1月27日以降,国内においても「Mydoom」ウイルスが猛威を振るっている(関連記事)。Mydoomには,ユーザーをだます“工夫”が凝らされている。そのため,これほどまでに感染を広げていると考えられる。より悪質な変種「Mydoom.B」も出現している。そこで今回の記事では,Mydoomの詳細について解説する。

より悪質な変種も出現

 Mydoomはメールで感染を広げるウイルス(ワーム)である。メールに添付されて送られてくるMydoomを実行すると,Mydoomを添付したメールを大量に送信するとともに,2004年2月1~12日に米SCO GroupのWebサイト「www.sco.com」にDDoS(分散サービス妨害)攻撃を仕掛ける(関連記事)。

 Mydoomが出現して数日後には,より悪質な変種「Mydoom.B」が出現している(関連記事)。オリジナルのMydoomが出現した際には,アンチウイルス・ベンダーによって呼び名が異なっていた。例えば,シマンテックでは「Novarg」,トレンドマイクロは「MIMAIL.R」と呼んでいた。だが,変種が出現してからは,Mydoomという呼び名でほぼ統一されている。

 Mydoom.Bは,「www.sco.com」だけではなく,米MicrosoftのWebサイト「microsoft.com」も攻撃対象にしている。そればかりではなく,オリジナルのMydoomにはない“機能”をいくつか備える。

 まず,Mydoomに感染しているパソコンを見つけると,MydoomをMydoom.Bにアップデートする機能を持つ。Mydoom.Bは,ランダムに選択したIPアドレスに特定のパケットを送信し,Mydoomに感染しているパソコンを探す。見つけると,Mydoomが仕掛けたバックドア(ポート 3127番で外部からの接続を待っている)に接続し,MydoomをMydoom.Bに書き換える。次回そのパソコンを立ち上げると,Mydoom.Bが起動されることになる。

 また,Mydoom.Bは,感染したパソコンの「hosts」ファイルを書き換えて,アンチウイルス・ベンダーやMicrosoftのサイトにアクセスできないようにする。ユーザーに情報を入手させないようにするためだ。マイクロソフトは,Mydoomに感染した際の復旧方法などを記載した「Mydoom に関する情報」を公開している。しかしながら,感染したパソコンからは同社のサイトにはアクセスできなくなる。

 ただし,Mydoom.Bが感染しても,JPドメインのサイトへはアクセスできる。Mydoom.Bが内部的に持つ,アクセス不能にするサイトのリストに,JPドメインのサイトは含まれていない。そこで,万一感染した場合には,JPドメインのサイトから,情報や駆除(復旧)用ツールを入手すればよい。例えば,シマンテックの「W32.Novarg.A@mm / W32.Mydoom.B@mm 駆除ツール」や,トレンドマイクロの「トレンドマイクロ ダメージクリーンナップサービス」などへは,感染した後でもアクセスできる。

 日本ネットワークアソシエイツも「AVERTウイルス駆除ツール」という駆除ツールを公開しているが,そのページはMydoom.Bがアクセスできないようにする「www.nai.com」の下にあるため,残念ながらアクセスできない。

 なお,Mydoom.Bが実行されたときのシステムの日付が「UTC(universal time coordinated:協定世界時)2月3日」以降の場合には,www.microsoft.comをアクセス不能にはしないという(2月3日以前にMydoom.Bが実行されてwww.microsoft.comがアクセス不能になっている場合には,アクセスできるようにhostsファイルを再び改変するという情報もある)。これは,www.microsoft.comへDDoS攻撃を仕掛けられるようにするためだと考えられる。

エラー・メールに見せかける

 原稿執筆時点(2月1日)でも,Mydoomとその変種は沈静化していない。一部では,インターネット史上最悪の感染状況であり,過去に出現した「SoBig.F」ウイルスをはるかに上回ると言われている(関連記事)。

 Mydoom(およびその変種)には,セキュリティ・ホールを突く“機能”はない。2001年に出現した「Nimda」や,2002年以降まん延している「Klez」などとは異なり,メールの本文を読んだりプレビューしたりするだけで動き出すことはない。メールに添付されたMydoomを実行しない限り,感染することはない。

 それにもかかわらず,なぜこのように猛威を振るっているのか。それは,Mydoomにはユーザーをだます工夫が凝らされているからだ。ソーシャル・エンジニアリングのテクニックを駆使していると言えよう。

