題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。
| Tweet |
回答先: ネット界初の性病蔓延?アイラブユーウイルスにご用心 投稿者 佐藤雅彦 日時 2000 年 5 月 05 日 20:40:06:
●5月8日現在、ワイヤードニューズ(WIRED NEWS)が報じている「愛らぶゆ」ウイルスについての記事を引用して紹介します。
● 2本目の記事――『ラブ・バグ』ワームは複数の技術を利用――には、末尾にセキュリティフォーカス社が公開したウイルスのソースコードへのリンク(元の記事どおりリンク先もコピペしておきましたが)が貼ってあります。下手にダウンロードするとケガをする恐れがあるので、調査研究用に閲覧する方はご用心を。(電脳流にコンドームをつけてね。)
★ ★ ★ ★ ★ ★ ★ ★ ★ ★
猛威ふるう『I LOVE YOU』ウイルス
Michelle Finley
2000年5月4日 3:30pm PDT 『ラブ・バグ』と呼ばれる悪意ある新たなワームが、3日夜(米国時間)からコンピューターのネットワークを横行し、米国防総省、英国議会、米航空宇宙局(NASA)などを含む、複数の大規模な電子メール・サーバーを停止させている。
専門家たちは、スピードと破壊力の点で、悪名高いワーム『メリッサ』をしのぐかもしれないと話している。『ジョーク』(Joke)および『ベリーファニー』(VeryFunny)というタイトルを持つ模倣ワームも、4日には電子メールの書簡箱への侵入を開始した。
この自己増殖型ワームは、電子メール・プログラムを詰まらせてしまう可能性があり、パソコン上やネットワーク上にあるMP3やJPEGファイルを破壊する。膨大な数に上るコンピューターが被害を受けた可能性がある、と専門家たちは述べている。
『ラブ・バグ』は、米マイクロソフト社の電子メール・プログラム『アウトルック』を介してのみ増殖する。このアプリケーションが立ち上がっていないかぎり、ワームは活動しない。このワームは、マッキントッシュ、Linux、UNIXオペレーティング・システム(OS)には影響を与えない。
このワームは、タイトルが「ILOVEYOU」となっている電子メールに添付されており、ビジュアル・ベーシック・スクリプト(.vbs)を介して増殖する。最初欧州で発見されたあと、一夜にして米国内のネットワークへの侵略が始まった。
ひとたびアウトルックでこの添付ファイルを開くと、アウトルックのアドレスブックに載っているすべての電子メールアドレスに、このワームが同じ「ILOVEYOU」というタイトルで自動的に送信されてしまう。メリッサのときは、ワームはアドレスブックの最初の50人にしか送信されなかった。
このワームが自社のネットワークに到来したことを最初に報告したのは、欧州とアジアに支店を持つ各社だ。このワームは、ヒューストン宇宙センター、米フォード・モーター社、英ボーダフォン・エアタッチ社、NASAのジェット推進研究所、蘭フィリップス社のカスタマー・コール・センター、米チケットマスター・シティーサーチ社などのシステム管理者に、電子メール・サーバーの停止を余儀なくさせた。
米AT&T社は、14万5700名の従業員を対象とした電子メールシステムを停止させた。米ウォルト・ディズニー社の電子メール・システムは全日停止した。
「ラブ・バグ」は、米国防総省がうっかり毎日のニュース記事と一緒に送信したため、米中央情報局(CIA)、米会計検査院、民間航空パトロール(Civil Air Patrol)にも送信されたと伝えられている。
「このワームは驚くべき速さで広がっている」と、フィンランドのFセキュア・コーポレーション社のアンチウイルス調査責任者、ミッコ・ヒッポネン氏は述べた。「4日の午前9時頃にノルウェーから最初の報告を受けた。午後1時までには、20ヵ国を超える国から報告を受けていた」
インターネット・セキュリティー企業、米ICSAネット社は、このワームは東部夏時間の午前9時までに、100万台を超えるコンピューターに被害を及ぼしたと推定している。
同社はウェブサイトで、このワームは最終的に10億ドル以上の被害を引き起こすだろうと述べている。
