今回はWORM_NETSKY.Pを取り上げる。WORM_NETSKYファミリーは2004年2月に登場し,世界的な大規模感染を巻き起こした2004年を代表するコンピュータ・ウイルスのひとつである。

 世界的規模の感染報告を基にトレンドマイクロが発令するレッドアラート,イエローアラートと呼ぶ注意喚起は,2004年には1年間で過去最高の32回を記録した。その中でWORM_NETSKYファミリーは8回を占めている。これは2004年,2005年に猛威を振るったWORM_BAGLEファミリーについで過去2番目に多い数字だ(表1)。

表1●過去アラートになったウイルスファミリー名ランキング(2003年~2008年)
表1●過去アラートになったウイルスファミリー名ランキング(2003年~2008年)

 図1は,トレンドマイクロのウイルストラッキングセンター(オンラインスキャンおよび複数の当社製品で発見された数を集計)におけるWORM_NETSKY.Pの感染報告数である。WORM_NETSKY.Pの感染報告数は,2004年3月21日から執筆時点まで34万台を超える感染報告が記録された。急激な右肩下がりのグラフになっているが,過去のコンピュータ・ウイルスにおける感染傾向を如実に表している。

図1●WORM_NETSKY.Pの感染報告数
図1●WORM_NETSKY.Pの感染報告数

 過去の攻撃手法は,単一種のコンピュータ・ウイルスが派手に感染拡大をしたため,そのウイルスに対応したパターンファイルを配信すると,目に見えて報告数が減少していくのが常であった。現在の脅威と比較すると,我々にとって非常に対応しやすいものであったと言える。

 なお,2007年から2008年にかけて再び感染報告数の数が増加しているが,残念ながら原因については分からない。ひとつ言えることは,発生から5年以上経過した今でも,一度インターネット上に放たれた不正プログラムは活動をし続け,いまだに感染報告は後を絶たないということである。

 今回は,検証環境用に1台のWindows XP SP2のコンピュータ(テスト機)を用意した。なお,検証環境からほかのネットワークへ影響を及ぼさないように完全なローカルネットワーク環境で検証を行った。しかし,マスメーリング型の不正プログラムを検証するため,DNSサーバーとSMTPサーバーが必要となる。そこでBlackJumboDog (ブラック ジャンボ ドッグ)という各種サービスが提供可能なフリーソフトウエアを使用して,テスト機上でDNSサーバーおよびメール・サーバーを設定した(図2)。

図2●今回検証した環境
図2●今回検証した環境
テスト機上でWORM_NETSKYを実行し,テスト機に登録されたDNSサーバーへの問い合わせ,およびウイルスメールが配信されるかを観察する

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら