図1●史上最悪の猛威をふるうコンピュータ・ウイルス
2000年11月の発見届出件数と感染報告件数はともに過去最高。W32/MTXというウイルスが大きな原因である。
図2●W32/MTXに感染したパソコンから送られてくるメール
ウイルスが添付ファイルになっている。知人などのメールに続いて到着するので,開いてしまうことが多いという。提供はトレンドマイクロ。
 コンピュータ・ウイルスがこれまでになく猛威をふるっている。情報処理振興事業協会(IPA)がまとめた2000年11月のウイルスの発見届出状況は2203件で過去最多時点と比べて2.4倍に,実際に感染した件数を示す感染実被害件数も546件で過去最多時点の1.6倍となった(図1[拡大表示])。

 とりわけIPAの用いる名前で「W32/MTX」と呼ばれる独立実行ファイル型ウイルス(ワーム)の影響が深刻だ。11月の感染実被害件数の約7割をこのウイルスが占める。ウイルス添付ファイル名に含まれることがある単語から「マトリックス」と呼ばれることもあるほか,ウイルス対策ベンダーも「PE_MTX.A」「W95.MTX」「W32/MTX@mm」などの名称で警告している(図2[拡大表示])。

 このウイルス,発見されないように感染する仕組みが,巧妙である。「W32/MTX」は感染するとシステム・ファイルを修正し,ユーザーが電子メールを送信すると,同じ宛先に向けてウイルス・プログラムを添付した2通目のメールを送信する。

利用者のスキをつく

 ウイルスが添付されたメールの件名は空だが,通常のメールに続いて届くため,受信者は1通目のメールに添付し忘れたファイルを受け取ったという勘違いをしやすい。そうして,受信者が2通目のメールに添付されたファイルを実行すると感染する。

 ウイルス自体である添付ファイルの名前も日付によって変わり,31種類もある。前述したようにマトリックスという単語を含む「MATRiX_Screen_Saver.SCR」のほか,「SEICHO-NO-IE.EXE」のような日本語を意識したものが含まれる。ウイルスの拡張子にEXE以外もある,メール・ソフトがOutlook以外でもウイルス・メールを送るという点も特徴である。

 被害も深刻だ。システムのファイルなどを書き換えるため,最悪マシンが起動しなくなるほか,ウイルス対策ソフトで駆除しようとしてもほとんどのウイルス対策ソフト・ベンダーのサイトにアクセスできなくなっている。確実な駆除には,ディスクのフォーマットなどが必要になり,「対策でシステム部門はてんてこ舞い。ビジネスは止まってしまう」(日本ネットワークアソシエイツ)。

 W32/Navidadというウイルスもこれまでにない手口を使うことでウイルス対策ソフト・ベンダーが一斉に警告を発している。11月のIPAへの発見届出件数は437件で,新種ウイルスとしては過去最多となった。

 こちらは,メール・ソフトOutlookの受信ボックスにある既存のメールの件名などをウイルス添付メールの作成に使う。ウイルス自身がメールを送る処理を行い,アドレス帳が空でもウイルスを添付したメールが出る。感染するとEXE拡張子のファイルが実行できなくなるなどの症状が出る。ウイルス・メールの添付ファイル名はNavidad.exeで固定だが,すでに変種が報告されており,今後は別のファイル名になる可能性もある。

 最近登場しているウイルスは,5月の連休に世間を騒がせた「VBS/LOVELETTER」と異なる部分が多い。このウイルスは,メール・ソフトのアドレス帳に登録された宛先にウイルス添付メールを次々と送信する,添付ファイル名が固定,拡張子がVBS,JPGなどのファイルを破壊するなど暴力的に振る舞うなどの特徴があった。「パッと広まったが対応も早かった」(トレンドマイクロ)。

 一方,MTXは8月に発見されて3カ月以上経ってからも被害が広がっている。感染後もパソコンが動作し続けることがあるほか,ウイルス添付メールも少しずつ送る。IPAでは感染したパソコンのユーザーの大部分は感染したことにも気づいていないと指摘する。

 メールを受け取る側も気づきにくい。MTXでは添付ファイル名が31種類で,とても覚えられない。また,Navidadでは既存のメールの件名や本文が使われるので件名などが不定となる。

 少し前に「LOVELETTER」が流行したときに,多くの人はいくらかウイルスに対する知識を身につけたことだろうが,今ではそれはかなり通用しない。表1ではいくつか最近通用しない古い知識の例をあげた。ウイルス対策ベンダーは,巧妙な手口で感染するウイルスが今後も増える可能性があると警告する。「メールのタイトルで発見できるものを第1世代とすれば,今はそれが通用しなくなった第2世代。今後はより複雑な動きをするものになるだろう」(シマンテック)。

誤った常識 理由
知り合いや取引先から届いたメールは安心 知り合いなどが感染していれば,アドレス帳や受信ボックスのメールが悪用される
拡張子EXEやVBSの添付ファイルのみに気をつける テキストに見える拡張子やSCR拡張子などを使うものがある
OutlookやOutlook Express以外のメール・ソフトなら安全 SMTPの処理を悪用するものなどが出現している
添付ファイル名はウイルスにより決まっている W32/MTXでは日付により異なる
ウイルス感染メールの件名は英語 W32/Navidadでは,感染したマシンの受信ボックスにあるものが利用される
メールを開くだけで感染することはない セキュリティ・ホールがふさがれていないと感染するものがある
最新のウイルス対策ソフトを使えば対策は万全 ウイルス定義ファイルなどが最新である必要がある
ウイルスはディスクやファイルを破壊する 必ずしも破壊しない。駆除のためビジネスが止まる
表1●最近のウイルスに対応する間違った知識の例
細々とした知識を増やすより,最新の定義ファイルを持つウイルス対策ソフトでスキャンすることを徹底する方がよい。

生半可な知識は役立たない

 対策は,少ししかない。生半可な知識で人間が行う防御策に頼らず,メールの添付ファイルを機械的にウイルス対策ソフトでスキャンすることである。企業であれば,インターネットと社内ネットワークの接点に置くサーバーに導入して,電子メール添付型のウイルスを根本から絶つゲートウエイ型のウイルス対策製品がもはや必須になったと言えるだろう。

 MTXにしろ,Navidadにしろ,発見から短時間でウイルス対策ソフト・ベンダーがウイルスの指紋とも呼ぶべき定義ファイルなどを作成して配布している。これをダウンロードして最新の状態に保ちスキャンに使うことだ。昔から言われていることだが,ますますこの基本の重要性が高まった。

(干場 一彦=hoshiba@nikkeibp.co.jp)