かつて世間を騒がしたワーム「DOWNAD」。この脅威は、いまだ続く!
なぜ「DOWNAD」(別名:Conficker)の脅威はいまだに続いているのでしょうか?
DOWNADは、自身が複数の感染方法を備えることはもちろん、Windowsの脆弱性を利用するため、その全盛期には、大きな脅威になりました。恐るべきことに、脆弱性の状況は、年を重ねるごとに危険を増しています。2010年は、脆弱性の数は減少していましたが、現在のプログラムは複雑になっているため、脆弱性を完全に取り除くことは決してできません。Windowsは、最も広く使用されているオペレーティングシステム(OS)ですが、そのWindowsにおいても脆弱性の問題は解決されていません。トレンドマイクロのシニアセキュリティ研究員Abhishek Bhuyanは、実際、「2010年が終わりを迎えても、DOWNADの脅威は依然として存在している」と考えていました。
2010年10月から12月におけるトレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」のデータによると、全世界で約3万台ものコンピュータがさまざまなDOWNADの亜種に感染しました。DOWNADの被害にあった上位3カ国は、アメリカ5,401台、インド4,557台、ブラジル2,953台でした。
2011年、トレンドマイクロのセキュリティ専門家は、脆弱性を突く攻撃は悪化する一方であると確信しています。サイバー犯罪者は、多くユーザに親しまれているかどうかに関わらず、OSやアプリケーション、ブラウザを使用しているあらゆるコンピュータを攻撃対象とします。これにより、DOWNADのような脅威からユーザのコンピュータやネットワークを防御するためには、ソフトウェアを最新に保つことが重要であるとあらためて確認されました。DOWNADが初めて脅威として台頭したのは、2008年11月でした。DOWNADは、「MS08-067:WindowsのServerサービスに存在する脆弱性(CVE-2008-4250)」を利用し、リモートでコードを実行することができます。このマルウェアは、特別に細工されたリモート・プロシージャ・コール(RPC)リクエストを介して、実行中のWindows 2000および、Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008 に影響を与えました。
この脅威が初めて確認されてからわずか4ヶ月後に、DOWNADは、瞬く間に世界中で何十万ものコンピュータに感染したと報告されました。この報告は、DOWNADに、「これまでの脅威の中で最も悪評が高いマルウェアのうちの1つになる」という評価を与えました。その評価の通り、「悪名高いマルウェア」として世に知れわたってから2年以上たっても、この亜種は、世界中で何千台ものソフトウェアが更新されていないコンピュータに影響を及ぼし続けています。
トレンドマイクロが確認し、今なおユーザを悩ませる最も注目すべきDOWNADの亜種は、以下の通りです。
- WORM_DOWNAD.A
- WORM_DOWNAD.AD
- WORM_DOWNAD.KK
- WORM_DOWNAD.E
- myspace.com
- msn.com
- ebay.com
- cnn.com
- aol.com
このマルウェアは、感染したコンピュータに、痕跡を残しませんでした。またこのマルウェアは、既知のWALEDACのドメイン(goodnewsdigital.com)にアクセスし、別の暗号化されたファイル "print.exe" をダウンロードします。このファイルは、WALEDACのバイナリファイルであることが確認されました。
この脅威は、どのようにしてコンピュータに侵入しますか?
DOWNADは、「Domain Generation Algorithm(DGA)」と呼ばれる接続先ドメイン名生成の仕組みを用いてドメイン名を生成し、そのドメインから感染コンピュータに他のマルウェアをダウンロードします。DOWNADは、セキュリティソフトに関連するWebサイトへのアクセスをブロックします。さらに、リムーバブルドライブ、ネットワーク共有フォルダ、およびP2Pを介して感染活動を行います。DOWNADは、感染したドライブにアクセスすると作成したコピーを自動実行するよう、
“AUTORUN.INF” ファイルを作成します。
DOWNADの感染を防ぐために、ユーザの方々に、以下のことをお勧めします。
- 修正パッチがリリースされましたら、早急に適用してください。
- 特に「WORM_DOWNAD.AD」対策として、USBドライブの自動実行機能を無効にしてください。
DOWNADの亜種は、ネットワーク共有フォルダを介して感染活動を行います。そのためシステム管理者の方々には、以下の項目の実施をお勧めします。
- タスクスケジューラを介して、ユーザ名とパスワードの組み合わせを可能な限りすべて入力して侵入を試みる攻撃方法「brute force attack(総当り攻撃)」による侵入を阻止するために、ユーザには複雑なパスワードを設定することを求めてください。
- ネットワーク共有フォルダにアクセスできるユーザを制限してください。
システム管理者の方々は、以下のマイクロソフト・サポート・ページからより詳しい情報をご参照いただけます。
- How to Modify the Default Group Policy Refresh Interval
- Using SECEDIT to Force a Group Policy Refresh Immediately
ユーザは何をもとに、この脅威がコンピュータに感染したと判断できますか。
DOWNADに感染すると、以下の活動が確認できます。
- TCPポート445番のトラフィックが増加。
- 「netsvcs」に対するランダムな名前の値が、以下のレジストリに存在。
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Svchost - さまざまなWebサイトへ次々にアクセス。
- ドライブ内に、"AUTORUN.INF" ファイルが存在。
- システムディレクトリに、"x" という名前のファイルが存在。
- タスクスケジューラに覚えのないタスクが存在。
この脅威によって、情報漏えいの危険はありますか?
