2001年は例年にも増して,コンピュータ・ウイルスが猛威を振るった。ウイルスの届け出先機関として国から指定されている,情報処理振興事業協会(IPA)セキュリティセンターによると,2000年が1万1109件であったのに対して,2001年は2倍以上の2万2516件(2001年12月14日現在)の届け出があったという。過去のウイルス被害から得られた教訓を改めて確認し,対策を施していきたい。もはや,対策することなしに,ウイルス被害から逃れることはできない時代なのである。
教訓1:クライアント・ソフトのセキュリティ・ホールをふさぐ
2001年は,クライアント・ソフト,特に Internet Explorer(IE)のセキュリティ・ホールをふさぐことが,重要なウイルス対策の一つであると,思い知らされた年であった。IE のセキュリティ・ホールを突く「Nimda」や「Aliz」,「Badtrans.B」ウイルスが出現し,大きな被害をもたらした。
これらのウイルスの特徴は,セキュリティ・ホールが存在するIEやOutlook/Outlook Expressを使用している場合には,Webページや電子メールを閲覧するだけでウイルス・ファイルが勝手に実行されてしまう点にある。そのため,「ウイルス・ファイルを実行(ダブル・クリック)しなければ大丈夫」という,従来のウイルス対策の常識が破られた。これは,マクロ・ウイルスが出現したときに匹敵するインパクトを持つ。
95年,Microsoft Wordのマクロ・ウイルス「Concept」が登場したことにより,「ウイルスは実行形式ファイルのみに感染して,データ・ファイルには感染しない」という,それまでの常識が破られた。この常識の変化についていけなかったユーザーにより,マクロ・ウイルスは多大な被害をもたらした。もっとも,IPAセキュリティ・センターの報告によると,Excelのマクロ・ウイルスである「Laroux」は2001年に1000件超報告されており,マクロ・ウイルスはいまだ過去のものにはなっていない。
セキュリティ・ホールを突くウイルスは,今年も次々と出現することだろう。ユーザーは修正パッチをきちんと適用して備える必要がある。もちろん,ウイルス対策ソフトを適切に使用していれば,ウイルス・ファイルが勝手に実行される前に検出することは可能である。しかしながら,ベンダーによるウイルス定義ファイル(パターン・ファイル)の更新が間に合わない恐れがある。Nimdaのときがまさにそうだ。対策ソフトを適切に使用していたにもかかわらず,ウイルス定義ファイルの更新が間に合わなかったために,被害に遭ったユーザーは多かった。対策ソフトを使用していても,パッチの適用は不可欠である。
現在のところ,ウイルスにセキュリティ・ホールを狙われているのはIE,およびIEをHTMLメールの表示に使用するOutlook/Outlook Expressだけである。そのため,別製品に乗り換えることも,ウイルス対策になりえる。ブラウザならば,Netscape 6.1やOpeara 6.0などが代替案として挙げられるだろう。
注意しなければならないのは,ブラウザだけ変更しても万全ではないということだ。ブラウザをIEから別製品に乗り換えても,IEをHTMLメールの表示に使うメール・ソフト(OutlookやOutlook Expressが代表的)を使用している場合には,セキュリティ・ホールの影響を受ける。つまり,Webページの閲覧の際には,ウイルス・ファイルを勝手にダウンロードして実行してしまうことはないが,メール本文を読んだりプレビューしたりするだけで,添付されたウイルス・ファイルを勝手に実行してしまう恐れがある。IEの呪縛(じゅばく)から逃れるためには,IEを使用しない,あるいはIEを使用しない設定が可能なメール・ソフトを使用する必要がある。
市場に出ているメール・ソフトは非常に多い。また,それぞれに長所短所が存在する。そのため,代替ソフトをここで挙げることは難しいが,過去にIT Proで行ったアンケートでは,「Becky!」や「Netscape」のユーザーが多いようである。
なお,別製品だからといって,セキュリティ・ホールがないわけでは当然ない。ソフトウエアである限り,セキュリティ・ホールは発見される。ベンダーなどが公開するセキュリティ情報をチェックして,必要に応じてパッチなどを適用する必要があることは,IEやOutlook/Outlook Expressと同じである。
また,別製品を使っていても,あるいは最新パッチを絶えず適用していようとも,ウイルスによる被害を防げるわけではない。ウイルスが勝手に実行されることを防げるだけである。
教訓2:ウイルス対策ソフトを適切に使用する
