題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。
| Tweet |
回答先: ネット界初の性病蔓延?アイラブユーウイルスにご用心 投稿者 佐藤雅彦 日時 2000 年 5 月 05 日 20:40:06:
●コンピュータ関連のネットニューズサイトであるZDNetから、「 I LOVE YOU 」ウイルスについての日本語訳された、これまでの記事を全文引用して、紹介する。
●具体的な予防・対処法だけでなく、なぜマイクロソフト社が標的になったか、同社のソフト製品の弱点も知ることが出来るだろう。
★ ★ ★ ★ ★ ★ ★ ★ ★ ★
★ ★ ★ ★ ★ ★ ★ ★ ★ ★
TOP STORIES 2000年5月5日
●出典( http://www.zdnet.co.jp/news/0005/05/loveletter.html )
各国で急速に被害拡大――「I Love You」ウイルスに要注意
【米国発】 2000.5.4――
新たな電子メールウイルスが世界中で急速な蔓延を見せている。被害はMicrosoft Outlookを使うWindowsユーザーの間で広がっている。これは「I LOVE YOU」(またの名を「VBS.LoveLetter.A」)というワーム。Windowsのレジストリを書き換え,Outlookのアドレス帳をコピーして,そこに記録された“すべて”の宛先(Melissaのように“最初の50件”だけではない)に,自己の複製を送りつける。この新種のワームが世界中の電子メールサーバを過負荷状態に陥らせている。Mac OS,Linux,その他のOSのユーザーは幸い,このウイルスに感染することはないが,感染した電子メールを受け取ることはあるだろう。
このウイルスは,「I Love You」という表題付きの電子メールによって届く。そのメールには「Love-Letter-For-You.txt.vbs」という添付書類が付いている。その添付書類をユーザーが開くと,そのユーザーのコンピュータはこのウイルスに感染する。このウイルスは,感染するとまず,PCのメモリをスキャンしてパスワードを調べ,ウイルス作者のサイトへ送ろうとする(このサイトはフィリピンにあるが,その後プロバイダーによって閉鎖された)。ウイルスはその後,感染したマシンのOutlookのアドレス帳に記録されたすべての宛先に複製を送りつける。そして最後に,vbs,vbe,js,css,wsh,sct,hta,jpg,jpeg,mp2,mp3の拡張子付きのファイルを自らの複製に上書きすることで,これらファイルを破壊する。
感染を防ぐには
1. 誰から送られたものであろうと「I Love You」という表題の電子メールメッセージをオープンしないこと。これこそI Love Youウイルスであり,破壊的な威力を持っている。こういう電子メールを受け取ったら,システムからただちに削除すること。
2. もしこういうメールを受け取ったら,それを削除するとともに,ウイルス根絶のため,そのメールの送り手にもコンタクトをとって削除を促すのが望ましい。
3. アンチウイルスツールキットをダウンロードして,ウイルス駆除にあたる。一般的には,アンチウイルスソフトは常にシステムにインストールしてあって,定期的にアップデートをかけておかなければならない。また,アンチウイルスツールでスキャンをかける前には,どんな電子メールメッセージもオープンしないのが鉄則。さらに,知らないアドレスからの添付書類は絶対に開いてはいけない。そういうメールにはウイルスやワームが付着していることがしばしばある。
4. 日々の作業にVisual Basic(VB)スクリプティングが必要ないのなら,この機能をオフにしておくことを強くお勧めする。具体的には,「コントロールパネル」の「アプリケーションの追加と削除」の「Windowsファイル」の「アクセサリ」で,「Windowsスクリプティングホスト」にチェックが入っていたら,これを外して変更を保存する。
感染してしまったら
本稿執筆時点ではまだ1社のみだが,大手アンチウイルスソフトベンダー各社から,このウイルスへの対処のためのアップデートが出そろうはずだ。また,もし自分のPCが既に感染してしまっているなら,以下のファイルは削除が可能。
Windows SystemディレクトリのMSKernel32.vbs
WindowsディレクトリのWin32DLL.vbs
Windows SystemディレクトリのLOVE-LETTER-FOR-YOU.TXT.vbs
インターネットダウンロードディレクトリのWinFAT32.EXE
mIRCディレクトリのscript.ini
また,Windowsのエクスプローラを使って,10Kか11Kの.vbsファイルを見つけてすべて削除する。それらのファイルすべてを削除しなければならない。さもないと,手持ちのハードディスク上のすべての.jpg/.mp3ファイルが被害に遭うおそれがある。
最後に,IEのスタートページを変更する必要がある(感染したシステムはウイルスによってこれが変えられるため)。
-----------------------------------------------------------
