参考出筆による。
ある日、電子メールの中にこういうメールが混入していた。いつもやりとりしている知り合いからのメールであり、タイトルは「~からの重要なメッセージ」(~に知人の名前が入っている)となっていた。何だろうと本文を読んでみると、「頼まれた文章です。他の人には決して見せないでください。」と書いてあった。Wordの文書ファイルが添付してある。とりあえずおもむろに開いてみた・・・。数時間後、社内のネットワークはパニックに陥っていた。さっきのメールはウィルスだったのである。とまあ、これは架空のウィルスの話であるが、これを読んでいるあなたはメールの添付ファイルをダブルクリックしないと断言できるであろうか?。この内容は、1999年に大きな被害をもたらしたMelissaというコンピュータウィルスとほぼ同じ内容を日本語にしたものである。このメッセージに釣られて、添付ファイルを開いたが為に被害が急速に広がったのである。このようにウィルスは技術面だけではなく、心理的要素の巧みさも増している。それにより、その広がるスピードも速くなり、世界的に同時に同じウィルスが見つかるようになってきた。実際、1999年に 情報処理推進機構(IPA) に報告されたウィルスの件数は初めて3000件を超えた。
2000年に入ってからは3ヶ月で1365件と、そのペースはさらに上がっている。年間3000件というと少ない感じがするが、ウィルスに遭遇した人が全て報告しているとは限らないのである。Melissaの場合、北米だけで100万台の以上のPCに感染し、8000万ドル以上の被害をもたらしている。Melissaの被害額に関しては最大3億8500万ドルという推定金額も出ている。犯人は5年以下の懲役、25万ドルの罰金が課せられている。
今回の「I Love You」メールも同じ事が言えないだろうか。
1. 注意が必要なメール型ウィルス
1995年以降、ウィルスの中心はMS WordやExcelなどのマクロの形で潜むマクロウィルスになった。以下参照。
通称 | 名称 | 発見時期 | 特徴 |
Concept | WM/Concept | 1995年8月 | 初めてのマクロウィルス Wordで動作 |
Laroux | XM/Laroux | 1996年7月 | Excelのマクロウィルス |
AccessiV | AM/AccessiV | 1998年3月 | Accessに感染するマクロウィルス |
チェルノブイリ | W95/CIH | 1998年7月 | フラッシュメモリを書換、HDを破壊する |
Happy99 | W32/Ska | 1999年1月 | メール送信時に自身を添付して送る |
Melissa | W97/Melissa | 1999年3月 | Outlookのアドレス帳から50人に自身を送る |
ExpioreZip | W32/ExploreZip | 1999年6月 | 電子メールで感染し、様々なファイルを消去する |
BubbleBoy | VBS/BubbleBoy | 1999年11月 | Outlookでメールを開いただけで感染するマクロウィルス |
1999年にIPAに届けられたウィルスのうち、約55%はマクロウィルスである(以下グラフ参照)。
中でもExcelで動作するマクロウィルスLarouxは27%と全体の1/4に相当する。1998年にはLarouxだけで46%、マクロウィルス全体で77%もあった。上記のグラフには現れてないものの、1999年に凶悪なウィルスとして米国で大きな話題となったMelissaもマクロウィルスであり、主流がマクロウィルスであるという現状は変わらない。マクロウィルスで有るかどうか以上に重要なのは、メールを媒介にして繁殖するウィルスが主流になってきたことである。統計によると、1998年にはメールからの感染は41%だったのが1999年には67%まで上がっている、ただ単にメールの添付ファイルにウィルスが入っているだけではない。1999年には、ウィルスそれ自身にメール送信機能があり自律的に広がっていくというものが登場した。前述のMelissa、Happy99といったものがその代表例である。本来のウィルスは、ファイルからファイルへ感染するものであるのに対し、これらはファイルを書き換えない。その代わりにPCからPCへと伝わっていくため、厳密にはウィルスではなく ワーム と呼ぶ。だが、邪悪な振る舞いをする場合があるという点ではウィルスと同じであり、一般的にはワームタイプも含めてウィルスと呼んでいる。ワームタイプのものはこれまでのウィルスと比べものにならないほど広がる速度が速いので、ウィルス対策ソフトの対応が間に合わない可能性も高くなる。したがって、まずウィルスの動きを知り対策を知っておくことはウィルス対策ソフトを導入していても必要なことになる。全く新しいウィルスだけでなく、既存のウィルスの亜種や似た動きをするウィルスも数多く誕生しているからだ。亜種の例では、1999年6月に一回はやったExploreZipが1999年11月にまた別の形で流行したり・・・。といったものが有名だがそれだけではない。ウィルスは人間が作り出すものであり、流行廃りと無縁ではない。Melissaなど話題になったウィルスをまねるウィルスは必ず登場するのである。
