PR

 米国時間2月12日から,ベンダーやメディアを騒がせている「Anna Kournikova(アンナ・クルニコワ)*1」ウイルス*2 の発見や被害が,日本でも報告され始めた。動作メカニズムや,ユーザーに実行させる“手口”は,2000年5月に流行した「LoveLetter(ラブレター)」ウイルスと基本的に同じである。当時,ベンダーやセキュリティ機関からは,数々の警告や回避方法が出された。にもかかわらず,現在被害が出ているのは,LoveLetterウイルスの教訓がまったく生かされていないためだ。幸い,日本では米国ほどの被害は出ていない。教訓を生かして対策し,被害を食い止めたい。

*1 「VBS.SST@MM」や「OnTheFly」,「KALAMAR」などとも呼ばれる。
*2 他のプログラムには感染しないため,狭義では「ワーム」に分類される。

海外では大きな被害

 米国などでは,既に大きな被害が出ていると伝えられるAnna Kournikovaウイルス。セキュリティ・ベンダーに限らず,インターネットのセキュリティ組織である「CERT/CC」や,NIPC(米国社会基盤防衛センター)が警告している。2月12日時点で,CERT/CCは100を超えるサイトから報告を受けているという。

 日本でも,それほど多くないものの,発見や被害の報告が出ている。トレンドマイクロでは,2月13日午前中の段階で,ウイルスを受け取った企業ユーザーから十数件の問い合わせがあり,そのうち,被害報告は6件だった。被害を受けた半数が大手企業であったという。

 ウイルスの届け出先機関であるIPA(情報処理振興事業協会)セキュリティセンターには,届け出や相談などが十数件寄せられているという。「今後,国内で届け出や被害が増大するかどうかは分からないが,日本に上陸していることは確かだ。注意する必要がある」(IPAセキュリティセンター ウイルス対策室 室長補佐 木谷 文雄氏)。届け出が増えるようならば,同センターでもWebなどで警告したいという。

「LoveLetter」ウイルスと“手口”は同じ

 今回のウイルスは,LoveLetterウイルスと同じメカニズムで動作する。Microsoft Outlookユーザーが,VBScript(.vbs)ファイルである同ウイルスを実行してしまうと,アドレス帳に登録されているすべてのユーザーあてに,ウイルス添付メールを勝手に送信する。一度に多数のメールを送信するため,ウイルスの感染を広げるだけではなく,ネットワークやメール・サーバーにも多大な負荷を与える。だたし,LoveLetterとは異なり,ファイルの破壊などは行わない。

 ユーザーにウイルスを実行させようとする“手口”も同じである。LoveLetterと同様に,VBScriptファイルの拡張子である「.vbs」がデフォルトでは表示されないことを悪用している。ファイル名が,「AnnaKournikova.jpg.vbs」であるため,設定によっては,「AnnaKournikova.jpg」と表示され,画像ファイルのように見えてしまう。LoveLetterは,添付ファイル名を「LoveLetter.txt.vbs」とすることで,実行しても問題がないテキスト・ファイルのように表示されることを狙った。

 また,LoveLetterなどは,アドレス帳を利用してウイルス・メールを送信する。そのため,送信先は多くの場合,知人である。受信者は疑わずに“つい”クリックしてしまい,被害を受ける。

届かなかった警告

 一見巧みに思えるAnnaKournikovaウイルス。しかしながら,これらの特徴は,LoveLetterウイルスが流行した際に,ベンダーやセキュリティ機関が何度も警告したことである。マイクロソフトは,このようなウイルス・ファイルを動作させないための,Outlook用「セキュリティ・アップデート」を公開済みだ。

 IPAセキュリティセンターは,(1)VBScriptファイルが送られてくることはほとんどないので,疑うべきであることや,(2)VBScriptファイルの拡張子(.vbs)は表示されない場合があるので,アイコンやプロパティで確認する必要があること,(3)「メールの添付ファイルを不用意に実行しない」という,基本対策で予防できること,などをWebページで解説している

 また,VBScriptファイルをダブルクリックしても実行しないように,関連付けを削除したり,VBScriptを実行するWSH(Windows Scripting Host)をアンインストールする回避方法もある。これらの詳しい手順については,トレンドマイクロやシマンテックなどがWebサイトで公開している。

 そのほか,Outlookの「オプション」から,添付ファイルのスクリプトを実行しないように設定したり,添付ファイルの種類が分かるように,ファイル名すべてを表示するようにWindowsを設定することも効果がある。

 もちろん,ウイルス対策ソフトの利用も欠かせない。同ウイルスについては,ほとんどのアンチウイルス・ベンダーが,最新のデータ・ファイル(定義ファイルやパターン・ファイル)やエンジン・ファイルで対応している。

 LoveLetterの出現以降,VBScriptを悪用した同様のウイルスは多数出現している。なぜAnnaKournikovaウイルスが,米国などでこれだけ流行しているのかについては,IPAやアンチウイルス・ベンダーも首をひねる。特に,原因は思い当たらないという。

 明らかなのは,LoveLetterウイルスの時に,あれだけ騒ぎになったにもかかわらず,VBScriptウイルスに関して,注意を払っていないユーザーが多いということである。さらに,「今回のウイルス騒動は,安易に添付ファイルをクリックしてしまうユーザーが,いかに多いのかを改めて示した」(シマンテック SARCジャパン マネージャ 星澤 裕二氏)。現在のところ,日本ではそれほど被害は出ていないようだ。自分の元にAnnaKournikovaウイルスが届く前に,“教訓”を生かした対策を施しておく必要がある。

【2月15日追記】IPAセキュリティセンターでは,相談や届け出が50件を超えたとして,AnnaKournikovaウイルスを同センターのWebページで警告した。

(勝村 幸博=IT Pro編集)


[関連記事:女子テニス・プレーヤの名前騙るワーム「AnnaKournikova」にご注意]

[関連記事:初期設定のままでは危険なWindows]

[関連記事:猛威をふるうワーム「I LOVE YOU」]

CERT Coordination Center(CERT/CC)

 ■「CA-2001-03 VBS/OnTheFly (Anna Kournikova) Malicious Code」

National Infrastructure Protection Center(NIPC)

 ■「ASSESSMENT 01-001 "Anna Kournikova" also known as "VBS/SST" VBS Virus」

IPAセキュリティセンター

 ■「いわゆる『ラブレターワーム』とその亜種・変種の被害を防ぐための対策について」
 ■「新種ウイルス『VBS/SST』(AnnaKournikova)」に関する情報」

マイクロソフト

 ■Outlook 2000 SR-1 アップデート: 電子メール セキュリティ
 ■Outlook 98 アップデート: 電子メール セキュリティ

トレンドマイクロ

 ■「セキュリティ強化のためのWindows設定方法」
 ■「VBS_KALAMAR.A」の情報

シマンテック

 ■「Windows Scripting Hostを無効化または削除する方法」
 ■「VBS.SST@mm」の情報

日本ネットワークアソシエイツ

 ■「VBS/VBSWG.j@MM」の情報