BITSはWindows XPで導入されたもので、Windows Server 2003とWindows Vistaにも搭載されている。ネットワーク上の他の処理に影響を与えないように使用帯域を自動的に調整できる非同期ファイル転送機能を提供する。転送が中断された場合は、中断された位置から自動的に再開する。
Symantecのセキュリティ・レスポンス部門の研究者エリア・フロリオ氏は、新たな攻撃手法についてこう説明する。
「BITSは非常に便利なコンポーネントだ。HTTPをサポートし、COM APIを用いてプログラミングできるため、Windowsのダウンロード・サービスを自由に利用できる。だが残念ながら、それは悪意あるファイルのダウンロードにも活用できる」
フロリオ氏は、トロイの木馬の作者がBITSを使って、感染済みのコンピュータにアドオン・コードをダウンロードさせるという手口が使われ始めていると警告する。「BITSはOSの一部であるため、ローカル・ファイアウォールを迂回してファイルをダウンロードすることができる」
システムにバックドアを作って追加コードを仕掛けるトロイの木馬などのマルウェアが悪意あるソフトウェア(キーロガーなど)をPCに組み込むには、ファイアウォールを回避する必要がある。「だが、そのために一般に用いられている方法ではターゲットPCへの侵入が必要になり、セキュリティ対策プログラムに不審な動作として検知される可能性がある」
Symantecのセキュリティ・レスポンス部門のディレクター、オリバー・フリードリクス氏は、「OSコンポーネントを使ってマルウェアをアップデートするのは新手の手口だ。だが、ファイアウォールをう回するという考え方は必ずしも新しいものではない」と語る。
フリードリクス氏によると、Symantecは昨年末にロシアのハッカーが集まる電子掲示板でBITSに関するチャットを発見し、それ以来警戒していたが、3月にばらまかれたトロイの木馬は、BITSを悪用した最初の1つであるという。
「攻撃者にとってBITSの大きなメリットは、ファイアウォールをすり抜けることができること。そして、BITSが信頼できるダウンロード・メカニズムであることだ。無料であるうえ、信頼性が高く、自分でダウンロード・コードを書かずに済む」(フリードリクス氏)
フリードリクス氏は、BITSはMicrosoftのWindows Updateサービスで使われているが、Windows Updateサービス自体には危険はないと語る。また、「今回の新たな手口は、悪意を持つハッカーがコンポーネントを利用して、モジュール・アプローチでマルウェアを作るようになってきていることを示している。彼らもこれまでのソフトウェア開発のトレンドにうまく乗っている」と指摘する。
一方、フロリオ氏は、ハッカーがBITSを用いるのを防ぐことはできないと語る。「BITSによってダウンロードされるものをチェックするのは容易なことではない」(同氏)
さらに同氏は、Microsoftが取るべき対策について、「BITSのインタフェースには、高い権限レベルでしかアクセスできないように設計すべきだ。また、BITSによるダウンロードでは、ダウンロード元を、信頼できるURLに限定するようにすべきではないか」とアドバイスする。
現時点でMicrosoftのコメントは得られていない。
(グレッグ・カイザー/Computerworld オンライン米国版)
米国Symantec
http://www.symantec.com/