ウイルス対策ベンダー各社によると、米国時間26日からインターネット上で急速に広まっている大量メール送信ウイルスは、ユーザーのPCに感染後、2月1日にSCO Groupのウェブサーバに向けて、一斉に大量のデータを送りつけるDoS攻撃を狙ったものだという。
このウイルスは、ウイルス対策ベンダーによって「MyDoom」、「Novarg」、またはMimailの変種などと呼ばれているもので、「Mail Delivery System」「Test」「Mail Transaction Failed」など、いくつかある件名の1つが付いた形で受信箱に入ってくる。この電子メールには「The message contains Unicode characters and has been sent as a binary attachment」(「本文にUnicodeが含まれているためバイナリ形式で添付されています」)などの文とともに、実行ファイルが添付されている。
セキュリティソフトウェアメーカーのNetwork Associatesでアンチウイルス緊急対策チームを担当するバイスプレジデントのVincent Gullottoは、「このウイルスは大規模に発生している。我々はこれを危険度の高いウイルスに分類している」と語った。
Gullottoによると、Network Associates自身も、ウイルスに感染した電子メールを3400カ所の異なるアドレスから1時間で1万9500通受信したという。ある大手通信会社では既に、このウイルスを阻止するために自社の電子メールゲートウェイをシャットダウンしてしまった。
このウイルスは、ユーザーのPCに感染すると、攻撃者がリモートからコントロールできるようにするプログラムをインストールする。このプログラムは、2月1日にSCO Groupのウェブサーバに向けてデータ送信を開始するよう、PCをセットすると、あるウイルス研究者が匿名を条件に明らかにした。
SCO Groupは、Linuxコミュニティから怒りをかっている。Linuxの重要な部分が、同社の持つUnixの著作権でカバーされており、故にLinuxは著作権侵害にあたると主張しているためだ。これに対し、IBM、NovellをはじめとするLinux支持者は強い異議を唱えている。
SCOの技術者は、DoS攻撃が始まったかどうかに関して、すぐには確認できなかった。太平洋標準時の午後4時までに、同社のウェブサイトは反応速度が低下したと、SCOの広報担当は認めたが、しかしまだウェブからアクセスできると述べている。
SCOのウェブサイトは、昨年何度かDoS攻撃を受け、ネットから切り離されたことがあった。同社では、少なくともそのうちの1つについて、Linuxシンパの攻撃として、これを非難していた。
このウイルスは、26日の太平洋標準時午後1時ごろに感染を始め、ウイルス対策ベンダー各社は急遽情報収集に乗り出した。
アンチウイルスソフトウェアメーカーのSymantecでセキュリティ対策センターのシニアディレクターを務めるSharon Ruckmanは、「情報の大半が暗号化されているため、その暗号の解読が必要だ」と語った。Ruckmanによると、Symantecにはウイルス発生後最初の1時間で約40件の報告があったが、これはかなり多いという。
このウイルスは、システムに「バックドア」を開けるプログラムをインストールする。攻撃者はこのバックドアを使って、追加のプログラムを感染したPCにアップロードする。このバックドアはまた、侵入者が攻撃の発生源を隠すために、感染したコンピュータ経由で標的とするサーバに接続することも可能にする。
このウイルスはまた、PC上のKazaaのダウンロードファイルを保存するディレクトリ(フォルダ)に自身をコピーする。そして、Winamp5、RootkitXP、Officecrack、Nuke2004など7つのファイル名のいずれかを使って、身元がわからないように偽装する。メール本文に書かれたテキストの例としては、「The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment」(「この文章は7ビットのASCIIエンコーディングでは表示できませんので、バイナリ形式で添付されています」)などがある。
初期のデータから判断すると、このMyDoomウイルスは昨年夏に大規模な広がりをみせたSobig.Fウイルスの数倍の規模になる可能性があると、電子メールサービスプロバイダ、Postiniのエンジニアリング担当バイスプレジデントのScott Petryは語った。
「いまの割合でいくと、1日に約800万台に感染しそうだ」(Petry)。同社では、Sobig.Fの際には最初の1日に検知した数は1400件でしかなく、またピーク時にも24時間で350万件を隔離しただけだった。
なお、電子メールから実行ファイルを削除するメールシステムは、このプログラムの感染を阻止することができる。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
地味ながら負荷の高い議事録作成作業に衝撃
使って納得「自動議事録作成マシン」の実力