多様な感染手段を持ち，WWWページやメールを読むだけで感染するワームNimdaは，対策の盲点を突き，170万台以上のマシンに被害をもたらした。クライアントへの感染を防がなければサーバーは守れない。そのためにはクライアントにも必ずセキュリティ・パッチを適用しなければならない。

写真1●MSNのトップページにも感染 マイクロソフトが運営するMSNへのNimdaの感染を報告するページ。日本でも多数のサーバーやクライアントが被害に遭った

　2001年9月18日午後11時ごろ，マイクロソフトが運営するポータル・サイトMSNが，インターネット・ワームNimdaに感染した（写真1[拡大表示]）。MSNのトップ・ページには，マイクロソフトによれば1時間ほど，Nimdaが感染したファイルが置かれた。MSNを見たユーザーをはじめ，Nimdaは世界中で多くのマシンに被害をもたらした。トレンドマイクロの調査によれば，2001年10月1日までに全世界で少なくとも170万台が感染したという。

　Nimdaは，多くのユーザーが取っていたセキュリティ対策の盲点を突いた。コンピュータのプロであるはずのマイクロソフトが運営するMSNが感染した理由の一つも，Nimdaがこれまでのワームやウイルスにない性質を備えていたためだ。

　今後も現れる可能性が高い新種ワームの被害拡大を防ぐために，Nimdaがもたらした教訓を見ていこう。

教訓1
クライアントを守らなければ
サーバーは守れない

図1●Nimdaの感染手段 これまでに知られている主なワームの感染手段のほとんどを備える

図2●クライアントからサーバーに感染 MSNでは，サーバーにはセキュリティ対策が施されていた。しかし，クライアントが感染し，HTMLにNimdaが挿入されたことに気付かぬままアップロードしてしまった

　Nimdaは，多様な感染手段を持つ（図1[拡大表示]）。サーバーに対しては，Internet Information Server/Services（IIS）のセキュリティ・ホールを悪用して感染する。悪用するセキュリティ・ホールはSadmindワームがWWWページ改ざんに使ったものなどだ＊1。また，Nimdaはネットワーク上に書き込むことができるWindowsの共有ファイル・フォルダを見つけると，そこに自分自身を書き込む。

　クライアントに対しては，メールやWWWページの添付ファイルとして侵入する。この際，セキュリティ・ホールのあるInternet Explorer（IE）を使用していると，メールの本文やWWWページを読んだだけで添付ファイルが実行されて感染してしまう。

　Nimdaの被害が拡大した主要な原因の一つが，このようにサーバーに感染するワームとしての性格と，クライアントに感染するウイルスとしての性格を併せ持っている点だ。

　MSNのサーバーも「当然IISのセキュリティ・ホール対策は行っていた」（マイクロソフト）。それでもサーバー上のファイルが感染してしまったのは，MSNのコンテンツ製作に利用していたクライアントが感染してしまったためだ（図2）。Nimdaは，感染するとindex.htmやdefault.asp，main.htmlなどのHTMLファイルを探し出し，自分自身を書き込む＊2。そのため，MSNでは「クライアントで感染したファイルを，MSNのサーバーにアップロードしてしまった」（同）。もちろん，ウイルス対策ソフトウエアも導入していたが，18日はNimdaが発見された直後であり，対応するパターン・ファイルの適用が間に合わなかった。

　サーバーを守るには，サーバーへの不正アクセスを排除，監視すれば済むとは言えなくなった。サーバーだけでなく，同一ネットワークに接続しているクライアントへの対策も講じなくてはならない。

教訓2
パッチの適用も
ウイルス対策に不可欠

　Nimdaは，IEのバージョンなどによっては，WWWページやメールの本文を読むだけで感染する。なぜこのようなことが起きたのだろうか。

図3●読むだけで感染するメカニズム セキュリティ・ホールのあるIEでは，電子メール・ファイル（emlファイル）のHTML中の添付ファイルのタイプ指定を書き換え，音声や画像などに見せかけたexeファイルやスクリプト・ファイルをユーザーの許可なく実行してしまう。(1)IEでemlファイルを読む，あるいは(2)Outlookのような，HTMLの表示にIEを呼び出すメール・ソフトでHTMLメールを読むだけで，ワームのプログラムを実行してしまう

表1●Nimdaに対して危険なマイクロソフトの製品

表2●Nimdaについての主な情報源およびツールの入手先

　Nimdaでは，マイクロソフトが「不適切なMIMEヘッダーが原因でInternet Explorerが電子メールの添付ファイルを実行する（MS01-020）」という文書で2001年3月に報告したIEのセキュリティ・ホールが悪用された。問題は，MIMEと呼ばれる形式で埋め込まれたファイルで発生する（図3[拡大表示]）。本来，添付ファイルがEXEやスクリプトなどの実行ファイルの場合，ファイルをダウンロードして実行するかどうか，ユーザーに尋ねるダイアログ・ボックスが表示される。

　しかし，電子メール・ファイル（emlファイル）において，実行ファイルを音声ファイルなどに見せかける（具体的には，MIMEのヘッダー部分にある，添付ファイルの形式を指示するContent-Typeと呼ばれるフィールドを，実行ファイルではなく音声などのファイル形式を示すように書き換える）と，実際には実行ファイルであるにもかかわらず，ユーザーの許可を求めることなくファイルが開かれる。実行ファイルが開かれるということは，実行されてしまうということだ。

　この現象は，セキュリティ・ホールのあるIEを使用してemlファイルを読んだ際に起きる。また，HTML表示にIEのエンジンを使用しているOutlook Expressなどのメール・クライアント・ソフトでHTMLメールを読んだ場合も同様の現象が起きる。

　このセキュリティ・ホールがウイルスに悪用される可能性については，既に独立行政法人 産業技術総合研究所 主任研究員 高木浩光氏が指摘しており，日経オープンシステムでも2001年5月号で報告した＊3。しかし，残念ながら，実際に悪用される事件が発生してしまった。

　今後もセキュリティ・ホールを悪用するウイルスが出現する可能性は否定できない。クライアントへのセキュリティ・パッチの適用，あるいは最新版へのバージョン・アップは，最も重要なウイルス対策の一つになった。

　上記のセキュリティ・ホールを抱えており，読むだけでNimdaに感染してしまうIEのバージョンは，最小構成でインストールした場合のIE 6およびIE6のServicePack（以下SP）1，5.0，5.01（SP1を含む），5.5（SP1を含む），4.0と4.01のSP1および2である（表1[拡大表示]）。　　

　これら以外の，標準インストールのIE 6やIE 5.5 SP2を使っている場合も絶対安全というわけではない。ダイアログで「実行する」を選択して添付ファイルを実行してしまえば感染する。

　これを防ぐためには，「不審な添付ファイルを実行しない」など，以前からのウイルス，ワーム対策が今後も有効である。また，サーバーに対するセキュリテイ・パッチの適用の大切さも同様に不変である。情報収集の重要性も変わらない。最後にNimdaの情報源を挙げておくが（表2[拡大表示]），これらのサイトは今後のワームに関しても重要な情報源となるだろう。