Bagle亜種、アルファベット制覇の勢い

新たにBeagleの亜種「Bagle.Q」「Bagle.R」「Bagle.S」「Bagle.T」が発見された。それも、わずか2日間で。

　コンピュータウイルスのBagleの亜種が、アルファベットを制覇する勢いで種類を増やしている。

　ウイルス対策ソフト各社は3月18日、Beagleとも呼ばれている同ウイルスのソースを修正した亜種として、この2日間で新たに「Bagle.Q」「Bagle.R」「Bagle.S」「Bagle.T」が発見されたと語った。

　これらのウイルスは、昨年8月に発見されたActiveXの脆弱性を悪用し、被害者がファイルを実行しなくても、被害者のコンピュータ上にプログラムを送り込んで実行しようとする。この新機能は、8月のパッチリリース以降、Windowsをアップデートしていないユーザーにとって脅威となる。

　OSをアップデートしていないPCでは、このウイルスが含まれた電子メールを閲覧するだけで、悪質なプログラムがダウンロードされ、実行される恐れがある。

　もっとも、Symantecセキュリティ対策チームのシニアマネジャー、オリバー・フリードリクス氏によると、攻撃コードのダウンロード場所として機能していたWebサイトの多くは、既にオフライン状態になっているという。

2004/03/19

またもや発見されたBagle亜種、いったいどこまで？

2月より続々発見されているBagleの亜種ウイルス。先週末から今週に掛けて、さらに2種類の亜種が登場した。

　2月より続々登場しているBagleの亜種ウイルスだが、発生の勢いはとどまるところがないようだ。

　先週末の3月14日にはBagle.N（ネットワークアソシエイツやトレンドマイクロの命名。シマンテックは「Beagle.M」、F-Secureでは「Bagle.P」）が発見され、感染の拡大が警告された。これまでのBagle亜種と同様、大量に電子メールを送付して感染を広めるウイルスで、自らをパスワードで保護されたZIPファイル、もしくはRARファイル形式で添付する。

　また3月16日には、日本ネットワークアソシエイツやトレンドマイクロが、新亜種「Bagle.P」が感染を広めているとして警告を発した（これもシマンテックでは「Beagle.N」、Sophosでは「Bagle-O」とされている）。この亜種も基本的な動きは同じだ。トレンドマイクロによるとBagle.Pは韓国で急速に感染を広めており、日本でもいくつか感染報告が上がっているという。

　Bagleについてはあまりに数が増加したせいか、このようにウイルス対策ベンダーが付ける亜種のアルファベットにずれまで生じてきた。そもそも、定義ファイル更新のタイミングによっては、ウイルス対策ソフトウェアが駆除したとして表示するウイルス亜種の名称にもずれが生じることもある。

　Bagleだけでなく、作者のどうしの抗争が指摘されているNetSkyについても、亜種の登場が続いている。いずれにせよ感染を防ぐためには、こまめにウイルス対策ソフトウェアのアップデートを行うとともに、不用意に電子メールの添付ファイルを開かないよう注意が必要だ。

2004/03/16

背景には作者どうしの抗争？　続出する亜種ウイルス

「Bagle」「NetSky」の亜種が次々と登場している。ユーザーにとって迷惑極まりないこの現象は、ウイルス作者どうしの競争の結果である可能性が高いことを複数の会社が指摘した。

　先週末から今週にかけて、電子メール大量送信型のウイルス「Bagle」「NetSky」「MyDoom」の亜種が続々と登場している。ユーザーにとっては迷惑以外の何者でもないこの現象の背景に、ウイルス作者同士の反目・抗争がある可能性を、複数のウイルス対策ベンダーが指摘している。

　SophosやKaspesky Labsがこれらウイルスを解析したところ、NetSkyのウイルスコードの中にはBagleを罵倒する言葉が、またBagleのコードの中にはNetSkyをののしる言葉がそれぞれ含まれていたことが判明した。

　また、ウイルスそのものの振る舞いとしても、互いに互いを無力化し、排除し合う仕組みが組み込まれているようだ。NetSky.Dは、Bagle.Cが改変したレジストリキーを削除しようとする。またNetSky.Fは、Bagleオリジナルおよび一連の亜種を削除しようと試みるという。

