コンフィッカー【Conficker】
ダウンアド
【英】DOWNAD
ダウンアドとは、2008年11月に登場し、感染拡大などによる脅威をもたらしたコンピュータワーム、およびその亜種の通称である。コンフィッカー(Conficker)などとも呼ばれる。
セキュリティ関連企業であるトレンドマイクロの報告によれば、ダウンアドのプログラムコードはインターネット上で公開されており、目的に合わせて改変され、亜種が続々と登場している。2008年11月の登場当初、ダウンアドは、Windowsの脆弱性「MS08-067」を狙って感染拡大を行うワームだった。2008年末には、LAN内で辞書攻撃を行い、パスワードを突破して感染しようとする亜種や、USBメモリなどのリムーバブルメディアを経由して感染活動を行う亜種(USBワーム)が登場した。2009年4月には偽のセキュリティソフトをダウンロードするタイプの亜種が発見されている。また、感染拡大だけでなく、金銭詐取を目的とした亜種も発見されている。
2009年1月には、警視庁のオンラインシステムに接続しているパソコンがダウンアドに感染し、一時的に業務が停止するという被害も報告された。2010年1月時点でも依然として世界数百万台のPCが感染していると報告されている。
参照リンク
WORM_DOWNAD駆除ツール 使用方法 - (トレンドマイクロ)
系譜から探る深刻度が増した「WORM_DOWNAD」 - (トレンドマイクロセキュリティブログ 2009年1月)
Where in the World Is DOWNAD/Conficker? - (米トレンドマイクロ、英語 2010年1月)
Conficker
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2021/01/22 14:32 UTC 版)
ナビゲーションに移動 検索に移動正式名称 | Conficker |
---|---|
別名 | |
区分 | 不明 |
類型 | コンピューターワーム |
亜類型 | コンピューターウイルス |
Conficker(別名DownupあるいはDownadup、Kido)は2008年11月に初めて検出されたMicrosoft Windows オペレーティングシステムを標的とするコンピューターワームである[1]。Confickerは感染すると、Windowsソフトウェアの欠陥を利用して管理者のパスワードを辞書攻撃し、ウイルス製作者が命令できるネットワーク上のコンピューターと接続する。Confickerの感染は急速に拡大し現在200ヶ国以上で700万を超える数の政府、企業、家庭のコンピューターがその制御下にあり、2003年のSQL Slammer以来最も規模が大きいと考えられている[2]。また、Confickerはありとあらゆる高度なマルウェア技術を使用しているため対策が非常に難しいものとなっている[3]。
歴史
名称
Confickerという名称の由来は英語の"configure"とドイツ語の"ficker"の混成語だと考えられている[4][5]。一方、Microsoftのアナリストはドメイン名trafficconverter.bizの一部を並べ替えたものだと説明している[6]。このドメインはConfickerの初期のバージョンで更新をダウンロードするのに使われた。
発見
Confickerの最初の亜種は2008年11月初めに発見され、インターネットを通じてネットワークサービスの脆弱性を突くことで広がった。この脆弱性はWindows 2000とWindows XP、Windows Vista、Windows Server 2003、Windows Server 2008、Windows Server 2008 R2 Betaに存在した[7]。Windows 7もこの脆弱性の影響を受けたかもしれないが、Windows 7 Betaは2009年1月まで公開されなかった。マイクロソフトはその脆弱性を塞ぐ緊急不定期パッチを2008年10月23日に公開したが[8]、 多数のWindows PC(30%だと見積もられている)は2009年1月になってもこのパッチを適用していなかった[9]。 2つめの亜種は2008年12月に発見され、これはリムーバブルメディアとネットワークファイル共有を通じて感染する機能が追加されたものだった[10]。 研究者はこの機能が感染が急速に拡大する決定的な要因になったと見ており、2009年1月までに900万[11][12][13]から1500万[14]台のPCがこれによって感染したと見積もられている。 アンチウイルスソフトベンダーであるPanda Securityの報告では、200万台のコンピューターがActiveScanにより解析され約115,000台(6%)がConfickerに感染していると診断された。[15]。
現在どの程度の数のコンピューターが感染しているかを見積もるのは困難である。何故なら、最近の亜種では拡散と更新の方法が変更されたからである[16]。
動作
Confickerが使用したほとんどの高度なマルウェア技術は過去に使われたか研究者によく知られたものであった。しかし、Confickerは沢山のそれらの技術を組み合わせることで駆除を極度に困難にした[17]。 また、ワーム製作者はネットワーク管理者と司法当局によるマルウェア対策を観測し、ワームが抱える欠陥の対策を施した新しい亜種を配布していると考えられている[18][19]。
Confickerは5種類の亜種が知られ、Conficker A、B、C、D、Eと呼ばれている。これらが発見されたのは2008年11月21日、2008年12月29日、2009年2月20日、2009年3月4日、2009年4月7日である[20][21]。
