インターネットのセキュリティ組織である米CERT/CCは米国時間8月2日,メールで感染を広げる「Mimail」ウイルスに関する報告が増えていることを警告した。メールに添付された圧縮ファイル「message.zip」を展開すると作成される「message.html」を,セキュリティ・ホールがあるInternet Explorer(IE)で閲覧すると,多数のユーザーへウイルス添付メールを送信させられる。

 「IEのセキュリティ・ホールを突いてメールで感染を広げるウイルス」というと,「Klez」ウイルスのように,「MS01-020:不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する」を悪用するものが多いが,Mimailは別のセキュリティ・ホールを悪用する。

管理者からの重要情報だと思わせる

 トレンドマイクロの情報によると,message.zipを添付したメールの送信者名(From)は「admin@<文字列>」,件名(Subject)は「your account <文字列>」である(<文字列>の部分にはランダムな文字列が入る)。メールの本文は以下のとおり。

Hello there,

I would like to inform you about important information regarding your
email address. This email address will be expiring.
Please read attachment for details
---
Best regards, Administrator

 米CERT/CCの情報によると,この後に,ランダムな文字列が追加される場合があるという。

 以上のように,Mimailウイルスは,管理者からの重要な情報とみせかけて,ユーザーにウイルス・ファイルを実行させようとする。

HTMLファイルを閲覧するとウイルス本体が動き出す

 添付されているmessage.zipは圧縮ファイルなので,メール本文を見ただけで動き出すことはない。ユーザーがmessage.zipを明示的に開いた場合のみ被害を受ける恐れがある。

 トレンドマイクロのアンチ・ウイルスセンター ウイルスエキスパートの岡本勝之氏によると,message.zipを開くと(展開すると),HTMLファイル「message.html」がパソコン上に作成される。この message.htmlをブラウザで表示させると,HTMLファイル中にMIMEエンコードされた「EXE.TMP」がデコードされて,Windowsディレクトリ(%Windir%)に作成される。

 このとき,message.htmlを表示させたブラウザがIEで,なおかつ「MS02-015:2002年3月28日Internet Explorer 用の累積的な修正プログラム」および「MS03-014: Outlook Express 用の累積的な修正プログラム (330994) 」のセキュリティ・ホールがある場合には,message.htmlを閲覧しただけで,作成されたEXE.TMPが勝手に実行される。しかも,最も制限が緩い「ローカル コンピュータ ゾーン」というセキュリティ設定で実行される(関連記事)。

 EXE.TMPはスクリプトを含むHTMLファイルで,Mimailウイルスの“本体”といえる。スクリプトは,悪用されると危険なActiveXコントロール(「安全マーク」がないActiveXコントロール)を操作して,ウイルス自身を感染させたり,ファイルやレジストリを操作したりしようとする。仕様上,WebページやHTMLメールに含まれるスクリプトからは,このような操作は許されない(関連記事)。しかし,ユーザーにZIPファイルを展開させてローカルにHTMLファイルを作らせること,および上記のセキュリティ・ホールが存在することで可能になる。

 スクリプトから安全マークがないActiveXコントロールを操作する点では,2003年2月以降“流行”している「Redlof」ウイルスと同じである(関連記事)。

 EXE.TMPが実行されると,Mimailウイルス自身を「VIDEODRV.EXE」という名前でコピーするとともに,Windows起動時にVIDEODRV.EXEが実行されるようにレジストリを改変する。

 加えて,パソコン内のファイルからメール・アドレスを収集し,そのアドレスあてに,message.zipを添付したメールを送信して感染を広げる。Mimail(EXE.TMP)自身にメール送信機能があるので,使用しているメール・ソフトによらずウイルス・メールは送信される。

 多くのアンチウイルス・ベンダーはMimailに関する警告を出すとともに,自社製品で対応済みである。このため,ウイルス対策ソフトで最新のウイルス定義ファイルを使用していれば,検出できる。

 「ウイルス対策ソフトを適切に使用する」「怪しいファイルを開かない」「ソフトウエアのセキュリティ・ホールをふさぐ」――といったウイルス対策の“セオリー”を守っていれば,被害に遭うことはない。

 現時点では,国内ではMimailに関する報告件数はそれほど多くない。ウイルスの届け出先機関である情報処理振興事業協会セキュリティセンター(IPA/ISEC)によると,Mimailに関するユーザーからの報告は10件程度だという(8月4日14時現在)。本文が英語であるため,だまされるユーザーが少ないためだと考えられる。

◎参考資料
CERT Incident Note IN-2003-02「W32/Mimail Virus」(米CERT/CC)
WORM_MIMAIL.A(トレンドマイクロ)
W32.Mimail.A@mm(シマンテック)

(勝村 幸博=IT Pro)