1月27日に出現した「Mydoom」ウイルスは,自ら活動を停止した2月12日まで世界中で感染を広げた(関連記事)。企業やISPにウイルス対策サービスを提供している米MX Logic社によれば,3日間で600万通のMydoomメールを同社のサービスで遮断したという(関連記事)。うのみにはできないが,流行したことは確かだ。IT Pro編集部にも,相当数のMydoomメールが送られてきた。
Mydoomはなぜこれほどまでに流行したのか。それは,いろいろな“工夫”が凝らされていたためだと考えられる(関連記事)。Mydoomは,自分のコピーを添付したメールを大量に送信する。その際,メールの件名や本文などを工夫する。例えば,件名を「Mail Delivery System」などとして,メールサーバーからのメールに見せかける。
添付ファイルも工夫する。例えば,アイコンをWindowsのメモ帳プログラムのアイコンにして,テキスト・ファイルに見せかける場合がある。さらに,Mydoomは実行されると,メモ帳プログラムを起動する。ユーザーの多くは,実行したファイルがテキスト・ファイルだったために,メモ帳が起動されたと思うだろう。
ウイルスの大流行を発生直後に予測するのは難しい
とはいえ,これらの工夫はいずれも目新しいものではない。同じような工夫を凝らすウイルスはほかにもある。その中で,なぜMydoomだけが大流行したのかは,ウイルス研究者でも分からないという。「Mydoomにはさまざまな工夫が凝らされているので流行した」とは言えても,ウイルスの工夫(特徴)を見て,事前に「Mydoomは大流行する」とは断言できないのだ。
研究者に分からないぐらいだから,当然筆者にも分からない。だから,ウイルスが出現した直後に「このウイルスは必ず流行するので,みんな注意しろ」といった記事は書けない。だが,せめて大流行の兆しを見出して警告できないだろうか。そうすれば,ウイルス被害を少しは防げるはずだ。
実は過去に2~3度であるが,流行する前の段階のウイルスを記事にしたことがある。新しいウイルス定義ファイルが作成される前,すなわち,ウイルス対策ソフトを使っていても検知できない時点で,流行しつつあるウイルスを警告できた。
例えば,最近では3月29日に国内で流行した「Netsky」ウイルスの変種が挙げられる(関連記事)。2年前のことになるが,2002年1月に出現した「Myparty」や2002年3月に出現した「Fbound」なども,ウイルス対策ソフトが対応する前に記事にした(関連記事1 ,関連記事2)。
Mypartyは,拡張子が「COM」であるウイルス本体のファイル名を「www.myparty.yahoo.com」として,URLに見せかけることが特徴。同サイトへのリンクか何かだと思ってファイルをダブルクリックすると,Mypartyウイルスに感染する。
Fboundは,ウイルス添付メールの送信先アドレスが「.jp」で終わっている場合,メールの件名を日本語にすることが特徴である。例えば,「Re:お久しぶりです」や「重要」,「Re:重要なお知らせ」といった件名を付ける。「ウイルス・メールの件名や本文は英語だから,英語のメールだけ気をつけていればよい」と考えているユーザーの裏をかく。
“ウイルス予報士”への道は?
なぜこれらのウイルスを警告できたのか。筆者や編集部あてに,そのウイルスを添付したメールが多数送られてきたためだ。自分のところに送られてきていないからといって,そのウイルスが流行していないとは言えない。だが,多数送られてきている場合は「これから流行する」あるいは「現在流行している」と考えて問題ないことが,経験上分かってきた。
そこで考えた。たくさんのメール・アドレスを取得してウイルス・メールを受け取る機会を増やせば,ウイルスの流行を今より早くつかめるのではないだろうか。そうすれば“ウイルス予報士”になるのも夢ではない。今度やってみようかと思う。ただし現状では,ウイルスよりもスパムの餌食になってしまう確率が高そうだ。
(勝村 幸博=IT Pro)
■本記事は,日経バイトに筆者が連載するコラム「非武装地帯を行く」の4月号掲載分を基に加筆・再構成したものです。
