いよいよ年の瀬も迫り、寒さも一段と厳しくなってきた。今回のコラムは「Windowsバッファオーバーフロー」シリーズの箸休めという位置づけで書いてみた。つづきをご期待の読者諸兄には申し訳ないが、先般お話した内容の一部を、もう少しだけ掘り下げたい。

見えにくいボットネットに光をあてる調査

今年1年を振り返ってみると、情報セキュリティ業界の界隈では多くの事柄が起きている。

WMFのZero-Dayに始まり、ボットネットを実際に構築したら非常によくできた仕組みであることが国内で調査結果として発表されたりもした。

組織や個人のコンピュータネットワークへの脅威は0-day脆弱性を利用することでより深刻さを増し、またボットネットの仕組みが解明されたことで取れる手立ては場当たり的なものではなく、地道な活動によってのみ解消されることがわかった。

また、Antinny感染者に対する注意喚起がISPによって行われたり、島根県のWebサイトにDDoS攻撃が行われたりした。こうしたDDoS攻撃やAntinnyの生成するトラフィックから、ISPにとっての脅威がより明白となり、それらに関する対策が議論されてきた。

以上、ざっと今年の上半期にあったトピックをかいつまんでみた。

オンラインゲーム、RMT、トロイの木馬の線

ここで、本コラムで以前ボツネタになったひとつのデータを取り出してみる。書く機会のないまま、いままでわたしのPCの中に眠っていたデータである。それは何かというと、今年上半期に、あるウイルス対策ソフトベンダーのウイルスデータベースに登録された、ウイルス名の分類である。以下にそのデータを円グラフで示す。

念のため記すが、ウイルスの名称の数は脅威を正確に推し量るものではないだろう。しかし、このような結果をみると、トロイの木馬として分類されるものが全体の4割程度となり、非常に興味深いものがある。と同時に、その背景についていくつかの推論をしてみたい。

1. RMT(Real Money Trading)と呼ばれる、オンラインゲーム内の仮想通貨やアイテムと、実貨幣とを交換取引する市場がある。そのため、オンラインゲームのアカウント奪取のみを目的としたウイルスが大量に作成されるようになった
2. 文書ソフトの0-day脆弱性を悪用するウイルスはトロイの木馬として分類された
3. ファイル交換ソフト利用者のネットワークで流布されているウイルスはトロイの木馬として分類された

(2)は以前本コラムで触れた 。(3)については「ファイル名の偽装」「アイコンの偽装」といった、無害なファイルになりすます、という特徴に基づき、トロイの木馬として分類されることがあるためと思われる。問題は(1)である。

今年上半期に公開された情報ではないが、9月の時点でSymantecのブログに次のような記述がみられる。この記述について、別の資料を参照しつつ要約してみると、以下の通りである。

• オンラインゲームのアカウント盗用を目的としたトロイの木馬が増加している
• 2006年度のRMT市場は北米だけで27億ドルになると予測されている
• 一般に、これらトロイの木馬はWebを通じた感染が多い
• 以前は、偽のリンクをクリックさせて感染させる手法であった
• 現在は、以下のような多種多様な手段でトロイの木馬に感染させ、アカウントを盗用しようとすることが判明している
  • ファイル感染が感染手段として用いられることもあり、検出を困難にさせている
  • 正規のWebサイトに不正侵入した上で、トロイの木馬をインストールさせるような手順を記述する、あるいは実行されることが期待できるリンクを書き換える
  • 大手ポータルサイトの広告スペースを購入して、トロイの木馬に感染させるように誘導させる

といった具合である。

一方で、こういう発表もあるので、利用者の割合の多さから考えて若年層の被害は十分考えられるだろう。別の(親としての)観点から見れば、「自分の子供が被害に遭う」なんていうことも考えられなくはないだろう。

2005年から今年にかけては、「目に見えにくい」脅威だと思われていたボットネットに光をあてる調査が行われたことで、その実態の理解と問題意識の共有がはかられた。これは非常に大きなことであったといえるだろう。同様に「目に見えにくい」脅威はこのトロイの木馬にもあてはまるかもしれない。よって、この脅威の動向については来年も引き続き注視する必要があるだろう。