　これらの証拠を元に、ウイルス対策ソフト各社は、ウイルス作者が互いに感染の拡大とコンピュータの乗っ取りを競い合っている可能性を指摘。まん延をゲームとして楽しむ愉快犯なのか、それとも他に悪意ある目的を持っているのかはまだ分からないが、今後、さらに感染力を高めた亜種が登場する可能性は高いとし、警戒を呼びかけている。

　また、一連の動きを踏まえて日本ネットワークアソシエイツでは、今のところ国内のまん延状況はそれほど危険なレベルには達していないと述べながらも、まん延のタイミングに一種の「時差」が生じる可能性もあることから、引き続き注意が必要としている。さらに、これらのウイルスが特に亜種作成が容易な性質だったというよりも、もともと亜種を続々とリリースさせることを狙って書かれた可能性もあると指摘している。

2004/03/04

続出する亜種、英文メールの添付ファイルに注意を

先週末から今週にかけて、電子メールで広がるタイプのウイルス「Bagle」「NetSky」の亜種が続々と登場している。

　先週末から今週にかけて、続々とウイルス「Bagle」「NetSky」の亜種が登場している。また、1月に発生して大規模に感染を広めた「MyDoom」も、亜種登場の勢いは止まらないようだ。

　これまでにも、ウイルスに亜種が登場することはけっして珍しくはなく、むしろ普通のことだった。しかし、わずか数日の間にこれほどの勢いで亜種が登場するのは「記憶にないこと」（トレンドマイクロ）。3月3日夜の時点で、BegleはJまで、NetSkyはEまで、またMyDoomについては亜種Gが確認されている。

　取り立ててこれらのウイルスが亜種を作成しやすい、というわけではなさそうだ。ただ、「オリジナルのウイルスを入手した人々が、続々と亜種が登場するのを見て我も我もと亜種を作成している可能性はある。だが、これらのウイルスに技術的に重なる部分はない」とトレンドマイクロは言う。一方で日本ネットワークアソシエイツは、「ここ数日の状況を見ると、互いに無力化し合う一種の“ゲーム”の様相を示し始めている」と述べ、背景にはウイルス作者どうしの“過熱したCompetition”があるのではないかと推測している。

　これら3タイプのウイルスはいずれも、基本的にはZIPやEXE、COM、あるいはPIXやPIFといった拡張子の付いた添付ファイルの形で感染を広める。また亜種の中には、電子メールに加え、P2Pファイル共有システムを介しても感染しようとするものがある。

　さらに「Bagle.H」「Bagle.I」のように、単なるZIPファイルではなく、パスワードによる保護を施したZIPファイルとして自分自身を添付するタイプも登場している。この場合、ウイルス検出ソフトによるチェックを潜り抜け、ユーザーの手元にまでメールが届いてしまうこともある。なおファイル解凍に必要なパスワードは、メールの本文中に記されているという。

　ただいずれの亜種にしても、最初に届いた電子メール――英文でありがちな「タイトル」「本文」が書かれている――を無視し、添付ファイルさえクリックしなければ、感染することはない。IPAでは、NetSkyの亜種について警戒を呼びかけているが、ここに記されているとおり、「英語の件名で添付ファイル付きのメールは安易に開かない」ことが第一だろう。また、上記のように検出機構をかいくぐるワームが登場しつつあるとはいえ、こまめにウイルス定義ファイルの更新を行っておくことが望ましい。

　ウイルスが作成するメールが英文であるせいか、海外での被害に比して、国内での被害は「3月3日の時点で119件の届出があったNetSky.Dを除けば、それほど目立たない」（トレンドマイクロ）という。ただ、海外での大規模感染から数日遅れて国内でも感染が広まる、というケースも過去にはあったため、引き続き注意が必要だろう。

2004/03/04

ファイルを削除する新MyDoomが登場

先週末、MyDoomの亜種としてファイル削除の機能を備えた「MyDoom.F」が登場したと、セキュリティ専門家が警告している。（ロイター）

　セキュリティ専門家は2月25日、電子メールワーム「MyDoom」の新しい「ファイル削除」版の登場に対して新たな警告を発した。凶暴性をさらに増し、コンピュータユーザーも被害を受ける恐れがあるという。

　今回の新種は「MyDoom.F」と呼ばれ、先週末に出現して以来、勢いを増している。

　このウイルスは、パソコンに感染し、そのパソコンを利用して特定のWebサイトにサービス妨害攻撃と呼ばれる激しいデジタル集中砲火を浴びせるようプログラムされている。攻撃のターゲットとなっているのは、Microsoftおよび全米レコード協会（RIAA）のWebサイト。（2月21日の記事参照）

