TREND COMMENTARY

トレンド解説 | マルウェアに関する最新の動向、対処方法

「コンフィッカー」ワームの脅威を振り返る

この記事をシェア

2008年に登場したワーム「コンフィッカー」は、当時、瞬く間に史上最大規模の感染を引き起こした。感染したマシンや機器は遠隔操作されてしまう恐れがあるのだが、その後、実害が起こらないまま現在に至っている。しかも今もなお、IoT機器への感染を広げているという、不思議なワームである。

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。

コンフィッカー(Conficker)が姿を現したのは2008年11月21日のことである。アリエ・ゴレツキー(Aryeh Goretsky、ESET上級研究員)が「うなり声を上げたワーム」と表現したこのワームは、それ以来、執拗に活動を継続している。

Microsoft社のWindowsを標的とし、190もの国にわたる家庭、企業、政府のコンピューターに侵入を果たしてきた。その結果、専門家の間では、コンフィッカーは、2003年に「ウェルチア」(Welchia)が登場して以来の最も悪名高く、かつ最も拡散したマルウェアであると認識するに至った。

本記事で詳述するコンフィッカーは、多数の亜種を生み出し、それぞれが異なる有効な攻撃手法を備えている。その攻撃手法は、不正コードの注入から、フィッシングメール、そしてWindowsマシンのADMIN領域(そのマシンの管理者のみが利用する領域)に自身をコピーするというものまで、多岐にわたっている。最終的には、コンフィッカーはパッチの当てられていない古い脆弱性を突くことにより、パスワードをクラッキングし、Windowsコンピューターをボットネットに組み込んでいく。これらのボットネットは、今日同様、今度はスパムメールの拡散やスケアウェアをインストールするのに悪用される。

感染したデバイス数は1,100万を超えて増え続けている

コンフィッカーは、これまでで最も深刻なレベルの感染拡大を引き起こしたマルウェアの一つである。そして、幾つかの有名な成果があるといわれている。

1,100万ものデバイスがこれまでに感染したとの報告もある。その感染したデバイスの中には英国防衛省ドイツ連邦軍のマシンも含まれている。

英国国際文化交流機関であるブリティッシュカウンシルが、2009年にコンフィッカーに感染した状態から復帰するのに約2億円(140万ポンド)もの費用を要したと報告されている。また、フランスの新聞社ウエスト・フランス(Ouest France)によると、フランスの戦闘機がコンフィッカーのせいで離陸できない事態に陥ったという。

これらの悪評を踏まえ、米国国土安全保障省はコンフィッカー作業部会に資金供給するに至った。この作業部会には、ESET、CISCO、Facebook、ICANN、Microsoftなど、各種団体がメンバーとして参加しており、コンフィッカーの長期的影響について検討をしている。

「サイバーセキュリティイニシアティブ」(Cyber Security Initiative)のアナリストによると、コンフィッカーの除去に要した全世界での費用は約1兆円(90億ドル)にも上るかもしれないとのことである。インターネットのインフラへのより大きなインパクトの心配も存在する。

「膨大な数のコンピューターを制御下において、コンフィッカーの作成者らが何をしようとしているのか、多くのセキュリティの専門家は思案している」と、その作業部会の報告書は述べている。

「最悪のシナリオはかなり深刻なものである。しっかりと制御されたコンフィッカーはインターネット上の重要インフラに対する十分な脅威となり得る。そこまで深刻なものでなくとも、公共もしくはプライベートセクターにおいて深刻な問題を生じるであろう」

これは2009年のことではあったが、最近ではコンフィッカーが、台頭してきているIoTデバイスに侵入し乗っ取りを実施しているといわれている。MRIマシンやCTスキャナー、透析ポンプ(警察の装着式カメラ)なども標的になっており、医療データが盗まれたりしている。「ティンバ」(Tinba)「サリティ」(Sality)をはじめとしたその他の長期的に活動するマルウェアよりも広く感染し、最も広まったマルウェアと目されている。

