| エンタープライズ:ニュース | 2003/10/06 22:10:00 更新 |
真に厄介なのは人の心理を突くウイルス、IPA/ISECが9月の届出状況まとめる
IPA/ISECがまとめた2003年9月のウイルス届出件数を見ると、タイトルや本文、送信者を偽って添付ファイルを開くよう仕向けるウイルスのまん延ぶりがよく分かる。
情報処理振興事業協会セキュリティセンター(IPA/ISEC)は10月6日、2003年9月のウイルス届出件数および不正アクセス届出件数をまとめ、公開した。
これによれば、9月のウイルス届出件数は1794件。Windowsのセキュリティホールを悪用してまん延したMSBlast(Blaster)やNachi(Welchia)がはびこった8月の2014件に比べると減少を見せているが、高めの水準を維持している。
届出の多かったウイルスは、以下のとおりだ。
| 順位 | ウイルス名 | 届出件数 |
| 1 | W32/Sobig | 511 |
| 2 | W32/Klez | 272 |
| 3 | W32/Swen | 219 |
| 4 | W32/Mimail | 176 |
| 5 | W32/Bugbear | 140 |
この届出状況を見ても分かるとおり、最も多く報告されたウイルスは、8月に登場した亜種が爆発的に感染したSobigだ。それに続いて、エラーメールを装い、送信元を偽造するKlezだ。このウイルスは登場以来、1年以上もまん延し、ウイルス被害報告の“常連”となりつつある。3番手は、この9月に初めて登場したSwen(9月19日の記事参照)で、Microsoftからのセキュリティアップデートを装っている。
これら上位3つのウイルスには、IPA/ISECも指摘しているとおり、いくつかの共通点がある。1つは、KlezとSwenに言えることだが、Internet Explorerの既知のセキュリティホールを悪用していること。既に2年以上前に公開されたセキュリティホール(MS01-020)を塞ぐパッチを適用していない場合、電子メールを受け取っただけで感染してしまうおそれがある。
もう1つは、ユーザーの心理を突き、思わず添付ファイルをクリックさせてしまうような題名やファイル名、本文を付けていることだ。先月登場したSwenは、「Microsoft Security Support」から送られた「最新パッチ(Latest Patch)」を装ってばら撒かれている。結果として、正しい入手経路までは把握しないものの、パッチの必要性を認識した――セキュリティ意識に目覚めた――ユーザーが、皮肉なことにウイルスに感染してしまうケースもあるようだ。
タイトルやファイル名、本文を偽り、いかにも重要そうな(あるいはユーザーの興味を引く)電子メールに見せかけるやり方は、古くはILoveYou(LoveLetter)ウイルスのころから見られた手段だ。IPA/ISECでは、ベンダーが電子メールに添付する形で修正ファイルを配布することはほとんどないと指摘した上で、たとえ親切そうな文面を装った電子メールでも安易に添付ファイルを開かないよう注意すべきとしている。パッチを装うものに限らず、「重要」「緊急」といった文言でユーザーの興味をかきたてるような電子メールについても同じことだ。IPA/ISECはさらに、添付ファイルはウイルス対策ファイルで検査してから開くという基本を徹底するよう呼びかけている。
なおIPA/ISECでは特に触れていないが、これらウイルスはまた、システム管理者泣かせでもある。送信元を偽ることから、真の感染者に対し「ウイルスに感染しているので対処をお願いします」と伝えるのが困難になるからだ。逆に、感染したPCのアドレス帳やキャッシュから抜き出した無関係のサイトが「送信元」とされるため、本来は無実のサイトやユーザーに「ウイルスに感染している」旨を知らせる通知メールが届けられることになる。真の感染者に警告が届かず、結果として彼(もしくは彼女)が感染を認識せずにウイルスをばら撒き続けていることが、Klezをはじめとする送信元詐称型ウイルスが長期にわたってまん延し続けている原因の1つと言えるだろう。
さて、先月さんざんメディアを騒がせたMSBlastとNachiだが、いずれも届出数は激減し、ワースト5入りすらしなかった。だがだからといって、これらワームが根絶されたと考えるのは早計である。
IPA/ISECが計測しているデータによると、MSBlastやNachiによるものと推測される不正アクセス、すなわちTCP/135番ポートへのアクセスとping(ICMPパケット)のトラフィック量は、これらワームの発生から2カ月近く経つ今もなお高水準で推移しているということだ。これはつまり、自分のマシンがワームに感染したことにいまだ気付かないまま、インターネットに接続し続けているユーザーが多数存在していることを示すものだ。これを踏まえてIPA/ISECは、たとえシャットダウンに代表される“自覚症状”が見られずとも、ウイルス対策ソフトなどによるチェックを行い、最新のパッチを適用するよう呼びかけている。
ちなみに、トラフィック量ではなく届出ベースで見ると、9月の不正アクセス届出件数は39件となり、前月(45件)よりも若干減少した。実際に被害があった届出件数は、今年最少の5件にとどまったという。
しかしながら、上記のようにワームが発すると思しき不正アクセスのトラフィックが高水準で推移していることに加え、sendmail(9月17日の記事参照)やOpenSSH(9月24日の記事参照)、OpenSSL(10月1日の記事参照)といった主要なオープンソースソフトウェアで相次いでセキュリティホールが発見されている。そのうえWindowsプラットフォームでは、MS03-039(9月11日の記事参照)、MS03-040(別記事参照)と相次いで重要なセキュリティホールが公開された。IPA/ISECでは、実害をこうむる前にパッチの適用や最新バージョンへのアップデートといった対策を取り、セキュリティホールを修正するよう呼びかけている。
関連記事
MSBlastなどの影響くっきり、IPA/ISECのウイルス届出状況心理をついたウイルスには“協力”しないこと関連リンク
情報処理振興事業協会セキュリティセンター(IPA/ISEC)[高橋睦美,ITmedia]
