トレンドマイクロ
情報提供:トレンドマイクロ(株)
メールを表示しただけで感染するウイルス
![]() |
![]() | |
---|---|---|
ウイルスファイル(Nimda)の構成 | 送られてきたウイルスファイルの内容(一部抜粋) | |
図1、2 【Nimda(PE_NIMDA.A)】 Nimdaは添付ファイルとHTMLファイルで1つの単位。OEの「*.eml」形式形式のファイルを次々に作り出す。感染元のマイドキュメントフォルダ内のファイルを勝手に添付して送信する。 |
一般的に誤解されがちですが、「ウイルス」は実行しなければ感染しません。ウイルスは、PCに感染し異状動作を引き起こしますが、「プログラム」の1種なので、何らかの方法でユーザーが実行しない限り、感染しません(WordやExcelなど特定アプリに依存する「マクロウイルス」は例外です)。
ところが、世界中で猛威を振るった「Nimda」を始めとする、「ダイレクトアクション」型ウイルスは、メールを表示しただけで感染します。しかし、結論から言えば、NimdaはInternet Explorer(以下IE)のセキュリティホールを巧みに突いた、実行型・ファイル感染型のウイルスです。
![]() |
---|
図3 【OEのウイルス対策】 OEのウイルスを防御するための設定。しかし、IEのセキュリティホールのほうがどちらかと言うと大きな問題。 |
IE付属のOutlook Express(以下OE)は、HTMLメールの表示にIEの機能を利用します。NimdaはHTMLメールにウイルス本体を「iframe」タグのソースファイルとして記述しています。IEはそのHTMLの記述に従ってNimdaを実行してしまいます。IEを通して、ユーザーにウイルスを実行させていると考えてください。
見ただけで感染するウイルスには「VBS(Visual Basic Script)」型がすでに存在しますが、今回のNimdaは強力な感染力と破壊力を備えたうえ、アメリカ同時多発テロと同時期に大発生したため、非常に注目を浴びる結果となりました。
よく「OEを使うのが悪い!」という声を耳にしますが、半分正解で半分は不正解です。IEもOEも使用人口が多く、とかくセキュリティ問題が大きく扱われるため、狙われがちですが、実際はOE以外でも、HTMLメールをIEの機能を利用して表示していれば感染します。感染したウイルスは、OEのアドレス帳を利用して拡散させる傾向にあるため、ほかのメールソフトでは、被害が拡散しにくいだけの話です。
では、現実問題として、どうウイルスの侵入を防ぐかとなると、OE以外のメールソフトを使用することが一番です。OEにはウイルスを防ぐオプションがあり、またサービスパックを当てることで、既存のウイルスは防げるかもしれませんが、新手に対して100パーセント安全と言い切れません。もちろん、別のメールソフトを使う場合も、HTMLメールの表示機能はオフにしましょう。また、周りの人にHTMLメールを送信しないようにお願いすれば、自分宛てのHTMLメールを疑ってかかれるため、ウイルスに感染する危険性が減るでしょう。
もちろん、ウイルスが自動的に実行される危険が薄れても、誤って操作しないように、ワクチンソフトは必ずインストールしましょう。もはや、ワクチンソフトは最低限の防御策といっても過言ではありません。
関連(亜種)ウイルス一覧
- 名称
- 対象OS
- タイプ
- サイズ
- 感染方法
- 主な症状の具体例
- PE_NIMDA.A
- Windows
- ファイル感染型
- 57344バイト
- ファイル実行/メールからの自動実行/メールを自動送信する/ファイルを上書きする/ネットワークドライブへのファイルのコピー/IISのセキュリティホールをクラック
- WindowsディレクトリにMMC.EXE、システムディレクトリにLOAD.EXEとRICHED20.DLLを作成(上書き)。RICHED20.DLLに感染した場合、Officeを起動すると感染。
- WORM_BADTRANS.B
- Windows
- トロイの木馬型(ワーム型)
- 29020バイト
- ファイル実行/メールからの自動実行/メールの自動送信/ハッキング
- システムディレクトリにKernel32.exe、cp_25389.nls、kdll.dllを作成。Kdll.dllはシステムに常駐し、キー入力のログをcp_25389.nlsに保存する。
- WORM_ALIZ.A
- Windows
- トロイの木馬型(ワーム型)
- 4096バイト
- ファイル実行/メールからの自動実行/メールの自動送信
- IEのセキュリティホールを突いて感染後大量にメールを配信する。破壊活動は行わない。
![](/img/blank.gif)