 まず,Mydoomは,自分が添付されているメールを,送信エラー・メッセージなどに見せかける場合がある(関連記事)。具体的には,メールの件名を「Server Report」「Mail Delivery System」「Mail Transaction Failed 」「Error」「Returned mail」「Delivery Error」――などとする場合がある。本文についても,「Mail transaction failed. Partial message is available. Test, yep. 」「Mail transaction failed. Partial message is available. 」「sendmail daemon reported: Error #804 occured during SMTP session. Partial message has been received. 」――などとする場合がある。

 エラー・メッセージなどに見せかける手法は比較的目新しい。このため,警戒せずに添付ファイルをクリックしてしまい,被害に遭ったユーザーは少なくないだろう。

実際のエラー・メールとして送り付ける

 Mydoomは,感染したパソコンのWindowsアドレス帳などからメール・アドレスを抽出し,送信先および送信元アドレスに使用する。このとき使われる送信元アドレスは,ほとんどの場合,感染したパソコン・ユーザーのアドレスではないので,送信元が偽装されることになる。

 このようなメカニズムは,メールで感染を広げるウイルスの常とう手段であり,目新しいものではない。しかし,Mydoomは“もう一工夫”している。抽出したアドレスをそのまま使う場合もあれば,ランダムに作成したアドレスを使う場合もあるのだ。抽出したアドレスのドメイン名はそのままで,ユーザー名だけをランダムなものに変更する場合もある。ドメイン名の先頭に,メール・サーバーに見えるような特定の文字列(例えば,「smtp01」や「list」など)を追加する場合もある。

 なぜ実在しないメール・アドレスを使用するのか。それは,Mydoomが本物のエラー・メールに添付されて送られるようにするためだ。送信元(From)アドレスに実在するアドレス,送信先(To)アドレスに実在しないユーザーのアドレスが使われた場合には,Toアドレスの組織のメール・サーバーから,FromアドレスのユーザーへMydoomが添付されたエラー・メールが送信されることになる。エラー・メールに見せかけたメールではなく,本物のエラー・メールに添付されて送られてくるのだ。

 国内のメール・サーバーの多くは,エラー・メールに英語のメッセージだけではなく,「あて先に対して配信できませんでした」といった日本語メッセージを付加する。ウイルスに注意しているユーザーでも,実在する組織のメール・サーバーから,日本語の本文でエラー・メールが送られてきたら,警戒心を緩めてつい添付ファイルを開いてしまうだろう。

 この手法は,日本国内だけではなく,英語圏以外の国すべてに有効だ。従来,ウイルス添付メールの本文は,ウイルス自身が実装する必要があった。このため,ウイルスの感染範囲が特定の言語圏――ほとんどの場合,英語圏――に限定される場合が多かった。実在するメール・サーバーを利用するMydoomの手法は,言語の壁を越えて感染を広げられるのだ。Mydoomのまん延は,この手法の“有効性”を示した。今後,同様のウイルスが出現する可能性は高いので,実在する組織が送ってくるエラー・メールにも注意する必要がある。

 なお,Mydoomが使った送信先アドレスが実在する場合でも,エラー・メールとしてウイルス添付メールが送られてくる場合もあるので要注意だ。実際,筆者はそのようなメールを受け取った。メールの送信元アドレスには筆者のアドレスが使われていた。送信先のメール・アドレスは存在するものの「送信先のサーバー・メール・ボックスが一杯でお届けできませんでした」というメッセージが書かれた,Mydoomを添付したエラー・メールが送られてきた。多分,ウイルス作者は意図していないと思われるが,このような形でMydoomが送られてくることもある。

 Mydoomでは,実在しないアドレスが送信先アドレスに使われるとは限らない。送信元アドレスとして使われる場合もある。実在するアドレスが送信先アドレスに使われる場合もある。このため,Mydoom添付メールのすべてがエラー・メールとして送られてくるわけではない。今後は,必ずエラー・メールとして送られてくるウイルス――送信元アドレスに実在するアドレス,送信先アドレスに実在しないアドレスを必ず使うウイルス――が出現する可能性は高い。十分注意したい。

「From」の偽装は今や常識

 Mydoomに限らず,送信元(From)アドレスを偽装するのは,ウイルスにとってもはや一般的である。にもかからず,送信元アドレスを信用するユーザーは多い。ユーザーばかりではない。送信元アドレスへ警告メールを送り返すようにゲートウエイ型ウイルス対策ソフトを設定している組織も多い。こういった組織はセキュリティに対する“センス”を疑われる。ぜひ見直してほしい。

 ゲートウエイ型ウイルス対策ソフトを利用すれば,組織に送られてきたメール(および組織内から送られるメール)のウイルス・チェックを一括して行える。有用なソフトだが,問題はウイルス・メールが送られてきた場合の対処である。ウイルス・メールに記載されている送信元アドレスは信用できない。にもかかわらず,ウイルスが添付されていると,そのメールの送信元アドレスに,警告メールを自動的に送る設定にしている組織がいまだに存在する。

