Internet Watch logo
記事検索
バックナンバー
第4回:情報漏洩マルウェアから身を守る方法
[2007/12/26]
第3回マルウェアを実行させるための偽装工作
[2007/12/19]
第2回:WinnyやShareが狙われた理由
[2007/12/12]
第1回:かろうじて「イタズラ」で済んだキンタマ系ウイルス
[2007/12/05]
Winny流出の傾向と対策
第1回:かろうじて「イタズラ」で済んだキンタマ系ウイルス

そもそも「コンピュータウイルス」とは

現在でも「キンタマ系ウイルス」もその放流データもWinny上に残っている。脅威はいまだに去っていないといえるだろう

 筆者にとって、すでに終結した事象と思っていた「Winnyによる情報漏洩」が最近また相次いで「発覚」している。そこでもう一度、Winny系のウイルス、特に「キンタマ系」と呼ばれるものについて、4回に分けて考えてみたい。

 そもそも「コンピュータウイルス」はアイディアの産物といえる。他のプログラムに寄生することで利用者が意図せずにPC内へと取り込まれ、実行によってPC内の別のプログラムにも寄生するという、古典的なコンピュータウイルスはある意味画期的なアイディアだったと筆者は思っている。

 コンピュータウイルスはその後、プログラムだけでなくマクロでも作成可能ということをExcelウイルスで実証し、従来Windowsマシンではありえないと思われていたワーム(ネットワーク越しに感染する)が可能なこともNimdaやSasserで実証した。純然たるコンピュータウイルスはすでに死滅していると思われているが、もしかするとまた新たなアイディアで復活する日が来るかもしれない。

 現在、この手のプログラムはマルウェアという名で総称されている。マルウェアはPCやユーザーを騙してHDD内にダウンロードさせ、実行させるかに関して日夜考えられていると言っても過言ではない。

 今はソーシャルエンジニアリングのテクニックで利用者に実行させることで常駐させ、ネットワーク越しに本体を取得するトロイの木馬によるダウンローダーが主流となっている。Winny系マルウェアの場合もトロイの木馬が多く、いかにユーザーに実行させるかが焦点になっている。



プログラミングの敷居が低いWinny系マルウェア

 Winny系マルウェアは、P2Pを使うことによりユーザーが自ら望んで入手した圧縮ファイルの中に潜り込んでいる。プログラムの中に仕込まれている古典的プログラムウイルスとは異なるが、紛れ込むという観点で見ると似た様な側面を持っている。Winny系マルウェアは、実行によって他の圧縮ファイルの中にマルウェアをコピーして紛れ込ませて、他のPCへとWinnyを通じて侵入させようとしている。

 ネットワークウイルスはOSの脆弱性をターゲットにしており、作成が難しい側面もあったが、「Winny系マルウェア」はP2Pという「ネットワークでのファイルのやり取り」をベースに活動するため、プログラミングの敷居が非常に低い。単なるイタズラプログラムを簡単な言語で作成することができるといえるだろう。また、一度ダウンロードしたファイルはキャッシュの形で保存されており、Winnyネットワーク上に生き残りやすい。感染者の再放流によって生き残りの可能性はさらに高まる。

 現在、コンピュータウイルスは、マルウェアや場合によってはクライム(犯罪)ウェアと呼ばれる。これは単なるイタズラや自己顕示のためのコンピューターウイルスが、重要情報を意図的に盗み出す犯罪・営利目的になったと言われている。これに対して、Winnyにおける「キンタマ系ウイルス」は、エスカレートしたものの金銭詐取が目的ではなく、イタズラの範疇にとどまっているというのが筆者の見解だ。



「キンタマ系ウイルス」とは

 ここで「キンタマ系ウイルス」という用語について説明しておこう。Winny上で自らのデスクトップ画面を公開した人がいて、検索のためのファイル名のキーワードとして「キンタマ」と付けたと言われている。Winnyではキーワードでファイル名を絞り込んで取得できるため、この手のオモシロ画像を自動取得することが可能だ。

