アンチウイルス・ベンダーの報告に目を通すまでもなく,多機能になったMUA *1 の機能を利用して,感染を広げるワーム *2 の被害が後を絶たない。また,ワームの増殖経路を考えた場合,メーリング・リストが原因になって被害を拡大させてしまったのではないか,と疑われるケースもある([関連記事])。

 ただでさえ,ワームは「アドレス帳 *3 に記載されている相手すべてに,ワーム添付メールを配送する機能」などを持ち,感染を拡大しようとする。そのようなワームが,メーリング・リストで配送された場合,感染被害の拡大は,とどまるところを知らない。

 そこで今回は,メーリング・リスト・サービスが,ワームの増殖手段に利用されてしまわないための対策を取り上げたい。

*1 Mail User Agentの略。「Outlook」や「Winbiff」などの,ユーザーがメールを読み書きするソフトウエアのこと。
*2 ネットワークを介して,自己増殖するプログラムのこと。ほかのプログラムに寄生せず,自分自身で増殖する点がウイルスとは異なるが,ウイルスの一種として扱われることも多い。
*3 MUA 内に記録されている,メールのあて先一覧のこと

“加害者”にならないために

 MUAの機能を悪用するワームの流行は,MUAベンダーの“機能向上”と“利便性”の追求が原因である。今後も,“多機能”なMUAを悪用したワームは,その亜種を増やしてゆくことだろう。

 この問題についての,MUA側での技術的な対策は,不要な機能を停止することに尽きる。また,ユーザーに対しては,ワームを含んでいる可能性があるメールを不用意に開いたり,添付ファイルを安易に実行しないことが,強く推奨される。

 システム管理者の視点から,この種のワームを考えた場合,自分の組織で運用している電子メール・サーバーが,ワームの増殖に利用されることほど,恐ろしいことはない。自らが被害者になるだけならまだしも,加害者になってしまう可能性があるのだ。

 ワームの増殖に手を貸したことが明らかになると,ワームへの対応能力や予防手段の欠如を指摘されるだけではなく,組織全体のセキュリティ意識まで問われることになる。事態は深刻である。システム管理者は,そのことを十分認識し,対策を施す必要がある。特に,メーリング・リスト・サービスを提供している場合には,なお一層の注意が必要である。

メーリング・リストで,ワームはさらに増殖

 メーリング・リスト・サービスは,この機能を提供するソフトウエア(「リスト・サーバー・プログラム」とも呼ばれる)が,あるリスト参加者からのメールを受け付け,登録されているすべての参加者へ,そのメールを複製して配送することで実現されている。これは,メーリング・リストのサーバーが,UNIXで稼働している場合でも, Windows NT/2000の場合でも同じである。

 メーリング・リスト・サービスは,(1)MTA *4 に備わっている機能をそのまま利用する場合と,(2)専用のソフトウエアを利用する場合がある。

 (1)は,例えば,sendmail の aliases ファイルを利用すれば実現できる。管理は大変だが,手間をいとわなければ,簡単にメーリング・リストを開設できる。(2)としては,以下のような専用ソフトウエアが挙げられる。UNIX上で動作するソフトであるが,Windows NT/2000 上で同様の機能を提供するソフトウエアも存在する。

  • majordomo
  • fml
  • LISTSERV
  • SmartList

 ある参加者がリストあてにワームを送信すると,メーリング・リスト・サーバーがすべての参加者へ,そのワームを配送してしまい,増殖することになる。リストあてには,故意に送信される場合もあるが,ある参加者のマシン上で動作したワームにより送信される場合もある。

 現在確認されているワームの中には,MUAのアドレス帳からあて先を抽出して,そのメール・アドレスに,自分自身を添付したメールを送信するものがある。そのため,もしアドレス帳に,メーリング・リストのアドレスが含まれている場合には,リストあてにワームが送信される。

 その結果,メーリング・リストの参加者数にも依存するが,ワームの作者にとっては効果的な形で,また,リストの参加者にとっては迷惑極まりない形で,大量に複製されたワームが配送されることになる。

