この攻撃の背景

なぜ「DOWNAD」(別名:Conficker)の脅威はいまだに続いているのでしょうか?

DOWNADは、自身が複数の感染方法を備えることはもちろん、Windowsの脆弱性を利用するため、その全盛期には、大きな脅威になりました。恐るべきことに、脆弱性の状況は、年を重ねるごとに危険を増しています。2010年は、脆弱性の数は減少していましたが、現在のプログラムは複雑になっているため、脆弱性を完全に取り除くことは決してできませんWindowsは、最も広く使用されているオペレーティングシステム(OS)ですが、そのWindowsにおいても脆弱性の問題は解決されていません。トレンドマイクロのシニアセキュリティ研究員Abhishek Bhuyanは、実際、「2010年が終わりを迎えても、DOWNADの脅威は依然として存在している」と考えていました。

201010月から12月におけるトレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」のデータによると、全世界で約3万台ものコンピュータがさまざまなDOWNADの亜種に感染しました。DOWNADの被害にあった上位3カ国は、アメリカ5,401台、インド4,557台、ブラジル2,953台でした。

2011年、トレンドマイクロのセキュリティ専門家は、脆弱性を突く攻撃は悪化する一方であると確信しています。サイバー犯罪者は、多くユーザに親しまれているかどうかに関わらず、OSやアプリケーション、ブラウザを使用しているあらゆるコンピュータを攻撃対象とします。これにより、DOWNADのような脅威からユーザのコンピュータやネットワークを防御するためには、ソフトウェアを最新に保つことが重要であるとあらためて確認されました。


DOWNADとは何ですか?

DOWNAD初めて脅威として台頭したのは200811月でした。DOWNADは、「MS08-067WindowsServerサービスに存在する脆弱性(CVE-2008-4250」を利用し、リモートでコードを実行することができます。このマルウェアは、特別に細工されたリモート・プロシージャ・コール(RPC)リクエストを介して、実行中のWindows 2000および、Windows XPWindows Server 2003Windows VistaWindows Server 2008 に影響を与えました。

この脅威が初めて確認されてからわずか4ヶ月後に、DOWNADは、瞬く間に世界中で何十万ものコンピュータに感染したと報告されました。この報告は、DOWNADに、「これまでの脅威の中で最も悪評が高いマルウェアのうちの1つになる」という評価を与えました。その評価の通り、「悪名高いマルウェア」として世に知れわたってから2年以上たっても、この亜種は、世界中で何千台ものソフトウェアが更新されていないコンピュータに影響を及ぼし続けています。

トレンドマイクロが確認し、今なおユーザを悩ませる最も注目すべきDOWNADの亜種は、以下の通りです。

  • WORM_DOWNAD.A
  • WORM_DOWNAD.AD
  • WORM_DOWNAD.KK
  • WORM_DOWNAD.E


WORM_DOWNAD.A

WORM_DOWNAD.A」は、一連の脅威における最初のマルウェアでした。このマルウェアは、ネットワーク共有フォルダ経由で感染を拡大させるために、WindowsのさまざまなOSのバージョンに存在する脆弱性(MS08-067)を利用しました。「WORM_DOWNAD.A」による感染には、この脆弱性をうまく利用しTCPポート445番のトラフィックを増加させる、という特徴があります。このマルウェアは、侵入すると、特定のIPアドレスに接続し、自身のコピーの更新版をダウンロードします。


WORM_DOWNAD.AD

WORM_DOWNAD.AD」は、その感染方法に注目すべきです。このマルウェアの感染方法は3種類あり、企業のセキュリティポリシーの弱点を利用するよう設計されています。このマルウェアは、まず、ネットワーク内の各
コンピュータ、およびインターネット上のランダムに選んだ複数のコンピュータに、脆弱性を利用するためのパケットを送信します。そして、このマルウェアは、感染コンピュータに接続した、リムーバブルドライブおよびネットワークドライブ内の「Recycler」フォルダの中に、自身のコピーを作成します。その後、このマルウェアは、これらのドライブ内に難読化した "AUTORUN.INF" ファイルを作成します。これにより、ユーザがこれらのドライブを開くと、このマルウェアが実行されるようになります。難読化とは、無効なデータの挿入などにより、容易な検出を避けるための手口です。そして、このマルウェアは、ネットワーク上で利用可能なサーバを列挙し、この情報を利用して、接続先コンピュータのユーザアカウント一覧を収集します。最終的に、このマルウェアは、予め決めておいたパスワードリストを利用して、ユーザアカウントに対して「辞書攻撃」を行います。辞書攻撃とは、パスワードに使われそうな文字列を利用して、パスワードを破ろうとする攻撃です。このマルウェアは、この攻撃に成功すると、自身のコピーを攻撃先のコンピュータ内に作成し、Windowsのタスクスケジューラ機能を用いて、この作成されたコピー、つまりマルウェアが決められた時間に自動実行されるようにします。


