2000年12月末から2001年1月11日にかけて,アンチウイルス・ベンダーやIPA(情報処理振興事業協会)が,コンピュータ・ウイルス「Hybris」を警告している。国内での被害報告が急増しているためである。ウイルス自身を添付したメールを,勝手に送信して感染を広げるこのウイルスには,次の特徴がある。(1)ウイルス・メールの送信者が特定できない,(2)プラグインをダウンロードして,ウイルス自身を変化させる,の2点である。(1)により,ウイルス・メールの受信者は,送信者に知らせることができない。そのため,送信者はウイルス・メールを出し続けることになる。(2)のために,アンチウイルス・ソフトをインストールしていても,データ・ファイル*1の更新を少しでも怠ると,ウイルスを検出できない可能性がある。十分注意が必要だ。
Hybrisウイルスは2000年9月から10月ごろにかけて,アンチウイルス・ベンダー各社により,既に発見されている。それが,2000年末から国内での感染被害が急増。ウイルス被害の届け出先機関であるIPAのセキュリティセンターによると,届け出および相談件数は200件を超えているという。トレンドマイクロによると,1月11日午後現在,相談件数は127件で,そのうち実際に被害を受けたのは47件という。ちなみに,2000年12月20日に,東京証券取引所が運営するメール・マガジンで配信されたウイルスもこのHybrisである([関連記事] )。
単独の実行形式ファイルであるHybrisウイルスを実行してしまうと,Windowsのシステム・ファイルである「WSOCK32.DLL」を書き換え,ウイルス自身を添付したメールを勝手に送信する。そのため,使用しているメール・ソフトの種類を問わず,感染発病する。ここまでは,「Happy99(W32/Ska)」ウイルスなどと同じで,現在では珍しくないウイルスである。しかし,Hybrisウイルスには,今まで流行したウイルスにはあまり見られない,次のような特徴がある。
送信元が分からない
Hybrisウイルスを添付したメールの送信者名は,送信したコンピュータが日本語環境などの場合には空白,英語環境などの場合には「Hahaha」となる。いずれの場合も,送信者のメール・アドレスは分からない。そのため,「ウイルス・メールの受信者は,メール送信者がウイルスに感染していることを知らせることができない。送信者は自分自身で気付くまで,ウイルス・メールを出し続けることになる」(IPAセキュリティセンター ウイルス対策室 室長補佐 木谷 文雄氏)。後述するプラグインの機能で,2001年になってから,画面に“渦巻き”模様を表示する変種が登場している。「画面に表示されるようになって,初めて気付いたユーザーは多いようだ。その前にウイルス・メールを送信している可能性は高い」(IPA 木谷氏)。
もちろん,メールのエンベロープ*2情報を調べれば,送信者が利用したメール・サーバーなどは分かる。しかし,その情報から,送信者を特定して,連絡することは簡単ではない。
プラグインをダウンロードして変種に
さらにHybrisウイルスが厄介なのは,インターネットからプラグインをダウンロードして,ウイルス自身の機能を追加することができる点だ。勝手にプラグインをダウンロードするウイルスとしては,「Babylonia」と呼ばれるウイルスが過去に存在する。ただし,プラグインのダウンロード元はWebサイトであった。そのWebサイトは既に閉鎖されているので,Babyloniaは姿を変えることができない。ところが,Hybrisの場合には,あるWebサイトとニュース・グループ「alt.comp.virus」から,プラグインをダウンロードする。日本ネットワーク アソシエイツの情報によると,2000年11月20日にWebサイトは閉鎖されたものの,「alt.comp.virus」からのダウンロードは続いており,11月21日には新しいプラグインが配布されたという。
「どのようなプラグインが用意されているのか,すべては明らかになっていない。ただし,判明しているものについては,検出できるように対応している」(トレンドマイクロ)。ほかのベンダーも,プラグインにより変種となったウイルスも検出できるとしている。しかし,新しいプラグインが配布される可能性は高い。「新しいプラグインを適用したウイルスは,それまでのデータ・ファイルでは検出できない可能性がある」(トレンドマイクロ)。今回に限ったことではないが,データ・ファイルは絶えず更新して,新しい変種ウイルスに備える必要がある。
そのほかにも,(1)ウイルス・ファイル名を複数個の中からランダムに決めるので,ファイル名からウイルスかどうかを判断することは困難,(2)ウイルスがWSOCK32.DLLを変更すると,元のウイルス・ファイルは削除されるので,感染に気付きにくい,などの特徴がある。
次々出現する変種に,食い違う情報
「プラグインのせいで,Hybrisには多数の変種が存在する。そのため,各ベンダーの“検体”が異なる可能性がある」(トレンドマイクロ)。この言葉からも分かるように,各ベンダーやIPAが公開している情報には若干の違いがある。発病した場合の動作として,「勝手にウイルス添付メールを送信する」,「一斉に多数のメールを送信するようなことはしない」ということは一致しているが,「だれに」送信するのかが異なる。
日本ネットワークアソシエイツとシマンテックの情報では,(1)メールを送信すると,そのメール・アドレスあてに,ウイルス添付メールを送信する。トレンドマイクロは,(2)メールを送受信すると,メールの受信者あるいは送信者あてに,ウイルス添付メールを送信するとしている。IPAによると,(3)メールを受信した場合には送信者へ,ブラウザで閲覧しているWebページ上にメール・アドレスがあったら,そのアドレスへ送信するという。(3)の場合,Webページ上に自分のアドレスを公開しているユーザーは,まったく知らない人からウイルスが送られてくる可能性がある。実際,,IPAには,メールのやり取りに使っておらず,Webページ上だけで公開しているメール・アドレスへウイルスが送られてきたという相談があったという。
いずれの場合も,書き換えられたWSOCK32.DLLがメール・アドレスをチェック,記憶して,そのあて先へウイルス・メールを送信する。もし感染してしまった場合には,WSOCK32.DLLを修復,あるいは正常なWSOCK32.DLLと取り替える必要がある。アンチウイルス・ベンダーやIPAのWebサイトには詳細な修復方法が記載されているので,参考にしてほしい。
*1 データ・ファイル:ここではアンチウイルス・ソフトがウイルス検出に使う,各ウイルスの特徴を収めたデータベース・ファイルを指している。ベンダーによって,「パターン・ファイル」や「シグネチャ」などと呼び名が異なる。
*2 エンベロープ:メール・ソフトとメール・サーバー,あるいはメール・サーバー同士のSMTP(Simple Mail Transfer Protocol)通信に使われる情報。実際の郵便で考えると,封筒(envelope)の外側に書く情報に相当し,メールのヘッダー(送信者名など)や本文は封筒の中身に相当する。ユーザーがエンベロープを意識することはない。
