Winny、 Shareウィルスを利用した著作権詐欺に注意 その4

security

株式会社ロマンシングの件は、国際著作権機構なるサイトが停止したことで、とりあえず一段落したのかな。とはいえ、新規に個人情報を抜かれている人もいるだろうから、表だっては動きを見せていなくても、感染者に対して何らかのアプローチを行なっているかもしれない。もし、金銭要求をされた場合には、そうした不当な要求には応じず、警察等の機関に相談されることをお勧めしたい。また、以下のエントリも参考に。

Winny、Shareウィルスを利用した著作権詐欺に注意
Winny、 Shareウィルスを利用した著作権詐欺に注意 その2
Winny、 Shareウィルスを利用した著作権詐欺に注意 その3

また何かしたの展開があれば、追って報告するとして、とりあえず今回は、今までWinnyやShareで流行した代表的なウィルスについて、簡単にまとめてみようと思う。大きく分けると、PC内のファイルを削除、改変するもの、PC内のファイルをファイル共有ネットワークに公開するもの、PCをウェブサーバとして内部のファイルをネット上に公開するもの、PC内部の情報などを取得してウェブサイトや掲示板などに公開するものに分けられる。これらの分類は完全に独立しているわけではなく、重複している部分もあるし、亜種も含めて全てのものに当てはまるわけではない点に注意。

Winny、Shareで流行した代表的なウィルス

Whiterなど

WinnyなどのP2Pファイル共有ネットワークを介して流行したウィルスとしては、かなり初期のものだったと記憶している。Whiter系のウィルスは、実行と同時にHDD内のファイルを削除する。システムファイルも削除されるため、OSを起動できなくなる。

かなりおおざっぱなくくりになるが、これに類似したものとしてはいわゆる原田ウイルスがある。このウィルスは、特定の形式のファイル(aviやmp3など)を別のファイルに上書きする。それに加え、ユーザPCのホスト名、ユーザ名、IPアドレススクリーンショットTCP/FTP接続で送信、またはメールで送信といった挙動をするものもある。昨年流行した通称タコイカウイルスもこれに類似している。

Antinnyなど

キンタマ*1ウィルスとも呼ばれるもの*2。暴露系ウィルスとしては最も大きな影響をもたらしたものかもしれない。多数の亜種があるが、基本的には感染したユーザのPCの特定ディレクトリ内にあるファイルを、Winny/Shareネットワークに流す。漏洩した情報は、特定のファイル名で流通するため、検索することも可能。それを利用して漏洩情報を入手したユーザが、その詳細を広める、ファイルを別ネットワークに持ち出すことで二次的な拡散が生じている。また、そうした野次馬的に入手したユーザが、さらに感染してしまうという「ミイラ取りがミイラになる」ケースも少なくない。

MELLPONなど

山田ウイルス山田オルタナティブと呼ばれている。特に後者は脅威とされており、感染したPCをウェブサーバとし、特定ディレクトリ内にあるファイルをインターネット上に公開し、さらに2ちゃんねるなどの掲示板にリモートホスト情報などを書き込む*3。感染したPC同士がリンクしあい、発見されやすくもなっている。駆除しない限り、PCを起動し、インターネットに接続する間、自身のファイルが公開され続けてしまう。

掲示板へのリモートホスト情報の自動書き込みは、管理人が対応することで防ぐことはできるだろうが、ファイルの公開は、感染者自身が対処しなければならない。感染状態のユーザを探しだし、感染を伝えるユーザもいるが、その一方で悪意を持って感染PCを探すユーザもいる。

Upchanなど

苺キンタマとも呼ばれる。感染するとアップローダにPCのスクリーンショットをアップロードし、掲示板などにコンピュータの機種、ユーザ名、スクリーンショットfusianasan*4をした状態で書き込みを行う。アップローダや掲示板側が感染したことによるアップロード/投稿をブロックすることで、ネガティブな影響を最小限のものとすることはできる。

