「感染のスピードでは国内で史上最高」(トレンドマイクロ)と言われる「サーカム」ウイルスが猛威を振るっている。感染すると,自分自身をメールの添付ファイルに仕込んで,ばらまくタイプのウイルスである。

 「またか」とあきれる読者も多いかもしれない。「添付ファイルは安易に開かない」という対策だけで防げるものが,なぜ繰り返し流行するのか不思議に思うところだ。しかし,そのテクニックを見てみると,確かに巧妙と思えるところがある。

 まずメールを受け取ったユーザーに,添付ファイルを開かせるためのテクニック。サーカムは,感染者のMyDocumentフォルダにある文書ファイルなどを添付して送るのだが,メールのタイトルが,この添付ファイルの名前になっている。

 例えば「提案書.doc」というファイルが対象なら,メール・タイトルは「提案書」となる。メールの送信元アドレスは通常,感染者のものなので,これでは感染者から「提案書」メールが送られてきたものと勘違いしてしまう。添付ファイルの名前は「提案書.doc.exe」。拡張子はpif,batなどになることもあり,ユーザーの目をくらませようとする。

 この添付ファイルを開いてしまうと,ウイルスはパソコンに感染したあと,何ごともなかったかのように提案書.docを画面に表示する。これにだまされたユーザーが少なくないことは,今回のまん延状況が証明している。

 さらにサーカムは,一部のウイルス対策ソフトさえ,“だます”ことに成功してしいる。ウイルス対策ソフトの大手である,シマンテックとトレンドマイクロのメール・ゲートウエイ型の対策ソフト(トレンドマイクロはWindows NT版のみ)を,サーカムはすり抜けてしまうのである。

 サーカムは,それ自身でメーラーの機能を持ち,添付ファイルをMIMEと呼ぶ形式で組み立ててウイルス・メールを送信するのだが,このMIMEの形式がインターネット標準の規格とは違っていた。このため,メール・ゲートウエイ型のウイルス対策ソフトは,添付ファイルを認識できず,ウイルスを見逃してしまったのである。

 もっともこのMIME形式がまったくのデタラメなら,メールの受信者も添付ファイルを開けず,ウイルスも広がらないところ。しかし,このMIME形式は「ほどほどに」正しかったため,Outlookなど,多くのメーラーは添付ファイルを認識できてしまった。この微妙なMIME形式は「あえて狙って作成したのかもしれない」(シマンテック)。対策はベンダーのパッチを適用することしかない。

 このように巧妙化するウイルスに,どう対処すればよいか。もちろん,一番の基本は「添付ファイルは安易に開かないこと」。これが社内で徹底しにくいなら,さらに「ウイルス対策ソフトのパターン・ファイルを強制的にアップデートする」ことが望ましい。

 しかし今後は,それだけでは済まなくなるかもしれない。今回のメール・ゲートウエイ型のウイルス対策ソフトのように,思いもよらない問題も発生しえる。これも,ありきたりなのだが,「情報収集を怠らない」ことも忘れてはならないということだろう。

(安東 一真=日経インターネット テクノロジー)