photo by mana-MitsuruNakajima ,

(c)2002-2004 

ウイルスバスターズのウイルスログの画面

巻頭column  更新時適宜掲載

bV

不思議な“ウイルス”侵入事件からわかったこと

危険と信頼のわずかな隙間

――ワーム発見から問題解決まで――

 

 ひさびさに巻頭コラムの更新です。10月中旬のある日突然、コンピュータ内にウイルス侵入と感染ファイルの隔離成功をしらせるウイルスバスターによる告知が連続的にディスプレイに現れたのです。ウイルス感染メールは、ケーブル@ニフティによってガードされ、侵入前にサーバ段階でシャットアウトされ、まずほぼ100パーセント届くことはなくなっていたので、この突然のウイルス侵入に、不安を通り越し、恐怖感さえ感じました。ウイルス名のほとんどに“WORM_OPASERVE”という名前がついていました。いったい、このウイルスは、どこから、なぜ侵入してきたのか。現在ぼくが使っているウインドウズ・MeをOSとするパソコンがなぜ侵入を防げなかったのか。それ以前に、いったいウイルスってなんなのだ。手探り状態のまま、一つ一つ、ぼくのつたないパソコン、ネットの知識を整理しながら、その原因探しが始まった。

ウイルス侵入の告知

 ウイルスバスターズのウイルスログの記録によれば、10月14日12時32分の、次の2件のウイルス侵入告知から事件が始まる。

 「12:32/リアルタイム/ファイル/PE_FUNLOVE.4097/C:¥WINDOWS¥ALEVIR.EXA/ウイルス駆除成功/(したがって「隔離」記録はなし)」

 「12:32/リアルタイム/ファイル/WORM_OPASERV.A/C:\WINDOWS\ALEVIR.EXA/ウイルス駆除できません/隔離成功」

 ただし、この時点では、これからこの日1時間、ときに数分おきに続いた合計60件余のウイルス告知が、何を意味し、どれだけ重大であるかなどとは、「不安」はあったもののまったく予想すらしていません。まだ、ことの本質を理解できていなかったのです。要するに、これはパソコンがぶっ壊れるかもしれない、ぼくのパソコン管理が悪いから、こんなことになるんだ、という、自己嫌悪といってもよい意識がおこり、そんなには多くはないけれども顧客である大切な取引先や取材先や出版社・新聞社などの顧客リストを盗まれたり、不要なウイルスに汚染されたメールを乱発されはしないだろうかという心配へと広がっていきました。

  とりあえず、個人情報のファイルだけでもきちんとバックアップしておかなければいけないなあ、という程度のことしか頭には浮かびませんでした。

プリンターが夜中に突如作動を始める!!

 ぼくが、パソコンを使うようになったのは、1998年頃だったと思う。パソコン本体は、FMVのデスクトップタイプで、昨年末から2代目になっている。1代目は、4GBの容量をウインドウズ98が動かし、2代目は若干グレードアップして19GBをウインドウズMeが動かしている。メールとネットの環境は、昨年2代目を導入したときを機会にケーブルテレビの接続により中野ケーブルテレビ(CTN)のLAN接続によるCTN@niftyを利用するようになった。セキュリティーについては、ウイルスバスターズ2003を使い、最新時のアップデートは欠かさず行ってきた。CTN@niftyによって、ウイルスメールの遮断と添付ファイルによるウイルスメールの告知をしてくれているので、 すっかり安心しきっていた。

 前記、ウイルス侵入が告知されるようになって、なにも印刷指示もださないのに、突如プリンターが動き始めた。始めは部屋を留守にしていたので気づかなかったのだが、戻ってみると、プリンターが紙詰まりになっていて、すでに100枚ほどの文字化けした文字が数行印刷された用紙が印刷されている。夜中に、なにやらガシャガシャとファックスでもないのにプリンターが動いているのだから、「なんじゃこれは」と、さすがに恐ろしくなってしまった。

