アンチウイルス・ベンダーやメディアの一部は,1月19日以降,Mac版Officeに感染する「メリッサ(Melissa)」ウイルスを大々的に報じた。しかし,誤解を招く内容が多く,中には明らかに間違っている表現もある。今回報じられたメリッサ・ウイルスは,(1)Mac版のOfficeでは,勝手にメールを送信して,感染を広げることはない。また,(2)Windows版とMac版Officeの両方で動作するウイルスはこれが初めてではない。さらに,(3)ファイル形式が変わっているだけで,ウイルス本体は既に発見されているメリッサとまったく同じである。ファイル形式の違いが原因で,一部のウイルス対策ソフトでは,検出できなかった。今回のメリッサ報道は,その実態に反して,“騒ぎすぎ”だったと言えよう。
誤解1 Mac上でも,Windows上と同じ発病動作をする
メリッサとは,99年3月に大きな被害をもたらした,Microsoft Office(Microsoft Word)のマクロ・ウイルスである。以降,次々と変種が登場しており,今回報じられたメリッサ・ウイルスは「Melissa.W」や「ASSILEM.B」,「Melissa-X」などと命名されている。
オリジナルおよび変種を問わず,メリッサ・ウイルスに感染したWord文書ファイルを開いてしまうと,次のような“発病”動作をする。(1)Microsoft Wordを使って,ほかのファイルに感染を広げるとともに,(2)Microsoft Outlookを使って,アドレス帳に登録してあるメール・アドレスに,ウイルス感染ファイル(現在Wordで開いているファイル)を添付して送信する。
(1)は,マクロ・ウイルスによくある動作である。ウイルスは,感染しているWordファイルが開かれると,Wordのテンプレート・ファイルに自分自身をコピーする。そのため,その後,Microsoft Wordで開いたり,作成したWordファイルには,ウイルスが感染していく。
メリッサの特徴は(2)の動作である。ベンダーのプレス・リリースやニュースの中には,あたかもMac上でもこの動作が起こるかのように記述されているが,誤りである。この動作は,Mac上では“起こらない”。そもそも,「『Office 2001 for Mac』には,Outlookが存在しないので,メールを送信できない」(トレンドマイクロ ウイルスアナリストエンジニア 岡本 勝之氏)。さらに,「メリッサの中で使われている関数の一部は,Windows上でしか使えない」(シマンテック SARCジャパン マネージャ 星澤 裕二氏)。
(1)の感染については,Mac上でも起こる可能性は高いようだ。すなわち,Mac版でもWindows版同様,Microsoft Wordで,メリッサ感染ファイルを開いた後,ほかの文書ファイルを開くと,そのファイルにもメリッサは感染する。知らずにしばらく使い続けると,マシン上のWordファイルの多くにメリッサが感染することになる。勝手にメール送信をしないものの,メリッサ感染ファイルをWindowsユーザーに渡した場合,そのユーザーがファイルを開けば,被害に遭うことになる。この点では,Macユーザーも安心はできない。しかし,そのようなウイルスは,今回のメリッサが最初ではない。
誤解2 MacとWindowsの両方で動作するウイルスは珍しい
リリースや報道の中には,MacとWindowsという,複数のOSで動作することを,今回のウイルスの特徴として挙げているものもある。誤りである。そもそもマクロ・ウイルスは,「プログラムではなく,文書ファイルに感染する」のと同時に,「OSに依存せずに,アプリケーションに依存する」ことが特徴であるからだ。実際,初期のマクロ・ウイルスである「CAP」をはじめ,WindowsとMacの両方のアプリケーションに感染するウイルスは多い。
今回のメリッサのように,WindowsとMacで動作が異なるマクロ・ウイルスや,Windowsにしか感染あるいは発病しないマクロ・ウイルスは,その内部で,OSに依存した関数を使ったり,ディレクトリ指定(例えば,“C:\”)などをしている。そのため,結果的に,OS依存のウイルスとなっている。しかし,現在では,「そういったウイルスは少なく,OSに依存しないようなマクロ・ウイルスが増えている。そのため,『Macだから大丈夫』ということはなく,Windowsマシンと同様の被害を受ける可能性がある」(シマンテック 星澤氏)。
