PR

 メールで感染を広げる「マス・メーリング型ウイルス」が2004年も猛威を振るった。特にすごかったのはNetsky。ユーザーからセキュリティ・ベンダーや組織への報告件数が2004年中最も多かったのはNetsky(変種を含む)だろう(関連記事)。筆者には,今でも「Hi!」や「Deliver Mail (筆者のメール・アドレス)」といった件名のウイルス・メールが1日に数十通送られてくる。もっとも,ウイルス自体はゲートウエイ型対策ソフトで駆除されているので,正確にはウイルスの“抜け殻”メールである。いずれも,Netskyを添付していたと思われるメールだ。

 以前は,ウイルス・メールが送られてくると,たとえ抜け殻メールであっても,仕事柄いろいろ調べていた。「ウイルスの名称はなにか」「現在流行しているのか」「セキュリティ関連のメーリング・リストで話題になっていないか」――など。だが,さすがにこれだけ毎日送られてくると,もういちいち調べていられない。IT Proの読者の中にも,山のように送られてくるウイルス・メール(あるいは抜け殻メール)にうんざりされている方は多いだろう。

 国内ユーザーを狙うフィッシング(phishing:メールを悪用したオンライン詐欺)目的の偽メールも出回り始めた(関連記事)。今のところ,件数自体はそれほど多くはない。また,機械翻訳にでもかけたような不自然な日本語のフィッシング・メールも多い。だが,今後はより“洗練”された日本語のフィッシング・メールが出回ることが十分に予想される。

 今年もユーザーをだます悪質なメールが多数出回ることだろう。だまされないように十分注意したい。2004年中に筆者に届いたウイルス・メールをざっと眺めると,その工夫のほどが見て取れる。いくつか紹介しよう(注1)。ウイルスにとってはユーザーをうんざりさせることは主目的ではない。感染を広げることが主目的だ。そのためには,ユーザーにウイルス・ファイルを実行してもらわないと始まらない。そこで,マス・メーリング型ウイルス(の作者)は,メールの本文などを“工夫”して,添付ファイルを実行させようとするのだ。

注1:本稿ではウイルスの“だましのテクニック”に焦点を当てたが,フィッシングもさまざまな“だましのテクニック”を備えているので十分注意したい(関連記事)。

「いけないサイトを見ましたね」

 以下の文章は,Netskyの変種が添付されていたメールの一例である。

I noticed that you have visited illegal websites.
See the name in the list!

++++ Attachment: No Virus found
++++ Norton AntiVirus - www.symantec.de

 メールの件名が「Illegal Website」で,差出人(Fromアドレス)は「abuse@gov.us」。違法サイトへアクセスしたことを警告するような内容に見える。ウイルス本体である添付ファイル名は「judge.txt(67個の半角スペース).pif」。

 本文に魅惑的な文章や脅かすような文章を記して,添付ファイルを実行させようとするのはマス・メーリング型ウイルスの常とう手段である。だが,上記のウイルス・メールは差出人アドレスを“工夫”しているので,通常のウイルス・メールよりも巧みだと感じた。

 メールの差出人アドレス(Fromアドレス)は,メールの本文の一部なのでいくらでも偽装できる。最近では,ウイルスに感染したパソコン内のファイルから収集したアドレスをランダムに用いることが多い。ところが上記では,いかにも米国政府機関のようなアドレス「abuse@gov.us」を差出人にしている。

 ここで,abuseは苦情を受け付けるためのアドレス,govは政府機関のgTLD(Generic Top Level Domain),usは米国のccTLD(Country Code Top Level Domain:国別トップ・レベル・ドメイン)なので,ネットにある程度詳しい人ほど,もっともらしく思うだろう。もちろん,「abuse@gov.us」というアドレスは存在しない。たまたま,ウイルスがabuse@gov.usを差出人アドレスにした可能性は否定できないものの,筆者には「abuse@gov.us」から複数のウイルス・メールが届いている。「abuse@gov.usは実在しない」「abuse@gov.usはもっとらしい」ことからも,ウイルスが意図的に「abuse@gov.us」を使っている可能性が高い。

