コンピュータ・ウイルスの届け出先機関である情報処理振興事業協会セキュリティセンター(IPA/ISEC)は5月1日,4月中の届け出状況を公開した。ウイルスを発見したという届け出は1110件で,2月(1052件)および3月(1187件)と大差はなかった。そのうち被害に遭ったのは66件だった。また,発見届け出数が最も多かったのは相変わらず「Klez」(379件)だった。
4月に初めて報告されたウイルスは3種類。そのうち「Fortnight」ウイルスについて,IPA/ISECは特に注意を呼びかけている。Internet Explorer(IE)にセキュリティ・ホールがあると,HTMLメールを閲覧するだけで,Fortnightに感染する恐れがある。
Fortnightは,「Redlof」ウイルス(関連記事)と同じスクリプト・ベースのウイルスである。主にHTMLメールで感染を広げる。
Fortnightが“巧み”な点は,ウイルスの本体(スクリプト)はメールに含まれず,あるWebサイトに置かれていることである。HTMLメール中にはそのサイト(ページ)へのリンクが含まれているだけである。このため,IPA/ISECの情報によれば,メール・サーバー上のウイルス対策ソフトでは検知できないという。リンクが記述されたHTMLメールの本文を,HTMLメールを解釈できるメール・ソフトで開いたりプレビューしたりすると,リンク先のWebページがブラウザによって開かれる。そのページに,Fortnightの本体であるスクリプトが仕込まれている。
セキュリティ・ホールがあるIEでそのページを開くと,スクリプトからローカルのActiveXコントロールが不正に呼び出される。ActiveXコントロールは,Outlook Expressの署名ファイルに,Fortnightの本体が置かれたページのリンクを挿入する。この結果,以後Outlook Expressが送信するメールのすべてに,このリンクが含まれることになる。
加えて,IEの「お気に入り」およびNetscapeの「ブックマーク」に,あるアダルト・サイトのURLを追加する。
Fortnightが悪用するセキュリティ・ホールは,「Microsoft VMによるActiveXコンポーネントの制御」の脆弱性に対する対策 (MS00-075)」である。Redlofをはじめ,このセキュリティ・ホールを悪用するウイルスは複数存在するので,確実にふさいでおく必要がある。ただし,これ以降にもMicrosoft VMには深刻なセキュリティ・ホールが複数見つかっているので,このパッチを適用するだけでは不十分である。Microsoft VM用の最新パッチ(2003年5月1日時点)「Microsoft VM の問題により,システムが侵害される」を適用する必要がある。「Windows Update」から適用できる。
IEでJava機能を無効に設定することでも回避できる。ただしその場合でも,念のためにパッチを適用しておきたい。なお,Microsoft VMはアンイストールできないので,パッチの適用と設定変更で対応する必要がある(関連記事)。
また,メール・ソフトでHTMLメールを解釈させないことも回避策となる。Outlook Express 6では,IE6 SP1を適用すれば,HTMLメールを解釈させない設定が可能である(関連記事)。Outlook Express/Outlook以外のメール・ソフトを使用することも対策として有効だ。
Fortnightの報告件数は6件と少ない。また,シマンテックやトレンドマイクロは,Fortnightの危険度を「低」に設定している。とはいえ,「メールの添付ファイルを実行しなければウイルスに感染することはない」と考えているユーザーはウラをかかれる恐れがあるので,十分注意が必要である。
同日,IPA/ISECは不正アクセスの届け出状況も公開した。届け出件数は36件で,サーバーへの侵入被害は6件。その6件すべてが,公開用Webサーバーへの侵入であった。このためIPA/ISECでは,Webサーバーをはじめとする公開用サーバーのセキュリティを改めてチェックするよう呼びかけている。
◎参考資料
◆コンピュータウイルス・不正アクセスの届出状況について[要旨]
◆4月のウイルス届出状況の詳細
◆4月の不正アクセス届出状況の詳細
(勝村 幸博=IT Pro)