 このデスクトップ画面を実行者の意図とは別にWinnyに放流するため、キンタマ系ウイルスという名が付いた。ただし、イタズラはどんどんエスカレートする傾向にあり、例えば「仁義なきキンタマ」では過去に「放流」した情報には以下のようなものがある。また、キンタマ系ゆえにスクリーンショット画面もWinny上に放流する。

 ・Internet ExplorerのCookie
 ・Outlook Expressのメール送受信履歴
 ・ExcelやWordのファイル
 ・Winnyでの検索履歴
 ・WinMX共有ファイル名
 ・tab1.txt
 ・tab2.txt

 つまり、当初のキンタマ(≒デスクトップ画面)から派生して、PC内のデータの放流まで行なうようになったため、PC内の重要データ(とりわけOffice系アプリのデータと画像ファイル)が世に出回るという状況になったわけだ。



Winnyを「魔法のプログラム」と勘違いしてしまったユーザーには不幸も

実際のデスクトップ放流例。たとえばこのような画面が放流されても実害はまったくない

 「P2Pをよくわかっている」人ならば、仮に仁義なきキンタマに感染しデータが放流されても「イヤだなぁ」程度で済む。WinnyのTab1/2(これはよく使う検索データ)や共有ファイル名はWinnyにおける趣味志向を色濃く反映するだけで、個人は特定されないからだ。WinnyやShare等のP2Pを専用マシンで実行すれば、仮にそのマシンから情報流出があったとしても、それは元々P2P上にある「誰でも入手できる」ものだ。

 しかし、WinnyやShareを単に「望むファイルが手に入る魔法のプログラム」と思ってしまったライトユーザーの場合は違う。彼らは家庭に唯一あるPCでP2Pプログラムを実行し、P2Pのみならずメールや仕事のデータもそのPC内に置いてしまった(そして場合によってはそれらのファイルの存在を忘れている)。そうした不幸な人と、それらの放流データの存在に気づく人がいたことによって、問題が大きくなると言えるだろう。

 実際に見るとわかるが、「仁義なきキンタマ」で放流されたファイルの大多数は面白くなく、ニュースバリューもない。ごく一部が(掲示板等で)話題となり、さらにそのうちのいくつかが一般記事になると言ってもよい。

 たとえば、筆者は「仁義なきキンタマ」の記事を作成するに当たり、Winny上に放流されたファイルを数日間取得しており、数百のZIPファイル、2万以上のデスクトップ画面が入手できた。では「Winnyによる個人情報流出報道」が数百もあったかというと、そのようなことはない。

 キンタマ系ウイルスがよいとか無害であるとは言わないが、これを犯罪に使うにしてはあまりにも手間がかかりすぎる。重要情報の取得が主目的ならば、Winnyを使わず、どこか適当なサーバーにアップロードさせる方が確実に情報が取得できるので、情報入手目的としてWinnyに放流するのは非効率だ(一方、誰が取得したかわかりにくくなるというメリットもある)。クライムウェアと言うには手際が悪く、よほどの暇人(か組織的な犯行)でない限り、多数流れてきた暴露データを解析してチェックするのは困難だ。

 表ざたになるのは、よほど個人的にまずい内容(例えば「援助交際」の証拠となる画像・動画)や社会的にまずい内容(会社が管理しているはずの個人情報や機密情報)が含まれている場合のみといえる。報道されたのは文字通り「氷山の一角」にすぎないのだ。

 次週、第2回はWinnyやShareが狙われた背景について考察する。

2005年6月に記事作成のために4日間「キンタマ zip」をキーワードに採取した結果、200以上のZIPが放流されていたことを確認した。この時点で「仁義なきキンタマ」の亜種も登場している 同じく記事作成のために半月「仁義なきキンタマ jpg」をキーワードに採取した結果、26,000以上のデスクトップが採取できた。「Owner」はあるメーカー製マシンの標準ユーザー名だ


(2007/12/05)


小林哲雄(こばやし てつお)
中学合格で気を許して「マイコン」にのめりこんだのが人生の機転となり早ン十年のパソコン専業ライター。主にハードウェア全般が守備範囲だが、インターネットもWindows 3.1と黎明期から使っており、最近は「身近なセキュリティ」をテーマのひとつとしている。

- ページの先頭へ-