現在地 HOME > 掲示板 > IT4 > 929.html ★阿修羅♪ |
|
Tweet |
[2004/02/04]
猛威を振るう「Mydoom」ウイルス,その“手口”を解説する【IT_Pro記事】
http://itpro.nikkeibp.co.jp/members/ITPro/SEC_CHECK/20040203/1/
実在するサーバーからエラー・メールとして送られる,英語圏以外にも感染拡大
今週のSecurity Check [Windows編] (第111回,2004年2月4日)
1月27日以降,国内においても「Mydoom」ウイルスが猛威を振るっている(関連記事)。
Mydoomには,ユーザーをだます“工夫”が凝らされている。そのため,これほどまでに感染を広げていると考えられる。より悪質な変種「Mydoom.B」も出現している。そこで今回の記事では,Mydoomの詳細について解説する。
より悪質な変種も出現
Mydoomはメールで感染を広げるウイルス(ワーム)である。メールに添付されて送られてくるMydoomを実行すると,Mydoomを添付したメールを大量に送信するとともに,2004年2月1〜12日に米SCO GroupのWebサイト「www.sco.com」にDDoS(分散サービス妨害)攻撃を仕掛ける(関連記事)。
Mydoomが出現して数日後には,より悪質な変種「Mydoom.B」が出現している(関連記事)。オリジナルのMydoomが出現した際には,アンチウイルス・ベンダーによって呼び名が異なっていた。例えば,シマンテックでは「Novarg」,トレンドマイクロは「MIMAIL.R」と呼んでいた。だが,変種が出現してからは,Mydoomという呼び名でほぼ統一されている。
Mydoom.Bは,「www.sco.com」だけではなく,米MicrosoftのWebサイト「microsoft.com」も攻撃対象にしている。そればかりではなく,オリジナルのMydoomにはない“機能”をいくつか備える。
まず,Mydoomに感染しているパソコンを見つけると,MydoomをMydoom.Bにアップデートする機能を持つ。Mydoom.Bは,ランダムに選択したIPアドレスに特定のパケットを送信し,Mydoomに感染しているパソコンを探す。見つけると,Mydoomが仕掛けたバックドア(ポート 3127番で外部からの接続を待っている)に接続し,MydoomをMydoom.Bに書き換える。次回そのパソコンを立ち上げると,Mydoom.Bが起動されることになる。
また,Mydoom.Bは,感染したパソコンの「hosts」ファイルを書き換えて,アンチウイルス・ベンダーやMicrosoftのサイトにアクセスできないようにする。ユーザーに情報を入手させないようにするためだ。マイクロソフトは,Mydoomに感染した際の復旧方法などを記載した「Mydoom に関する情報」を公開している。しかしながら,感染したパソコンからは同社のサイトにはアクセスできなくなる。
ただし,Mydoom.Bが感染しても,JPドメインのサイトへはアクセスできる。Mydoom.Bが内部的に持つ,アクセス不能にするサイトのリストに,JPドメインのサイトは含まれていない。そこで,万一感染した場合には,JPドメインのサイトから,情報や駆除(復旧)用ツールを入手すればよい。例えば,シマンテックの「W32.Novarg.A@mm / W32.Mydoom.B@mm 駆除ツール」や,トレンドマイクロの「トレンドマイクロ ダメージクリーンナップサービス」などへは,感染した後でもアクセスできる。
日本ネットワークアソシエイツも「AVERTウイルス駆除ツール」という駆除ツールを公開しているが,そのページはMydoom.Bがアクセスできないようにする「www.nai.com」の下にあるため,残念ながらアクセスできない。
なお,Mydoom.Bが実行されたときのシステムの日付が「UTC(universal time coordinated:協定世界時)2月3日」以降の場合には,www.microsoft.comをアクセス不能にはしないという(2月3日以前にMydoom.Bが実行されてwww.microsoft.comがアクセス不能になっている場合には,アクセスできるようにhostsファイルを再び改変するという情報もある)。これは,www.microsoft.comへDDoS攻撃を仕掛けられるようにするためだと考えられる。
エラー・メールに見せかける
原稿執筆時点(2月1日)でも,Mydoomとその変種は沈静化していない。一部では,インターネット史上最悪の感染状況であり,過去に出現した「SoBig.F」ウイルスをはるかに上回ると言われている(関連記事)。
Mydoom(およびその変種)には,セキュリティ・ホールを突く“機能”はない。2001年に出現した「Nimda」や,2002年以降まん延している「Klez」などとは異なり,メールの本文を読んだりプレビューしたりするだけで動き出すことはない。メールに添付されたMydoomを実行しない限り,感染することはない。
