のフリー素材です。
| 私、キューピー/DIANAがコンピューター・ウィルス対策に本格的に目覚めたのは、2001年の1月、ちょうど今から2年前になります。その頃は「トロイの木馬」と呼ばれるパターンの、メールで感染を広げていくタイプのウィルスが流行っていました。 私のところにも、毎日のようにウィルス・メールが届き、ウンザリしていたのですが、偶然「メールのヘッダ情報を見れば、プロヴァイダ側で発信者を特定できる」ことを知り、それからはウィルスメールが届くたびにヘッダをチェックし、プロヴァイダを割り出してはヘッダ情報を書き添えてプロヴァイダ側から発信者(=ウィルスに感染したパソコンを使っている人)にウィルス駆除の指導をしてもらうようにお願いしていました。 それから日は流れ、悲しいことにウィルスも進歩を遂げました。今は、下手にメールヘッダをチェックしようものなら、感染の罠に落ち込みかねない状況です。ここでは、これまで私なりに学んだことを、あなたのウィルス対策の一助になって欲しいとの願いを込めて、報告します。 2003年1月14日 キューピー/DIANA |
| 1.やっぱりこれがなくちゃ!ウィルス対策ソフト 私のパソコンに入っているウィルス対策ソフトは「ノートンアンチウィルス2003(シマンテック社)」、常時接続の環境になると同時に導入し、バージョンアップをして今に至っています。毎日、ウィルスがついたメールが届くたびに「警告」を表示してくれて、おかげで感染する前に検疫できています。また、定期的にパソコンのウィルススキャンを実行し、ウィルス定義ファイルの更新前に感染したことがないかどうか、チェックしてくれています。さらに、いつもシマンテック社のサイトに接続して更新情報があれば、自動的にウィルス定義ファイルを更新しています。 ウィルスメールを防ぐだけではありません。私はこれまでに3度、インターネット上に仕掛けられていたウィルスに感染し、その都度、アンチウィルスが警告を発し、即座に駆除することができました。こうした経験から、インターネットに接続している環境では、ウィルス対策ソフトが欠かせない、と思っています。 ウィルス対策ソフトもオールマイティではありません。メーカーが開発する新しいワクチン(ウィルス定義情報)を手に入れなければ、次々に現れる新しいウィルスからパソコンを守ることができませんし、ウィルスが発見されてからメーカーがワクチンを開発するまでの間に感染する危険はあります。このため、ウィルス対策ソフトは常にウィルス定義情報を更新し、定期的なウィルススキャンに心がけてください。 次は、私自身が実際に、新種ウィルスに対するワクチンの開発前にウィルスメールを受信してしまった顛末と、それから感じたことを述べます。 2.穴を塞げ!〜セキュリティホール 2001年11月27日朝、私の使っているメールソフト Outlook が、1通のメールを受信すると同時に、奇妙な動きをしました。Outlook は受信メールリストと同時に、最新受信メールの内容を「プレビュー」画面に表示する機能がついていて、これは任意にオンオフできますが、普通はデフォルトのオンにしている人が多いと思います。私もオンにしていました。このプレビュー画面に「指定されたアドレスに接続できませんでした」という趣旨のメッセージが表示されたのです。 自分はどこにも接続しようとはしなかった、考えられるのはメールの中に何らかのコードが潜んでいて、勝手にアクセスしようとした、ということだ、と直感しウィルスメールだろうと考えました。それも、アンチウィルスが警告を発しなかったことから、新種のウィルスだろうと。 そのメールの正体が明らかになったのは、同じ日の午後2時過ぎのこと。トレンドマイクロ社のサイトに「W32/Badtrans.B」の情報が掲載されているが見つかり、私が受け取ったメールの特徴(件名が「Re:」のみ/メールをプレビュー しただけで活動を開始/添付ファイル付き)と合致したため、これだ、と判りました。それと同時に、私のパソコンが感染を免れていることも確かめられました。 W32/Badtrans.B は、次の二つの方法で感染してます。 (1)メールについている添付ファイルを開く。 (2)Outlook で受信したメールをプレビューしてしまう。 私は、メール本文に添付ファイルが何であるのか説明されていない限り、知り合いからのメールであっても添付ファイルは開かない主義です。また、(2)で感染するのは、マイクロソフト社のインターネットブラウザ、Internet Explorer の5.0、5.5に共通して存在するセキュリティホールに対する対策を取っていない場合です。私が当時使っていたのはまさに IE5.5 でしたが、同じ年の9月、PE_NIMDA.A が話題になった時にSP2にバージョンアップしてセキュリティホール対策をしていたおかげで、プレビューをしても指定されたアドレスへのアクセスを防ぐことができたのです。 この経験から得た教訓は、「ウィルスソフトも万全ではない。けれどもパソコンユーザー自身が行動すること(セキュリティホール対策を実行すること)で、自分の身を守ることができる」でした。 次は、私の身近で起きた「見覚えのあるアドレスからのウィルスメール騒動」について、です。 3.友人からのメールでも気軽に開くな添付ファイル PE_NIMDA.A 以降、蔓延しているウィルスは、パソコンの機能を破壊する攻撃力よりも、より多くのパソコンに感染する感染力に重きを置いているようです。そのため、ウィルスには受信者が思わず添付ファイルを開きたくなってしまう仕掛けがあります。その一つが「差出人のなりすまし」です。 2001年12月、私の身近な人の友人が、同期生を差出人とするメールを受け取り、その添付ファイルを開いたことでパソコンがウィルスに感染してしまう、という出来事がありました。ウィルスを駆除した後、その方は自分の Outlook のアドレス帳にメールアドレスが登録されていた知り合いのうち、住所が判る人に手紙で顛末を知らせて、「もしも自分のパソコンから発信されたメールで他の人まで感染させていたら心苦しい」と謝罪していました。 私の記憶では W32/Badtrans. が最初だと思いますが、一部のウィルスは自分のコピーを添付したメールを発信する時、実際に感染しているパソコンのユーザー名ではなく、かつてそのパソコンが受信したメールの差出人のアドレスを表示させています。時には、差出人アドレスの頭に「_」が付くことがありますが、最近ではそれも付かなくて、すぐにウィルスだとは気づきにくい格好になっています。 ウィルスメールの添付ファイルを開くと、受信したメールソフトが Outlook でなくても、ウィルスに感染してしまいます。ですから、差出人のメールアドレスが知り合いのものであっても予告無く添付ファイル付きのメールが届いたら、すぐに開いてはいけません。削除した上で相手に「こういうメールが届いたけれど、送ってくれましたか?」と尋ねるなり、放置して相手から「こ前のメール見てくれました?」という問い合わせが来るのを待ちましょう。本当に知り合いからのメールだった場合でも、差出人から問い合わせが来ないのは、重要なメールではなかった、ということです。 4.ウィルス感染ユーザーは悪者ではないが、少し注意が足りない ウィルス感染ユーザーは、自分のパソコンを感染させたくて感染させたわけではありません。彼らも被害者なのです。私自身はこれまで感染を免れていますが、「ノートン・アンチウィルス」が警告を発するたびに大変なショックを受けます。実際にパソコンがウィルスに感染してしまったユーザーの気持ちは大変な後悔と恐怖に押しふさがれそうなことでしょう。 ただ、ほんの少し、気を配れば自分の身を守ることができます。もうほんの少し、面倒くさがらずに情報を集め、正しく行動すればいいのです。以下に、ウィルス情報を集める際に役に立つサイトを紹介します。 *情報処理振興事業協会(IPA) 日本国内のウィルス情報をまとめ、提供している機関のサイト。新種ウィルスの情報は必ずここに入り、ワクチンの入手に関する情報と同時にサイトに掲載されます。ウィルスの被害報告フォームがあり、未感染でもウィルスメールを受け取ったらここに届けると良いです。 *トレンドマイクロ社 有名なウィルス対策ソフト「ウィルスバスター」のメーカーのサイト。