［世界］
パスワードを盗むトロイの木馬が暗躍、マイクロソフト製ツールを悪用して拡散

過去16カ月で38万台余りのコンピュータが感染

（2008年07月02日）

　感染したPCに潜伏して、システム管理者がログインしてMicrosoftの管理ツールを使うのを待ち、他のPCに感染を広げる――。こうした「トロイの木馬」プログラムが猛威を振るっているとして、セキュリティ・ベンダーが注意を呼びかけている。

　このトロイの木馬によって、これまでに何十万台というコンピュータに感染が広がり、それには世界的なホテル・チェーンの1つ（社名は未公表）の1万4,000台余りも含まれている。

　このトロイの木馬は「Coreflood」という名で呼ばれ、銀行口座や証券口座のユーザー名とパスワードを盗み出していると、SecureWorksのマルウェア・リサーチ担当ディレクター、ジョー・スチュアート（Joe Stewart）氏は指摘する。同氏によると、盗まれた情報はトータルで50GB規模に達するという。「今のところ、（Corefloodは）全社規模で感染することに成功している。これは、昨今ではめったに見られないことだ」（Stewart氏）

　セキュリティ機能を強化したWindows XP Service Pack 2（SP2）が出荷されて以来、クラッカーたちは悪意あるソフトウェアを企業ネットワーク全体に広める方法を見つけるのに苦労するようになった。実際、2004年8月に同SPがリリースされた後、大規模感染を引き起こすようなワームやウイルスは減少する傾向にある。

　今回のCorefloodが感染台数を増やしている一因は、MicrosoftのPsExecプログラムにある。これは、ネットワーク内のコンピュータ上で正当なソフトウェアを実行できるようにするプログラムの1つだ。

　攻撃者はまず、何らかの方法を使って、ネットワーク内のコンピュータの1つにCorefloodを送り込む。その後、同コンピュータにシステム管理者がログインすると、CorefloodはPsExecを実行し、ネットワーク上のすべてのシステムにCorefloodをインストールしようと試みる。

　Corefloodは過去16カ月で、37万8,000台を超えるコンピュータに感染した。SecureWorksの調べでは、ある大学で数千台のコンピュータが感染したほか、数百台規模の感染が金融系企業、病院、法律事務所、さらには米国の州警察機関で見つかっているという。

　「Corefloodが他のウイルスなどと異なるのは、1社当たり何百台あるいは何千台ものコンピュータに感染するケースが多い点だ。おそらく、盗まれた口座情報は膨大な数に上るのではないか」（Stewart氏）

　SANS InstituteのInternet Storm Centerが6月25日に報告した事件は、そうした大規模感染の1つに数えられるものだ。この事例では、3,000台のPCネットワークのうち、実に600台以上が感染した。

　Microsoftのテクニカル・フェローで、PsExecを開発したマーク・ルシノビッチ（Mark Russinovich）氏によると、PsExecを利用する悪意あるプログラムは5年以上前から存在しているが、このような形で利用されていると耳にしたのは初めてだという。

　Corefloodは「AFcore」とも呼ばれ、6年ほど前から存在が確認されていた。ただし、以前はDoS攻撃などに利用されており、パスワードを盗むのに利用されたことはなかったと、Stewart氏は語っている。

(Robert McMillan／IDG News Serviceサンフランシスコ支局)