　セキュリティ会社の報告によれば、これらのサイトは攻撃でダウンすることはなかったものの、2月25日にRIAAのWebサイトへのアクセスに少し障害が起きたという。音楽業界のロビー団体であるRIAAは、昨年、音楽ファイルをオンラインで交換した米国ユーザーを告訴するという手段に出たことで、コンピュータユーザーの反感を買っていた。

　従来のMyDoomや、先週登場した「Netsky.B」と比べると感染速度は劣るものの、今回のMyDoom.Fは感染したコンピュータに保存されているMicrosoftのWordとExcelのファイルのほか、画像や音楽ファイルをランダムに削除するために危険性は高いとみられている。

　フィンランドにあるウイルス対策調査会社F-Secureのマネジャー、ミッコ・ヒポネン氏は、「MyDoom.Fは2月23〜4日ごろから感染ペースを増している。厄介なのは、破壊的なプログラムが組み込まれていることだ。ここしばらく、こういった破壊的なウイルスは影を潜めていたのだが」と話している。

　最近では、ファイルを破壊するコンピュータウイルスはまれだ。この1年でウイルスは、防備の弱いコンピュータを「ゾンビ」マシンに変えてしまい、ウイルス作成者のコマンドを実行させるタイプへと進化した。

　一般に、こうして徴用されたマシンの軍団は、大量のスパムメールを送信したり、特定のWebサイトにデジタル攻撃を仕掛けたりするのに利用される。これらのマシンが、ビタミン剤やポルノなどを販売するWebサイトに変えられてしまうケースもある。

　最初のMyDoomワームは1月に出現し、全世界の何百万台ものコンピュータが感染したことで史上最悪のウイルスとみられた。

　セキュリティ企業各社は今回も、誰が送信者なのかはっきりしない怪しげな電子メールを開いたり、添付ファイルをクリックしないようにと、コンピュータユーザーに注意を呼びかけている。

　今回のMyDoom.Fで送られてくる電子メールには、「Approved」（承認済み）、「Your Credit Card」（あなたのクレジットカード）、「You use illegal File Sharing」（あなたは違法なファイル共有をしています）、「Your IP was logged」（あなたのIPが記録されました）などさまざまなタイトルが付けられている。

2004/02/26

Bagleワームの亜種が登場、添付ファイルの扱いに注意を

1月に登場したワーム「Bagle」の亜種「Bagle.B」が登場、日本時間の2月17日深夜から18日にかけて感染を広め始めた。

　日本時間の2月17日深夜から18日にかけて、新たなメール大量送信型ワーム「Bagle.B」が感染を広め始めた。

　セキュリティサービスを提供している英MessageLabsの情報によると、18日未明の時点で、既に米国、イギリス、ドイツを中心に66カ国で、4万件以上のBagle.Bが検出／駆除されているという（同社の集計にも遅れが出ている模様だ）。これを受けてウイルス対策ベンダー各社は、Bagle.Bの危険度をおおむね「中」と位置付け、対応を進めている。

　幸いにしてITmediaの手元ではまだ確認できていないが、これまでのウイルスのまん延パターンを踏まえると、18日中に国内でも同ワームが感染を広める可能性は高い。特に始業直後などは、不用意に添付ファイルを実行しないよう、十分な注意が必要だ。

　Bagle.Bは名称のとおり、今年1月に登場したワーム「Bagle.A」の亜種だ。感染したPCから拾い出したメールアドレスに対し、自らを添付ファイルの形で送りつけることにより、感染を広めようとする。

　もし添付ファイルをクリックしてしまうと、ワームは当該PCのレジストリを改変するだけでなく、TCP/8886ポートを利用したバックドアを設け、待ち受け状態にする。さらに、複数のWebサイトに対し、定期的にHTTP GETリクエストを送信して、感染したマシンについての情報を提供しようとするという。

　このときウイルスが送りつけるメールのタイトルは「ID <ランダムな6文字>... thanks」、添付ファイル名は「<ランダムな7文字>.exe」になる。MSBlast（Blaster）とは異なり、Windowsのセキュリティホールを悪用するわけではないため、添付ファイルさえクリックしなければ感染の被害には遭わないはずだ。

