ウイルスMyDoom雑考

1月27日朝、メールを受信したら、見慣れぬウイルスメールが40通ほど届いていた。
ネット商売をしていることもあり、SPAMやウイルスには慣れてしまっている。毎日数百通のSPAMやウイルスが送信されてくるが、そのうちの大半はサーバーに設定したフィルターとメールソフトの受信フィルターで、サーバーからダウンロードする前に削除したり切り離せる。それでもすり抜けてくるものが数十通あるが、諦めの境地で淡々と削除していく。

今までのウイルスメールは添付ファイル付きで、100KBを超えるものが多かった。だから、メールソフトのフィルターで「100KBを超えるメールはダウンロードせずにサーバーに残す」という設定をしておけば、ローカルマシンにまでは到達しない。
最近では30KB程度のコンパクトなものも出てきたので、イーネット用のメールアカウントのフィルターは「30KB以上はダウンロードしない」ように設定変更した。
しかし、個人用のアカウントには、様々な添付ファイル付きメール（写真画像やプログラマーに発注してあったCGIプログラムなど）が届くので、「100KB以上は……」にしてある。
まず、この個人用アカウントに40通を超えるウイルスが一気に着信した。
宛先は　adam@XXX.com　など、僕が所有する、普段は使っていないドメイン名に、使われていないアカウントをくっつけたものが多かった。サイズはほとんどが30KB少々。
新種のウイルスが出てきたのかなあと思っていると、すぐに「新型ウイルス発生」というニュースが流れた。

MyDoomと命名されたらしい。別名はNovarg、Mimail.Rなど。
新種のウイルスにいちいち感心している暇はないのだが、このウイルスはいろいろな点で実に興味深い。
まず、悪さの中身が、今までのウイルスと少し性格を異にする。
感染したマシンの中のファイルを破壊しつくすというような単純なものではないのだ。
ネットワークに接続されているコンピュータに対して、いわゆる「バックドア」を空け、外部からの侵入を可能にする。また、2004年2月1日から2月12日まで、www.sco.com に対する DoSアタックを仕掛けるというイベントが隠されている。
SCOグループというのは、オープンソースであるOS、Linuxの中核部分に、自社が知的所有権を有する技術が不正に使われているとして、コンピュータユーザーだけでなく、多くのコンピュータ企業、ソフトウェア企業の怒りを買っている話題の主。
そのため、このウイルスも、「Linux支持者」がSCOへの恨みを晴らすために作ったと推理されているが、こんなところで「Linux支持者」などという名称を使われるのも、多くのコンピュータユーザーにとっては迷惑な話だろう。

次に注目させられるのは、その巧妙さだ。過去のよくできた（語弊がありそうだが、高性能で巧妙なという意味だ）ウイルスの技術を吟味、踏襲した上で、さらに心理的にも様々な工夫を凝らしている。

まず、差出人のメールアドレスは当然のごとく偽装されている。
（未だに、ウイルスを検知すると、自動的にFromに記述されたメールアドレス宛に「あなたの送ったメールにはウイルスが検出されたため削除しました」という警告メールを自動送信するウイルスチェックシステムを設置しているサーバーがある。現在のように、ウイルスメールのほとんどが送信者偽装である場合、意味がないというより、ますますインターネット上にゴミメールを送り出し、トラフィックの増大という二次被害を深刻化させる結果を招いている。余計なことをせず、黙って削除してくれればいいのだ。）

ちなみに、メールアドレスのドメイン名部分に、.gov やborlan、google、ibm.com、 unix、linux などの文字列が含まれていると、それらのメールアドレスは偽装として使わないようになっているらしい。
SCOの主張に反発している企業には、IBMやNovellなどの大手も名を連ねるが、そうした企業にはなるべく迷惑をかけないようにという「配慮」だろうか。（実際にはもちろん大迷惑だが）

送信されるウイルスメールの題名は次のようなものだ。

test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error

このうち、
Mail Delivery System
Mail Transaction Failed
Server Report
Error
などのタイトルは、今までのウイルスメールにはあまり見られなかったものだろう。
自分が送信したメールがエラーになって戻ってきたのかと思い、思わず添付ファイルをクリックしてしまう人が続出し、あっと言う間に感染が広がったと言われている。

本文も巧妙で、
Mail transaction failed. Partial message is available.

The message contains Unicode characters and has been sent as a binary attachment.

