■■サーカム・ニムダとそれ以降のウィルス■■
  ホームページを見るだけで感染するニムダ
  10月16日が危ないサーカム



■メール感染のマクロウィルスやワームの基本

最近最も被害が多いのがマクロウィルスと呼ばれる、メールを使って感
染するものです。

このマクロウィルスは、
( 1)メールの本文の他に「添付ファイル」が付いて、送られてくる
( 2)ほとんどの場合、「添付ファイル」を「開く」ことで感染する
    注意:後述のニムダの場合は違うので要注意
( 3)ウィルスに感染すると、自分の知らない間に、同じような
  ウィルスファイルを添付して、勝手にメールを送信する
という、共通した動作をします。

この、ウィルスが添付されたメールを本稿では「ウィルスメール」と
呼んでいます。

通常、ウィルスメールは、タイトルは「無題」もしくは、英語やスペ
イン語など外国語のものになっています。
本文がまったくないもの、あるいは「この間頼まれてたむふふファイルを
添付して送るよ」というような文章が外国語で書かれていたりします。
(日本語のものも数少ないけどあるよあなので、日本語の本文があっても
安心はできません)

添付ファイルは、「xxxxxx.exe」のようなプログラムファイルであったり
「xxxxx.doc」のような「マクロ機能を持つソフトのデータファイル」名
が付けられているのが多いようですが、いろいろな変種があります。



■誰にメールを送るか

これらのマクロウィルスは、従来は感染したパソコンの中の、Outlookなどの
メーラーのアドレス帳にあるメールアドレスを見て、送りつけてきていました。

このため、「知っている人からのメール」でも安心出来ないわけです。
なぜなら、「あなたのメールアドレスを知っている人」、つまり、あなたの
知人がウィルスに感染してしまうと、その人のパソコンから、ウィルス
メールが発信されるからです。

もっとも、最近のウィルス、特に、サーカムやハイブリスなどでは、
メーラーのアドレス帳からだけではなく、次のような方法で見つけた
メールアドレス宛にもウィルスメールを発信します。

通常、ブラウザを使ってインターネットを利用した場合、訪問先の
ホームページのデータは、しばらくの間、パソコンのハードディスクドライブ
に一定期間保存されています。
ウィルスは、この、「一時的に保存されたホームページのデータ」を
探して、その中にある「メールアドレス」にもウィルスメールを発信します。

ホームページを開いている人などは、当然、自分のメールアドレスを
記載しています。あるいは、掲示板などでは、自分のメールアドレスを
明記している人も少なくありません。
これらの情報を元にして、ウィルスメールが発信されるわけです。



■サーカムなど危険なウィルス

ところで、「ウィルスには増殖する以外に、発症してパソコンをグチャグチャ
にするもりもある」と説明しました。

例えば、ハイブリスというウィルスは上記の( 1)〜( 3)、つまり、自分の
複製をいろいろな人に送りつけるだけのようです。

ところが、サーカムというウィルスは、10月16日に、感染した
パソコンのデータを全部消去するといわれています。
また、サーカムは、スパイウェアの働きも持っています。
つまり、メールに添付する「ファイル」は、架空のものではなく、
感染したパソコンに実際に存在するファイルにウィルスプログラム
部分を追加して、添付ファイルとして送りつけていました。
もしあなたのパソコンがサーカムにやられたとして、あなたの
パソコンの中に「政府転覆計画書草案」というような極秘文書が
あったとすると、それを送られてしまうかもしれないのです(笑)。

これまで述べてきたように、ウィルスには、破壊的な働きを隠し持って
いるものが少なくありませんから要注意です。



■驚異的な感染力を持ったニムダ?

9月16日に発見されたニムダは、驚異的な繁殖力を持つことで
恐れられました。
しかし、その感染方法はまったく新しいものではなく、既知のもので
した。しかし、普通、ウィルスの感染方法は1つしかないのですが、
ニムダは4つの感染手段を持つため、あっというまに、広がりました。

しかし、それ以上に、一般の個人ユーザーにとっては、これまでの
常識を覆すものでした。

これまでは、
◆インターネットのホームページを見に行って、何かのプログラムを
 ダウンロードして実行する、というような動作をしない限りは、
 ウィルスに感染する危険性はない
◆ウィルス添付メール付きメールが来ても、その添付ファイルを
 開かない限り、本文を見るだけでは感染しない
とされてきました。

ところが、状況によっては、上記のような「感染しない」はずの
場合でも感染したのです



■ホームページを見るだけで感染する仕組み

通常、インターネットのホームページは、「html言語」といわれる
一種のプログラムによって記述されています(タグ講座参照)。
しかし、この言語は、あくまで「どういう表示をしろ」という、
「命令語」だけで、その「命令語を解釈して実行する」のは、あなた
のパソコンにあるソフトウェアです(このソフトウェアがブラウザです)。
このため、「実行するプログラムは、あくまでパソコン側にある」ため
「ウィルスに感染したプログラムをパソコンで実行させる」ことには
当たりません。

ところが、この「html言語」だけでは、表現できる範囲が狭いため、
「ホームページ側からプログラムをパソコンに送り込んで実行させる」
ことで、より、多彩な表現をしようという機能が追加されました。
これが、Javaスクリプトとか、ActivXと呼ばれる一種のプログラム
です。

使い方によっては、便利なのですが、考えてみればわかるように、
ホームページの主催者に悪意があれば、何でもできる危険性があります。
このため、これらの機能を使うためには、「悪意のある行為が出来ない
ようなセキュリティ」が不可欠だったのです。
ところが、このセキュリティに穴があったため、
「ニムダに感染したサーバーにあるホームページ」を覗いただけで、
ニムダに感染してしまうのです。
(ほとんどの個人のホームページの場合、それが置かれているサーバー
は借り物なので、主催者には、サーバーが汚染されているかどうかは
わかりません)



■メールの本文を見るだけで感染する<ニムダ

これも、Outlookの「余計なお節介機能」を悪用した手段です。

実は、私はOutlookなんて危険なものを使っていないのでよくしりませんが(笑、ごめ、無責任)
どうも、「快適に操作」をするために、メールの本文を開けただけで
添付ファイルまで自動的に開けてしまうようなのです。
このため、ユーザーが操作しなくても、添付ファイルを開けてしまう
ようなのです。

私の持論なのですが、いろいろな「便利な自動機能」は大変結構なこ
となのですが、初期値、つまり、購入時には、便利な自動機能は、
基本的に「オフ」になっていて、その昨日がわかった人が、
「自分の意志で機能をオンにする」べきだと思うのですが・・・。



■ニムダへの対処

幸い上記の問題点をカバーした新しいバージョンのIEが
発表されていて、無料でダウンロード出来ます。
(もっとも、このダウンロードの仕方自体が、ニムダと同じように
「ユーザが意識した操作」を出来ないようにしているのですが・・・)

Windows98,ME系の人でIE5.5、Windows2000系の人でIE5.01の人は、

SP2へのバージョンアップ操作手順

で、バージョンを確かめた上で、SP2にバージョンアップしてください。