このページの本文へ
ここから本文です

最新メール型ウイルス事情(1)

2004年7月14日

2004年はウイルスと共に始まった。


Bagle、Mydoom、Netskyといったメール型のウイルスが流行し、また、毎日のように亜種が見つかるという、ある種異常な状態となった。


特殊な例ではあるが、知人の会社で、全メールの70%が特定の個人に宛てたウイルスメールという事例があった。


また、ウイルスが単に感染と拡散を行うだけではなく、スパムメール送信のために利用されたり、DDoSの踏み台として利用されることも増えている。


今回は、ウイルス感染の事例を紹介し、その仕組みと対策について紹介する。なお、事例は実際の事件に基づいているが、フィクション化してある。


1.事務職のウイルス感染の事例
 常にファイアウオールなどに守られた環境でコンピュータを利用している場合、セキュリティに対する意識が低い場合がある。また、アンチウイルスソフトを信頼しすぎているために、メールやWebアクセスでウイルスに感染する場合が少なくない。


今回は、このようなケースの典型的な例として、顧客窓口と経理担当者の例を紹介する。


(1) 顧客対応担当者のNetsky.B
 A嬢はソフトウエア会社で、顧客対応の窓口業務を行っている。ある日、海外の顧客から英語のメールが届いた。


怒っているようなメールであったため、慌てて添付ファイルを開いてみたところ、”The file could not be opened!”と書かれたダイアログが表示され、ドキュメントは開けなかった。


しばらくすると、ある取引先からウイルスメールを送付された旨の連絡があり、大きな問題に発展してしまった。



(2) 経理担当者のNetsky.P
 B氏は製造業の経理を担当している。以前、この職場でウイルスに感染したことがあるため、ウイルス対策はうるさく言われている。
もちろん、アンチウイルスソフトは自動更新をしている。


ある朝、出社後コンピュータを立ち上げ、メールクライアントを起動したところ、メールの配送エラーと思われるメールが届いており、プレビュー画面で表示された。


B氏は、送付した覚えのないサイトからのメールであったため、ウイルスかもしれないと考え、すぐにそのメールを削除した。

しばらくするとIT部門から、「B氏が大量のメールを送信している。ウイルスに感染した可能性があるので、すぐにネットワークケーブルを抜くように」との連絡が入った。


2.被害のメカニズム
 昨年は、ワームの被害が目立った年であったが、今年はメール型のウイルスの被害が目立っている。


特に、Bagle、 mydoom、 Netskyは、毎日のように亜種が見つかり、アンチウイルスソフトの更新が追いつかない事態となった。


メール型のウイルスは、大きく二つのパターンに分けることができる。


一つは、添付ファイルを利用したもので、添付ファイルを開くことで感染する(ここでは、添付ファイル型と呼ぶ)。もう一方は、HTML メールを利用したもので、Webブラウザのセキュリティホールや、設定上の問題を利用し、プレビューを行っただけで感染する(ここでは、自動実行型と呼ぶ)。


一般に自動実行型ウイルスの危険度が高いと考えられているが、面白いことに、今年流行したウイルスは、添付ファイル型のものが多い。


また、最近のメール型ウイルスは、ウイルス自身がメール送信を行う。このため、差出人を任意に設定(詐称)し、感染したパソコン上で稼動するメールクライアントには送信履歴を残すことなくウイルスの感染を広めることができる。


自動実行型のウイルスが利用する代表的な手法と、ウイルスのメール送信の仕組みについて紹介する。


(1)自動実行型のウイルスの感染手法
 自動実行型のウイルスはHTMLメールを利用する。HTMLメールは、Internet ExplolerなどのWebブラウザを使って表示処理が行われるため、Webブラウザのセキュリティホールをそのまま利用することができる。Webブラウザのセキュリティホールが放置されている場合、HTMLメールを使って感染することは難しくない。


自動実行型のウイルスに利用される代表的なセキュリティホールにMS01-020がある。MS01-020は、「不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する」セキュリティホールである。本来であれば実行が制限される添付ファイルが、自動的に実行されてしまうというもの。


Bubble Boy、Frethem、 BugBear、 BADTRANS、そして、Netsky Pなど、多数のウイルスがMS01-020を利用している。2001年に公表されたこのセキュリティホールが、いまだに利用可能であることは、セキュリティ対策の難しさを改めて考えさせる。


MS01-020のようなセキュリティホールを使わず、単にHTMLのスクリプトを使って自動実行を行うウイルスもある。このようなウイルスは、Webブラウザのセキュリティゾーンを的確に設定していれば、感染する可能性は低い。感染を避けるための設定は、別途記載する。


