/

「遠隔操作ウイルス」はありふれたウイルス――その正体を探る

「パソコンを乗っ取るウイルスは珍しくない」「感染の危険性は小さい」

 「遠隔操作ウイルス」に関連したニュースが連日のように報じられている。ただしニュースの中には、このウイルスに関する誤解が含まれていることが少なくない。そこで、セキュリティ会社などへの取材を基に、遠隔操作ウイルスの正体を探った。

「遠隔操作ウイルス」とは何か

ニュースなどの多くでは、「他人のパソコンを使って、掲示板サイトなどに犯行予告を書き込んだ一連の事件」で使われた特定のウイルスを指している。このウイルスの作者とみられる人物は、テレビ局などに犯行声明のメールを送ったとされる。

このウイルスに感染したパソコンは、インターネット経由で遠隔操作されるために、この名前が付けられたと考えられる。

現在では、主なウイルス対策ソフト(セキュリティソフト)メーカーは、このウイルスに対応済み。つまり、主なメーカーのウイルス対策ソフトを使っていれば、該当のウイルスを検出および駆除できる。例えば、シマンテックの製品では「Backdoor.Rabasheeta」、トレンドマイクロの製品では「BKDR_SYSIE.A」というウイルス名で検出される。

このウイルスは、単独の実行形式ファイル。いわゆる「トロイの木馬」であり、別のファイルに感染するような機能(いわゆる「ファイル感染型ウイルス」の機能)や、自分の複製を作成するような機能(いわゆる「ワーム型ウイルス」の機能)はない。

報告されているウイルスのファイル名は「iesys.exe」。ただし、ファイル名はいくらでも変更可能なので、異なるファイル名を持つ同じウイルスが存在する可能性はある。

なお、報道によっては、遠隔操作を可能にするようなウイルス全般を、遠隔操作ウイルスと呼んでいる場合もある。

今回の遠隔操作ウイルスに感染するとどうなるか

今回の遠隔操作ウイルスには、掲示板サイト経由で攻撃者(ウイルス作者)からの命令を受け取り、その命令に従って動作する機能がある。シマンテックやトレンドマイクロの情報によれば、次のような動作を行わせることが可能だという。

・Webブラウザーやデスクトップの画面を撮影する
・キーボード入力やマウス操作を記録する
・パソコンに保存されているファイルを外部に送信する
・特定のファイルをダウンロードする
・特定のファイルを実行する
・パソコンの設定を変更する
・ウイルス自身をアップデートする
・ウイルス自身を削除する

今回の遠隔操作ウイルスに感染している危険性はあるか

一般のユーザーが、今回の遠隔操作ウイルスに感染している危険性はほとんどないと考えられる。というのも、前述のように、このウイルスには感染を広げる機能はないからだ。

加えて、このウイルスは、現在ではインターネットで公開されていないもよう。限られた期間に、このウイルスをダウンロードして実行したユーザーだけが感染した。

実際、シマンテックによれば、同社セキュリティソフトのユーザーからは、このウイルスに感染したという報告は寄せられていないという。

ユーザーとしては、このウイルスに感染している心配をするよりも、このウイルス以外のウイルスに感染していること、あるいは感染することを心配するべきだ。

パソコンを遠隔操作できるようにするウイルスは珍しいのか

今回の「遠隔操作ウイルス」のように、感染したパソコンを遠隔操作できるようにするウイルスは全く珍しくない。2004年ごろからよく見られるようになり、現在では、出回っているウイルスの多くが備えている機能の一つだ。

例えば、迷惑メールの送信やDDoS攻撃などに使われている「ボット」と呼ばれるウイルスも、攻撃者の命令に従って動作する。2011年に国内で話題になった「標的型攻撃」で使われたウイルスも、感染したパソコンを遠隔操作できるようにするウイルスだ。

今回のウイルスが話題になったのは、同ウイルスが感染したパソコンによって犯罪予告が行われ、感染したパソコンのユーザーが逮捕されたためにすぎない。

今回のウイルスの特徴の一つが、感染パソコンを遠隔操作できるようにすることだったので、一部のメディアが「遠隔操作ウイルス」と名付けた考えられる。その後、その名称が独り歩きし、「感染したパソコンを遠隔操作できるようにする、新しいウイルスが出現した」といった誤解を招いているようだ。

ウイルス作者はどのような人物か

テレビ局などに送られた犯行声明が本物だとすれば、作者は日本人あるいは日本語に精通した人物であることは明らかだ。ただ、そのことはウイルスのプログラムからもある程度推測できるという。ウイルスのプログラムには、日本語が含まれるためだ。

