News 2002年5月7日 08:19 PM 更新

5月は,“Klezの嵐”に注意

4月半ば頃から,InternetExplorerのセキュリティホールを悪用したコンピュータウイルス「Klez」が被害を広げている。5月に入っても衰えをみせず,むしろ拡大傾向にあるKlezは,ウイルス界の「Maystorm(5月の嵐)」となりそうな気配だ。

 長いところでは10連休という企業もあった今年のゴールデンウィーク。大型連休を満喫して出社してみると,会社のメールボックスがウィルスメールで一杯になっていたというケースが,多かったのではないだろうか。

 その原因の多くは,先月半ばから急増し始めた「W32/Klez」だ。InternetExplorerの既知のセキュリティホールを悪用したこのコンピュータウイルスは,さまざまな亜種を生み出しながら被害を広げている。

 情報処理振興事業協会(IPA)に寄せられたKlezの届出件数をみると,昨年10月26日にオリジナルが発見されてから3カ月ほどは月30〜50件程度と際立った数字ではなかったが,今年1月末に亜種が登場してからは一気に被害が拡大し,2月は108件,3月は224件と前月比倍増で推移。さらに亜種が増えた4月は,単月で500件を超えたと見られている。

 「4月末の届出件数は5月10日に正式発表するが,前月(224件)の倍以上に増えているのは確実。特に4月中旬から届け出が急増し,5月に入っても衰えるどころか,1日40〜50件と届出件数のペースが上がっている」(IPA)といった予断を許さない状況だ。


情報処理振興事業協会に届け出のあったKlez件数の推移

 また,Klezの亜種(Klez.e)は奇数月の6日に発病し,Cドライブのファイルを削除するといわれていた。昨日(5月6日)がその“Xデー”だったわけだが,IPAによると本日(5月7日)午後16時の時点ではKlez発病によるファイル削除の被害報告は届けられていないという。しかしこれは,「5月6日の時点でPCを立ち上げなければファイル削除という症状が発生しないため,振替休日だった日本では被害が少なかったのでは」(シマンテック)という見方もできる。実際,トレンドマイクロでは数件の被害があったとの報告がある。Klezは着実に,そのミッションを遂行しているのだ。

 さらにシマンテックSSR(Symantec Security Response)の星澤裕二氏は,「5月はさらにKlezの被害が拡大する可能性がある」と警鐘を鳴らす。

 シマンテックに寄せられたKlezの国内被害報告は4月単月で1276件となり,前月の185件から急増している。2位のBadtrans.Bが136件だったことからも,Klezの被害報告の多さが分かる。

 Klezの被害は,国内よりもむしろ海外の方が深刻だ。SSRに寄せられたワールドワイドでの4月の被害報告は4万7038件に及び,昨年の年間ウイルス被害ランキングトップとなったBadtrans.Bが記録した昨年12月の単月届出件数(2万9695件)を,1万件以上も上回っている。  「5月に入ってもKlezは衰えを見せず,国内・海外ともに1日の被害報告は4月を上回っている。さらに亜種も増えていくだろう。今後,NimdaやSirCamを超えるウイルスに発展する可能性は高い」(星澤氏)。

 なぜ,Klezがこれほど被害を広げているのだろうか。

 Klezで特徴的なのは,メールアドレスを偽る“なりすまし(Spoofing)”のテクニックだ。これはオリジナルにはなかった機能で,亜種になって追加された。感染しているPC上で発見したメールアドレスをランダムに選択し,大量メール送信時の“差出人(From:)”のメールアドレスとして使うため,あたかも,実際には感染していないPC(メールアドレス)から送られたように見えてしまう。

 「HDDに残されたWebページのキャッシュ情報からも,メールアドレスを取得することがある。つまり,メールのやり取りを一度もしたことがない相手のメールアドレスが,宛先になったり差出人になったりすることもありえる。アドレス帳を使って感染PCのアドレスでメールを送りつけるウイルスでは,感染したことを送信相手からすぐに知らせてもらい,被害拡大を最小限に防ぐことができるが,“なりすまし”の場合は差出人が詐称されているため感染源を特定しづらく,被害が広がってしまう」(星澤氏)。

 ただ,この“なりすまし”機能自体は,これまでも多くのウイルスが使った手法であり,今回の被害拡大の大きな要因ではないのでは,と星澤氏は指摘する。

 「“なりすまし”も含めて,Klezにしか持っていない特別な機能というものはないため,ここまで被害が広がったことには,正直言って驚いている。メールアドレスの詐称だけでなく,件名やメールアドレスの選択がランダムになっていたり,ウイルス対策ソフトを攻撃したりという既知の動きがいろいろ組み合わされた“複合型”のスタイルが,被害を広げているのかも知れない」(星澤氏)。

関連記事
▼ KlezにCIHウイルスが付いてくる
▼ Klez,感染率でSirCam,Nimdaを超える
▼ ウイルス1つに数百の亜種
▼ シマンテック,「Klez」危険度を引き上げ
▼ 拡散続けるKlezワーム。無防備なユーザーが被害に
▼ Klezの変種に秘密を暴露する機能?
▼ 「Klez」にまた新亜種
▼ Klez亜種がアジアから米国へ
▼ WORM_KLEZ.Eの感染報告が急増中(Helpdesk)
▼ 「Klez.E」国内感染急増,トレンドマイクロが専用Web開設
▼ Klez.Eが活動再開
▼ じわりと広がるKlez.e。ウイルスランキングで4位に

関連リンク
▼ 情報処理振興事業協会セキュリティセンター
▼ シマンテック

[西坂真人,ITmedia]

Copyright © ITmedia, Inc. All Rights Reserved.