DOWNADの亜種は、DNSキャッシュの改ざんにより、セキュリティソフトに関連するWebサイトへのアクセスをブロックするので、感染したユーザは、感染の拡大を防ぎ、マルウェアの駆除をするために、コンピュータのDNS
Clientサービスの機能を無効にします。この作業は、コマンドプロンプトを開き、「net stop dnscache」と入力することによって行うことができます。
また、こちらのページから最新のパターンをダウンロードすることも、感染したユーザにとって良い方法です。ユーザは、こちらのページから、DOWNAD専用の駆除ツールをダウンロード、解凍、そして実行することもできます。そして最後に、ユーザは、Microsoft
Updateを使用して最新版に更新してください。あるいは、最低限、こちらのページから、DOWNADが利用する脆弱性(MS08-067)に対応する更新版をダウンロードして適用してください。
DOWNADの脅威に関する、より詳しい情報は、以下のブログ記事(英語情報のみ)をご参照ください。
- http://blog.trendmicro.com/ms08-067-vulnerability-botnets-reloaded/
- http://blog.trendmicro.com/downad-gearing-up-for-a-botnet/
- http://blog.trendmicro.com/security-policy-for-dummies-how-to-avoid-worm_downad-infection/
- http://blog.trendmicro.com/the-mess-that-is-worm_downad/
- http://blog.trendmicro.com/new-downadconficker-variant-already-detected/
- http://blog.trendmicro.com/what-will-go-downad-on-april-1/
- http://blog.trendmicro.com/more-downadconficker-questions-after-april-1st/
- http://blog.trendmicro.com/a-look-inside-conficker-p2p-traffic/
- http://blog.trendmicro.com/downadkkconfickerc-p2p-port-generation-code-exposed/
- http://blog.trendmicro.com/downadconficker-watch-new-variant-in-the-mix/
- http://blog.trendmicro.com/three-months-later-wheres-downad/
- http://blog.trendmicro.com/downadconficker-turns-1yr/
- http://blog.trendmicro.com/where-in-the-world-is-downadconficker/
- http://blog.trendmicro.com/things-you-need-to-remember-about-downadconficker/
「TrendWatch」記事
以下の記事から、DOWNADの脅威に関する綿密な考察をご覧いただけます。
トレンドラボのシニア脅威研究者は、「WORM_DOWNAD.A」について、次のようにコメントしています。
「サイバー犯罪者は、この新たな脆弱性を利用して、新たなコンピュータを取り込んだボットネットワークを築きあげようとしているのではないでしょうか。」シニア脅威研究者Ryan Floresより。
「家庭用ブロードバンド・サービス・プロバイダの中には、DOWNADの被害を受けたユーザが多数いましたが、感染コンピュータは、アメリカ、中国、インド、中東、ヨーロッパ、ラテンアメリカのインターネット・サービス・プロバイダのネットワーク内で確認されています。」シニア脅威研究者Ivan
Macalintalより。
次に、「DOWNAD感染防止対策」についてトレンドラボのシニア脅威研究者Robert
McArdlは以下のようにコメントしています。
「修正パッチが適用されていないコンピュータがたった1台あるだけで、このマルウェアは容易にネットワーク全体に感染拡大させることが可能です。このことを忘れないで下さい。今日のIT部署業務においてパッチマネジメントは、重要な要素を担います。社内のノートパソコンや携帯端末を含むすべてのコンピュータ機器にその時期に合った対応を施すことが、極めて重要です。企業は、社内ネットワークおける外部関係者のアクセスに関するポリシーを明確にする必要があります。さまざまなセキュリティ対策が施されていても、たったひとつの「穴」がネットワーク全体を停止させてしまう、ということが言えるのではないでしょうか。」
最後にトレンドラボののウイルス解析者Erika Mendoza による、「DOWNADの流行と存続」についてのコメントです。