　ただ例によって、差出人（From欄）は偽造する。たとえ知り合いのメールアドレスから届いたメールであっても、不審な添付ファイルはクリックしないという原則を改めて徹底すべきだろう。また最新のパターンファイルを適用したウイルス対策ソフトの運用、「thanks」などを文字列としたサーバ側でのフィルタリングによっても対応は可能だ。

初期型MyDoom感染マシンに取り憑く「MyDoom.C」が登場

新バージョンのMyDoom.Cは、1月に流行したウイルスに変更を加えたもの。初期型とは異なり、この変種は電子メール、KazaaなどのP2Pネットワークを使って感染するタイプではなく、影響は少ないという。

　インターネットセキュリティ関連企業からの情報によれば、2月9日に、新バージョンのMyDoom電子メールワームがインターネット上にまん延し始めていることがわかった。

　新バージョンのMyDoom.Cは、1月に流行したウイルスに変更を加えたもの。初期型とは異なり、この変種は電子メール、KazaaなどのP2Pネットワークを使って感染するタイプではなく、インターネットにおける影響は少ないと、セキュリティサービスプロバイダーのLURHQでは説明している。

　MyDoom.Cは初期型のMyDoom.Aを改良したもので、オリジナル版の電子メールワームの問題点をフィックスしており、一部のマシンからはwww.sco.comへのDoS攻撃を実行できないという「バグ」を修復している。オリジナルMyDoomでは2004年2月12日にDoS攻撃を中止するという終了日時設定も消去されているとLURHQは述べている。

　また、感染したマシンにバックドアを開くのではなく、新バージョンではワームのオリジナルソースコードを圧縮したファイル形式で配布するという。

　しかし、MyDoom.Cは初期型ウイルスの中で最も危険な機能は削除している。感染マシンがウイルスを含んだ電子メールメッセージを送信するための、非常に効率のよいSMTPエンジンが削除されている。このコンポーネントにより、MyDoomは市場最速で広がったウイルスという悪名を残したとウイルス対策ソフトウェア会社は説明する。

　セキュリティ企業iDefenseのセキュリティアラートによれば、新型のMyDoom.Cでは既にオリジナルMyDoomに感染しているマシンを3127番ポートによって検知し感染しようとする。

　この方法により、MyDoom.Cは既に感染しているといわれる約50万台がベースとなるが、既に感染しているマシン以外に感染することはないだろうとLURHQとiDefenseは述べている。

　MyDoom.Cの作者はトロイの木馬「バックドア」を取り去ったが、このワームのソースコードは含めており、新型ウイルスに感染したマシンには、そのコードが残される。

　最初のMyDoomウイルスとは異なり、MyDoom.CはSCO Groupのウェブサイトへの攻撃は行わない。しかし、MyDoom.Bで始まったMicrosoftのウェブサイトへの攻撃は続けるとLURHQとiDefenseは述べている。

　新しいMyDoom変種は既存のウイルスの除去は行わず、並行して動作すると、LURHQの上級セキュリティ研究員、ジョー・スチュワート氏は説明する。

　2004年2月8日から12日までの間に感染されたマシンは、Microsoftサイトへの同期DoS攻撃をランダムに行うよう設定されている。2月12日以降に感染したマシンはMicrosoftウェブページへの攻撃を継続するようになるとLURHQ。

　iDefenseのアナリストによれば、このワームのコードにはFordのウェブサイトであるwww.ford.comのIPアドレスが含まれている。しかし、Fordが標的となっているかどうかは明確ではない。

　積極的な感染機能を持たないふつうの電子メールワームとなったこと、MyDoom.Aのソースコードが含まれていることから、MyDoomの作者は店を閉め、他のウイルス作者に引き継がせ、より高度なものにしてもらおうと目論んでいるのかもしれない、とLURHQは推測する。

　「この新版でインターネットが震撼するようなことはないと思う」とComputer Associates Internationalの上級セキュリティ担当者、イアン・ハマロフ氏。

　CAの研究員らは新バージョンの脅威はMyDoom.Aとは異なるものだと見ている。2種類のワームの内部コードを比較し、ハマロフ氏は新たな脅威を「DoomJuice」と名付けている。

　新種のワームはMyDoom.AやMyDoom.Bのように拡散する機能は持っていないが、インターネットユーザーに対する脅威とはなっていると同氏は指摘する。

　このワームは既にMyDoomの初期型に感染していないインターネットユーザーにとっては脅威とならないが、MyDoom.Aのソースコードが全世界に拡散することより、インターネットの全体的なセキュリティが深刻な危機に見舞われる可能性があるとスチュワート氏は述べている。

