MyDoomウイルス感染拡大--SCOサーバ攻撃のXデーは2月1日

　ウイルス対策ベンダー各社によると、米国時間26日からインターネット上で急速に広まっている大量メール送信ウイルスは、ユーザーのPCに感染後、2月1日にSCO Groupのウェブサーバに向けて、一斉に大量のデータを送りつけるDoS攻撃を狙ったものだという。

　このウイルスは、ウイルス対策ベンダーによって「MyDoom」、「Novarg」、またはMimailの変種などと呼ばれているもので、「Mail Delivery System」「Test」「Mail Transaction Failed」など、いくつかある件名の1つが付いた形で受信箱に入ってくる。この電子メールには「The message contains Unicode characters and has been sent as a binary attachment」（「本文にUnicodeが含まれているためバイナリ形式で添付されています」）などの文とともに、実行ファイルが添付されている。

　セキュリティソフトウェアメーカーのNetwork Associatesでアンチウイルス緊急対策チームを担当するバイスプレジデントのVincent Gullottoは、「このウイルスは大規模に発生している。我々はこれを危険度の高いウイルスに分類している」と語った。

　Gullottoによると、Network Associates自身も、ウイルスに感染した電子メールを3400カ所の異なるアドレスから1時間で1万9500通受信したという。ある大手通信会社では既に、このウイルスを阻止するために自社の電子メールゲートウェイをシャットダウンしてしまった。

　このウイルスは、ユーザーのPCに感染すると、攻撃者がリモートからコントロールできるようにするプログラムをインストールする。このプログラムは、2月1日にSCO Groupのウェブサーバに向けてデータ送信を開始するよう、PCをセットすると、あるウイルス研究者が匿名を条件に明らかにした。

　SCO Groupは、Linuxコミュニティから怒りをかっている。Linuxの重要な部分が、同社の持つUnixの著作権でカバーされており、故にLinuxは著作権侵害にあたると主張しているためだ。これに対し、IBM、NovellをはじめとするLinux支持者は強い異議を唱えている。

　SCOの技術者は、DoS攻撃が始まったかどうかに関して、すぐには確認できなかった。太平洋標準時の午後4時までに、同社のウェブサイトは反応速度が低下したと、SCOの広報担当は認めたが、しかしまだウェブからアクセスできると述べている。

　SCOのウェブサイトは、昨年何度かDoS攻撃を受け、ネットから切り離されたことがあった。同社では、少なくともそのうちの1つについて、Linuxシンパの攻撃として、これを非難していた。

　このウイルスは、26日の太平洋標準時午後1時ごろに感染を始め、ウイルス対策ベンダー各社は急遽情報収集に乗り出した。

　アンチウイルスソフトウェアメーカーのSymantecでセキュリティ対策センターのシニアディレクターを務めるSharon Ruckmanは、「情報の大半が暗号化されているため、その暗号の解読が必要だ」と語った。Ruckmanによると、Symantecにはウイルス発生後最初の1時間で約40件の報告があったが、これはかなり多いという。

　このウイルスは、システムに「バックドア」を開けるプログラムをインストールする。攻撃者はこのバックドアを使って、追加のプログラムを感染したPCにアップロードする。このバックドアはまた、侵入者が攻撃の発生源を隠すために、感染したコンピュータ経由で標的とするサーバに接続することも可能にする。

　このウイルスはまた、PC上のKazaaのダウンロードファイルを保存するディレクトリ（フォルダ）に自身をコピーする。そして、Winamp5、RootkitXP、Officecrack、Nuke2004など7つのファイル名のいずれかを使って、身元がわからないように偽装する。メール本文に書かれたテキストの例としては、「The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment」（「この文章は7ビットのASCIIエンコーディングでは表示できませんので、バイナリ形式で添付されています」）などがある。

　初期のデータから判断すると、このMyDoomウイルスは昨年夏に大規模な広がりをみせたSobig.Fウイルスの数倍の規模になる可能性があると、電子メールサービスプロバイダ、Postiniのエンジニアリング担当バイスプレジデントのScott Petryは語った。

　「いまの割合でいくと、1日に約800万台に感染しそうだ」（Petry）。同社では、Sobig.Fの際には最初の1日に検知した数は1400件でしかなく、またピーク時にも24時間で350万件を隔離しただけだった。

　なお、電子メールから実行ファイルを削除するメールシステムは、このプログラムの感染を阻止することができる。