・ベンダーF-Secureは1月16日、1月12日〜16日の4日間に「Conficker(別名「Downadup」)」ワームに感染したWindowsマシンの数は657万台に上り、わずか2週間ほどで全世界で897万台ものPCが同ワームの犠牲になったことを明らかにした。
F-Secureの研究員、トーニ・コイブネン(Toni Koivunen)氏は、同社のブログで、「Confickerに感染するPCの台数は急激に増えている。この4日間で同ワームに感染したマシンの数は、240万台から897万台へと一気に増加したと見られる」と述べている。
コイブネン氏は、1月13日の時点でConfickerに感染したPC数を240万台と見積もっていたが、翌日には350万台としている。これは、24時間で110万台のPCが新たに感染したことになる。
F-Secureの最高調査責任者、ミッコ・ヒッポネン(Mikko Hypponen)氏は、電子メールでの取材に対し、「これほどの急激な感染拡大は過去に例を見ない。感染の規模でも、「Loveletter」や「Melissa」「Sasser」「Blaster」といった、過去最大級のマルウェアに匹敵する」と回答している。
Confickerは、米国MicrosoftのWindows 2000/XP/Vista/Server 2003/Server 2008のServerサービスに存在する脆弱性を悪用するもの(関連記事)。Microsoftは昨年10月23日に緊急修正パッチをリリースすることで、この脆弱性に対処した。しかしながら、セキュリティ・ベンダーの米国Qualysによると、いまだに同修正パッチを適用していないPCは全体の3分の1にも上る。こうしたPCが、Confickerの犠牲になっているようだ。
コイブネン氏は、897万台というConfickerの被害数について、ハッカーが管理しているサーバとワームとの通信を傍受することで判明したとしている。
Confickerは、PCに感染すると、利用可能なドメインのリストを作成し、そのうちの1つを利用して悪意のあるサーバに接続した後、ハイジャックしたPCに新たなマルウェアをダウンロードする。F-Secureは、これらのドメインのいくつかを登録し、そこを通るトラフィックを監視しているというのだ。
具体的には、リストに登録されたドメインに対するアクセスのログを分析することで、Confickerに感染したマシンを介して新たにワームが潜入したPCの台数を算出している。こうして得られた数値を基に、全体の感染数を割り出しているのである。
F-Secureが公表したサンプル・ログを見ると、Confickerに感染した12台のPCを通じて186台のPCが新たに感染したことがわかる。なかには、1台で116台ものマシンを感染させたケースもあった。
Confickerの感染が急速に拡大している事態を重く見たMicrosoftは1月13日、同社の無償アンチマルウェア・ユーティリティ「Malicious Software Removal Tool(MSRT、悪意のあるソフトウェアの削除ツール)」に対し、Conficker除去ツールを追加して配布した(関連記事)。
Microsoftのセキュリティ研究者は、「緊急修正パッチがまったくインストールされていなかったり、すべてのコンピュータにインストールされていなかったりするケースがある」と指摘したうえで、すみやかに緊急修正パッチをインストールするとともに、MSRTの最新版を使ってコンピュータからConfickerを駆除するよう呼びかけている。
(Gregg Keizer/Computerworld米国版)
