Sober亜種が急拡散、「ひっかかりやすい文面」が原因?

IPA/ISECは、電子メールの添付ファイルを通じて拡散するウイルス「Sober」の亜種が急激に拡散しているとして、注意を呼び掛けている。

» 2005年11月24日 19時09分 公開
[ITmedia]

 情報処理推進機構セキュリティセンター(IPA/ISEC)は11月24日、電子メールの添付ファイルを通じて拡散するウイルス「Sober」の亜種が急激に拡散しているとして、注意喚起を行った。11月23日から24日にかけて検出数が急増しているといい、マカフィーやトレンドマイクロといったウイルス対策ベンダー各社も注意を呼び掛けている。

 このSober亜種は、自分自身を英語、あるいはドイツ語で書かれた電子メールの添付ファイルとして送りつけるというオーソドックスな手口で感染を広める。システムのエラーメールや「違法サイトであなたのメールアドレスを記録しました」といったFBI/CIAからのメールを装っており、詳細を確認するため添付ファイルを開くよう促して感染する。

 ひとたび感染すると、ファイルの削除やセキュリティ製品関連プロセスの停止、レジストリの変更を行うほか、PC内のさまざまなファイルからメールアドレスを収集し、自身のSMTPエンジンを用いて二次感染を広めようとする。

 Soberの亜種は過去にもたびたび登場してきたが、今回注意が呼び掛けられている亜種については「最近の他のウイルスに見られないくらい急激に増加している。IPAに対するウイルス届出の状況を見ても、非常に検出数が多い」(IPAセキュリティセンター)。

IPAの検出件数 IPAがまとめたSober亜種の検出件数(出典:http://www.ipa.go.jp/security/topics/newvirus/sober.html)

 また、トレンドマイクロの情報によると、全世界で7887台、特に米国で5700台以上の感染が報告されているという。

 このSober亜種は、Windows OSやアプリケーションの脆弱性を悪用することはしないため、ネットワークに接続しているだけで感染することはない。添付ファイルを不用意にクリックせず、かつウイルス対策ソフトを最新の状態に保っておくことにより、感染を防ぐことができる。

 にもかかわらず、これだけ感染が広がった理由について、IPAセキュリティセンターはあくまで推測としながらも「ユーザーがひっかかりやすい文面だからではないか」と指摘している。

 現在検出されているウイルスの大半は、海外、特に米国から届いているもの。ウイルス対策ベンダー各社の対応が進んでいることもあり、日本国内で二次感染が広がる可能性は少ないと見られるが、そもそもの流通量が非常に多いことから注意が必要としている。

 なお、この亜種の名称はベンダーによって異なり「W32/Sober@MM!M681」(マカフィー)、「SOBER.AG」(トレンドマイクロ)、「W32.Sober.X@mm」(シマンテック)などと呼ばれている。一覧は下記のとおり。

ウイルス対策ベンダー 名称
アンラボ Win32/Sober.worm.55390
Kaspersky Lab Email-Worm.Win32.Sober.y
コンピュータ・アソシエイツ Win32.Sober.W
シマンテック W32.Sober.X@mm
ソフォス W32/Sober-Z
トレンドマイクロ WORM_SOBER.AG
日本エフセキュア Sober.Y
マカフィー W32/Sober@MM!M681

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