ITmediaに「モバイルネットワークで感染する初のワーム検出」の報告と記事が掲載されていました。
記事は、英訳のコピペですので、文章を簡単に解説しましょう。
今回の話の発端は、ロシアのウイルス対策企業「Kaspersky Labs」が6月14日に、モバイルネットワーク経由で拡散する初のネットワークワーム「Cabir」を検出したと明らかにしたことからはじまっています。このワームは「Symbian OS」搭載の携帯電話に感染するようにコードが書かれているようですが、PCネットワーク上でばら撒かれているのでしょうから、これをわざわざ携帯に転送しない限りは、実行されない訳で、すぐに被害があるものではないようです。
Kaspersky Labsによると、このワームの作者は「Vallez」とみられ、Vallezは、国際的なウイルス作成グループの29aが使っているペンネームで、この29aは、「コンセプト実証型ウイルス」の作成を専門として、これまでに、世界規模の感染を引き起こす初のマクロウイルス「Cap」、NTFSストリームを使ったウイルスの作成が可能であることを実証した「Stream」、.NETを標的とした初のウイルス「Donut」、Win64標的の初のウイルス「Rugrat」などを作成している人物のようです。
この情報からプロファイルすると、まだ誰も手をつけていない、新しく目立つポイントを狙った高度な知識をもった連中のようで、最近のなんちゃってハッカー?クラッカーもどきとは違い、悪意よりも自己満足を求める傾向にあるようですね。
このコードを分析した結果として、CabirはSISファイル(Nokia Phone Game File)として送信されて、Caribe Security Managerという電話セキュリティソフトのユーティリティの一つを装っているようです。
この感染したファイルを立ち上げると、端末画面に「Caribe」というタイトルが表示され、システムに感染したあとは、端末をスタートさせるたびに起動して、Bluetoothでアクセス可能なほかの電話機を探し、見つかった最初の端末に自らの複製を送る増殖型のワームとの事で、現段階の分析では、Cabirのコードから悪質なペイロード(データの流出やクラック行為)は検出されていないという。
このワーム「Cabir」のコードは、Nokiaの携帯電話などで採用されているSymbian OS下で実行するよう書かれているようですが、NTTドコモでもFの携帯「F900i」や「F900iT」などなどSymbian OSを使っていますので、簡単な実行形式のワームであれば、実行されてしまうのでしょうか・・・
Bluetoothでアクセス可能な電話機を勝手に探して、踏み台にした挙句、自分をコピられても困りますね。。。でも今後OS、アプリケーションのの高度化でこれと同じ問題は続出するでしょう。
最近でも、NTTドコモの通信機能がある、「待受けアプリ」でいい加減な通信コードの実装により、待受け程度なのに、常に通信が発生して異常に高額なパケ代の請求がくるアプリもあるそうです・・・恐
ある意味これも、NTTドコモお墨付の正規のアプリを装ってはいますが、動作及びいい加減なコードの実装(用はアマチュア)レベルと考えると、ワームと同じ分類になります。
こんな時代に誰がしたんでしょうか?
