ページの本文へ

Hitachi

Hitachi Incdent Response Team

HIRT-PUB08007:P2Pファイル交換ソフト環境で流通するマルウェア

更新日:2008年12月10日

P2Pファイル交換ソフト環境では、情報漏えいにつながるウイルスや著作権上不適切なファイルなどのコンテンツが多数流通しているといわれています。 今回、2008年初めに実施したP2Pファイル交換ソフト環境のコンテンツ流通実態調査(*)の中から、マルウェアの流通について紹介したいと思います。

結果要約

  • マルウェアは、約20ファイルに1つ
  • 流通量が多いアーカイブファイル(zip、lzh、rar)に限定すると、マルウェアは約5ファイルに1つ
  • マルウェアのうち、フォルダなどの安全なコンテンツに見せかけた「アイコン偽装」を行っているマルウェアは約9割
  • 既知マルウェアの7割が情報漏えいを引き起こす「Antinny」とその亜種
  • 最新の状態にあるウイルス対策ソフトの導入は、P2Pファイル交換ソフトの情報漏えいに一定の防止効果あり

調査概要

  • 対象P2Pファイル交換ソフトウェア:Winny
  • 調査実施時期:平成20年1月〜2月(計2回実施)
  • 調査サンプル数:1回目10,964ファイル 2回目10,805ファイル

調査手法

クローリング調査をもとに専用ツールによりダウンロードを実施し、マルウェアチェック、著作物チェックを行いました(図 1)。
既知マルウェアチェックでは、TRENDMICRO社製ウイルス対策ソフトを用いてマルウェアの混入有無判定を行いました。また、著作物チェックでは、社団法人コンピュータソフトウェア著作権協会に協力を依頼し、会員社の許諾を得てダウンロードを行いました。

図1 調査の流れ
図1 調査の流れ

調査結果

2回行ったそれぞれの調査の結果は次の通りです。

図2 調査結果

約20ファイルに1つはマルウェア入り

2回の調査で、ダウンロードファイルのうち、マルウェアが検出されたファイルは、約5%にのぼります。だいたい20個のファイルをダウンロードするとそのうちの1つにはマルウェアが含まれていることになります。さらに、流通量が多いアーカイブファイル(zip、lzh、rar)に限ると19%にマルウェアが含まれており、実にアーカイブファイル(zip、lzh、rar)のだいたい5個に1つはマルウェアが含まれていることになります。

巧妙なアイコン偽装

図2 アイコン偽装の内訳
図2 アイコン偽装の内訳

マルウェアが含まれるファイルの約9割が、マルウェアを安全なコンテンツに見せかける「アイコン偽装」を行っていました。特に「フォルダ」に見せかける偽装が多く、フォルダを開こうとするとマルウェアが実行されるような巧妙なアイコン偽装が多くなっています(図2)。

図3 マルウェアを含むファイルの拡張子
図3 マルウェアを含むファイルの拡張子

マルウェアを含むファイルの拡張子は、zip、lzh、rarといったアーカイブファイルが9 割以上を占めます(図3)。マルウェアを含むアーカイブファイルを展開すると、フォルダに見せかけたマルウェアを含む複数のファイルが展開され、うっかり「フォルダ」に見せかけた「アイコン偽装」を開くと、マルウェアを実行してしまうことになります。

既知マルウェアの7割が情報漏えいを引き起こす「Antinny」

図4 既知マルウェアの内訳
図4 既知マルウェアの内訳

既知マルウェアの7割が、情報漏えいを引き起こす「Antinny」とその亜種でした(図4)。このことから、Winnyの利用を通じた情報漏えいのリスクは非常に高いといえます。

図5 既知マルウェアとして検出されなかったファイル(exeファイル)の内訳
図5 既知マルウェアとして
検出されなかった
ファイル(exeファイル)の内訳

既知マルウェアとして検出されなかったファイル(exeファイル)の多くは、クラッキングやハッキングツールといわれているファイルが含まれていました(図5)。

調査結果から、最新の状態にあるウイルス対策ソフトの利用は、P2Pファイル交換ソフトを通じた情報漏えいの防止に一定の効果があるといえます。ただし、あくまでも今回のサンプル調査で情報漏えいにつながる新たなマルウェアが見つからなかったというだけですので、今後も新たなマルウェアによる被害を踏まえた対策が必要です。

  • * 注:専用ツールによるダウンロード

Winnyでは、仮想キーと呼ばれる「他ノードが保持するファイルを自ノードが保持しているように記述する情報」が流れています。この情報に基づきファイルのダウンロードを行うと、Winnyノード間でファイルの中継動作が発生してしまう場合があり、結果として著作物やマルウェアの複製を助長してしまう可能性があります。
本調査では,クローリング調査により、実ファイル保持可能性が高いファイル所在情報を抽出した後、専用ツールでダウンロードする調査方法を採用することで、ファイルの中継動作を発生しないような運用方式で実施しました。


商品名称等に関する表示 TRENDMICROはトレンドマイクロ株式会社の登録商標です。本稿に記載されている会社名、製品名は、それぞれの会社の商標もしくは登録商標です。


本調査は、総務省から委託を受けた「ネットワークを通じた情報流出の検知及び漏出情報の自動流通停止のための技術開発」の成果の一部です。 また、株式会社エヌ・ティ・ティピー・シーコミュニケーションズ、株式会社クロスワープ、社団法人コンピュータソフトウェア著作権協会、トレンドマイクロ株式会社、株式会社フォティーンフォティ技術研究所の協力により実施しました。

関連情報

  • 1) 寺田真敏、宮川雄一、松岡正明、松木隆宏、鬼頭哲郎、仲小路博史
    P2P ファイル交換ソフトウェア環境における情報流通対策向けデータベースの検討
    情報処理学会 コンピュータセキュリティ 研究報告 Vol.2008 No.71 (2008年7月)
  • 2)宮川雄一 "Winny、Share ネットワーク状況調査報告"
    安心・安全インターネット推進協議会 P2P研究会 「P2P の現状 〜Winnyp の解析と P2P ノードの見せる化〜」(2008年9月)

更新履歴

2008年12月10日
  • このページを新規作成および公開しました。

担当:寺田/システム開発研究所、水野/セキュリティソリューション本部、大西/HIRT