2008年3月,ウイルス対策ソフト大手のトレンドマイクロがウイルス情報を提供するWebページの一部が改ざんされたことが明らかになった(関連記事)。

 改ざんされたWebページにアクセスしたり,挿入された文字列に含まれるURLをコピーしてアクセスしたりすると,JavaScriptで記述された「JS_DLOADER.TZE」というダウンローダ型のウイルスがダウンロードされる可能性があった。このため,トレンドマイクロは一時ウイルス情報ページを閉鎖するなど対応に追われた。

 トレンドマイクロのウイルス情報提供ページだけではない。ごく普通のWebサイト(以下,正規サイト)が,ウイルス感染の“わな”になっていた,というケースは後を絶たない。犯罪者によって改ざんされ,不正なコードを埋め込まれたWebサイトにアクセスし,ユーザーが気付かないうちにウイルスに感染する。こうした正規サイトへのアクセスによるウイルス感染被害の実態も明らかになっている。

治しても治しても止まらない

 「パソコンの調子がどうもおかしい」。東京都品川区にあるジェイティービー(JTB)本社の一部フロアで,動作に異常を示すパソコンが見つかった。このパソコンでWordや Excelを使おうとすると,CPU利用率が100%近くに達し,保存処理などで極端に時間がかかるという不具合が確認された。2006年12月20日午後のことだ。

 このトラブルに対応したのが,JTBグループの情報システム子会社であるJTB情報システム(JSS)だった。ウイルス対策ソフトはウイルスを検出しなかったが,ほぼ同時に同じフロアで異常な動作をするパソコンが複数台見つかったことなどから,「新種ウイルスが一部のパソコンに感染したのだろう」(JSSの野々垣典男執行役員グループIT推進室長)と見ていた。

 JTBは過去に,一部のパソコンがNimdaに感染したことがある。その経験からJSSは即座に,不具合を確認したパソコンを隔離し,原因と推測されるファイルを削除するといった対策に当たった。ところが事態は一向に収束しない。それどころか,パソコンの共有フォルダを経由するなどして感染被害は拡大し,その数は200台,300台と増え続けた。厄介なことに,ウイルスに感染したパソコンはそれぞれ異なる不具合を示した。調べてみると,感染しているウイルスが違う。最終的には,こうした状態のパソコンは800台にまで達した(図1)。

図1●JTBでは中国のWebサイトへのアクセスをきっかけに,本社のパソコン800台がウイルスに感染
図1●JTBでは中国のWebサイトへのアクセスをきっかけに,本社のパソコン800台がウイルスに感染
次から次に入り込んでくる未知ウイルスへの対応に追われた。一部では共有フォルダを介して感染が広がった。
[画像のクリックで拡大表示]

 JSSはトレンドマイクロに合計約100個の検体を提出。その分析結果により,Webサイトから別のウイルスをダウンロードする「PE_FUJACKS」などのウイルスが一斉になだれ込んだことが分かった。さらにダウンローダ型のウイルスが,次々に新たなウイルスを呼び込んでいた。

 「ウイルス感染対策のために,やるべきことはやっていた」。JSSの野々垣室長はこう振り返る。ゲートウエイ,サーバー,クライアントにトレンドマイクロ製のウイルス対策ソフトを導入しており,常に最新のパターン・ファイルに更新していた。ただ,当時このウイルス対策ソフトはJTBが感染したウイルスのパターン・ファイルを持っていなかった。

 感染源をほぼ特定したのは,復旧作業の最中。通信ログを調べたところ,あるパソコンがウイルスによる周囲への攻撃と思われる不審なトラフィックを発していた。JTBの海外事業関連ビジネスを担当する従業員が利用しているパソコンである。

 この従業員は,パソコンが不審な動作を示す直前に,中国のWebサイトにアクセスしており,そこに仕込まれていた不正コードが元でウイルスが侵入したと判断できた。このWebサイトは,中国のイベント情報などを掲載しており,現在も運営されているという。JTBが被害に遭ったのは約1年前。そして 2007年に,同様の被害が国内でいくつも見えてきた。

電子カルテを使うパソコンに一斉感染

 千葉大学医学部附属病院では,電子カルテ・システムのサーバーにアクセスしてデータを更新した院内のパソコンが次々にウイルスに感染し,同システムを利用できなくなった。感染した端末の数は1200台。最新のカルテを閲覧できなくなったことで,診察,検査や処方せんのオーダーなどの業務に支障が出た。

 発端はやはり,以前に利用したことのある,「まっとうな」サイトへのアクセスである。2007年9月5日午前4時20分ころ,看護士が資料作成を目的に人体画像(下絵)を掲載する中国のWebサイトにアクセス。その際,ウイルスが院内のネットワークに入り込んだ。ウイルス対策ソフトのログからは,サイトにアクセスした時刻と同じころに,JavaScriptで記述された「JS_PSYME.AFD」など複数のウイルスを検出した記録が見つかった。その中には,「対策ソフトがパターン・ファイルを作成していないウイルスが相当数あった」(高林克日己企画情報部長兼病院長補佐)。

 千葉大病院は,復旧のために端末をインターネットから切り離し,感染したファイルを削除し,中国ベンダー製のワクチン・ソフトを適用するなどして事態の収拾を図った。