WORM_DOWNAD.KK

WORM_DOWNAD.KK」はそれぞれ異なる50,000個のドメインのリストを生成するアルゴリズムを持つことで知られています。感染コンピュータの日付が200941日当日およびその日付以降である場合、生成されたドメインのうち500個をランダムに選び、アクセスします。そして自身のコピーの更新版やマルウェアのコンポーネント、追加機能に関する命令を入手する振る舞いを行うことが事前に特定されていました。このようにその脅威が充分に予想されていたため、この攻撃うまく実行されませんでした。加えて、セキュリティ研究者、インターネット・サービス・プロバイダ(ISP)、レジストリ(ドメイン名管理組織)、そして学者の支援を受けた「Conficker Working Group」の努力の成果が大きかったと考えられます。


WORM_DOWNAD.E

WORM_DOWNAD.E」は、200953日以降には活動を停止するであろうと思われ、セキュリティ業界の関心を引きました。このマルウェアはランダムなファイル名およびサービス名を利用し、作成した自身のコピーやコンポーネントファイルを削除します。このマルウェアは、Server サービスに存在する脆弱性(MS08-067)を利用します。インターネットへの接続が可能な場合には外部IPに対して、不可能な場合にはローカルIPに対して、感染活動を行います。まずランダムなポートを開きます。次にSSDPSimple Service Discovery Protocol)リクエストを介して拡散することによって、HTTPサーバとして機能します。そして以下のサイトに接続します。
  • myspace.com
  • msn.com
  • ebay.com
  • cnn.com
  • aol.co

このマルウェアは、感染したコンピュータに、痕跡を残しませんでした。またこのマルウェアは、既知のWALEDACのドメイン(goodnewsdigital.com)にアクセスし、別の暗号化されたファイル "print.exe" をダウンロードします。このファイルは、WALEDACのバイナリファイルであることが確認されました。

この脅威は、どのようにしてコンピュータに侵入しますか?

DOWNADは、「Domain Generation AlgorithmDGA)」と呼ばれる接続先ドメイン名生成の仕組みを用いてドメイン名を生成し、そのドメインから感染コンピュータに他のマルウェアをダウンロードします。DOWNADは、セキュリティソフトに関連するWebサイトへのアクセスをブロックします。さらに、リムーバブルドライブ、ネットワーク共有フォルダ、およびP2Pを介して感染活動を行います。DOWNADは、感染したドライブにアクセスすると作成したコピーを自動実行するよう、 “AUTORUN.INF” ファイルを作成します。

コンピュータをDOWNADから守るにはどうすればいいのですか?

DOWNADの感染を防ぐために、ユーザの方々に、以下のことをお勧めします。

  • 修正パッチがリリースされましたら、早急に適用してください。
  • 特に「WORM_DOWNAD.AD」対策として、USBドライブの自動実行機能を無効にしてください。

DOWNADの亜種は、ネットワーク共有フォルダを介して感染活動を行います。そのためシステム管理者の方々には、以下の項目の実施をお勧めします。

  • タスクスケジューラを介して、ユーザ名とパスワードの組み合わせを可能な限りすべて入力して侵入を試みる攻撃方法「brute force attack(総当り攻撃)」による侵入を阻止するために、ユーザには複雑なパスワードを設定することを求めてください。
  • ネットワーク共有フォルダにアクセスできるユーザを制限してください。

システム管理者の方々は、以下のマイクロソフト・サポート・ページからより詳しい情報をご参照いただけます。

ユーザは何をもとに、この脅威がコンピュータに感染したと判断できますか。

DOWNADに感染すると、以下の活動が確認できます。

  • TCPポート445番のトラフィックが増加。
  • 「netsvcs」に対するランダムな名前の値が、以下のレジストリに存在。
    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Svchost
  • さまざまなWebサイトへ次々にアクセス。
  • ドライブ内に、"AUTORUN.INF" ファイルが存在。
  • システムディレクトリに、"x" という名前のファイルが存在。
  • タスクスケジューラに覚えのないタスクが存在。


この脅威によって、情報漏えいの危険はありますか?

今までDOWNADの亜種が、個人情報などの重要な情報を、Webサイトに送信したという形跡はありませんでしたが、このワーム亜種がダウンロードしたファイルが、情報収集活動を行う可能性があります。

感染コンピュータをネットワークに接続した場合、他のコンピュータやネットワーク全体は危険にさらされると言えますか?

はい。感染したコンピュータは、他のコンピュータ、もしくは、感染したコンピュータが繋がっているネットワーク全体を危険にさらします。なぜなら、DOWNADの亜種は、ネットワーク共有フォルダを介して感染を拡大するからです。

どのようにユーザは、DOWNADを駆除できますか?

