メールで感染を広げるウイルス「Netsky」が世界中で大きな被害をもたらしている。このウイルスの特徴は,次から次へと新たな変種が出現していること。特に,3月29日に出現した「Netsky.Q」は国内で猛威を振るった(写真)。多くのユーザーが,添付ファイルの拡張子が 「pif」あるいは「zip」で,件名の最後がメール・アドレス(例えば「Delivery Error (user@example.com)」)であるNetsky.Qメールを目にしたことだろう。
IT ProではNetskyに関する記事を何本か掲載している。そこで本稿では,それらの記事をまとめて,これらのウイルスの特徴や変種出現の経緯,及ぼした被害,対策について解説する。
IT Proで最初に報じたNetskyは,最初の変種である「Netsky.B」である。
◆「メールやファイル共有で感染を広げる『Netsky.B』に注意」――CERT/CCや警察庁
◆米Network Associatesが「W32/Netsky.b@MM」を警告,危険度は「中」
米CERT/CCや警察庁は国内時間2月19日に,Netsky.Bの被害が増えていることを警告した。しかしながら,国内で出現したころには,ほとんどのウイルス対策ソフトが対応済みだった。「特定の文字列を含む共有フォルダに自分自身をコピーする」「ファイル交換ソフト『KaZaA』を使って感染を広げる」といった特徴があるものの,添付ファイルを実行しなければ被害に遭うことはない。「よくあるウイルスの一つ」といった印象だった。ちなみに,Netskyのオリジナル(「Netsky」あるいは「Netsky.A」)は米国時間2月16日に出現している。
その後,新たな変種「Netsky.C」と「Netsky.D」がアンチウイルス・ベンダー各社から警告された。
◆米Network Associatesが「W32/Netsky.c@MM」を警告,危険度は「中」
◆米Network Associatesなど,危険度「中」のワーム「W32/Netsky.d@MM」を警告
特にNetsky.Dについては,アンチウイルス・ベンダー各社が対応する前に,国内でも急速に感染を広げたので,IT Proでも注意を呼びかけた。
◆Netskyウイルスの変種が流行中,拡張子が「.pif」の添付ファイルに注意
コンピュータ・ウイルスの届け出先機関である「情報処理推進機構セキュリティセンター (IPA/ISEC)」によると,2月中には150件の届け出があったという。Netskyに限らず,メールで感染を広げるほとんどすべてが,メールの送信元アドレスを詐称する。このため,きちんとウイルス対策を施していても,ウイルス・メールの差出人と誤解されて警告メールが届くことがある。そのようなメールが届いても慌てる必要はない。逆に,自分あてにウイルス・メールが届いた場合には,送信元アドレスをうのみにしてはいけない。
◆「2月はMydoomやNetskyが猛威,ウイルス警告メールが来ても慌てるな」――IPA
Netsky.Dは,国内で大きな被害をもたらした。下記の記事はあくまでも一例。「大企業でも,Netskyウイルスの被害に遭っているところがある」(シマンテック Symantec Security Response マネージャ 星澤裕二氏)のが実情だ。
◆経産省システム担当課長、セキュリティ対策の生々しい現場を語る
Netskyの変種は次々と作られ続けた。
◆Mydoom.AおよびBの非活性化を試みる「Netsky.J」発生
変種というだけあって,「ウイルス・メールを送るような基本的な部分については,いずれも同じである。実行した際の発病挙動や,メールの内容などが異なる」(トレンドマイクロ トレンドラボ・ジャパン アンチ・ウイルスセンター ウイルスエキスパート 岡本勝之氏)。しかしながら,新しい変種は古いウイルス定義ファイル(パターンファイル)では検出できないことがほとんど。というのも,ウイルス作者は,新しいウイルスを撒き散らす前に,ウイルス対策ソフトでチェックすることが多いからだ。
米国時間3月22日には,Internet Explorer(IE)のセキュリティ・ホールを突く「Netsky.P」が出現した。セキュリティ・ホールがあるIEを使っているパソコンでは,メール(HTMLメール)本文を開いたりプレビューしたりするだけで,添付されているウイルスが勝手に動き出す。
◆米Network Associates,IEの古い脆弱性も悪用する新たな亜種「Netsky.P」を警告
とはいえ,Netsky.P(およびNetsky.Qなど)が突くセキュリティ・ホールは,2001年にパッチが公開されている「MS01-020」という古いもの。IE 5.5 SP2やIE 6ではふさがれている。セキュリティ・ホールを突かれるよりも,ユーザーが添付ファイルを実行して感染したケースが多いと考えられる。
そして3月29日,「Netsky.Q」が出現した。出現当初はほとんどのウイルス対策ソフトは未対応だったために,多くの企業にNetsky.Qメールが“侵入”したと思われる。
◆「Netsky」ウイルスの変種が国内で流行,対策ソフトで検出できない場合も
Netsky.Qが送信するウイルス・メールのトラフィックでメール・サーバーやネットワークが麻痺した企業は少なくないと考えられる。
◆OCNのメール・サーバーで発生したトラブル,原因は「Netsky.Q」か
さらに,Netsky.Qは4月8日から11日までの間,特定のサイトへDoS(サービス妨害)攻撃を仕掛ける。一刻も早く,社内からNetskyを一掃すべきだ。
◆「Netsky.Q」は4月8日にDoS攻撃を開始,その前に社内から一掃を
IPA/ISECによると,3月中に寄せられたウイルス届け出4012件中,1795件がNetskyに関するものだった。国内で流行したことは確かだ。
◆「3月はNetskyウイルスが猛威,対策ソフトへの過信は禁物」――IPA
海外でも同じ状況だったようだ。
◆2004年3月のウイルス被害状況,「Netsky」の亜種がワースト3を独占◆3月のウイルス被害状況ワースト12,「Netsky」の亜種が7種類もランクイン
なおもNetskyの変種は作られ続けている。
◆アンチウイルス・ベンダーが「W32/Netsky.R」を警告
4月7日時点で,トレンドマイクロの情報によると,20番目の変種「Netsky.T」が見つかっている。「このまま被害が続出してメディアが注目し続ける限り,変種は作られ続けるだろう。ユーザーがきちんと対策して感染しないようになり,メディアが注目しなくなれば,自然と作られなくなるはずだ」(シマンテック 星澤氏)。
被害に遭わないためには,ウイルス対策ソフトを利用するだけでは不十分である。ありきたりではあるが,「怪しい添付ファイルは開かない」ことが重要である。また,ウイルス・ファイルに付けられることが多い「pif」などの拡張子のファイルは,ゲートウエイでフィルタリングすることも考えたい。
◆「拡張子が『.pif』などの添付ファイルはフィルタリングすべき」――専門家
「pif」「scr」「bat」「com」「cmd」といった拡張子のファイルがメールに添付されることはほとんどない。これらの拡張子を持つファイルを添付するのはウイルスだけだといえる。セキュリティの観点からは,「exe」や「zip」などの拡張子を持つ添付ファイルも,ゲートウエイでフィルタリングすることが望ましいだろう。
(勝村 幸博=IT Pro)