Insider's Eye

かのMicrosoftに侵入したQaz.Trojanウイルスとは何者か?

―― 対岸の火事ではない、Microsoftの災難 ――

デジタルアドバンテージ 小川 誉久
2000/10/31

 2000年10月27日、Reutersを始めとするニュース・サービス各社は、米Microsoftのネットワークにハッカーが侵入し、Windows 2000やOfficeなど、同社の重要なソフトウェアのソースコードなどを不法に閲覧した可能性があるというニュースを一斉に報道した。これに2日遅れの10月29日、米Microsoftは、この事件に関する正式なニュース・リリースを公開した(米Microsoftのニュース・リリース[英文])。

 このリリースはごく短いもので、ハッカーによる不正なネットワークへの侵入は10月14日〜25日の12日間にわたって行われたこと、この侵入によってMicrosoft製品のユーザーが影響を受けることはないということ以外は分からない。現在捜査中のため、詳細はコメントできないというお決まりのパターンで締めくくられている。

 前出のニュース・サービス各社の情報を総合すると、今回のハッカーは、通称「Qaz.Trojan」と呼ばれる「トロイの木馬」タイプのウィルス・プログラムを使って、Microsoftのネットワークに侵入するためのパスワードなどを盗んだとされる。それはそれはお気の毒に。ところでソフトウェアの巨人、Microsoftをも「落とした」ウイルス、Qaz.Trojanとはいったい何者なのか? 私のコンピュータは大丈夫か? わが社のネットワークは……? 以下では、Qaz.Trojanのしくみと、コンピュータがこのウイルスに感染しているか否かを診断する方法、万一感染していた場合に駆除する方法などをまとめよう。

どうぞ裏口はこちらです…

 Qaz.Trojanは、今回のMicrosoftへの侵入で華々しくデビューしたウイルス、というわけではない。このウイルスは、2000年7月に中国で発見されており、シマンテックやトレンドマイクロなど、ウイルス対策ソフトウェアを販売するソフト・ベンダは、自社のWebで警告を発するとともに、すでにウイルス対策ソフトウェア用のパターン・ファイルをこれに対応させている。ウイルスの作りとしても、これといって特別なことはない、バックドア(裏口)型の典型的な「トロイの木馬」プログラムである。

 ご存じない方に説明しておくと、「トロイの木馬(Trojan horse)」プログラムとは、一見すると善意のプログラムのように見せかけておきながら、ひとたびシステムにインストールされると、システムを破壊したり、外部からネットワーク経由でシステムを制御可能にする裏口(バックドア)を作ったりするプログラムである。「Trojan horse」は、ギリシャ神話にあるトロイア戦争(Trojan war)において、敵を欺くためにギリシャ連合軍が置いていった、内部が空洞になった大きな木馬のこと。この木馬の中にギリシャ軍の兵士が隠れており、夜になると木馬から抜け出して城の門を内部から開け、城外から味方の軍勢を引き入れたとされる。

 Qaz.Trojanは、Notepad(メモ帳)のふりをする「トロイの木馬」で、システムがこれに感染すると、そのコンピュータのIPアドレスが電子メールでハッカーに送られると同時に、起動時にQaz.Trojanが実行されるように設定される。起動されたQaz.Trojanは、ハッカーが侵入するための「裏口」を開けて、アクセス(侵入)を待ち受けるというしくみである。

Qaz.Trojanのメカニズム

 コンピュータ・ウイルス全般から見れば、Qaz.Trojanはそれほど感染力の高いウイルスではない。Qaz.Trojanは基本的にLANの内部だけで感染を広げるウイルスで、インターネットを経由して別のコンピュータに感染することはない。またこのウイルスに感染するのはWindows OSを搭載したコンピュータのみである。

 Qaz.Trojanの最初の感染は、電子メールの添付ファイル、Webからダウンロードしたプログラム、IRCチャットで取得したプログラムなどを実行した場合に起こる。こうしてコンピュータが感染すると、Qaz.TrojanはWindowsフォルダにあるNotepad.exe(メモ帳)を探し出し、それをNote.comという名前に変更して、自分自身をNotepad.exeファイルとしてコピーする。Notepad.exeになりすましたQaz.Trojanは、自身の処理を終えた後、元のメモ帳プログラム(Note.comに名前を変更したプログラム)を起動するので、ユーザーはウイルスに感染したことに気づかないという仕掛けだ。

 そしてQaz.Trojanは、そのコンピュータが接続している他のコンピュータの共有フォルダを走査し、その中にNotepad.exe(メモ帳)ファイルが存在するかを探す。このときNotepad.exeが見つかったら、同様に自分自身をコピーしてNotepad.exeになりすます。この後ユーザーがNotepad.exeを実行すると(エクスプローラで「.txt」ファイルをダブルクリックしたときなど)、Qaz.Trojanが実行されることになる。

