インターネットを通じて犯罪予告を行ったとして大阪と三重の男性が逮捕されたが、彼らのパソコンからパソコンを乗っ取るウイルスやその痕跡が見つかり、釈放された。このウイルスの詳細が判明し、セキュリティ対策企業のトレンドマイクロとシマンテックが10日、情報を公開した。
トレンドマイクロはこのウイルスを「BKDR_SYSIE.A」と命名し、シマンテックは同じウイルスを「Backdoor.Rabasheeta」と呼んでいる。このウイルスに感染するおそれがあるのは、トレンドマイクロはWindows 2000/XP、Windows Server 2003とし、シマンテックはWindows NT/95/98/2000/Me/Vista/7、Windows Server 2003/2008としている。
■ウイルスの動作と指令
パソコンがこのウイルスに感染すると、バックドア(攻撃者が侵入するための裏口)が作成され、攻撃者が遠隔から操作できる状態となる。このウイルスは、ファイルのダウンロードとアップロード、ファイルの実行、キー入力とマウス操作の記録、ウイルス自身のアップデート、自身の削除、隠しブラウザで特定のURLを操作し開く、デスクトップや隠しブラウザのスクリーンショットを取得するなどの機能を備えている。これらの動作をさせるための指令は、攻撃者が指定したネット掲示板を通じて送られるようになっていた。
■感染経路は?
報道によると、三重の男性のパソコンからこのウイルスが見つかり、大阪の男性のパソコンには同じウイルスの痕跡があった。また、脅迫メールを送ったとして逮捕された福岡の男性のパソコンにもこのウイルスが起動した跡が見つかり、この男性も釈放されている。
大阪と三重の男性は、犯罪予告が行われる前にそれぞれ別の無料ソフトをダウンロードしており、これらがウイルスそのものだったか、ウイルスを潜り込ませたソフトだったとみられる。大阪の男性は、ネット掲示板(ウイルスが指令を送るために使っていたのとは別の掲示板)でソフトを紹介する書き込みを見て、記載されていたリンクからダウンロードを行っていた。
■犯罪に巻き込まれないための自衛策
・感染を防ぐ基本対策
ウイルス感染を防ぐためには、安易にソフトをダウンロードしないこと、セキュリティソフトを最新の状態にして使うこと、ソフトやOSのアップデートを怠らないことが大切だ。ソフトやOSをアップデートしていない場合、ホームページを見ただけでウイルスに感染してしまうこともある。
・無線LANやネット接続機器のセキュリティ
犯罪予告の書き込みについては、IPアドレスを端緒に捜査が行われる。IPアドレスはインターネット上の住所にあたるもので、これにより、どこから(どの機器から)書き込みが行われたかを特定することができる。ただ、誰が実際に書き込みを行ったかまではわからない。今回のように、攻撃者がウイルスを使って遠隔操作で書き込みをするかもしれない。誰かがあなたの無線LANを乗っ取って(あなたのIPアドレスを乗っ取って)書き込みをするかもしれない。あなたが目を離していた間にそばにいた人が機器を無断使用する可能性や、あなたが紛失した機器を拾った人が勝手に使う可能性もある。そうした場合でも、機器の持ち主であるあなたは取り調べを受けることになる。
自分自身を守るために、ウイルス対策はもちろんだが、無線LANの設定を適切に行う、機器にパスワードをかけるといった対策も実行しておこう。下記のトピックスを役立てていただきたい。
(2012/10/11 ネットセキュリティニュース)
【関連URL】
・BKDR_SYSIE.A(トレンドマイクロ)
http://about-threats.trendmicro.com/malware.aspx?language=jp&name=BKDR_SYSIE.A
・Backdoor.Rabasheeta[英文](シマンテック)
http://www.symantec.com/security_response/writeup.jsp?docid=2012-101004-0445-99
・遠隔操作により犯罪予告を行うバックドア型不正プログラム「BKDR_SYSIE.A」(トレンドマイクロ セキュリティブログ)
http://blog.trendmicro.co.jp/archives/6098