犯行予告に使われたマルウェア、国内メディアは「遠隔操作ウイルス」と命名

先週末、犯行予告を掲示板に投稿したり電子メールで送信したとして過去数カ月で 3 人が逮捕されていたというニュースが、日本中を賑わせました。さらに、報道によると、この犯行予告に使われたとされるコンピュータはいずれも特定のマルウェアに感染していたことが判明したため、容疑者はその後全員が釈放されたというのです。今回のマルウェアの中には、大量殺人を行うという予告を Web サイトに投稿したケース、爆破予告をインターネット上のフォーラムに書き込んだケース、爆弾を仕掛けるという脅迫メールを送信したケースなどがありました。犯行予告とマルウェアの関係については現在、警察当局が捜査に当たっています。

シマンテックでは、平素より企業や団体、個人のお客様より検体をご提供いただくとともに、インターネット上等で情報収集することで脅威を特定し、それを解析しています。シマンテックが入手した検体の解析で、このマルウェアは侵入先のコンピュータを遠隔操作する機能を持っていることが確認されました。それ自体はマルウェアの世界で目新しいものではありませんが、特定された各種の機能から、作成者はマルウェアに命令して上記のような犯行予告を作成できることがわかりました。また、作成者との暗号化通信の処理に使われる文字列が日本語で書かれており、コードは日本語の Web サイトから取られていることも判明しました。以上のことから、作成者は日本語に精通した人物である可能性が高いとシマンテックは考えています。

図 1. コード中に見つかった日本語

シマンテックはこれまでに、このマルウェアの 2 つのバージョンを入手しており、それぞれのバージョン番号は以下のとおりです。

図 2. これまでに確認された亜種のバージョン番号

番号が連続していないため、まだ確認されていない別のバージョンが存在する可能性もあります。

シマンテック製品をお使いのお客様は、Insight と呼ばれるレピュテーション技術によってこのマルウェアから保護されていますのでご安心ください。シマンテックはこのファイルをプロアクティブに Suspicious.Insight として検出するほか、Backdoor.Rabasheeta という検出定義も提供していますので、シマンテック製品をお使いであれば、この脅威を検出することができます。その他の類似の亜種に対しても、この検出定義により保護されます。

現時点で感染はごく限定的であり、大部分のユーザーはこのマルウェアに影響されることはないはずですが、今回の脅威に関連して直接的、間接的に確認されているのは iesys.exe というファイル名だけであり、他の名前のファイルが存在する可能性も否定できません。お使いのコンピュータがこの脅威に感染しているかどうかを確認したい場合は、iesys.exe というファイルを検索するとともに、最新の定義ファイルをダウンロードしてからコンピュータのスキャンを実行してください。

この種の脅威から身を守るためにも、不明なソースからソフトウェアをダウンロードする際には十分な注意が必要です。また、オペレーティングシステムと、コンピュータにインストールされている各ソフトウェアが最新版かどうかを確認しておくこともお勧めします。最後に、これがいちばん肝心なことですが、電子メール中の疑わしいリンクや添付ファイル、Web サイト上の不審なリンクはクリックしないようにしてください。

このマルウェアに関する詳しい技術情報については、こちらの記事を参照してください。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。