PR

 ウイルス被害が後を絶たない。特に,メールで感染を広げるウイルスが猛威を振るっている(関連記事)。実際に被害に遭わなくても,送られてくるウイルス・メールの多さに困っているユーザーは少なくないだろう。これだけ送られてくるということは,ウイルスに感染したパソコンが数多く存在するということだ。

 なぜそんなに多いのか。まず第一に言えるのは,対策を施していないユーザーが多いためだ。だが,現在では企業はもちろん,個人ユーザーにおいてもウイルス対策ソフトの導入は進んでいる。対策ソフトを使っていても,被害に遭うユーザーは少なくない。

 その原因は,ウイルス対策ソフトへの過信である。対策ソフトへの過信が招いたと思われるウイルス被害は,過去に何度もある。最近では,お盆明けに出現した「Mydoom.Q(Mydoom.S)」がそうだった。Mydoom.Qは“工夫”のないウイルスだった。それにもかかわらず,一時的ながら急速に感染を広げた。しかも,対策ソフトのユーザーの間でも,感染は広がった。

“工夫”のないウイルス

 多くの企業でお盆休みが終わった8月16日,件名「photos」のメールが飛び交った(関連記事)。メールで感染を広げるMydoom.Qが原因である。このウイルスは,メールに添付された実行形式ファイル「photos_arc.exe」を実行しない限り感染しない。メールの本文は「LOL!;))))」と,いかにも怪しい。にもかかわらず,多くのユーザーが感染した。

 ウイルス作者は“工夫”する。その一つが,よく使われているソフトウエアのセキュリティ・ホールを突くことだ。代表例が2003年8月に出現した「Blaster」や2004年5月の「Sasser」である。これらはWindowsのセキュリティ・ホールを突いて感染を広げる。ユーザーが注意していても,パソコンにセキュリティ・ホールがある場合にはインターネットに接続しただけで感染する。

 2001年の「Nimda」や2002年の「Klez」などは,Internet Explorer(IE)のセキュリティ・ホールを突く。ユーザーが添付ファイルをダブルクリックしなくても,メールの本文を開いたりプレビューしたりするだけで,添付されたウイルスが実行されるように“工夫”している。

 しかし,Mydoom.Qウイルスにはセキュリティ・ホールを突く“機能”はない。ユーザーが添付ファイルを実行しない限り,感染する恐れはない。

 「ユーザーをだますこと」も,ウイルス作者が凝らす“工夫”の一つだ。ウイルスが添付されたメールの本文や件名などを“工夫”して,添付されているのがウイルスだとは思わせない。例えば,2003年9月に出現した「Swen」は,ウイルス添付メールを米Microsoftから送られたセキュリティ情報に見せかける(関連記事)。そして,添付されたウイルスをセキュリティ・パッチだと思わせて実行させる。

 変種が次々と出現する「Netsky」や「Mydoom」がよく使う手は,ウイルス添付メールをメール・サーバーからのエラー・メールに見せかけること。メール・サーバーからの通知メールは英語で書かれていることが多いので,英語圏以外のユーザーを油断されるのに“効果”がある。

 例えば,オリジナルのMydoom(Mydoom.A)は,件名を「Mail Transaction Failed」とし,本文に「Mail transaction failed. Partial message is available」と記述する(関連記事)。「どのメールがうまく送れなかったのだろうか」と考えて添付ファイルをダブルクリックすると,ウイルスが動き出して感染する。

 しかし,Mydoom.Qを添付したメールには「LOL!;))))」としか書かれていない。「だましてやろう」という意思があまり感じられない。ちなみに,「LOL」は「laugh out loudly」の略(「laugh out loud」あるいは「lots of laugh」の略とされている場合もある)。メールやチャットなどの文末に使われる。英語版の「(笑)」や「(爆)」といったところだ。英語圏以外のユーザーには,あまり馴染みがないだろう。

 添付ファイルの拡張子を“工夫”することも,メールで感染を広げるウイルスの常とう手段の一つ。「exe」の拡張子ではユーザーが警戒するので,最近では「pif」「scr」「bat」「com」「cmd」――といった拡張子を付けるウイルスが多い(関連記事)。実行形式ファイルの拡張子を「exe」の代わりにこれらの拡張子にしても,実行形式ファイルは問題なく動作する。

 拡張子を2つ付ける“二重拡張子”の手法もよく用いられる。例えば「txt.pif」などとする。2つの拡張子の間に多数の空白を入れる手法もよく使われる。例えば,「txt(多数の空白).pif」とする。こうすると,メール・ソフトによっては空白以降が表示されず,「txt」ファイルに見える。

 しかし,Mydoom.Qは「photos_arc.exe」。何のひねりもない。

対策ソフトへの過信は禁物

 以上のように,“工夫”がほとんどないMydoom.Q。なぜ感染を広げられたのだろうか。まず第一に,これだけウイルス被害が出ている現在でも,安易に添付ファイルを開いてしまうユーザーが多いことが原因だ。以前,「メールにファイルが添付されていると,ほとんど“反射的”にダブルクリックする」という話をユーザーから聞いたことがある。実際にそのようなユーザーが多いことがよく分かった。

 そしてもう一つが,ウイルス対策ソフトへの過信である。Mydoom.Qが出現した当初,ウイルス対策ソフトのほとんどが対応していなかった。最新のウイルス定義ファイル(パターンファイル)を使っていても,検出できなかったのである。「怪しい」とは思いつつも,「対策ソフトが警告を出さないので大丈夫」と考えてダブルクリックしてしまったユーザーは少なくないだろう。