PR

自分自身をメールの添付ファイルに埋め込んで大量に配信する「サーカム」ウイルスが猛威を振るった。その感染スピードは国内で史上最高だった。理由は,ユーザーとウイルス対策ソフトを“だます”手口が巧妙だったこと。一部のメール・ゲートウエイ型のウイルス対策ソフトは,サーカム・ウイルスを当初検出できなかった。ツールだけに頼らず,セキュリティ情報を常に収集して,自己防衛することがカギになる。

安東 一真=andoh@nikkeibp.co.jp

 感染を広げるため,自分自身をメールの添付ファイルに埋め込んで大量に配信するタイプのウイルスが,再び大流行した。ユーザーの文書ファイルなどを第三者に送ってしまう「サーカム」(Sircam)ウイルスである。その感染スピードは,「被害報告の件数からみて,国内で史上最高」(トレンドマイクロ トレンド・ラボジャパン アンチ・ウィルスセンター課長の関口 一氏)のものだった。

 サーカムがここまで広まった理由は,人とシステムをだます手口が巧妙なこと。これまでも「ラブレター」や「マトリクス」など,メールの添付ファイルで広がるウイルスは多く登場しているが,サーカムは,これらよりもさらに悪質だ。ユーザーをだまし,ウイルス対策ソフトに気付かれない仕組みを備えているからである。

写真1 「サーカム」ウイルスが配信したメールを受信したところ
ウイルス・プログラムを埋め込んだ添付ファイルと,件名に「見積書」といった見慣れた名前を使うことで,受信者が誤ってウイルス・プログラムを実行してしまいやすいようにしている。添付ファイルの拡張子は,exeや,com,bat,pifなどが付くことがあり,ユーザーを迷わせる。pifはMS-DOSプログラムの定義情報を記述するファイル。Windowsは,どの拡張子が付いていても実行プログラムとして起動してしまう。

親しみやすい言葉でだます

 サーカムは,メールのタイトルや添付ファイルの名前を工夫することで,ユーザーが誤って添付ファイルを開きやすいようにしている。

 サーカムは,感染者のマイドキュメント・フォルダやデスクトップ上にあるWordやExcelのファイルを添付してメールを送信する。その際,このファイルの名前を基に,メールのタイトルと添付ファイルの名前を決める。感染者のファイルが「見積書.xls」なら,タイトルは「見積書」になり,添付ファイルの名前は「見積書.xls.exe」などとなる(写真1)。メールの受信者に怪しまれないための工夫である。

 ユーザーが添付ファイルを開いてしまったあと,ウイルスの存在をなるべく悟られないようにする配慮もある。「見積書.xls.exe」を開くと,サーカムはまず,パソコンに自分自身を埋め込み,そのあとはExcelを起動して,見積書.xlsの内容を表示する。ユーザーからは普通のExcelファイルを開いたように見える。ウイルス付きのメールを送信するときには,自らが備えるメーラーの機能を使うため,ユーザーのメーラーに送信履歴を残さない。このためユーザーはウイルスの活動に気づきにくい。

ウイルス対策ソフトをすり抜ける

 ウイルス対策ソフトのなかで,サーカムに“だまされて”しまったのは,メール・ゲートウエイ型の製品である。ウイルス対策ソフトの大手である,シマンテックとトレンドマイクロの製品が当初サーカムを検出できなかった(トレンドマイクロの場合,Windows NT版だけに問題があった)。

 サーカムは,それ自身が持つメーラーの機能によって,添付ファイルをMIMEと呼ぶ形式で組み立ててウイルス・メールを送信するのだが,このMIMEの形式がインターネット標準の規格にあっていなかった。このため,メール・ゲートウエイ型のウイルス対策ソフトは,添付ファイルを認識できず,ウイルスを見逃してしまったのである。もっともこのMIME形式が完全に独自なら,メールの受信者も添付ファイルを開けないので,ウイルスは広がらない。ところが,このMIME形式が「ほどほどに」正しかったため,Outlookなどの多くのメーラーは添付ファイルを認識できた。この巧妙なMIME形式は「あえて狙って作成したのかもしれない」(シマンテックSARCジャパン マネージャの星沢 裕二氏)。