The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

などという、いかにももっともらしいメッセージが書かれている。英語なので、日本ではウイルスだと気づきやすいが、英語圏では、結構ウイルスメール慣れしている人でも騙されたことだろう。

ウイルス本体を添付ファイルで届けるという手口は極めてオーソドックスなものだが、ここにも「改良」が加えられている。
添付ファイル名は、
document
readme
doc
text
file
data
test
message
body
など、他愛ないものなのだが、拡張子の付け方が巧妙だ。
拡張子をtxt.pif　とか　.htm.exe　などとして、一見テキストファイルやHTMLファイルのように見せる手口はすでに一般化しているが、body.htmのあと、大量のスペースを入れて最後に.scrと、実行特性の拡張子をつけるなどというパターンもある。スペースが続いているため、ちょっと見では「body.htm」というファイルにしか見えないのだ。
しかも、このウイルスはアイコンを内蔵していて、そのアイコンはテキストファイルを暗示するノートのようなアイコン（Windowsのメモ帳風）。.pifなどのアイコンは独特のもので、すでにウイルス慣れしているユーザーには一目で見破られてしまうため、こんな涙ぐましい？工夫までしているのだ。

一応おさらいしておくと、Windowsではファイルの中身は拡張子で表される。
その中でも、実行ファイル（プログラム本体など）形式の拡張子というものがあり、以下がそうだ。

.pif　（プログラム情報ファイル）
.scr　（スクリーンセーバー）
.exe　（プログラムファイル本体）
.cmd　（コマンドファイル）
.bat　（バッチファイル）

これらは実行特性（ファイルをダブルクリックしただけでそのファイルそのものが実行される）を持つため、ウイルスファイルの偽装によく使われる。
ウイルスファイルの偽装を見抜くために、これらの「実行特性」を持つファイル拡張子は、表示されるアイコンと一緒に覚えておく必要がある。もちろん、大前提として、エクスプローラのフォルダオプションで「登録されている拡張子は表示しない」のチェックを外し、あらゆるファイルの拡張子を表示するようにしておくことが大切だ。

ところが、今回のMyDoomは、最初からアイコンを内蔵しているため、拡張子が.pifなどであっても、本来PIFファイルを示すアイコンで表示されない。

さらに感心させられたのは（くどいようだが、ウイルスを作るという行為を賞賛しているわけでは決してないので、揚げ足取りはやめてね）、.zipという拡張子で送りつけるパターンも加わっていることだ。
これは拡張子の偽装ではなく、本当にZIP形式で圧縮してあるファイルで、ウイルス本体はZIPファイルの中に梱包されている。つまり、ZIPファイルを解凍しないとウイルス本体は出てこない。（……多分そう。実際に確認してみようかとも思ったが、さすがにそこまで実験してみる気にはなれなかった）
今までのウイルスならそんな面倒なことはせず、即実行させるためにウイルス本体そのものを添付してきたが、ZIPファイルにすることで、むしろ「まともな添付ファイル」であるかのように偽装している。

この背景には、WindowsがWindowsME以降、ZIP形式の圧縮ファイルに標準対応したことがある。それまでは、ZIPファイルを解凍するためには解凍ソフトを用意しなければならなかったが、今は何もしなくても、ZIPファイルならダブルクリックすれば解凍できてしまうので、初心者でも意識せずに解凍している。それを何度か経験するうちに「ZIPファイルなら安心」という思い込みが形成されているのかもしれない。

余談になるが、そこでひとつ考えたことがある。
ZIPファイルで送りつけられるウイルスが出現したとなると、メールに貼付するファイルを気軽にZIP形式で圧縮するのもまずいかな、という気がしてくる。
この際、LHA形式を見直してみたらどうだろう。
LHAは、日本で生まれ、パソコン通信時代にはみんなお世話になった書庫ファイルの形式だ。今でもLHA形式で配布されるオンラインソフトは数多い。
WindowsがOSレベルでZIPに対応するようになってからは、僕もZIPにしてファイルを送ることが多くなったが、メールに貼付する場合、昔に戻ってLHAで圧縮したほうがいいかもしれない。

LHAも、自己解凍書庫にすると.exeという拡張子になるので、これはZIP以上にウイルスと間違えやすくなるため、駄目だ。別途、解凍ソフトが必要な、本来の.lzhという拡張子のファイルでやりとりする。
ZIPとLHAは、圧縮能力や使い勝手など、ほとんど差がない。相手がきちんとLHAを扱えると分かっている場合、メールに貼付するファイルはLHAで圧縮して送るのだ。

短いテキストファイルなども、本当は圧縮して貼付したほうが、文字化けなどが起きにくい。テキストファイルをそのままメールに貼付すると、相手の環境によっては、全部文字化けしたり、メールソフトが勝手に本文にそのテキストファイルを流し込んでしまったり、いろいろなトラブルが起きる。よく知っている相手とは、事故防止の意味でも、メールに貼付するファイルはLHAで圧縮するという流儀を確立しておくといいかもしれない。
（以前からそう思っているのだが、実際にはLHAで圧縮したファイルを開けない編集者などもいて、LHAの説明をする手間のほうが面倒なのでやめてしまった。）
もちろん、ウイルス作者が「.lzh」というウイルスを作ればそれまでだが、LHAという規格は適度にローカルだから、そういう可能性は低いだろう。

それにしても、このウイルス作者には恐れ入る。これだけのことを考える頭脳を持っているなら、プログラマーとしてだけでなく、セールスプロモーションや企画など、様々なジャンルで活躍できるだろうに。実生活を覗いてみたいものだ。