「DOWNAD(別名:Conficker)」は、5年前の 2008年後半に初めて確認され、その感染拡大の速さと被害の大きさ で瞬く間に有名になりました。
そして驚くべきことに、5 年たった現在もまだ、この脅威は続いています。「DOWNAD」 はネットワークウイルスと USBワームの活動を併せ持つことから、いまだ深刻な問題を引き起こす恐れがあります。特に、感染した PC と同じネットワーク上にある他の PC へ、脆弱性攻撃により感染を拡大させるネットワークウィルス活動は、これまでの感染率の高さが示すように 、「DOWNAD」の最も大きな脅威の要因と言えます。
トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」からのフィードバックによると、「DOWNAD」は過去数年にわたって、主要な脅威となっています。これまでの感染数が示すように 、「DOWNAD」は2011年以降、最も感染数の多い脅威 です。この厄介な特性のため、著作権で保護されているソフトウェアを不正使用する「クラッキングツール」や、「キージェネレータ」、そして 「ZACCESS(またはZEROACCESS)」といったさまざまな脅威を抑えて最も感染数の多い脅威となっています。
「DOWNAD」はネットワーク上の感染を拡大するために、Microsoft が後に「MS08-67」と報告した当時のゼロデイ脆弱性を利用しました。「DOWNAD」が登場した 2008年にはゼロデイ脆弱性でしたが、現在では当然この脆弱性のセキュリティ更新プログラムは入手可能です。そもそも、Windows XP より新しい Windows7 以降の OS では、この脆弱性自体が最初から存在しません。それでもなお、「DOWNAD」の感染が多いのは、いまだに多くのユーザが Windows XP などの古い OS を使用している上に、この更新プログラムの適用を怠ったり、更新プログラムのダウンロードや適用が行えない海賊版の Microsoft Windows を使用しているため、と推測されます。
「DOWNAD」はまた、接続先ドメイン名を生成する仕組みである「Domain Generation Algorithm(DGA)」の利用を広めました。DGA は複数のドメイン名を1日単位で生成する機能を備えていますが、「DOWNAD」の場合は数百ものドメインを生成します。DGA で生成されたドメインを利用して、「DOWNAD」は、コマンド&コントロール(C&C)サーバに接続します。大量のドメインが生成されると、その数の分だけ C&Cサーバをブロックすることがさらに難しくなります。DGA は、その後、他の不正プログラムのファミリでも利用されるようになりました。
長期的に見ると、来年 2014年にWindows XP の延長サポート期間が終了し、Windows XP 搭載のPC が使われなくなるため、「DOWNAD」も表舞台から姿を消すことになるでしょう。しかし、危険にさらされるPC はまだあるかもしれません。もっとも、解決法は実に簡単です。現在使用しているソフトウェア、特にオペレーティングシステム(OS)とセキュリティソフトが最新であることを確認してください。PCが感染しているかどうかを調べるためには、「かつて世間を騒がしたワーム「DOWNAD」。この脅威は、いまだ続く!」をご覧下さい。
「DOWNAD」の性能、感染力、危険性の詳細ついては、こちら(英語情報)をご参照ください。
参考記事:
by Ryan Certeza (Technical Communications)
翻訳:品川 暁子(Core Technology Marketing, TrendLabs)