「ウイルス対策ソフトを常駐して使用する」,「絶えず最新のウイルス定義ファイルを使用する」---。筆者自身,3年以上前から書き続けているこれらのことは,依然有効である。これらを順守していなかったために,被害に遭ったユーザーは数知れない。せっかくウイルス対策ソフトをインストールしていても,これらを守らなければ意味はない。
数年前は,一部の対策ソフトはバグが多く,常駐させるとコンピュータの動作が遅くなったり,ハングアップしたりした。しかし,現在ではコンピュータ・ハードの性能が上がり,対策ソフトの改良も進んでいる。そのため,常駐させてもほとんど問題がないはずだ。また,ウイルス対策ソフトは“生もの”である。次々出現する新種ウイルスに対応するためには,最新の定義ファイルを使用して,初めてその役割を果たす。
ただし,ウイルス対策ソフトといえども万全ではない。不具合により,常駐させるとパソコンの動作速度が遅くなったり,最新の定義ファイルを用いても,ウイルスを検知できなったりすることがあった。もちろん,ベンダーにはこのようなことがないように,細心の注意を払ってもらいたいが,このようなことがあったからといって,「ウイルス対策ソフトは役立たず」と結論付けるのは早計である。年々巧妙になっていくコンピュータ・ウイルスに対抗するためには,対策ソフトの力を借りなくてはいけないのが現状なのである。
いくつかのインターネット・サービス・プロバイダ(ISP)が開始している,電子メールのウイルス・チェック・サービスを利用することも,ウイルス対策として有効である([関連記事])。プロバイダ側でチェックするので,ユーザーが定義ファイルを更新したり,パソコンに特別なソフトをインストールする必要がない。
ただし,これも万全ではない。メール経由のウイルスを防げても,Web経由やメディア(CD-ROMやフロッピ・ディスクなど)経由のウイルスは防げないからだ。
また,ISPのウイルス・チェックをすり抜ける場合がないとは言えない。いくつかのISPに聞いたところ,すり抜けたウイルスにより被害を受けても,その損害を補償してもらうことはできないようだ。ISPのサービスは100%ブロックすることを保証していない。あくまでも,特定の技術(製品)でウイルスをチェックし,見つかった場合に駆除することを保証するだけである。
そのため,万全を期するためには,ユーザーのパソコンにもウイルス対策ソフトを導入しておきたい。ウイルス定義ファイルは同じでも,ISPなどが使用しているサーバー(ゲートウエイ)用対策ソフトと,クライアント用対策ソフトでは,検出メカニズムが異なる。そのため,サーバー側での検出に失敗しても,クライアント側では検出可能な場合があるからだ。
教訓3:ウイルスにだまされない
そして最後に,ウイルスに(正確には,ウイルス製作者に)だまされないようにすることが重要である。ウイルスはあの手この手で,ユーザーにウイルス・ファイルをダブル・クリックさせようとする。ウイルスの専門家に聞いた話では,ウイルス製作者の多くは,ウイルスのメカニズムなどを“工夫”することよりも,こちらのほうに注力しているという。ウイルスを実行してしまえば,IEやOutlook/Outlook Expressを使っていなくても,あるいは最新のパッチを適用していても,被害を受けることになる。
もちろん,ウイルス対策ソフトを使用していれば,ほとんどの場合検出できるだろう。しかしながら,何度も書いているように,対策ソフトは万全ではない。Webサイトなどからダウンロードしたファイルやメールの添付ファイルを,安易に実行しないよう習慣付けておくことが重要である。
だまし方として,今や一般的なのが,ウイルス・メールを知り合いから来たメールだと思わせることである。この種のウイルスは,そのウイルスを実行してしまったユーザーのアドレス帳を使って,自身を添付したメールを配信するのである。アドレス帳に登録されているということは,何度もそのユーザーからはメールが送られているということなので,受信者はいつものメールだと思い,警戒することなく添付ファイルを実行してしまう。
「Happy99(Ska)」や「MTX」ウイルスも似た手法を用いる。これらは,正当なメールが送信された後に,そのメールと同じあて先にウイルス添付メールを送信する。受信者からすれば,「さっきのメールに添付し忘れたんだな」と思ってしまう。
添付ファイル名をテキスト・ファイルなどの,ウイルスにはなりえないファイルに見せかけて,実行させようとするウイルスも後を絶たない。一昨年大流行した「LOVELETTER」ウイルスは,ウイルス・ファイル名を「LOVE-LETTER-FOR-YOU.TXT.vbs」とする。Windowsのデフォルト設定では,「.vbs」が表示されないため,「LOVE-LETTER-FOR-YOU.TXT」というテキスト・ファイルに見えてしまう。紛らわしいことに,vbsファイルのアイコンも,テキスト・ファイルを連想させる。そのため,「実行形式ファイル“だけ”が危ない」と認識している受信者は,ついつい実行してしまう。
