マイクロソフトやトレンドマイクロなどは2月14日,Internet Explorer(IE)のセキュリティ・ホールを突いて感染を広げるウイルス(ワーム)「CoolNow」*を警告した。セキュリティ・ホールは,2月11日にマイクロソフトが公開したもの(関連記事)。MSN Messenger(Windows Messenger)のメッセージに書かれたURLに,セキュリティ・ホールがあるIEでアクセスすると,Messengerに登録されているユーザーすべてに同じメッセージを送信してしまう。マイクロソフトが公開しているパッチを適用すれば回避できる。

* JS_MENGER.GENやJS.Menger.Worm,JS/Exploit-Messenger などと,各社で呼び方が異なる。

 今回のウイルスはメッセージを送信するだけで,それ以外の被害はもたらさない。また,送信されるのはURLだけで,JavaScript本体は特定のWebサイトに置かれている。そのため,そのサイトを閉鎖すれば感染拡大を止められる。さらに,MSN Messengerユーザーだけが対象である。しかし,今回のウイルスはいくらでも“応用”が可能である。メールで感染を広げ,破壊活動を行うようなウイルスを作ることは十分可能だ。まだパッチを適用していないIEユーザーは,今すぐ「MS02-005」のパッチを適用しなければならない。

JavaScriptがウイルスの本体

 「CoolNow」ウイルスによって送られてくるメッセージは,

URGENT - Go to (あるWebサイトのURL) NOW

あるいは

ATTeNT!oN - Go to:
(あるWebサイトのURL)
Now

などである。

 このURLをクリックすると,デフォルトに設定しているブラウザが立ち上がり,記載されたWebサイトへアクセスすることになる。そのページには「MS02-005」のセキュリティ・ホールを突くようなJavaScriptが含まれている。このJavaScriptがウイルスの本体である。

 デフォルト・ブラウザがIE以外のブラウザ,あるいはセキュティ・ホールをふさいだIEの場合には,JavaScriptはウイルス製作者が意図した通りに実行されない。しかし,セキュリティ・ホールがあるIEの場合には,JavaScriptの内容に従って別のウインドウが開かれて,フル・スクリーン表示される。

 そしてその“裏側”では,MSNへログオンして,MSN Messengerに登録されているユーザーすべてに,ウイルスが置かれたサイトのURLを記載したメッセージを送信する。同時に,MSN Messengerに登録されたメンバー名などを収集し,ウイルス(JavaScript)内に記載された特定のメール・アドレスとWebサーバーへ送信する。

より悪質なウイルス登場の可能性も

 今回の「CoolNow」ウイルスは,ウイルス本体が複数の特定サイトに置かれているため,そのサイトを閉鎖すれば感染が拡大することはない。「現時点ではいくつか閉鎖されたが,すべてかどうかは未確認である」(トレンドマイクロ TREND eDoctor Japan 解析担当 岡本勝之氏)。ただ,サイト名はメッセージやウイルス内部に明記されているので,近いうちにすべて閉鎖されると予想される。

 また,今回のウイルスは何の破壊活動も行わない。そのため,危険度は小さい。2月14日夜の時点では,トレンドマイクロには被害報告は寄せられていないという。

 しかし,今回のウイルスの危険度が小さいからといって安心はできない。「新しいタイプのウイルスは,最初のうちは被害が少ないのが常だ」(トレンドマイクロ 岡本氏)。今後,これをベースにした,より悪質なウイルスが出現する可能性は高いという。例えば,JavaScript本体をHTMLメールに仕込んで感染を広げるウイルスなどが考えられる。

 さらに,悪用されるセキュリティ・ホールは,2月11日に公開されたばかりだ。「セキュリティ・ホールが公開されてから,それを突くウイルスを出現するまでの間隔が短くなっている」(同氏)。「Nimda」ウイルスの場合には6カ月だった。それが今回は3日である。より悪質なウイルスが出現する前に,パッチを適用する必要がある。

 もちろんウイルス対策ソフトでも被害を防げる。「CoolNow」についても,既に各社対応している。しかし,新種はいつ出現するか分からない。パターンファイル(ウイルス定義ファイル)の更新が間に合わない恐れがある。パッチを当てないならばIEは使わない,IEを使い続けるならば“穴”はできる限り早くふさぐ,という対策が不可欠である。

◎参考文献
CoolNow に関する情報(マイクロソフト)
◆(MS02-005)2002 年 2 月 11 日 Internet Explorer の累積的な修正プログラム(マイクロソフト)
JS_MENGER.GEN(トレンドマイクロ)
JS.Menger.Worm(シマンテック)
JS/Exploit-Messenger(日本ネットワークアソシエイツ)

(勝村 幸博=IT Pro)