ウイルス名と本体ファイルの一覧

 14日に侵入してきたウイルスを整理してみると、次のようになる。

番号

ウイルス名

発見時のファイル名

PE_DUPATOR.1503 C:\WINDOWS\SPEEDY.BAT

PE_DUPATOR.1503 C:\WINDOWS\PUTA!!.COM

PE_DUPATOR.1503 C:\WINDOWS\SPEEDY.BAT

PE_FUNLOVE.4099 C:\WINDOWS\ALEVIR.EXE

PE_FUNLOVE.4099 C:\WINDOWS\MARCO!.SCR

PE_LOREZ C:\WINDOWS\NATAL!.PIF

WORM_AGOBOT.GEN c:\WINDOWS\spool\PRINTERS\00517.SPL

WORM_OPASERV.A C:\WINDOWS\ALEVIR.EXE

WORM_OPASERV.AA C:\WINDOWS\SPEEDY.BAT

10

WORM_OPASERV.AD C:\WINDOWS\SPEEDY.PIF

11

WORM_OPASERV.AI C:\WINDOWS\NATAL!.PIF

12

WORM_OPASERV.D C:\WINDOWS\SCRSVR.EXE

13

WORM_OPASERV.E C:\WINDOWS\BRASIL.PIF

14

WORM_OPASERV.I C:\WINDOWS\MARCO!.SCR

15

WORM_OPASERV.K C:\WINDOWS\INSTIT.BAT

16

WORM_OPASERV.W C:\WINDOWS\NATAL.SCR

17

WORM_OPASERV.Y C:\WINDOWS\SPEEDY.SCR

18

WORM_OPASERV.Z C:\WINDOWS\PUTA!!.COM

14日に侵入してきたウイルスの実数は、159であり、このうち、ウイルス名別に整理し、同名分を省略すると、15(ファイル名が異なる実数は18)種あった。

 このうち、数が多かったのが7の「アゴボット」と「オパサーブ」と称するウイルスだった。プリンターを動作させることとなったのがアゴボットによるものは、手動検索で検出されたその数は100近かった。なぜ、“spool”ファイルに取り付いて、プリンターの動作を可能にさせたかのメカニズムはよくわからないが、結果的に、そのような推測が可能であった。

 このふたつのウイルスについての特徴を、ウイルスバスターズの「ウイルスデータベース」から引用させてもらうと次のようになる。

WORM_AGOBOT.GEN

特 徴:これは一般的に「ワーム」に分類されるシステム常駐型のトロイの木馬型不正プログラムであり、「AGOBOT」ワームの亜種の総称です。「AGOBOT」ワームは以下の方法でネットワーク上の他のコンピュータに侵入します:
●安易なパスワード設定を利用してコンピュータにログオンし、共有フォルダに自身のコピーを作成してリモート実行。
●「KaZaA」などのP2Pファイル共有ソフトの機能を利用し、他のユーザに自身のコピーを取得させる。

●Windowsのセキュリティホールを攻撃。 

 

WORM_OPASERV.A
特 徴:このワームに関しましてパターン355にて「BKDR_OPASOFT.A」の名称で一旦検出に対応いたしましたが、パターン357以降にて「WORM_OPASOFT.A」に改称いたしました。またパターン369より「WORM_OPASERV.A」に再度改称いたしました。パターン355使用時とそれ以降とでは検出名が異なりますのでご注意ください。 
 これはワームに分類される「トロイの木馬型」不正プログラムです。自身のコピーをネットワーク上の共有ドライブにコピーして頒布するワーム活動を行います。また、侵入したネットワーク内のコンピュータ名とドメイン名をハッカーサイトに送信する情報漏洩型ハッキングツール的機能も持っています。
 尚、これは「共有レベルのパスワード」の脆弱性に対する対策 (MS00-072)」の脆弱性を利用しており、Window9x/Meマシンでマイクロソフト社から発行されている最新のセキュリティパッチを導入していない場合、ファイル共有リソースにパスワードが設定されていても感染する事があります。 
 また「WORM_OPASERV」本体ファイルにファイル感染型ウイルスの「PE_FUNLOVE.4099」や「PE_SPACES.1445」が感染しているという報告があります。

