1月27日以降,各ベンダーや組織が警告している「Mydoom(Novarg,MIMAIL.R)」ウイルスは,Mydoomが添付されたメールの送信者アドレスを詐称するので要注意である(関連記事)。送信者アドレスにあなたのアドレスが使われている場合には,感染していなくても「ウイルス通知メール」や苦情を受ける可能性がある。メール・サーバーからのエラー・メールにMydoomが添付されて送られてくる場合もある。
メールで感染を広げるMydoomが猛威を振るっている(関連記事)。単独のファイル(拡張子は.pif,.scr,.exe,.cmd,.bat のいずれか)として送られてくるMydoomを実行すると,Mydoomは自分自身を添付したメールを大量に送信する(これ以外の挙動については 関連記事を参照のこと)。Mydoomが圧縮ファイル(拡張子は.zip)として送られてくる場合もある。
Mydoomはメールを送信する機能を備えている。他のメール・ソフトの力を借りる必要がない。このため,使用しているメール・ソフトにかかわらず,ウイルス・メールが送信される。当然,メール・ソフトに送信履歴は残らない。
ウイルス・メールの送信先アドレスは,Mydoomが実行されたパソコン内のファイルから収集する。具体的には,拡張子が「.wab」や「.htm」,「.txt」などのファイルから,メール・アドレスと思われる文字列を収集する。そして,収集したアドレスすべてにMydoom添付メールを送信する。
このとき収集したアドレスは,送信元アドレスにも使用される。Mydoomを実行したユーザーのアドレスは使用されない。しかしながら,Mydoomメールを受け取ったユーザーや,Mydoomメールをチェックしたウイルス対策ソフトには,送信元アドレスのユーザーから送られたように見える。
ウイルス対策を実施しているにもかかわらず,「あなたからウイルス・メールが送られてきた」という通知メールや苦情を受けた場合には,送信元アドレスにあなたのアドレスが使われている可能性が高い。通知メールについては無視して構わない。苦情を受けた場合には,メールの「Received」ヘッダーを調べてもらえば,ほとんどの場合,疑いを晴らせるだろう。
あなたのアドレスが送信元アドレスに使われて,なおかつ送信先アドレスが無効だった場合には,Mydoomを添付したメールがエラー・メールとしてメール・サーバーから送られてくる。この場合,メールの件名はそのメール・サーバーが付けるので,Mydoomが付ける「hi」や「hello」などではない。
このとき,「自分の送ったどのメールが返ってきてしまったのだろうか」と考えて,安易に添付ファイルを開くと,Mydoomが実行されることになる。要注意である。もちろん,最新のウイルス定義ファイルをインストールしたウイルス対策ソフトを使っていれば,Mydoomの実行を止めてくれる。
送信元アドレスを詐称するウイルスはめずらしくない。しかし,Mydoomの場合には急速に感染を拡大しているために,問題になっているようだ。
ユーザーをだます手口がてんこ盛り
自分のアドレスが送信者アドレスとして使われた場合にも,メール・サーバーからのものと思えるメールにMydoomが添付されて送られてくることもある。Mydoomは,自身を添付したメールの件名を「Mail Delivery System」「Mail Transaction Failed」「Server Report」などとして,メール・サーバーからのメールに見せかける場合がある。通常の場合でも,メール・サーバーから送られてくるメールは英語で記述されることがほとんどなので,ユーザーは油断しがちだ。
メールの本文も“工夫”している。例えば,「The message contains Unicode characters and has been sent as a binary attachment.」や「The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.」とする場合がある。これを読むと,普段なら実行形式ファイル(バイナリ・ファイル)を開かないユーザーでも,開いてしまう可能性は高い。
“工夫”は添付ファイル(Mydoomの実体)にも及ぶ。まず,添付ファイル名を「readme.htm(70個の半角スペース).scr」などとする場合がある。開いても安全と思われる拡張子(htmやtxt)をまず付けて,その後ろに多数のスペースを入れる。その後に,“本当”の拡張子を付ける。本当の拡張子は離れて表示される(メール・ソフトによっては表示されない)ので気がつきにくい。
zipファイルとして送られてくる場合はさらに“効果的”だ。例えば,「readme.htm(70個の半角スペース).scr」がzipファイルとして送られてくる場合には,「readme.zip」として添付されてくる。展開して作成された「readme.htm(70個の半角スペース).scr」の「.scr」がWindows上では分かりにくい。
添付ファイルのアイコンも“工夫”している。ファイルの拡張子が「scr」や「exe」の場合には,メモ帳のアイコンが表示されるようにしている。Mydoomの中に,このアイコン画像が含められているのである。これにより,Mydoomがテキスト・ファイルに見える。
しかも,実行されると,Windowsに標準でインストールされているメモ帳プログラム(Notepad)を起動する。メモ帳の画面にはランダムな文字列が表示される。これを見たユーザーの多くは,「添付されたテキスト・ファイルはメモ帳に関連付けられているので,メモ帳が起動したんだな。表示されているランダムな文字列が,このファイルの中身なんだな」と思うだろう。この一連の挙動は極めて自然なので,自分がウイルスを実行してしまったこと,“裏”でウイルスが動いていることにユーザーは気がつかない。
Mydoomは,ユーザーが実行しない限り動き出すことはない。しかし,ユーザーをだます手口を複数用意している。これが,Mydoomがまん延している一因だと考えられる。2001年9月に出現した「Nimda」以降,セキュリティ・ホールを突くウイルスが“主流”となった。だが,ユーザーをだまして実行させる「ソーシャル・エンジニアリング」的な方法が依然有効であることをMydoomは示した。今後も同様のウイルスが多数出現することだろう。十分注意する必要がある。
◎参考資料
◆CERT Advisory CA-2004-02 Email- borne Viruses(米CERT/CC)
◆「W32/Mydoom」(別名:Novarg)ウイルスに関する情報(IPA/ISEC)
◆Mydoom に関する情報(マイクロソフト)
◆大量に電子メールを配信するワーム(JPCERT/CC Vendor Status Notes)
◆W32.Novarg.A@mm(シマンテック)
◆WORM_MIMAIL.R(トレンドマイクロ)
◆W32/Mydoom@MM(日本ネットワークアソシエーツ)
(勝村 幸博=IT Pro)
