Conficker
Conficker(別名DownupあるいはDownadup、Kido)は2008年11月に初めて検出されたMicrosoft Windowsオペレーティングシステムを標的とするコンピュータワームである[1]。Confickerは感染すると、Windowsソフトウェアの欠陥を利用して管理者のパスワードを辞書攻撃し、ウイルス製作者が命令できるネットワーク上のコンピュータと接続する。Confickerの感染は急速に拡大し現在200ヶ国以上で700万を超える数の政府、企業、家庭のコンピュータがその制御下にあり、2003年のSQL Slammer以来最も規模が大きいと考えられている[2]。また、Confickerはありとあらゆる高度なマルウェア技術を使用しているため対策が非常に難しいものとなっている[3]。
正式名称 | Conficker |
---|---|
別名 | |
区分 | 不明 |
類型 | コンピュータワーム |
亜類型 | コンピュータウイルス |
歴史
編集名称
編集Confickerという名称の由来は英語の "configure" とドイツ語の "ficker" の混成語だと考えられている[4][5]。一方、マイクロソフトのアナリストはドメイン名trafficconverter.bizの一部を並べ替えたものだと説明している[6]。このドメインはConfickerの初期のバージョンで更新をダウンロードするのに使われた。
発見
編集Confickerの最初の亜種は2008年11月初めに発見され、インターネットを通じてネットワークサービスの脆弱性を突くことで広がった。この脆弱性はWindows 2000とWindows XP、Windows Vista、Windows Server 2003、Windows Server 2008、Windows Server 2008 R2 Betaに存在した[7]。Windows 7もこの脆弱性の影響を受けたかもしれないが、Windows 7 Betaは2009年1月まで公開されなかった。マイクロソフトはその脆弱性を塞ぐ緊急不定期パッチを2008年10月23日に公開したが[8]、 多数のWindowsパーソナルコンピュータ(30%だと見積もられている)は2009年1月になってもこのパッチを適用していなかった[9]。 2つめの亜種は2008年12月に発見され、これはリムーバブルメディアとネットワークファイル共有を通じて感染する機能が追加されたものだった[10]。 研究者はこの機能が感染が急速に拡大する決定的な要因になったと見ており、2009年1月までに900万[11][12][13]から1500万[14]台のパーソナルコンピュータがこれによって感染したと見積もられている。 アンチウイルスソフトウェアベンダーであるPanda Securityの報告では、200万台のコンピュータがActiveScanにより解析され約115,000台 (6%) がConfickerに感染していると診断された[15]。
現在どの程度の数のコンピュータが感染しているかを見積もるのは困難である。何故なら、最近の亜種では拡散と更新の方法が変更されたからである[16]。
動作
編集Confickerが使用したほとんどの高度なマルウェア技術は過去に使われたか研究者によく知られたものであった。しかし、Confickerは沢山のそれらの技術を組み合わせることで駆除を極度に困難にした[17]。 また、ワーム製作者はネットワーク管理者と司法当局によるマルウェア対策を観測し、ワームが抱える欠陥の対策を施した新しい亜種を配布していると考えられている[18][19]。
Confickerは5種類の亜種が知られ、Conficker A、B、C、D、Eと呼ばれている。これらが発見されたのは2008年11月21日、2008年12月29日、2009年2月20日、2009年3月4日、2009年4月7日である[20][21]。
亜種名 | 検出日 | 感染経路 | 更新の取得方法 | 自衛手段 | 動作目的 |
---|---|---|---|---|---|
Conficker A | 2008-11-21 |
|
|
なし |
|
Conficker B | 2008-12-29 |
|
| ||
Conficker C | 2009-02-20 |
|
| ||
Conficker D | 2009-03-04 | なし |
| ||
Conficker E | 2009-04-07 |
|
|
|
対応
編集2009年2月12日、マイクロソフトはConfickerの影響に対応するためのIT業界団体を立ち上げたことを発表した。団体に参加した組織はマイクロソフトとAfilias、ICANN、Neustar、ベリサイン、China Internet Network Information Center、Public Internet Registry、Global Domains International、Inc.、M1D Global、AOL、シマンテック、F-Secure、ISC、ジョージア工科大学の研究者ら、The Shadowserver Foundation、Arbor Networks、Support Intelligenceなどである[18][35]。
脚注
編集- ^ Protect yourself from the Conficker computer worm, マイクロソフト, (2009-04-09) 2009年4月28日閲覧。
- ^ Markoff, John (2009年1月22日). “Worm Infects Millions of Computers Worldwide”. New York Times 2009年4月23日閲覧。
- ^ “Defying Experts, Rogue Computer Code Still Lurks”. New York Times (2009年8月26日). 2009年8月27日閲覧。
- ^ Grigonis, Richard (2009-02-13), Microsoft's US$5 million Reward for the Conficker Worm Creators, IP Communications 2009年4月1日閲覧。
- ^ Ficker in dict.cc English-German Dictionary;
^ Ficker in bab.la/ German-English Dictionary;
^ Ficker in pons German-English Dictionary. - ^ Phillips, Joshua, Malware Protection Center - Entry: Worm:Win32/Conficker.A, マイクロソフト 2009年4月1日閲覧。
- ^ Leffall, Jabulani (2009年1月15日). “Conficker worm still wreaking havoc on Windows systems”. Government Computer News. 2009年3月29日閲覧。
- ^ Microsoft Security Bulletin MS08-067 – Critical; Vulnerability in Server Service Could Allow Remote Code Execution (958644), マイクロソフト 2009年4月15日閲覧。
- ^ Leyden, John (2009-01-19), Three in 10 Windows PCs still vulnerable to Conficker exploit, The Register 2009年1月20日閲覧。