 無駄なトラフィックを発生させるだけではなく,ほとんどの場合,濡れ衣を着せていることになる。思わぬトラブルに発展する恐れもある。現状では「百害あって一理なし」なので,このような設定は止めるべきだ。

 筆者としては下記のような設定をお勧めしたい。

 (1)組織へ送られてきたメールにウイルスが含まれる場合には,送信元(From)のメール・アドレスには何のアクションも取らない。
 (2)組織へ送られてきたメールにウイルスが含まれる場合には,送信先(To)のメール・アドレスにウイルスを取り除いたメールを送信する。このとき,メールにはウイルスを取り除いたことを伝えるメッセージを追加する
 (3)組織内から送られるメールにウイルスが含まれる場合には,送信先(To)のメール・アドレスには何のアクションも取らない。
 (4)組織内から送られるメールにウイルスが含まれる場合には,送信元(From)のメール・アドレスにウイルスを取り除いた警告メールを送信する。

 (2)と(4)については異論があるかもしれない。メールを送る必要はないという意見もあるだろう。しかし,組織内においては,ユーザーができるだけ情報を入手できるようにしたほうが,ウイルス対策に有用だと筆者は考える。

拡張子でフィルタリングする

 メールを使った新種ウイルスが次から次へと出現している現状では,特定の拡張子を持つ添付ファイルをゲートウエイでフィルタリングすることも,ウイルス対策としてはとても有効である。もちろん,支障が出る恐れがあるので,事前にユーザーへ告知することなどが不可欠だ。

 フィルタリングすべきファイルの拡張子については,「マイクロソフト サポート技術情報 - 262631 [OL2000] Outlook 2000 電子メール セキュリティ アップデートに関する情報」などに記述されているので参考にしてもらいたい。

 例えば, Mydoomが使用した「pif(MS-DOS プログラムへのショートカット)」「scr(スクリーン・セーバー)」「exe(プログラム)」「cmd(Windows コマンド・スクリプト)」「bat(MS-DOS バッチ・ファイル)」などは,上記の情報では「安全ではない」とされている。Mydoomのように,アーカイブ・ファイル(例えば,zip)にウイルスが含められる場合も多い。アーカイブ・ファイルもフィルタリングの対象として考慮してもよいだろう。

 今回の記事では,Mydoomについて解説した。上記以外のWindows関連セキュリティ・トピックス(2004年2月1日時点分)については,各プロダクトごとにまとめた記事末のリンクを参照してほしい。IT Proでも関連記事をいくつか掲載しているので参考にしてほしい。特に,以下の過去記事は重要なので,未読の方はぜひチェックしていただきたい。

◎IT Pro過去記事
『IEに,ダウンロードするファイル名を偽装されるセキュリティ・ホール』
『Windows XPにセキュリティ・ホール,危険なファイルをフォルダに見せかけられる』
『米MS,“URLの偽装問題”対策としてIEの仕様を変更するパッチを提供予定』
『適用したはずのパッチがWindows Updateに表示されるトラブル』



マイクロソフト セキュリティ情報一覧

『Data Access Components 2.5/2.6/2.7/2.8』
MDAC 機能のバッファ オーバーランにより,コードが実行される (832483)(MS04-003)
 (2004年01月21日:パッチ適用に関する補足情報が追加)
 (2004年 1月14日:ダウンロード・サイトを日本サイトに変更)
 (2004年 1月14日:インストーラが英語版でも問題ないことを追加)
 (2004年 1月14日:日本語情報および日本語版パッチ公開,最大深刻度 : 重要)

マイクロソフト サポート

マイクロソフト サポート技術情報 - 834489 Internet Explorer で HTTP URL と HTTPS URL のユーザー情報を処理する際のデフォルトの動作を変更するソフトウェア アップデートのリリースについて

マイクロソフト トラブル・メンテナンス速報

Windows Update に接続すると 「Microsoft Data Access Components 用セキュリティ問題の修正プログラム (KB832483)」 が何度も表示される

TechNet Online セキュリティ

Mydoom に関する情報
Bagle に関する情報
新しいパソコン購入者やリカバリを予定しているユーザーへ,セキュリティ対策のお願い
日本語版 Microsoft Baseline Security Analyzer 1.2 早期提供のお知らせと利用上の注意点

山下 眞一郎   Shinichiro Yamashita
株式会社 富士通南九州システムエンジニアリング
第一ソリューション事業部ネットソリューション部 プロジェクト課長
yamaアットマークbears.ad.jp

 「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)