「ウイルスはチェック済みです」

 また,「Attachment: No Virus found」として,添付ファイルにウイルスが含まれていないよう見せかけているのも“巧み”だ。本文の一部なのでいくらでも嘘を書けるが,このように“機械的”に書かれていると,メールの送信時あるいは受信時に対策ソフトによってチェックされた結果だと誤解するユーザーがいるだろう。

 ちなみに上記の例では,「Norton AntiVirus - www.symantec.de」として,米Symantecのウイルス対策ソフトでチェックしたように見せかけているが,

+++ Attachment: No Virus found
+++ MC-Afee AntiVirus - www.mcafee.com

++++ Attachment: No Virus found
++++ F-Secure AntiVirus - www.f-secure.com

といった“バージョン”も存在する。

 また,「judge.txt(67個の半角スペース).pif」のように,ウイルス・ファイル名に多数のスペース(空白)を入れるのも,最近のウイルスがよく使う手だ。たくさんのスペースを挿入すると,メール・ソフトやデスクトップ上では,スペース以降が表示されない場合がある。この例では,「judge.txt」に見えてしまう。つまり,実行形式のウイルス・ファイルを,安全なファイル種類に見せかけることができる。もちろん,ファイルのアイコンはテキスト・ファイル(.txt)のものではないが,だまされる可能性は高いだろう。

「添付ファイルは本文です」

 Netskyの“特筆すべき”ほかの手口としては,ウイルス・メールをメール・サーバーからのメールに見せかける手口が挙げられる。

 メールの件名は,「Failed (送信先のアドレス)」。本文は以下のとおり。

Mail Delivery - This mail couldn't be displayed

------------- failed message -------------
HEI0#2rIS)rCM+fi_ft).;.q~wGmhB'Yq~ubcKZ+(B:pP(
4DG9yXpl-fh*n+_7EXU4;DN#70;3'!UyHGCmLgOPE)3:m
';yDjWAcZi!xe~.QE49~!)#RQUk%8mULVNFz.~.y-V
1yJ)u&VTxZ3*v9(BTpS2*nlj3EY1bHOk#MPh~,

Message has been sent as a binary attachment.

 「何だ,この英語のメール。よく分からないから捨てちゃえ」と判断した人は問題なし。だが,「メールを適切に配送できなかったので戻ってきたんだな」と深読みしたユーザーは危険だ。添付ファイル「msg25370.zip」を展開すると作成される「message.eml(100個の半角スペース).scr」は,ウイルスの本体である。先ほどの例と同じく,「message.eml」というメール・ファイルだと思わせるために,100個ものスペースをファイル名に挿入している。「一体,どのメールが戻ってきてしまったのだろうか」と思って「message.eml(100個の半角スペース).scr」をダブル・クリックすると被害に遭う。

 添付ファイルを「本文がエンコードされたファイル」に見せかける手口は,「Mydoom」の変種も使う(関連記事 )。これは,2004年に入って“流行”し始めた手口の一つだ。

「あなた,踏み台になってますよ」

 Mydoomの変種が送るウイルス・メールには,次のようなものもある。Bruce Schneier氏が,同氏の発行するニューズレター「CRYPTO-GRAM」において,「ずる賢いソーシャル・エンジニアリング攻撃であり,今までにみたことがない(Clever social engineering attack, and one I had not seen before. )」と紹介している手口だ(記事原文翻訳記事 )。Bruce Schneier氏は,米Counterpane Internet SecurityのCTO(最高技術責任者)であり,暗号アルゴリズム「Blowfish」や「Twofish」の開発者でもある(IT Proで公開している「Crypto-Gram日本語訳」バックナンバー)。