「このワームを受け取った結果、わが社のイントラネットは2時間停止した」と、ニューヨーク市にある印刷物制作会社、米アートスタート(ArtStart)社のジョー・グリーソン氏は述べた。「わが社はロンドンに複数の提携企業があるのだが、ILOVEYOU電子メールは、午前中の間ずっと、文字どおり洪水のように押し寄せてきた。まるで野火のような増殖ぶりだ。メリッサの時よりも相当ひどいのではないだろうか」
グリーソン氏の会社のIT責任者、ジョナサン・アンティパス氏は、グリーソン氏ほど懸念していなかった。「このウイルスにひどい襲撃を受けたが、ユーザーにはこの電子メールを開けないように告げてある。中身を覗こうとしないかぎり被害は及ぼさない。ただどうしても覗いてみたくなるという変わり者の人たちもいるようだが」
アンティパス氏は、このワームは企業のファイアーウォールを通り抜ける可能性があると述べた。大半のファイアーウォールは、「.txt」や「.vbs」という拡張子がついた添付ファイルを拒絶するようには設定されていないからだ。
このワームは、JPEGの画像ファイルを削除して、それを「.vbs」のウイルス・ファイルのコピーで置き換えてしまうようだとも、同氏は指摘している。
シカゴの弁護士メルビン・ゴールデン氏も、自分の法律事務所のネットワークが感染したと語った。欧州の顧客との契約にも手を広げているパートナーたちが、それぞれのコンピューターをネットワークからはずさざるを得なくなるほどだったという。
「現在は、1時間におよそ10通の割合で電子メールが送信されてきている。欧州にいる大勢の顧客が急にわれわれを好きになってくれるなんて、様子が変だと思っていたよ」と同氏は述べた。
このウイルスは、フィリピンが発生源だと考えられており、フィリピンでは『マニラ・キラー』と呼ばれていた。件名に「ILOVEYOU」と書いてある電子メールの形でやってくる。その電子メールには、「添付した私からの『LOVELETTER』をどうぞ読んでください」という1行のメッセージが入っており、添付ファイルのタイトルは「LOVE-LETTER-FOR-YOU.TXT.VBS」となっている。
この添付ファイルをひとたび開封すると、マイクロソフト社のアウトルックのアドレスブックに電子メールアドレスが保存されている全員が被害者となり、ウイルスのコピーが勝手にばらまかれる。受信者のハードディスクにあるVBSファイルにも被害を与え、JPEGおよびローカルのHTMLファイルを独自のコードで上書きするほか、『mlRC』チャット・ファイルを探す。
mlRCチャット・ファイルを見つけると、このウイルスは特別なスクリプトを挿入して、他のmlRCユーザーにも被害を与える。さらに、影響を受けたコンピューターのアドレスブックにあるすべての連絡先に、自身を送信する。
それだけでなく、LOVE-LETTER- FOR-YOUは、「BUGFIX.EXE」ファイルを4つのインターネット・サイトからダウンロードしようと試みる。ただし、ダウンロードされたファイルが次に何をするのかは、まだ明らかになってはいない。
ウイルス対策を行なう米シマンテック社が正式には「vbs.loveletter.a」と呼んでいるこのウイルスは、複製された膨大な数のメッセージのコピーによって、ネットワークも滞らせてしまう。
欧州のコンピューター・システムは、このウイルスで甚大な被害を受けた。英国議会のネットワークは数時間に及び停止させられた。米ダウ・ジョーンズ社は、このワームが香港やシンガポールのネットワークにも影響を及ぼし、投資銀行や広告会社が特にひどい被害を受けたと報告した。
シマンテック社は、ウイルス対策ソフトウェア・アプリケーションのアップデート版をリリースしたが、最善の対策は、ILOVEYOUというメッセージを開封しないことだ、とユーザーに警告した。
このワームがデータを破壊するかどうかについて混乱が生じたのは、このワームがインターネット・エクスプローラ(IE)の起動ページを別のページに変え、次に「WIN-BUGSFIX.exe」というバイナリ・ファイルをダウンロードしようとするからだ。このワームは、4つの異なるURLの中から無作為に選択するのだが、ダウンロードされたBUGSFIXのバージョンによって、ワームは異なる反応を起こすようなのだ。
