セキュリティ組織の米SANS Instituteなどは現地時間6月12日,米Yahoo!が提供するWebメール・サービスの脆弱性(セキュリティ・ホール)を突いて感染を広げるウイルスが出回っているとして注意を呼びかけた。メール本文を読もうとするだけで感染し,アドレス・リストの情報を盗まれるとともにウイルス・メールを送信させられる。Yahoo!では現在対処中であるとしている。
Yahoo!のWebメール・サービス(Yahoo!メール)には,メールに細工が施されていると,メール本文を開くだけで,添付されたHTMLファイルを勝手に開いてしまう脆弱性が見つかった。HTMLファイルにスクリプト(JavaScript)が含まれている場合には,そのスクリプトも勝手に実行されてしまう。今回のウイルスはこの脆弱性を悪用するもので,HTMLファイルに含まれるスクリプトがウイルスの実体である。なお,今回の脆弱性は未知のもので,ウイルスの出現によってその存在が明らかになった。いわゆる「0-day(ゼロデイ)」である。
セキュリティ・ベンダーの米Symantecでは,今回のウイルスを「JS.Yamanner@m」と命名。同社やSANS Instituteなどの情報によると,Yamannerは以下のように動作する。まず,Yahoo!メールに届いたウイルス添付メールをWebブラウザで開くと,添付されているHTMLファイル(ウイルス・ファイル)が勝手に開かれて,中に仕込まれたウイルス(スクリプト)が動き出す。
ウイルスはまず,ある特定のサイトをブラウザで開こうとする。だが,そのサイトのURLのスペルが誤っている(ピリオド「.」とすべきところをカンマ「,」にしている)ために,この活動は失敗する。現時点ではこのサイトには何のコンテンツも置かれていないので,ブラウザで開こうとする理由については不明である。
次に,ウイルスはYahoo!メールのアドレス・リストからメール・アドレスを収集し,特定のサイトへHTTPで送信する。また,収集したアドレス中の「@yahoo.com」および「@yahoogroups.com」のアドレスあてに,ウイルス・ファイル(HTMLファイル)を添付したメールを送信して感染を広げる。メールの送信者名は「Varies」,件名は「New Graphic Site」(SANS Insituteでは「(ランダムな文字列) New Graphic site」としている),本文には「forwarded message attached.」という文字列が含まれているという。
WebブラウザのJavaScript機能を無効にすればウイルスは動作しないが,Webメールも利用できなくなる。このためSANS Insituteでは,現在では自明な回避策(trivial fix)は存在しないという。ただし,ウイルス対策ソフトの一部では既に対応しているので,最新のウイルス定義ファイルを用いた対策ソフトの利用が回避策の一つになる。
SANS Insituteの情報によれば,Yahoo!では脆弱性を修正しているところで,現在は今回のウイルス・メールをブロックすることで感染拡大を防いでいるという。
Yahoo!メールのユーザーは,ウイルス対策ソフトの利用に併せて,見慣れない相手からのメールは開かないようにして感染を防ぎたい。ウイルス本体(スクリプト)はセキュリティ関連のメーリング・リストなどで公開されているので,脆弱性が修正されるまでは,一部だけを改変した変種(亜種)ウイルスが出現する可能性は高い。このため,件名が「New Graphic Site」以外のメールについても注意する必要がある。
◎参考資料
◆Yahoo! mass-mailer(米SANS Institute)
◆JS.Yamanner@m(米Symantec)
