トレンドマイクロ
情報提供:トレンドマイクロ(株)
だいぶ沈静化しているものの、まだまだ感染を続けている「WORM_BADTRANS.B」を始め、最近はやりのウイルスの多くが「ワーム」というウイルスの特徴を持っています。今回はワームについて解説します。
ネットワークを徘徊するウイルスの亜種
 |
 | |
|---|---|---|
| ワームの基本的な動きと対処方法 | ||
 |
|---|
| 【人のパーティ写真に興味ある?】 図1 「WORM_MYPARTY.A」は「www.myparty.yahoo.com」というURLを連想させる、パーティ写真に見せかけたウイルスを送付してくる。 |
「コンピュータウイルス」はほかのファイルに感染して被害をもたらすところから付けられた名前ですが、前回解説した「トロイの木馬」のような、単体のプログラムとして動作するものは、厳密にはウイルス「亜種」として位置づけられます。トロイの木馬と同じくらい有名な亜種に、今回解説する「ワーム」があります。
ワームの特徴は、ネットワーク内のありとあらゆるところに入り込み自己増殖を繰り返すところにあります。ウイルスの亜種ということで珍しいものと思われるかもしれませんが、「マトリックス」として有名な「WORM_MTX」をはじめ、「WORM_SIRCAM」「WORM_HYBRIS」「WORM_BADTRANS」、最新の「WORM_MYPARTY」(図1)など、この半年から1年の間に流行したウイルスのほとんどがワームといっても過言ではありません。また、今あげたワームはトロイの木馬としての特徴を持ちます。そして、9.11に流行した「PE_NIMDA」のようにファイル感染型/破壊型でありながら、ワームとしての性質も持ち合わせるものもあります。ウイルスのバリエーションを広げる、ネットワーク時代が生んだウイルスです。
ワームの感染方法と発病の特徴
 |
|---|
| 【開きたくなるファイルが続々】 図2 「WORM_SIRCAM.A」は感染したPCのマイドキュメントから適当にファイルを引っ張り別のユーザーに送信してしまう。 |
ワームがPCに侵入する手段ですが、現在はメールを経由するケースが大勢を占めます。そして、ワーム本体が実行されると活動を開始します。ただし、独立したプログラムなので、普通のウイルスとは異なり、「基本的に」ファイルに感染したり、破壊することはありません。基本的に、というのは、前述の「PE_NIMDA」のように、ファイル感染、トロイの木馬、ワームと複数の症状を備えたウイルスも存在するためです。ちなみに、「PE_NIMDA」はOutlook Expressなどのメーラで表示しただけで発病する「ダイレクトアクション型」の感染方法を持つため、ユーザーが実行しなくても感染してしまう、とてもやっかいなウイルスです。
PCに感染したワームは、そのPCのネットワーク環境で無差別に発病します。具体的には、共有フォルダにワームのコピーを書き込んだり、ワームが添付されたメールをアドレス帳を悪用して送信したりします(図2)。特に「WORM_SIRCAM」は、マイドキュメントフォルダ内の「*.doc」などのファイルを添付して送信するため、全盛期には明らかに「機密書類」なファイルも多く流出していたのは記憶に新しいところです。
ワクチンソフトの重要性
 |
|---|
| 【まずは体験版で自己防衛の第一歩】 画面をクリックすると、トレンドマイクロのウイルスチェックソフト体験版入手サイトに移動します。 |
正直、感染した後で「どうしよう!?」と聞かれても、どうにもできない。このとき感染していたウイルスは「WORM_BADTRANS.B」だったが、とりあえず事なきを得た。
友人は翌日、PCソフト売り場に駆け込んでワクチンソフトを購入したが、「絶対に」感染する前にインストールしておくべきだ。もし感染したウイルスが「WORM_SIRCAM」だったら、自分の秘密にしているファイルを勝手に持ち出されてしまったかもしれないし、ファイルやハードディスクを破壊するウイルスなら、すべてのデータがパーになっていただろう。
比較的インターネットの利用時間が短いその友人でさえ、ウイルスに感染してしまった。試しに体験版でもいいからインストールしておけば、それだけで安心感がぐっと違ってくる。
自分のPCからWORMを閉め出すには?