おおざっぱに分けると…

ファイルの削除/変換、ファイル共有ネットワーク上への情報漏洩、感染PCをウェブサーバとした情報漏洩、スクリーンショットの公開という感じだろうか。キンタマウィルスや山田ウィルスでは、個人がPC内に保存しているファイルそのものが公開され、タコイカウィルスや苺キンタマでは、PC内に保存しているファイルそのものは公開されないが、スクリーンショットやユーザ情報などが誰かに伝わる/公開されることになる。

株式会社ロマンシングの件は…

今回の株式会社ロマンシングのケースでは、ユーザのPC内にあるファイルそのものが流出するということはないのだろうが、ユーザの属性やスクリーンショットを含む行動履歴などが公開され、プライバシーが侵害されることになる。ファイル自体が公開されるわけではないため、それに比べれば幾分ましな部分もあるが、情報の組み合わせによっては大きな脅威となり得る。

感染の仕方

多くの場合、実行ファイルを実行することで感染する。.exeファイルだけではなく、.scrファイル(スクリーンセーバー)や.batファイル(バッチファイル)などで不正なプログラムを実行させようとするケースも少なくない。また、.exeや.scr、.batなどの拡張子を隠すため、「***.mp4             .exe」のように長いスペースが加えられているものや、アイコンをデフォルトのフォルダアイコンにすることで、間違ってクリックさせるように偽装されているものもある。

また、ISO形式のファイルなどでは、仮想ドライブにマウントした際のオートランを利用するものもあるし、IEメディアプレーヤーを含む各種ソフトウェアの脆弱性を狙うものもある。

ファイル共有ユーザを狙ったウィルスといっても、必ずしもファイル共有ネットワーク経由で感染するとは限らないし、WinnyやShareなどを利用していなければ全く問題なし、と言いきれるものではない。ファイル共有ネットワーク経由以外でも感染する可能性はあるし、ファイル共有ネットワークに接続していなくとも、Antinny系以外のウィルスでは情報漏洩の被害に遭うことになる。

対策は…

大概のものは言い尽くされているので、簡潔に言ってしまうと、セキュリティソフトを導入+定期的に更新する、Windowsアップデートも定期的に行なう、拡張子を表示する、実行ファイルをおいそれと実行しない、ファイルアイコンはデフォルトのものから変える、または、エクスプローラで詳細表示+ファイルタイプを表示する、センシティブなデータを扱うときはできるだけローカルのPCを使う、何でもかんでも1台のPCでやらない、など。

やはり、出所の信頼できないファイルは入手しない、使用しない、に尽きるのではないかなと。100%信頼できるソースなんてのはないのだろうけれど、信頼性の高さを常に査定するよう心がけることが必要だと思う。あるソフトウェアを使用したい、と考えるなら、複数のソースに当たって、そのソフトウェアがどういった評価を受けているか、それぞれのソースは信頼できるのかどうか*5、といった点を考慮したりとかね。そういう意味で、WinnyやShareでダウンロードしたファイルがどれほど危険かはおわかりいただけると思う。

まぁ、信頼性を査定できないルートは使わないのが一番。私もこの騒動を追いかけてはきたけど、Winny/Shareで入手してみようとは思わなかったし、検体として出回っているファイルをダウンロードしてもいない。ある程度知識を持ってはいるが、それでも怖いものは怖い。この手のウィルス騒ぎに便乗して、別のウィルスをばらまく人もでてくる可能性もあるし*6、それに対してはこれまでの防衛手段で防げるとも限らないから。

*1:シャレタマ

*2:最初期のAntinnyはキャッシュファイルを削除するなど、情報漏洩的要素はさほどなかった。2004年3月以降、ユーザの情報漏洩を狙ったAntinny、いわゆるキンタマウィルスが流行を始めた。

*3:亜種も多く、必ずしもこうした動作をするわけではない。

*4:リモートホストの公開

*5:URLが同一であるかどうか、つまりダウンロードされるファイルは同じであるかとかも含めて

*6:実際、今回の騒動でもそれは起こった。ロマンシングのウィルスを防ぐanti-romancingだとしてアップローダにあるプログラムが公開されたが、Windowsのプロダクトキーを2ちゃんねるに書き込むマルウェアだった。