続出するウイルスの変種，“Z”の次は何？

対策ソフトへの過信は禁物

勝村幸博

2004.05.13

　メールで感染を広げるNetskyやBagle（Beagle）ウイルスが流行している。特にNetskyについては，依然猛威を振るっている。ウイルスの届け出先機関である情報処理推進機構セキュリティセンター（IPA/ISEC）によると，3月および4月はNetskyウイルス（変種を含む）の届け出数が最も多く，全体の4割以上を占めた（関連記事）。

　これらの特徴は，次から次へと新しい変種（亜種）が出現していることだ。一般的に，何番目に出現した変種であるかは，ウイルス名の末尾に付けたアルファベットで表す。例えば，オリジナルはNetsky.Aとなり，その後，Netsky.B，Netsky.C，・・・となる。4月末には，それぞれNetsky.ZやBagle.Zとなった。

　では「Z」の次は何か。ご存じの方も多いだろうが，「AA」である。アルファベット2文字で表すのである。この後，AB，AC，AD，…と続いていく。AZまでいったら，今度はBAである。今後，NetskyやBagleの変種がどれだけ出現するのかは分からない。しかし，2つのアルファベットで表す変種は珍しくはない。百種類以上の変種が存在するウイルスはいくつもある。

Agobotには480種類の変種

　フィンランドのアンチウイルス・ベンダー「F-Secure」の情報によれば，4月27日時点で，「Agobot（GaobotあるいはPhatbot）」は“RO”まで出現しているという（同社のページ）。つまり，480種類を超える変種が出現している。

　Agobotは，Windowsのファイル共有を使って感染を広げるウイルス（ワーム）である。ファイル共有にパスワードを設定していない場合や，推測しやすいパスワード（ウイルスが内部的に持っているパスワード）を設定している場合，Agobotがネットワーク経由でコピーされて感染する。加えて，AgobotはWindowsのセキュリティ・ホール（例えば，「MS03-001」や「MS03- 007」，「MS03-026」など）を突いて感染を広げる。変種によっては，「Kazaa」などのファイル交換ソフトを経由して感染を広げる。

　有名なところでは，1996年に出現したMicrosoft Excelのマクロ・ウイルス「Laroux」や，2000年に出現したVBScriptウイルス「Loveletter」の変種も多数出現している。F-Secureによると，Larouxには“OU”，Loveletterには“CZ”の変種が出現しているという。

　なぜこれほど多くの変種が出現するのか。LarouxやLoveletterの場合，これらはスクリプト・ベースのウイルスなので，容易に変種を作れるためだと考えられる。マクロ・ウイルスやVBScriptウイルスはテキスト・エディタで編集できる。インターネット上で入手した，あるいは自分のところに送られてきたマクロ／VBScriptウイルスに手を加えれば，そのウイルスの作者でなくても，変種を作れてしまう。

　LarouxはExcelのマクロ・ウイルスだが，Microsoft Wordのマクロ・ウイルスにも，多数の変種が出現しているものがある。F-Secureによると，「CAP」ウイルスは“JM”まで，「Marker」は“LA”，「Npad」は“KB”，「Thus」は“GP”，「Wazzu」は“HM”まで出現している。

　Agobotはバイナリのウイルスである。それなのに，なぜ多数の変種が出現しているのか。SANS Instituteの情報によると，Agobot（Phatbot）のソース・コードが公開されているためだという（http://isc.sans.org/diary.php?date=2004-04-22&isc=cf30aee3c5c08bed25d1b3eb65d13858）。第三者がソース・コードをインターネットから入手して，変種を作成できる状況になっているのだ。以前，あるアンチウイルス・ベンダーの研究者に聞いたところでは，Agobotに限らず，ウイルスのソース・コードが公開されることは少なくないという。NetskyやBagleについても，ソースが公開されている可能性は高いという。

ユーザーや管理者はどう対応すればよいか

　変種が続出している現状において，ユーザーや管理者はどう対応すればよいだろうか。別に慌てる必要はない。新種であろうと変種であろうとウイルスには変わりない。いつもどおりに，ウイルス対策を実施すればよい。「怪しいファイルは開かない（怪しいリンクはクリックしない）」「ソフトウエアのセキュリティ・ホールをきちんとふさぐ」「ウイルス対策ソフトを適切に使用する」――である。

　ただし，ウイルス対策ソフトへの過信は禁物である。変種は，オリジナル（あるいは別の変種）の挙動などを少し変えただけではあるが，ほとんどの場合，ウイルス対策ソフトは新しい変種を検知できない。ウイルス作者は，検知できないことを対策ソフトでチェックしてから撒くからである。ウイルス作者にとって，対策ソフトはチェック・ツールなのである（関連記事）。新しいウイルス定義ファイルをインストールするまで，対策ソフトは新しい変種に対して無力である。そればかりか，「対策ソフトが警告しないから大丈夫」と思わせる危険性がある。

　新しい変種ウイルスが続出する現状では，対策ソフトは，そのファイルが“黒”かどうかを判定するソフトで，“白”かどうかを判定するものではないと考えたほうがよいだろう。対策ソフトが警告すれば，そのファイルにはウイルスが感染している（あるいはウイルスそのものである）と考えてよいが，警告しないからといって「ウイルスに感染していない」とは考えないほうがよい。

　特に，メールに添付されたファイルは，怪しげなWebサイトに置かれたファイル同様，「基本的には怪しいファイル」と考えたほうがよい。対策ソフトが警告しなくても，安易に開くことは禁物だ。たとえメールの送信者名が，知人や有名な企業であっても，送信者名を偽装することはたやすい。表示されている送信者名が正しい保証は全くない。

　企業のシステム管理者も注意すべきだ。メールを一括してチェックする「ゲートウエイ型ウイルス対策ソフト」を導入していても，ウイルス定義ファイルの更新が間に合わず，NetskyやBagleの変種の侵入を許した企業は多いと聞く。ユーザーに「対策ソフトを過信しないように」と呼びかけて，注意を促したほうがよい。IPA/ISECでも，「対策ソフトは有効だが過信は禁物」と呼びかけている（関連記事）。

　加えて，ウイルスの可能性が高い添付ファイルは，たとえ対策ソフトが検知しなくても，ゲートウエイ（メール・サーバー）で削除することをお勧めしたい。具体的には，「pif」「scr」「bat」「com」「cmd」――といった拡張子を持つファイルである（関連記事）。これらの拡張子を持つファイルを，ユーザーがメールに添付して送ることはほとんどない。「exe」の代わりにこれらの拡張子を付けても，実行形式ファイルは問題なく動作する。このため，これらの拡張子はウイルスの“隠れ蓑”に使われる。これらの拡張子のファイルをフィルタリングしても，ほとんどの企業で問題はないはずだ。

　さらに言えば，「exe」や「zip」，「lzh」といった拡張子の添付ファイルについても考えたい。もちろん，企業によってはこういった拡張子のファイルを業務上メールでやり取りしているだろう。その場合には，安易にフィルタリングはできない。しかし，メールで感染を広げるウイルスがこれだけまん延している現在，利便性とセキュリティをはかりにかけた上で，拡張子で添付ファイルをフィルタリングすることを考慮してもよいと思う。