 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
「インターネット環境で急速に進化するコンピュータウィルス」
トレンドマイクロ株式会社 |
 1999年辺りからメールを利用して拡散させるタイプのコンピュータウィルスが増加し、2000年にはLove LetterやMTXといった実行したくなるようなメッセージを使い、ユーザーに実行させ拡散させるタイプが増えてきている。また、今年に入ってからHYBRIS.Aといった感染後に姿を変えたりする拡張型のウィルスも出てきており、しかも一度感染するとワクチンソフトで駆除ができないタイプが増えてきている。これらウィルスによる被害状況、各種ウィルスの紹介、また、今後のコンピュータウィルスの動向について、トレンドマイクロ株式会社 ジャパン・テクニカルサポートセンター主任 井高 幸治氏が解説した。
2000年度のウィルス発見届け出件数は1万1109件。その上位順にMTXの2136件、ラブウィルスが1221件と続いている。2000年度年末から被害届け出件数が急激に増えており、一月に2000件を越えている。トレンドマイクロ社の調べで、今年に入ってからの発見のみの件数と感染被害の件数が報告されていた。これを見ると発見するよりも感染被害の方が多いという結果になっている。このことについて井高氏は、アメリカで広まったウィルスがワクチンを作るよりも早く日本へやって来るため対応が遅れるのが原因と指摘。今までのウィルスよりも感染するスピードと範囲が大きくなっているからだと説明した。
近年までのウィルスの形態はファイル感染型やシステム感染型のいわゆる正常なファイルの後ろ等に不正プログラムが付いた物が主なものであった。近年のウィルスはワームと呼ばれる、すべてが不正なコードでできた不正プログラムが主なものとなっている。ワームは自分自信の複製をコピーして増殖する。そして、ネットワークに接続された他のマシンに出現するので、ネットワーク内を這い回るように見えることからワームと名付けられている。このワームの一種にVBS(Visual Basic Script)を利用したものもある。Windowsの各種アプリケーションのコントロールが容易であり、作成や改変が容易である事から一時期大流行していた。
まずはMELISSA(W97M_MELISSA)。このウィルスに感染するとまず、WindowsのWordの設定のマクロ機能を無効にし、マクロ自動検出機能を無効にする。そしてOutlookが起動するときにアドレス帳から最大50件に自分の複製を添付したメールを送信する。そして、感染した日付と同じ数字の時刻(29日に感染した場合、毎時29分)にWord文章を開くとカーソールの位置にメッセージを挿入してくる。このウィルスの問題点はアメリカでは一般的なExchageサーバーとOutlookの構成が挙げられる。この構成により50件以上のメールが送信されてしまう。これによりものすごいスピードでウィルスが広まった。 次にLoveLetter(VBS_LOVELETTER)。MELISSAと動作は同じだが、違うのはVBSで作成されているのでWSH(WindowsScriptingHost)が動作している環境でないと動かないと言う点である。また、VBSで作成されているため改変が容易であり、LoveLetterの亜種として送信メール件数が50件以上に設定されているウィルスもある。
次にHYBRIS(TROJ_HYBRIS.A)。このウィルスもメールを使って増殖していく。このウィルスの特徴はニュースグループに接続したときにプラグインを自動的にダウンロードし、自分自身を拡張していく。また、拡張するときに自分を暗号化して姿形を変えていくので対応が難しくなっている。 次はNAVIDAD(TROJ_NAVIDAD)。このウィルスもメールを使って増殖していく。主な特徴はシステムを改変してEXEファイルが実行できなくなる。Regiedit.exeが起動できなくなる等の困難な状況になる。また、タスクバーに青い目が表示されるのも特徴の一つである。 あとはKALAMAR(VBS_KALAMAR.A)、BADTRANS(TROJ_BADTRANS.A)、VBS_HOMEPAGE.Aと名前と簡単な解説をしていった。どれもメールを使って増殖するタイプである。 ハッキングツールのようなウィルスとしてSADMIND(ELF_SADMIND.A)を紹介していた。これはSlaris系のOSに感染しSolaris上からセキュリティホールのあるIISサーバを探し出しハッキングしてリモートでWebページの改変を行う。ウィルスに感染したマシンが直接被害を被るのではないためワクチンを当てることが難しい。また、Solaris上で動くワクチンソフトが無いためウィルスに感染しないよう常にパッチを当てていくしかないのが現状である。これはSolarisだけではなくLinuxやMacintoshにも言えることであるのも指摘していた。 以上の例から最近のウィルスの特徴は正常な実行ファイルなどに感染するタイプではなく不正プログラムをローカルで実行させ、メールを利用して拡散するタイプが増えている。また、レジストリの改変、Win.iniの改変、プログラムの置き換え等を行うため、感染後はワクチンソフトでは駆除できない状況になっている。また、感染後のウィルスを発見できてもファイルを削除しないといけないため駆除ができない状況になっている。 最後に今後コンピュータウィルスがどのような分野に拡がっていくのかを解説していた。Windows以外のOS、プラットフォームへの浸透。例を挙げるとLinux、Java、ハンドヘルドPC等々。Javaについては携帯電話も視野に入れなくてはならない。電話が直接壊れるのではなく、110へいきなり電話をかけてしまうウィルスやアドレス帳が消去されてしまうウィルス等々が考えられる。また、日本のインターネットインフラにより個人のパソコンへウィルスがもっと拡がっていくことも指摘していた。そして、ウィルスと一緒にハッキングツールも流れていく相互作用的な関係を重視し、トータルで防いでいくことが大切だと強調しセッションを終了した。
|
この他にハッキングツールの形態をとるウィルスも出てきている。ハッキングツールとは悪意のあるハッカーが狙った相手のパソコンをリモートコントロールするために使用するプログラム。通常はトロイの木馬型でこの形態を持つウィルスが現れてきたのである。今回紹介したウィルスは全部で8種類。どのウィルスも特定の環境でないと動作しない物が多い。
次にMTX(PE_MTX.A)。このウィルスもメールを使って増殖していくタイプ。大きな特徴は特定の文字列を含むURLへのネットワークアクセスを妨害する機能を持っている。妨害する対象はメールの送信、Webページの閲覧、ダウンロードである。この特定の文字列とはワクチンソフトのメーカーのアドレス等の一部が検索対象となっている。(例:ndmi,afee,perfectsup*等々)これにより感染したユーザーがワクチンソフトを取得する事が困難になり、その間にワクチンは拡がっていき被害は大きくなっていくのである。また、添付ファイルの名前も常に同じ名前でなく様々な名前があるのも対応を難しくしている原因の一つとなっている。
