• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

ニュース

【緊急警告】「Nimda」ウイルス出現,メール本文のプレビューやWebページ閲覧だけで被害も

勝村幸博 2001/09/19 ITpro

 米CERT/CCやFBIのNIPC(National Infrastructure Protection Center:国家インフラ保護センター),およびアンチウイルス・ベンダー各社は9月18日に,新種のウイルス/ワーム「Nimda」を警告した。特徴は複数の感染手法を持つこと。サーバー,クライアントの区別なくすべてのWindowsマシンが対象となる,最高レベルの危険性のウイルスである。

 Nimdaは,「Code Red」ワームなどと同じようにInternet Information Server/Services(IIS)サーバーに感染を広げるとともに,一般のウイルス同様,電子メールによっても感染を広げる。この場合,添付ファイルを開かなくても,本文を閲覧したりプレビューするだけで被害を受ける恐れがあるので事態は深刻である。また,感染したサーバーのWebページを閲覧するだけでも被害を受ける可能性がある。

 サーバー管理者のみならず,全ユーザーがパッチを適用するなどの対策を施す必要がある。具体的には,「不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する」のパッチを適用する。現在,被害は拡大中である。早急に対応しなければならない。

添付ファイルが勝手に実行される

 Nimda は異なる手法で感染を広げていく。

(1)電子メールを介して,クライアントからクライアントへ
(2)ネットワーク共有を利用して,クライアントからクライアントへ
(3)IISのセキュリティ・ホールを突いて,クライアントからサーバーへ
(4)Code Red II ワームなどが残したバックドアを使って,クライアントからサーバーへ
(5)Webページの閲覧により,サーバーからクライアントへ

 Nimda は「readme.exe」というファイル名で,HTMLメールに添付されて送られてくる。一般のウイルスならば,このファイルを実行しなければ被害を受けないが,Nimda は異なる。(a)HTMLメールの表示にInternet Explorer(IE)を使用するメール・ソフトを使っている場合(具体的にはOutlookやOutlook Expressなどを使用している場合),かつ(b)そのIE にセキュリティ・ホールがある場合には,メール本文を読もうとしたり,プレビューしたりするだけで,readme.exeが勝手に実行されてしまう(詳細については関連記事を参考にしてほしい)。

 readme.exeが実行されると,Windowsのアドレス帳に記載されているすべてのメール・アドレスあてに,自身を添付したメールを送信して感染を広げる。メールの件名はランダムで本文はない。Nimda自身がメール送信機能を持っているので,メール・ソフトに送信履歴などは残らない。

 さらに,ローカルおよびネットワーク共有されている,書き込み可能なすべてのディレクトリに,自分自身を「readme.eml」というファイル名でコピーする。セキュリティ・ホールのあるIEで,別のユーザーがこのファイルを閲覧などすると,メールの場合と同様に Nimda が実行される。

クライアントからサーバーへ感染,さらにサーバーからクライアントへ

 Nimda の挙動はこれだけではない。クライアントからサーバーへも感染する。readme.exe あるいは readme.eml が実行されると,侵入感染するためのリクエストを,インターネット上のマシンに次々と送信する。対象が,セキュリティ・ホールが存在する IIS サーバーである場合,あるいは以前流行した「sadmind/IIS」ワームや「Code Red II」ワームが残すバックドア・ファイルが存在する場合には,侵入が“成功”する。

 侵入後,自分自身を「readme.eml」というファイル名で,ローカル/リモートを問わずすべてのディレクトリにコピーする。同時に,そのサーバーのページを閲覧すると readme.eml が実行されるように,すべてのWeb関連ファイル(例えば,HTMLファイルやASPファイルなど)を改ざんする。具体的には,次のようなスクリプトを挿入する。

<script language="JavaScript">window.open("readme.eml", null, 
"resizable=no,top=6000,left=6000")</script>

 セキュリティ・ベンダーなどの情報によると,このページをブラウザで表示させると,readme.emlが別ウインドウで表示されるという。このとき,セキュリティ・ホールがあるIEでは,メールの場合と同様に,readme.emlに含まれるreadme.exeが勝手に実行されて,被害を受けることになる。

 ただし,閲覧するだけでは被害を受けないとする情報もある。readme.exeがダウンロードされるだけなので,同ファイルを実行しなければ問題はないとしている。

 被害は実際に報告されている。例えば,マイクロソフトのMSNサイトが感染し,同サイトを閲覧したユーザーに被害が出ているようだ([発表資料])。早急に対策を施す必要がある。

 具体的には,「不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する」のパッチを適用する。あるいは,IE 5.01 SP2 もしくは IE 5.5 SP2 にバージョンアップする。これは,すべてのWindowsユーザーが行う必要がある。なお,パッチを適用していても,readme.exeを実行してしまうと被害を受けるので注意すること。

【9月19日補足】「不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する」パッチの対象はIE 5.5 SP1 あるいは IE 5.01 SP1 である。単なるIE 5.5/5.01 は対象外で,適用しようとすると「インストールする必要はない」といったメッセージが表示されてしまう。IE 5.5/5.01 ユーザーは,IE 5.01 SP2 もしくは IE 5.5 SP2 にバージョンアップする必要がある。IE のバージョンは「ヘルプ」メニューから確認できる([参考資料])。9月19日に公開されたIE 6([関連記事])も今回のセキュリティ・ホールはふさがれている。

【9月22日補足】 マイクロソフトはIE 6 においても,ウイルスを勝手に実行する場合があることを,同社の公開情報に追加した。IE 6 を最小構成でインストールした場合には,メール本文やWebページを見ただけで被害を受ける恐れがある。同社は Outlook Expressを含む標準構成以上でセットアップすることを強く勧めている([関連記事])。

 IISサーバーに対しては,「IIS 用の累積的な修正プログラム」も適用してセキュリティ・ホールをふさぐ。併せて「sadmind/IIS」ワームや「Code Red II」ワームが残すバックドア・ファイルがないことを確認する。

 さらに詳しい情報については,各セキュリティ・ベンダーや組織が公開している。ぜひ内容を確認してほしい。

◎参考資料
CERT Advisory CA-2001-26 Nimda Worm(米CERT)
Mass Mailing Worm W32.Nimda.A@mm(米National Infrastructure Protection Center)
W32.Nimda.A@mm(シマンテック)
W32.Nimda.A@mm(米Symantec)
新種ウイルス警報 VAC2「TROJ_NIMDA.A」 (トレンドマイクロ)
W32/Nimda@MM(日本ネットワークアソシエイツ)
Virus Alert: McAfee AVERT Assigns High-Outbreak Risk Assessment On Nimda Worm(米Network Associates)
新種のワームによるサーバーの被害とご利用者への影響について(マイクロソフト)
Nimda worm に関する情報(マイクロソフト)
新種ウイルス「W32/Nimda(仮称)」に関する情報(情報処理振興事業協会)
[JP290108]不適切な MIME ヘッダーが電子メールの添付ファイルを実行(マイクロソフト)

(勝村 幸博=IT Pro編集)

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

  • 【ニュース解説】

    インドIT大手が米クラウド専業を買収した理由

     米アピリオが、事業戦略の転換を図っている。米セールスフォース・ドットコムなどのクラウドサービスを活用したシステム開発で実績を積んできたが、インドのIT大手ウィプロが買収。今後は、ウィプログループのクラウド事業の牽引役としての役割を果たす。

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

運用管理

設計/開発

サーバー/ストレージ

ネットワーク/通信サービス

セキュリティ

もっと見る