■第2回:症候群
パソコン通信時代から数えてキャリア13年のネットユーザーのあるライターがワームに感染。さらにアドレスブックに登録されている友人・知人約200人にメールでワームをバラまいてしまった。どんな症状が発現し、その緊急事態に、彼はどう対処したか。 特別集中連載「あるウィルス感染者の告白」を、昨日に続いてお届けする。 |
~~ 発病 ~~
電話は鳴りっぱなしだ。しかしウィルスと分かってかけてきてくれる電話は、こちらも救われる。謝ればいいだけの話だからだ。だが、つらいのは「開こうとしても、開かないんだけど」という連絡。ウィルスであることを知らせたときの、電話線の向こうの沈黙。「対処法を調べてすぐ連絡しますから、とりあえずPCの電源落としてください」と言うしかないつらさ。そして再び沈黙……。
返信のメールも次々やってくる。「届いたメールにウィルスが含まれているようです」「何を突然送ってきたかと思えばウィルスかい(笑い)」。受信者がこうならこちらも安心。「文字化けで読めないんだけど」「さっきのファイルは何? マックなので開けません」。これも二次感染は心配ない。思わず息を詰めてしまうのが、「開こうとしたけど開けない」という返信。電話かファクスで緊急連絡が必要だ。かける電話と受ける電話、受話器を2つ握って、てんてこ舞いの状況が続いた。
~~ 症例検討 ~~
ビジネスも戦争も、たとえ相手がウィルスであっても、まず必要なのは敵を知ることだ。情報収集なくして対策の立てようもない。幸いなことにポピュラーなウィルスであったため、アンチウィルスソフトの発売元のホームページにはみなこのウィルスの対処法が出ていた。返信メールで当該ページのURLを教えてくれた人も幾人かあり(感謝!)、迷わずそこに到達することができた。
このワームの性質もわかってきた。ファイル名はPrettyPark.exe。フランス起源とみられる典型的な自己増殖型ウィルス(ワーム)で、いくつかの亜種があるらしい。Windows95/98+OutlookExpressのユーザーが標的で、感染すると30分ごとにアドレスブックから電子メールアドレスを拾って、自分自身を添付ファイルとして「送信」してしまう。さらに、30秒ごとにIRCサーバーに接続して特定のチャンネルに参加しようと試みる。チャンネルにつながると、ウィルス作者はこのワームを足がかりにして、感染マシンへの不正アクセスが可能になるという……。ネットワークに常時接続しているマシンで感染すると、相当やっかいなことになるのだ。
それにしてもウィルス添付メールの発信者が「感染者の名前になる」ところが、この種のワームのいちばんやっかいな性質ではなかろうか。「よく知っている人からの怪しいファイル」につい脇が甘くなってしまう人がある割合で存在する、それがワームの存続を支えるからくりなのだと思う。
~~ 治療方針 ~~
しかし考えてみよう。コンピュータ・ウィルス、それもワームなどのようにネットワークとの相乗効果で障害を引き起こすウィルスに感染して一番苦しいのは、もっとも有効な情報収集手段であるネットワークとの接続が絶たれてしまう(絶たざるを得なくなる)ことだ。人間でいえば、高熱で起きあがれず医者にも行けなくなってしまった状態である。外出できなければ有効な治療もできない。もし脱水症状など併発すれば、さらに危険なフェーズに突入する。せめて声の出るうちに救急車でも友人にでも助けを求めないと、とり返しのつかないことになりかねない。
その一歩手前で“高熱を発していた”私にとって、外の世界へ連れ出してくれる救急車の役目を果たしてくれたのが、ダイヤルアップルーターにつながっていたもう一台のマシン、Macだった。VAIOにつながるイーサネットのケーブルを引き抜き、ルーターの電源を再投入。返信メールの受信、ウィルスを知らせるメールの発信、ホームページでの情報収集や、修復ツールのダウンロードなど必要な情報や道具をMacで入手することができた。幸運というより僥倖だったかもしれない。
