News 2000年11月22日 07:02 PM 更新

迫り来る次世代ウイルス──ポイントは暗号化と携帯端末

「I love you」騒ぎのあと,みんなウイルスなんて忘れてしまったかもしれない。しかし国内のウイルスは過去最悪の状況だ。次にウイルスが狙うのは携帯電話という話もある。

 「怪しい添付ファイルを開かなければ安全」。これはしばらく前までウイルス対策としての基本常識だった。それは確かに今でも基本だが,絶対安全とはいえない。“怪しい”の定義は曖昧になってきているし,添付ファイルなんて関係なく感染していくウイルスも存在する。

友達から来たMP3ファイルは安心ですか?

 11月8日に情報処理振興事業協会(IPA)は,2000年10月のコンピュータウイルス発見届け出状況を明らかにした(11月9日の記事参照)。

 その中で,単一のウイルスとして過去最高の届け出件数を記録したのが「W32/MTX」,通称マトリックスだ(本日の速報参照)。マトリックスが使う手口は巧妙であるうえ症状も凶悪だ。感染するとHDDのフォーマット〜OSの再インストールという初期化を与儀なくされる。

 その手口はこうだ。感染者がメールを送ると,同じ宛て先にウイルスを添付した空のメールを送りつける。しかも,添付されるファイルは「README.TXT.pif」「NEW_NAPSTER_site.TXT.pif」などいかにもありそうな数十種類の名前の中からランダムに選ばれる。

 友人からのメールを読み終わり,同じ人から「JIMI_HENDRIX.mp3.pif」なんてファイルが付いたメールが続けてやってきたら,つい開いてしまわないだろうか。「SEICHO_NO_IE.EXE」などという日本人をターゲットにしたとしか思えない名前が付く場合もある。

 知り合いが「MORNING_MUSUME.MPG」なんてファイルを送ってきても,ダブルクリックしないでいられるだろうか?

ネットワークに接続しているだけでも……

 ネットワークでつながっているだけで感染が進むというウイルスも発見されている。

 日本ネットワークアソシエイツのプロダクトマーケティングマネージャである新井一人氏によると,一般には流行らなかったが,米大手通信会社に大きな被害をもたらしたウイルスがある。

 「RemoteExplorer」と呼ばれるこのウイルスは,NT ServerやNT Workstationに感染する。最大の特徴はユーザーが何もしなくても,自身でネットワークを探索して感染を広げていくことだ。

 感染すると,NTのパスワードファイルを暗号化し,ログインパスワード部をフックしてしまう。アクセスできなくなった利用者は,ネットワークの問題と思い,管理者を呼ぶ。管理者がAdministrator権限でアクセスすると,そのパスワードを盗んでしまう。

 そして人が寝静まった夜や週末になると,ネットワークでつながった周りのNTマシンに,AdministratorのIDとパスワードで侵入を試みるのだ。

 新井氏によると「300ビット級の暗号化機能を含んでいて,ファイルを暗号化していく」という。

ウイルスの今後の進化は?

 いまやウイルスは人の手を借りずとも,自分で勝手に増殖を始め,バックドアと呼ばれるシステムへの裏口を作っていく。米Microsoftへの不正アクセス事件で有名になった「W32/QAZ」は,自分自身では増殖しないからまだかわいいほうだ。

 今後予想される,ウイルスの進化ポイントは以下の通りだ。

暗号化

 現在,ほとんどのウイルス検知ソフトは"パターンマッチング"という手法を用いて,ウイルスを検出している。ウイルスが自身を暗号化するような機能を獲得すると,現在の手法では検知困難だ。

 実際,「Hybris」(11月16日の記事参照)のようにインターネット上から暗号化プラグインをダウンロードしてくるウイルスも現われている。

 ただし,自分自身を暗号化するウイルスはまだ出現していない。このようなウイルスは,作成するのが非常に難しいのも理由の1つだ。「ウイルスライターでそこまでできるかどうか」(新井氏)。

 マクロウイルスに対しては,推論機能の搭載によって,未知のウイルスでもほとんど検知できるまでにウイルス検知ソフトも進化している。

携帯情報端末

 次にウイルスが狙うのは,おそらく携帯端末だ。今年の夏に「携帯電話にウイルス」(6月7日の記事参照)として話題になったものは,実際には携帯電話をターゲットとしたPC上のウイルスだった。

 しかし,携帯電話やPalmなどの携帯情報端末は,大量のユーザー数を背景にウイルスの格好のターゲットとなっているのは確実だ。

 Palmに感染するトロイの木馬型ウイルスは実際に存在する(8月29日の記事参照)。その後,日本ネットワークアソシエイツはPalm向けのウイルス対策ソフトも発売した(10月2日の記事参照)。PDAに感染するウイルスに関してはPC用のウイルス対策ソフトは効果がない。新井氏は「ウイルス対策は侵入経路に対して監視が基本」と言う。PDAの場合はシリアルポートを見張らなければいけないが,これまでシリアルポートまでチェックするソフトはなかった。

 今後,出現が予想されるのは携帯電話に感染するウイルスだ。既に携帯電話でのインターネットアクセスは日常化しているし,来年にはウイルスの格好の住みかとも言えるJavaが携帯電話に搭載される。「既に端末メーカー,チップベンダーと検討を開始している」と新井氏は言う。

 来年のJava搭載iモードでは,まだJavaの仕様がどのようになるのか一般公開されていない。NTTドコモのゲートウェイコンテンツ部長である榎啓一氏は,先日の講演で「(Java搭載iモードは)念には念を入れたチェックをして出したい」と語っている。

関連記事
▼ シマンテックがファイル感染型ウイルス「W95.MTX」に緊急警告
▼ 10月のウイルス被害届け出が過去最悪の906件──IPA
▼ 頭脳派ウイルス「Hybris」の実態
▼ スペイン電話市場の独占に抗議? 携帯電話にまで対象を広げたウイルス
▼ トロイの木馬がPalmを奇襲
▼ ネットワークアソシエイツ,PDA向けのウイルス対策ソフト

関連リンク
▼ IPA

[斎藤健二, ITmedia]

Copyright © ITmedia, Inc. All Rights Reserved.