実際、コンフィッカーがこれほどまでの大規模感染を成功させることができたのは、非常に多くの亜種や攻撃手法の改善版が存在していることに起因する。自己複製型マルウェアは、少し昔はUSB経由で感染することでよく知られていたが、最近では、特定のデバイスを標的としてネットワークを通じて横断的な展開をするようになり、犯罪者の指揮・統制により組織化されるようになってきた。
Microsoftは2009年に、インターネット上でコンフィッカーを不正に放った罪を負うべき人物の逮捕・有罪判決につながる情報を提供してくれた人に、約2,500万円(25万ドル)の報酬を提示した。ただし、この報酬は今まで一度も払われたことはない。

Microsoftの「TcG」(Trustworthy Computing Group)に所属するジョージ・スタサマプロス(George Stathakopulos)氏は当時、「コンフィッカーのコードを書いた人物は説明責任を負わなければならない」と述べていた

以下、コンフィッカーについてさらなる深掘りをしていくが、サイバー犯罪者にとってコンフィッカーは巨大すぎる獣となり、十分扱うことができないものになってしまったようである。

時間の経過と共に変化する攻撃

コンフィッカーは悪名高く、驚くことではないが、その成功は古いパッチ管理に起因するところが大きいと考えられる。コンフィッカーは、Microsoft Windowsの脆弱性(MS08-67)を突いている。その脆弱性自体は、コンフィッカーが拡散する29日前に、ソフトウェア会社の大手であるレッドモンド(Redmond)社がパッチを提供している。

上述したように、コンフィッカーは、これまでその性質を何度となく変えてきた。初期のころは指揮・統制サーバーなしで動作し、ネットワーク共有とUSBメモリーを経由して感染を広げるものであったが、現在ではネットワークを通じて横断的に展開し、脆弱なデバイスを特定する現代の亜種へと変化してきた。

セキュリティ専門家のグラハム・クルーリー(Graham Cluley)氏は、2015年の後半に、「コンフィッカーワームは自ら感染を広げてきたが、今日のマルウェアの大半は、そうではない」と述べている

「その代わりに、悪意のあるハッカーは存在に気付かれにくいトロイの木馬を作成している。そして、このトロイの木馬をごく一部の標的にのみ送り付けることにより、気付かれずにシステムに感染し、ファイルや通信の掌握に成功する確率を向上させている」

今日では、たいていのウイルス対策ソフトはコンフィッカーを検知・削除することができる。しかしコンフィッカーは自己増殖する点が唯一の問題となっており、コンフィッカーに感染したコンピューターはウイルス対策ソフトを入れていないPCへの感染を実施する。

サイバー犯罪者に何が起きたのか?

デイヴィッド・ハーレー(David Harley、ESETシニアリサーチフェロー)によると、無数の感染マシンを用いて「何かを実施した形跡は見られない」状況であり、奇妙なことに、これらの攻撃で何かが起こったということは、今のところほぼないようである。

彼は、コンフィッカーおよびそれにより形成されたボットネットがメディアから注目を浴びすぎたのではないかと考え、「おそらく犯罪者側はそのボットネットがセキュリティ業界にしっかりと監視されているため、何も実施することができないと判断したのではないか」と述べている。

ゴレツキーも同様の見方をしており、これに加えて「世界のアンチマルウェア研究者が監視し、用心深く全ての動きを報告しているために、コンフィッカーの裏にいる犯罪者集団がそのワームから利益を得ることは困難である」と述べている。

「それは、泥棒がこれから銀行強盗をしに行くと宣言しているようなものである。もちろん、警察はその種のことへの対策をとるだろう。コンフィッカーは注目を浴びすぎたため、最終的には失敗したのだ。少なくとも、もう1段階上のサイバー犯罪を実施するためのツールとしては使えなかったのである」

今日に至っても、コンフィッカーとその背後の人物については分からないままである。その犯罪者集団は、2009年の終わりごろにコンフィッカーの運営を放棄したようだ。とはいえ、2016年になっても私たちはデバイスの中に残されたワームにいまだ対峙し続けているのが現状だ。

コンフィッカーはさまざまな意味で不可解なことが残る。しかし、コンフィッカーはサイバー犯罪の代表例として、鮮明に記憶に残るものである。また常にその脅威が変化し続けるという点でも、大変象徴的なものである。

この記事をシェア

業務PCのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!