●対応方法:検出したファイルはすべて削除してください。単体で動作する一個の独立したプログラムであり、他のファイルへの感染活動はありません。ウイルスバスターなどウイルス対策製品で「ウイルス発見時の処理」の設定が「ウイルス駆除」になっている場合「駆除失敗」と表示されますが正常な表示です。
●注意:ネットワークを共有している場合、一度ワームを削除しても再度ワームが検出される場合があります。また、共有設定を行っていなくてもデフォルトで共有設定されている場合があります。ネットワーク共有をしないように設定するか、共有フォルダにパスワード設定を行ってください。設定方法に関してはマイクロソフト様へご確認をお願いいたします。
●侵入方法:ネットワーク上の共有ドライブからWindowsディレクトリを探し出し、ファイルコピーが行われ侵入します。メールで自身のコピーを送信するような活動は行いません。また、OSがWindows9x/Meだった場合にはシステム改変が行われ、次回OS起動時にワームが自動起動されてしまう場合があります。
●感染確認方法:ワームが活動/侵入した場合はワームのコピーである"SCRSVR.EXE"ファイルがWindowsディレクトリに作成されます。またWindowsのレジストリや設定ファイルである"win.ini"が改変されます。

オパサーブについては、亜種が多く、オパサーブ系から、WORM_OPASERV.Aを選んでその特徴を載せたが、侵入第1日の段階では、トレンドマイクロやニフティーのサイトからセキュリティに関する項目を、漫然と読むだけで、なにがなんだかサッパリわからなかったのが正直なところでした。

共有レベルのパスワードの脆弱性ってなんだ!

 第2日(15日)になっても、仕事で文章を書いている最中も、ひんぱんに「ウイルス侵入警告」がはいって、不安と焦燥が入り混じって、落ち着いてものをかける状況にはなかった。すぐ、ウイルスバスターズに問い合わせをしようと電話するが、混雑でつながらない。ただ、ウイルスは侵入告知後、ウイルスバスターズによって、そのつど「駆除が成功しました」あるいは、「駆除できませんでした」→「隔離しました」が画面に現れ、そのつどウイルスログによって確認しても、同様の内容が記されていたので、とりあえずは、パソコンの動作が止まるとかの深刻な事態は免れているようだったから、なんとかなっているのだろう、ぐらいの気持ちであった。

 3日目になって、朝一番にウイルスバスターズとの電話連絡が通じた。これまでの経緯を説明し、とりあえず、手動操作のウイルス検索では、ウイルスは見つかっていないこと、現在、ウイルスの駆除成功ないし、隔離が成功しているむね告げ、何が原因なのかを聞く。「最頻出のウイルス名は?」「オパサーブ」と答える。「使用OSは?」「ウインドウズMe」。「それでは、ウインドウズMeにみられる、共有レベルの脆弱性が原因と見られます。オパサーブは、共有システムの脆弱性をついて、セキュリティーホールから侵入してくるウイルスです。まず共有システムの脆弱性を補強するツールを、マイクロソフト社からアップデートしてください。セキュリティーホールを埋めることがまず対応の始めにやることです。」とのこと。

 じつは、この脆弱性云々、セキュリティーホールの用語は、うっすらとは、新聞雑誌等で読んで知っていたけれども、まさかぼくのパソコンで、それが作用しているなんて、思っても見なかったから、一度電話で聞いただけでは、話の内容は、ほとんど理解できなかった。このカッコ書きの内容も、すべて解決してみて、言葉の中身が分かったからこそ、記せたコメントであるのだ。

 ぼくのパソコンは、1台だけで、どのパソコンともつなげてなどいない。なにが「共有」なのかが理解できなかった。オンラインでつながっているのは、LAN設定してある、CTNのケーブル1本であるのだから、このあたりは、質問する場合の知識不足、用語不足のもとでは、原因を明らかにするための情報をうることなどできないといったほうが正しいのだろう。とにかく、ネットやパソコンの説明をしてくれる人たちの、知らないものへの説明に親切さというものがまるでないことを痛感してしまう。

 ここで、ひとつやってみようと、あることがひらめいた。

ウイルスの“正体”みたり!!

