スカイプやメッセンジャー経由のウイルスが広がる
ウイルスの感染ルートが拡大している。メールやサイト経由だけではなく、インターネット電話のスカイプ、ウィンドウズメッセンジャーなどを使って拡大する。便利なコミュニケーションツールにもウイルス感染の落とし穴があるので注意したい。(テクニカルライター・三上洋)
インターネット電話「スカイプ」が標的に
http://www.yomiuri.co.jp/net/security/goshinjyutsu/20071128nt0d.htm?from=os2
これまでウイルスの感染ルートといえば、メールやサイト経由が多かった。メールの添付ファイルと怪しいサイトに警戒し、ウイルス対策ソフトのアップデートさえしておけば、ほぼ安全といえただろう。しかしほかのツールを足場にして広がるウイルスが目立って増えてきている。
例えば急激に増えてきたのが、インターネット電話のスカイプ(skype)を経由するウイルスだ。パソコン同士なら無料で通話ができるスカイプは利用者が増え続けており、今やインターネットの定番となっている。
「Skype-Defender」という名称の拡張プログラム(プラグイン)の導入後画面。防御のような名前だが、実際にはパスワードを盗み取る不正プログラムだ(トレンドマイクロセキュリティブログより)
スカイプには文字によるメッセージ機能があるが、このメッセージ機能でURLアドレスを送信して感染させるウイルスが増えてきた。このパターンは2年ほど前からあり、感染すると登録しているスカイプユーザーにメッセージを送り付けて感染を広げる。例えば「Warezov」(別名Stration)というトロイの木馬では、「Check up this!」と書かれたURLアドレス付きのメッセージを送り付け、トロイの木馬に感染させようとする。
ただしこの方法は、メールの代わりにスカイプのメッセージ機能を使っているだけで、感染ルートとしては単純だ。もっと悪質なものでは、スカイプの拡張プログラムとして導入させる例がある。トレンドマイクロによれば「TSPY_SPEYK.A(スペイク)」という不正プログラムでは、「Skype Defender」という名前の拡張プログラム(プラグイン)で導入させる。「Defender」という名前からして、防御用の拡張プログラムのように見えるが、実際はその逆で、ユーザーのIDとパスワードを盗み取るプログラムなのだ。
「Skype-Defender」の入力画面。ユーザー名とパスワードを入力させて、不正サイトに中継している。またほかのサイトのパスワードも自動送信してしまう。(トレンドマイクロセキュリティブログより)
この「Skype-Defender」を導入すると、右のような本物そっくりのログイン画面が現れる。ここにユーザーID(skype name)とパスワードを入力すると、「認識できないのでもう一度入力してください」という意味の英文が表示される。しかしこれはまったくの偽画面であり、入力したIDとパスワードは不正サイトに送信されてしまう。
さらに悪質なことに、この不正プログラムではスカイプのIDとパスワードだけでなく、ほかのサイトでのパスワードまで送信してしまう。例えばネットバンキング、ウェブメール、オンラインショッピングなど、インターネットエクスプローラーに保存されている全パスワードを送信する。パソコン上で使うパスワードの多くが盗み取られてしまうことになる。とても危険で悪質な不正プログラムといえるだろう。
ウィンドウズメッセンジャーでのウイルス
またウィンドウズメッセンジャーやYahoo!メッセンジャーなどのインスタントメッセージソフトでも、ウイルス感染が拡大している。例えば新しいものでは、ファイル転送機能を使い、画像ファイルに見せかけたウイルスを送りつけてくるものがある。画像だと思い込んで開いてしまうと、犯人からの命令を受け付ける「IRC Bot」がインストールされてしまう(US-CERTによる)。
IRCとは「Internet Relay Chat」の略で、インターネットを使った文字チャットのこと。古くからある文字チャットの方式だが、ボットと呼ばれるウイルスの制御に悪用されており、犯人はIRCを通じて感染したパソコンへ何でも命令できる。パソコンを犯人に乗っ取られ、スパム送信の足場として使われたり、ウイルス感染を広げることにも利用される。上で紹介したウィンドウズメッセンジャーでのウイルスでは、「IRC Bot」によってユーザーのパソコンを遠隔操作してしまうものである。
