［世界］
Stormボットネットが弱体化――マイクロソフトのマルウェア削除ツールが貢献

4カ月間で52万6,000台のPCからStormを除去

（2008年04月23日）

　米国Microsoftは4月22日、トロイの木馬型プログラム「Storm」から構成されるボットネットが弱体化していることを明らかにした。同社がWindowsユーザーに配布したマルウェア削除ツールが効力を発揮し、多くのPCからStormが除去されたという。

　このマルウェア除去ツールは「Malicious Software Removal Tool（MSRT）」と呼ばれ、悪意あるソフトウェアをユーザーのPCから削除する。Microsoftでは、月例パッチのリリースに合わせてMSRTをアップデートし、Windowsユーザーに自動配布している。

　MSRTが月例パッチと一緒に配布されることから、Stormボットネットの背後にいる犯罪者たちも、それに合わせてStormの新バージョンを作成することが多かった。「犯罪者は、（月例パッチの）リリースのタイミングを予測し、MSRTのアップデート直前にStormの新バージョンを出せるようにしていた」と、MSRTを管理しているMicrosoftマルウェア・プロテクション・センターの主任アーキテクト、ジミー・クオ（Jimmy Kuo）氏は説明する。

　Stormボットネットをコントロールしている一団は、MSRT用の新しいマルウェア定義ファイルが作成に時間を要することを知っており、MSRTがアップデートされる直前の時期をねらって行動を起こしていたという。

　「彼らは、新しい定義ファイルの作成に1週間程度かかることを知っており、MSRTがユーザーに配布される直前にStormボットネットをアップデートできるよう準備していた」とKuo氏は語る。Stormの新バージョンをボットネットの構成PCに送り込み、MSRTの最新バージョンがインストールされた後もこれらのPCを支配し続けようとしたわけだ。

　しかし、MSRTに検知されにくいようStormボットネットをアップデートするというアイデアは、もはや有効ではないとKuo氏。このことは、MSRTによってStormが除去されたPCの数からもうかがえる。

　Kuo氏によると、昨年9月から12月までの4カ月間に、MSRTによってStormボットが除去されたPCはおよそ52万6,000台。特に、Microsoftが初めてMSRTにStorm検知機能を追加した昨年9月には、29万1,000台以上のPCからStormボットが除去された。翌10月には9万台に減ったものの、11月と12月には10万台／月のペースでStormボットの除去が行われたという。

　9月の除去台数がいちばん多いのは、新しいマルウェア定義ファイルを持つMSRTがリリースされた月だからである。最初の月は、それまでに感染したすべてのPCからStormボットを除去するため、検知されるPCの数も多い。翌月以降は、前回MSRTがリリースされた後に感染したPCだけなので、検知台数はおのずと少なくなる。

　感染力の強いトロイの木馬として知られるStormは、2007年初頭に初めて登場した。冬の嵐に関するニュースを装ったスパム・メールによって広がったことから、Stormという名前が付いたとされている。Stormの背後には、ロシアの悪名高いサイバー犯罪組織Russian Business Network（RBN）が存在すると言われている。

　Stormボットに感染したPCが減少していることは、米国SecureWorksのマルウェア調査担当ディレクター、ジョー・スチュアート（Joe Stewart）氏も認めている。同氏が4月初めに発表したボットネットの感染PC台数ランキングによると、Stormボットネットの順位は5位で、コントロールしているPCはおよそ8万5,000台だ。感染PCの数は昨年の最盛期と比べ大幅に減っており、その規模は最も大きいボットネットのおよそ4分の1だという。

　しかしKuo氏は、MSRTの成果に満足しながらも、その全般的な影響については現実的な見方をしている。「Stormにかかわった連中は、他のボットネットに乗り換えて今も荒稼ぎしているに違いない」（同氏）

(Gregg Keizer／Computerworld米国版)