2. チェルノブイリ
ディスクを破壊する危険なウイルチェルノブイリという物騒な名前でも知られているW95/ClH(以下ClH)は,マシンをブートできなくすることもあるという,凶悪性の高いウイルスである。1998年に最初に発見され,99年にアジアを中心に大きな被害をもたらした。Windowsのポータブル実行ファイル(PortableExecutable:PE)の形式を取るがWindowsNT/2000には感染せず,Windows95/98だけに感染する。PEの空き領域に感染するウイルスはこれが最初であった。ClHはPE形式の空き領域に分散して感染する(図3)。感染したプログラムが実行されると、自身のコードをVXDとしてWindowsに常駐させ、ファイル入出力を監視する。PE形式のプログラムが実行されたり、コピーされたりするときに、さらに感染していく。CPUの保護モードで動作するため、感染後の発見が困難である。発病の時期は、ClHのバリエーションによって4月26日、6月26日、毎月26日に発病するものがある。この日付はチェルノブイリ原子カ発電所の事故のあった日に由来する。発病するとBlOSのフラッシュメモリの中身を書き換えてしまう。これによってマシンがブート不能になってしまう。またハードディスクの内容も破壊する。ClHは除去も面倒である。Windowsが起動するときにロードされてしまい、起動後は取り除くことができないからだ。起動時にクリーンアップする仕組みを持つウイルス対策ソフトが必要であり、古いバージョンだと対処できない可能性がある。
3. Happy99
(メールを使うウイルスの台頭)
W32/Ska.A(以下Happy99)は99年に急増したメールを使って広がるウイルスの一つである。ディスクを壊すといった実害は少ないものの、IPAに1999年に届けられたウイルスの27%を占め,ExcelマクロウイルスのLarouxと並んで、国内では一番よく見られたウイルスの一つである。Happy99という通称はメールに添付されてくるウイルスの名前がHappy99.exeであるから。一方Skaという名前は、感染するとそのコピーをSka.exeという名前でWindowsのシステムに置くことから付いている。
Happy99のプログラムを実行すると画面上には花火が表示される。一見するとそれだけであるが、背後では前述のSka.exeを作るほか、WinSockのモジュールであるWSOCK32.DLLを置き換えてしまう。置き換えたWSOCK32.DLLはユーザのメール送信を監視する。ユーザがインターネットメールを送ると、それを検知して同じ相手に対してHappy99.exeを添付ファイルとしたメールを送る。メールソフトのログには残らないので送信者は、ウイルスに感染していることには気付かず、Happy99を受け取った相手からの問い含わせで初めて気付くことになる。Happy99は、他のプログラムファイルに感染することはせず、メールを使って他のコンピユータに広がって行く。そういう意味で、厳密にはウイルスではなくワームに分類するべきものである。ただ、本来のワームは自力で他のコンピユータに広がって行く機能を持つが、Happy99はユーザがメールを送った相手だけに広がっていく。そういう点ではワームとしてもちょっと特殊であるといえる。「一見普通のプログラムのように実行できるが、背後でユーザが知らないうちに別の機能を実行している」という「トロイの木馬」に近いともいえる。
4. Melissa
(Outlookを使って急激に広がる)
W97M/Melissa(以下Melissa)はWord 97のマクロ形式を使ったウイルスである。ただ、Wordのマクロであることよりも0utlookを使って自身をメールで送りつけるということで有名になった。数多くの企業のメールシステムをパンクさせ、駆除がすむまでメールが麻痺状態になった。感染したWord 97の文書を開くと、Melissaは「HKEY_CURRENT_USER¥Software¥Wicrosoft¥Office¥Melissa?」というレジストリエントリを調べる。それが「…by Kwyjibo」という値になつていれば発病した証拠であり何もしない。値がまだなく発病していない場合は0utlookを使ってアドレス帳に登録された最初の50人のユーザにメールを送信する。メールのタイトルは「Important Message From ユーザ名」、メール本文は「Here is that document you asked for…don’t show anyone else;-)」となっており、感染したWordの文書を添付して送付する。50人というと大した数ではないように思うかもしれないが、多くの企業では全員に配布するためのメーリングリストのアドレスとしてall@ドメイン名といったアドレスを使っている。この場合、1通で社内全体にMelissaが広がってしまうことになり、被害を増幅させる。Virus BulletinによるとMicrosoft社のメール受信用サーパ5台のうち3台が止まってしまい。またある大会社では3時問に約50万の電子メールが発生してメールサーバが止まってしまったという。また、感染した文書が重要な文書だった場合、それ自体が添付して社外に送られてしまう危険がある。そのため、多くの会社が駆除を確認するまでメールを止めざるを得なくなったのだ。もう一つの副作用として、一定の時間になると開いている文書に、文を挿入するというのがある。
