警視庁も感染、「ダウンアド」の実態（読売新聞）

2009年01月30日(金) 00時00分

警視庁も感染、「ダウンアド」の実態（読売新聞）

　警視庁のシステム内のパソコン数十台がウイルス「ダウンアド」に感染した。「ダウンアド」の特徴は、感染能力を高めた新種が続々と登場していること。ネットに接続していないパソコンにも広がっている。（テクニカルライター・三上洋）

警視庁の数十台のパソコンが「ダウンアド」に感染

　警視庁のオンラインシステムに接続しているパソコンが、「ダウンアド」と呼ばれるウイルスに感染していることがわかった（１月２４日）。警視庁によると、２２日の１４時ごろに端末として使われているパソコンがウイルスに感染していることがわかり、オンラインシステムの一部を緊急停止。その上で接続されているパソコンの駆除作業を行ったところ、数十台が「ダウンアド」に感染していた。

ウイルス「ダウンアド」の亜種をグループ分けした図。第1フェーズ、第2フェーズの2期に分かれており、新しいものほど感染能力や駆除への対抗力が強い（トレンドマイクロセキュリティブログ「系譜から探る深刻度が増した『WORM_DOWNAD』」）

　このウイルスは「ＷＯＲＭ＿ＤＯＷＮＡＤ」と呼ばれるもので、通称「ダウンアド」として昨年１２月から問題になっているものだ。登場直後は比較的単純なウイルスだったが、その後に感染能力や駆除への対抗力を高めている。

　セキュリティー対策大手のトレンドマイクロが、自社のブログで「系譜から探る深刻度が増した『ダウンアド』」として、ダウンアドの変遷を詳しく追いかける記事を掲載した。ダウンアドは機能を強化した亜種が次々に登場しており、右の画像のようにグループ分けできるそうだ。

ネットワーク攻撃から、内部攻撃・USBメモリー経由に

　トレンドマイクロセキュリティブログによれば、この「ダウンアド」の活動・機能は、大きく２つの時期に分けられる。

１：初期はインターネット経由の侵入（第1フェーズ）

　昨年１１月２１日に登場した最初の「ＷＯＲＭ＿ＤＯＷＮＡＤ．Ａ」は、ウィンドウズの脆弱性（セキュリティー上の問題点）を突くもので、インターネット経由で侵入してくるものだった。ウィンドウズサーバーの脆弱性「ＭＳ０８−０６７」を利用し、相手のパソコンに悪意のあるコードを実行させる。これによって感染したパソコンは、ウェブサーバーとして動作するようだ。ただしウィンドウズアップデートが進むと、脆弱性のあるパソコンは少数になって、感染できなくなってしまう。そこで攻撃者は新たな拡散戦略をとった。

２：共有ネットワークとＵＳＢメモリー経由での拡散（第２フェーズ）

　第２フェーズでの新たな拡散戦略は２つある（「ＷＯＲＭ＿ＤＯＷＮＡＤ．ＡＤ」の例）。

「ダウンアド」の第2フェーズの活動。内部の共有ネットワークやUSBメモリーなどを使い、インターネットに接続していないパソコンにも感染を広げる（トレンドマイクロセキュリティブログ「系譜から探る深刻度が増した『WORM_DOWNAD』」）

[共有ネットワークでの拡散]

　まずウィンドウズの共有ネットワークを使って感染させる。接続されたパソコンの一覧を取得し、パスワードの辞書攻撃で侵入を試みる。辞書攻撃とは、よく使われている英単語などをパスワードにして侵入を試みるもの。侵入に成功すると、定期的にウイルスを実行させ、さらに感染を広げようとする。

[ＵＳＢメモリーでの拡散]

　次にＵＳＢメモリー経由で感染しようとする。以前の記事「ＵＳＢメモリーウイルスの被害拡大」でも詳しく取り上げた「ＡＵＴＯＲＵＮ．ＩＮＦ」を書き換えてウイルスを実行させる手口だ。ＵＳＢメモリーを使うことで、ネットワークに接続していないパソコンにも感染を広げる。さらに犯人は「ＡＵＴＯＲＵＮ．ＩＮＦ」に無効なデータを入れて読み取りにくくさせるなど、駆除への対抗策を強化している。

　このように「ダウンアド」は、ウイルスの感染力・駆除への対抗力を強めた亜種がどんどん登場している。ただしこれで終わりではなさそうだ。というのは、第２フェーズまでの機能は、「感染拡大」が目的であり、具体的な被害がほぼないからだ。トレンドマイクロでは、「問題は次の第３フェーズ。犯人は金銭的目的の攻撃を企てているのではないか」と予想している。ボットネットを作ったり、個人情報を収集するなどして、金儲けに走る可能性がある。

危ないのは「ネットに接続していないパソコン」

　冒頭に紹介した警視庁ネットワーク内で広がったウイルスは、第２フェーズの「ＷＯＲＭ＿ＤＯＷＮＡＤ．ＡＤ」のようだ（新聞記事報道による）。この「ＷＯＲＭ＿ＤＯＷＮＡＤ．ＡＤ」は、共有ネットワーク内で広がるうえに、ＵＳＢメモリー経由の感染機能がある。筆者の推測になってしまうが、最初にＵＳＢメモリー経由で持ち込まれたウイルスが、警視庁のネットワーク経由で広がってしまったのではないだろうか。

　ここ数年のウイルスは、ほとんどがインターネット経由で拡散するものだった。そのためインターネットに接続していなければ、ウイルス感染の危険性は少ないと考えている人が多かった。

　しかし今回のウイルスやＵＳＢメモリーウイルスの流行を見ても分かるとおり、危ないのは逆にインターネットに接続していないパソコンである。インターネットに接続していなければ大丈夫だろうと、ウイルス対策ソフトなしで使っている人が多いからだ。またインターネット接続していないパソコンは、データのやり取りのためにＵＳＢメモリーを利用することが多い。そのため、ＵＳＢメモリー経由のウイルスに感染しやすい。

　感染した警視庁のシステムは、車庫証明の発行業務や免許更新の事務手続きなどに使うもので、インターネットには直接つながっていないだろう。それでも感染したのは、ウイルス対策ソフトがなかったり、パターンファイルの更新が遅れていたためと推測できる。

　インターネットに接続していないパソコンは、ウィンドウズアップデートも遅れてしまうのでウイルスなどの攻撃の被害に遭いやすい。ネットに接続していないパソコンこそ危険だと考えて、必ずウイルス対策ソフトを導入しよう。

　なおインターネットに接続していない場合、パターンファイル更新は手動で行う必要がある。インターネットに接続しているパソコンを使い、セキュリティ対策ソフトのサイトからパターンファイルをダウンロード。落としたファイルを、接続していないパソコンにコピーして実行しよう。

http://www.yomiuri.co.jp/net/security/goshinjyutsu/20090130nt16.htm