セキュリティ関連の団体やウィルス対策ソフトのメーカーが、メールで広まる新種のワーム(ウィルス)「I Love You」(「LOVELETTER」「LoveBug」などとも呼ばれる)が世界的に流行しているとして、注意を呼びかけている。ワームのターゲットとなっているのは、Microsoft社のWindows版PIM&メールソフト「Outlook」のみ(Outlook Expressは含まない)。ただし、メールソフトを問わず感染自体は起こる可能性はあり、ファイルが失われたりすることがある。
このウィルスは、知人などのアドレスから送られてきた「ILOVEYOU」と題するメールに、「LOVE-LETTER-FOR-YOU.TXT.vbs」という添付ファイルがついており、受信側でうっかりそれを開く(実行する)と感染してしまうというもの。「.vbs」(VBScript)ファイルはメールでやりとりする可能性は稀なため、拡張子が.vbsのファイルをメールで送られてもそのまま実行しないようにしたい。
このワームに感染すると、Outlookのアドレス帳に登録されている人にかたっぱしから自動的に自分自身をメールで送って自己増殖する。そのため、メールを受け取った側には知人から来たメールに見えるわけだ。
また、受信者のマシンにある「.vbs」「.js」「.jpg」「.mp3」などのファイルを勝手に削除して回り、自分自身を同じファイル名で置く。ただし.vbs以外のファイルでは拡張子が「.vbs」になるので発見は比較的容易だろう。ほかの感染方法として、チャットソフト「mIRC」を通じた自己増殖もある。さらに、勝手に悪意あるプログラムをダウンロードする機能もあるが、このダウンロード元サイトが閉鎖されておりこの機能は実際は機能しないようだと報告されている。
すでに感染している場合には、下記のファイルが存在しているのでわかる。
ほか、ウィルス対策ソフト各社は最新版の定義ファイルで発見できるよう対応している。また、セキュリティ調査機関の米CERT/CCでは情報とともに広く使われているメール配送サーバープログラム「sendmail」でのフィルタリング方法を紹介。一方、国内で広く使われているメーリングリストサーバーソフト「fml」でも、フィルタリング設定が紹介されている。
このワームを手動で削除する場合には、ファイルの削除のほかにレジストリ(システム設定情報)の書き換えも必要となる。自動駆除のツールをシマンテックやトレンドマイクロが無償公開しているので、自信のある人以外はそれを利用するのがよいだろう。
報道などでは、メールを開くだけで感染するように誤解を招く書き方もなされているが、ウィルス対策ソフトのメーカーによると、現在報告されている限りではそうしたメールソフトのセキュリティホールを突く機能はないという。ただし、前述したように、知人から来たメールに見えるため、うっかり実行してしまうことのないようにしたい。
また、ワーム自体はVBScriptで書かれたプログラムのため、さまざまな亜種も報告されており、上記の機能とは違ったものも出てきている。これらの亜種は、一概にメールの題名やファイル名では判断できないため、.vbsファイル自体に注意したい。
■情報処理振興事業協会(IPA」の緊急アナウンス
http://www.ipa.go.jp/SECURITY/topics/loveletter.html
■シマンテックによる情報と無償駆除ツール
http://www.symantec.com/region/jp/news/year00/000506.html
http://www.symantec.com/region/jp/sarcj/data/v/vbslovelettera.html
http://www.symantec.com/region/jp/sarcj/fixlove.html (駆除ツール)
■トレンドマイクロによる情報と無償駆除ツール
http://www.trendmicro.co.jp/loveletter/
http://www.trendmicro.co.jp/virusinfo/loveletter.htm
http://www.trendmicro.co.jp/virusinfo/loveletter2.htm
http://www.trendmicro.co.jp/loveletter/swat.htm (駆除ツール)
■日本ネットワークアソシエイツによる情報
http://www.nai.com/japan/virusinfo/loveletter.asp
■CERT/CCによる情報とsendmailでのフィルタリング方法
http://www.cert.org/advisories/CA-2000-04.html
■メーリングリストサーバー「fml」でのフィルタリング設定
http://www.sapporo.iij.ad.jp/staff/fukachan/fml/
■SPAMフィルターソフト「Magellan」でのフィルタリング設定
http://www.makie.com/ja/iloveyou.html
■マイクロソフトによる情報。Outlook 95/98/2000で添付ファイルへの警告を増やすモジュールや「Exchange Server」上でのスキャンツールなど
http://www.asia.microsoft.com/japan/security/
■米FBIによる情報
http://www.fbi.gov/nipc/alert00-041b.htm
■被害も出た米国防総省(DoD)のアナウンス
http://www.defenselink.mil/news/May2000/n05042000_20005044.html
■被害総額が26億1,000万ドルにのぼるとするComputer Economicsの報告
http://www.computereconomics.com/new4/pr/2000/pr000505.html
■フィリピンでの報道
http://www.mb.com.ph/INFO/2000-05/IT050801.asp
http://www.inquirer.net/issues/may2000/may08/news/news_3.htm
http://www.philstar.com/datedata/g08_may8/tech1.htm
(2000/5/8)
[Reported by masaka@impress.co.jp / Watchers]