5. ExploreZip
(ネットワーク上のファイルを破壊する)
W32/ExploreZip(以下ExploreZip)は、凶悪性の高いウイルスである。ファイルに感染するのではなく、システムに居座り、ネットワークを介して広がっていくという点で,厳密にはウイルスではなくワームと分類される。ExploreZipは多くの場合、zipped_files.exeという添付ファイルの形でやってくる。メールの本文には「あなたからメールを受け取りました。すぐ返事をします。それまでZipして添付した文書を見ておいてください」という旨の英文が書いてある。添付ファイルを実行するとあたかもZipファィルの自動解凍に失敗したかのようなダイアログボックスが現れるが、そのときにWindowsのシステムディレクトリにExplore.exeという名前で複製を作る。また、WlN.INIファイルやレジストリを操作して起動時にそれが実行されるようにする。Windowsの起動時にこれが実行されるとCからZドライブまでを調べ、.docや.xls、.pptなどの拡張子を持つMicrosoft Officeの文書ファイル、Cのソースファイルなどのサイズを0にする。すなわち、元のファイルは消えてしまう。ExploreZipの広がり方には二通りある。一つはOutlookやOutlookExpressを使い、未読メッセージに対して前述のようなメールを返信する方法。もう一つはディスクを共有している他のマシンのシステムディレクトリに自身のコピーを置き、WlN.INIを書き換えて起動時に実行させる方法である。後者の場含、感染の自覚がないうちに感染している恐れがある。前者はトロイの木馬的、後者は本来のワーム的な広がり方である。
6. BubbleBoy
(メールを開いただけで感染する)
VBS/BubbleBoy(以下BubbleBoy)は2000年3月までのところ、メールを開いただけで感染する唯一のウイルスであった。特別実害はなく、感染報告もほとんどない。メールを開いただけで感染するウイルスが可能であることを実証するためだけに作られた実験的ウイルスであると考えられている。BubbleBoyはOutlook/Outlook ExpressのHTMLメールの機能を使う。HTML内にVBScriptでスクリプトを書き、それがウイルスとして動作する。これを防ぐには設定で、セキュリティゾーンを「制限付き」に変える必要がある(図4)。
これまで,ウイルスのデマ(Hoax)として「メールを開いただけで感染するウイルスが出まわっている」というのがしぱしば広まっている。BubbleBoyは、これが将来事実になる可能性を示している。
7. Netsky(2004年)
正式名はW32/Netskyで亜種が沢山ある。メールに添付されてくるプログラムを実行することにより感染する。自身にSMTPエンジンを持っており、PC内でゲットしたメールアドレスへウィルス付きメールを送信しまくる。そのときの、Fromヘッダーは偽装されており存在しないメールアドレスか、あるいは知らない第三者のメールアドレスだったりする。メールによる感染のほかに、ネットワーク等の共有フォルダに自分自身をコピーして感染を広げていく野郎である。
8. Bagle-Q(2004年)
正式名はW32/Bagle-Q。これは、メールに添付されてくるHTMLファイルをオープンするとあるサイトに自動的にアクセスする。そして、そのサイトからウィルスが侵入してくる。自身にSMTPエンジンを持っていて、自分の分身をPC内でゲットしたメールアドレス宛にメールしまくる。ネットワークの共有フォルダからドメイン内の各クライアントPCのシステムに侵入する場合もある。
実際に感染すると「shar」と言う文字列を含むフォルダ名のフォルダ内にウィルス自身のコピーを実行形式(EXE)ファイルで生成してランダムなtcpポートを構わずオープンしてバックドアとして悪い方々へ開放する。このウィルスはIEの脆弱性を突いて感染するようだ。
9. Mimail-S(2004年)
感染経路とか感染方法とかは、Netskyと同じ。このウィルスの特徴は、クレジットカードの情報を盗むやつらしい。マイクロソフトの嘘認証画面を出したり巧みに人をだます。盗んだクレジットカード情報は、このウィルスが既に持ってるメールアドレス宛へ送信するらしい。非常に手が込んでいるウィルスである。
10. 予防法及び対処法
いずれにしても、 ウィルスソフトを購入 して自分のPCを守ることが第一の予防法である。ワームに関しては、着信メールを良くチェックして、特に添付ファイル付きで、英文タイトルのメールには気をつける。発信者は、相手に好意を寄せるタイトルを英文で記述してくる。そう言うメールは、すぐに” 削除 ”を心がけるのが寛容かと考える。Unixサーバの場合は、VirusGatewayが効果的である。Client側ではもちろんであるが、サーバ側でブロックできれば倍の信頼性が得られるため、たまたまウィルス定義ファイル等のアップデートをし忘れても安心である。
以上
コメント