 ケーブルテレビ(サーバー)とのLAN回線につないでいるケーブルモデムとパソコンとをつなぐラインの接続をはずしてみた。

 すると、不思議なことに、それまで数分おきに、ウイルス侵入告知が画面に現れていたのに、ピタリと止んだ。

 そうか、このモデムまでは、ウイルスというなにやらわからんものが、常にきているのだ。それが、現在のぼくのパソコンでは、フリーパス状態になって、LAN接続している間中、この手のウイルスが侵入してくるのだ。その侵入してくるオパサーブ系のウイルスを、ウイルスバスターズが、ミサイルを打ち落とすように、1個ずつ検知して、駆除できるものは駆除し、駆除できなければ、次善の策として「隔離」してくれているというわけだ。

 ぼくは、ウイルスバスターズの性能が優れていることを、このフリーパス状態のLAN接続とウイルス侵入によって初めて実感した。こいつは、“スグレモノ”なんだと、こいつだけで、ぼくのパソコンは現在守られているのだと、急に、いとおしくさえ思えるようになった。

 ところが、ここで、八つ当たり現象として、なんで、それならLAN接続のもとであるCTN側で、このウイルス攻撃を止められないのだろうか?という疑問がふつふつとわいてきた。(この段階までは、実は、いまだパソコンのOS機能としての「共有設定」によって起きるセキュリティーホールの実体を何も理解していなかったことになるのですね)

CTNにもっとウイルス対策をしっかりせよ!は“八つ当たり”だった

 ケーブルテレビに電話して、モデムとPCをつなぐラインをきると、ウイルス侵入が止まり、つなぐと、ふたたびウイルス侵入の告知が始まる。「これは、CTNからくるケーブルに常にウイルスがあるということなのか。ぼくだけではなく、ウイルス侵入について困っている利用者がいるのではないのか」とこういうような疑問を話したところ、担当者が、専門の人間に代わったのか、がらりと話の様子が変わって、「あなた(小生のこと)の話されていることは、ケーブルテレビがプロバイダー(cable@nifty)と結んでいるケーブルの役割のことを理解されていない。ケーブル内には、電話線と同じように、常にウイルスやウイルスを含むメールなどの情報が正常な情報とともに伝わる仕組みになっているのであって、ウイルス侵入は、あなたのパソコンのOSにあるセキュリティーホールがあれば、そこから侵入しているのです。ウイルスの添付されたファイルが添付されたメールは、プロバイダーのウイルスチェック機能で防いでいるけれども、その他のハッキングを狙ったウイルスの侵入を防ぐのはユーザーのPC側の責任で、セキュリティー機能をを常に万全に高めておくことが必要なのです。」とピシャリと反論されてしまった。

 CTNの担当氏は、具体的にケーブルから侵入するウイルスをPCに侵入させない手立てはないわけではないという。つまり、ケーブルモデムとPCとの間に、ウイルスの侵入を防ぐフィルター機能を備えたルーターを入れればよい、ということだった。このルーターの研究は、さておき、この会話で、ウイルスの行動の特徴が理解できたような気がした。

ウイルス侵入のパターン想定図

ケーブル   プロバイダー   ケーブル   ユーザーPC(共有設定)
一般データ cable@nifty 一般データ

PC1

 |

PC2

一般データ
ウイルスM × 《ウイルスM》 《ウイルスM》
W_Opaserv W_Opaserv × × ×
W_Opaserv 発見・駆除・隔離

 要するに、電話線を含めて情報が伝わるケーブルには、安全な情報も、悪意のウイルスを含めたいたずらをする情報も、常に同居して存在しているということなのだ。ウイルスを含んだファイルが添付されたメールは、プロバイダー段階で発見され無毒化された安全ファイル化してあて先であるユーザーのPCに送られる。ユーザー側のPC内にもウイルスバスターのようなセキュリティーソフトを装備して、二重のガードをしておけば、少なくともメールについては、常に安全な状態で利用が可能となっている。

