News 2001年12月10日 08:26 PM 更新

複合型ウィルスの脅威と対策――シマンンテックがセミナー

シマンテックが行ったウィルス対策セミナーでは,BadtransやAliz,今後被害拡大の危険性がある新種ワーム「Goner」といった“複合型ウィルス”による被害状況や対処方法が紹介された。

 シマンテックは12月10日,一般ユーザーを対象にウィルス対策セミナーを実施。今後,被害拡大の危険性がある新種ワーム「W32.Goner.A@mm」をはじめとする“Blended Threats(複合型の脅威)”の被害状況やその性質,対処方法などが紹介された。

 情報処理振興事業協会(IPA)の調べによると,11月のウィルス届け出件数は2766件となり今年2番目に多い被害となっている。2001年の被害状況累計は11月末でとうとう2万件を超え,2万361件に及んだ。


IPAによるウィルス届け出状況。11月に再び急増している

 Symantec Security Responseの星澤裕二氏は,セミナーの冒頭で「2000年のウィルス被害の累計は1万1109件だったが,このままでいくと12月末には2万2000件を超え,昨年の2倍になるのは間違いないだろう」(星澤氏)と語り,今年の深刻なウィルス被害状況を指摘した。

 Sircamが猛威を振るった8月に2809件と過去最高を記録したIPAへの届け出件数だが,9月以降は徐々に沈静化していき,10月は1241件にまで減少していた。それが11月に入り再び一気に急増している。

 急増の原因について星澤氏は「9月から被害が続いているNimdaや11月に発見されたBadtrans,再燃したAlizといった大量にメールを送り付けるワームの影響が大きい。これらに共通するのはOutlookのセキュリティホールを狙った手口,つまり“MIMEの脆弱性”を利用したワームということだ」と語る。

 その手口は,まず実行可能な添付ファイルを含むHTML形式の電子メールを作り,その添付ファイルがInternet Explorerが正しく処理しないMIME形式であると指定されるようにMIMEヘッダ情報を変更する。こうすると,Internet Explorer がその電子メールをプレビューするときに,添付ファイルが自動的に起動してしまうのだ。

 「Outlook上でなくても,マイドキュメントなどでウェブコンテンツを表示するというWindowsの機能を使っている場合,メールファイル(“eml”という拡張子)を表示しただけで感染してしまう」(星澤氏)。


マイドキュメントなどでメールファイルをプレビューしただけで感染してしまう

 さらに星澤氏は「12月4日に発見された新種ワーム“W32.Goner.A@mm”は,危険性の高いウィルスとして注意が必要」と警告する。

 Gonerは大量メール送信型ワームで,Outlookなど電子メール以外にインスタントメッセージサービス「ICQ」を媒介にして感染していくのが特徴。現在,世界中で被害が拡大している。

 ただし日本では,Gonerの被害はそれほど多くない。その理由について星澤氏は「日本にはOutlookやICQの利用者が米国ほどいないため」といい,「今後の被害拡大に注意が必要」と警鐘を鳴らす。

 Gonerが悪質なのは,一度感染してしまうと一般的なウィルスソフトやファイヤウォール製品の動作を停止させてしまう点だ。このワームは,セキュリティソフトの実行ファイル(同社ノートンアンチウィルスならNAVAPW32.EXEやNAVW32.EXEなど)を見つけると,そのファイルや同じディレクトリ内の全てのファイルを削除しようと試みる。

 セキュリティソフトの多くは実行中で削除できないことが多いが「削除できないファイルがある場合は,PCが次に再起動されたときに該当ファイルを削除する命令を含んだ環境設定ファイルを作成する」(星澤氏)というから厄介だ。

 今回同社が,日本では被害があまり報告されていないにもかかわらずGonerに強く注意を促す背景には,このようにセキュリティソフトを削除するというウィルスソフトメーカーへの挑戦的な動作があるからだろう。

 「ワームとトロイの木馬のそれぞれの特性を持つものや,大量メール送信,脆弱性攻撃など複合的な活動を見せるウィルスが被害を広げている。従来のウィルスソフトのみの対策では不十分で,脆弱性監査/ウィルスプロテクション/不正浸入検知/システム管理ツール/コンテンツフィルタリング/ファイアウォールVPNといったトータルセキュリティソリューションが必要。また,Alizのように国内中心に蔓延したワームの登場で,日本独自のセキュリティ対策が必要となってきている」(星澤氏)。

関連記事
▼ Gonerワーム,被害総額は小規模に
▼ 米・欧で「Goner」ワームの感染続く
▼ Gonerウイルス,欧米で依然猛威
▼ NAI,Gonerウイルス対策セミナーをオンデマンドストリーミングで
▼ Gonerウイルスに各社が警戒呼び掛け
▼ セキュリティソフトを無効化・削除する新種ワーム「Pentagone」
▼ クリスマスプレゼント第一弾? 「Pentagone」ウイルス登場
▼ 過去最悪の犯人はSirCam――10月のXデーにも注意
▼ 史上最悪のSirCam,その被害を防ぐには――シマンテックがSirCam対策セミナー

関連リンク
▼ シマンテック

[西坂真人, ITmedia]

Copyright © ITmedia, Inc. All Rights Reserved.