11月22日以降,メールで感染を広げる「Sober」ウイルスの亜種が続出しているとして,国内外のセキュリティ組織が警告している。米US-CERTや米SANS Institute,米連邦捜査局(FBI)などは米国時間11月22日,情報処理推進機構セキュリティセンター(IPA/ISEC)は11月24日,それぞれ注意を呼びかけている。新しい亜種については,ウイルス対策ソフトを使っていても検出できない場合がある。信頼できないメールの添付ファイルは決して開いてはいけない。
IPA/ISECによると,24日の午前1時以降,同組織の検知システムにおいて,Soberを添付したメールの受信件数が急増しているという。実際,企業からのSoberに関する届け出も増えている。Sober添付メールの増加により,企業のメール・サーバーが影響を受ける可能性があるとしている。
Soberの挙動は亜種によってさまざまである。US-CERTによると,以下のような挙動が多くの亜種で確認されているという。
- Windows XPのファイアウオール機能を無効にする
- パソコン中のファイルからメール・アドレスを収集する
- 収集したアドレスへSober添付ファイルを送信する
- hostsファイルを改変して,セキュリティ・ベンダーなどのサイトへアクセスできないようにする
- ウイルス対策ソフトやパーソナル・ファイアウオールといったセキュリティ・ソフトを停止させる
- バックドアを開いて,IRC経由でリモートからパソコンを操作できるようにする(ボットとして機能する)
ユーザーが思わず添付ファイルを開くように,Sober添付メールの送信者名や件名,本文なども“工夫”している。例えば,FBIや米中央情報局(CIA),ドイツ連邦刑事庁(BKA)から送られてきた警告メールに見せかける亜種が存在する(関連記事)。FBIによると,同組織をかたるメールの本文例は以下のとおり。
Dear Sir/Madam,
We have logged your IP-address on more than 30 illegal Websites.
Important: Please answer our questions! The list of questions are attached.
Yours faithfully,
Steven Allison
Federal Bureau of Investigation-FBI-
メールの送信者アドレスは「mail@fbi.gov」や「post@fbi.gov」,「admin@fbi.gov」など。メールに添付されている圧縮ファイル(ZIPファイル)にSoberの本体が含まれている。
対策は,ウイルス対策ソフトの利用。新しく出現した亜種も検出できるように,最新の定義ファイル(パターンファイル)に絶えずアップデートすることを,いずれの組織でも強く勧めている。
ただし,ベンダーの対応スピードが間に合わず,最新の定義ファイルを利用していてもSoberを検出できない場合がある。SANS Instituteには,最新の定義ファイルを使っていても検出できない場合があったという報告がユーザーから寄せられているという。対策ソフトの利用は不可欠だが,過信は禁物である。対策ソフトが警告を出さなくても,添付ファイルを安易に開いてはいけない。
◎参考資料
◆「W32/Sober」ウイルスの亜種に関する情報(IPA/ISEC)
◆More Sober Variants(米SANS Institute)
◆W32/Sober Revisited(米US-CERT)
◆FBI ALERTS PUBLIC TO RECENT E-MAIL SCHEME(FBI)