★ ★ ★ ★ ★ ★ ★ ★ ★ ★
-----------------------------------------------------------
TOP STORIES 2000年5月5日
●出典( http://www.zdnet.co.jp/news/0005/05/loveletter2.html )
Melissaの教訓活かされず? 「I Love You」ウイルス,各国で猛威
【米国発】 2000.5.4 5:14 PM PT――
その“ラブレター”は6時間もたたないうちに世界中に広まった。
「I Love You」電子メールウイルスが,アジア,欧州,米国の数十万台のコンピュータを襲った。「LOVE-LETTER-FOR-YOU.TXT.vbs」という添付書類をユーザーがクリックすることで,自己増殖していくタイプのコンピュータワームだ(別記事参照)。
米国時間の5月4日午後,このウイルスは急速な拡大を見せた。一部のユーザーからの報告では,この電子メールウイルスはみな同じ内容のものだが,「I Love You」の部分が「Very Funny Joke」に置き換えられていたものがあったとの報告も一件寄せられている。
いずれにせよ,これはジョークでもなんでもなく,受け取った人が笑える類のものでもない。カーネギーメロン大学コンピュータ緊急対策チーム(CERT)の報告によると,27万台のコンピュータがこのウイルスの被害に遭った。コンピュータセキュリティ会社のNetwork Associates では,1500社のクライアント企業(コンピュータ台数規模では数万台)が同ウイルスの被害を受けたと推定している。
IBMのT.J.ワトソン研究所の研究員,David Chess氏によると,このウイルスは技術的には,有名なMelissaウイルスに,過去1年間ユーザーを苦しめてきた他のいくつかの「ウイルス技術」を組み合わせ以上のものではないという。「これがプログラミングの力作でないことは明らかだ。むしろ,この種のウイルスを書くことがいかに簡単かを示してみせたものだと言える」と同氏。
なぜこれほど急速に拡大?
昨年のMelissaウイルス蔓延の際に作者の逮捕に協力したプログラマーの1人,Richard M. Smith氏は,今回のI Love Youウイルスでは,被害拡大のスピードの速さに驚いたと語っている。
「誘い方が巧妙なせいだ。“あなたを愛しています”というメッセージをもらえば,添付書類を開けて,その後どうなるのか確かめてみたくなる」と同氏。
実際,この手口はシンプルだが効果的だった。無料電子メールサービス会社のMailZone.netでは4日,同社システムに届くメッセージのウイルススキャンを開始して以後,同ウイルス感染メールを1万1000件以上発見している。
またアンチウイルスソフトメーカーTrend MicroのWebベースウイルスチェックサービス「HouseCall」でも,このサービスを使うコンピュータの5分の1(1000台)以上で同ウイルスの複製が発見されている。PC 1台当たりの平均感染ファイル数はおよそ600個だという。
Melissaウイルスの悪夢から既に1年以上が経過しており,「内容の不明な添付ファイルは開かない」という習慣が,ある程度はユーザーの間に浸透していたはずだった。そんな前提を覆すかのような今回のウイルス蔓延に,Trend MicroのスポークスマンDavid Perry氏はこんな感想を漏らす。「なぜ人々はニクソンやクリントンに二度も投票したのか? 過去から学ぶということがないからだ」
兄弟からのメールかと思って……
しかし,何の警戒もなく添付書類をクリックする行為を,常に「向こう見ずな行動」と断定することはできない。Steven McGhire氏の例を見るとそれがよく分かる。
同氏はソルトレークシティに本社を置くTalk2.comのインターネット事業開発ディレクター。米国時間の4日朝,サンフランシスコのホテルの一室で,Microsoft Outlookを使って朝のメールチェックを行った。いくつかのメッセージの中に,兄弟からのものがあって,その表題が「ILOVEYOU」となっていた。
「兄弟からは面白いメールがよくくる。だからそれをオープンしてみた。するとすぐに,システムが何か作業をしている音が始まった」
最初は,何が起きているのか分からなかったという。だがすぐに,兄弟からほかにも同じメッセージがいくつも届いていることに気づく。そして,Talk2.comのシステム管理者から,このウイルスについての警告メッセージが来ているのを発見した。
その時までに,McGhie氏のコンピュータは既に同氏のマシンの中のアドレス帳の全宛先向けのメッセージを作成ずみだった。同氏はシステム管理者に電話をし,ただちにマシンから電話線を引き抜くようにとの指示を受けた。
ここまでで,ログオンしてからまだ3分ほどしか経っていない。だがウイルスは,600本近いメールを作成ずみだった。ただ,大半はまだ送信箱の中にあり,送信ずみのものは50件ほどだった。
McGhie氏は,同氏の兄弟がどんな経緯でこのウイルスに感染したのかは分からないと語っている。
I LOVE YOU,でもマルチメディアは嫌い?
