これまでにも大規模なコンピュータワームの発生はありましたが、https://[removed-link]/article/id,157877/article.html?tk=rel_news
当初、このワームは近年のどのワームよりも多くのコンピュータに感染しました。ある推計によると、現在では https://www.pcworld.com/article/id,159460/article.html?tk=rel_news にインストールされているとされています。しかし、最初の登場以来、奇妙なことに静かでした。ConfickerはPCに感染し、ネットワーク全体に拡散しますが、それ以外には何の機能もありません。大規模なサイバー攻撃を仕掛け、インターネット上のほぼすべてのサーバーを機能不全に陥れるために利用される可能性もありますし、スパマーに貸し出されて何十億ものスパムメッセージを大量に送信するために利用される可能性もあります。しかし、Confickerは巨大な破壊エンジンとして、誰かが鍵を回すのを待ち構えています。
最近まで、多くのセキュリティ研究者はConfickerネットワークが何を待ち受けているのか全く理解していませんでした。しかし木曜日、ある国際連合が、このワームを、それを制御できるコマンド&コントロールサーバーから隔離するために、前例のない措置を講じたことを明らかにしました。このグループは、セキュリティ研究者、テクノロジー企業、ドメイン名登録機関で構成されており、インターネットのドメインネームシステムを監督するICANN(Internet Corporation for Assigned Names and Numbers)と連携しています。
研究者たちはConfickerのコードを解析し、新たな命令をホストに送るために巧妙な新技術を用いていることを発見しました。このワームは毎日、aklkanpbq.infoなどの約250個のランダムなドメイン名のリストを新たに生成します。そして、これらのドメインに新たな命令がないか確認し、暗号署名を検証することで、Confickerの作者によって作成されたものであることを確認します。
コンフィッカーのコードが最初に解読されたとき、セキュリティ専門家たちはランダムに生成されたドメインの一部を入手し、シンクホールサーバーと呼ばれるサーバーを構築してハッキングされたマシンからデータを受信、ワームの動作を観察しました。しかし、感染が拡大するにつれて、専門家たちはこれらのドメインをすべて登録し始めました。週に約2,000件というペースで、犯罪者がアクセスする前に流通を停止させていました。もし犯罪者がこれらのコマンド&コントロールドメインを登録しようとしたとしても、既に「コンフィッカー・カバル」と名乗る架空のグループによって取得されていたはずです。その住所は?ワシントン州レドモンド、マイクロソフト・ウェイ1番地です。
これは研究者にとって新しいタイプのいたちごっこですが、ここ数ヶ月の間に何度かテストされています。例えば11月には、別のグループがこの手法を用いて、世界最大級のボットネットネットワークの一つであるSrizbiが使用するドメインを乗っ取り、Srizbiのコマンド&コントロールサーバーから遮断しました。
しかし、数千ものドメインを扱うとなると、この戦術は時間と費用がかかる可能性があります。そこでConfickerでは、「ドメイン事前登録・ロック」と呼ばれる新しい手法を用いて、ドメインを特定し、ロックをかけました。
サイバー犯罪監視団体「シャドウサーバー財団」の共同設立者アンドレ・ディミノ氏は、コンフィッカーのドメインを特定し、遮断する作業を分担することで、同団体はワームの活動を抑え込んだだけで、致命的な打撃を与えたわけではないと述べた。「これは、このレベルで大きな変化をもたらす可能性のある、まさに最初の重要な取り組みです」とディミノ氏は述べた。「コンフィッカーの活動を停止させるのに、ある程度の効果があったと考えています。」
これは、インターネットのアドレスシステムを管理する団体であるICANNにとって未知の領域です。ICANNはこれまで、犯罪者に広く利用されているドメイン名登録機関の認定を取り消す権限の行使が遅れていると批判されてきました。しかし今回は、ドメインのロックダウンを困難にしていた規則を緩和し、団体の参加者を結束させたことで称賛されています。
「今回のケースでは、彼らは物事が迅速に進むよう円滑な手続きを進めてくれました」と、OpenDNSの創設者であるデイビッド・ウレヴィッチ氏は述べた。「その点は称賛に値すると思います。…ICANNが真に前向きな行動をとった初めてのケースの一つです。」
ネットワークセキュリティコンサルティング会社サポート・インテリジェンスのCEO、リック・ウェッソン氏は、これほど多様な組織が協力し合っているという事実は特筆すべきことだと述べた。「中国とアメリカが協力して、世界規模の悪意ある活動を阻止したとは…これは重大なことです。かつてこのようなことは一度もありませんでした」と彼は述べた。
ICANNは、この件に関してコメントを求める電話には応じず、マイクロソフト、ベリサイン、中国インターネットネットワークインフォメーションセンター(CNNIC)など、Conficker対策に参加した多くの関係者は、この記事に関するインタビューに応じなかった。
参加者の中には、組織的なサイバー犯罪集団と戦うための個人的な取り組みに注目を集めたくないと個人的に言う者もいる。また、この取り組みはまだ始まったばかりなので、戦術について議論するのは時期尚早だと言う者もいる。
真相がどうであれ、その危険性は明らかだ。コンフィッカーは既に政府や軍のネットワークで確認されており、特に企業ネットワークでは猛威を振るっている。少しでもミスをすれば、コンフィッカーの作者がネットワークを書き換え、コンピューターに新たなアルゴリズムを仕込んでしまい、それを解読しなければならず、悪意ある目的に利用する機会を与えてしまう可能性がある。「私たちは100%の正確性を求めています」とウェッソン氏は語る。「そして、この戦いは日々続いているのです」
(シンガポールのサムナー・レモン氏がこのレポートに貢献しました。)