Macが使えたおかげで必要なツールは入手できた。再びルーターの電源を落として局線のモジュラープラグを外し、ネットとの接続を絶つ。それからVAIOのイーサネットケーブルをルーターにつなぎ、電源を再投入、VAIOも起動する。この時点でLANが蘇った。そしてMacからVAIOへFTPでツールを転送し、手術の準備は整った。
~~ 感染防止 ~~
が、その前にやっておかなければならないことがある。私からウィルスを受け取ってしまった人たちへの情報提供だ。思うに、ウィルスからの快癒とは、自分のパソコンだけ復旧できたということではないはずだ。二次感染させてしまった人たちへのサポートも完遂して、はじめて全快したといえるのではないか。
そこで私は手術に先立ち、次のようなメールをマックから送信した。アドレス帳からメールアドレスをすべて拾ってBCCに貼り込み(受信者に他の受信者のメールアドレスが見えないように)、一気に送信。返信メールのヘッダーを確認し、「X-Mailer: Microsoft Outlook Express」となっている人には最優先で連絡をとり、プリントアウトしてファクスでも送った。このとき送ったメールを、そのまま引用しよう。
> SORRY! The file I sent "PrettyPark.exe"
is a Virus!!!
> Delete the file, DO NOT OPEN IT, PLEASE!
>
> 喜多充成です。ごめんなさい、不注意にもウィルスをばらまいてしまいました。
>PrettyPark.exeという添付ファイルは開かずに捨ててください。実行すると、アド
>レス帳からメールアドレスすべてに対し、それ自身を添付したファイルをユーザー
>の知らないうち送ってしまうものだそうです。それ以外の悪さはしないそうです
>が、ご注意を。ウインドウズのアウトルックエクスプレスでなければ、感染はし
>ないようです。ウィルス情報、下記のURLにあります。あいすみません。
>http://www.nai.com/japan/virusinfo/virPQ.asp?v=W32/Pretty.Worm&a=PQ
>除去法としては、上記URLにも記載されていますが、
> 1) レジストリの書き換え
> 上記URLからダウンロードできます。ツールを添付ファイルで送るのははばから
> れますので..。
> 2)ウィルスそのものの除去
> c:\windows\system\files32.vxd(起動ドライブのwindows\system
> ディレクトリにあるfiles32.vxdというファイル)を削除する
> (そのファイルが存在しなければ、非感染と断定できます)
>なお、このメールはマックから送信していますので、安全です。アドレス帳にメー
>ルアドレスが載っているみなさんは、私にとってきわめて大事な方ばかりです。
>そんなみなさんにご迷惑をおかけしたうえに、我が身の恥を広めてしまい、穴が
>あったら逃げ込みたい気分。加えて携帯電話の電池が切れてたうえに、事務所の
>電話がつながりにくかったり……。これに懲りず、今後ともご指導ご鞭撻賜ります
>よう、よろしくお願いいたします。ついでといってはなんですが、ごぶさたして
>いるみなさんからの近況をお知らせいただくのが、私にとってのなによりの慰め
>かも……。
改めて見返しても、ほとんど「お涙頂戴」で赤面を禁じ得ない。しかし、二次感染防止策として可能な方策も、こういった情報提供しかないのが実状なのである。
◎前後の回もチェック!
■あるウィルス感染者の告白 ~ 第1回:発覚 ~
■あるウィルス感染者の告白 ~ 第3回:終息、そして…… ~
■著者紹介 喜多充成(きた・みつなり) 1964年石川県生まれ時事ニュース、IT、産業技術などをフィールドに、「インターネットマガジン」「週刊ポスト」「プレジデント」などで活躍するジャーナリスト。情報山根組の“通信兵”からの格下げはまぬがれた様子(それより下の位がない)。 |
(2000/4/13)
[Reported by 喜多充成 kita.mitsunari@nifty.ne.jp]