シマンテックおよびトレンドマイクロのゲートウエイ用ウイルス対策製品において,「Sircam」ウイルスを検出できない場合があるという問題が明らかとなった。最新のウイルス・チェック用のデータ・ファイルを使用していても,検出できないことがある。
問題があるのは,シマンテックの「Norton AntiVirus 1.5 for FireWalls」および「Norton AntiVirus 2.1/2.51 for Gateways」,トレンドマイクロの「InterScan VirusWall for Windows NT 3.x」*。トレンドマイクロは7月26日に同社Webサイトでパッチを公開した。また,シマンテックは不具合を修正したバージョンを7月27日からユーザーに配布する予定である。
* 3.x以前のバージョンにも同様の問題があるが,現在はサポート対象外。
両社とも,上記製品はSircamウイルスをまったく検出できないわけではなく,「検出できない場合がある」としている。現在猛威を振るっている Sircam ウイルスは,メールに自分自身を添付して感染を広げるウイルスである。自分自身を送信する際,Sircamは送信元マシンからランダムにファイルを選択し,ウイルス・ファイルに組み込む。そのため,ファイル名だけでなく,ファイルの内容自体も送信元により異なる。そのファイルの内容によっては,上記製品ではSircamを正しく認識できないという。
両社によると,問題はメール(正確には添付ファイル)のエンコード(符号化)・データにある。一般に,バイナリ・ファイルなども送れるように,添付ファイルはMIME形式に従って,Base64などでエンコードされる。メールの送信機能を持つ Sircam ウイルスは,自分自身でウイルス・ファイルをエンコードしてから送信する。このとき,ウイルス・ファイルによっては,ウイルス対策ソフトが添付ファイルとは認識できない文字列にエンコードされてしまうという。
ウイルス対策ソフトのチェックをすり抜けたウイルスを含んだメールは,一般のメール・ソフトなどでデコードされて元のファイルに戻る。そのため,受信したウイルス・ファイルを開けば感染・発病する。
以上のように,エンコード・データの中のウイルスを認識できないことが問題なので,リアルタイムでメール(SMTP)のトラフィックを監視するゲートウエイ用製品だけが影響を受ける。両社のデスクトップ用製品やグループウエア用製品などは影響を受けない。これらの製品の場合,メール・ソフトなどの別ソフトがデコードした後のファイルをチェックするからだ。
対策は,パッチや修正バージョンをインストールすること。トレンドマイクロは同社のWebサイトでパッチを公開した。
加えて,「InterScan VirusWall for Windows NT 3.x」では,ウイルス・ファイルの拡張子が「.lnk」の場合にはチェックしないという問題も公開した。ただし,.lnk は Windowsのショートカット・ファイルに関連付けられている拡張子で,このファイルをダブル・クリックしても,ウイルスが感染発病することはない。そのため,.lnkファイルをチェックしないことは,同製品の今までの仕様だった。
しかし,「ユーザーが関連付けを変更するなどすれば,.lnkのウイルス・ファイルが実行される可能性はゼロではない」(トレンドマイクロ)。そこで,万一に備え,.lnkファイルもチェックするよう検索エンジンを修正し,公開した。
シマンテックは不具合を修正したマイナー・バージョンアップ製品を用意。「Norton AntiVirus 2.1/2.51 for Gateways」については7月27日からユーザーに配布する。「Norton AntiVirus 1.5 for FireWalls」については7月28日からの配布を予定している。なお,同社から連絡がない場合には,テクニカル・サポートへ連絡すれば対応してくれるという。
不具合を修正するまでは,不審な添付ファイルを開かないことはもちろんのこと,デスクトップ用ウイルス対策製品などで対応することを,両社とも勧めている。メールの内容をチェックできるゲートウエイ製品を使用している場合には,Sircam特有のテキスト(「Hi! How are you?」あるいは「Hola como estas ?」など)でフィルタリングすることも効果があるという。ただし,これはあくまでも一時的な対策で,変種が登場すれば役には立たない。早急にパッチの適用やバージョンアップをする必要がある。また,常に最新のウイルス・チェック用のデータ・ファイルに更新しておくことが前提である。
◎参考資料
■「TROJ_SIRCAM.Aが発見できない」(トレンドマイクロ)
■「Norton AntiVirus for Gateways 2.x fails to detect W32.Sircam.Worm@mm(英語情報)」(米Symantec)
※7月27日中に,シマンテックは製品ごとの「サポート&サービス」ページ(例えば,「Norton AntiVirus for Gateways 2.1 (for Windows NT)」など)で日本語情報を公開する予定
<Sircamに関する情報>
■[シマンテックの公開情報]
■[トレンドマイクロの公開情報]
■[日本ネットワークアソシエイツの公開情報]
■[情報処理振興事業協会(IPA)セキュリティセンターの公開情報]
■[米CERT/CCの公開情報(英語)]