それにもかかわらず,なぜこのように猛威を振るっているのか。それは,Mydoomにはユーザーをだます工夫が凝らされているからだ。ソーシャル・エンジニアリングのテクニックを駆使していると言えよう。
まず,Mydoomは,自分が添付されているメールを,送信エラー・メッセージなどに見せかける場合がある(関連記事)。具体的には,メールの件名を「Server Report」「Mail Delivery System」「Mail Transaction Failed 」「Error」「Returned mail」「Delivery Error」――などとする場合がある。本文についても,「Mail transaction failed. Partial message is available. Test, yep. 」「Mail transaction failed. Partial message is available. 」「sendmail daemon reported: Error #804 occured during SMTP session. Partial message has been received. 」――などとする場合がある。
エラー・メッセージなどに見せかける手法は比較的目新しい。このため,警戒せずに添付ファイルをクリックしてしまい,被害に遭ったユーザーは少なくないだろう。
実際のエラー・メールとして送り付ける
Mydoomは,感染したパソコンのWindowsアドレス帳などからメール・アドレスを抽出し,送信先および送信元アドレスに使用する。このとき使われる送信元アドレスは,ほとんどの場合,感染したパソコン・ユーザーのアドレスではないので,送信元が偽装されることになる。
このようなメカニズムは,メールで感染を広げるウイルスの常とう手段であり,目新しいものではない。しかし,Mydoomは“もう一工夫”している。抽出したアドレスをそのまま使う場合もあれば,ランダムに作成したアドレスを使う場合もあるのだ。抽出したアドレスのドメイン名はそのままで,ユーザー名だけをランダムなものに変更する場合もある。ドメイン名の先頭に,メール・サーバーに見えるような特定の文字列(例えば,「smtp01」や「list」など)を追加する場合もある。
なぜ実在しないメール・アドレスを使用するのか。それは,Mydoomが本物のエラー・メールに添付されて送られるようにするためだ。送信元(From)アドレスに実在するアドレス,送信先(To)アドレスに実在しないユーザーのアドレスが使われた場合には,Toアドレスの組織のメール・サーバーから,FromアドレスのユーザーへMydoomが添付されたエラー・メールが送信されることになる。エラー・メールに見せかけたメールではなく,本物のエラー・メールに添付されて送られてくるのだ。
国内のメール・サーバーの多くは,エラー・メールに英語のメッセージだけではなく,「あて先に対して配信できませんでした」といった日本語メッセージを付加する。ウイルスに注意しているユーザーでも,実在する組織のメール・サーバーから,日本語の本文でエラー・メールが送られてきたら,警戒心を緩めてつい添付ファイルを開いてしまうだろう。
この手法は,日本国内だけではなく,英語圏以外の国すべてに有効だ。従来,ウイルス添付メールの本文は,ウイルス自身が実装する必要があった。このため,ウイルスの感染範囲が特定の言語圏――ほとんどの場合,英語圏――に限定される場合が多かった。実在するメール・サーバーを利用するMydoomの手法は,言語の壁を越えて感染を広げられるのだ。Mydoomのまん延は,この手法の“有効性”を示した。今後,同様のウイルスが出現する可能性は高いので,実在する組織が送ってくるエラー・メールにも注意する必要がある。
なお,Mydoomが使った送信先アドレスが実在する場合でも,エラー・メールとしてウイルス添付メールが送られてくる場合もあるので要注意だ。実際,筆者はそのようなメールを受け取った。メールの送信元アドレスには筆者のアドレスが使われていた。送信先のメール・アドレスは存在するものの「送信先のサーバー・メール・ボックスが一杯でお届けできませんでした」というメッセージが書かれた,Mydoomを添付したエラー・メールが送られてきた。多分,ウイルス作者は意図していないと思われるが,このような形でMydoomが送られてくることもある。
Mydoomでは,実在しないアドレスが送信先アドレスに使われるとは限らない。送信元アドレスとして使われる場合もある。実在するアドレスが送信先アドレスに使われる場合もある。このため,Mydoom添付メールのすべてがエラー・メールとして送られてくるわけではない。今後は,必ずエラー・メールとして送られてくるウイルス――送信元アドレスに実在するアドレス,送信先アドレスに実在しないアドレスを必ず使うウイルス――が出現する可能性は高い。十分注意したい。「From」の偽装は今や常識
