米国時間2月12日から,ベンダーやメディアを騒がせている「Anna Kournikova(アンナ・クルニコワ)*1」ウイルス*2 の発見や被害が,日本でも報告され始めた。動作メカニズムや,ユーザーに実行させる“手口”は,2000年5月に流行した「LoveLetter(ラブレター)」ウイルスと基本的に同じである。当時,ベンダーやセキュリティ機関からは,数々の警告や回避方法が出された。にもかかわらず,現在被害が出ているのは,LoveLetterウイルスの教訓がまったく生かされていないためだ。幸い,日本では米国ほどの被害は出ていない。教訓を生かして対策し,被害を食い止めたい。
*1 「VBS.SST@MM」や「OnTheFly」,「KALAMAR」などとも呼ばれる。
*2 他のプログラムには感染しないため,狭義では「ワーム」に分類される。
海外では大きな被害
米国などでは,既に大きな被害が出ていると伝えられるAnna Kournikovaウイルス。セキュリティ・ベンダーに限らず,インターネットのセキュリティ組織である「CERT/CC」や,NIPC(米国社会基盤防衛センター)が警告している。2月12日時点で,CERT/CCは100を超えるサイトから報告を受けているという。
日本でも,それほど多くないものの,発見や被害の報告が出ている。トレンドマイクロでは,2月13日午前中の段階で,ウイルスを受け取った企業ユーザーから十数件の問い合わせがあり,そのうち,被害報告は6件だった。被害を受けた半数が大手企業であったという。
ウイルスの届け出先機関であるIPA(情報処理振興事業協会)セキュリティセンターには,届け出や相談などが十数件寄せられているという。「今後,国内で届け出や被害が増大するかどうかは分からないが,日本に上陸していることは確かだ。注意する必要がある」(IPAセキュリティセンター ウイルス対策室 室長補佐 木谷 文雄氏)。届け出が増えるようならば,同センターでもWebなどで警告したいという。
「LoveLetter」ウイルスと“手口”は同じ
今回のウイルスは,LoveLetterウイルスと同じメカニズムで動作する。Microsoft Outlookユーザーが,VBScript(.vbs)ファイルである同ウイルスを実行してしまうと,アドレス帳に登録されているすべてのユーザーあてに,ウイルス添付メールを勝手に送信する。一度に多数のメールを送信するため,ウイルスの感染を広げるだけではなく,ネットワークやメール・サーバーにも多大な負荷を与える。だたし,LoveLetterとは異なり,ファイルの破壊などは行わない。
ユーザーにウイルスを実行させようとする“手口”も同じである。LoveLetterと同様に,VBScriptファイルの拡張子である「.vbs」がデフォルトでは表示されないことを悪用している。ファイル名が,「AnnaKournikova.jpg.vbs」であるため,設定によっては,「AnnaKournikova.jpg」と表示され,画像ファイルのように見えてしまう。LoveLetterは,添付ファイル名を「LoveLetter.txt.vbs」とすることで,実行しても問題がないテキスト・ファイルのように表示されることを狙った。
また,LoveLetterなどは,アドレス帳を利用してウイルス・メールを送信する。そのため,送信先は多くの場合,知人である。受信者は疑わずに“つい”クリックしてしまい,被害を受ける。
届かなかった警告
一見巧みに思えるAnnaKournikovaウイルス。しかしながら,これらの特徴は,LoveLetterウイルスが流行した際に,ベンダーやセキュリティ機関が何度も警告したことである。マイクロソフトは,このようなウイルス・ファイルを動作させないための,Outlook用「セキュリティ・アップデート」を公開済みだ。
IPAセキュリティセンターは,(1)VBScriptファイルが送られてくることはほとんどないので,疑うべきであることや,(2)VBScriptファイルの拡張子(.vbs)は表示されない場合があるので,アイコンやプロパティで確認する必要があること,(3)「メールの添付ファイルを不用意に実行しない」という,基本対策で予防できること,などをWebページで解説している。
また,VBScriptファイルをダブルクリックしても実行しないように,関連付けを削除したり,VBScriptを実行するWSH(Windows Scripting Host)をアンインストールする回避方法もある。これらの詳しい手順については,トレンドマイクロやシマンテックなどがWebサイトで公開している。
そのほか,Outlookの「オプション」から,添付ファイルのスクリプトを実行しないように設定したり,添付ファイルの種類が分かるように,ファイル名すべてを表示するようにWindowsを設定することも効果がある。
もちろん,ウイルス対策ソフトの利用も欠かせない。同ウイルスについては,ほとんどのアンチウイルス・ベンダーが,最新のデータ・ファイル(定義ファイルやパターン・ファイル)やエンジン・ファイルで対応している。
LoveLetterの出現以降,VBScriptを悪用した同様のウイルスは多数出現している。なぜAnnaKournikovaウイルスが,米国などでこれだけ流行しているのかについては,IPAやアンチウイルス・ベンダーも首をひねる。特に,原因は思い当たらないという。
明らかなのは,LoveLetterウイルスの時に,あれだけ騒ぎになったにもかかわらず,VBScriptウイルスに関して,注意を払っていないユーザーが多いということである。さらに,「今回のウイルス騒動は,安易に添付ファイルをクリックしてしまうユーザーが,いかに多いのかを改めて示した」(シマンテック SARCジャパン マネージャ 星澤 裕二氏)。現在のところ,日本ではそれほど被害は出ていないようだ。自分の元にAnnaKournikovaウイルスが届く前に,“教訓”を生かした対策を施しておく必要がある。
【2月15日追記】IPAセキュリティセンターでは,相談や届け出が50件を超えたとして,AnnaKournikovaウイルスを同センターのWebページで警告した。
[関連記事:女子テニス・プレーヤの名前騙るワーム「AnnaKournikova」にご注意]
CERT Coordination Center(CERT/CC)
■「CA-2001-03 VBS/OnTheFly (Anna Kournikova) Malicious Code」
National Infrastructure Protection Center(NIPC)
■「ASSESSMENT 01-001 "Anna Kournikova" also known as "VBS/SST" VBS Virus」
IPAセキュリティセンター
■「いわゆる『ラブレターワーム』とその亜種・変種の被害を防ぐための対策について」
■「新種ウイルス『VBS/SST』(AnnaKournikova)」に関する情報」
マイクロソフト
■Outlook 2000 SR-1 アップデート: 電子メール セキュリティ
■Outlook 98 アップデート: 電子メール セキュリティ
トレンドマイクロ
■「セキュリティ強化のためのWindows設定方法」
■「VBS_KALAMAR.A」の情報
シマンテック
■「Windows Scripting Hostを無効化または削除する方法」
■「VBS.SST@mm」の情報