 ところが、ウイルスの中には、複数台数をネットワークで接続した「共有システム」の内部で通用している利用ルール(パスワードや暗号など)の設定のシステムの弱点(プログラムの欠陥)を狙って侵入をはかり、ユーザーガ共有している情報を盗んだり、破壊したりする能力を持つものがあって、そんなウイルスが、常にケーブル内を横行(に充満)しているというという図式があるらしいのだ。ぼくには、そのメカニズムは、よくわからないけれど、机のパソコンの脇に設置されているケーブルモデムを通り、パソコンのケーブル接続口までは確かにきているということなのだ。

セキュリティーホールの穴を埋めれば侵入を防げるという理屈

 マイクロソフトのウインドウズ9×やMe(XPにはまた別の要素をもった)など、それぞれのOSには、共有設定によって、共有を可能にするパスワードなどを設定してシステムを構築する機能を持っているが、この「共有レベルのパスワード」のガードを潜り抜けて、パソコンが共有する情報が筒抜けになってしまうという弱点のことを、「ウインドウズOS」が持つ「共有レベルのパスワードの脆弱性云々」というらしい。もっとわかりやすい言い方がいくらでもありそうなものだが、コンピューターやネットを構築したり研究したりする人々というのは、カタカナ用語の専門用語を使うのが特権のような感覚をきっと持っているのであろう。まるで、その用語の作り方や使い方は、世のお役人たちと同じ感性を持っているのではないかと疑わざるを得ないほどだ。専門の知識のない人には、まるでちんぷんかんぷんの暗号ばかりで、ぼくが、ようやく、オパサーブの侵入の理屈が理解(それも僕流の理解の仕方に過ぎないのだが)できるのには、丸まる1週間もかかってしまった。

 ウイルスバスターズ担当氏の指示されるままに、マイクロソフトのWindowsMeに関する「共有レベルのパスワード」の脆弱性を補強するためのアップデートを行ったのだが、それでもなお、ウイルスの侵入はとまらなかった。

 昨年末、パソコンをもう1台導入してメーン機を変えたとき、古い2GBの方をサブ機としてプリンターを動かしたり、予備のディスクとして使おうと、2台のパソコンをLANケーブルでつなぎ、プリンターを共有できる「共有レベル」のシステムを作り上げたのだが、数ヶ月使って、いくつかの障害があったので、ケーブルを外し、共有システムは事実上止めたつもりでいた。ところが、「ネットワークの設定」を解除せず。プリンターの共有設定のままに、ディスクやフォルダの共有がそのままになっていたことにようやく気づいた。

ウイルス侵入事件発生後5日目にして、「なんだ共有レベルを止めればいいんじゃないか」という、実に簡単なことに気がついたのである。不思議なことに、いや、不思議でもなんでもないのだが、すべての「共有設定」を外してみたら、案の定、ピタリとウイルス侵入・隔離の告知がとまった。

 要するに、ぼくのパソコンは、1台の単独マシーンであったけれど、設定が「共有」になっていただけで、悪意の“ハッカー”からすると簡単に、内部に侵入できて、ぼくの個人的なファイルをすべて除き見ることのできる筒抜けの環境になっていたのだ。実は、プリンターが夜中動き出したのもそうだし、それ以外にも、“WINDOWS”フォルダにおかしな名前の漢字名のファイルができていたのを瞬間だが目撃したことがある。最終的には、ウイルスバスターズの手動検索によって消去できたのだが、思い当たる点がいくつもある。アウトルックの顧客や友人情報が既にもれているのかどうかは、いまや確かめようもないのだが、その危険性は十分にあった。大いに反省しなければいけない。良い勉強をしたと思えば、この1週間振り回されてしまった一連のウイルス騒動で、あくまで僕流だが、ウイルスの正体がなんとなくわかったような気がしてきた。

 しっかし、電線のなかを行き来して伝わってくるウイルスが、こんなにも身近にいるなんて、実に恐ろしいというか、不思議な感覚を味わった。

2004年11月20日

編集長“MANA”


HOME  ColumnINDEX TOP


 


copyright 2002-2004,manabooks-m.nakajima