 Qaz.Trojanは、システムが起動されるたびに自身を起動するようにレジストリを書き換える。具体的には、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Runに「StartIE=notepad.exe」というデータを追加する。

 起動されたQaz.Trojanは、WinSock(Windows上のSocketインターフェイス)を使ってTCPのポート7597番を裏口として開き(リッスンして)、ハッカーがアクセスしてくるのを待ち受ける。電子メールによってコンピュータのIPアドレスを入手したハッカーは、そのアドレスのTCPのポート7597番に用意された裏口を使って、コンピュータに侵入できるようになるというわけだ。

感染の検出と駆除の方法

 コンピュータがQaz.Trojanに感染しているかどうかを調べるには、Windowsフォルダの下にあるメモ帳(Notepad.exe)のサイズを確認する。本物のNotepad.exeのサイズは52Kbytes程度だが、Qaz.Trojanに感染すると、このサイズが倍以上になる(報告によれば約120Kbytes)。Notepad.exeがこのように巨大化しているときには、フォルダに「Note.com」ファイルが存在しないかどうかを確認しよう。このファイルが存在するなら、そのコンピュータはQaz.Trojanに感染している。まずはNotepad.exeを削除し、Note.comをNotepad.exeに名前変更する。そしてレジストリ・エディタを起動し、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Runにある「StartIE=notepad.exe」というエントリを削除する。

 前述したとおり、Qaz.Trojanは、ネットワークに共有フォルダを公開しているコンピュータに感染する可能性があるので、感染したコンピュータが発見されたときはもちろん、そうでない場合でも、ネットワーク上のすべてのコンピュータで上のようなチェックを行う必要がある。幸いなことに、主要なウイルス対策ソフトウェアは、すでにこのQaz.Trojan(およびその亜種ウイルス)に対応しており、これらのソフトウェアから感染の検出やウイルスの除去を行うことが可能だ。今後のこともあるので、こうした対策ソフトウェアがなければ、これを機会に用意して、最新のパターン・ファイルを定期的に入手するようにしよう。

 なお、ネットワーク内でのQaz.Trojanの感染をとりあえず防止するには、共有フォルダをパスワードで保護したり、共有を解除したりすればよい。

仕掛けはシンプル、狙いは人間

 コンピュータ・ウイルスといえば、ラブレター・ウイルスが記憶に新しい。これは「ILOVEYOU(あなたを愛しています)」というタイトルのメールに添付された「LOVE-LETTER-FOR-YOU.TXT.vbs」というファイルを実行すると、コンピュータに感染し、自分自身を添付したメールを他のユーザーに片端から送るというものだった。このウイルスが世界中を震撼させたのは、「自分宛のラブレターとは何事だろう?」という人間の微妙な心理につけ込むことに成功したからだ。実際、プログラム自身は決して高度なものではなく、分かってみれば極めてシンプルで、幼稚なものだった。

 さて、今回のQaz.Trojanはどうだろうか? 前述したとおり、Qaz.Trojanが作った裏口をハッカーがアクセスするためには、コンピュータがインターネットから直接アクセス可能なグローバルIPアドレスを持っていること(Proxyなどのファイアウォールの内側に存在しないこと)、そしてTCPの7597番ポートに自由にアクセス可能であることが必要だ。会社にこのようなコンピュータが存在する場合は、Qaz.Trojan以前の問題として、インターネットとの接続を今すぐにでも遮断し、ファイアウォールの導入または設定変更を検討すべきだ。

 むろん、Microsoftが、このようなセキュリティ・ホールを抱えているとは思えない。だとしたら、なぜ感染したのか?

 ケーブル・インターネットやxDSLなどの普及により、家庭でもインターネットに常時接続することが珍しくなくなった。読者の中にも、このように恵まれた環境をすでに手に入れた人がいらっしゃるだろう。そんな方に伺いたい。会社の仕事を自宅に持ち帰っていないだろうか? 持ち帰っているとして、その中に、コンピュータにログインするためのアカウントやパスワードなどの機密情報は含まれていないだろうか? 自宅のファイアウォールはTCPポート7597を閉じているだろうか?

 今回の一件に関しては、すでにFBIも捜査に乗り出しており、真相究明が進められるだろう。今後の捜査の進展に期待しよう。

 しかし今回もやっぱり明らかになったこと。一見すると厳重に見える防御網を突破して被害を及ぼすコンピュータ・ウイルスの動作原理は極めてシンプルであること。そして本当のセキュリティ・ホールは、システムではなく人間にあること。

 あなたのネットワークは大丈夫ですか?End of Article

  関連リンク
  ネットワーク侵入に関する米Microsoftのニュース・リリース(米Microsoft)
  Qaz.Trojanに関する情報ページ(シマンテック)
  ラブレター・ウイルスに関する情報ページ(IPA)
     
「Insider's Eye」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間