更新日:2008年12月10日
P2Pファイル交換ソフト環境では、情報漏えいにつながるウイルスや著作権上不適切なファイルなどのコンテンツが多数流通しているといわれています。 今回、2008年初めに実施したP2Pファイル交換ソフト環境のコンテンツ流通実態調査(*)の中から、マルウェアの流通について紹介したいと思います。
クローリング調査をもとに専用ツールによりダウンロードを実施し、マルウェアチェック、著作物チェックを行いました(図 1)。
既知マルウェアチェックでは、TRENDMICRO社製ウイルス対策ソフトを用いてマルウェアの混入有無判定を行いました。また、著作物チェックでは、社団法人コンピュータソフトウェア著作権協会に協力を依頼し、会員社の許諾を得てダウンロードを行いました。
図1 調査の流れ
2回行ったそれぞれの調査の結果は次の通りです。
2回の調査で、ダウンロードファイルのうち、マルウェアが検出されたファイルは、約5%にのぼります。だいたい20個のファイルをダウンロードするとそのうちの1つにはマルウェアが含まれていることになります。さらに、流通量が多いアーカイブファイル(zip、lzh、rar)に限ると19%にマルウェアが含まれており、実にアーカイブファイル(zip、lzh、rar)のだいたい5個に1つはマルウェアが含まれていることになります。
図2 アイコン偽装の内訳
マルウェアが含まれるファイルの約9割が、マルウェアを安全なコンテンツに見せかける「アイコン偽装」を行っていました。特に「フォルダ」に見せかける偽装が多く、フォルダを開こうとするとマルウェアが実行されるような巧妙なアイコン偽装が多くなっています(図2)。
図3 マルウェアを含むファイルの拡張子
マルウェアを含むファイルの拡張子は、zip、lzh、rarといったアーカイブファイルが9 割以上を占めます(図3)。マルウェアを含むアーカイブファイルを展開すると、フォルダに見せかけたマルウェアを含む複数のファイルが展開され、うっかり「フォルダ」に見せかけた「アイコン偽装」を開くと、マルウェアを実行してしまうことになります。
図4 既知マルウェアの内訳
既知マルウェアの7割が、情報漏えいを引き起こす「Antinny」とその亜種でした(図4)。このことから、Winnyの利用を通じた情報漏えいのリスクは非常に高いといえます。
図5 既知マルウェアとして
検出されなかった
ファイル(exeファイル)の内訳
既知マルウェアとして検出されなかったファイル(exeファイル)の多くは、クラッキングやハッキングツールといわれているファイルが含まれていました(図5)。
調査結果から、最新の状態にあるウイルス対策ソフトの利用は、P2Pファイル交換ソフトを通じた情報漏えいの防止に一定の効果があるといえます。ただし、あくまでも今回のサンプル調査で情報漏えいにつながる新たなマルウェアが見つからなかったというだけですので、今後も新たなマルウェアによる被害を踏まえた対策が必要です。
Winnyでは、仮想キーと呼ばれる「他ノードが保持するファイルを自ノードが保持しているように記述する情報」が流れています。この情報に基づきファイルのダウンロードを行うと、Winnyノード間でファイルの中継動作が発生してしまう場合があり、結果として著作物やマルウェアの複製を助長してしまう可能性があります。
本調査では,クローリング調査により、実ファイル保持可能性が高いファイル所在情報を抽出した後、専用ツールでダウンロードする調査方法を採用することで、ファイルの中継動作を発生しないような運用方式で実施しました。
商品名称等に関する表示 TRENDMICROはトレンドマイクロ株式会社の登録商標です。本稿に記載されている会社名、製品名は、それぞれの会社の商標もしくは登録商標です。
本調査は、総務省から委託を受けた「ネットワークを通じた情報流出の検知及び漏出情報の自動流通停止のための技術開発」の成果の一部です。 また、株式会社エヌ・ティ・ティピー・シーコミュニケーションズ、株式会社クロスワープ、社団法人コンピュータソフトウェア著作権協会、トレンドマイクロ株式会社、株式会社フォティーンフォティ技術研究所の協力により実施しました。
担当:寺田/システム開発研究所、水野/セキュリティソリューション本部、大西/HIRT
グローバルサイン:
重要な電子文書にデジタル署名。広報にも役立っています