大きな被害をもたらした「Nimda」ウイルス。発生から2週間が経過し,事態は沈静化に向かっているようだ。情報処理振興事業協会(IPA)セキュリティセンターやアンチウイルス・ベンダーへの届け出件数が明らかに減少している。とはいえ,楽観はできない。今後,再び感染が広がる可能性は否定できないうえ,同様の新種ウイルスが出現する可能性も十分にある。Internet Explorer(IE)のバージョンなどを改めて確認するなどして,来るべき事態に備えたい。

“過去最悪の1週間”を過ぎて,事態は収束に

 9月18日に確認され,多数の被害を出したNimdaウイルスの特徴は,「IEのセキュリティ・ホールを突くために,メール本文やWebページを見るだけで感染してしまう」ことと,「多数の感染経路を持つ」ことである([関連記事])。その感染力の強さにより,「(感染が報告されてから)最初の1週間にユーザーから報告された件数は過去最悪であった」(トレンドマイクロ TREND eDoctor Japan 解析担当 岡本勝之氏)。

 IPAへの届け出件数も,9月18日から9月25日夕方までに259件,うち実際の被害件数は166件にのぼった。「“実害率”が非常に高いウイルスだ」(IPAセキュリティセンター セキュリティ対策業務グループ 対策情報発信チーム チームリーダー 小門寿明氏)。IPAに報告されるのは,ほんの氷山の一角と考えられる([参考記事])。加えて,企業内で複数のコンピュータが感染したとしても,件数としては“1件”なので,実際に感染したコンピュータの台数は非常に多かったと予想される。

 しかし,発生から2週間が経ち,事態は沈静化に向かっているようだ。9月25日夜から9月30日までの届け出件数は92件,そのうち実際に被害に遭ったのは61件。「1週間を経過したら,届け出が急減した」(IPAセキュリティセンター セキュリティ対策業務グループ 木谷文雄氏)。

 その理由として,「Nimda の発病挙動が“派手”なために,感染した場合にユーザーが気付きやすい」(日本ネットワークアソシエイツ McAfee事業部 AVERTラボJAPAN マネージャ ウィルス研究員 後藤泰祐氏)ことを,ベンダー各社は挙げている。

 Nimdaが感染発病すると,そのユーザーのコンピュータだけではなく,ファイル共有しているコンピュータすべてにウイルス自身を撒き散らす。感染力が強い半面,見たこともないファイルが多数作成されるので,感染に気付きやすい。それに対して,「Sircam」ウイルスなどは,メールでウイルス・ファイルを撒き散らすことが主な発病挙動なので,ユーザーが気付きにくい。「長期的に見ると,Sircamウイルスによる被害のほうが上回る可能性がある」(シマンテック Symantec Security Responseマネージャ 星澤裕二氏)。

 加えて,メディアなどで大きく取り上げられたことも,ユーザーの注意を促す意味では効果があったようだ。さらに,「『Sircam』や『Code Red』などが“教訓”となり,ユーザーの対応は早かった」(IPAセキュリティセンター 小門氏)

 ただし,楽観はできない。「あくまでも状況がそうなっているだけで,本当にこのまま収束するかどうかは断言できない」(シマンテック 星澤氏)からである。感染自体に気付かないユーザーのコンピュータに“潜伏”していて,何かのきっかけで再び感染が広がる可能性は否定できない。

 また,アンチウイルス・ベンダーなどはNimdaの解析を進め,その全貌がほぼ明らかになっているものの,今後新たな機能が見つからないとは限らない。

 例えば,9月26日ごろになってから,感染から10日後に活動を再開するメカニズムがあることが明らかになっている(詳細は米SecurityFocusによる「Nimda Reactivation Alert[英語,PDFファイル]」を参照)。ただし,これは一度発病した Nimda がメモリー上に10日間残っていた場合のみ発生することで,コンピュータの電源を落としたり,リブートしたりした場合には問題ない。そのため,この再発機能による被害報告は,アンチウイルス・ベンダーやIPAには寄せられていないという。

 そして当然予想されるのが,Nimda に手を加えた変種や,同じコンセプトに基づく新種ウイルスの出現である。Nimda は感染を広げるものの,ファイルを削除するなどの破壊活動は行わない。今後はより悪質な“新Nimda”ウイルスが出現する可能性がある。その被害を防ぐには,従来のウイルス対策はもちろん,セキュリティ・ホール対策が不可欠である。

“影響を受けるIE”に関するさまざまな疑問

 急速に感染が拡大した大きな理由は,Webページやメール本文を見るだけで実行されてしまうという Nimda の特徴にあった。これは Internet Explorer(IE)のあるセキュリティ・ホールを悪用して初めて可能になる。そこで,このセキュリティ・ホールがないIE を利用することが,同様の新種ならびに Nimda の再発を防ぐ対策となる。マイクロソフトなどが公開しているように,(1)IE 5.01 Service Pack 2(SP2),(2)IE 5.5 Service Pack 2(SP2),(3)IE 6(Outlook Express を含む標準構成以上)---のいずれかにバージョンアップすれば,ウイルスを勝手に実行してしまうことはない。

 対策は確かにこの通りである。しかし,ウイルスが出現した当初,この“影響を受ける(勝手にウイルスを実行してしまう)IE”に関して様々な情報が飛び交い,その結果,いくつかの疑問を生んだ。実際,IT Proへ質問として寄せられたものもある。納得した上で対策にあたるために,簡単に整理しておく。

【疑問1】IEの「更新バージョン」が“SP2”になっていれば影響を受けないのか?

