『BlackWorm』によるファイル破壊に、セキュリティ各社が警鐘

直ちにウイルス対策プログラムを更新し、防御を強化する必要がある。ワームの大流行がすぐそこに迫っている可能性があるからだ。もうすぐというのは、すでに始まっていなければの話だが。

一部のセキュリティ会社が『BlackWorm』と名付けたワームは、見たところすでに200万台を超えるシステムに感染しているようだ。同ワームは、感染したパソコンから特定の Web サイトに報告する仕組みを持っているのだが、200万という数字は、その Web サイトで表示しているカウンタの数値によるものだ。

カウント数は、若干大げさな値の可能性があり、少なくとも1人のセキュリティ研究者が、この数字は固有 IP アドレスの数ではなく、ヒット数を記録したものだと指摘している。

いずれにせよ、BlackWorm の最も破壊的な活動はまだ始まっていない。

Blackworm は2月3日に、経験が浅く、疑いを持たず、セキュリティ対策を取っていない、全世界のパソコンユーザーに災いをもたらす。同ワームはその日、ユーザーのコンピュータ上に存在するファイルを書き換えてしまうからだ。改ざんを受けるファイルの種類は、少なくとも11種類に及ぶ。

改ざん対象となるのは、拡張子が「.doc」(『Microsoft Word』ファイル)「.xls」(『Microsoft Excel』ファイル)「.ppt/.pps」(『Microsoft PowerPoint』ファイル) などだ。

情報セキュリティ研究機関 SANS Institute のインターネット対策センター Internet Storm Center (ISC) によると、ファイルは「DATA Error [47 0F 94 93 F4 K5]」というエラーメッセージで上書きされてしまうという。

Blackworm は、多くの悪質プログラムと同様に、Eメールの添付ファイルや、安全対策が不十分なファイル共有環境を介して感染を拡げる。感染すると、実行ファイルと同名の「.zip」ファイルを作成しアーカイブツールに開かせる。これは、本体の活動を隠蔽するための欺瞞活動だ。

フィンランドのセキュリティ会社 F-Secure によると、「実行ファイルのサイズは約95キロバイト」で、「実行すると、まず『WinZip』をおとりとして起動する」という。

同社のテストシステムでは、キーボードやマウスによる入力ができなくなり、「CTRL + ALT + DEL」を押して、ログオフせざるを得なかったという。

また同ワームは、複数のセキュリティツールに対して、動作を阻害する働きも持つため、対策は急ぐ必要がある。セキュリティ製品ベンダー各社は、すでに識別情報の更新や、専用削除ツールの提供を行なっている。

Blackworm は、「Blackmal」「Nyxem」「MyWife」「Tearec」「KamaSutra」など各社各様の名前が付いているが、US-CERT は共通識別番号『CME』(Common Malware Enumeration) として『CME-24』を割り当てた。

脆弱性の共通識別番号『CVE』(Common Vulnerabilities and Exposures) と同様に、CME はウイルスなど悪質プログラムに共通の識別番号を割り当て、中立かつ共用性のある識別方法を、セキュリティ会社と個人ユーザーに提供する取り組みだ。