Tomo’s HotLine

Winny経由によるウィルス感染及びそれによる情報アップロード＋暴露等による被害が紙面をにぎわしているが、今後はウィルスが進化し悪質化することが考えられる。

Ｗｉｎｎｙ関連ウィルス（いわゆるAntinny)は大きく感染被害例で分けると
-Winnyネットワークに情報を勝手にアップロードする
-ＰＣがＨＴＴＰサーバのように振る舞い、ＰＣ内容が閲覧できる状態になる
-特定の組織にメールを送信する
-ウィルス作者によって指定されたサイトへのDDoS攻撃
etc..

が挙げられる。

ところで、今後もWinnyのネットワークを利用したＡｎｔｉｎｎｙは出現する事が考えられる。そのひとつが「トロイの木馬」型ウィルスだ。（トロイの木馬をウィルスと書くのは微妙だが、とりあえずこのように表記しよう。）

トロイの木馬は、ウィルス感染した端末に対して他人が勝手にアクセス、作動させることができるウィルスだ。この手のウィルスはＤｏＳ攻撃、DDoS攻撃によく利用されるほか、踏み台にするために利用する事もある。

トロイの木馬に感染したＰＣはＩＲＣと呼ばれるプログラムを利用して操作することができる。このトロイの木馬にウィルスしたＰＣはあるネットワークを構築しており、botネットと呼ばれることがある。botを利用してウィルス作者、ある
いはそのウィルス技術を知っている人は感染ＰＣを好きなように利用する事ができるのだ。
なお、 botやbotネットについては下記の記事を参考にして欲しい。
http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20041215/153889/
http://www.microsoft.com/japan/technet/security/secnews/articles/column0411bot.mspx

さて、ここでＷｉｎｎｙとトロイの木馬の関連が出てくる。通常のbotネットはチャットで利用されるIRCを利用して形成するが、Antinnyでのトロイの木馬はＷｉｎｎｙをbotネットとして使う事が考えられる。既に同様の指摘がされている。
http://d.hatena.ne.jp/winny/20060316

例えばＷｉｎｎｙをbotネットとして使う場合、感染ノードをプロキシとして使うようにすれば、誰から操作されてい
るかさっぱりわからなくなることができる。

もう少し見方を変えるとＷｉｎｎｙのキャッシュ機能を使うと更に匿名性を確保しつつ感染ＰＣを操作することができる。その方法はWinnyに流通しているkeyやファイルを利用して感染ＰＣを操作する方法だ。kyeあるいはファイルに特定の命令を埋め込む事ができる。この操作方法は特定のＰＣに対する操作や即時性が求められる操作は難しいが、継続的に広範囲に不特定多数に行う操作は可能だろう。既に前文でわかると思うが、その一つの
応用例がＤＤｏＳアタックだ。攻撃者があるファイルにDDoSアタックを行う命令を入れれば、感染ＰＣは継続的にあるターゲットに攻撃する。もちろん、攻撃者はＷｉｎｎｙの匿名性により特定できないということになる。

もちろん、今までもAntinnyによるDDoSは発生している。ただし、私が言っているのは、攻撃者の「命令」によって、任意のサイトをアタックできるDDoSアタックである。このようなDDoSはAntinnyでは今まで発生してない。
ちなみにAntinnyによる「特定」サイトのアタックについては下記を参考にして欲しい。
http://www.itmedia.co.jp/enterprise/articles/0412/03/news026.html?edr

このようなDDoSアタックで一番怖い攻撃は、実はＷｉｎｎｙならではの機能を使ったDDoSだ。それはＷｉｎｎｙのダウンロード機能を利用するものである。例えば、感染ＰＣが無差別にファイルのダウンロードすることによって、接続
ネットワークの帯域が大幅に消費される攻撃だ。すると、そのネットワークに繋がっているノード（ひいては国内全体のＰＣ）に影響を与える事になる。最悪、日本国内のＰＣがどのＷｅｂサーバにもつなげないという自体になるかもしれない。

このような懸念は既に私のＢｌｏｇで指摘していた。
http://toremoro.tea-nifty.com/tomos_hotline/2004/10/p2pp2pddos.html
そして、まさしくそのような懸念点が実現性を増した事になる。早急に技術面及び法整備面からAntinny対策をする必要がある。