|
セキュリティ専門家が3月30日に発表したところによると、同ウイルスはまだ広範な被害はおよぼしていないものの、いくつかの点で注意が必要であるという。
|
|
| 不正な「IE 7」ベータ版のダウンロードを促すフィッシング・メール |
第1に、問題の電子メールは、いかにもMicrosoftが送ってきたように工夫された真に迫る画像で偽装されていること。第2に、ウイルスは、受信者が添付ファイルではなくメッセージ内のリンクをクリックすることで感染するようになっていること。こうした手法が用いられると、不正な電子メールが受信箱に届くのを防ぐことがより困難になる。
F-Secureの最高リサーチ責任者であるミコ・ヒッポネン氏は、「攻撃者の間では、悪質なリンクを送りつけるやり方が流行っている。これはごく最近使われるようになった手法だが、ファイルを送信するよりも成功率がはるかに高い」と警告する。
問題の電子メールには、「Internet Explorer 7 Downloads」という件名がつけられ、「admin@microsoft.com」から送信されたように偽装されている。Microsoftが好んで用いる青を基調とした画像がIE 7のベータ2をダウンロードするアイコンとして表示され、この画像をクリックすると、「IE 7.exe」という実行ファイルがダウンロードされる仕組みだ。
実際には、このファイルは「Virus.Win32.Grum.A」と呼ばれる新手のウイルスである。3月30日の時点では、セキュリティ専門家による同ウイルスの挙動の解明がまだ続けられていた。
Sophosの上級技術コンサルタントであるグラハム・クルーリー氏によれば、同ウイルスはユーザーのアドレス帳に登録されている連絡先に自身を電子メールで送付し、拡散を試みる。また、レジストリ・ファイルを改竄して自身を確実にインストールさせ、インターネットから残りのファイルをダウンロードしようとするという。
その他の詳細はまだ不明だが、こうしたウイルスはマシンにキーロガーを仕掛けて個人情報を盗んだり、感染コンピュータのネットワークを構築してサービス拒否攻撃をもくろんだりすることがよくあると、同氏は指摘している。
「このウイルスがどこからやって来るのか、まだ何もわかっていない。いずれにしても、非常によくできたウイルスで、一般的なツールでは解析がきわめて困難だ」(ヒッポネン氏)
F-Secureは、問題の電子メールに関する報告は多数寄せられているが、ウイルスそのものが提出されたケースはまだほとんどなく、今のところ実質的な被害は小さいようだと分析している。Sophosのクルーリー氏もF-Secureの見解に同意したうえで、「同ウイルスが脅威であることに変わりはないが、今年発見された最大級のものの1つというほどではない」と説明する。
サンベルト・ソフトウェアによると、3月29日にウイルス対策プログラムが検知したWin32.Grumの数は「それほど多くはなかった」という。F-Secureのヒッポネン氏も、一部の大手ベンダーでは、30日朝になっても同ウイルスの存在を確認していなかったと述べている。
F-SecureおよびSophosはすでに同ウイルスを遮断しており、ほかの大手ベンダーもまもなく対応すると思われる。30日朝の時点では、まだいくつかの電子メール・フィルタリング・システムが同ウイルスの侵入を阻止できない状態にあった。
同ウイルスは、世界各地に設置された複数のサーバによってホスティングされているため、それを特定し、排除するのに時間がかかっている。ヒッポネン氏は、不正メールをホスティングするサーバについて、クラッキングされたWebサーバであると見ている。
SANSのインターネット・ストームセンターは、サーバのログをチェックし、問題のファイルをホスティングしていないかどうか確かめるよう、管理者に呼びかけている。
同ウイルスは、Windowsユーザーにのみに影響を与える。Microsoftの広報担当者は、「われわれは今回の問題を認識しており、ユーザーへの影響を含めて事実関係を調査している」との声明を電子メールで発表した。
IE 7の最終版は2006年10月にリリースされているため、Microsoftが同製品のベータ版を今さら宣伝することはあり得ない。本物のIE 7は、MicrosoftのInternet Explorer用ホームページからダウンロードできる。
(ジェームズ・ニコライ/IDG News Service パリ支局)
![[RSS]](http://static.sourceforge.jp/ic/feed-14x14.png "News RSS"){kind=small}