(2)添付ファイルを開かせるための工夫
 添付ファイル型のウイルスは、利用者が十分に気をつけていれば、感染を防ぐことができる。それにもかかわらず、感染が広がったのは、添付ファイルを開かせるための工夫が巧妙になっているためだ。


少々古いが、この典型的な例が、“LOVE LETTER”ウイルスである。最近のウイルスは、マイクロソフトからのアップデートの案内を装ったり(SWEN)、顧客からのクレームや、メールサーバーからのエラーメールを装う(Netsky)など、より巧妙になっている。


(3)ウイルスが利用するメール機能について
 最近のウイルスは、ウイルス自身がメール送出機能を持つことが多い。これは、ウイルスにとってのいくつかの利点がある。


(ア)メールの送信履歴が残らない
 メールクライアントを利用しないため、ウイルスが送信したメールは送信履歴に残らない。また、送付先のメールサーバーと直接接続するため、組織内のメールサーバーにも履歴が残らない。このため感染を発見することが難しく、より多くのメールを送信できる可能性が高い。


(イ)任意の差出人を装ってメールを送信できる(差出人の詐称)
 ウイルスがメールクライアントを利用した場合、感染した利用者のメールアドレスが差出人となる(図1)。このため、だれが感染しているかを特定することが容易で対処が行いやすい。


これに対して、ウイルス自身がメール送信機能を持っている場合は、差出人を任意に指定することが可能である(図2)。このため、メールヘッダを詳細に見ないと、どこから送信されたメールか分からない。


図1 通常のメールクライアントによる配送


図2 ウイルスのメール機能による配送


3.何が問題だったのか?
 先に紹介したA嬢、B氏は、何が問題だったのだろうか?また、被害を受けたネットワークの管理者が、問題を回避することはできなかったのだろうか?


(1)A嬢の事例
 A嬢はウイルス感染を防ぐチャンスが三つあり、一つでも実行していれば感染することはなかった。


1 メールゲートウェイによるフィルタリング
2 パソコン上のアンチウイルスソフトによるフィルタリング
3 添付ファイルを開かない


項目1については、別途システム管理者向けに記載する。項目2をすり抜けた問題については、いくつかの可能性がある。


2-1 アンチウイルスソフトが稼動していない
2-2 リアルタイム検知機能が無効になっている
2-3 パターンファイルの更新が適切に行われていない
2-4 アンチウイルスソフトのパターンファイルの提供が間に合わなかった


項目3については、人的な側面が強い。まず、「実行形式の添付ファイルを開いてはいけない」ということを徹底する必要がある。


一方で、ウイルスが巧妙化しているため、状況によっては、思わず開いてしまうこともありうることを、システム管理者は理解するべきである。

技術的には、ファイルの拡張子の表示が有効になっていることや、メールクライアントによる添付ファイルの扱いについて確認する必要がある。添付ファイルの扱いについては、別途記載する。


(2)B氏の事例
 B氏の事例も、基本的にはA嬢の問題と同じである。A嬢の事例と違う点は、B氏が添付ファイルを開かなかったにもかかわらず、ウイルスに感染した点にある。B氏のケースは、A嬢のケースに加えて、以下のような防止のチャンスがあったものと思われる。


4 メールクライアントのプレビュー機能を無効にする
5 セキュリティゾーンの設定でスクリプトの実行を制限する
6 セキュリティパッチを適用する



■「最新メール型ウイルス事情」は、3回連載です。次回は、7月21日水曜日に掲載します。


■記事へのコメント投稿を希望される方は「ビジネスイノベーター」の「隣のネットセキュリティ事件」にアクセスしてください。


◎「ビジネスイノベーター」は会員制です。アクセスしていただくには、ユーザーIDとパスワードが必要になります。購読料金などの費用は一切かかりません。ぜひ、ご登録いただき、引き続きビジネスイノベーターをお読みくださるようお願いします。
詳しくは下記ページをご覧ください。
https://biz-inno.nikkeibp.co.jp/cgi-bin/registration.cgi

ここから下は、関連記事一覧などです。画面先頭に戻る ホームページへ戻る

記事検索 オプション

SPECIAL

日経BP社の書籍購入や雑誌の定期購読は、便利な日経BP書店で。オンラインで24時間承っています。

ご案内 nikkei BPnetでは、Internet Explorer 6以降、 Safari 2以降、Opera 8以降、Netscape 8.1以降またはHTML 4.01/CSS level 1, 2をサポートしたWebブラウザでの閲覧をお勧めしております。このメッセージが表示されているサポート外のブラウザをご利用の方も、できる限り本文を読めるように配慮していますが、表示される画面デザインや動作が異なったり、画面が乱れたりする場合があります。あらかじめご了承ください。

本文へ戻る