エンタープライズ：SirCamがウイルス検知ソフトをすり抜ける？

SirCamがウイルス検知ソフトをすり抜ける？

【国内記事】

2001.07.27

　広範囲な感染を見せた「SirCam」ウイルスについては，既にZDNet Japanをはじめ各メディアで報じられている。ウイルス対策ソフトウェアを提供する各ベンダーも，SirCamを検知・削除するためのアップデートファイルを公開した。

　だが，これで一安心とは行かないようだ。ウイルス対策ソフトウェアの一部が，SirCamを検知できずに見逃す可能性があると言う問題が明らかとなった。問題があるとして情報が公開されているのは，

・InterScan VirusWall for Windows NT 3.51J（トレンドマイクロ）
・Norton AntiVirus for Gateways 2.0（シマンテック）

だ。

　ただし，問題が発生しているのは，こうしたゲートウェイ向け製品のみであり，サーバやクライアント，グループウェアなどにインストールする他の製品については問題はないと言う。また，あくまで検知をすり抜ける可能性があるというだけで，SirCamに感染した電子メールすべてがすり抜けてしまうわけではないそうだ。

　問題点は2つある。1つはエンコードの問題だ。SirCamは，自分自身の複製を電子メールに添付して被害者に送り付けるが，この際，上記のウイルス対策ソフトが「添付ファイル」として正しく認識できない形でファイルのエンコードを行うことがあるという。このためウイルス対策ソフトは，SirCamが潜んだ電子メールを認識できない。

　また，トレンドマイクロの「InterScan VirusWall for Windows NT」では，これまで検索効率の向上のため，拡張子が「.LNK」となっているファイルにはウイルス検索を行わない仕様となっていた（検索エンジンVer.5.420まで）。.LNKは，Windowsのショートカットファイルに利用される拡張子で，基本的にウイルスが感染する可能性はない。しかし現実にSirCamが送出する電子メールの中には，.LNK形式のウイルスファイルを含んだものがあり，検出をすり抜けていたと言う。

　現在，トレンドマイクロは上記の2つの問題を修正するためのパッチを公開している。なお，パッチはV3.51Jを対象としており，それ以前のバージョンについてはいったんV3.51にアップグレードしてからパッチを当てる必要がある。

　一方シマンテックでは，7月26日午後6時過ぎの時点で，日本語版パッチの作成を鋭意進めていると言う。この記事がアップされる頃（深夜）には，顧客に向けたパッチの配布を開始するほか，同社のWebサイトで情報を公開する予定だ。

　いずれにせよ，ほぼ同時期に感染を広げたCode Redについては，こうした問題がないことを期待したい。

添付ファイルはクリックしない！

　既に報じられている通り，SirCamは，電子メールやネットワークフォルダを使い，自身の複製を送り付けながら感染を広げていく。この際，SirCamは自分自身がメールクライアントとなり，感染マシンの「マイドキュメント」フォルダの中からランダムにファイルを選び，ウイルスとともに添付ファイルで送信してしまう。送信先のメールアドレスは，Windowsのアドレス帳やWebブラウザのキャッシュファイルから抜き取られる。

　一部ではSirCam感染の山は越したとされながらも，感染力が非常に強いことから，IPAセキュリティセンターやCERT/CC，各セキュリティベンダーは引き続き警戒警報を発令中だ。トレンドマイクロやネットワーク・アソシエイツは，SirCamの自動駆除ツールの無償提供を開始している。SirCamに対処するためのセミナーを開催するベンダーもある。

　当面の対策としては，

・ウイルス対策ソフト，およびパターンファイルのバージョンをチェックし，最新のものにアップデートする。
・（ワーム対策としては言わずもながだが）不審なアドレスから届いた，あるいは知っている人から届いたメールであっても，「.lnk」「.pif」「.com」「.exe」という拡張子のついた添付ファイルはクリックしない。そのまま削除する。
・本文がSirCam特有の「Hi! How are you?」「Hola como estas?」で始まるメールを，フィルタで削除する（特に多くの感染メールを受け取っているユーザーには有効）。
・電子メール，あるいはPCを使わないことにする。

といったことが挙げられるだろう。

関連リンク

IPAセキュリティセンター