※本ブログは、McAfee Labs東京 主任研究員 本城 信輔によるものです。
遠隔操作による不正な行為が発覚し、それがバックドア型のトロイの木馬であったことは、すでに報道によりご存知だと思います。マカフィーでは、これらのバックドアをDAT 6861 (米国時間2012/10/10リリース)でBackDoor-FITと検知します。その後、いくつか亜種が見つかっていますが、それらも同様にBackDoor-FITとして検知されます。
なお、バックドア型のマルウェアは、マルウェアの中でももっとも種類の多いタイプであるといっても過言ではありません。亜種の数が多いものだけをあげても、GrayPigeon、Haxdoor、や、標的型攻撃に使われるPoisonIvyなどは非常に多く存在しています。こういった亜種の多いファミリー以外にも、マイナーなバックドア型が無数に存在しているわけです。純粋なトロイの木馬だけでも非常に多いわけですが、感染機能をもったものも含めると、バックドアの機能をもつマルウェアは膨大な数になるでしょう。
今回話題になった種類は、.NETで書かれており、またコーディングからは日本語の習得者によるものと思われる特徴が見られました。例えば南米や東南アジアなど、マルウェアの作成者の言語が特定できる例は珍しくありませんが、日本語は過去に数件見られた程度であり、極めて珍しいケースと言えるでしょう。今後、今回出てきたタイプのバックドアの亜種がたくさん作成されて活発になっていくのか、あるいは、これで収束するのかは、注視していかなくてはなりません。マカフィーでは、すでにそれに備え、より一般的な検知であるBackDoor-FIT.genを準備しています。
バックドアは非常に危険なマルウェアです。今回のケースからも明らかなように、一度、感染してしまえば、どんな被害に遭ってもおかしくないのです。今回は、攻撃者が自分の存在を誇示しているような傾向が見て取れますが、多くの場合は、被害者が感染に気付くような行動をとることはありません。可能な限り感染を秘匿した方が攻撃者の利益になるのは、言うまでもないでしょう。
話題になっているとはいえ、このバックドアだけに注目するのは、あまり賢明とはいえないでしょう。多くのユーザーにとってみれば、今後、感染するのは、これ以外のバックドア型やその他のマルウェアである可能性の方が高いかもしれません。遠隔操作の機能をもつマルウェアが非常に多いことを念頭に置き、ぜひ対策を講じていただければと思います。