相変わらず猛威を振るう『Storm』ワーム

医療の世界に、医師たちが手を焼く「スーパーバグ」(非常に強力な細菌) や薬品耐性を備えたバクテリアがあるように、コンピュータの世界にも根絶がきわめて困難と思われるスーパーバグが存在する。それが『Storm』ワームだ。

多種多様な亜種をもつこの怪物は、院内感染を引き起こすブドウ球菌よりも急速に変異し、ここ最近頻発するスパムやサービス不能化 (DoS) 攻撃の多くでその起点となり、世界全体でネットワークを脅かしている。

Storm ワームの存在が初めて表面化したのは2007年1月のことで、最近のヨーロッパにおける気象災害に言及したスパムメールが、米国およびヨーロッパに出回ったことがきっかけだった。メールの文言は「ヨーロッパで暴風雨 (Storm) が猛威、死者230人」という内容だ。

この Eメールには小さな実行ファイルが添付ファイルとして付属し、うっかりそれを実行しようものなら、次々と厄介な現象の連鎖が起こり、ほとんど取り返しのつかない事態に陥る。その後『Storm』『Small.Dam』『Win32/Nuwar』などの名称で呼ばれる同ワームは、餌食となったコンピュータに、アップデート用のコンポーネントを含むありとあらゆるソフトウェアをインストールしてしまう。

Storm の根絶がこれほどまでに困難なのは、ほぼ30分おきに変異を繰り返すためでもある。ウイルス対策製品ベンダーがワームを検出するための特徴データを公開するよりも、遙かに早くコードを入れ替えてしまうため、これらベンダーが用いる特徴照合手法の有効性はかなり低い。

また Storm は、大半のワームとは異なり制御ハブを持たない。少数の制御サーバーを用いる形態ならば、通常はそこを排除するのがボットネットを無効化する上で簡単な方法なのだが、Storm はこの戦術に対しても免疫性がある。

Storm は制御ハブを設ける代わりに、コードと指示を受け取り、感染が判明している別のコンピュータに受け渡していくピアツーピア (P2P) 方式を用いている。ワームの拡散には、P2P 型ファイル共有ネットワーク『eDonkey』のプロトコルを修正して使い、ピア間のやり取りを暗号化しているばかりか、暗号鍵も絶えず変更する。

Microsoft やセキュリティ製品ベンダーも対策を進めているが、何より見知らぬ相手から届いたメールの添付ファイルを実行するユーザーの存在が Storm 蔓延の後押しとなっている。専門家たちも、Storm との戦いがかなり長期に及ぶだろうと確信しているようだ。