- ^ a b c Nahorney, Ben; Park, John (2009-03-13), “Propagation by AutoPlay”, The Downadup Codex, Symantec, pp. 32 2009年4月1日閲覧。
- ^ “Clock ticking on worm attack code”. BBC News Online (BBC). (2009年1月20日) 2009年1月16日閲覧。
- ^ Sullivan, Sean (2009年1月16日). “Preemptive Blocklist and More Downadup Numbers”. F-Secure. 2009年1月16日閲覧。
- ^ Neild, Barry (2009-01-16), Downadup Worm exposes millions of PCs to hijack, CNN 2009年1月18日閲覧。
- ^ Virus strikes 15 million PCs, UPI, (2009-01-26) 2009年3月25日閲覧。
- ^ “Six percent of computers scanned by Panda Security are infected by the Conficker worm”. Panda Security (2009年1月21日). 2009年1月21日閲覧。
- ^ McMillan, Robert (2009-04-15), “Experts bicker over Conficker numbers”, Techworld (IDG) 2009年4月23日閲覧。
- ^ Nahorney, Ben; Park, John (2009-03-13), “Propagation by AutoPlay”, The Downadup Codex, Symantec, pp. 2 2009年4月1日閲覧。
- ^ a b Markoff, John (2009-03-19), Computer Experts Unite to Hunt Worm, New York Times 2009年3月29日閲覧。
- ^ a b c d Porras, Phillip; Saidi, Hassen; Yegneswaran, Vinod (2009-03-19), An Analysis of Conficker, SRI International 2009年3月29日閲覧。
- ^ Tiu, Vincent (2009-03-27), Microsoft Malware Protection Center: Information about Worm:Win32/Conficker.D, マイクロソフト 2009年3月30日閲覧。
- ^ Macalintal, Ivan; Cepe, Joseph; Ferguson, Paul (2009-04-07), DOWNAD/Conficker Watch: New Variant in The Mix?, Trend Micro 2009年4月7日閲覧。
- ^ a b c d Park, John (2009-03-27), W32.Downadup.C Pseudo-Random Domain Name Generation, Symantec 2009年4月1日閲覧。
- ^ a b c d Nahorney, Ben (2009年4月21日). “Connecting The Dots: Downadup/Conficker Variants”. Symantec. 2009年4月25日閲覧。
- ^ a b Chien, Eric (2009-02-18), Downadup: Locking Itself Out, Symantec 2009年4月3日閲覧。
- ^ a b Chien, Eric (2009-01-19), Downadup: Peer-to-Peer Payload Distribution, Symantec 2009年4月1日閲覧。
- ^ a b Leder, Felix; Werner, Tillmann (2009-04-07), Know Your Enemy: Containing Conficker, HoneyNet Project 2009年4月13日閲覧。
- ^ a b W32.Downadup.C Bolsters P2P, Symantec, (2009-03-20) 2009年4月1日閲覧。
- ^ a b c Leung, Ka Chun; Kiernan, Sean (2009-04-06), W32.Downadup.C Technical Details 2009年4月10日閲覧。
- ^ Porras, Phillip; Saidi, Hassen; Yegneswaran, Vinod (2009-03-19), An Analysis of Conficker C (draft), SRI International 2009年3月29日閲覧。
- ^ a b Fitzgerald, Patrick (2009-04-09), W32.Downadup.E—Back to Basics, Symantec 2009年4月10日閲覧。
- ^ Putnam, Aaron, Virus Encyclopedia: Worm:Win32/Conficker.E, マイクロソフト 2009年4月18日閲覧。
- ^ Nahorney, Ben; Park, John (2009-04-21), “Connecting The Dots: Downadup/Conficker Variants”, The Downadup Codex (2.0 ed.), Symantec, pp. 47 2009年6月19日閲覧。
- ^ Keizer, Gregg (2009-04-09), Conficker cashes in, installs spam bots and scareware, Computerworld 2009年4月10日閲覧。
- ^ Leung, Kachun; Liu, Yana; Kiernan, Sean (2009-04-10), W32.Downadup.E Technical Details, Symantec 2009年4月10日閲覧。
- ^ O'Donnell, Adam (2009-02-12), Microsoft announces industry alliance, $250k reward to combat Conficker, ZDNet 2009年4月1日閲覧。
外部リンク
編集- Conficker Working Group
- Conficker Eye Chart
- Conficker Worm: Help Protect Windows from Conficker (Microsoft)
- The inside story of the Conficker worm (Subscription Required for full article)
- Whatever happened to the Conficker worm? - CNN
- Symantec Conficker Removal Tool
- An Analysis of Conficker's Logic and Rendezvous Points