 当初,IE の [ヘルプ] - [バージョン情報] メニューから確認できる [更新バージョン] に“SP2”と表示されていれば,セキュリティ・ホールの影響を受けないとされていた。実際,マイクロソフトIPA のページの一部にはそのような表記がある。

 ところが,現在マイクロソフトが公開している「Nimda ワームに対する防御策の説明」にあるように,IE5.01 SP2 から IE5.5,IE5.5 SP1 にバージョンアップした場合には,影響を受けるにもかかわずこの“SP2”という文字列が残ってしまう([関連記事])。同社によると,これはバグであるという。

 同ページにあるように,[更新バージョン] ではなく,[バージョン情報] の「バージョン:」番号で確認する必要がある。具体的には,

  • 5.00.3315.1000(Windows 2000 のIE 5.01 SP2)
  • 5.00.3314.2101 (Windows2000 以外の IE 5.01 SP2)
  • 5.50. 4807.2300(IE 5.5 SP2)
  • 6.0.2600.0000(IE 6)

のいずれかであることを確認する。なお,「6.0.2600.0000(IE 6)」の場合には,標準構成以上でインストールしていないと影響を受けてしまう。これについては後述する。

【疑問2】原因は IE なのか,OE なのか?

 「Outlook/Outlook Express(OE) は HTML メールの表示に IE を使用する。そのため,IE にセキュリティ・ホールが存在すると,プレビューするだけでウイルスが実行されてしまう」---ということであった。ところが IE 6 については,OE が更新されない最少構成インストールでは影響を受けるという([関連記事])。一体どちらに問題があったのだろうか。

 「確かに,HTMLメールの表示には IE が使用されるが,OEにも関連するモジュールが存在する。そのため,IEだけを新しくしても,OE の該当モジュールが古いままだと影響を受けた」(マイクロソフト 製品マーケティング本部 Windows製品部 サーバーグループ シニアプロダクトマネージャー 小貫保周氏)---が,その答えである。

 なお,Windows 2000 で IE 6 をインストールする場合には,ユーザーが構成を選択できない。この場合には,「専用構成」(実際には,特に名前が付いていないという)でインストールされ,OE も更新されるので問題はない。

【疑問3】IE 4.x は影響を受けるのか?

 マイクロソフトでは,IE 4.x も影響を受けるとしている。しかし,IE 6 の影響に関する米Microsoftの公開情報には,「IE 4.x 以前から IE 6 にバージョンアップした場合には,(最少構成でも)影響を受けない」という情報がある。IE 4.x は影響を受けるのだろうか。これについては,「ユーザーの環境によって異なり,IE 4.x でも影響を受ける場合がある」(マイクロソフト 小貫氏)。

 米Microsoftが公開しているように,IE 6 に直接バージョンアップした場合には影響を受けない。しかし,例えば,IE 4.01 で Windows Media Player 6.4 を使っている場合には影響を受けるという。それに対して,Windows Media Player 6.1 ならば影響を受けない。

 「ユーザーの環境を変えれば,IE 4.x が影響を受けなくすることはできる。同様に,単なる IE 5.01 や IE 5.5 でも設定変更などで影響を回避できる。しかし,それらをすべて説明すると情報が多くなり,ユーザーにとっては分かりにくくなるだけだ」(小貫氏)。そのため,影響を受ける可能性があるバージョンすべてを記述して,バージョンアップを促したという。

 バージョンアップをどうしても行いたくない企業ユーザーなどに対しては,個別で回避策を提供した例はあるという。しかし,「Nimda を回避できても,今後出現するウイルスに対応できるとは限らない」(マイクロソフト 小貫氏)。

 特に理由がなければ,この機会に SP2 やIE 6 にバージョンアップして,今後に備えるべきである。

従来のウイルス対策は不可欠

 IE のセキュリティ・ホールに注目が集まった Nimda であったが,従来のウイルス対策は当然不可欠である。セキュリティ・ホールをふさいでも,勝手に実行しないだけである。ダブル・クリックしてしまえば,当然被害を受けることになる。従来の“教え”どおり,添付ファイルやダウンロードしたファイルを安易に実行してはいけない。

 加えて,ウイルス対策ソフトの使用も欠かせない。ウイルス検知に必要なデータ・ファイルをきちんと更新するとともに,常駐させて使用する。対策ソフトを適切に使用していれば,たとえセキュリティ・ホールを突くウイルスでも,勝手に実行される直前で検知できる。

 もちろん,ベンダーが新しいデータ・ファイルを用意する前にウイルスに遭遇してしまった場合には対応できない。しかし,Nimda のときには,発見の翌日にほとんどのベンダーは新しいデータ・ファイルを用意している。ほとんどの場合,対応できるはずだ。

(勝村 幸博=IT Pro編集)