|  |
ウイルス対策はこれでカンペキ! 第9回 KLEZ その1
明日のためのウイルス講座
トレンドマイクロ
|
 アスキー PC Explorer
2003年4月20日
イラスト:広田正康
情報提供:トレンドマイクロ(株)
|
ウイルスは流感のようなもので、一時的にバーっと広まるものが多いのですが、長期間流行し続けるものも存在します。今回は現在のウイルスを代表する「KLEZ」について解説します。
有名ウイルスに亜種はつきもの
 |
KLEZとその亜種、および従来のウイルスとの違い。 |
ウイルスが流行するのは、ワクチンソフトをインストールしていないユーザーが多いからというのが定説ですが、完璧なセキュリティ状態であっても、未知のウイルスを検疫できず、感染してしまうということはよくある話です。これは、裏を返せば「ワクチンソフトが対応してしまえばウイルスは爆発的には伝染しなくなる」ということなのですが、1年2年と経過しても、いまだに被害報告のあるウイルスというのが存在します。ワクチンソフトをインストールしていないというのは問題外として、その原因の鍵をとくキーワードが「亜種」です。
ウイルスの名前をよくチェックすると「PE_NIMDA.A」のようになっています(ワクチンベンダーによって表記は異なります)。最後についている「.A」がウイルスの「バージョン」を表します。この部分が「.B」「.C」となっていくのがウイルスの「亜種」です。
 |
亜種の広がり。末尾に.Aや.B、.Dなど、バージョンを示す記号がついている。 |
最新のウイルスの症状を併せ持つ
KLEZ
亜種は、おおもとのウイルスとほぼ同じ症状を持ちつつ、感染方法や引き起こす被害が微妙に違うものです。亜種は基本的には「新しいウイルス」のため、困ったことにワクチンソフトが対応するまでは感染と伝染が行われてしまいます。発生から時間が経過しているのに感染報告が続くウイルスは例外なく亜種が存在するものです。
そんな亜種の多いウイルスで、現在最も世間を騒がせているのが、「WORM_KLEZ」です。発見されたのはアメリカ同時多発テロのあった、2001年9月から10月あたりと言われ、現在亜種は「WORM_KLEZ.I」まで発見されています。
「WORM_KLEZ」はワーム型のウイルスで、感染した環境からウイルスの添付されたメールを送信したり、ネットワーク上の共有フォルダにコピーを大量に書き込んだりします。しかも、メールを送信する際に必ずしも感染者の名前でメールを送信しないため、感染源がわかりにくいという特徴があります。「WORM_KLEZ」はメールを表示するだけで感染する「ダイレクトアクション」タイプのため、Outlook Express(以下OE)など、Internet Explorer(以下IE)のHTML表示機能を利用するメールソフトでは特に注意が必要になります。また、「PE_ELKERN」という別種のウイルスを生成する「ウイルスドロッパー」機能も併せ持つという、至れり尽くせり(?)な多機能ウイルスです。
なお、上記の症状はすべての亜種に共通するものです。
友だちをなくしてしまうウイルス?
日本に限った話ではありませんが、メールソフトにWindows標準のOEを使用する人は非常に多いのですが、セキュリティホールやパッチに気を配っている人は多くありません。そのため、感染力/伝染力の強い「WORM_KLEZ」の宿主となってしまい、ほかの人にばら撒いてしまいます。とはいえ、それだけなら「PE_NIMDA.A」などと同じ程度なので、別段特別なウイルスではないはずなのですが、「WORM_KLEZ」は通称「友だちをなくすウイルス」などとも呼ばれています。
これは、「WORM_KLEZ」のメールの送信方法が特殊なためです。感染した環境のアドレス帳を悪用するのは同じなのですが、送信者を偽る場合があるのです。「たいしたことないじゃない?」と思われるかもしれませんが、ウイルスに感染していない人を「感染したことにして」メールを送りつけるわけですから、受け取った側は当然送りつけてきたはずの相手に対して「感染しているぞ」とメールを送ります。そこで感染している、いやしていないとひと悶着が起こることがあるわけです。
もし、本当に感染していても、「WORM_KLEZ」はOEのメールボックスに送信履歴を残さないため、やはり感染者にしてみれば「俺じゃないよ」ということになってしまいます。
「WORM_KLEZ」を
水際で防ぐには
 |
【Windows Updateは毎日チェック!】 Windowsは新しいセキュリティホールが次々見つかるため、標準状態で使うのはご法度。毎日でもWindows Updateにアクセスする習慣をつけよう。 |
さて、この悪質な「WORM_KLEZ」を防ぐ方法ですが、OEを使わずメールソフトを変えるというのが最善の策です。もっとも、IEの機能を使うメールソフト(Becky!など)でHTMLメールを表示すればOEと同じ結果になるので、この点には注意が必要です。
もしOEを使い続けるのであれば、適切なセキュリティパッチを「Windows Update」で当て、OEのプレビュー機能をオフにすることが必要になります。とりあえず、これで「WORM_KLEZ」を含むダイレクトアクションタイプのウイルスは防ぐことができます。ちなみに、ワクチンソフトを導入して「メール検索」をオンにしておけば、受信中にウイルスチェックをしてくれるので、PCに保存してしまう心配もなくなります。
 |
プレビューに関する項目が薄く消されており、設定を変更できないようになっていることがわかる。 |
|
 |
セキュリティパッチによってOEのプレビュー機能を制限しよう。パッチが当たったかどうかのチェックは「表示」→「レイアウト」で確認できる。 |
|
【プレビューできなくなったOE】 |
もう1つ、ほかのユーザーから送りつけられてきた場合の対処法です。前記した送りつけてきたユーザーに警告を出す行為ですが、これはあえて行ってください。ひょっとしたら送信者にさせられている相手は感染していないかもしれませんが、ヘッダを偽るウイルスですので、100%の保証はどこにもないからです。また、かなり高い確率で、感染している本当のユーザーのメールアドレスが「Reply-To」というメールヘッダの情報に書き込まれています。このユーザーにも警告メールを送ってあげるといいでしょう。
次回は亜種ごとの症状の違いや、ウイルスドロッパー機能で生成される「PE_ELKERN」について解説します。
結論
ウイルスメールの送信者にはとりあえず警告メールを送ろう!
|
(アスキー PC Explorer編集部・田代 靖裕)
| ![ASCII24 Review - [Main Menu]](/images/2005/review_menu_01.gif)
![[Menu 2]](/images/2005/review_menu_02_blogmag.gif)
Contact Information![[PR]](/images/2003/pr_icon.gif){kind=icon}
