MS のサービスパックを偽装した新型ウイルス登場

コンピュータの更新情報を含み、差出人が「windowsupdate@microsoft.com」となっている Eメールが、9日世界中に出回った。同メールの件名は、「Windows XP Service Pack 1 (Express) - Critical Update」となっている。もちろんこのメールは、Microsoft (NASDAQ:MSFT) が発信したものではない。発信元を偽り、無警戒なインターネットユーザーを狙い Microsoft のセキュリティパッチに偽装したウイルスで、更新用のパッチにはトロイの木馬型のバックドアが仕込んである。

インターネットセキュリティ各社は発見当初、このウイルスは『W32.Swen.A@m』ないし『W32.Gibe.B@mm』と呼ばれ、昨年9月に感染を広げた『SWEN/Gibe』ワームの変種とする見解を示していたが、後に新型のトロイの木馬型ウイルスと改めた。

Computer Associates (NYSE:CA) の eTrust セキュリティ ソリューション事業責任者 Ian Hameroff 氏は、「発見当初に SWEN/Gibe ワームの変種と誤認したのは、実際にこうした手口の例が過去にあるために過ぎない」と述べた。トロイの木馬型新ウイルスは『Xombe』という呼称になり、ワームとしての機能は持たないことが判明した。Xombe は感染後、悪意あるサイトに接続して特定のサーバーに向けた分散型サービス不能化 (DDoS) 攻撃を行なうための、実行ファイルを自動的にダウンロードする。

正規の Eメールと、偽または「なりすまし」Eメールを区別することは、ますます難しくなっている。「こうした攻撃の巧妙化と手間のかかり具合は、高まりを見せている。以前ならスペル間違いや文章の怪しさから、この手の偽装メールを見分けることもできたのだが」と、iDefense の悪意コード情報マネージャ Ken Dunham 氏は述べた。

もはや単にウイルス対策ソフトを利用するだけでは、常に安全とは言い切れない。例えば Xombe の場合、ほとんどのウイルス対策ソフトによる検出を回避するようできている。また一般論としても、ウイルスの発見から、ウイルス対策製品メーカー各社の対応するデータベース更新までには、短時間とはいえ時間差があり未対策状態が生じてしまう。