「タコイカウイルス」は、2009年夏ごろよりファイル共有ソフト「Winny」で広がりを見せ始めたファイル破壊型のコンピュータウイルスである。ウイルスがファイルの上書きにタコやイカなどの画像を使用することから、通称「タコイカウイルス」と呼ばれている。トレンドマイクロ製品では、「タコイカウイルス」をTROJ_TACOファミリーとして検出対応する。

 ウイルス作成者が2010年8月に器物損壊容疑で逮捕されている。国内で初めてコンピュータウイルス作成に同容疑が適用された例として数多く報道され、話題になった。報道によれば、2010年12月9日には同被告の初公判が東京地裁で開かれ、「器物損壊にはあたらず、そういう意図もなかった」と無罪を主張しており、今後の動向が注目されるところである(2010年12月末執筆時点)。

 今回の「検証ラボ」ではその「タコイカウイルス」に焦点を当て、ウイルス解析者の目線から一連の動作を紹介する。なお一部の報道によると、作成者は「ウイルス対策ソフトに検知されないよう改良を繰り返していた」とされており、トレンドマイクロでも複数の亜種が存在していることを確認している。そのため、本記事ではトレンドマイクロが確認している検体の一つ「TROJ_TACO.A」に絞り、動作を検証することにする。TROJ_TACOファミリーとして検出されるすべての「タコイカウイルス」が同一の動作を持つわけではない。

感染に至るまでの経緯

 「TROJ_TACO.A」は「Winny」などのファイル共有ソフトを経由してコンピュータに侵入する。といっても、何かのぜい弱性を突いて勝手に感染してしまうわけではなく、すべてはユーザーのダウンロードと手動実行に起因する。「Winnyを使用しているようなPC知識をある程度持つユーザーが、ウイルスをわざわざ手動で実行しないのでは」と疑う方もいるかもしれないが、実際に感染してしまったユーザーは少なくない。

 では、なぜ被害者が少なくなかったのだろうか。それは、次の3点の方法を組み合わせたユーザーを巧みにだますわなが仕掛けられていたためである。

・ファイルのアイコンを「Windows Media Player」のアイコンに偽装(※1)
・2重拡張子(拡張子を表す文字列を複数つける偽装方法)を使用
・非常に長いファイル名を使用

※1 「Windows Media Player」ではなく「フォルダー」アイコンに偽装する亜種もある。

 画面1は、フォルダー内に置いた状態の「TROJ_TACO.A」本体の様子である。

画面1●フォルダー内にある「タコイカウイルス」の本体
[画像のクリックで拡大表示]

 アイコンが「Windows Media Player」になっているが、よく見ると、動画を表す文字列「.mp4」の後に長いスペースを挟み、最終的に「.scr」という拡張子が付いている。「.scr」はスクリーンセーバーを表す拡張子だが、中身が実行ファイル形式であればダブルクリックで問題なくプログラムが動作する。

 こうして見ると、拡張子を判断できるユーザーであれば不自然なことに気づくように思う。だが、そう単純な話ではない。画面2を見てほしい。これは、画面1と同一のフォルダーにおいて、フォルダーの表示オプションを「一覧」にした状態の様子である。

画面2●フォルダー表示オプションを「一覧表示」にした際の「タコイカウイルス」の様子
[画像のクリックで拡大表示]

 このような表示状態の場合、ファイル名に長いスペースを含んでいるため一見しただけでは、これが動画ファイルではないことに気づくのは難しいだろう。

 ファイル共有ソフトで大量のファイルをダウンロードしているようなユーザーの場合、ファイル確認のしやすさから、フォルダーの表示オプションを「一覧」もしくは「詳細」にしている可能性が高いと思われる。そのため、ある程度知識があっても間違って実行してしまうユーザーが多くいたと推測できる。ただし、こうした手法は従来から広く使われている古典的な偽装方法であり、注意すれば十分に防ぐことが可能な脅威であることも事実である。

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら