インターネット上で勢いを増す『Storm』ワーム

『Storm』ワームが、カリブ海地域を襲ったハリケーン『Dean』のようにインターネット上で猛威を振るったのは、2007年初めのことだった。だが、Dean はすでに姿を消したものの、Storm の方はまだ生き残っており、トラブルを引き起こしているばかりか、半年前より勢いが強まっている。

最初に出現した2007年初め以降、Storm は院内感染を引き起こすブドウ球菌よりも急速に進化し、変異している。それというのも、『MPACK』のような高性能のウイルス用ツールキットがあるおかげだ。コンピュータに侵入した Storm は、ボットネット ソフトウェアをダウンロードしてそのコンピュータにインストールする。しかも、30分ごとにバイナリを変更するため、ウイルス定義情報では検知できない。

多くのボットネットとは異なり、Storm には集中管理システムやハブがない。それどころか、Storm はピアツーピア (P2P) の回覧型戦略を採っている。このボットネットを運営しているロシア人犯罪者らは、最新のスパムを数台のマシンに送りつけ、そこからボットネットワーク内にある他の既知のボットにスパムをばらまくのだ。彼らは、P2P 型のファイル共有ネットワークとして人気のある『eDonkey』のプロトコルを使ってワームを広めている。

最も厄介なことは、Storm が本格的な分散型サービス不能化 (DDoS) 攻撃を実行できることだ。Storm をホストしているサーバーにアクセスしようとしたり、Storm のスキャンや無効化を試みたりする研究者や企業のマシンに対して、Storm は何日間も DDoS 攻撃を続けることができる。

セキュリティ ソフトウェアを販売する Secure Computing (NASDAQ:SCUR) の主席研究員 Dmitri Alperovitch 氏は取材に対して「これは、ボットネットに関するかぎり、最大の技術的進化だ」と語った。同氏の試算では、世界の100か国以上にある計2万台のホストコンピュータが Storm ワームに感染しているという。

ただ、感染しているコンピュータの60％が米国内にあると Secure Computing が推定していることは良い知らせといえる。Storm を作っている犯人を特定するよりもはるかに簡単に感染マシンを把握できるからだ。しかし、悪い知らせは、Storm が P2P ネットワークであるため、米国内の感染コンピュータをすべて停止したとしても、Storm のシステムを無効化するのではなく、ただその活動を鈍らせることしかできないということだ。