「Antinny」というコンピュータ・ウイルスをご存じだろうか。トレンドマイクロが同社のサイトで公開している「ウイルスTOP5」では,2003年8月末以降,1位をキープしている(2004年1月6日現在)。「ウイルスTOP5」では,同社が提供するオンラインのウイルス検査サービス「ウイルスバスターオンラインスキャン」などで検出されたウイルスを集計し,リアルタイムで表示している。
Antinnyは,ファイル交換ソフト「Winny」を使って感染を広げる。AntinnyはWinnyユーザーのパソコンのアップロード・フォルダ(公開フォルダ)にアーカイブ・ファイルとして潜む。アーカイブ・ファイルには,他のWinnyユーザーが検索しそうな単語が付けられている。このアーカイブ・ファイル名に含まれる文字列で検索しているWinnyユーザーがいれば,そのユーザーのダウンロード・フォルダに,Antinnyのアーカイブ・ファイルが自動的にコピーされる。
アーカイブ・ファイルを展開すると,1つの画像ファイルと1つのフォルダ・アイコンが表示される(写真)。後者はAntinnyの実体で,フォルダ・アイコンを表示しているが実は実行形式ファイルである。拡張子はexeだが,Windowsのデフォルト設定では表示されない。「このフォルダの中にはもっとたくさんのファイルがあるのだろう」と期待してクリックすると,Antinnyが実行されて被害に遭う。
具体的には,Antinnyが別名でそのパソコンにコピーされ,Windowsを起動するたびに実行されるようにレジストリが改変される。さらに,そのパソコンのアップロード・フォルダに,検索されそうなファイル名を付けたAntinnyのアーカイブ・ファイルをコピーする。
ユーザーをだまして実行させる
1位をキープするのもうなずける。単純だが“効果的”だ。“感心”した筆者は,ウイルスの専門家数人にWinnyについての感想を求めた。すると,口をそろえて「目新しい“工夫”ではない。アイコンを偽装するウイルスはたくさん出現している」という。
実際,例えばシマンテックの「ウイルス辞典」で調べてみたところ,筆者が見つけただけでも,2003年中には14種類のアイコンを偽装するウイルスが出現している。「アイコンを偽装するのは効果的かもしれないが,そこまでする必要はない。ウイルスを添付したメールの件名やウイルスのファイル名を工夫するだけで,ユーザーは容易にだまされる」――。複数の専門家に聞いた話だ。
確かにそうだ。ウイルスの届け出先機関である情報処理推進機構(旧情報処理振興事業協会)セキュリティセンターによれば,2003年10月中および11月中に発見届け出件数が最も多かったウイルスは「Swen」だという(関連記事1 ,関連記事2 )。Swenは米Microsoftからのセキュリティ情報を装ったメールに添付されて送られてくる。添付されているSwenをInternet Explorer(IE)のセキュリティ・パッチだと思わせて実行させようとする。メール・サーバーからのエラー通知メールを装う場合もある。
SwenにはIEのセキュリティ・ホールを突く“機能”もある。セキュリティ・ホールがあるIEを使っている環境では,Swenが添付されたメールをプレビューするだけで,Swenが動き出す可能性がある。ただし,Swenが突くのは2001年3月に公開された「MS01-020」のセキュリティ・ホールである。IE 5.01 SP2やIE 5.5 SP2,IE 6ではふさがれている。ほとんどのユーザーの環境ではふさがれていることだろう。そのため,セキュリティ・ホールを突かれるケースよりも,メールの内容にだまされて自らSwenを実行しているケースのほうが多いと考えられる。
セキュリティ・ホールをふさぐだけでは不十分
セキュリティ・ホールをふさぐことはウイルス対策として不可欠である。セキュリティ・ホールがあると,ネットワークに接続するだけでウイルス(ワーム)に感染する恐れがある。そのようなウイルスとしては,2003年8月に出現したBlasterが代表例だ(関連記事)。セキュリティ・ホールをふさいで,パソコンにウイルスが勝手に侵入しないこと,パソコン上でウイルスが勝手に動き出さないことを防ぐことは重要である。
とはいえ,ウイルスが勝手に動き出さないことを防いでも,ユーザーが実行してしまっては意味がない。被害に遭わないためには,セキュリティ・ホールをふさぐだけではなく,「怪しいファイルは実行しない」ことや「怪しいWebページは閲覧しない(怪しいリンクはクリックしない)」ことが不可欠である。ただ,何をもって“怪しい”とするのかは難しい。そこで,ウイルス対策ソフトが必要となる。
ただし,ウイルス対策ソフトを使っていても,被害を100%防ぐことは難しい。そこで「怪しいファイルは実行しない/怪しいリンクはクリックしない」「セキュリティ・ホールをふさぐ」「ウイルス対策ソフトを適切に使う」――のすべてを実践する必要がある。AntinnyやSwenの感染件数の多さを見て,改めて思った。
お金がなくても対策はできる
ただ,これらすべてを実践するにはコストがかかる。企業や組織ならば当然,そのコストを惜しむべきではないし,個人ユーザーも本来はそうあるべきだと思う。しかし,現実には「ウイルス対策ソフトにお金を払いたくない」という個人ユーザーは少なくない。
筆者はことあるごとに,友人知人に「怪しいファイルは実行しない/怪しいリンクはクリックしない」「セキュリティ・ホールをふさぐ」「ウイルス対策ソフトを適切に使う」の3つを呼びかけている。その呼びかけに対して,対策をしていない友人から返ってくる言葉の多くは「ウイルス対策にお金をかけたくない」である。
この答えに対して,今までは「対策できないならインターネットにつなぐなよ!」と怒っていたが,最近では無償のウイルス対策ソフトを利用するよう勧めている。「AVG Free Edition」や「AntiVir Personal Edition」などである。これらは無償だが,試用版とは異なり使用期間に制限はない。ウイルス定義ファイルも更新できる。
ただし,無償なので当然サポートはない。インタフェースやヘルプなどはすべて英語である。新しく出現したウイルスを検出できなかったり,ソフトに不具合が出たりした場合に文句を言う先はない。そのため,今までは人に勧めなかったが,利用しないよりは数段マシだと考えるようになった。実際,AVGについて試してみたが,メジャーなウイルスはきちんと検出される。あるウイルスの専門家からは,「市販製品と比較しても,遜色(そんしょく)はない」との話を聞いた。
「お金をかけるくらいならウイルス対策しない」と言い張る方がいたら,「それならインターネットに接続するな」と叱るとともに,無償のウイルス対策ソフトを勧めてもよいと筆者は思う。もちろん,「そのウイルス対策ソフトが信用できるものなのか」「きちんとウイルスを検出できるのか」――などを十分に調べた上で利用する必要がある。お金をかけずに対策するのなら,その分手間をかけなければならない。
コストを理由に対策ソフトを使っていなかった友人の一人に,無償のウイルス対策ソフトを勧めたところ,やっと使うようになってくれた。特に問題なく動作しているという。先日話を聞いたら,「思ったほどウイルスは見つからない。最近では『Antinny』とかいうウイルスが見つかったくらいだ」という。ううむ。彼はWinnyをどのように利用しているのだろうか。筆者は,ウイルスよりもそちらのほうが心配になった。
昨年同様,2004年もさまざまなウイルスが出現するだろう。あの手この手でユーザーをだまそうとする。セキュリティ・ホールを突くウイルスも作られ続けるだろう。ユーザーとしては,今年もウイルス対策を実施し続ける必要がある。IT Proでは対策の助けとなるような情報を鋭意提供するので,参考にしていただければ幸いである。
(勝村 幸博=IT Pro)
