一向に収まらない「Sircam」ウイルスの猛威，10月16日にはファイルの削除も

“運命の日”を迎える前に，ウイルス対策の再確認を

山下眞一郎

2001.09.12

　情報処理振興事業協会（IPA）によると，2001年8月のコンピュータ・ウイルスに関する届け出件数およびは実害件数は過去最悪を記録したという。主な原因は「Sircam」ウイルスの蔓延（まんえん）。同ウイルスは，10月16日にある特定の条件下で，C ドライブ中のファイルすべてを削除する機能を備えているので，改めて注意する必要がある。セキュリティ・ホール関連では，追加および新規の情報がそれぞれ1件。いずれも重要度は高くないが，一応チェックしておこう。「Microsoftサポート技術情報」にも注目すべき情報がいくつか公開されている。目を通しておきたい。

10月16日は“運命の日”，ファイルを削除される恐れあり

　IPA から，2001年8月の「コンピュータウイルスの届出状況について」が公開された。届け出件数は2809件，感染実害件数も592件を記録し，いずれも史上最悪であることが報告されている。また，メールの添付ファイルにより感染を拡げる「W32/Sircam」ウイルスの届け出が1257件を占め，1種類のウイルスの月間届け出件数としては過去最多であることも，報告されている。Sircam の猛威は，一向に収まる気配を見せない。

　IPA のレポートでは，Sircam ウイルスの特徴として，

（1）同じアドレスに対し，何通もメールを送信し，しかも短い間隔で送信されることがあるため，スパム・メール（迷惑メール）のようになる

（2）添付ファイルのサイズがウイルス部分だけで134kバイトと大きいため，受信（ダウンロード）に時間がかかる

（3）題名（件名）と添付ファイル名に実在するファイル名を使うため，つい開いてしまい，二次感染が起きやすい

の3点を挙げている。レポートにはこれらが図解付きで分かりやすく説明されているので，一度は目を通しておきたい。

　さらに，Sircam ウイルスには，ある特定の日時，条件下でファイルを削除する機能がある。その特定の日時とは10月16日，Sircam ウイルスに感染したユーザーにとって“運命の日”ともいえるだろう。10月16日を迎えると，感染しているパソコンの C ドライブに存在するファイルとディレクトリをすべて削除されてしまう。

　ただし，いくつかの前提条件が存在する。この情報を一番詳細に記載しているシマンテックのWebページ「W32.Sircam.Worm@mm」によれば，（1）D/M/Y（日/月/年）の日付形式を使っているパソコンだけが対象となる。加えて，そのすべてで発病するわけではなく，（2）20分の1の確率で発病するという。

　基本的に，D/M/Y（日/月/年）の日付形式は日本ではなじみがない。そのため，実害は少ないとは思われるが，異なる日付形式で発病する亜種が存在しないとも限らない。10月16日に向けて，ウィルス対策ソフトのデータ・ファイルを最新化する等の対応を確実に行う必要がある。

　ただし，10月16日にならなくても，ファイルを削除される恐れがあることを付け加えておく。Sircam は，感染したパソコンのハード・ディスクから，ランダムにファイルを選択し，そのファイルに自分自身を付加して外部に送信するウイルスである。このファイルに，「FA2」という文字列が連続して含まれている場合には，日時やパソコンの日付形式にかかわらず，ファイルを削除する。つまり，ウイルス・ファイルを開いた瞬間に削除されてしまうのである。

システム管理者も注意

　さらに，Sircam には「ネットワーク経由で再感染する」および「秘密情報を漏洩する」特徴があるため，システム管理者も注意を払う必要がある。Sircam に関しては，ウイルス対策をしていないユーザーだけではなく，ネットワーク全体あるいは組織全体が被害を受ける恐れがあるのだ。

　 Sircam は，Windowsのファイル共有機能によっても感染を広げる。そのため，一度感染した後にウイルスを削除したとしても，既に別のマシンに感染が広がっていて，そのマシンから再び感染する恐れがある。このような事態を避けるため，リード・オンリーもしくはパスワード付きで共有することをお勧めする。

