ウイルススキャンをすり抜ける--Bagleワーム、一挙に5つの亜種出現

　Bagleワームの5つの新亜種が先週末に登場した。このうち2つは、特に企業のウイルス対策ソフトウェアのスキャン技術に問題を引き起こすと、専門家らは警告している。

　BagleのバージョンC、D、E、F、Gが、先週末に流行し始めた。最初の3つは、電子メールを介して感染し、ユーザーが添付ファイルを開くとパソコンに感染するもので、オリジナルのBagleワームに非常によく似ている。だがBagle.FとBagle.Gは、大半の企業のウイルス対策ゲートウェイをすり抜けるよう設計されている。

　フィンランドのセキュリティ会社F-Secureのウイルス対策責任者Mikko HypponenはZDNet UKに対し、Bagleワームの最新亜種は暗号化されたZipファイルの形でメールに添付され、メールにはその暗号化されたファイルへのアクセスに必要なパスワードが含まれている、と述べた。つまり、「.zip」ファイルは通常フィルタに遮断されないため、企業はこのワームを水際で検知できない可能性が高い。また、暗号化されているため、ウイルススキャン機能もZipファイルを展開して調べられないことになる。「多くのゲートウェイスキャン機能ではファイルを展開してスキャンできないことから、このワームはこの隙をうまくくぐり抜けている」（Hypponen）

　ウイルス対策会社SophosのシニアテクノロジーコンサルタントであるGraham Cluleyは、「ISP（インターネットサービスプロバイダ）がいかに優秀であっても、ウェブメールアカウントやウイルス対策ゲートウェイ製品はメールスキャンをする程度だ。暗号化されたZipファイルの中にあるワームを検知することには役に立たない」と話している。

　ウイルス対策会社McAfeeの研究部門McAfee AvertのマーケティングマネージャーDavid Emmもこの意見に同意している。「Zipファイルの中身が正当なファイルである可能性のほうがずっと高いことから、.exe形式のスクリーンセーバーや.pifファイルに比べ、.zipファイルが遮断される可能性ははるかに低い。また、このファイルがフォルダのように見えれば、受け取ったユーザーはこれが良性のものであると考えてしまいがちだろう」（Emm）

　Emmは、このように短期間に多数の亜種が出回るワームには、他に例がないとコメントしている。「多数の亜種が出回ることは珍しくないが、これほど短期間に多数の亜種が見つかるケースには、前例がないと思う」（Emm）

　なおBagle FとBagle Gは、2005年3月25日に期限切れとなるようコーディングされている。