ウイルスを感染させる手口はさまざま。従来は、メールで感染を広げるウイルスや、ソフトウエアの脆弱(ぜいじゃく)性を突いてネットワーク経由で感染するウイルスが大多数だった。

 2~3年ほど前からは、Webサイトにウイルスを置いて、迷惑メールなどで誘導。有用なファイルに見せかけて、ユーザーにダウンロードおよび実行させる手口が増加している。

 そして2007年になると、検索サイトなどのWebサービスを悪用するウイルスが出現し始めた。「ウイルス作者は流行に敏感。はやっている技術やサービスを積極的に取り入れる」(NTTコミュニケーションズカスタマサービス部の須藤年章氏)。

【検索サイトで脆弱なサイトを探し、ウイルスの「わな」を仕掛ける】
1_px500.jpg
1_px500.jpg

 その一つが、Webサービスを使って感染先サイトを探すウイルスだ(図4)。ウイルスはまず、ソフトウエアの脆弱性情報などを公表しているセキュリティ企業のWebサイトにアクセス。脆弱性が見つかっているソフトウエアの名称や、そのソフトウエアに含まれるファイル名、脆弱性の種類などを取得する(図4(1))。「脆弱性情報のフォーマット(書式)はサイトごとにほぼ決まっているので、これらの情報は機械的に抽出できる」(ラック研究開発本部先端技術開発部部長の新井悠氏)。

 そして、ソフトウエアの名称やファイル名で検索を実行する(図4(2))。検索結果に表示されたサイトでは、そのソフトウエアを利用している可能性が高いと判断。これらに対して、脆弱性の種類に応じた攻撃を手当たり次第に仕掛けて、不正侵入を試みる(図4(3))。

 不正侵入できた場合には、サイトのWebページを改ざんして、ウイルスを感染させるような仕掛けを施す。このサイトにアクセスしたユーザーのパソコンに脆弱性がある場合には、アクセスしただけでウイルスに感染してしまう(図4(4))。

 この手法を用いるウイルスの特徴は、「Googleを使わないこと」(新井氏)だと言う。こういったウイルスは、特定の検索エンジンに対して、同じような検索要求を繰り返すことになる。Googleなどではこういった不自然な要求を検出すると、検索結果を表示しなくなる。

 例えば、この手法を使う先駆け的なウイルス「サンティ(Santy)」が出現した2005年末、Googleではその日のうちに対応。サンティが送る検索要求については結果を返さなくなった(図5左)。その際には、マイクロソフトの検索サービスでも同様の対策を実施した(図5右)。

【検索サイトの一部は悪用を阻止】
2_px435.jpg
2_px435.jpg

ここからは会員の登録が必要です。