IPAは、毎月発表するコンピュータウイルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、迷惑メールをはじめとした様々な経路で拡散する新たなウイルスのVBManiaについて注意を喚起している。

新たなウイルス:VBMania

2010年9月、迷惑メールをメインとして様々な経路で拡散する新たなウイルスが検出された。このウイルスには、様々な呼称が使われている。具体的には「Win32/Swisyn.worm.290816」、「Email-Worm.Win32.VBMania.a」、「W32.Imsolk.B@mm」、「EmailWorm(0019e4ae1)」、「WORM_MEYLME.B」、「Worm:Win32/Visal.B」、「W32/VBMania@MM」といった呼称がある。これらはすべて同じウイルスであり、本稿ではVBMania(ブイビーマニア)と呼ぶ。VBManiaでは、図1のような罠のメールが届く。

図1 VBManiaによる罠のメール例(IPAの今月の呼びかけより)

VBManiaは、以下のような感染活動を行う。

罠のリンクが含まれるメールによる感染

図1にあるようにメール内に罠のリンクが含まれる。一見するとPDFファイルや動画ファイルに見えるが、実際には実行ファイル(図1ではスクリーンセーバ)が偽装されている。このリンクをクリックすることで、VBManiaのダウンロードが開始され、途中、警告などが表示されるが無視をするとウイルスに感染する。メールの送信元は、利用者の知人の可能性が高い(これも注意力を低下させる効果がある)。件名には「Here you have」、「Just for you」、「hi」など使われる。

USBメモリを経由する感染

USBメモリなどをVBManiaに感染したPCに接続すると、VBManiaは自身のコピーを作成し、Windowsの自動実行機能を悪用する細工を施す。このUSBメモリなどを他のPCに接続すると、自動実行機能が有効な場合、VBManiaに感染する。

LAN上の共有フォルダを経由する感染

VBManiaに感染したPCから、LAN上の他のPCに対して、共有フォルダの機能を悪用し、VBManiaのコピーが行われる場合がある。コピーされたVBManiaの外見は、PDFファイルなどに偽装される。この偽装されたファイルを開くことで感染する。

罠のメールの無差別送信による感染拡大

VBManiaに感染したPCから、メールソフトのアドレス帳に登録してあるメールアドレスに対し、罠のメールが送信される。送信元には、感染したPCのユーザーのメールアドレスが使われる。この感染活動の繰り返しで、大量の罠のメールが流通するようになる。

VBManiaに感染すると、PCにインストールされているウイルス対策ソフトやセキュリティ対策ソフトの動作を妨害し、無効化させようとする。さらに別のウイルスをダウンロードし、PCに感染させるといった活動が報告されている。VBManiaは海外において一時的に感染が流行したが、現在は収束している。また、VBManiaやさらなるウイルスのダウンロード先も活動を停止している(再度、活動を開始する可能性もある)。VBManiaのようなメールで感染を拡げるウイルスは過去にも多くの例があり、有効な対策が取られたため、早期に事態が沈静化した。しかし、IPAでは、一時的とはいえ感染が流行したことを注視しており、ユーザーに対し注意喚起を行っている。

VBManiaへの対策

VBManiaウイルスのように、メールを使い感染拡大を狙う手口は以前からも存在する。かつては、この手口で感染が大きく拡大した事例もある。古典的ともいえる手口ではあるが、悪意を持った攻撃者にとっては、同様の手口を使うことが予想される。そこで、VBManiaを含め、同様のウイルスへの対策を紹介する。

  • ISPが提供する迷惑メールフィルタリングサービスの利用
  • ウイルス対策ソフトやセキュリティ対策ソフトによる防御
  • メールソフトの迷惑メール対策機能の利用
  • 不審なメールを開かない
  • 添付ファイルを開かない、メール内リンクをクリックしない

IPAでは、これらの対策を単独で行うのではなく、組み合わせて行うべきとしている。VBManiaの感染経路として、USBメモリ経由の事例を紹介した。USBメモリを感染経路とするウイルスはVBMania以外にも多数存在する。これらのウイルスに対しては、Windowsの自動実行機能を無効化することで、対策を行うことできる。自動実行機能は非常に便利な機能であるが、ウイルスなどに感染する可能性も否定できない。対策として無効にすることも検討してほしい。なお、Windows 7ではデフォルトで自動実行が無効となっているので、Windows Vista、XPを使用中の場合のみが対象となる。

もし、VBManiaに感染してしまった場合には、そのPC以外にもLAN上のPC、さらにはUSBメモリなどに感染が拡大している可能性がある。さらにセキュリティ対策ソフトが無効になっていることもある。セキュリティベンダーから提供される無償の駆除ツールなどで、駆除を行う。VBManiaを駆除しても、設定が元通りになるかはわからない(具体的には、無効化されたセキュリティ対策ソフトを有効化できない可能性もある)。IPAでは、重要なデータをバックアップし、PCの初期化を推奨している。