PR

表1●添付ファイルを開かなくとも本文を読むだけで感染するウイルスの例
図3●IPAによる「パソコンユーザのためのウイルス対策7個条」(改訂版)*3
本誌による要約。2001年4月6日に改訂し,「セキュリティ・パッチ適用」を新しい対策として加えた
表2●JPCERT/CCが警告しているLinuxのワーム
写真1●Linuxのワームも多数発生
JPCERT/CCは2001年4月18日にLinuxワームについての緊急警告を発した

悪用があまりにも“容易”

 メールを読むだけで感染するウイルスは,これまでにも発見されている。1999年に発見されたWscript/KakWormやVBS/BubbleBoyだ(表1[拡大表示])。

 KakWormは日本での感染報告は少ないが,これはKakWormは日本語環境では発病しないためである。だが欧米では広範に被害が発生しており,アンチ・ウイルス・ベンダーのシマンテックのウイルス情報によればKakWormによる被害状況は「高」である。

 しかし,今回のセキュリティ・ホールを悪用すれば,これらよりも危険な状況になる可能性が高い。BubbleBoyとKakWormはいずれもウイルス本体はスクリプトだが,今回のセキュリティ・ホールを悪用すれば,添付したexeファイルも自動実行される。このため,スクリプトだけでは作成できない複雑で駆除の困難なウイルスの配布も可能になってしまう。しかも「今回発覚したセキュリティ・ホールは悪用があまりにも“容易”」(高木氏)であるという。

ソフト更新がウイルス対策に

 IPA セキュリティセンター ウイルス対策室は,「現時点で,このセキュリティ・ホールを悪用したウイルスが流行するかどうかの予測は難しい」(ウイルス対策室 室長補佐 木谷文雄氏)としながらも,「ウイルスが流行する可能性は否定できない。最新のセキュリティ・パッチを適用するべき」(同氏)と話している。

 IPAでは公開している文書「パソコンユーザのためのウイルス対策7個条」を2001年4月6日に改訂して「セキュリティ・パッチを当てること」という項目を従来の項目に替えて新設した*3。その中で,「基本的なウイルス対策を行っていても,セキュリティ・ホールのあるソフトウエアを使用していると,ウイルスに感染してしまうことがある」と指摘している(図3[拡大表示])。

Linuxのワームも繁殖

 Windowsのウイルスだけでなく,Linuxに感染するウイルスも,流行の兆候を見せている。ただしこちらはメールなどで送信されるのではなく,プログラムが自力で増殖する“ワーム”と呼ばれるウイルスだ。ネットワークを探索して侵入可能なマシンを探し,セキュリテイ・ホールを突いて侵入のためのプログラムを送り込み,自分自身をコピーして常駐させる。

 日本のコンピュータ・セキュリティ対応機関であるJPCERT/CCは2001年4月18日にLinuxワームについての緊急報告*4を公開した。JPCERT/CCにもLinuxワームによる被害報告があったというものだ(表2[拡大表示])。すでに本誌2001年2月号でも,侵入してWWWページを書き換えるワーム「Ramen Worm」(写真1[拡大表示])。について警告したが,新しく2種のワームが確認されている。3種とも,Red Hat Linuxをターゲットとしている。

 「Lion Worm」は,2001年1月に報告されたネーム・サービス・プログラムbindのセキュリティ・ホールを突いて侵入する。DDoS(Distributed Denial of Service)ツールであるTribe Flood Network(tfn2k)を仕込むのが特徴だ。DDoSとは,クラッカが多数のマシンを操り,攻撃対象マシンに一斉にアクセスさせ,負荷をかけて機能を停止させる攻撃である。Lion Wormに感染すると,クラッカに操られてしまうことになる。Lionは,2001年1月に連続して発生した中国語によるホームページ改ざんにおいて,犯行声明を出したクラッカが名乗っていた名前であり,関連が指摘されている。

 「Adore Worm」はbindのセキュリティ・ホールのほか,Ramen Wormが侵入口としたプリント・サービス・プログラムLPRng,ファイル共有サービスのためのプログラムrpc.statd,ファイル転送サービスwu-ftpdのセキュリティ・ホールも悪用する。

 セキュリティ・ホール修正ファイルを適用するという基本対策さえ実施されていれば,いずれのワームにも侵入されることは無い。また,米SANS Instituteなどが,これらのワームに感染していないかどうか検査するツールを提供している。

(高橋 信頼=nob@nikkeibp.co.jp