今回の検証ウイルスは「PE_NIMDA.A」(ニムダ)だ。ニムダは以前に本寄稿で紹介した「コードレッド」の後を受け,2001年9月に登場したネットワークウイルスである。ニムダは,複数のセキュリティ・ホール攻撃によるダイレクトアクション(ネットワークウイルス活動),ファイル感染,マスメーリングワーム活動,ネットワークワーム活動を行う,まさに“全部入り”と呼べる活動を行う。多機能型ウイルスの一つの頂点と言えるだろう。
特にマイクロソフトから2001年3月30日に公開されたセキュリティ・ホール,「不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する (MS01-020)」に対する攻撃は,Webを閲覧しただけで,メールをプレビューしただけで,またエクスプローラでフォルダを表示しただけでニムダが実行され活動を開始してしまうという,最悪のダイレクトアクションが実現されてしまった。ニムダはこの活動により,当時最速規模と言われたコードレッドの感染被害をさらに上回る世界的な大規模感染を巻き起こした。コードレッドは基本的にWebサーバーが攻撃対象だったが,ニムダはすべてのコンピュータに感染を広げるのだから当然である。
私事になるが,筆者がこれまでに対応してきたウイルスの中で,このニムダへの対応が最も大規模かつ困難だった。ニムダのダイレクトアクション活動は「メールの添付ファイルをオープンしなければウイルスが活動開始することは無い」というそれまでの常識を覆した。2001年当時は,まだセキュリティ・ホールをアップデートする重要性はそれほど認識されていなかった。覆された常識を検証し,何が起こっているのかを把握するだけでも精一杯の対応だった。そもそも誰もセキュリティ・ホールを攻撃する大きな脅威に遭遇したことがなかったのだ。
そしてニムダのまん延以降,セキュリティ対策の上でセキュリティ・ホールの修正の重要性が増していったことは言うまでも無い。逆に言えば,コードレッドとニムダはセキュリティ・ホールを放置する危険性を全世界的に証明して見せたウイルスとも言えるだろう。
では,そのニムダの活動を検証してみよう。過去のウイルスを当時のOSで実行しても解析済みの活動を確認できるだけなので,今回は最新OSであるWindows Vista上で実行する。Windows Vistaではブラウザも最新のInternet Explorer 7であり,当然ニムダが攻撃するセキュリティ・ホールはすべて修正されている。
まず,プロセス監視のプログラムとしてProcess Explorerを起動しておく。これで突然ウイルスが実行されても確認が可能だ。そしてニムダが作成するメールファイル(.eml)をVista上にコピーする(図1)。ファイル名は”NIMDA.EML”とした。
このメールはHTML形式メールになっており,ニムダのコピーがreadme.exeというファイル名で添付されていると同時に,セキュリティ・ホールを攻撃するコードが含まれている。このメールがオープンされたり,プレビューされたりするとセキュリティ・ホールへの攻撃が行われ,成功するとニムダが自動的に活動を始める仕組みだ。
