4月1日深夜にConficker.cワームが活性化すると予想されていたが、インターネット自体が影響を受けるかもしれないというセンセーショナルな懸念にもかかわらず、何事もなく過ぎた。しかし、セキュリティ研究者らは、ユーザーはまだ危険から逃れられていないと述べている。
「この攻撃者はインフラをダウンさせるつもりはないと思う。そうすれば被害者と自分たちを切り離してしまうことになるからだ」と、ウイルス対策ベンダーのトレンドマイクロで脅威研究者を務めるポール・ファーガソン氏は語り、Conficker.c の技術と設計を「ほぼ最先端」と評した。
「彼らは、善良な人々が彼らの計画に対抗したり、緩和したりすることをより困難にするために、インフラを稼働状態に保ちたいのです」と彼は語った。
虫が動き出す
Conficker.cは、4月1日午前0時(GMT)に、感染したホストコンピュータからコマンド&コントロールサーバーへのリンクを確立するようにプログラムされていました。これらのコントロールサーバーにアクセスするために、Conficker.cは5万件のドメイン名のリストを作成し、その中から500件のドメイン名を選択して接続します。研究者によると、このプロセスはすでに開始されています。
Conficker.c に感染しているコンピュータの正確な数はまだわかっていませんが、Conficker ワームのすべての亜種に感染したシステムの推定数は 1,000 万を超えており、これは史上最大のボットネットの 1 つとなっています。
感染したコンピューターは予想通りコマンド サーバーにアクセスし始めましたが、異常なことは何も起きていません。
「コンフィッカーが侵入しようとしていることは確認しているが、今のところ侵入しようとしているサーバーはいずれも新たなマルウェアや新たなコマンドを配信していない」と、ドイツのマカフィー・アバート・ラボのセキュリティ戦略家、トラルブ・ディロ氏は述べた。
これは、Conficker を管理する人々が、研究者や IT 管理者が警戒を緩めて最悪の事態は過ぎ去ったと判断するのを待ち構えているだけなのかもしれない。
「誰もがコンフィッカーに興奮し、非常に注意深く見守っている時に、コンフィッカーを運営する連中が最初のチャンスを逃すのは、かなり愚かな行為だ」とディロ氏は述べた。「何かが起こるとしたら、おそらく数日以内に起こるだろう」
検出、予防接種が増加
Confickerは時間的な制約を受けません。このワームはユーザーによって簡単に検知・削除できます。例えば、PCがMcAfee.com、Microsoft.com、Trendmicro.comなどのWebサイトにアクセスできない場合は、感染している可能性があります。
さらに、IT管理者は不審なドメイン名からのトラフィックを簡単に特定し、社内ネットワーク上のコンピュータへのアクセスをブロックできます。「犯罪者が待つ時間が長ければ長いほど、感染したホストは少なくなります」とディロ氏は言います。
セキュリティベンダーなどによる緩やかな連合体であるConfickerワーキンググループからも更なる支援が寄せられており、同グループはConfickerが通信しようとしているドメインへのアクセスをブロックするために結束している。しかし、ワームの以前のバージョンをブロックすることに成功したこれらの取り組みが、Conficker.cの活性化にも効果があるかどうかは、現時点では明らかではない。
「ブロックしたり、ルーティングを阻止したりする試みがどれほど成功しているかは、まだ正確には分かりません」とディロ氏は述べた。「最初のドメインが実際にマルウェアを配信し始めたら、少なくとも1つのドメインが実際にマルウェアを配信し始めたら、それがわかるでしょう。」
アクティベーション期限は問題なく過ぎましたが、Conficker による脅威は依然として現実のものです。
「彼らは非常に洗練されており、非常にプロフェッショナルで、非常に決断力があり、物事の実装や変更の仕方に関して非常に慎重です」とファーガソン氏は述べ、Conficker.cは以前のバージョンよりも防御力が強化され、生存率も向上していると付け加えた。「4月1日の今回のアクティベーションは、おそらく恣意的で、大騒ぎを起こすために選ばれたのでしょう。」
ある時点で、Conficker.c の背後にいる人物は、自分たちが作成したボットネットから収益を得ようとしたり、他の目的を持っている可能性があります。
「最大の謎は、そこに巨大な弾丸の込められた銃があり、何百万台もの機械からなるネットワークが正体不明の人物によって制御されていることです」とファーガソン氏は述べた。「彼らは人々を弄ぶこと以外、その動機について何も示唆していません。」