DOWNADの亜種は、DNSキャッシュの改ざんにより、セキュリティソフトに関連するWebサイトへのアクセスをブロックするので、感染したユーザは、感染の拡大を防ぎ、マルウェアの駆除をするために、コンピュータのDNS Clientサービスの機能を無効にします。この作業は、コマンドプロンプトを開き、「net stop dnscache」と入力することによって行うことができます。

また、こちらのページから最新のパターンをダウンロードすることも、感染したユーザにとって良い方法です。ユーザは、こちらのページから、DOWNAD専用の駆除ツールをダウンロード、解凍、そして実行することもできます。そして最後に、ユーザは、Microsoft Updateを使用して最新版に更新してください。あるいは、最低限、こちらのページから、DOWNADが利用する脆弱性(MS08-067)に対応する更新版をダウンロードして適用してください。

ユーザは、DOWNADからの再感染をどのように防ぐことができますか?

コンピュータの再感染を防ぐためには、最新の更新版を適用し、脆弱性を対処することが極めて重要です。また、トレンドマイクロ製品のユーザも、製品やパターンを最新版に更新してください。そうすれば、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」における「Webレピュテーション」技術による支援により、DOWNADの亜種が組み込まれているWebサイトへのアクセスをブロックします。「ファイルレピュテーション」技術もまた、ユーザのコンピュータに、DOWNADの亜種がダウンロードされ、実行されるのを防ぎます。

フリーツール

トレンドマイクロ製品または他社のセキュリティ製品をご利用でないユーザの方は、無料ツール「Trend Micro HouseCall」を使用して、この脅威に感染していないかどうか確認することをお勧めします。この最新技術が実装された無料サービスは、感染コンピュータからあらゆるマルウェアを検出します。

今回の脅威に関連するブログ記事(英語情報のみ)

DOWNADの脅威に関する、より詳しい情報は、以下のブログ記事(英語情報のみ)をご参照ください。

「TrendWatch」記事

以下の記事から、DOWNADの脅威に関する綿密な考察をご覧いただけます。

“DOWNAD/Conficker: The Case of the ‘Missing’ Malware.”


トレンドマイクロの専門家からのコメント:

トレンドラボのシニア脅威研究者は、「WORM_DOWNAD.A」について、次のようにコメントしています。

「サイバー犯罪者は、この新たな脆弱性を利用して、新たなコンピュータを取り込んだボットネットワークを築きあげようとしているのではないでしょうか。」シニア脅威研究者Ryan Floresより。

「家庭用ブロードバンド・サービス・プロバイダの中には、DOWNADの被害を受けたユーザが多数いましたが、感染コンピュータは、アメリカ、中国、インド、中東、ヨーロッパ、ラテンアメリカのインターネット・サービス・プロバイダのネットワーク内で確認されています。」シニア脅威研究者Ivan Macalintalより。


次に、「DOWNAD感染防止対策」についてトレンドラボのシニア脅威研究者Robert McArdlは以下のようにコメントしています。

「修正パッチが適用されていないコンピュータがたった1台あるだけで、このマルウェアは容易にネットワーク全体に感染拡大させることが可能です。このことを忘れないで下さい。今日のIT部署業務においてパッチマネジメントは、重要な要素を担います。社内のノートパソコンや携帯端末を含むすべてのコンピュータ機器にその時期に合った対応を施すことが、極めて重要です。企業は、社内ネットワークおける外部関係者のアクセスに関するポリシーを明確にする必要があります。さまざまなセキュリティ対策が施されていても、たったひとつの「穴」がネットワーク全体を停止させてしまう、ということが言えるのではないでしょうか。」


最後にトレンドラボののウイルス解析者Erika Mendoza による、「DOWNADの流行と存続」についてのコメントです。

DOWNADは、2008年における最も悪名高いマルウェアの1つとなりました。なぜなら、当時はまだ新しい概念であった、『Windowsの脆弱性を利用する』という機能を備えていたためです。マイクロソフトはすでに、この脆弱性に関する問題を解決しましたが、脆弱性を突く新たな『抜け穴』がいつ露呈するかはわかりません。そして『STUXNET』のような、より高い機能を持つマルウェアが出現する可能性があります。ユーザはそのことを心に留めておいてください。それゆえに、日常的にコンピュータにパッチを適用することは極めて重要です。また、ネットサーフィンをしたり、身近ではないWebサイトへアクセスするリンクをクリックするときには、注意を払ってください。『鎖の強さがその一番弱い環に左右される』ように、『セキュリティ的に弱いところが一つでもあれば、コンピュータ全体のセキュリティも低くなる』ということを忘れないでください。」