テクノ雑学
第46回 情報流出が止まらない! —山田ウイルスの仕組みと対応策—
山田ウイルスの仕組みと対応策
情報流出が止まらない! —山田ウイルスの仕組みと対応策—
P2Pファイル交換ソフト「Winny」のネットワーク上に蔓延するマルウェア「Antinny」による、情報流出の被害が止まりません。
■ Antinnyウイルスの仕組み
「Antinny.G」ならびにその亜種とされるマルウェアは、感染するとパソコンの中に保存されている各種のファイルが、Winnyのネットワーク上に誰でも閲覧可能な状態で公開されてしまいます。このような感染症状を持つことから、この手のマルウェアは「情報流出/漏洩型」「暴露型」「晒し型」などと呼ばれています。
Antinny.Gが最初に発見されたのは2004年3月。直後に警察の捜査情報が流出してしまったことで、大きな話題を呼びましたが、ウイルス対策ソフトベンダー各社が迅速に対応し、被害は沈静化したと思われていました。ところが、なぜか2005年秋ごろから再びAntinnyによる情報流出が頻発。それから今日に至るまで、さまざまな企業の業務関連データはもとより、果ては自衛隊の機密情報まで流出してしまうなど、大きな社会問題と化しています。
注意していただきたいのは、新聞やニュースなどが報道するのは、企業など公共性を持つ団体が、個人情報など社会的に影響のある情報を流出させてしまった件に限られていることです。一市民の個人的な情報まで含めると、いったいどれだけの流出事故が起こっているのか、想像もできないレベルに達していると考えるべきです。
感染症状として、パソコン内部の情報=ファイルを流出させるマルウェアは、かなり以前から存在していました。しかし、それらが流出の手段として使うのは、ほとんどの場合メールだったので、流出させられる範囲には限界があったわけです。流出したファイルも、送信先のユーザーが削除すれば、それ以上の被害は食い止められました。
Antinnyの怖さは、情報を流出させる経路にWinnyのネットワークそのものを使う点にあります。Winnyを使っているユーザーがいる限り、流出したファイルは永遠にネットワーク上をさまよい続けることになります。
とはいうものの、Antinny.G系マルウェアは、Winnyを使わなければまず感染しません。万一Winny以外の経路から感染してしまったとしても、Winnyを使っていなければ情報流出は防げます。Winnyをインストールしていなければ、情報を流出させるため使うWinnyのネットワークにアクセスできないからです。
山田ウイルス登場!
ところが、さらに強力な情報流出型マルウェアが登場してしまいました。「山田ウイルス」と呼ばれるこのマルウェアは、WinnyなどのP2Pファイル交換ソフト以外からも感染し、それらをインストールしていなくても、パソコン内部に保存しているファイルが、世界の誰からもダウンロード可能な状態となってしまいます。
このマルウェア、トレンドマイクロでは「BKDR_AGENT.BOG」、シマンテックでは「Backdoor.Nodelm」、マカフィーでは「BackDoor-CYC」と呼んでいますが、ここでは「山田ウイルス」と呼んでおきます。
山田ウイルスにも多くの亜種があり、中でも「山田オルタナティブ」と呼ばれているタイプや、さらにそれを改造したものは、非常に悪質な感染症状を見せます。
その手法は、ある意味で画期的です。ファイルを外部へ送信するのではなく、感染したパソコン自体をWebサーバ化し、インターネット上に公開してしまうのです。
みなさんが今、このページを閲覧できているのは、「テクマグ」用に使っているWebサーバ上に保存され、外部に公開するよう設定されているHTMLファイルを、みなさんのパソコンにインストールされたWebブラウザが読み込み、適切に解釈して表示しているからです。
Webサーバには「パーミッション」という機能があります。サーバ上に保存してあるファイルやフォルダについて、それぞれ一般に公開するか否かや、書き換えできる権限を与えられるユーザーの設定を行なうものです。ちなみに、このような機能はWebサーバ特有のものではありません。Windowsが標準で持つLAN機能でも、「共有設定」によってファイルやフォルダを他のユーザーへ公開する/しないように設定できます。
この機能のおかげで、例えば作成中のWebページ用ファイルは一般ユーザーにはアクセスできない場所に置いておき、完成したら一般に公開する場所へコピーする、といったことができます。
当然と言いますか、山田ウイルスは、感染したパソコンに接続されているすべてのハードディスクと、そこに保存されているファイルを、外部からアクセス可能な状態にしてしまいます。さらに、外部から任意のコマンドを実行可能にしてしまうタイプも存在しているようです。つまり、公開されているハードディスク上のファイルを削除したり……といったことが可能になってしまうわけです。
ただし、パソコンをWebサーバ化しただけでは、外部に公開されていることなど誰にもわかりません。そこで、感染したパソコンが使っているリモートホスト(IPアドレス)を、ネット上の掲示板などに書き込む機能を備えています。リモートホスト情報は「宇宙語」などと呼ばれる暗号化がほどこされる場合もありますが、そのものズバリを書き込んでしまうケースもあるようです。
その対応策とは?
山田ウイルスに感染しているかどうかを調べるには、Webブラウザを起動し、アドレスバーに以下の文字列を入力してEnterキーを押して下さい。
http://127.0.0.1/
http://127.0.0.1:80/
http://127.0.0.1:8000/
http://127.0.0.1:8080/
感染していなければ、「ページを表示できません 検索中のページは現在、利用できません。Web サイトに技術的な問題が発生しているか、ブラウザの設定を調整する必要があります。」と表示されます(Internet Explorerの場合)。
感染している場合、「C:」のディレクトリに「~ss.jpg」や「C.html」といったファイルが表示されます。もし、そのような状態になったら、次に「メモ帳」などで次のファイルを開いてみてください。
OSがWindows XPの場合——C:\Windows\system32\drivers\etc\hosts
OSがWindows2000の場合——C:\Winnt\system32\drivers\etc\hosts
OSがWindows Me/9xの場合——C:\Windows\hosts
ファイル中、頭に「#」が付いていない「127.0.0.1」以外のIPアドレスが記載されていた場合、感染している可能性が高いと考えてください。
ただし、亜種の中にはこの方法で感染を確認できないタイプもあるようです。より確実に確認するためには、各ウイルス対策ソフトが配布しているツールを使うことをおすすめします。
Antinnyや山田ウイルスの被害をこうむらなかったとしても、今後より悪質なマルウェアが登場することは必至です。被害を避けるためには、ウイルス対策ソフトを常駐させ、パターンファイルを常に最新のものに更新しておくこと、出所が不明だったり、信頼できるかどうかわからないファイルは開かないことを徹底してください。
著者プロフィール:松田勇治(マツダユウジ)
1964年東京都出身。青山学院大学法学部私法学科卒業。在学中よりフリーランスライター/エディターとして活動。
卒業後、雑誌編集部勤務を経て独立。現在は日経WinPC誌、日経ベストPCデジタル誌などに執筆。
著書/共著書/監修書
「手にとるようにWindows用語がわかる本」「手にとるようにパソコン用語がわかる本 2004年版」(かんき出版)
「PC自作の鉄則!2006」「記録型DVD完全マスター2003」「買う!録る!楽しむ!HDD&DVDレコーダー」など(いずれも日経BP社)
TDKは磁性技術で世界をリードする総合電子部品メーカーです