自分のパソコンがウィルスに感染しているかどうかを、オンラインでチェックできるシステムを持っている。別にトレンドマイクロ社の顧客で無くても誰でもチェックができるので、利用してみると良いでしょう。 *シマンテック社 こちらも有名なウィルス対策ソフト「ノートン・アンチウィルス」のメーカーのサイト。ウィルス辞典が見やすく、個々のウィルスの危険性を「被害状況/ダメージ/感染力」の三つの要素で示しているのが判りやすいです。 初めてこういうサイトへ行くと、ウィルス名などなじみの無い言葉が並んで読む気を無くしてしまいやすいですが、そこをぐっとこらえて理解する努力をしましょう。読んでみて判らないことがあったら、掲示板などで質問して見るのも一つの解決法です。そのうち慣れて来れば、だいたい目を通しただけてどうすればいいのか、判るようになります。何よりも、このように警鐘を鳴らしている情報に敏感になることが、ウィルス対策の第一歩なのです。 また、その気になれば、受信者がプロヴァイダを介して送信者に警告を送り、駆除の手助けをすることもできます。次にその方法について述べます。 5.ウィルスを元から絶つ方法 ウィルスメールを受け取る側は、送信者が誰だか判らず腹立たしく悔しい思いにかられます。しかし、受信者が送信者を特定できなくても、プロヴァイダは送信者を割り出すことができます。メールの送信プロヴァイダを探し出し、送信者への連絡に協力してもらいましょう。
【1】メッセージヘッダをチェックする
メッセージヘッダにはそのメールが送信されて来た履歴を見ることができます。「Return-path」がメーラー上に「差出人」として表示されるのですが、W32.Klezはこの部分が改ざんされ、W32.Hybrisではこの部分は空白になっています。実際にそのメールが通って来た経路は「from」以下に表示されている部分で、より新しい情報が上に、より古い、即ち発信元に近い情報が下に表示されています。つまり、一番下の「From」が発信元、と言えるます。 「Message-id」は世界中にあるメール1個1個に割り振られているアドレスで、メールを個別に認識できる番号ですが、ウィルスによってはこの部分も改ざんしており、結果的に最も下の「From」に表示されている情報にあるプロヴァイダ情報が鍵になります。
こうしてたどり着いたプロヴァイダのホームページで「問合せ」用メールアドレスを探します。サイトによっては、問合せ専用投稿フォームしか表示していない場合がありますから、その時には「貴社のユーザーからウィルスメールが送られて来ました。メッセージヘッダを転記したメールを送って送信者を割り出し、ウィルス感染を知らせて欲しいので、担当者のメールアドレスを教えてください」と書き込んで返事を待ちます。
よほどのことがない限り、どんなプロヴァイダも数日で対応してくれますが、土日や休日をはさむと連絡が遅れることもあります。また、メールサーバーの調子によっては相手にメールが届かないこともありますので、なしのつぶての場合は一週間後くらいにもう一度コンタクトしてみることをお勧めします。 私の場合、メッセージヘッダをプロヴァイダに転送して対応してもらえなかった例はありません。唯一、問合せメールアドレスが分からず、投稿フォームから問い合わせたのに反応してもらえなかったことがありますが、相手がイタリアのプロヴァイダだったので、英語での問合せを理解してもらえなかったのか、あるいはメッセージが文字化けしたのかもしれません。 以上のことをすれば、ウィルスに感染したパソコンでウィルスを発信し続けている人を一人と、これから発信されるウィルスに感染するかもしれないたくさんの人を助けることができます。ウィルスメールを送られて腹立たしい人も、こうして一つのアクションを起こすことでモヤモヤした気持ちを落ち着けることができるのではないでしょうか?そもそも悪いのはコンピューター・ウィルスを作った人です。ウィルスメールを送信してしまった人たちも、元々は被害者なのですから、協力してウィルスを根元から断ちましょう! 2003年1月27日掲載(8月25日一部修正)
|
のフリー素材です。