このワームに感染したPCには,2つの悪夢が待っている。
まず第一に,ユーザーがワームのファイルを(通常ダブルクリックで)オープンすることで起きる他人へのウイルス付きメール送信だ。このウイルスは,そのユーザーのOutlookのアドレス帳にアクセスして,そこに記録されたアドレスに,自分自身を複製したファイルを送りつけてしまう。McGhie氏の体験によると,膨大な数の複製メッセージが瞬く間に作成されるという。
第二に,このウイルスはすべてのスクリプトファイル,ならびにいくつかのマルチメディアファイルを自分自身の複製に変えることで,基本的に以前の内容を削除してしまう。
この第二の被害に遭って内容を削除されてしまう可能性があるのは,画像ファイル(jpgとjpeg),Visual Basicスクリプトファイル(vbsとvbe),そしてJavaのファイル(jeとjse)。また音楽ファイル(mp3とmp2)は隠されて,同じ名前にワームのスクリプトとvbs拡張子を含んだものが所定位置に置かれる。
このワームはまた,ネットワークドライブや,マッピングされたドライブに置かれたファイルにも感染する。感染メンバーがいるチャットルームの参加者にも,ワームの複製を送りつける。
さらに,このウイルスは,WINBUGSFIX.exeというファイルをダウンロード提供するフィリピンの4つのWebサイトのうちの1つにアクセスを試みる。ただしこれらのサイトはその後,サービスプロバイダーによって閉鎖された。
Microsoftの責任?
このウイルスの機能の鍵を握っているのは,「Visual Basic Script(VBS)」という名で知られるWindows用のマクロ言語だ。
VBSをオンの状態にしてあるコンピュータの場合(Windows 98のデフォルト設定では「オン」になっている),VBSはファイルのコピーや削除,変更など,ほとんどすべてのシステム機能にアクセスできる。
「Computer Virus Myths Homepage」のエディターRob Rosenberger氏は,Microsoftはずっと以前から,Outlookからこの機能が実行されないよう手を講じておくべきだったのだと指摘している。「電子メールでスクリプトを走らせる必要がどこにあるのだろう? これはずっと以前に対処がなされているべき問題だ」と同氏。
前出のウイルスハンターSmith氏も,Microsoftのソフトには,このシンプルな変更が加えられるべきだと語っている。
「思うに私たちは,Windowsをチューンアップではなくチューンダウンして,パワーを弱める必要がある。大半の人にはVBスクリプティングは必要ないし,一度も使わない。これの存在意義は多くの場合,コンピュータウイルスを書くことにあるのではないかとさえ思えてしまう」(Smith氏)
今後の被害を自分の手で未然に防ぎたいユーザーは,「Windowsスクリプティングホスト」を無効にすることだ。具体的には,「コントロールパネル」の「アプリケーションの追加と削除」の「Windowsファイル」の「アクセサリ」で,「Windowsスクリプティングホスト」にチ ェックが入っていたら,これを外して変更を保存する。
Smith氏は,Microsoftを責めているわけではない。「これはある種,企業文化の問題だ。ハンマーを作っていると,すべてがクギに見えてくる。プログラマーたちは,世界中のすべてのものがプログラマブルでなければならないと考えている」と同氏。
だが同氏は,Microsoftはこのソフトに変更を加えるのにずっと消極的だったと指摘している。「Wordのマクロウイルスが発見されたのが1995年。Word 2000でこの問題がついに解消されたが,それまでに4年もかかっている。私たち全員がインターネットに接続していることを考えると,かかった時間はあまりに長かったと私は思う」
-----------------------------------------------------------
★ ★ ★ ★ ★ ★ ★ ★ ★ ★
-----------------------------------------------------------
TOP STORIES 2000年5月6日
●出典( http://www.zdnet.co.jp/news/0005/06/lovevariants.html )
I Love Youウイルスの変種にも要注意――BAT/INIファイル書き換え型も
【米国発】 2000.5.14 5:00 PM PT――
米国時間の5月4日,世界各国の電子メールサーバに打撃を与えたコンピュータウイルス「I Love You」。これをばらまいた作者を捕らえようと,国際的な捜査が始まっている。しかしそのことは,破壊力を増した「変種」ウイルスの発生をとどめる抑止効果にはなっていないようだ。
