新しい大量メール送信型ウイルスは、MyDoomの感染手法を1つか2つ真似て作られた可能性があるが、これが広範囲に被害を与える可能性は低い、とSymantecの関係者は話している。
現地時間3日に同セキュリティソフトウェアメーカーが情報公開したワーム「Evaman」は、「Failed Transaction(トランザクションエラー)」、「Failure Delivery(配信エラー)」、「Returned Mail(配信不能)」をはじめとする、ランダムな件名の電子メールに添付される形で送りつけられる。
Symantecのアジア太平洋地域担当シニア技術ディレクターTim Hartmanは、「Evamanは、受信トレイに入ってきた際の様子がMyDoomウイルスと非常に良く似ている」と語った。
メールサーバから送信された本物の送信エラーメッセージであることを偽装するため、電子メールの本文には「The last e-mail sent by this account could not reach intended destination. E-mail has been returned as text file attachment.(本アカウントが送信した電子メールは送り先に送信できませんでした。メールの内容は添付のテキストファイルを参照下さい)」といった文章が書かれている。
この文章の狙いは、受信者に添付の実行ファイルをクリックさせることにある。このファイルは、バックドアプログラムをインストールし、感染したPCからさらに多くのユーザーにワームを送りつけられるようにしてしまう。このウイルスは、今のところWindowsベースのシステムにしか感染しない。
現在のところ、EvamanのターゲットはYahooの電子メールディレクトリ「People Search」に登録されたアドレスに限定されている。感染したマシンのワームは、このサイトから電子メールアドレスを入手して感染を拡大していく。
当初の報道では、EvamanワームがMyDoomと同じくらい感染を拡大すると言われていたが、Hartmanはその後、この新たな脅威がさほど深刻なものではない、と見るようになった。
自前のSMTPエンジンを使って増殖するMyDoomウイルスと違い、Evamanウイルスを含んだメッセージは、EarthlinkやAT&Tなど、米国に本社を置くISPが保有する既定のSMTPメールサーバ15個のうちの1つを利用する形でルーティングされる。
Hartmanによると、このやり方がワームの感染拡大を抑えているという。同氏はCNETAsiaに対し、「Evamanは、複数のSMTPサーバを中継しながら送信される。しかし中継サーバはすべて、既にフィルタを有効にしている」と語っている。
さらに同氏は、ウイルスが早期に発見されたため、同社には「大発生を防ぐための時間が十分にあった」と話している。現在までのところ、SymantecではEvamanワームの報告を顧客から2件しか受けておらず、いずれもアジア太平洋地域ではない。
これらの要因を考慮し、Symantecは、レベル5を最高とする5段階評価で、このワームの脅威度をレベル2に指定している。ライバルのMcafeeも、Evamanウイルスのリスクを低く設定している。
しかしHartmanは、ヨーロッパ企業が週明けを迎える5日に感染数が伸びる可能性もある、と警告している。さらに、「米国が独立記念日の連休明けを迎える火曜日にもう1つ山があるかもしれない」と付け加えた。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス