現在地 HOME > 掲示板
> IT6 > 370.html
★阿修羅♪
|
現在地 HOME > 掲示板
> IT6 > 370.html
★阿修羅♪
|
|
| Tweet |
(回答先: ウィルスは進化しています。冗談でなく、Kは感染しました。(大汗) 投稿者 考察者K 日時 2004 年 9 月 26 日 23:15:56)
対策ソフトへの過信が招くウイルス被害【IT_Pro記事】
http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20040921/150198/
[2004/09/22]
ウイルス被害が後を絶たない。特に,メールで感染を広げるウイルスが猛威を振るっている(関連記事)。実際に被害に遭わなくても,送られてくるウイルス・メールの多さに困っているユーザーは少なくないだろう。これだけ送られてくるということは,ウイルスに感染したパソコンが数多く存在するということだ。
なぜそんなに多いのか。まず第一に言えるのは,対策を施していないユーザーが多いためだ。だが,現在では企業はもちろん,個人ユーザーにおいてもウイルス対策ソフトの導入は進んでいる。対策ソフトを使っていても,被害に遭うユーザーは少なくない。
その原因は,ウイルス対策ソフトへの過信である。対策ソフトへの過信が招いたと思われるウイルス被害は,過去に何度もある。最近では,お盆明けに出現した「Mydoom.Q(Mydoom.S)」がそうだった。Mydoom.Qは“工夫”のないウイルスだった。それにもかかわらず,一時的ながら急速に感染を広げた。しかも,対策ソフトのユーザーの間でも,感染は広がった。
“工夫”のないウイルス
多くの企業でお盆休みが終わった8月16日,件名「photos」のメールが飛び交った(関連記事)。メールで感染を広げるMydoom.Qが原因である。このウイルスは,メールに添付された実行形式ファイル「photos_arc.exe」を実行しない限り感染しない。メールの本文は「LOL!;))))」と,いかにも怪しい。にもかかわらず,多くのユーザーが感染した。
ウイルス作者は“工夫”する。その一つが,よく使われているソフトウエアのセキュリティ・ホールを突くことだ。代表例が2003年8月に出現した「Blaster」や2004年5月の「Sasser」である。これらはWindowsのセキュリティ・ホールを突いて感染を広げる。ユーザーが注意していても,パソコンにセキュリティ・ホールがある場合にはインターネットに接続しただけで感染する。
2001年の「Nimda」や2002年の「Klez」などは,Internet Explorer(IE)のセキュリティ・ホールを突く。ユーザーが添付ファイルをダブルクリックしなくても,メールの本文を開いたりプレビューしたりするだけで,添付されたウイルスが実行されるように“工夫”している。
しかし,Mydoom.Qウイルスにはセキュリティ・ホールを突く“機能”はない。ユーザーが添付ファイルを実行しない限り,感染する恐れはない。
「ユーザーをだますこと」も,ウイルス作者が凝らす“工夫”の一つだ。ウイルスが添付されたメールの本文や件名などを“工夫”して,添付されているのがウイルスだとは思わせない。例えば,2003年9月に出現した「Swen」は,ウイルス添付メールを米Microsoftから送られたセキュリティ情報に見せかける(関連記事)。そして,添付されたウイルスをセキュリティ・パッチだと思わせて実行させる。
変種が次々と出現する「Netsky」や「Mydoom」がよく使う手は,ウイルス添付メールをメール・サーバーからのエラー・メールに見せかけること。メール・サーバーからの通知メールは英語で書かれていることが多いので,英語圏以外のユーザーを油断されるのに“効果”がある。
例えば,オリジナルのMydoom(Mydoom.A)は,件名を「Mail Transaction Failed」とし,本文に「Mail transaction failed. Partial message is available」と記述する(関連記事)。「どのメールがうまく送れなかったのだろうか」と考えて添付ファイルをダブルクリックすると,ウイルスが動き出して感染する。
しかし,Mydoom.Qを添付したメールには「LOL!;))))」としか書かれていない。「だましてやろう」という意思があまり感じられない。ちなみに,「LOL」は「laugh out loudly」の略(「laugh out loud」あるいは「lots of laugh」の略とされている場合もある)。メールやチャットなどの文末に使われる。英語版の「(笑)」や「(爆)」といったところだ。英語圏以外のユーザーには,あまり馴染みがないだろう。
添付ファイルの拡張子を“工夫”することも,メールで感染を広げるウイルスの常とう手段の一つ。「exe」の拡張子ではユーザーが警戒するので,最近では「pif」「scr」「bat」「com」「cmd」――といった拡張子を付けるウイルスが多い(関連記事)。実行形式ファイルの拡張子を「exe」の代わりにこれらの拡張子にしても,実行形式ファイルは問題なく動作する。
拡張子を2つ付ける“二重拡張子”の手法もよく用いられる。例えば「txt.pif」などとする。2つの拡張子の間に多数の空白を入れる手法もよく使われる。例えば,「txt(多数の空白).pif」とする。こうすると,メール・ソフトによっては空白以降が表示されず,「txt」ファイルに見える。
しかし,Mydoom.Qは「photos_arc.exe」。何のひねりもない。
対策ソフトへの過信は禁物
以上のように,“工夫”がほとんどないMydoom.Q。なぜ感染を広げられたのだろうか。まず第一に,これだけウイルス被害が出ている現在でも,安易に添付ファイルを開いてしまうユーザーが多いことが原因だ。以前,「メールにファイルが添付されていると,ほとんど“反射的”にダブルクリックする」という話をユーザーから聞いたことがある。実際にそのようなユーザーが多いことがよく分かった。
そしてもう一つが,ウイルス対策ソフトへの過信である。Mydoom.Qが出現した当初,ウイルス対策ソフトのほとんどが対応していなかった。最新のウイルス定義ファイル(パターンファイル)を使っていても,検出できなかったのである。「怪しい」とは思いつつも,「対策ソフトが警告を出さないので大丈夫」と考えてダブルクリックしてしまったユーザーは少なくないだろう。
これを裏付けるように,アンチウイルス・ベンダーであるシマンテックへの国内ユーザーからの届け出数は170件(8月30日時点),トレンドマイクロへの届け出数は113件(9月3日時点)だったが,いずれも届け出数のほとんどは8月16日と17日に集中している。ほとんどのユーザーに新しい定義ファイルが行き渡ったと思われる18日以降は,届け出数が急減し,被害は終息へと向かった。
確かに,対策ソフトはウイルス対策に有効だ。しかし,何度もIT Proで書いているように万全ではない。ウイルスの届け出先機関であるIPAでも,2002年4月の時点で過信しないよう警告している(関連記事)。以降,IPAが毎月公開している届け出状況の中で,何度か呼びかけている(関連記事)。
ウイルス対策ソフトが警告を出せば,そのファイルはほぼ間違いなくウイルスだ。だが,「警告を出さないこと」と「そのファイルが“無害”である」ことはイコールではない。「ウイルス定義ファイルには,そのファイル(の特徴)が登録されていない」こととイコールなのだ。対策ソフトが警告を出さなくても,安易に添付ファイルを開いてはいけない。
この点については,アンチウイルス・ベンダーの専門家も同意する。「警告を出さなくても,以前から言われている“ウイルス対策のセオリー”を守ることが重要」(シマンテック 法人営業事業部の野々下幸治エグゼクティブシステムエンジニア)。「新しいウイルスに対応するまでには,どうしてもタイムラグが発生する。対策ソフトが警告を出さないからといって,安易にダブルクリックしてはいけない」(トレンドマイクロ トレンドラボ・ジャパン アンチ・ウイルスセンターの岡本勝之ウイルスエキスパート)
ウイルスの撒き方に“工夫”?
前述のように,Mydoom.Qが出現した当初,ほとんどの対策ソフトは未対応だった。このように書くと,アンチウイルス・ベンダーの対応が遅れたように思えるが,シマンテックやトレンドマイクロは否定する。対応にかかった時間(ウイルス定義ファイルを更新して,公開するまでの時間)は,他のウイルスとほとんど変わらなかったという。感染が広がっているにもかかわらず新しい定義ファイルが公開されずにいたのは,両社とも「ほかのウイルスと比べて,Mydoom.Qが急速に感染を広めたため」だと答える。
なぜ急速に感染を広められたのか。シマンテックの野々下氏は「Mydoomのほかの亜種が作ったネットワークを使って,今回のウイルスが撒かれた可能性がある」とする。Mydoomにはたくさんの亜種が報告されていて,それぞれの亜種は末尾のアルファベットで区別される。亜種のうち,「Mydoom.L」以降には,感染したパソコンに“バックドア”を開くだけではなく,Mydoom.Lに感染しているパソコンのIPアドレスをリスト化して交換する“機能”があるという。
そして,そのリストを基に,Mydoom同士はP2Pで通信し,独自のネットワークを形成する。このネットワークを使えば,ある一台のMydoom感染パソコンにファイルやコマンドを送信するだけで,すべてのMydoom感染パソコンにそれらを伝達できる。つまり,Mydoomに感染しているパソコンすべてから,一斉に任意のファイルをメールで送信させることができる。
Mydoom.Qの送信にこのようなネットワークが使われたことを示す証拠は現時点ではない。だが,感染速度を見ると,このネットワークを使って,最初に広範に撒かれた可能性があるという。
トレンドマイクロの岡本氏は「正直なところ,急速に感染を広めた理由は現時点では分からない。いろいろな可能性が考えられる」としながらも,「ウイルス同士で連絡を取り合ってネットワークを形成する“機能”は,現在の“トレンド”の一つ」という。
とはいえ,いくら最初に広範に撒かれても,受け取ったユーザーがウイルス・ファイルを実行しなければ,そこで感染の拡大は止まる。やはり,受け取ったユーザーの不注意や対策ソフトへの過信が,感染拡大の一番の原因だと言える。
総合的に判断する
8月の終わり,トレンドマイクロは小学生を対象に「セキュリティ教室」を開いた(関連記事)。そこで強調されていたのは「メールはすぐ開かない。まず考える」ということ。件名などから判断して,自分に覚えがないメールは開かないで削除するよう注意を呼びかけた。それを聞いて,筆者は大きくうなづいた。すべてのユーザーが「まず考える」ようにしていれば,Mydoom.Qのようなウイルスは流行しなかった。
Mydoom.Qは送信者名を偽装する。このため,送信者欄には知人の名前があるかもしれない。ただ,その人は「photos」といった英語の件名のメールを送ってくるような人だろうか。本文が「LOL!;))))」だけのメールを送るような人だろうか。「photos_arc.exe」といった実行形式ファイルを添付して送ってくるような人だろうか。その人から写真のアーカイブ・ファイルを送られる覚えはあるだろうか。たとえその人からだとしても,「exe」のファイルを開くことに問題はないだろうか――。添付ファイルを開く前に,これらを総合して考えれば,このメールおよび添付ファイルが極めて怪しいことに気付いたはずだ。
ウイルス対策ソフトが出す警告は,判断材料の一つに過ぎない。対策ソフトだけに頼っている限り,今後もMydoom.Qのようなウイルスは流行するだろう。
(勝村 幸博=IT Pro)
題名には必ず「阿修羅さんへ」と記述してください。