事件発生から36時間以内に,I Love Youウイルスの変種が5つ確認された。うち1つは,米国時間の5日朝に発見された「Mothers Day」ウイルス。母の日のギフトの注文の返信を装った形の変種で,I Love Youウイルスと同様,電子メールで拡散し,ファイル破損を招く。
「Melissaの時と同じパターンを踏んでいる」と指摘するのはセキュリティ企業ICSA.netのリサーチサービスディレクターDavid Kennedy氏。「あの時も,24時間以内に変種が登場した。3日も経たないうちにExcelファイルに感染する形の,オリジナルよりもっと悪質な変種が現れている」
Kennedy氏は,I Love Youウイルスに関しても同様の現象が起き,「変種の登場が続くだろう」と予測する。
実際,米国時間の5日午後にも,「Brainstorm」と呼ばれる変種が確認されている。これの場合,電子メールの表題は「Important! Read carefully!(重要! 注意して読んでください!)」となっている。
米国時間の5日午前までに発見された変種は4つ。1つは,わずかな修正しか加えていないもの。2つ目は,電子メールの表題が,リトアニア語で「今晩お茶でもいかがですか...」という内容の文章になっている。3つ目のものは表題が「fwd: Joke(転送:冗談)」で,4つ目のものが「Mothers Day Order Confirmation.(母の日ご注文の確認)」だ。
悪質な変種「Mothers Day」
アンチウイルスソフトメーカーSophosのRichard Jacobs社長によると,既に確認されている変種の中で,おそらく最も悪質なのがMothers Day。この変種は,オリジナルのI Love Youのようにマルチメディア/スクリプトファイルを上書きする代わりに,.bat/.iniファイルを上書き/削除するため,システムがブートアップしなくなるおそれがある。
Jacobs氏は,さらにもっと悪質な変種の出現も大いにあり得ると言い添えている。
既に出回っているI Love Youウイルスとその変種は,PCに2種類の危害を及ぼす(5月5日掲載の記事1,記事2参照)。
まず第一に,ウイルス感染ファイルをユーザーが(通常ダブルクリックで)オープンすると,Outlookのアドレス帳に記載された宛先すべてに同じウイルスの複製が送られるという問題。
この拡散手法は極めて効果的だった。4日の時点でアンチウイルスソフトメーカーのNetwork Associatesは,1つあるいは複数の感染メールを受け取ったコンピュータの台数はおよそ27万台と報告。競合セキュリティソフトメーカーのTrend Microでも,同社のWebベースウイルスチェックシステムを使う顧客の20%以上が感染したと報告した。感染したPC 1台につき平均で700個以上,I Love Youのコピーが発見されたという。
I Love Youウイルスが引き起こす第二の問題は,メールで自己の複製を送出した後に,マシン上の全スクリプトファイルと一部マルチメディアファイルを,ウイルスファイルに上書きしてしまうという問題だ。これにより基本的に,それらファイルの元々の内容は失われてしまう。
画像ファイル(.jpg,.jpeg),Visual Basicスクリプト(.wsh,.vbs,.vbe),およびJavaScript(.jeおよび.jse)はすべて,ウイルスのコピーに置き換えられるとともに.vbs拡張子を伴った名前にリネームされる。HTMLアプリケーション(.hta)および他のプログラムコード(.css,.sct)も上書きされる。音楽ファイル(.mp3および.mp2)は隠しファイルとなり,同じ名前のファイル(内容としてはワームのスクリプト,ファイル名は.vbs拡張子付き)がその場所に置かれる。
このウイルスはまた,ネットワークドライブ/マッピングされたドライブにも感染する。感染メンバーがいるチャットルームの他の参加者にも送られる。
修正は簡単
いくつかのWindowsレジストリエントリーも変更される。
オリジナルのI Love Youは,フィリピンに置かれた4つのWebサイトのうちの1つにアクセスして,WIN-BUGSFIX.exeというトロイの木馬をダウンロードしようとする仕組みだったが,これらのサイトはその後,プロバイダーによって閉鎖された。
WIN-BUGSFIX.exeは,I Love Youワームに新たな機能性を追加する形のものだった。現在,ウイルス作者らはこうした修正を自らの手で執り行おうとしているようだ。スクリプトベースのワームに機能性を追加するのは,残念ながら簡単なこと。
「スクリプトファイルの問題は,これがテキスト編集可能だという点。誰かに危害を加えようとする人間の心理を考えると,このファイルに修正を加え,さらに悪質なものにすることは考えられる」(ICSAのKennedy氏)
変種による実際の被害は小さい?