英Symbian、携帯を狙うウイルスについてコメント発表
英Symbianは、ウイルス対策ソフトメーカーなどが発表した携帯電話に感染するウイルス「Cabir」についてコメントを発表した。
「Cabir」は携帯電話に感染する新種のウイルスで、Symbian OSを搭載するノキアの携帯電話向けプラットフォーム「Series 60」対応端末で感染の可能がある。Symbianでは、「Cabir」自体に自動インストール機能がなく、ユーザーの許可なしにウイルスがインストールされることがないため、一般に広がる可能性は極めて低いとしている。
一方、ウイルス対策ソフトを提供するソフトメーカー各社は、低いレベルの危険度としながらも携帯電話向けの新種のウイルスへの注意を呼びかけている。「Cabir」は、Bluetoothによるファイル交換機能を利用して繰り返しウイルス自身を送信し続ける。シマンテックではBluetooth対応機器をスキャンし続けるため、電池寿命が短くなる可能性もあるとしている。また、日本エフ・セキュリティでは、早くも亜種「Cabir.B」が発見されたとアナウンスしている。
なお、今回のウイルスについて、英Symbianでは日本でSymbian OSを採用する富士通製端末には感染しないと説明。また、Symbian OSを採用するBluetooth対応携帯電話「F900iT」での感染の可能性について、NTTドコモでは「詳細は事実確認中。ただし、F900iTにはBluetoothでファイルを書き込む機能がないため大丈夫だと認識している」とコメント。開発元の富士通でも「ファイル送信機能がないため、感染の心配は全くないと考えている」とし、同社のパソコン向けWebサイトでコメントを発表している。
「初の携帯ワーム」Cabirの詳細明らかに
携帯電話を狙った初のワームとみられる「Cabir」に関して、さらなる詳細が明らかになった。
Network AssociatesのMcAfee部門はCabirの危険度を、ホームユーザーにとっても企業にとっても「低」と評価。CabirはSymbian OS搭載の携帯電話を対象に設計されたワームで、Bluetooth経由で感染を広めようとする。さらに詳しく言えば、感染対象はSeries 60を採用したすべての携帯電話(Siemens、Nokiaなどが提供、Symbian OS 6.1以上)。McAfeeでは、「Nokia 6600」「同3650」への感染を確認している。
F-Secureのブログでも、Cabirはメーカーを問わずSeries 60採用端末に感染するようだと記されている。
Cabirには悪質なペイロードは含まれていない。隠しディレクトリに3種類のファイルを複製し、端末の画面に「Caribe」あるいは「Caribe-VZ-29A」と表示する。
だがCabirは、完全に無害というわけではないという。Bluetoothを搭載し、通信可能範囲内にあるSymbianベースのほかの端末にワームの複製を送り込もうと試みるため、「バッテリーの寿命を著しく減らす」とMcAfeeは報告している。
携帯電話ウイルス「Cabir」は未来の感染予防に教訓〜Symbianが詳細公表
携帯電話向けOSを開発・供給している英Symbianは18日、セキュリティ企業各社が15日に報告した携帯電話ウイルス「Cabir」についての詳細な情報を公表した。Cabirは実質的な被害をもたらしてはいないが、その挙動を見ることで、今後登場することは間違いないと思われる携帯電話ウイルスに対する防衛策を考える上で参考となる情報を提供してくれる。
Symbianによると、Cabirは、Symbian OSを搭載している携帯電話の中でも「Series 60」ユーザーインターフェイスプラットフォームを使用している機種にしか感染できない。富士通のFOMA携帯電話もSymbian OSを採用してはいるが、CabirをインストールすることはできなかったとSymbianは説明している。また、Cabir自身がインストールされたとしても、携帯電話のデータを消すなど危険な動作をすることがないため、実質的な被害はない。
Cabirにいったん感染した携帯電話は、近隣のBluetoothデバイスを検索し、一番最初のデバイスに自身を転送する。そのデバイスがSeries60携帯電話であった場合、「見知らぬデバイスからのBluetoothメッセージを受け取りますか」とのメッセージを画面に表示。イエスと答えた場合には、次に「インストールセキュリティ警告。サプライヤーを確認することができません。続けますか」というセキュリティ警告が表示され、再びイエスかノーを選択することになる。イエスと答えるとウイルスが正体を現わし、「Caribeをインストールしますか」と表示。ここでイエスを選択して初めてCabirがインストールされ、ウイルスに感染する。結局、3回もメッセージが表示され、その都度「イエス」を選択しなければCabirに感染することはないのである。
重要なのは、CabirがSymbian OSの脆弱性を利用して自動的に感染を広げるのではなく、携帯電話を利用している人間を欺くことによって感染しようとしている点にある。Cabirの場合は、携帯電話ウイルスが開発可能であることを示すコンセプトウイルスだったことから表示するメッセージが極めて稚拙であるが、今後、人間の弱点を突くような巧妙なメッセージを表示することで感染を広げようとする携帯電話ウイルスが登場する可能性は否定できない。PCに感染するウイルスと同じく、不審なアプリケーションやメッセージに対して誘惑に乗ることがないよう注意することが感染を防ぐために極めて重要である。