　MyDoomの作者によるコンパイルされていないコードは、経験の少ないウイルス作者にとっては使いでのあるものだと同氏は指摘。

　「そこにはたくさんの素材がそろっている。変更されたSMTPエンジン、拡散アルゴリズム、（MyDoom.Aを）Kazaaに感染を広げている手法、ハードディスクから電子メールアドレスを取得する方法など」と同氏。

　経験の浅いコンピュータプログラマーでも、このコードを利用し、少しだけ変更してリコンパイルすれば、独自バージョンのMyDoomをリリースすることができる、と同氏は指摘する。

　「私が一番心配しているのは、ソースコードが入手可能になったことで、誰がこれを手にし、何をやろうとするかだ。模倣犯が登場するはずだ」とスチュワート氏。

2004/02/10

猛威を振るっている「Mydoom」を簡単に診断・駆除出来るツールが無料配布されています。

新ウイルス「MyDoom」が急拡散

MyDoomは「Mail Delivery System」「Test」「Mail Transaction Failed」など複数の件名で届く。MyDoomは感染したコンピュータに別のプログラムをインストールする機能も持つようだが、ファイルの目的はまだ不明。

　大量メール送信型の新ウイルス「MyDoom」が、電子メールの送信エラーを装ってコンピュータに感染を広げているとして、ウイルス対策各社が1月26日注意を呼び掛けた。

　MyDoomは「Mail Delivery System」「Test」「Mail Transaction Failed」など複数の件名で届く。メール本体には実行可能ファイルが添付され、「The message contains Unicode characters and has been sent as a binary attachment」などのコメントが含まれる。本文の内容は「The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.」など複数のバリエーションがある。

　拡散を始めたのは米太平洋標準時26日午後1時ごろ。ウイルス対策各社は詳しい情報の収集を急いでいる。

　「暗号化されている情報が多く、これを解読しなければならない」と、Symantecセキュリティ対策センターの上級ディレクター、シャロン・ラックマン氏。最初の1時間でSymantecには約40件の報告が寄せられ、これは速いペースだと同氏は言う。

　MyDoomは感染したコンピュータに別のプログラムをインストールする機能も持つようだが、ウイルス対策会社がコードの解析を終えるまで、ファイルの目的は不明だ。このウイルスの拡散は、実行可能ファイルを電子メールから削除するメールシステムで防止できる。

2004/01/27

セキュリティ各社、新種ウイルス「BAGLE」に警報

セキュリティ各社は、「BAGLE」と呼ばれる新種ウイルス情報を発表した。ネットワークアソシエイツ、トレンドマイクロともに危険度は「中」としている。感染の危険のあるコンピュータは、Windows 95／98／Me、Windows NT／2000／XP。

　セキュリティ各社は1月19日、「BAGLE」と呼ばれる新種ウイルス情報を発表した。ネットワークアソシエイツ、トレンドマイクロともに危険度は「中」としている。感染の危険のあるコンピュータは、Windows 95／98／Me、Windows NT／2000／XP。

　BAGLEワームは、電子メールを利用して拡散する。「Hi」という件名で送られ、本文にはランダムな文字列が並ぶ。添付されたファイル（＜ランダム文字列＞.exe）を実行すると、感染マシンからメールアドレスを抽出し、ワーム自身が持つSMTPエンジンを使ってワームを添付した大量のメールを配信する。ただしトレンドマイクロによると、@hotmail.com、@msn.com、@microsoft、@avpの文字列を含むメールアドレスにはメールを送信しないという。

　BAGLEは、Windowsの計算機プログラム（CALC.EXE）を実行し、同時にWINDOWS SYSTEMディレクトリ（%SysDir%）にbbeagle.exeというファイル名で自身をコピー。システムの起動時に自身を読み込むようにレジストリーキーを作成する。同ワームはバックドアを仕込むようになっており、TCPポート6777で待機する。そのため、WINDOWS SYSTEMディレクトリにbbeagle.exeファイルが存在したり、TCPポート6777で待機している場合は、BAGLEに感染している可能性がある。

