突然の被害拡大はミスか故意か - 旧型ワームALIZに注意

  [2001/11/22]

19日前後を境に、突然古いワーム「ALIZ(別名W32/Aliz、W32/Aliz.A-mm、WORM_ALIZ.A、W32.Aliz.Wormなど)」が活動を開始した。現在、情報処理振興事業協会(IPA)セキュリティセンターを始め、ネットワークセキュリティベンダ各社が警告を発している。しかしこのワームは、5月(または9月)に発見されていた既知のワームであり、各社のウイルス対策ソフトのウイルス定義ファイルでは、すでに対応がなされている。いまさらながら被害感染拡大が始まった理由はなんだろうか。

ALIZは、Internet Explorer(IE) 5.01/5.5に存在するセキュリティホール「不適切なMIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する(MS01-020)」を悪用し、Outlook Expressを通じて感染する。メールはHTML形式で送られ、添付ファイルが付属しており、HTMLメールのプレビューだけで感染する。感染するとレジストリを検索してOutlook Expressのアドレス帳に登録されているメールアドレスに対して自己を添付したメールを送信する。システムに影響を与えないためHDDのクラッシュといった致命的な被害は与えないものの、感染力は非常に強い。山田洋行によれば、ワーム本体のサイズはわずか4KBで、これは今までの32ビットWindows向けのワームでは最小だという。

件名は、次の5分類の言葉を組み合わせてランダムに作られる。

1. Fw:、Fw: Re:
2. Cool、Nice、Hot、some、Funny、weird、funky、great、Interesting、many
3. website、site、pics、urls、pictures、stuff、mp3s、shit、music、info
4. to check、for you、i found、to see、here、- check it
5. !!、!、:-)、?!、hehe ;-)

たとえば、「Fw: Re: Cool website to chek ?!」などとなる。本文は「peace」、添付ファイルは「whatever.exe」のみだ。ALIZが悪用するセキュリティホールは、9月に世界中で感染を拡大させた「Nimda」ワームと同様のもの。つまり、Nimda騒動の際にセキュリティホールをふさいでいれば感染はしない。しかし、セキュリティホールをふさいでおらず、Outlook Expressを利用した場合、メールをプレビューしただけでウイルスに感染するので注意が必要だ。

IPAセキュリティセンターによれば、11月20日から21日かけて50件以上の届出相談があったほか、シマンテックには21日の時点でワールドワイドで499件(内日本は248件)、トレンドマイクロには22日の時点で305件の発見・感染報告が寄せられている。トレンドマイクロによれば、ALIZは発見段階ではほとんど被害が広がる可能性がない(in-the-zoo)とされていた。またシマンテックには、19日までは1ケタ台の感染・発見報告だったのが、20日から感染が拡大、報告が3ケタに急増した。

これらの点を踏まえ、シマンテックでは、あくまで推測と前置きしながらも「何者かが故意にウイルスを広めた可能性がある」とする。トレンドマイクロも同様の認識を示すほか、「ウイルス研究のためなどで保有されていたウイルスが誤って流出したのかもしれない」と述べる。

故意かミスか、どういった理由で突然の感染が始まったのかはわからないものの、今回のように、IEのセキュリティホールを悪用したウイルス(ワーム)は今後も次々に登場することが予想される。セキュリティホールをふさぐ、ウイルス対策ソフトのウイルス定義ファイルを更新する、といった自衛手段を怠らないようにしたい。

関連記事
新型ワーム「Nimda」、FBIが米同時多発テロとの関連性を捜査
http://pcweb.mycom.co.jp/news/2001/09/19/52.html

日本でも感染広がる新種ウイルス「Nimda」 - 至急の対策が必要
http://pcweb.mycom.co.jp/news/2001/09/19/17.html

【続報】猛威を振るう新型ワームNimda - 現状とその対処
http://pcweb.mycom.co.jp/news/2001/09/19/18.html

不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する (MS01-020)
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-020

情報処理振興事業協会セキュリティセンター
http://www.ipa.go.jp/security/topics/newvirus/aliz.html

シマンテック
http://www.symantec.com/region/jp/sarcj/data/w/w32.aliz.worm.html

トレンドマイクロ
http://www.trendmicro.co.jp/virusinfo/default3.asp?VName=WORM_ALIZ.A

山田洋行
http://www.fs-support.yamada.co.jp/df/v-descs/v-descs2/aliz.htm



IT製品 "比較/検討" 情報

転職ノウハウ

あなたが本領発揮できる仕事を診断
あなたの仕事適性診断

シゴト性格・弱点が20の質問でサクッと分かる!

「仕事辞めたい……」その理由は?
「仕事辞めたい……」その理由は?

71%の人が仕事を辞めたいと思った経験あり。その理由と対処法は?

3年後の年収どうなる? 年収予報
3年後の年収どうなる? 年収予報

今の年収は適正? 3年後は? あなたの年収をデータに基づき予報します。

激務な職場を辞めたいが、美女が邪魔して辞められない
激務な職場を辞めたいが、美女が邪魔して辞められない

美人上司と可愛い過ぎる後輩に挟まれるエンジニアの悩み

特別企画 PR

人気記事

一覧

イチオシ記事

新着記事

【特別企画】プライベートクラウドストレージのパフォーマンスを保証する5つのポイント
[08:30 5/25] 企業IT
【連載特別企画】最新版 - Office 365サイト活用入門 第15回 Office 365管理センター
[08:30 5/25] 企業IT
【連載】鉄道ニュース週報 第21回 JR夏の臨時列車、「乗り鉄」おすすめ列車はコレ!
[08:00 5/25] ホビー
データ・アプリケーション、エンタープライズ・データ連携基盤「ACMS Apex」
[08:00 5/25] 企業IT
【レポート】異色のテーマ設定も新エリアが好調! よみうりランドにみる遊園地進化論
[08:00 5/25] 経営・ビジネス

特別企画 PR

求人情報