このほかにもメッセンジャーを通じて広がるウイルスは多数あり、プログラムのバグである脆弱性を突くもの、メッセージ機能でURLをクリックさせるスパイウェアなどもある。メールに比べると安易にクリックしやすいため、メッセンジャーによるウイルス感染が増えてきた。これらメッセンジャーを経由して広がるスパムを「スピム(SPam IM)」と呼ぶこともある。
大流行のPDFウイルスにご注意
メールの添付ファイルにも注意が必要だ。安全だと思われるファイルでも、ダブルクリックするだけでウイルス感染する可能性があるからだ。
英語圏で大流行中のPDFウイルスのメール例。PDFは文書ファイルだから安全と思ってダブルクリックすると、脆弱性を突いてウイルス感染してしまう(トレンドマイクロセキュリティブログより)
その一例が、2007年10月末から急激に流行しているのがPDFウイルスだ。英ソフォスによれば、10月末から急激にPDFウイルスが流行している。PDFウイルスとは、PDFファイルを表示するソフト、アドビリーダーで発見された脆弱性(外部から攻撃されやすいブログラムの欠陥)を利用したものだ。この脆弱性は10月23日に報告されたばかりだが、翌日には脆弱性を付くウイルスが登場し、10月末の3日間で全世界に大量に出回り、10月のマルウェアトップ10でも3位に入っている。
メールで拡散するウイルス・トロイの木馬では、何らかの実行ファイルが添付されているのが一般的だ。例えば「.com」「.exe」などの実行ファイル、スクリーンセーバーの「.scr」(プログラムを実行可能)、「.zip」「.lzh」などの圧縮ファイル内にウイルス、トロイの木馬を実行するプログラムを入れたものが多い。
しかしPDFウイルスでは、添付されているのはPDF形式の文書ファイルだ。文書ファイルだからクリックしてもいいのか? と思ってしまう人がいるかもしれない。特に10月末に出回ったPDFウイルスメールには、「Your Credit report(クレジットカード明細を装う)」「bill(請求書)」といった件名が付いていた。請求書なのかと思って、PDFファイルをクリックしてしまい感染した人が多いようだ。
このPDFファイルを開くと、脆弱性によってコードが実行され、トロイの木馬が自動的にダウンロードされてしまう。またウィンドウズのファイアウオール機能を無効にする機能もある。そのためトロイの木馬やウイルスが仕込まれて、あなたのパソコンが外部からコントロールされたりファイルを盗まれることもある。
今のところ、英語でのメールしか確認されていないが、トレンドマイクロによれば日本国内でも出回っていることが確認されている。メールに添付されたPDFファイルは、安易にクリックしないように注意したい(アドビリーダー 8.1及びそれ以前のバージョンで、インターネットエクスプローラー7(IE7)を使っているウィンドウズ XPパソコンが影響を受ける)。
新しいコミュニケーションツールにご用心
このようにスカイプやメッセンジャーといった、比較的新しいコミュニケーションツールがウイルスのターゲットになっている。これらのツールでは、ユーザーの脇が甘いためか、警戒することなしでクリックし開いてしまい感染するケースが多い。また安全と思われるPDFのような文書ファイルでも、ウイルス感染する場合があるので注意が必要だ。
対策としては、スカイプやメッセンジャーでは安易にファイルを開いたり、送られてきたURLアドレスをクリックしないこと。知らない人からのメッセージはもちろんのこと、友人からのファイルにも注意が必要だ。友人が感染してしまえば、メッセンジャーのアドレス帳を通じて、あなたにも送られてくる可能性が高いからだ。また当たり前のことながら、ウイルス対策ソフトのアップデートは自動にして最新の状態にすること、ウィンドウズアップデートを最新にしたうえで、アクロバットやスカイプ、メッセンジャーなどのソフトも最新版にしておきたい。
(2007年11月28日 読売新聞)
