エンタープライズ:ニュース 2003/08/26 03:38:00 更新


「Sobig.Fを検出しました」――自動応答メールがさらなる混乱を招く?

大量のメールを送信し、企業の電子メールシステムにも影響を及ぼしたSobigウイルスの亜種「Sobig.F」。だが、帯域を圧迫しているのはウイルス本体だけではないようだ。

 大量のメールを送信し、企業の電子メールシステムにも影響を及ぼしたSobigウイルスの亜種「Sobig.F」。このウイルスは、8月22日に特定のサーバへアクセスし、新たなバックドアプログラムをダウンロードしてさらなる攻撃を仕掛けるのではと懸念されていたが、サービスプロバイダーなどの対処により、そういった事態は回避された(別記事参照)。

 ただ、最初の攻撃は回避されたとはいえ、Sobig.Fウイルスは自身を削除する9月10日まで、金曜と土曜の太平洋時間正午から午後3時までの間に、感染マシンからバックドアのダウンロードを試みるようになっている。もともとSobig.Fがアクセスを試みることになっていた20台のサーバはダウンしたとはいえ、それが真の作者による偽装である可能性もあるため、引き続き警戒が必要だ。不用意に添付ファイルをダブルクリックしないよう留意するとともに、ウイルス対策ソフトの定義ファイルを最新のものにして感染を防ぐことが肝心と言えそうだ。

さらなる亜種が9月11日に?

 中には、第3の攻撃を懸念するセキュリティ企業もある。米オハイオ州に本拠を置くウイルス対策ソフトウェアベンダー、Central Commandは、Sobig.Fによるバックドアのダウンロードを警告するとともに、同ワームが活動を停止する9月10日以降に新たな亜種が登場する可能性を指摘している。

 同社が8月21日に公開した情報によると、Sobigの作者には、ある亜種の活動が停止した直後に新たな亜種をばら撒く傾向があるという。そしてこの傾向が繰り返されるとすれば、Sobig.Fが活動を停止する直後の9月11日に、さらなるSobigの亜種が登場する可能性が高く、それがインターネットのインフラにDDoS(分散型サービス拒否)攻撃を仕掛けるおそれがあると推測されるということだ。

自動応答メールに注意を

 英MessageLabsによると、電子メール17通に1通の割合で検出されたというSobig.F。実際の感染数に比べ、非常に大量の電子メールを送り付けることが特徴となっている。

 皮肉なことに、Sobig.Fを検出してくれるウイルス対策ソフトウェアが、この状況に輪をかけているようだ。これら対策ソフトウェアは設定によって、ウイルスを検出した際に管理者宛て、あるいはそのメールの送信者宛てに通知メールを送信するようになっているが、この機能がかえって混乱を招くケースもある。

 というのも、Sobig.Fが送りつける電子メールの「送信者」フィールドは、被害を受けたPC内からランダムに抜き出されたものであり、必ずしも感染した本人のものではない。このため、実際にSobif.Fに感染したユーザーの元に警告が届かない一方で、無関係かつワームに感染していないユーザーのところに「あなたからの電子メールにウイルスが発見されたので駆除しました」といった通知が寄せられることになる。

 ウイルス検出の通知が役に立たなくなるだけではない。こうした通知メールはメールサーバのリソースを圧迫し、ただでさえSobig.Fのトラフィックでいっぱいいっぱいの帯域をさらに圧迫することになる。

 ウイルス対策ソフトベンダーのSophosは、こうした状況を踏まえ、ウイルス対策ソフトの自動応答メールについて警告する文書を公開した。この中で同社の技術コンサルタント、キャロル・テリオール氏は、「電子メールアドレスを詐称するウイルスは、何もSobig.Fが初めてではなく、BugbearやFizzer、Mimail、Klezといった悪名高いウイルスも同様の手法を用い、広範かつ速やかに感染を広めてきた」と指摘している。

 事実、日本でもこうした「送信元詐称型」ウイルスはなかなか根絶されず、Klezなどは、情報処理振興事業協会セキュリティセンター(IPA/ISEC)が毎月まとめている「コンピュータウイルスの届出状況」でワーストワンの常連となっている。

 自動応答メールの功罪を踏まえてSophosは、念のため最新の定義ファイルを用いて感染の有無を確かめるのはもちろんだが、ウイルス検出ソフトが自動的に送りつけてくる通知メールには返信しないように推奨している。また、ゲートウェイ部分で、「.EXE」「.PIF」といった拡張子が付いた添付ファイルをブロックすることも有効だ。さらに、日本のユーザーの場合、英語の件名が付いたメールがやり取りされることは少ないと考えられるため、Sobig.Fが用いる件名をキーにしてフィルタリングすることも可能という。

 またトレンドマイクロでは、Klezのときと同様、真の感染者とは関係のないユーザーに警告メールが送られる可能性について説明する一文をWebに掲載する方向で検討している。また、同社の「InterScan Messaging Security Suite」などを採用している管理者に対しては、警告メールの配信でメールボックスがいっぱいになるといった事態を防ぐため、警告メール配信を防ぐような設定を推奨しているという。

関連記事
▼スパム発射台としてのSobig.F、攻撃の第2波は回避
▼Klez、ウイルスランキングで依然トップ
▼Klezが暴いた自動応答システムの落とし穴

[高橋睦美,ITmedia]



Special

- PR -

Special

- PR -