現在
出回っているワームに修正を加えて,機能を追加するのは簡単なことだとKennedy氏は強調する。最低限のプログラミングの経験さえあれば,スクリプトドキュメントを解析して変更を加えることができる。
「昨年のMelissaの時には,Microsoft Officeのファイルを検索する変種が登場した。20分前にわれわれの知らないところで,新たな変種が生まれていないと断言する理由はどこにもない」(Kennedy氏)
もっとも,セキュリティソフトメーカーF-Secureのアンチウイルス研究マネジャー,Mikko Hypponen氏によると,世界中でI Love Youウイルスに対する危機感が広がっている限り,変種が生まれてもさほど大きな被害は起きないだろうという。
「Melissaの時も,1カ月以内に3つ以上の変種が現れたが,いずれも事実上,大きな打撃は与えなかった」と同氏。オリジナルを経験した後は警戒感が高まっており,変種を起動してしまう人の数はぐっと減るからだ。
-----------------------------------------------------------
★ ★ ★ ★ ★ ★ ★ ★ ★ ★
-----------------------------------------------------------
TOP STORIES 2000年5月6日
●出典( http://www.zdnet.co.jp/news/0005/06/love1.html )
I Love Youの脅威,日本でも……
新しい電子メールウイルス「I Love You」(関連記事を参照)が世界中で猛威を振るっている。日本国内も例外ではなく,5月6日17時現在で,既に3万近い感染ファイルが確認された。
フィリピンから発生したI Love Youは,Visual Basicスクリプトで書かれた“特に目新しいところのない”コンピュータワームだ。しかし,受け取った人の心理を巧みに利用したメールのサブジェクト(タイトル)と,Outlookのアドレス帳に記されたすべてのアドレスにワームを添付して送信するという凶悪さで一気に広まった。
「日本はゴールデンウィーク中で幸いだった」と話すのはアンチウイルスソフトメーカーのトレンドマイクロだ。しかし一方で,休暇が終わった後の危険性も指摘する。
「I Love Youなどというメールを受け取ったら,誰でも開いてみたくなる。また,既に片手以上(5つ以上)の亜種も発見されており,たとえメールのタイトルが“I Love You”でなくても注意が必要だ」(同社)。トレンドマイクロでは,現在I Love You駆除用のパターンファイルを作成中であり,6日中にもWebサイトにアップする予定だという。しかし,亜種が今後も増え続けるのは必然であり,「いたちごっこになるが,その都度対処していくしかない」(同社)。
国内で感染したPCの正確な数はまだ掴めていない。ただし,トレンドマイクロがWeb上で提供しているオンラインスキャンから得たデータでは,既に2万9898(6日16時48分現在)のファイルがI Love Youに感染しているという。ワールドワイドでは459万2145の感染ファイルが報告(同時刻)されており,PCの台数では6991台。平均すると1台のPCあたり657のファイルが感染している計算になる。もちろん,これらの数字は現在までに同社のオンラインスキャンを利用したユーザーのみが対象であり,実際にはこの何倍になるのかは不明だ。同社では,連休明けにも本格的な調査を開始する。
I Love Youは,メールに添付された「LOVE-LETTER-FOR- YOU.TXT.vbs」という書類をユーザーがクリックすることで自己増殖する。感染したマシンのOutlookのアドレス帳に記録されたすべての宛先に自らの複製を送りつけ,さらにVisual Basicスクリプトをはじめ,画像ファイルや音楽ファイル(具体的にはvbs,vbe,js,css,wsh,sct,hta,jpg,jpeg,mp2,mp3の拡張子を持つもの)のデータを破壊する。
感染するのはWindowsマシンに限られ,またメールが送信されるのはマイクロソフトの「Outlook」だけ。「Outlook Express」やほかのメーラは対象になっていない。なお,Windows 98以降のWindows OSは,デフォルトでVisual Basicスクリプトが動作する設定になっている。
ウイルスの詳細と対処法は,トレンドマイクロやシマンテックのWebサイトを参照してほしい。
関連記事
Melissaの教訓活かされず? 「I Love You」ウイルス,各国で猛威
Love Youウイルスの変種にも要注意――BAT/INIファイル書き換え型も
各国で急速に被害拡大――「I Love You」ウイルスに要注意
関連リンク
シマンテック
http://www.symantec.com/region/jp/index.html
対処法(シマンテック)
http://www.symantec.com/region/jp/sarcj/data/v/vbslovelettera.html
トレンドマイクロ
http://www.trendmicro.co.jp/
対処法(トレンドマイクロ)
http://www.trendmicro.co.jp/virusinfo/loveletter.htm
[芹澤隆徳, ZDNet/JAPAN]
題名には必ず「阿修羅さんへ」と記述してください。