誤解3 今回のメリッサは“新しい”変種
「Melissa.W」などと命名されているウイルスは,あたかも最近登場した変種のように報じられているが,これも誤りである。これらの変種ウイルスは,既に発見されている。例えばシマンテックでは,99年5月に発見している。
今回話題になったのは,既に発見されているウイルスの,ファイル形式が「Office 2001 for Mac」になっただけのウイルスである。ウイルスの中身(コード)はまったく変わらない。中身が同じだったにもかかわらず,ファイル形式が変わったために,一部のウイルス対策ソフトでは検出できず,米国などでは被害が広がった。
それでは,なぜ中身が同じなのに,ファイル形式が変わっただけで,検出できなくなったのだろうか。「誤検出などを防ぐために,まず対象ファイルの形式を調べ,その形式に対応したチェックを行っている。この方法を適用することで,以前よりも精度は上がっているが,今回はそれが裏目となった」(トレンドマイクロ 岡本氏)。同社ではMac対応製品を扱っていないため,“経験不足”も一因として挙げている。
シマンテックでは,ファイル形式が変わった今回のメリッサも,以前のデータ・ファイル(*1)で検出できたという。ただし,ウイルスを駆除するときに問題があったので,対策ソフトのエンジン部分を更新した(*2)。「Officeが新しいバージョンになるたびに,新しいファイル形式でも,既存のマクロ・ウイルスが正しく検出できるかどうかのチェックをしている。検査対象にしたウイルスについては,検出,駆除ともに問題がなかったが,Melissa.Wだけは対象にしていなかった」(シマンテック 星澤氏)。
ファイル形式がOffice 2001 for Macになっただけで,既存のウイルスを検出できないとなると問題である。今回はメリッサが問題となったが,ほかのマクロ・ウイルスでも同様の事態が起きかねない。これについては,各アンチウイルス・ベンダーとも,対応済みであるという。「ファイル形式が変わった場合には,どのようにチェックすればよいのかが,今回明らかとなったので,同じようなことは起きない」(トレンドマイクロ 岡本氏)。
誤解4 ウイルス・ファイル名は「ANNIV.DOC」
リリースなどによっては,ウイルスに感染したファイル名を「ANNIV.DOC」などと特定している。これは今回のメリッサに限らず,マクロ・ウイルスに対する大きな誤解である。一度でも,ウイルス感染ファイルを開いたWordで作成した文書は,すべてウイルス感染ファイルとなる。そのため,ファイル名から,ウイルス・ファイルかどうかを判断できない。送られてくるべき相手からの,送られてくるべき文書ファイルでも,ウイルスに感染している可能性があるのだ。もっとも多く出回っている感染ファイル名が「ANNIV.DOC」なので,そのような記述をしたと思われるが,余計な,そして危険な知識をユーザーに与えかねない。
なお,アンチウイルス・ベンダー各社に聞いたところ,国内では,今回のメリッサによる被害や発見報告はほとんどないという。ウイルスの届け出先機関である,IPAセキュリティセンター ウイルス対策室でも,1月24日時点,国内からのMelissa/Wと思われる発見報告や,相談はほとんどないという。もちろん,現段階で被害がないからといって,今後流行しないとはいえない。発見直後ではなく,数カ月たってから猛威を振るうウイルスも多い。しかし,今回のメリッサについては,実態に反して,“騒ぎすぎ”だったと言えよう。
*1 ここではウイルス対策ソフトがウイルス検出に使う,各ウイルスの特徴を収めたデータベース・ファイルを指している。ベンダーによって,「ウイルス定義ファイル」や「DATファイル」,「パターン・ファイル」などと呼び名が異なる。
*2 同社の製品では,ウイルスの特徴を収めたデータ・ファイルと,検出エンジン・プログラムの修正部分を,同時にアップデートできる仕組みを採用している。複数のベンダーが,この仕組みを採用している。