亜種名 | 検出日 | 感染経路 | 更新の取得方法 | 自衛手段 | 動作目的 |
---|---|---|---|---|---|
Conficker A | 2008-11-21 |
|
|
なし |
|
Conficker B | 2008-12-29 |
|
| ||
Conficker C | 2009-02-20 |
|
| ||
Conficker D | 2009-03-04 | なし |
| ||
Conficker E | 2009-04-07 |
|
|
|
対応
2009年2月12日、MicrosoftはConfickerの影響に対応するためのIT業界団体を立ち上げたことを発表した。団体に参加した組織はマイクロソフトとAfilias、ICANN、Neustar、ベリサイン、China Internet Network Information Center、Public Internet Registry、Global Domains International、Inc.、M1D Global、AOL、シマンテック、F-Secure、ISC、ジョージア工科大学の研究者ら、The Shadowserver Foundation、Arbor Networks、Support Intelligenceなどである。[18][35]
脚注
- ^ Protect yourself from the Conficker computer worm, マイクロソフト, (2009-04-09) 2009年4月28日閲覧。
- ^ Markoff, John (2009年1月22日). “Worm Infects Millions of Computers Worldwide”. New York Times 2009年4月23日閲覧。
- ^ “Defying Experts, Rogue Computer Code Still Lurks”. New York Times (2009年8月26日). 2009年8月27日閲覧。
- ^ Grigonis, Richard (2009-02-13), Microsoft's US$5 million Reward for the Conficker Worm Creators, IP Communications 2009年4月1日閲覧。
- ^ Ficker in dict.cc English-German Dictionary;
^ Ficker in bab.la/ German-English Dictionary;
^ Ficker in pons German-English Dictionary. - ^ Phillips, Joshua, Malware Protection Center - Entry: Worm:Win32/Conficker.A, マイクロソフト 2009年4月1日閲覧。
- ^ Leffall, Jabulani (2009年1月15日). “Conficker worm still wreaking havoc on Windows systems”. Government Computer News. 2009年3月29日閲覧。
- ^ Microsoft Security Bulletin MS08-067 – Critical; Vulnerability in Server Service Could Allow Remote Code Execution (958644), Microsoft Corporation 2009年4月15日閲覧。
- ^ Leyden, John (2009-01-19), Three in 10 Windows PCs still vulnerable to Conficker exploit, The Register 2009年1月20日閲覧。
- ^ a b c Nahorney, Ben; Park, John (2009-03-13), “Propagation by AutoPlay”, The Downadup Codex, Symantec, pp. 32 2009年4月1日閲覧。
- ^ “Clock ticking on worm attack code”. BBC News Online (BBC). (2009年1月20日) 2009年1月16日閲覧。
- ^ Sullivan, Sean (2009年1月16日). “Preemptive Blocklist and More Downadup Numbers”. F-Secure. 2009年1月16日閲覧。
- ^ Neild, Barry (2009-01-16), Downadup Worm exposes millions of PCs to hijack, CNN 2009年1月18日閲覧。
- ^ Virus strikes 15 million PCs, UPI, (2009-01-26) 2009年3月25日閲覧。
- ^ “Six percent of computers scanned by Panda Security are infected by the Conficker worm”. Panda Security (2009年1月21日). 2009年1月21日閲覧。
- ^ McMillan, Robert (2009-04-15), “Experts bicker over Conficker numbers”, Techworld (IDG) 2009年4月23日閲覧。