同様の手法を使うウイルスは多い。2001年2月に出現した「AnnaKournikova」ウイルスも同様である。「AnnaKournikova.jpg.vbs」という“2重拡張子”にすることで,jpgファイルと思わせる。この手法にだまされないようにするためには,ファイルを開く前に添付ファイル名やアイコンをきちんと確認することや,ファイル名をすべて表示するように設定しておくことが有効である。具体的には,Windowsの「ツール」メニューから「フォルダ オプション」を選択し,「表示」タブで表示される「詳細設定」で,「登録されているファイルの拡張子は表示しない」のチェックをはずす。
余談ではあるが,筆者には「登録されているファイルの拡張子は表示しない」ことのメリットが全く分からない。なぜ,こういった機能があり,しかもそれがデフォルトなのだろうか。「初心者には『拡張子』は分かりづらい。できるだけ見せないようにしたい」という配慮なのだろうか。そのような“余計な”配慮が,ウイルス製作者に“工夫”の余地を与え,初心者を脅威にさらしていることが分かっているのだろうか。ベンダーは,ぜひその点を考えてもらいたい。
以上のように,ファイル名などを“工夫”して,ユーザーに実行させようとするウイルスは枚挙にいとまがない。しかしながら,日本語でメールをやり取りしているユーザーにとっては幸いなことに,こういったメールのほとんどは英語で書かれている。そのため,添付ファイル名が「LOVE-LETTER-FOR-YOU」であっても,色めき立つことなく,削除するユーザーは多いだろう。
しかしながら,2001年7月に出現した「Sircam」ウイルスは異なる。メールの件名や添付されているウイルス・ファイル名が日本語である場合があるのだ。
同ウイルスを実行してしまうと,「マイ ドキュメント」フォルダ内の,任意のドキュメント・ファイル(.doc,.xlsなど)に感染する。そして,そのファイルを添付したメールを,アドレス帳に登録されているユーザーなどに送信する。このときの添付ファイル名は,元のファイル名の末尾に,「.exe」や「.pif」などを追加したものになり,メールの件名は元のファイル名から拡張子をとったものになる。例えば,ウイルスに選ばれたファイルが「見積書.doc」という名前ならば,添付ファイル名は,例えば「見積書.doc.exe」,メールの件名は「見積書」となる。
つまり,任意に選択されたドキュメント・ファイル名が日本語である場合,メールの件名や添付されているウイルス・ファイル名が日本語になるのである。しかも,それが知人から送られてくる。これはとても“効果”があったようだ。メールの本文は「Hi! How are you?」から始まる英語になるものの,だまされてダブル・クリックしたユーザーは非常に多かったようだ。実際,IPAセキュリティセンターによると,2001年中のSircamに関する届け出は3000件近くにのぼり,報告件数は「Hybris」ウイルスに次いで2番目に多かった。
Sircamによる被害の多さで危ぐされるのが,「日本語メール・ウイルス」の出現である。メールの件名や本文,添付されているウイルス・ファイル名が日本語の,メールで感染を広げるウイルスである。
例えば,件名が「資料」,本文には「お世話になっています。例の資料を自己解凍形式で圧縮して添付しました」と書いておく。そして,実行形式のウイルス「資料.exe」を添付する。しかも,このウイルスは,実行されるとアドレス帳に記載されたメール・アドレスすべてに,上記メールを送信するようにしておく。つまり,感染ユーザーの知人にウイルス・メールを送信するようにしておくのである。
上記のようなメールが知人から送られてきた場合,あなたは開かずにいられるだろうか。筆者ならば,思い当たらない「資料」であっても,「なんで実行形式(.exe)で送ってくるのだろうか」とブツブツ言いながらもダブル・クリックしてしまいそうである。このように考えると,メールの件名や本文,ファイル名でウイルスかどうかを判断することは,現段階ではある程度有効ではあるものの,万全ではない。それに頼ると,かえって危険な場合すらある。
クラッキング対策としてではなく,ウイルス対策の“常識”に「クライアント・ソフトのセキュリティ・ホールをふさぐ」ことが加わろうとは,一年前には予想していなかった。また,日本語の件名やウイルス・ファイル名がこれほど“効果的”だとは考えていなかった。ウイルスは年々巧妙になっていく。そして,それに合わせて,ウイルス対策の常識も変わっていく。ウイルスが根絶することはありえない。ユーザーとしては,絶えず新しい情報を入手して,守りを固めるしかない。IT Proとしても,できる限りその助けとなりたい。今年もウイルス情報を鋭意提供していくので,参考にしていただければ幸いである。
(勝村 幸博=IT Pro編集)