　セキュリティ各社は、すでにBAGLEに対応したウイルス定義ファイルを提供しており、最新のものに更新するよう呼びかけている。

11月のウイルス、Mimail新亜種登場で悪質化

　電子メールセキュリティサービス企業のMessageLabsが発表した2003年11月の統計によると、同社のウイルス対策サービスが同月検査した3億4570万件以上の電子メールのうち、97.2件に1件（約1％）の割合でウイルス感染メールが検知された。また同社のスパム対策サービスでは、検査した2億7780万件以上のメールのうち、1.8件に1件（55.1％）の割合でスパムを検知したという。

　同社が11月に最も多く検知したのは、前月同様Swenウイルス。Sobig.Fもいまだ3番目に検知数の多いウイルスとなっている。

　11月は検知数の多いワースト10のうち、7位と8位にMimail.EとMimail.Jという、Mimailの新たな亜種が登場した。これらは感染したマシンから情報を盗もうとするウイルスで、MessageLabsでは、この二つのウイルスの登場は、ウイルスや悪質コードを使って個人情報を引き出して金銭的な見返りを得ようとする、ウイルス作成動機悪質化の傾向を示すものだと指摘。個人情報や口座情報の入力要求に安易に応えてはいけないとコンピュータ利用者に注意を呼び掛けている。

MessageLabs発表の11月ウイルスランキング

1. W32/Swen.A-mm
2. W32/Dumaru.A-mm
3. W32/Sobig.F-mm
4. W32/Mimail.C-mm
5. W32/Klez.H-mm
6. W32/Mimail.A-mm
7. W32/Mimail.E-mm
8. W32/Mimail.J-mm
9. W32/Sober.A-mm
10. W32/Yaha.P-mm

2003/12/1

セキュリティ上は必須のMS03-048、適用後にいくつか動作に不具合

マイクロソフトが11月12日に公開したIE用の累積パッチ。このMS03-048の適用によって、かえっていくつか動作に不具合が生じることが明らかになっている。

　マイクロソフトが11月12日に公開したInternet Explorer（IE）用の累積パッチ（MS03-048）を適用すると、動作にいくつか不具合が生じることが明らかになった。

　1つは、かねてより指摘されていたIEのスクロールの問題。画面右側に表示されるスクロールバーの空白部分をクリックすると、本来ならば1画面分スクロールするはずが、2画面分スクロールしてしまう。

　この問題が生じるのはIE 5.01 SP2からIE 6.0 SP1までで、MS03-048を適用した場合だけでなく、この累積パッチに含まれている単体の修正プログラム「Q827667」を適用した場合にも同様の問題が発生する。だがマイクロソフトが示す回避策は、「Page Up」「Page Down」キーや上下矢印キーを用い、キーボード操作によって画面スクロールを行うというもので、今のところ根本的な解決策は提示されていない。

　もう1つの問題は、MS03-048を適用すると、Windows エクスプローラやマイコンピュータに表示される「関連項目」のリンクが機能しなくなるというもの。これらのウィンドウを開いた際に「関連項目」として表示される「デスクトップ」や「マイ ドキュメント」をクリックしても何も起こらなくなる。

　マイクロソフトによるとこの問題が影響するのはWindows 2000上でIE 5.01 SP2〜SP4、IE 5.5 SP2、IE 6.0 SP1を動作させている場合だ。この問題については根本的な解決策はおろか、回避策も示されていない。

　しかしながら、MS03-048を悪用するコードが公開されており、ワームに発展する可能性が指摘されていることも事実。自分および周囲に与える影響を考えるならば、ユーザーにとってははなはだ不本意だろうが、操作の不便さをしのんでパッチを適用するほうが望ましいだろう。

　ただ、マイクロソフトが公開したパッチについては、これまでもパッチの適用によってかえって動作に不具合が生じるケースが何度か報告されてきた。セキュリティ上重要であるならばなおさら、その品質がもっと問われてしかるべきであることは言うまでもない。

Internet Explorerの新セキュリティホールは「極めて危険」

Internet Explorerに「極めて危険」なセキュリティホールが複数発見された。対策は、まだない。（IDG）

　Internet Explorerに発見された「極めて危険」なセキュリティホールのせいで、Microsoftと数千人に上るであろう被害者のクリスマスは台なしになることだろう。

　Techworld誌が調べたところによれば、この欠陥により、悪意のあるコードを隠したWebサイトを訪れたユーザーのコンピュータに、侵入者はあらゆるコードをインストールすることが可能になる。セキュリティ制限をバイパスし、機密情報なども容易に漏洩させることが可能となる。