 |
|---|
| 【メール検索はとにかく有効に】 図3 ウイルスバスター2002の「メール検索」設定。すべての検索機能を有効にすべきだが、とにかくこれだけでも有効にしておこう。 |
インターネットに接続することが当たり前の現在、ワームの侵入を100パーセントブロックする方法は、正味のところ存在しません(もっとも、ワームに限らず、すべてのウイルスに該当する事実ですが)。そこで、受け身的ですが、ワームの侵入に対抗する方法をいくつか紹介します。
まず、一番効果的なのが、ワクチンソフトをインストールすることです。ワクチンソフトをPC上で常駐させておけば、全くの新種でない限り、ほぼ100パーセントワームをブロックできます。ウイルスの実行を防ぐ意味で、常にワクチンソフトのリアルタイム検索を有効にしておきたいところですが、環境によってはワクチンソフトの分、PCの動作が重くなるという場合もあるでしょう。そういう場合は、ウイルスの「メール検索」だけでも有効にしておくべきです(図3)。そうすれば、メール受信時にワクチンソフトが作動し、少なくともメールからの侵入を防ぐことができます。
 |
|---|
| 【パスワードは情報を守る1番の鍵】 図4 パスワードの設定は、本来最低限のセキュリティ。間違ってもパスワードを付箋紙に書き置いてディスプレイに貼り付けたりしないように。 |
次に、PCや共有フォルダにパスワードを設定するようにしましょう。自分のPCの防御は完璧でも、LAN上のほかのPCから感染するケースも十分考えられるからです。Windows 2000/XPでは、ユーザーIDとパスワードを設定しておくことで、共有フォルダだけではなく、PC全体のアクセスを制限することができます。また、特に会社で使うPCには、クラッキングや情報の流出を防ぐ意味でパスワードは必ず設定しておくべきです(図4)。
 |
|---|
| 【TCP/IP以外は使わないようにする】 図5 古い(Windows 3.1)PCが混在する環境ならともかく、現在は不要なネットワークプロトコルは削除してしまおう。 |
また、自分のPCが接続しているLAN環境で「TCP/IP」以外のネットワークプロトコルが使われていないのであれば、不要なプロトコルを削除しておくのもいいかもしれません。今さら「IPX/SPX」や「NetBUEI」に依存したウイルスもないと思いますが、ちょっとした保険にはなります(図5)。
そして、最も重要なのが、知らないファイルを不用意に実行しない、という心がけです。既存のウイルスに対しては完璧なワクチンソフトも、新種のウイルスには対応し切れません。このことはよく覚えておくといいでしょう。
ワームとその亜種たち
- 名称
- 亜種
- タイプ
- 発病条件
- 主な症状
- 具体例
- WORM_MTX.A
- A.DLL/B/C/D
- トロイの木馬型(ワーム型)
- ファイル実行
- メールの自動送信/ハッキング
- BILL_GATES_PIECE.JPG.pifやREADME.TXT.pifやなどのファイル名のウイルスを相手に実行させる。ウイルスを生成するウイルスドロッパー機能を持つ。
- WORM_SIRCAM.A
- B
- トロイの木馬型(ワーム型)
- ファイル実行
- メールの自動送信
- 感染したPCのマイドキュメントフォルダ内にあるWord(*.doc)やExcel(*.xls)のデータファイルを無作為に選び、メールに添付して送信してしまう。
- WORM_HYBRIS.A
- B/DLL/J/M/P33
- トロイの木馬型(ワーム型)
- ファイル実行
- メールの自動送信
- 英語/フランス語/ドイツ語/ポルトガル語のバージョンがあり、それぞれメッセージが異なる。ウイルス本体が暗号化されている上、複数の暗号パターンを持つ。
- WORM_BADTRANS.A
- B/B1
- トロイの木馬型(ワーム型)
- ファイル実行/メール表示
- メールの自動送信
- Aとは比べものにならないほど凶悪な亜種であるBはハッキング機能のほか、ダイレクトアクション型のため、Outlook Expressなどで表示しただけで感染する。
- WORM_MYPARTY.A
- B
- トロイの木馬型(ワーム型)
- ファイル実行
- メールの自動送信
- パーティ写真を装ったプログラムを実行させてウイルスを発病させる。基本的にOutlook Expressとアドレス帳を使っていなければ拡散は起きない。
