2005年07月22日(金) 14時32分

トロイの木馬「Kirvo」が出現--Spybotワームの取得を試みる（CNET Japan）

　Microsoft MSN MessengerとAmerica Online（AOL）のInstant Messengerのユーザーをターゲットとした悪質なメッセージが出回っている。このメッセージには、トロイの木馬や危険なワームへの感染を目的としたリンクが含まれている。

　トロイの木馬「Kirvo」への感染はまず、インスタントメッセージ（IM）ユーザーのもとに、「友達」リストに載っている他のユーザーから送信されたものに見せかけたメッセージが届くところから始まる。セキュリティ対策企業Symantecによると、このメッセージには、あるウェブサイトへのリンクが記載されており、それをクリックするとKirvoのコピーがPCにロードされるという。Kirvoは起動後に、Spybotのコピーを取得するようにあらかじめプログラムされている。Spybotは、ソフトウェアの脆弱性を悪用することでユーザー動作を密かに調べる、危険なワームである。

　Symantecでアジア太平洋地域および日本を担当するシステムエンジニアディレクターのTim Hartmanによると、Kirvoは、Spybotのほか、ゾンビPCネットワークを使って、感染の標的とするマシンを探し出すという。

　「（Kirvoの）動作は、ユーザーに依存している。誘惑にかられたユーザーがリンクをクリックすることで、Kirvoは起動する」とHartmanは述べる。「Kirvoは、起動後、Spybotの亜種をダウンロードする。脆弱性を悪用するSpybotこそ、本物のワームだ。Kirvoの開発目的は、Spybotの拡散を支援し、Spybotに感染したゾンビPCのネットワークをインターネット上で拡大させることにあるようだ」（Hartman）

　米国時間21日現在、MicrosoftとAOLからのコメントは得られていない。

　ウイルス対策企業McAfeeのマーケティングディレクターAlan Bellによると、KirvoやSpybotに関与する人物は、ワームのコピーを散布するのに、感染PCやリダイレクトサービスを利用するため、警察当局による捜査は難航しているという。

　「IPアドレスが頻繁に変わるネットワークを利用している場合--ダイアルアップ接続や、一部のブロードバンド接続など--IPアドレスをトラッキングするサービスを利用することが可能だ」とBellは述べる。「これを利用すると、IPアドレスが変わるたびに、そのアドレス宛のリクエストがリダイレクトされるようになる。捜査当局が元のIPアドレスを追跡しても、ゾンビ化したコンピュータを所有する会社に行き着くだけだろう」（Bell）

　Bellによると、Spybotは、インターネット上で最も広まっているワームの1つだという。また、McAfeeが実施した最近の調査によると、ボットによる活動は、2005年第1四半期から第2四半期にかけて300％以上も増加したとBellは述べた。


この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。 海外CNET Networksの記事へ

関連記事
アップルのiTunesを装うワームが出現--IM経由で感染拡大 - 2005/07/21 11:08
米セキュリティ企業、ゾンビPCからのトラフィックを追跡する新システムを発表 - 2005/05/30 13:20
ウイルスよりもゾンビPC--「サイバー攻撃の戦術に変化」と専門家 - 2005/05/26 18:15
IMユーザーを狙うワームとフィッシングが登場--「スター・ウォーズ」最新作をダシに - 2005/05/25 11:21
英ロイター、「Kelvir」ワームの攻撃を受けIMシステムを一時停止 - 2005/04/15 12:48
IM攻撃が急増--第1四半期は前年同期より250％増加 - 2005/04/06 11:57

　■CNET Japanニューズレター（無料）
　 毎朝メールで最新テクノロジー・ビジネス情報をお届けします。お申し込みはこちら。

[CNET Japan]
http://japan.cnet.com/

http://headlines.yahoo.co.jp/hl?a=20050722-00000006-cnet-sci