PR

三輪 信雄氏 ラック 常務 コンピュータセキュリティ研究所長
嶋倉 茜氏 ラック コンピュータセキュリティ研究所 研究員

図2 B社は,Webサイトやメールを利用して感染するワーム「Nimda」の攻撃を受け,顧客に対して無差別に感染メールを送信してしまった
 メール・サーバー上にウイルス対策ソフト(ウイルス・ゲートウエイ)を導入し,外部へ送信するメールにワームが混入していないかをチェックしていれば,こうした事態は防げた可能性が高い。

侵入経路を複数持つNimda
Webサイト閲覧でも感染

Nimdaは,3通りの侵入経路を持つため感染力が極めて高い。メールからもWebサイトからも感染するうえ,共有フォルダ内に感染ファイルを自動生成するため,被害が広がりやすい。

 広告代理業を営むB社では,Webサイトを活用した効果的な広告手法を開発するため,普段から多くのWebサイトを調査している。そして不運にも,1台のクライアント端末がNimdaに侵されたWebサイトを閲覧し,感染してしまった(図2[拡大表示])。

 このNimdaに感染した端末は,社内ネットワークの共有フォルダに感染ファイルを生成。大量の顧客データを持っていた別の端末が,この感染ファイルを開いたためNimdaに2次感染した。

 さらに,Nimdaはこの端末にインストールされていたマイクロソフトのメール・ソフト「Outlook Express」(OE)からB社の顧客メール・アドレスを無作為に抽出し,自身のコピーを添付したメールを大量に送信し始めてしまった。

 これらのメールを受信した顧客の中には,ビジネス・パートナからのメールだということで,気軽に添付ファイルを開いた者もいた。当然,Nimdaに感染してしまう。

 結局,顧客のネットワークまでNimdaに感染させてしまったB社は信頼を失った。少なくともメール・サーバーにウイルス対策ソフトを導入し,外部へ送信するメールにワームが混入していないかどうかをチェックしていれば,B社は顧客から信頼を失う事態だけは避けられただろう。

メーラーのプレビューだけで感染

 ワームは,突然わいて現れたりはしない。侵入経路が必要だ。大別すると,HTTPリクエスト,電子メール,Webサイト,共有フォルダ――の4通りの経路がある。

 B社の例から分かるように,Nimdaはクライアントに対して,メール,Webサイト,共有フォルダの三つの感染経路を持つ。このうち,メールを感染経路とする場合,Nimdaは添付ファイルとして運ばれる。つまり,通常は受信側が添付ファイルを実行しなければ感染しない。これは,Nimda以外のワームでも以前からよく使われてきた古典的な感染手法である。

 しかしNimdaは,受信側がメール・ソフトにOEを使用している場合,添付ファイルをプレビューするだけで感染する。これは,OEのセキュリティ・ホールを突いた攻撃である。

 同じくマイクロソフトのブラウザ「Internet Explorer」(IE)を使用するクライアントは,Nimdaに感染したWebサイトを閲覧しただけで感染してしまう。B社がNimdaの侵入を許したのも,パッチを適用してないIEでWebアクセスしたことが原因だった。

 具体的な仕組みは次の通り。Webサーバーに侵入したNimdaはまず,Webサーバー・フォルダ内にあるindex.htmlやindex.htmやdefault.aspといった名前のファイルに,悪意のあるActiveXスクリプトを埋め込む。これら改ざんされたファイルにIEでアクセスするとスクリプトが自動実行され,アクセスした端末がNimdaに感染するのだ。

 ただし,Nimdaが悪用したOEやIEのセキュリティ・ホールも,Nimdaが登場する前に発見され,パッチが公開されていた。クライアントでも,パッチの適用を怠らないことが効果的な防御策である。