　Microsoftはこのセキュリティ問題について知らされておらず、その詳細はすでにパブリックドメインに置かれている。つまり、状況は非常に危険なものになっているということだ。セキュリティ会社のSecunia.comによれば、この方法は中国の研究者、リュウ・ディー・ユー氏により一般向けメーリングリストにポストされており、同社は危険度を5段階のうち4としている。

　SecuniaのCTO、トーマス・クリステンセン氏は、Microsoftはセキュリティのアップデートとパッチを月次で行うという新しいポリシーに切り替えたため、このセキュリティ問題に対処できるのは1月以降になるだろうと警告する。

　「Microsoftは完全なパッチをリリースできるよう、時間をたっぷりとる傾向にある。現在彼らが取り組んでいるのは12月分のパッチなので、次は1月まで待つ必要があるだろう。ユーザーにとっては不幸なことだが」と同氏。

　もっとも、Microsoftの広報担当は、問題が重要なものであれば、通常の月次パッチに例外を設けることもあると述べている。ただし、この問題をどの程度深刻に捉えているかについては同社のコメントはなかった。

　一方、クリステンセン氏は複数あると思われるセキュリティホールのうちの一つは、かつて大きな被害をもたらしたNimbdaウイルスと非常に類似しているものだと指摘する。Secuniaのアドバイザリは次のとおり：

• リダイレクション機能が、見知らぬWebサイトにあるファイルの実行を差し止めるはずのExplorerのセキュリティ機能をバイパスしてしまう
• つまり、このセキュリティホールを悪用されると、悪意あるファイルがダウンロードされ、ユーザーのシステム上で実行される可能性がある
• クロスサイトスクリプティングのセキュリティホールにより、ユーザーの保護された「My Computer」エリア（「My Computer」ゾーン）でも同じファイルが実行され、重要な情報が漏洩する可能性がある
• 以前修正された脆弱性も再び悪用される可能性があり、コンピュータに対するコントロールは限定されたものとなる
• 誤ったヘッダーフィールドのために、ユーザーのキャッシュが推測可能となってしまう

マイクロソフトは9月11日、同社OS「Windows」に8月に猛威を振るったBlasterワームと同じような問題を引き起こす可能性がある、RPCの実装に関する3種類のセキュリティホールが存在することを明らかにし、セキュリティ情報「MS03-039:RPCSSサービスのバッファオーバーランによりコードが実行される(824146)」( http://www.microsoft.com/japan/technet/security/bulletin/MS03-039ov.asp )を公開、修正プログラムをリリースしました。

アカウントが期限切れです――管理者を装う新種ウイルス

新型ウイルス「mimail」は、「この電子メールアドレスは期限切れになります。詳しくは添付書類を参照してください」と、ネットワーク管理者を装って感染を広げる。

　ネットワーク管理者からの電子メールを装った大量メール送信型の新種ウイルス「mimail」が8月1日、システムに感染を始めた。

　ウイルス対策ソフトメーカーSymantecによると、このワームは、感染したコンピュータによってスクリプトを実行させるInternet Explorerのセキュリティホールを悪用しようと試みる。その後このスクリプトを使って自分自身を大量送信しようとするため、メールサーバが渋滞したりネットワークの速度が低下する可能性がある。

　このワームが添付されているメールは「your account」の件名で届き、本文には「Hello there, I would like to inform you about important information regarding your e-mail address. This e-mail address will be expiring. Please read attachment for details.」（あなたの電子メールアドレスに関して重要な情報をお知らせします。この電子メールアドレスは期限切れになります。詳しくは添付書類を参照してください）と記されている。

　文末は「Best regards, Administrator」（管理者より）で締めくくられ、「message.zip」という名称のファイルが添付されているが、これが悪質なコードを含んでいる。

　Symantec Security Responseの上級ディレクター、シャロン・ラックマン氏はまた、この大量メール送信コードが、通常は実行可能プログラムを伴わないHTMLファイルの中に含まれていることを指摘、企業にはサーバレベルでこの添付ファイルを削除するか、「your account」の件名のメールを遮断するよう勧めるとしている。

　米太平洋時間午後1時45分現在で、Symantecにはこのワームについて計125件の報告が寄せられており、同社はこの危険度を5段階中の3と評価している。

2003/8/2