「Klez」ウイルスが依然猛威を振るっている。情報処理振興事業協会(IPA)セキュリティセンターは4月24日に,シマンテックは4月25日に再警告している。「メールの件名が巧みなため,つい実行してしまう」ことと,「送信者名が偽造されているので,感染しているユーザーに連絡できない」ことが被害を広めている一因と考えられる。改めて注意したい。
加えて,連休中に新たな変種が出現する可能性は十分にある。連休明けには,メールをチェックする前に,ウイルス対策ソフトのデータ・ファイル(パターンファイルやウイルス定義ファイルなどと,ベンダーによって呼び名が異なる)をまず更新しよう。
メールの件名が巧み
「Klez」については,IPAセキュリティセンターやアンチウイルス・ベンダーなどが再三警告している(関連記事)。それにもかかわらず,被害は依然収まらない。
アンチウイルス・ベンダーなどの情報によれば,Klezが添付されたメールの件名は,いくつかの英文字列を“ランダム”に組み合わせたものになるとしている。しかし,編集部に届いた多数のKlezウイルス・メールを見ると,いずれも極めて“それらしい”件名になっている。例えば,「A IE 6.0 patch」,「A very powerful tool」,「A special new website」,「(C)2002 Yahoo Japan Corporation. All Rights」などである。
件名と本文がきちんと対応しているメールもある。例えば,件名が「A special new website」で,本文が「This is a special new website I wish you would like it. 」のKlezメールが届いている。
メールの送信先アドレスが件名に使用されている場合もある。具体的には,「Hello,(メール・アドレスの@より前の文字列),sos」というメールが届いている。仮に,Klezメールを受け取ったユーザーのメール・アドレスを「user@domain.com」とすると,「Hello,user,sos」という件名になる。
メールの件名がランダムであることが,Klezの特徴の一つとして挙げられるが,件名で判断することはほとんどできないと考えたほうがよい。
偽造される送信者名
Klezは,感染したパソコン内のファイルから収集したメール・アドレスを,送信者アドレス(Fromアドレス)として使用する。そのため,送信者アドレスあてに警告しても意味はない。実際,きちんと対策を施しているにもかかわらず,「あなたからウイルス・メールを受け取った」と抗議を受けたユーザーの例を聞いている。
収集したアドレスの中から,どのメール・アドレスが使われるかはランダムに決められる。そのため,携帯電話のアドレスが送信者アドレスとして使用される場合もありうる。ただし,IPAセキュリティセンターの説明にあるように,Klezウイルスが発病するのはWindowsだけで,その他のプラットフォームで発病することはない。
情報漏えいの恐れあり
Klezを実行して発病させてしまうと,多くのユーザーにウイルス・メールが送信されるとともに,感染したパソコン内のファイルが破壊される。しかし,被害はこれだけにとどまらない。組織の重要な情報(ファイル)を外部に送信してしまう危険性もある(関連記事)。Klezにより送信されるメールには,Klez自身だけではなく,パソコン内の任意のファイルも添付されてしまうからだ。
実際編集部にも,明らかに業務に関係すると思われるWordの文書ファイル(.doc)がウイルスとともに送られてきている。このような事態になると,被害は自分だけにとどまらない。
パソコン内の任意のファイルを外部に送信するウイルスとしては,過去に「Sircam」ウイルスがあった(関連記事)。ただし,Sircamはウイルス本体をファイルの中に埋め込む。そのため,送信先のユーザーがウイルス対策ソフトを使用している場合には,ファイル全体が削除されるので,ファイルの中身を読まれることはなかった。しかしKlezでは,それぞれのファイルが独立しているので,ウイルス・ファイルが削除されても,パソコン内から選択されたファイルは相手に届いてしまう。企業ユーザーは特に注意が必要だ。
連休明けは要注意
猛威を振っているKlezであるが,通常のウイルス対策を施していれば問題はない。Internet Explorerのセキュリティ・ホールをふさぐとともに,添付ファイルや共有フォルダ内のファイルを不用意に実行しなければ,被害を受けない。さらに,ウイルス対策ソフトを適切に使用していれば,検知駆除してくれる。
しかし,連休中に新たな変種が出現すれば,連休前のデータ・ファイルでは対応できない恐れがある。連休明けには,ほかの作業を行う前に,まずデータ・ファイルを更新したい。もちろん,通常時もできるだけ頻繁に更新するようにしたい。
◎参考資料
◆「W32/Klez」ウイルスに関する追加情報(IPAセキュリティセンター)
