電子メールを悪用したコンピュータ・ウイルスが後を絶たない。メールを使っての感染拡大は,最もポピュラーな手法となっている。先日出現した「Nimda」に至っては,ウイルス・メールを開封する(本文を読む)だけで感染してしまう恐れがある。メールを使った攻撃はウイルスだけに限らない。Spam やメール爆弾,最近では携帯電話を標的とする悪質メールも出現している。そこで本コラムでは,電子メールを用いた攻撃の脅威と,対策について考えてみたい。
ウイルスの脅威
電子メールが攻撃に悪用される理由のひとつは,容易に次の攻撃先を得ることができることにある。メール・クライアントのアドレス帳やWebブラウザのキャッシュには,多数のメール・アドレスが保存されている。それらを自動的に取得して悪用すれば,短時間のうちに多数のユーザーに対して,悪意あるプログラムを送付することが可能となる。
悪意あるプログラムが起動するには,ユーザーのアクションを必要とする。通常は,単に受信しただけでは被害を受けない。にもかかわらず,メールを悪用したウイルスが後を絶たないのは,その根本的な原因として,反射的に添付ファイルをダブル・クリックしてしまうユーザーが余りにも多いということだろう。
最近になってようやく,「メールにはウイルスなどが添付されている可能性がある」という事実が世に知られるようになった。多くのユーザーは,不明な添付ファイルを実行することの危険性を認識し始めた。しかし,これは逆に「添付ファイルを実行しなければ大丈夫」との誤った認識も生んでしまった。筆者自身も,顧客から「実行さえしなければ大丈夫なんですよね?」といった質問を何度か受けたことがある。
しかし,今回の「Nimda」騒ぎにより,その認識が誤りであることを知り,メールによる攻撃の恐ろしさを再認識したユーザーは多いだろう(Nimda については,「今週のSecurity Check [Windows編]」などを参照のこと)
「クリックしない」だけでは不十分
それでは,メールによる攻撃に対して,どのような対策を施したらよいだろうか。
今さらではあるが,メールの添付ファイルを不用意にクリックしないことが第一であろう。ウイルス作者はいかにしてクリックさせるかに注力している。その誘いに乗ってはいけない。クリックさせる“工夫”としては,以下のようなものが挙げられる。
- 送信元を偽り,知人から送られたメールに見せかける
- 昨年流行した「VBS/LoveLetter」のように,件名に“気になる”文字を入れる
- ウイルスの駆除ツールを偽った悪質プログラムを添付する(最近では Nimda の駆除ツールを偽ったウイルスが実際に出回った)
しかし,クリックしなくても実行されてしまうようなウイルスが出現している現在,「クリックしない」だけでは不十分である。それ以外に,次のような対策が必要だ。
- 電子メール・クライアントのセキュリティ・チェックを怠らない
- 最新のパッチを適用する
- HTMLメールを自動表示をしない
- 電子メール・クライアントの不要な機能を停止する(例えばプレビューなど)
メールによる攻撃については,今後様々な可能性が考えられる。上記のような対策を地道に施すしかないのが現状である。
モバイル端末への脅威
電子メールによる脅威はウイルスに限らない。よく知られたものでは,Spamメールやメール爆弾などがある。これらの攻撃は,インターネット・ユーザーすべてが対象となる。これには,現在急増中のモバイル・インターネット・ユーザーも含まれる。ちなみに,全世界のモバイル・インターネット・サービスの加入者は5722万人,前年度比 66.5% で増加中である(参考資料)。今後のユーザー増加に比例して,メールによる攻撃の被害者も増加することは容易に予想できる。
特に,モバイル・ユーザーを対象にした攻撃の手法は,今まで以上にさまざまなものが出現してくると予想される。最近,メディアでも多く取り上げられているように,iモードを攻撃対象とした悪質メールはその予兆といえるだろう。
ここでは,少し前に話題になった攻撃の一例を示す([関連記事])。これらは「タグメール」と呼ばれるメールを悪用したものだ。タグメールを悪用すれば,そのメールを開封するだけで,強制的に電子メールを送信したり,電話をかけさせたりすることが可能となる。さらに,iモードのメニューを操作したり,強制的に初期化させたり,個人情報を抜き取ったりすることも可能であるとの報告もある。ただし,これらの攻撃がすべてのiモードに通用するわけではない。機種に依存する場合が多く,筆者の検証でも限られた機種にしか通用しない攻撃が多かった。
以下,(1)強制再起動,(2)パスワード変更,(3)強制メール送信のタグメール例を示す。悪用を防ぐために一部伏字にしているが,攻撃がいかに容易であるかは分かってもらえるだろう。
【悪意あるタグメール例】
(1)強制再起動(一部伏字)
■ http://www.lac.co.jp/hogehoge/hogehoge.gif
(2)パスワード変更(一部伏字)
(3)強制メール送信(一部伏字)