「patch.exe」に注意,日本語の件名が付いたワームにIPAや各社が警告
| 【国内記事】 | 2002.3.14 |
日本語の件名(サブジェクト名)が付いた電子メールを使って広く感染するタイプのウイルス(正確にはワーム)が,国内で被害を広めている。
3月14日,トレンドマイクロ,日本ネットワークアソシエイツ,シマンテックなどウイルス対策ソフトウェアベンダー各社が,日本語の件名が付くことが多く,「patch.exe」という添付ファイルで感染を広げるワームに対する警告を発した。
それぞれ「WORM_FBOUND.B」「W32/Fbound.c@MM」「W32.Dotjaypee@mm」と名称はばらばらだが(ここでは仮にFBoundとする),このワームは,本文が空白で,意味の読み取れる日本語文字列を件名としたメールを送信する。件名が日本語となるのは,宛先メールアドレスが「.jp」ドメインの場合で,「重要」「例の件」「お久しぶりです」など,十数種類の中からランダムに選択されるという。
メールには「patch.exe」という添付ファイルが付いており,これを実行すると,レジストリの中からSMTPサーバの情報とWindowsのアドレス帳に保存されているアドレスを探し出し,登録されているアドレスすべてに,自分自身(patch.exe)を添付した電子メールを送りつける。したがって,このファイルを実行してしまうとメーラーの種類によらずメールが送信され,その履歴も残らない。
各社によると今のところ,FBoundの実質的な被害はメールを送りつけることのみで,レジストリの書き換えなど,システムを改変させるケースは報告されていないという。
対策としてはまず,各々が利用しているウイルス対策ソフトの定義ファイルやエンジンを最新のものにアップデートすることが挙げられる。また,従来より推奨されているとおり,不用意に添付ファイルを実行しなければ,被害は防げる。もしも「patch.exe」付きのメールが届いた場合には,そのまま削除すればよい。
添付ファイルにはさらに注意を
FBoundの登場によって,ウイルス対策における注意点はさらに増えることになるだろう。
気にかかる点は2つある。1つは,JPドメイン宛にメールを送信する場合,日本語を件名に利用することだ。
これまでもたびたび,メール大量送信型のワームが流行を見せたが,それらは件名・本文ともに英語で書かれたものばかり。Outlook/Outlook Expressのセキュリティホールを悪用した,メールをプレビューするだけで感染するタイプのワームを除けば,非常に乱暴な対策ではあるが,「何だか変な添付ファイル付きの英文メールが来たら,とりあえず削除」すれば防ぐことも可能ではあった。
しかしFBoundでは,「重要なお知らせ」「例の件」といった意味の分かる日本語の件名のメールが,場合によっては知り合いから届くことになる。したがって,添付ファイルの扱いにはこれまで以上に注意が求められるだろう。
今の時点で救いと言えるのは,添付ファイルの拡張子が「.exe」であり,拡張子の偽装がなされず,またファイル名がランダムに変わることもないことだ。ウイルス対策の基本の1つである「不用意に添付ファイルを開かない,実行しない」ことさえ徹底していれば,恐れる必要はない。ひとまずは――亜種が出てこないうちは――安心である。
もう1つ,FBoundに関して気にかかるのは,この添付ファイル名である。「Patch」という名称の実行ファイルであるため,ある程度セキュリティに対する意識を持つユーザーがかえって,何がしかのセキュリティホールの修復に必要なファイルだと思い込み,実行してしまう危険性がある。
FBoundが登場する直前の3月4日には,英文ではあるが,マイクロソフトからのお知らせを装った電子メールを通じて感染するウイルス「W32/Gibe」が警告されていた。ウイルスの進化は技術面に限ったことではなく,このようにユーザーの心理を付いて,添付ファイルを実行させるよう仕向ける手法も多く登場している。これまではたまたま,英語で表記されたものが多かったというだけだ。今後は,件名や本文,添付ファイル名を鵜呑みにすることも避けなくてはならないだろう。
いずれにせよ,引き続き警戒が必要だ。インターネットに関するジョークで,メールを送信した後にわざわざ「メールで用件を送ったよ」と電話してくる,というものがあった。だがこの種のワームが広まれば,メールを開く前には送信者に,「確かに私宛に送信したの?」と確かめる必要が出てくるかもしれない。
Fboundに関する情報(3月14日20時時点)
[高橋睦美 ,ITmedia]
