W32.Qakbot は、少なくとも 2009 年頃から活動が確認されているワームです。最初は特定の Web ページにアクセスするときに脆弱性を悪用して感染しますが、その後はネットワーク共有やリムーバブルドライブを介して拡散します。さらに、追加のファイルをダウンロードし、情報を盗み出して、侵入先のコンピュータでバックドアを開きます。過去数カ月間に、各種のセキュリティソフトウェアで使われている検出技術を回避しようと、このマルウェアの作成者による開発活動が活発化していることが確認されています。 シマンテックセキュリティレスポンスチームでは、過去数年間このワームの監視を続けてきました。Qakbot をめぐる活動は数カ月ごとに現れ、外部団体でそのアウトブレイクが確認されています。前回の大きな流行は、4 月の初めに始まったことが確認されており、この機を逸することなくシマンテックでは、この脅威の動作をもう少し詳しく解析し文書化することに努めました。脅威の流行状態を監視する態勢をとった結果、多くのことが判明しました。 インフィールドの遠隔測定を使って取得したデータから、このワームの流行状況がわかります。2011 年の第 1 四半期には、このワームの活動も、活動中の他のワームと比べて大きな違いはありませんでした。作成者が新しい亜種を開発しても、作成者自身がその拡散能力を予測していたとは考えられません。 Qakbot の解析からは、何点か大きな発見がありました。
数週間前に確認された例では、Qakbot ファイルが有効な正規のキーを使ってデジタル署名されていました。ファイルにデジタル署名を行う目的が、無警戒なエンドユーザーに対して正当性を強調することにあるのは、いつものことです。シマンテックはこのデジタルキーの正規の所有者に連絡し、署名を無効化してもらいましたが、Qakbot によって盗み出されて使われているキーから、作成者がワームをさらに多くのクライアントに拡散しようと活発に活動していることがわかります。
この脅威の影響を受けたユーザー数が、引き続きどのくらい増えているかを示す追加の統計は、記事の最後に示したリンク先のレポートでご覧いただけます。同レポートには、上に挙げた Qakbot の機能についての詳しい情報も掲載されています。 上述した Qakbot のすべての機能や感染率などの詳しい統計については、こちらのホワイトペーパーを参照してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。