［米国］
反グルジア派のスパマー、ボットネット構築をねらって新種のスパム攻撃を実行

「ほとんどのウイルス対策ソフトは攻撃コードを検知不可」と専門家

（2008年08月18日）

　ロシアと紛争中のグルジアを目の敵とするハッカーらが新たなスパム攻撃を仕掛けている。この攻撃を通じ、新しいボットネットの構築をねらっているようだ。

　アラバマ（Alabama）大学のコンピュータ・リサーチ／フォレンジクス担当ディレクター、ゲーリー・ワーナー（Gary Warner）氏によると、新たなスパム攻撃は8月15日の早朝から開始され、同日中にアラバマ大学の「Spam Data Mine」ツールで測定されたスパム・トラフィックの5％近くを占めるに至った。これは、先週猛威を振るった米国CNNや米国MSNBCに関連したスパムと比べると3分の1程度の量だが、かなりの規模の攻撃だという。

　問題のスパムは、「ミハイル・サーカシビリ氏にゲイ・スキャンダル！今週の新展開（Mikheil Saakashvili gay scandal! New of this week）」といった件名が付いており、BBCの配信を装ってグルジアの大統領に関する捏造記事のリンクを受信者にクリックさせようとするものだ。受信者がリンクをクリックすると、悪意あるWebサーバに誘導され、このサーバが受信者のコンピュータに攻撃コードを仕込もうとする。

　厄介なことに、ほとんどのウイルス対策ソフトはこの攻撃コードを遮断できないと、ワーナー氏は語った。同氏のチームが調べたところ、マルウェア・テスト・サービスの「Virus Total」に含まれる36種のウイルス対策ソフトのうち、このコードを検知できたのは4つしかなかったという。

ワーナー氏が行った「Virus Total」によるテスト結果の一覧

　これまでのところ、ワーナー氏のチームはスパムの送信元コンピュータを44台突き止めたが、以前にスパムと関連があったものはその中にはなかった。興味深いのは、突き止めた44台のコンピュータのうち6台がロシア国内にある点だ。実は、スパムの送信元がロシアにあることは珍しい。さらに、6台のうち1台はロシア教育省内にあるという。

　スパム送信者はボットネットを構築しつつあるようだが、その最終的な使い道は依然として不明だ。ワーナー氏は、グルジア政府のコンピュータにさらなるサイバー攻撃を仕掛けるのに使われる可能性があると推測している。

　米国SymantecのSecurity Response製品管理ディレクター、ケビン・ヘイリー（Kevin Haley）氏は、スパム送信者が拡散させようとしている今回のマルウェアを「Trojan.Blusod」プログラムの亜種と判断していると話す。同氏によれば、このプログラムは過去、偽のウイルス対策ソフトを被害者のコンピュータへインストールするのに使われたことがあるという。

　しかし、ワーナー氏はSymantecの分析に疑問を呈している。同氏が行ったVirus Totalのテストで、今回のマルウェアをSymantecが検知できないという結果が示されたからだ。「これは新種のマルウェアだ」（ワーナー氏）

　7日にグルジアとロシアの紛争が勃発した後、サイバー戦争を両国が仕掛けているかを巡り、一部で論争が巻き起こっている。

　11日にグルジアは外務省のWebサイトをGoogleのBlogspotに移し、ロシアのサイバー攻撃により外務省のサーバが停止したと発表した。

　セキュリティ専門家は、グルジアに対するサイバー攻撃は、1年前に発生したエストニアに対するものより激烈だが、それらが国家ぐるみのサイバー戦争だという証拠はないと話している。

　また、昨年のロシア人ハッカーによる隣国エストニアへのサイバー攻撃と今回の攻撃を重ね合わせて見る専門家もいる。

　「エストニアへのサイバー攻撃で見られたこととほとんど同じことが起こっている」とワーナー氏。その一方で同氏は、「ロシア政府による関与はまずないと考えている」と話している。

(Robert McMillan／IDG News Serviceサンフランシスコ支局)