 これに対処するには,ウイルス対策ソフト・ベンダーが提供するパッチ(修正ソフト)をメール・ゲートウエイ型のウイルス対策ソフトに適用する必要がある。

図1 サーカム・ウイルスの感染の仕組み[図の部分をクリックすると拡大表示]
感染者のメーラーのアドレス帳とWebブラウザのキャッシュからメール・アドレスを収集し,ウイルス・プログラムを再配布する。感染者の「マイドキュメント」フォルダにあるファイルを添付して再配布するのが特徴で,その添付ファイルにウイルス・プログラムが埋め込まれる。
図2 今後は対策が難しいウイルスの出現も
自分自身を暗号化してから感染するミューテーション型ウイルスは,今後対策が難しいものが出現する可能性がある。復号化に何時間もかかるような暗号化方式を利用するウイルスである。ウイルス対策ソフトが検出する場合も,復号化に同じだけの時間がかかる危険性があり,対策は容易ではない。

感染を広げる手段も悪質

 サーカムは,感染を広げる方法も悪質だった。これまでのメール添付型のウイルスよりも,大量のメールを高い頻度で送る。これが感染スピードが速かった大きな理由である。

 サーカムはメールの送信先を収集する際,Outlook/Outlook Expressのアドレス帳だけでなく,Webブラウザ「Internet Explorer」のキャッシュ・データも検索する(図2[拡大表示])。知人だけでなく,Webページに掲載されている第三者のメール・アドレスにもウイルスを送るため,感染の範囲が広がりやすい。メールの送信頻度も高い。パソコンの起動時や,ユーザーが任意のアプリケーションを実行するたびに,収集したメール・アドレスのすべてにメールを送信する。

 サーカムは,LAN経由で感染を広げる仕組みも持っている。感染したパソコンにアタッチされたネットワーク・ドライブを調べ,書き込み権限があれば,そのパソコンにもウイルスを埋め込むのである。感染が広がるのは,ほかのパソコンのルート・ディレクトリ(C:¥)などがアタッチされている場合だけであり,比較的危険性は低いと見られるが,トレンドマイクロでは「企業ユーザーから実際の被害報告がある」(関口氏)という。

対策ソフトでの対処が困難に

 ウイルスの悪質化は,今後もますます進むとみられる。なかでも対策が難しくなりそうなのが,自己変異(ミューテーション)型と呼ばれるウイルス。まだ実際には登場していないが,ウイルス対策ソフトでは検出しきれないものが出てくる危険性がある。

 ミューテーション型ウイルスは,例えばWordやExcelなどのアプリケーションに取り付いて活動するもので,特徴は,自身を暗号化してからアプリケーションに入り込むこと(図2[拡大表示])。このウイルスを検出するには,復号化してから調べるのが一般的だが,この復号化に何時間もかかるようなウイルスが出現したらどうなるか。ファイル・アクセスのたびにウイルスの有無を調べる対策ソフトは,実質的には使いものにならなくなる。

 ウイルスを復号化しなければならないのは,ウイルスの検出にパターン・マッチングと呼ぶ手法を使っているからである。ウイルス・プログラムの特徴(データの並びなど)を抽出したパターンをデータベースとして持ち,対象のファイルにこのパターンがあるかどうかで,感染の有無を調べる。ところがミューテーション型ウイルスは,感染するたびに異なる暗号カギで暗号化されるため,パターンが抽出できない。このため復号化が必要になる。

 もっとも,ミューテーション型ウイルスを復号化せずに検出する方法もある。このウイルスは,自身を通常のプログラム・コードに復号化してから動作するが,この復号化のためのコードは平文の状態でアプリケーションに埋め込まれている。この復号化のためのコードなどでパターンを抽出するのである。しかし一方で,「この方法ではウイルス誤認の可能性がある場合があり,復号化した方が検出は確実」(シマンテックの星沢氏)という意見もある。

情報を収集し自己防衛が必要

 ウイルス対策ソフト・ベンダーが言うように,「既存の5万種以上のウイルスについては,すべてパターン・マッチングで検出できた」。「今後も大丈夫」とベンダーは口をそろえる。しかし検出が難しい新種が,登場してくる危険性は否定できない。

 ウイルス対策の基本が,「怪しいメールの添付ファイルを開かない」ことと,「ウイルス対策ソフトのパターン・データベースをこまめにアップデートする」ことの2つであることは今も変わりない。しかし,今回のメール・ゲートウエイ型のウイルス対策ソフトのように,思いもよらない問題も発生しえる。ツールだけに頼ることなく,セキュリティ情報を常にチェックしておき,自己防衛することが重要だ。