USBメモリーを通じて感染しボットネットを形成するマルウェア。2000年代中で最も被害をもたらしたとして悪名が高い。2009年が活動のピークで、1,500万台のコンピューターが感染したとみられている。ただし実際にボットネットとして稼働したのは300 ~400万台程度だったようである。それでもやはりその数は多い。
2008年10月「コンフィッカー」(Win32/Conficker)は、Windows OSの脆弱性(MS08-067)を悪用して感染を広げるワーム型のマルウェアの一つとして登場した。この脆弱性はRPC(=リモート プロシージャ コール)のサブシステムに存在しており、有効なユーザーアカウントを持っていない攻撃者であっても、リモートから不正にアクセスすることが可能であった。とはいえコンフィッカーは、とりたてて目立ったマルウェアではなかった。
ところが、セキュリティが不十分な共有フォルダーやUSBメモリーなどのリムーバブルメディア経由で感染を広げる亜種が登場したことによって、被害は一気に増大した。
国内では、2009年1月22日に警視庁のオンラインシステムの端末に使用されているPCから発見されたことで、また世界的には、Microsoftがマルウェア作成者の逮捕につながる情報提供者に懸賞金を出すという発表を行ったことにより、広くその名が知られるようになった。
リムーバブルメディア経由の拡散については、初期設定で有効となっているWindowsのAutorun機能が悪用されている。具体的には、リムーバブルドライブの既存フォルダーに自分自身のコピーを試み、ドライブ内に「autorun.inf」を作成する。このように、感染したメディアがコンピューターに挿入されると感染が拡大する(ただし Windows 7以降は、この機能は無効にされている)。
USBメモリーなどを通じて感染を広げたという意味で類似したマルウェアとしては、2007年から2008年にかけて爆発的に拡散した「オートラン」(Autorun)がある。当時、多くの企業ではUSBメモリーの利用に関する規則をはっきりと決めていなかったため、オートスタートのメカニズムは、ほとんどのコンピューターで有効に働いた。
それ以来Microsoftは関連のアップデートを提供してきたが、特にLANを利用する企業(とそのネットワーク管理者)はなかなか適切な対応をとることができず、感染が広がった。
また、コンフィッカーが蔓延したもう一つの重要な点は、多くのネットワークやアカウントのパスワードが「12345」「admin」「password」「qwert」といった誰でも類推できるようなものになっている場合が多かったことである。
なお、2016年5月、ドイツの原子力発電所の燃料棒監視システムがこのコンフィッカーなどの複数のマルウェアに感染した。このように、特定の標的に対して少し古いマルウェアが再利用されるケースが近年増えている。今後もコンフィッカーを利用した攻撃が発生する恐れがあるので、以下の項目についてはしっかり対応しておくことをお勧めする。
コンフィッカーに感染しないために
- Windowsのアップデートを最新のものにする
- ユーザーアカウントと共有ファイルのパスワードを複雑なものに変更する
- セキュリティ対策ソフトを使用する
(ワクチンを最新の状態にし、ハードディスク全体をウイルススキャンする) - USBメモリーを使用する前にウイルススキャンを掛ける
- Autorun機能を無効にする
- 共有フォルダーに適切なセキュリティを設定する