Mydoomに限らず,送信元(From)アドレスを偽装するのは,ウイルスにとってもはや一般的である。にもかからず,送信元アドレスを信用するユーザーは多い。ユーザーばかりではない。送信元アドレスへ警告メールを送り返すようにゲートウエイ型ウイルス対策ソフトを設定している組織も多い。こういった組織はセキュリティに対する“センス”を疑われる。ぜひ見直してほしい。
ゲートウエイ型ウイルス対策ソフトを利用すれば,組織に送られてきたメール(および組織内から送られるメール)のウイルス・チェックを一括して行える。有用なソフトだが,問題はウイルス・メールが送られてきた場合の対処である。ウイルス・メールに記載されている送信元アドレスは信用できない。にもかかわらず,ウイルスが添付されていると,そのメールの送信元アドレスに,警告メールを自動的に送る設定にしている組織がいまだに存在する。
無駄なトラフィックを発生させるだけではなく,ほとんどの場合,濡れ衣を着せていることになる。思わぬトラブルに発展する恐れもある。現状では「百害あって一理なし」なので,このような設定は止めるべきだ。
筆者としては下記のような設定をお勧めしたい。
(1)組織へ送られてきたメールにウイルスが含まれる場合には,送信元(From)のメール・アドレスには何のアクションも取らない。
(2)組織へ送られてきたメールにウイルスが含まれる場合には,送信先(To)のメール・アドレスにウイルスを取り除いたメールを送信する。このとき,メールには
ウイルスを取り除いたことを伝えるメッセージを追加する
(3)組織内から送られるメールにウイルスが含まれる場合には,送信先(To)のメール・アドレスには何のアクションも取らない。
(4)組織内から送られるメールにウイルスが含まれる場合には,送信元(From)のメール・アドレスにウイルスを取り除いた警告メールを送信する。
(2)と(4)については異論があるかもしれない。メールを送る必要はないという意見
もあるだろう。しかし,組織内においては,ユーザーができるだけ情報を入手で
きるようにしたほうが,ウイルス対策に有用だと筆者は考える。
拡張子でフィルタリングする
メールを使った新種ウイルスが次から次へと出現している現状では,特定の拡張子を持つ添付ファイルをゲートウエイでフィルタリングすることも,ウイルス対策としてはとても有効である。もちろん,支障が出る恐れがあるので,事前にユーザーへ告知することなどが不可欠だ。
フィルタリングすべきファイルの拡張子については,「マイクロソフト サポート技術情報 - 262631 [OL2000] Outlook 2000 電子メール セキュリティ アップデートに関する情報」などに記述されているので参考にしてもらいたい。
例えば, Mydoomが使用した「pif(MS-DOS プログラムへのショートカット)」「scr(スクリーン・セーバー)」「exe(プログラム)」「cmd(Windows コマンド・スクリプト)」「bat(MS-DOS バッチ・ファイル)」などは,上記の情報では「安全ではない」とされている。Mydoomのように,アーカイブ・ファイル(例えば,zip)にウイルスが含められる場合も多い。アーカイブ・ファイルもフィルタリングの対象として考慮してもよいだろう。
今回の記事では,Mydoomについて解説した。上記以外のWindows関連セキュリティ・トピックス(2004年2月1日時点分)については,各プロダクトごとにまとめた記事末のリンクを参照してほしい。IT Proでも関連記事をいくつか掲載しているので参考にしてほしい。特に,以下の過去記事は重要なので,未読の方はぜひチェックしていただきたい。
◎IT Pro過去記事
■『IEに,ダウンロードするファイル名を偽装されるセキュリティ・ホール』
■『Windows XPにセキュリティ・ホール,危険なファイルをフォルダに見せかけられる』
■『米MS,“URLの偽装問題”対策としてIEの仕様を変更するパッチを提供予定』
■『適用したはずのパッチがWindows Updateに表示されるトラブル』
『Data Access Components 2.5/2.6/2.7/2.8』
◆MDAC 機能のバッファ オーバーランにより,コードが実行される (832483)(MS04-003)
(2004年01月21日:パッチ適用に関する補足情報が追加)
(2004年 1月14日:ダウンロード・サイトを日本サイトに変更)
(2004年 1月14日:インストーラが英語版でも問題ないことを追加)
(2004年 1月14日:日本語情報および日本語版パッチ公開,最大深刻度 : 重要)
◆Windows Update に接続すると 「Microsoft Data Access Components 用セキュリティ
問題の修正プログラム (KB832483)」 が何度も表示される
◆Mydoom に関する情報
◆Bagle に関する情報
◆新しいパソコン購入者やリカバリを予定しているユーザーへ,セキュリティ対策のお願
い
◆日本語版 Microsoft Baseline Security Analyzer 1.2 早期提供のお知らせと利用上の注意点