トレンドマイクロの情報によれば、今回のウイルスを逆アセンブルして得られたプログラムのある変数には、「kakiko」という名前が付けられていた(図1)。これは、掲示板サイトやブログなどに書き込むことを表すネットスラング「カキコ」のローマ字表記だと考えられる。

プログラムには、「書き込みが終わりました」という文字列もある。これは、該当のウイルスが、犯罪予告などの書き込みが終了したことをウイルス作者に通知するための文字列だと考えられる。

シマンテックの情報によれば、ある日本語のWebサイトで公開されていたプログラムの流用も確認されているという(図2)。流用したプログラムには、「saltは必ず8バイト以上」といった日本語が含まれている。

図1 「遠隔操作ウイルス」のソースコードの一部(トレンドマイクロの情報から引用)
図1 「遠隔操作ウイルス」のソースコードの一部(トレンドマイクロの情報から引用)

また、複数のセキュリティ会社では、ウイルスプログラムの内容から、ツールで作成されたものではないとみている。現在出回っているウイルスの多くは、ウイルス作成ツールを使って作られている。ツールを使えば、スキルのない人間でも、高度なウイルスを簡単に作成できる。

しかしながら、今回話題になっている遠隔操作ウイルスは、C#で書かれていることや、掲示板に書き込む機能がハードコーディングされていることなどから、ツールを使わずにゼロから作られた可能性が高いという。このことから、ウイルスの作者はある程度以上のプログラミング能力があると推測されている。

ただし、ウイルス作成者としてのスキルは低いという意見がある。現在出回っているウイルスの多くで施されている難読化がみられなかったためだ。難読化とは、プログラムに処理を施し、解析されにくくすること。今回のウイルスは、逆アセンブルさえすれば、ウイルスの中身を容易に解析できた。

ウイルス自身を隠す機能も備えていない。感染パソコンからウイルスが見つからなかったのは、作者が遠隔から消去したためで、ウイルスが実行している間は、ユーザーが容易に発見できたと推測される。

とはいえ専門家からは、ウイルス作者の目的が愉快犯的なものであれば、難読化やウイルス自身を隠す機能はそもそも不要なので、可能であったとしても実装しなかったのではないかという声も聞かれた。

被害に遭わないためにはどうすればよいのか

今回の「遠隔操作ウイルス」に感染している危険性は小さいが、同様の機能を備えるウイルスは多数出回っている。また、今後も次々と出現するだろう。それらに感染すると、パソコンを乗っ取られて深刻な被害に遭う恐れがある。被害に遭わないためには、基本的なウイルス対策を実施することが重要だ。

具体的には、(1)「提供元が明らかではないファイルは開かない」、(2)「ウイルス対策ソフト(セキュリティソフト)を利用する」、(3)「利用しているソフトウエアの脆弱性を解消する」といった複数の対策を同時に実施する。「これさえやれば大丈夫」という対策は存在しない。

例えば(1)については、管理者が明らかではないWebサイトや、アカウントの所有者が明らかではないオンラインストレージに置かれたファイルは開かないようにする。特に最近では、後者に注意する必要がある。有名なオンラインストレージをウイルスの置き場所に悪用するケースが多発しているためだ。

ウイルス対策ソフトも必ず利用するようにしよう。出現したばかりのウイルスは検出できないことがあるので過信は禁物だが、ある程度出回ったウイルスなら検出・駆除できるので、最低限の備えとして利用しよう。

そういったウイルスに感染しないためには、利用しているソフトウエアの脆弱性を解消することが重要となる。具体的には、セキュリティ更新プログラム(パッチ)を適用する、あるいは、最新版を利用するようにする。

(日経パソコン 勝村幸博)

[PC Online 2012年10月22日掲載]

すべての記事が読み放題
有料会員が初回1カ月無料

関連企業・業界

セレクション

トレンドウオッチ

新着

注目

ビジネス

ライフスタイル

新着

注目

ビジネス

ライフスタイル

新着

注目

ビジネス

ライフスタイル

フォローする
有料会員の方のみご利用になれます。気になる連載・コラム・キーワードをフォローすると、「Myニュース」でまとめよみができます。
新規会員登録ログイン
記事を保存する
有料会員の方のみご利用になれます。保存した記事はスマホやタブレットでもご覧いただけます。
新規会員登録ログイン
Think! の投稿を読む
記事と併せて、エキスパート(専門家)のひとこと解説や分析を読むことができます。会員の方のみご利用になれます。
新規会員登録 (無料)ログイン