 このような事態を防ぐために,システム管理者は対策を施す必要がある。

*4 Mail Transfer Agentの略。「qmail」や「sendmail」,「Lotus Notes」,「Microsoft Exchange」などの,メールを送配信するソフトウエアのこと。一般には,「メール・サーバー・ソフト」と呼ばれることが多い。

具体的な対策方法

 それでは,メーリング・リスト・サービスを提供している環境では,システム管理者はどのような対策を施す必要があるだろうか。以下のような対策が有効であると考えられる。

(1) 「From:」ヘッダー,「To:」ヘッダーが欠落しているメールを,リスト内に流さない

(2) ファイルが添付されたメールは,リスト内に流さない

(3) 本文に,特定の文字列を含むメールはリスト内に流さない

 何種類かのワームは,「From:」ヘッダーが,メールの本文中に記録されていない形式のメールを作成し,それに自分自身を含めて,送信を試みることが判明している。従って,「From:」が欠落しているメールは配送せず,リストの管理者,あるいはシステム管理者あてに送信するか,そのまま捨ててしまうことで,リストへワームが配送されることを防止できる。

 また,現在確認されているほとんどのワームは,添付ファイルとして,自分自身をメール内に含める。そのため,ファイルが添付されたメールを配送しなければ,感染の拡大を防げる。

 メーリング・リストにもよるが,一般的なメーリング・リストでは,ファイルが添付されたメールを流す必要性はないと考えられる。そのため,この対策は有効であろう。

 ワームの中には,一定の文章や語句をメール内に含めて,自分自身をメールで送り出そうと試みるものがある。そこで,それらの文章や語句のパターンに合致するメールを配送拒否することで,ワームの配送を防止できる。しかしながら,それらの文章や語句を含んだ,通常のメールも配送拒否する危険性をはらんでいる。いわば,“両刃の剣”の対策である。適用には,十分注意する必要がある。

 また,特定の語句を含むメールがブロックされていることが分かると,異なる語句を含む亜種が登場する。その場合には,また新たな語句を配送拒否の対象にしなくてはならず,“いたちごっこ”になってしまう。

 以上の対策は,代表的なリスト・サーバー・プログラムのデフォルト状態では,施せない。従って,リスト・サーバーや,実際にメールを配送する MTA に,フィルタ・プログラムを組み合わせるなどして,対策を施す必要がある。

◇ ◇ ◇ ◇ ◇ ◇

【3月5日追記:訂正のお知らせ】

 2001年2月26日付けのコラム,「メーリング・リストをワームから保護する」において執筆者のミスがあったので,お詫びして訂正する。

 システム管理者がリスト内にワームの流入を防止するための対策として,筆者は(1)「From:」ヘッダー,「To:」ヘッダーが欠落しているメールを,リスト内に流さない,(2)ファイルが添付されたメールは,リスト内に流さない,(3)本文に,特定の文字列を含むメールはリスト内に流さない,の3つを示した。

 このうち,(1)については“「From:」ヘッダーが欠落しているメールを,リスト内に流さない”,と訂正したい。なぜならば,「To:ヘッダー」が欠落しているメールを,リストを経由して配送するかどうかという問題は,「RFC822にどの程度準拠したメールをリストに流すか」というリスト運営のポリシーに関するものであり,コラムの主題である「メーリング・リストをワームから保護する」とは,別のコンテキストで述べられねばならないと考えられるからである。

 読者におかれては,誤解を招いたことを,ここにお詫びすると共に,本訂正をもって内容を差し替え頂きたい。


坂井順行 (SAKAI Yoriyuki)
株式会社ラック コンピュータセキュリティ研究所
sakai@lac.co.jp


 IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,その週に起きたUNIX関連およびセキュリティ全般のニュースや動向をまとめた週刊コラムです。セキュリティ・ベンダーである「株式会社ラック」のスタッフの方を執筆陣に迎え,専門家の立場から解説していただきます。