セキュリティ組織の米SANS Instituteは現地時間6月9日,6月6日以降出回っている数字だけが書かれた“謎のメール”は,コンピュータ・ウイルス(悪質なプログラム)が送信している可能性が高いことを明らかにした。
セキュリティ組織やベンダーなどは6月6日,件名に数字だけが書かれたメールが広く出回っていることを公表していた(関連記事:数字だけが書かれた“謎のメール”が出回る)。実際,編集部にも複数送られている(写真)。
このメールには添付ファイルはなく,本文には件名とは異なる数字が記述されているだけでスクリプトなどは仕込まれていない。また,メールの送信者名(Fromヘッダー)は,受信者のアドレス(受信者名)に偽装されている。一般的なスパム(迷惑メール)やウイルス・メールとは異なるため,その送信者や目的などが分からなかった。
だが今回,あるウイルスが送信したメールである可能性が高いことが明らかとなった。このウイルスは,「Bagel」や「Beagle」,「Toosoo」などと呼ばれているウイルスの変種(亜種)の一種。シマンテックでは「Beagle.FC」と命名している。
現在では,悪質なプログラム全般を「ウイルス」と呼ぶことが多いため,Beagle.FCもウイルスの一種であるといえるが,狭義のウイルスとは異なり,Beagle.FC自身には感染を広げる機能はない。狭義では,有益なプログラムに見せかけてユーザーに実行させて被害を与える「トロイの木馬」の一種といえる。
シマンテックの情報によれば,Beagle.FCはパソコンに保存されているメール・アドレスを盗むトロイの木馬であるという。実行されると,Beagle.FCはパソコンに保存されているアドレス帳やテキスト・ファイル,HTMLファイルなどを検索し,それらに含まれるメール・アドレスを収集して特定のサイトへ送信する。送信の際にはHTTPを使用する。
また,複数の特定サイトに置かれた,あるファイルをダウンロードする。ファイルには複数のメール・アドレスが含まれており,Beagle.FCはそのアドレスあてにメールを送信する。メールの送信者名は送信先と同じにし,件名は「455」「557」「56757」「586876」「1545453」のいずれか,メールの本文は「5556」あるいは「969」にする。メールにはファイルを添付しない。これらは,編集部に送られてきたメールの特徴と一致する。
その後,Beagle.FCは自分自身を消去するという。
“謎のメール”の送信元がBeagle.FCであることは,ほぼ間違いないものの,依然,謎は残る。まず,Beagle.FCが使用するアドレスのリストは,誰がどのように収集したものなのか不明である。また,このようなメールを送信する理由についても謎のままだ。だが,Beagle.FCの作者が表明でもしない限り,これらが明らかになることはないだろう。
◎参考資料
◆Numbers Spam Solved(米SANS Institute)
◆Beagle.FC(シマンテック)