P2Pのファイル共有ソフト「Winny」経由で感染を広げるワーム「Antinny」の被害が収まらない。Antinnyワームは、登場から数年がたっているにもかかわらず、いまだに多くのPCに感染しており、個人情報や機密情報の漏えいといった被害が続いている。Antinnyの被害はなぜ収まらないのだろうか。

Antinnyは、Winnyで配布されているファイルの中に潜み、それをダウンロードして実行したユーザーのPCに感染する。Winnyは、ユーザーが自由な検索語を入力、それに合致したファイルがダウンロード可能なファイルとしてリストアップされる仕組みで、Antinnyはそうしたファイルに偽装して感染を拡大している。問題となるのが、感染した場合、AntinnyはPC内のデータを破壊するといった"派手な"攻撃はせず、PC内のファイルを勝手に、しかもユーザー自身には気づかれないようにWinnyで配布しようとする点。多くの組織において個人情報の流出を招き、社会的にも大きな話題となった。

また、Antinnyの亜種のうちいくつかは、コンピュータソフトウェア著作権協会(ACCS)のWebサーバーにDoS攻撃を行うように設定されている。ISPなどで作る業界団体のTelecom-ISAC Japanによれば、2004年3月に攻撃が開始され、最大時には800Mbps近いトラフィックが集中したそうだ。この攻撃に対して、ACCSは通常の「www.accsjp.or.jp」の代わりに「www2.accsjp.or.jp」に移行し、Webサイトは通常通り閲覧できるようになったが、それ以降もコンテンツのない「www.accsjp.or.jp」に最大で1日4万件のアクセスが殺到していたという。

Telecom-ISACでは、ISPを通じて攻撃を行っているIPアドレス(感染PCのユーザー)に対してEメールによる連絡を試みたが、ほとんど返答はなかったらしい。さらに、トレンドマイクロの協力によりAntinny駆除ツールを配布。しかしそれも効果が薄く、Telecom-ISACはマイクロソフトに協力を要請した。

それを受けてマイクロソフトは、毎月更新をしている「悪意のあるソフトウェア駆除ツール」でAntinnyに対応した。ほとんど日本だけで流行しているウイルスに対応するのは、マイクロソフトにとってもきわめて異例の措置だったそうだ。「Antinnyは日本で社会問題化していて、ネットワークへの負荷だけの脅威ではなかった」(米Microsoft Anti-Malware Technology Team Architect and Group PMのJason Garms氏)。

10月に悪意のあるソフトウェア駆除ツールがAntinnyに対応したのとほぼ同時に、Antinnyの攻撃は一気に減少する。この駆除ツールにより、1カ月が経たない間に11万のPCから17万のAntinnyを駆除したという。1つのPCが平均1.8個のAntinnyに感染していたそうだ。

これにより、Antinnyによる「www.accsjp.or.jp」への攻撃トラフィックの50%以上が減少、攻撃元のIPアドレスも43%減となった。単純計算すると、残り6割のPCがAntinnyに感染し続け、その数は17万台に及ぶことになる。駆除したマシンも入れると、28万台のPCが今までAntinnyに感染したと推測された。

この対策に関しては、NHKをはじめとする報道機関、ISP、企業の危機管理部門を通して広く告知を行い、ユーザーが駆除ツールの存在を認識できるように注力。その結果、ツール配布後数日は、12秒に1回の割合でAntinnyが駆除されるほどだったそうだ。

「Antinnyの99%は日本語OS上で感染していた。非常に驚くべきことに、それにもかかわらず、世界で駆除されたウイルスで2番目に多い駆除数だった」(同)。最も駆除数が多かったのは、世界中で感染を拡大し数千の亜種がいると言われる「Rbot」で、ほぼ日本でのみ感染し25種類程度しか亜種がいないAntinnyが2番目の駆除数だったのだ。まさに「異常事態」(マイクロソフト セキュリティ・レスポンスチーム奥天陽司氏)だった。

このような異常事態が引き起こされたのはなぜか。奥天氏は「言葉は悪いが、Antinnyの目の付け所が良かった」と語る。Winnyは、たとえば特定の映画を探す場合、その映画名を検索語として検索、その映画をダウンロードできる。これはもちろん違法行為だが、自分が探していたファイルが見つかることで、多くの人がそれを実行してしまう。それにウイルスが含まれるため、感染しやすいわけだ。手法としてはソーシャルエンジニアリングの手法だが、日本語のソーシャルエンジニアリングは少なく、日本人がこういった攻撃に慣れていないことも被害を拡大した原因だと奥天氏は推測する。

Winnyを使うユーザーは、ウイルス対策ソフトやパーソナルファイアウォールソフトはオフにして使っているのではないか、とTelecom-ISAC企画調整部副部長の小山覚氏。Microsoft Updateなどで配布される悪意のあるソフトウェア駆除ツールでAntinnyを駆除したユーザーは、OSのアップデートをきちんとしながら、ウイルス対策ソフトを導入していない、もしくは適切にアップデートしていないユーザーといえる。まだ感染しているユーザーは、そもそもOSのアップデートすらしていないユーザーということになる。

悪意のあるソフトウェア駆除ツールは、あくまで感染したウイルスを削除するだけのツールだ。ウイルス対策ソフトを導入し、適切なアップデートをしていない限り、Antinnyに再び感染する危険性は残っている。また、駆除ツールがWindows 2000 / XP / Server 2003のみの対応であるため、それ以前のOSを使っているユーザーのマシンからはAntinnyを駆除できない。

「(推測する限り)27万台という、一つの街に匹敵する数が情報漏えいの危機にひんしている。これはとんでもない事態」(小山氏)。