「通常はメールに添付されることはない『.pif』ファイルなどをゲートウエイでフィルタリングすることは,ウイルス対策としてとても有効だ」——。アンチウイルス・ベンダーであるトレンドマイクロとシマンテックはそれぞれ4月5日および6日,IT Proの取材に対して,拡張子で添付ファイルをフィルタリングすることの重要性を語った。
3月29日に出現した「Netsky.Q」ウイルスは国内で大きな被害をもたらした。3月30日には,トレンドマイクロには203件,シマンテックには170件の被害報告がユーザーから寄せられたという。
シマンテックのSymantec Security Responseマネージャである星澤裕二氏によると,「Netsky.Qが出現した当初は,全世界から米Symantecに送られてきた“検体”のおよそ半分が国内から送られた」という。ここで検体とは,「ウイルスかどうか分からないので調べてほしい」とユーザーがベンダーに送るファイルを指す。いくつかのウイルス対策ソフトは,ユーザーがファイルを指定すればベンダーに送信できる機能を持つ(送信される際,ファイルは実行できない形式に変換される)。「通常,国内からの検体が占める割合は3~4%。それと比較すれば,Netsky.Qのケースは“特異”といえる」(星澤氏)。
トレンドマイクロには「中国から最初の検体が送られてきた」(トレンドマイクロ トレンドラボ・ジャパン アンチ・ウイルスセンター ウイルスエキスパート 岡本勝之氏)という。「その後も日本や中国などからの報告が多かったところを見ると,アジアに対して最初に“撒かれた”可能性は高い」(岡本氏)。
新しく出現したウイルスに,アンチウイルス・ベンダーが対応するまで——ウイルス定義ファイル(パターンファイル)を作成して配布するまで——には数時間かかる。そのタイムラグが,Netsky.Qの場合には「国内のビジネス・タイムにちょうど重なった」(シマンテック 星澤氏)。「仕事でメールを使っている最中にウイルス・メールが舞い込んできたために,添付ファイルをついクリックして被害に遭ったと考えられる」(星澤氏)。
“つい”クリックしてしまった原因としては,ウイルス対策ソフトへの過信が挙げられる。Netskyウイルスにはユーザーをだまそうとする“工夫”が凝らされている(関連記事)。その工夫にだまされたユーザーもいるだろうが,対策ソフトが警告を出さなかったために油断してクリックしたユーザーは少なくないはずだ。
次々出現するウイルスに対抗するためには,ウイルス対策ソフトは不可欠ではあるが,それだけでは不十分である。「怪しい添付ファイルは開かない」というユーザー教育を徹底する必要がある。加えて,特定の拡張子を持つ添付ファイルをゲートウエイ(サーバー)でフィルタリングすることも有効だ。
メールで感染を広げる実行形式ファイルのウイルスは,ユーザーの目をあざむくために,「exe」以外の拡張子を付ける場合が多い。具体的には,「pif」「scr」「bat」「com」「cmd」——などだ。実行形式ファイルの拡張子を「exe」の代わりにこれらの拡張子にしても,実行形式ファイルは問題なく動作する。
「pif」「scr」「bat」「com」「cmd」といった拡張子を持つ“正当な”ファイルがメールに添付されることはまずない。「これらのファイルをフィルタリングしても,問題はないだろう」(シマンテック 星澤氏)。「フィルタリングするかどうかは管理者が決めることではあるが,フィルタリングしたほうがよりセキュアといえる」(トレンドマイクロ 岡本氏)。
ゲートウエイ型の対策ソフトを導入している企業では,設定を変更すれば,特定の拡張子を持つ添付ファイルをフィルタリングすることは容易である。ウイルス対策の一環として,ぜひ検討していただきたい。
(勝村 幸博=IT Pro)