　加えて Sircam には，「マイドキュメント」フォルダ中のドキュメントあるいは画像ファイルをウイルス本体に付加して，外部へメールで送信するという「秘密情報の漏洩」の側面がある。

　たとえ外部に送信されたとしても，「Sircam は最近有名になっているため，安易に開かれることはないだろう」と高をくくっているユーザーが多いようだが，それは大きな誤りである。確かに，ウイルス付きのデータ・ファイルは，そのままでは感染の危険を冒さなければ読むことはできない。しかし，ファイル前半の134kバイトに存在するウイルス部分を，バイナリ・エディタ等で切り離せば，元データのみを容易に復元できてしまう。

『Windows 2000』では，セキュリティ・ホールの追加情報が1件

　Windows関連のセキュリティ・トピックス（2001年9月7日時点分）を，各プロダクトごとに整理して解説する。

　『Windows 2000』関連は，「マイクロソフトセキュリティ情報一覧」にて，既存のセキュリティ・ホールの追加情報が1件公開された。

（1）NNTP サービスでメモリリークが発生する

　セキュリティ・ホール自体については，過去のコラムで紹介済みである。Windows 2000の NNTP (Network News Transport Protocol) サービスには，メモリー・リークが発生するセキュリティ・ホールが存在するため，ある特定の投稿を大量に送信されると，DoS（サービス不能）状態に陥る恐れがある。

　日本語情報と同時に日本語版パッチも既に公開されている。今回追加されたのは以下の情報である。

（1）通常のサービスは，IISAdimn サービスを再起動することにより回復可能である
（2）Exchange 2000 で　NNTP サービスを稼働させている場合も同様の影響を受ける
（3）NNTP サービスは，デフォルトでは Windows NT 4.0 および 2000 にインストールされない

　（2）について簡単に説明する。Exchange 2000 で NNTP サービスを有効にしている場合には，Windows 2000 の NNTP サービスが使用される。そのため，セキュリティ・ホールの影響を受けることになる。なお，Exchange 5.5 は Windows 2000 の NNTP サービスを使わないため，影響を受けない。

　マシンの管理機能を奪われたり，データを改ざんされるような重大なセキュリティ・ホールではないため，必要に応じてパッチを適用すればよいだろう。

各種サーバー・アプリでは，新規のセキュリティ・ホール情報が1件

　各種サーバー・アプリでは，「マイクロソフトセキュリティ情報一覧」にて，新規のセキュリティ・ホール情報が1件公開された。

（1）OWA 機能により，認証されていないユーザーがグローバルアドレス一覧を列挙することができる

　Exchange 5.5において，「Outlook Web Access (OWA) サービス」を使用している場合，ある形式のリクエストを送信されると，認証なしでグローバルアドレス一覧（GAL）を表示する可能性がある。OWA とは，Webブラウザを使用してExchange のメール・ボックスにアクセスするためのサービスである。

　今回，すべての言語環境に適用可能な修正パッチが公開された。なお，OWA を稼働させている Exchange 5.5 のみが対象である。稼働させていない場合，および Exchange 2000は影響を受けない。

　このセキュリティ・ホールは，サーバーの操作を乗っ取られるような危険なものではなく，ユーザーの電子メールのエイリアスを知られるというものである。必要に応じてパッチを適用すればよいだろう。

　余談になるが，「MS01-047」に関連して1点注意しておきたい。Microsoft ダウンロードセンターでは，「Windows 2000 Security Patch: Trusting Domains Do Not Verify Domain Membership of SIDs in Authorization Data」という情報が8月30日に公開され，今回のセキュリティ・ホールである「MS01-047」へのリンクが掲載されている。しかし，上記のパッチと今回のセキュリティ・ホールは関係がない。誤りであると思われるので，注意しよう。