「どんな動きをするのか調べたいのだが、バイナリのコピーを入手することができていない」と、米セキュリティーフォーカス・コム社( http://www.securityfocus.com/ )のイライアス・レビー氏は述べた。
(Lynn Burke、Elisa Batista、Kristen Philipkoski、Chris Oakes、Brad Kingのほか、ロイターがこの記事に協力した)
[日本語版:喜多智栄子/合原弘子]
日本語版関連記事
・『ラブ・バグ』ワームは複数の技術を利用
・WIRED NEWS原文記事(英文)
( http://www.wired.com/news/technology/0,1282,36119,00.html )
-----------------------------------------------------------
-----------------------------------------------------------
『ラブ・バグ』ワームは複数の技術を利用
Kristen Philipkoski
2000年5月4日 1:25pm PDT 『ラブ・バグ』(Love Bug)ワームは、ほとんどの破壊的プログラムと同様、最先端のコードというわけではない。しかしそれでも、技術的にいえばきわめて有害なものだ。
このワームは『マイクロソフト・アウトルック』を使用しているパソコンに、メールの添付ファイル経由で、また『インターネット・リレー・チャット』(IRC)経由で、コンピューターやサーバーに侵入する。
「このワームは、米マイクロソフト社のツールの強力な能力を利用している。この能力は非常に強力なので、この種の大破壊を引き起こす恐れがあるのだ」と言うのはサンズ・インスティテュート(Sans Institute)( http://www.sans.org/ )の研究責任者、アラン・パラー氏。「これは子供に銃を与えるのと同じことだ」
ユーザーが添付ファイルを開くと、マイクロソフト・アウトルックはそのコンピューター上で自動的に、ユーザーの知らないうちにソフトを実行できるようにする、とパラー氏は言う。彼は、この機能は標準設定で自動的に使用可能になるべきではないと思う、と述べた。
「ユーザーがこの添付ファイルを開いても、そのユーザーがマシンにバックグラウンドで自動処理するようあらかじめ指示していなければなにも起きないはずだった」と彼は言う。
『ラブ・バグ』が広まることができたのは、それが最先端のワームだったからではなく、このような理由のためだ。このワームは、どのコンポーネントも新しいわけではないが、制作者は複数のウイルス技術を組み合わせて1つの強力な破壊ツールを作成した、と専門家らは言う。
「このワームは大規模だが単純だ」と米セキュリティーフォーカス・コム社( http://www.securityfocus.com/ )のイライアス・レビー氏は言う。「部品はみなそこらにあるものだ。誰だってその気になれば、その部品を合体できただろう」
『ラブ・バグ』を狡猾にしているのは、その「社会工学的」側面だ、と米IBM社の研究者デビッド・チェス氏は言う。
第1に、このワームはラブレターに見せかけており、早朝、このバグのニュースが広まる前に受け取った人は喜んだことだろう。第2に、このワームには拡張子があるが、2番目の拡張子はウィンドウズではしばしば隠されるため、ユーザーは単なるテキストファイルだと思ってしまう可能性が高い。
『ラブ・バグ』ワームは、以下のようにしてユーザーのコンピューターに入りこむ。
レビー氏によれば、このワームは実行されるとまず、3ヵ所に自分自身を保存する。「system」フォルダには「MSKernel32.vbs」と「LOVE-LETTER-FOR-YOU.TXT.vbs」という名前で、そして「Windows」フォルダには「Win32Dll.vbs」として保存される。
それから、マシンが再起動した際にプログラムが実行されるよう、いくつかのスタートアップ・コマンドを生成するという。
