生かされない「LoveLetter」の教訓

“話題”のAnnaKournikovaウイルス，日本でも一部に被害

勝村幸博

2001.02.14

　米国時間2月12日から，ベンダーやメディアを騒がせている「Anna Kournikova（アンナ・クルニコワ）*1」ウイルス*2 の発見や被害が，日本でも報告され始めた。動作メカニズムや，ユーザーに実行させる“手口”は，2000年5月に流行した「LoveLetter（ラブレター）」ウイルスと基本的に同じである。当時，ベンダーやセキュリティ機関からは，数々の警告や回避方法が出された。にもかかわらず，現在被害が出ているのは，LoveLetterウイルスの教訓がまったく生かされていないためだ。幸い，日本では米国ほどの被害は出ていない。教訓を生かして対策し，被害を食い止めたい。

*1 「VBS.SST@MM」や「OnTheFly」，「KALAMAR」などとも呼ばれる。
*2 他のプログラムには感染しないため，狭義では「ワーム」に分類される。

海外では大きな被害

　米国などでは，既に大きな被害が出ていると伝えられるAnna Kournikovaウイルス。セキュリティ・ベンダーに限らず，インターネットのセキュリティ組織である「CERT/CC」や，NIPC（米国社会基盤防衛センター）が警告している。2月12日時点で，CERT/CCは100を超えるサイトから報告を受けているという。

　日本でも，それほど多くないものの，発見や被害の報告が出ている。トレンドマイクロでは，2月13日午前中の段階で，ウイルスを受け取った企業ユーザーから十数件の問い合わせがあり，そのうち，被害報告は6件だった。被害を受けた半数が大手企業であったという。

　ウイルスの届け出先機関であるIPA（情報処理振興事業協会）セキュリティセンターには，届け出や相談などが十数件寄せられているという。「今後，国内で届け出や被害が増大するかどうかは分からないが，日本に上陸していることは確かだ。注意する必要がある」（IPAセキュリティセンターウイルス対策室室長補佐木谷文雄氏）。届け出が増えるようならば，同センターでもWebなどで警告したいという。

「LoveLetter」ウイルスと“手口”は同じ

　今回のウイルスは，LoveLetterウイルスと同じメカニズムで動作する。Microsoft Outlookユーザーが，VBScript（.vbs）ファイルである同ウイルスを実行してしまうと，アドレス帳に登録されているすべてのユーザーあてに，ウイルス添付メールを勝手に送信する。一度に多数のメールを送信するため，ウイルスの感染を広げるだけではなく，ネットワークやメール・サーバーにも多大な負荷を与える。だたし，LoveLetterとは異なり，ファイルの破壊などは行わない。

　ユーザーにウイルスを実行させようとする“手口”も同じである。LoveLetterと同様に，VBScriptファイルの拡張子である「.vbs」がデフォルトでは表示されないことを悪用している。ファイル名が，「AnnaKournikova.jpg.vbs」であるため，設定によっては，「AnnaKournikova.jpg」と表示され，画像ファイルのように見えてしまう。LoveLetterは，添付ファイル名を「LoveLetter.txt.vbs」とすることで，実行しても問題がないテキスト・ファイルのように表示されることを狙った。

　また，LoveLetterなどは，アドレス帳を利用してウイルス・メールを送信する。そのため，送信先は多くの場合，知人である。受信者は疑わずに“つい”クリックしてしまい，被害を受ける。

届かなかった警告

　一見巧みに思えるAnnaKournikovaウイルス。しかしながら，これらの特徴は，LoveLetterウイルスが流行した際に，ベンダーやセキュリティ機関が何度も警告したことである。マイクロソフトは，このようなウイルス・ファイルを動作させないための，Outlook用「セキュリティ・アップデート」を公開済みだ。

　IPAセキュリティセンターは，（1）VBScriptファイルが送られてくることはほとんどないので，疑うべきであることや，（2）VBScriptファイルの拡張子（.vbs）は表示されない場合があるので，アイコンやプロパティで確認する必要があること，（3）「メールの添付ファイルを不用意に実行しない」という，基本対策で予防できること，などをWebページで解説している。

　また，VBScriptファイルをダブルクリックしても実行しないように，関連付けを削除したり，VBScriptを実行するWSH（Windows Scripting Host）をアンインストールする回避方法もある。これらの詳しい手順については，トレンドマイクロやシマンテックなどがWebサイトで公開している。

　そのほか，Outlookの「オプション」から，添付ファイルのスクリプトを実行しないように設定したり，添付ファイルの種類が分かるように，ファイル名すべてを表示するようにWindowsを設定することも効果がある。

　もちろん，ウイルス対策ソフトの利用も欠かせない。同ウイルスについては，ほとんどのアンチウイルス・ベンダーが，最新のデータ・ファイル（定義ファイルやパターン・ファイル）やエンジン・ファイルで対応している。

　LoveLetterの出現以降，VBScriptを悪用した同様のウイルスは多数出現している。なぜAnnaKournikovaウイルスが，米国などでこれだけ流行しているのかについては，IPAやアンチウイルス・ベンダーも首をひねる。特に，原因は思い当たらないという。

　明らかなのは，LoveLetterウイルスの時に，あれだけ騒ぎになったにもかかわらず，VBScriptウイルスに関して，注意を払っていないユーザーが多いということである。さらに，「今回のウイルス騒動は，安易に添付ファイルをクリックしてしまうユーザーが，いかに多いのかを改めて示した」（シマンテック SARCジャパンマネージャ星澤裕二氏）。現在のところ，日本ではそれほど被害は出ていないようだ。自分の元にAnnaKournikovaウイルスが届く前に，“教訓”を生かした対策を施しておく必要がある。

【2月15日追記】IPAセキュリティセンターでは，相談や届け出が50件を超えたとして，AnnaKournikovaウイルスを同センターのWebページで警告した。