Microsoft サポート技術情報では注目すべき情報が4件

　「Microsoft サポート技術情報」にて，注目すべき情報が4件公開された。

（1）SRP インストール後 “この証明書には無効なデジタル署名” が表示

　Microsoft Internet Explorer（IE） 5.5 Service Pack 2 または IE 5.01 Service Pack 2 を適用済みのマシンに，Windows NT 4.0 セキュリティロールアップパッケージ (SRP) を適用すると，SSL を使用する Web サイトにアクセスした際，証明書が有効であるにもかかわらず，“この証明書には無効なデジタル署名があります”というエラー・メッセージが表示されるという。修正パッチが公開されているので，必要に応じて適用しよう。

　なお，SRP が適用されているかどうかを確認する方法は，「Post Windows NT 4.0 SP6a セキュリティロールアップパッケージ (SRP) 」には記載されていない。確認するにはレジストリを参照すればよい。マシンに「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\Q299444.」というレジストリ・キーが作成されていれば，適用済みである。

　セキュリティ関連情報ではないが，以下の情報も注目すべきだ。

（2）[OL2000] 64 以上の添付ファイルがランダムに削除される

　Outlook 97/98/2000 には，個人用フォルダを配信先にしているクライアントが，1つのメール・アイテムに 64 以上のファイルを添付すると，いくつかの添付ファイルが欠落してしまうという問題がある。64 以上の添付ファイルを送信することは現実的にはほとんどないと思われるが，こういった問題があることを認識しておこう。なお，Outlook 2000 SR-1 以上では修正されている。

（3）[WMP]WindowsMediaPlayer7 インストール後Windows2000 がシャットダウンしない

　Windows 2000 に Windows Media Player 7/7.1をインストールすると，Windows 2000 がシャットダウンできない場合がある。Windows Media Player に含まれる Adaptec CD 作成プラグインのドライバと，DVD または CD ドライブのドライバの競合が原因である。ドキュメントに従って，Adaptec CD 作成プラグインを削除すれば回避できる。

（4）[PPT2002] 破損したプレゼンテーションのトラブルシューティング

　PowerPoint の，破損したプレゼンテーション・データを修復するための一般的な手順を示したドキュメントである。PowerPoint で開ける破損データの修復手順に加え，開くことさえできない場合のトラブル・シューティングについても記載してあり，大変有効である。ぜひ，チェックしておこう。

◆コンピュータウイルスの届出状況について［要旨］　（IPA：2001年9月6日））

◆不正アクセス被害の届出状況について　2001.09.06(2001年8月分概要)　（IPA：2001年9月6日））

◆情報漏洩の恐れのある新種ウイルス「W32/Sircam」の届出急増 !!　（IPA：2001年8月10日））

◆W32/Sircam に関する FAQ　（IPA：2001年8月13日））

◆W32.Sircam.Worm@mm　（シマンテック）

マイクロソフトセキュリティ情報一覧

『Windows 2000』

◆(MS01-043)NNTP サービスでメモリリークが発生する
　（2001年9月4日：[1]通常のサービスは IISAdimn サービスを再起動することにより回復可能なこと，[2]Exchange の NNTPサービスも同様の影響を受けること，また[3]NNTP はデフォルトでは Windows NT 4.0/2000 にインストールされないことを追加した）

『Exchange 5.5』

◆(MS01-047)OWA 機能により，認証されていないユーザーがグローバルアドレス一覧を列挙することができる
　（2001年9月7日：日本語解説＆全ての言語環境に適用可能なパッチ公開）

Microsoft サポート技術情報

◆SRP インストール後 "この証明書には無効なデジタル署名" が表示　（2001年8月30日）

◆[OL2000] 64 以上の添付ファイルがランダムに削除される　（2001年8月31日）

◆[WMP]WindowsMediaPlayer7 インストール後Windows2000 がシャットダウンしない　（2001年8月30日）

◆[PPT2002] 破損したプレゼンテーションのトラブルシューティング　（2001年8月31日）

山下　眞一郎（Shinichiro Yamashita）
株式会社富士通南九州システムエンジニアリング
第二ソリューション事業部システムサービス部プロジェクト課長
yama@bears.ad.jp

　「今週のSecurity Check [Windows編]」は，IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し，「Winセキュリティ虎の穴」を運営する山下眞一郎氏に，Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。（IT Pro編集部）