このワームはまた、インターネット・エクスプローラ(IE)のスタートページを、ドメイン『www.skyinet.net』の4つのURLからランダムに選択するように変更してしまい、そのスタートページは『WIN-BUGSFIX.exe』というバイナリファイルをダウンロードする。
レビー氏は、彼はまだこのバイナリのコピーを入手できていず、それが何をするのか調べられないでいると言う。しかし彼は、このバイナリは、ワームが動的で、変更されることができ、新しいものがダウンロードされればいつでもそのふるまいを変えられることを意味していると言う。
skyinet.netドメインは現在オフラインになっている。しかし、このドメインが稼働していた間、このバイナリの存在によってワームの撲滅がより困難になっていた。ウイルスの作者がウイルスを更新できたためだ、とレビー氏。
それからこのワームは、ダウンロードされたバイナリを実行するよういくつかのレジストリキーを変更するほか、ユーザーがskyinet.netドメインへのURLを見ることがないように、IEのスタートアップ・ページを空白にするという後始末までしてしまう、とレビー氏。
『ラブ・バグ』はその後、この ワームが広まる手助けをするHTMLファイル、『LOVE-LETTER-FOR-YOU.HTM』を生成するという。これはIRCで人々にCCで送られたものと同じファイルだ。
次に、そのユーザーのマイクロソフト・アウトルックのアドレス帳に載っている人全員に、『LOVE-LETTER-FOR-YOU.TXT.vbs』という名の添付ファイルが付いたメールが送信される。メールのテキストの出だしは、「添付された、私からのLOVELETTERをどうぞ読んでみてください」だ。
まだ終わりではない。
このワームは次に、接続されているドライブの中の、特定の拡張子を持つファイルを探す。「js」、「jse」、「css」、「wsh」、「sct」、「hta」の拡張子を持つファイルを全て上書きし、「.vbs」ファイルに名前を変更する。「.jpg」や「jpeg」で終わるファイルは、そのファイル名に「.vbs」が追加される。MP2やMP3ファイルは同じ名前の「.vbs」ファイルになる。
この厄介なワームの最後の仕事は、すべてのIRCクライアントファイルと「script.ini」ファイル(専門家らはユーザーにこのファイルの削除を薦めている)の上書きだ。この上書きされたファイルによって、そのユーザーが参加しているチャンネルに加わったユーザー全てに、「LOVE-LETTER-FOR-YOU.HTM」ファイルがファイル転送で送信される。
レビー氏は、接続されているネットワークドライブ上にあるファイルもこのワームに感染し、先に述べたようなやり方でファイルが感染することで、ファイル共有を通して、このワームがネットワーク中に広まる恐れがある、と付け加えた。
このワームのもう1つの厄介な点は、バイナリの「WIN-BUGSFIX.exe」が、キャッシュされているすべてのパスワードを「MAILME@SUPER.NET.PH」にメール送信することだ。
『ラブ・バグ』の作者は、メールアドレス「ispyder@mail.com」と、「学校に行くの大嫌い」(I hate go school)という言葉、そしてフィリピンのマニラに言及している、と米エクソダス・コミュニケーションズ社(本社カリフォルニア州サンタクララ)( http://www.exodus.com/ )のネットワーク技術者、クリスチャン・ニールセン氏は言う。
これが作者を特定する手がかりとなるかどうかは分からない。
「彼も学校が大嫌いなのだと思う」とニールセン氏は語った。
このワームのソースコードはここに掲載されている。
(http://www.securityfocus.com/templates/archive.pike?list=82&msg=3911840F.D7597030@thievco.com&part=.1 )
[日本語版:中嶋瑞穂/合原亮一]
日本語版関連記事
・猛威ふるう『I LOVE YOU』ウイルス
・ WIRED NEWS原文記事 (英文)
( http://www.wired.com/news/technology/0,1282,36129,00.html )
題名には必ず「阿修羅さんへ」と記述してください。