ニュース
2004/01/27 23:39:00 更新


巧みなソーシャルエンジニアリングが引き起こしたMyDoomのまん延

「MyDoom」ウイルスがまん延した理由は、巧みなソーシャルエンジニアリングにあった――新ワームについて、ウイルス対策ベンダーはこのように分析している。

 日本時間の1月27日、「MyDoom」ウイルスが急速に感染を広めた。

 MyDoomのほか「Novarg」「MiMail.R」などと呼ばれているこのワームは、もはやありふれた手口だが、電子メールを介して感染するタイプのウイルスだ。ウイルス本体はメールの添付ファイルで、WindowsプラットフォームのPCでこれを実行すると感染してしまう。ひとたび感染すると、ウイルスはハードディスク内からメールアドレスを収集し、自分自身を送り付ける仕組みだ。これも馴染みとなった手口だが、この際「From」欄に表示される送信者のメールアドレスも偽装する。

 各社の情報を総合すると、このウイルスが猛威を振るっているのは主に米国で、国内で実際にウイルスに感染したPCはそれほど多くはない模様だ。日本ネットワークアソシエイツによると、MyDoom発生から約半日が経った1月27日17時30分までに、39社から計98件の検知・駆除報告があったという。これは、同社が提供するウイルス対策ASPサービスで検出された数であり、「感染」数ではない。またシマンテックでは、同日夕方時点の届出件数が全世界で1627件であるのに対し、日本からの届出件数はわずか6件にとどまっているという。

 「(ウイルスメールが)送られてくる数自体が少ないのかもしれないが、日本ではウイルス対策ソフトの導入が進んでおり、対策が取られていることの現れかもしれない」(シマンテック)。

ソーシャルエンジニアリングが招いたまん延

 それでも、海外から送られてくる大量のMyDoomメールは無視しがたい。MyDoomがまさに猛威を振るっている米国では、別記事のとおり、このウイルスを遮断するため電子メールゲートウェイを停止した通信事業者まで現れたという。

 なぜ、MyDoomはこれほど感染を広めたのだろうか。その理由は、巧みなソーシャルエンジニアリングにあると、ウイルス対策ベンダーは口をそろえる。

 ウイルスとソーシャルエンジニアリングの組み合わせは、2000年に登場したI Love You(LoveLetter)ウイルスにさかのぼるだろう。このウイルスは、Outlookのアドレス帳に登録されたすべての宛先に対し、「I LOVE YOU」という件名(Subject)の付いた電子メールの形で届けられる。

 送り付けられた側にしてみれば、知り合い(である可能性の高い)のメールアドレスから、「I LOVE YOU」というタイトルで、しかも「kindly check the attached LOVELETTER coming from me」(私からのラブレターを添付しました。どうぞ読んでみて下さい)などと書かれたメールが届くわけだから、おのずとクリックしてしまう確率は高くなる。これがウイルス作者の狙いだ。

 それ以降も、技術面で細工するというよりも、タイトルや本文などに工夫を凝らし、受信者の心理を付いて自ら添付ファイルを実行させようとするウイルスは後を絶たない。最近の例では、マイクロソフトからの最新のパッチを装う「Swen」があるし、かつては日本語の件名が付いたメールで増殖する「Fbound」がネットワークを騒がせたこともあった。そしてMyDoomは、ソーシャルエンジニアリングを応用したウイルスの最新の例だという。

 「ソーシャルエンジニアリングを悪用したウイルスはこれまでにもあったが、MyDoomは今までのものとはちょっと違う。“メッセージを送信できませんでした”というエラーメールの形で、ユーザーのクリックを誘う」(トレンドマイクロ)。「ウイルスやワームであることが一目瞭然なメールとは異なり、エラーメッセージと思わせる内容で添付ファイルを開かせるところが(まん延の)原因ではないか」(シマンテック)。

 加えて、MyDoomが自分自身を撒き散らす勢いが強いこともあり、Slammerのようにネットワークの輻輳こそもたらさないまでも、大規模な感染を招いているという。

 もっとも、必要以上に心配する必要はないだろう。主なウイルス対策ソフトではMyDoomに対応した定義ファイルが提供されており、これを適用していれば被害はこうむらない。またウイルス対策の基本に忠実に、「たとえ送信者が知り合いだとしても、不用意に添付ファイルはクリックしない」よう心がけておくだけでも回避できるだろう。管理者であれば、ゲートウェイ部分でウイルスをチェックするとともに、実行形式の添付ファイルはフィルタリングする、といった手法も取れる。

 それにしても、ウイルスの高度化にともない、ユーザー側が心すべき対策法は変化してきた。かつては「定義ファイルを定期的にアップデートせよ」「見知らぬアドレスから届いた不審な添付ファイルをクリックしてはいけない」といった注意で済んだものが、メールをプレビューするだけで感染してしまうウイルスの登場により、「最新のパッチを適用する」という項目が必須になった。ソーシャルエンジニアリングを悪用したウイルスが広まってからは、「たとえ“知り合い”からのメールであっても、不用意に添付ファイルを開いてはならない」と言われるようになっている。そして今度は、「たとえ“エラーメッセージ”であっても信用はできず、不用意に添付ファイルを開いてはならない」と言わねばならないのかもしれない。この傾向がさらに進めば、「電子署名が加わっていないメールはすべて信用できない」などと言わざるを得ない日がくるのかもしれない。

もう1つの問題

 なお、エラーメッセージという意味では、ウイルスによる「From詐称」から生じる別の問題も浮上している。

 最近では、ネットワークゲートウェイで電子メールをチェックし、ウイルスを検出したらその旨を送信元に通知する機能を備えたゲートウェイ型のウイルス対策製品を導入している企業も多い。しかし、MyDoomのようにFrom欄を詐称するウイルスの場合、この通知は感染した本人ではなく、赤の他人のところに送られてしまう。つまり、ウイルスに感染した本人には告知が届かず、一方で無関係のユーザーに大量の「警告メール」が届いてしまう。結果として管理者は、ウイルス本体の洪水のみならず、警告メールの処理にも追われることになる。

 From詐称は別の問題も引き起こしている。これは今日、実際に経験したケースだが、メールシステム(メーリングリストシステム)の中には、メンバー以外のユーザーからメールが投稿された場合はそれを受け付けず、送信者にそのまま送り返す仕組みを持つものがある。たまたまあるシステムに、われわれのメールアドレスを騙って送られたMyDoomがあったのだが、それがはじかれ、添付ファイルもろとも送り返されてきた。MyDoomオリジナルの英文のエラーメッセージだけでなく、日本語のエラーメッセージ付きだったため、あやうく中身を確認しそうになってしまった。

 それでなくとも、ワームが無作為に抜き出した電子メールアドレスの中には、もはや存在しないユーザーのものも含まれている。この処理も含め、ウイルスがメールサーバやルータといったネットワークインフラに、そして管理者に与える負荷は相当なものだ。こういった部分も踏まえた、新たな解決策を模索すべき時期に来ているのかもしれない。

関連記事
▼「MyDoom」ウイルスの被害急拡大、SCO攻撃が目的か
▼心理をついたウイルスには“協力”しないこと

[高橋睦美,ITmedia]

Copyright© 2016 ITmedia, Inc. All Rights Reserved.



Special

- PR -

Special

- PR -