- ^ Nahorney, Ben; Park, John (2009-03-13), “Propagation by AutoPlay”, The Downadup Codex, Symantec, pp. 2 2009年4月1日閲覧。
- ^ a b Markoff, John (2009-03-19), Computer Experts Unite to Hunt Worm, New York Times 2009年3月29日閲覧。
- ^ a b c d Porras, Phillip; Saidi, Hassen; Yegneswaran, Vinod (2009-03-19), An Analysis of Conficker, SRI International 2009年3月29日閲覧。
- ^ Tiu, Vincent (2009-03-27), Microsoft Malware Protection Center: Information about Worm:Win32/Conficker.D, マイクロソフト 2009年3月30日閲覧。
- ^ Macalintal, Ivan; Cepe, Joseph; Ferguson, Paul (2009-04-07), DOWNAD/Conficker Watch: New Variant in The Mix?, Trend Micro 2009年4月7日閲覧。
- ^ a b c d Park, John (2009-03-27), W32.Downadup.C Pseudo-Random Domain Name Generation, Symantec 2009年4月1日閲覧。
- ^ a b c d Nahorney, Ben (2009年4月21日). “Connecting The Dots: Downadup/Conficker Variants”. Symantec. 2009年4月25日閲覧。
- ^ a b Chien, Eric (2009-02-18), Downadup: Locking Itself Out, Symantec 2009年4月3日閲覧。
- ^ a b Chien, Eric (2009-01-19), Downadup: Peer-to-Peer Payload Distribution, Symantec 2009年4月1日閲覧。
- ^ a b Leder, Felix; Werner, Tillmann (2009-04-07), Know Your Enemy: Containing Conficker, HoneyNet Project 2009年4月13日閲覧。
- ^ a b W32.Downadup.C Bolsters P2P, Symantec, (2009-03-20) 2009年4月1日閲覧。
- ^ a b c Leung, Ka Chun; Kiernan, Sean (2009-04-06), W32.Downadup.C Technical Details 2009年4月10日閲覧。
- ^ Porras, Phillip; Saidi, Hassen; Yegneswaran, Vinod (2009-03-19), An Analysis of Conficker C (draft), SRI International 2009年3月29日閲覧。
- ^ a b Fitzgerald, Patrick (2009-04-09), W32.Downadup.E—Back to Basics, Symantec 2009年4月10日閲覧。
- ^ Putnam, Aaron, Virus Encyclopedia: Worm:Win32/Conficker.E, マイクロソフト 2009年4月18日閲覧。
- ^ Nahorney, Ben; Park, John (2009-04-21), “Connecting The Dots: Downadup/Conficker Variants”, The Downadup Codex (2.0 ed.), Symantec, pp. 47 2009年6月19日閲覧。
- ^ Keizer, Gregg (2009-04-09), Conficker cashes in, installs spam bots and scareware, Computerworld 2009年4月10日閲覧。
- ^ Leung, Kachun; Liu, Yana; Kiernan, Sean (2009-04-10), W32.Downadup.E Technical Details, Symantec 2009年4月10日閲覧。
- ^ O'Donnell, Adam (2009-02-12), Microsoft announces industry alliance, $250k reward to combat Conficker, ZDNet 2009年4月1日閲覧。
外部リンク
- Conficker Working Group
- Conficker Eye Chart
- Conficker Worm: Help Protect Windows from Conficker (Microsoft)
- The inside story of the Conficker worm (Subscription Required for full article)
- Whatever happened to the Conficker worm? - CNN
- Symantec Conficker Removal Tool
- An Analysis of Conficker's Logic and Rendezvous Points
|
- Confickerのページへのリンク