対策ソフトへの過信が招くウイルス被害

勝村幸博

2004.09.22

　ウイルス被害が後を絶たない。特に，メールで感染を広げるウイルスが猛威を振るっている（関連記事）。実際に被害に遭わなくても，送られてくるウイルス・メールの多さに困っているユーザーは少なくないだろう。これだけ送られてくるということは，ウイルスに感染したパソコンが数多く存在するということだ。

　なぜそんなに多いのか。まず第一に言えるのは，対策を施していないユーザーが多いためだ。だが，現在では企業はもちろん，個人ユーザーにおいてもウイルス対策ソフトの導入は進んでいる。対策ソフトを使っていても，被害に遭うユーザーは少なくない。

　その原因は，ウイルス対策ソフトへの過信である。対策ソフトへの過信が招いたと思われるウイルス被害は，過去に何度もある。最近では，お盆明けに出現した「Mydoom.Q（Mydoom.S）」がそうだった。Mydoom.Qは“工夫”のないウイルスだった。それにもかかわらず，一時的ながら急速に感染を広げた。しかも，対策ソフトのユーザーの間でも，感染は広がった。

“工夫”のないウイルス

　多くの企業でお盆休みが終わった8月16日，件名「photos」のメールが飛び交った（関連記事）。メールで感染を広げるMydoom.Qが原因である。このウイルスは，メールに添付された実行形式ファイル「photos_arc.exe」を実行しない限り感染しない。メールの本文は「LOL!;))))」と，いかにも怪しい。にもかかわらず，多くのユーザーが感染した。

　ウイルス作者は“工夫”する。その一つが，よく使われているソフトウエアのセキュリティ・ホールを突くことだ。代表例が2003年8月に出現した「Blaster」や2004年5月の「Sasser」である。これらはWindowsのセキュリティ・ホールを突いて感染を広げる。ユーザーが注意していても，パソコンにセキュリティ・ホールがある場合にはインターネットに接続しただけで感染する。

　2001年の「Nimda」や2002年の「Klez」などは，Internet Explorer（IE）のセキュリティ・ホールを突く。ユーザーが添付ファイルをダブルクリックしなくても，メールの本文を開いたりプレビューしたりするだけで，添付されたウイルスが実行されるように“工夫”している。

　しかし，Mydoom.Qウイルスにはセキュリティ・ホールを突く“機能”はない。ユーザーが添付ファイルを実行しない限り，感染する恐れはない。

　「ユーザーをだますこと」も，ウイルス作者が凝らす“工夫”の一つだ。ウイルスが添付されたメールの本文や件名などを“工夫”して，添付されているのがウイルスだとは思わせない。例えば，2003年9月に出現した「Swen」は，ウイルス添付メールを米Microsoftから送られたセキュリティ情報に見せかける（関連記事）。そして，添付されたウイルスをセキュリティ・パッチだと思わせて実行させる。

　変種が次々と出現する「Netsky」や「Mydoom」がよく使う手は，ウイルス添付メールをメール・サーバーからのエラー・メールに見せかけること。メール・サーバーからの通知メールは英語で書かれていることが多いので，英語圏以外のユーザーを油断されるのに“効果”がある。

　例えば，オリジナルのMydoom（Mydoom.A）は，件名を「Mail Transaction Failed」とし，本文に「Mail transaction failed. Partial message is available」と記述する（関連記事）。「どのメールがうまく送れなかったのだろうか」と考えて添付ファイルをダブルクリックすると，ウイルスが動き出して感染する。

　しかし，Mydoom.Qを添付したメールには「LOL!;))))」としか書かれていない。「だましてやろう」という意思があまり感じられない。ちなみに，「LOL」は「laugh out loudly」の略（「laugh out loud」あるいは「lots of laugh」の略とされている場合もある）。メールやチャットなどの文末に使われる。英語版の「（笑）」や「（爆）」といったところだ。英語圏以外のユーザーには，あまり馴染みがないだろう。

　添付ファイルの拡張子を“工夫”することも，メールで感染を広げるウイルスの常とう手段の一つ。「exe」の拡張子ではユーザーが警戒するので，最近では「pif」「scr」「bat」「com」「cmd」――といった拡張子を付けるウイルスが多い（関連記事）。実行形式ファイルの拡張子を「exe」の代わりにこれらの拡張子にしても，実行形式ファイルは問題なく動作する。

　拡張子を2つ付ける“二重拡張子”の手法もよく用いられる。例えば「txt.pif」などとする。2つの拡張子の間に多数の空白を入れる手法もよく使われる。例えば，「txt（多数の空白）.pif」とする。こうすると，メール・ソフトによっては空白以降が表示されず，「txt」ファイルに見える。

　しかし，Mydoom.Qは「photos_arc.exe」。何のひねりもない。

対策ソフトへの過信は禁物

　以上のように，“工夫”がほとんどないMydoom.Q。なぜ感染を広げられたのだろうか。まず第一に，これだけウイルス被害が出ている現在でも，安易に添付ファイルを開いてしまうユーザーが多いことが原因だ。以前，「メールにファイルが添付されていると，ほとんど“反射的”にダブルクリックする」という話をユーザーから聞いたことがある。実際にそのようなユーザーが多いことがよく分かった。

　そしてもう一つが，ウイルス対策ソフトへの過信である。Mydoom.Qが出現した当初，ウイルス対策ソフトのほとんどが対応していなかった。最新のウイルス定義ファイル（パターンファイル）を使っていても，検出できなかったのである。「怪しい」とは思いつつも，「対策ソフトが警告を出さないので大丈夫」と考えてダブルクリックしてしまったユーザーは少なくないだろう。