『AIM』で感染を拡げる新たなワームが発生

インスタントメッセージ (IM) アプリケーションや P2P アプリケーションに対する脅威の探知および脅威からの保護を目的に発足した、業界初の国際的コンソーシアム IMlogic Threat Center は1日、使い古された方法によって感染を拡げる新たなワーム『Gpic.aol』について、セキュリティ勧告を公開した。同ワームは、知人やバディリスト (IM クライアント上の知人リスト) 上の相手が発信したと見せかけた URL 付きのメッセージを用い、攻撃相手にその URL をクリックさせることで感染が拡大するという。

Gpic.aol は、America Online (AOL) の IM プラットフォーム『AOL Instant Messenger』(AIM) をターゲットにしたワームだ。知人が送ってきたリンクは、よく考えもせずにクリックするというユーザーの性癖を悪用する手段は、IM に限らず、これまでもいろいろな形で現われている。Gpic.aol が発信するメッセージは、「damn this looks just like me lol (あらら。これって私そっくり。ハハハ)」という文面と共に、実際には存在しない「pictures.google.com」という Google 風のドメインを持ち、画像にリンクしているかのように見える URL 形式の文字列があり、そこに表示とは異なる URL へのリンクを仕込んでいる。

実際のリンク先は「Newpeople.no-ip.info」ドメインの URL で、アクセスするとユーザーのシステムにワームが入り込み、バディリストから IM の送信先を収集して、同じメッセージを収集した相手に送信する。

同ワームは、攻撃者にリモートアクセスを許したり、ハードディスク内のデータを破壊したり消去するような悪質プログラムを内蔵しているわけではなく、勧告では同ワームの深刻度を中程度としている。

したがって、今のところ AIM のバディリストから別のバディリストに感染が拡がる、ただの迷惑行為でしかない。しかし、IMlogic の CEO、Francis deSouza 氏は、ウイルス作者が有害なコードをばらまき始めるのは時間の問題との懸念を示した。

同氏によると、一般に IM はファイルの転送機能や動画/音声通信機能など、多様な機能を備えており、悪質プログラムの作者が、この種の機能を利用する危険性があるという。

Eメールクライアントも多くの機能を持ち、悪質プログラムの伝搬手段として、そうした機能性を悪用する例が多い。この点について deSouza 氏は、「実際には IM クライアントの方が機能面でも能力の面でもはるかに優れている。そればかりか、IM クライアントの機能の多くがリアルタイムで動作するため、脅威が伝搬する速度は、Eメールを介した方法よりもずっと速い」と述べた。

IMlogic Threat Center が4月に発表した報告書によると、今年第1四半期中、IM や P2P を標的にした新たな脅威は前年同期に比べて271％も増え、そのうち82％が、IM 上で感染が拡大するウイルスやワームだったという。