感染を広げるBugbear.Bワーム、危険度は「高」

　9カ月前に発生したBugbearワームの亜種、Bugbear.Bが蔓延の兆しをみせている。このため、アンチウィルスベンダー各社がユーザーに警告を呼びかけている。

　米Network Associatesは米国時間6月5日の朝、Bugbear.Bの危険度を「中」と発表したが、その3時間後には「高」に引き上げた。「Bugbear.Bは約半日で、ウイルスランキングのワースト1に踊り出た」（Network Associatesのアンチウィルス・リサーチ・フェローのJimmy Kuo）

　Bugbear.Bは大量メール送信ワームで、初代のBugbearと非常に似ている。感染パソコンの電子メール受信ボックスからメッセージを選んで返信メールを作成し、自身の複製を添付して、アドレス帳に記載されているユーザーすべてに送りつける。ときには、「Announcement」「Hi!」といった件名のメッセージを独自に作成して、同様に送信する。

　同ワームはOutlookの電子メール形式、MIME（Multipurpose Internet Mail Extensions）の欠陥を悪用する。すでに2年前から修正パッチが公開されているが、一部のユーザーはいまだにパッチを当てていない。ちなみにパッチを当てていないOutlookでメッセージの内容を表示すると、ワームがパソコン上で自動的に実行される。

　Bugbear.Bでとりわけ注目すべきは「銀行や証券会社が所有するインターネットドメインに接続しているパソコンを狙う点だ」（Kuo）という。「銀行内の端末は“エアギャップ”などのセキュリティ対策を施してはいるものの、ウィルスは何らかの形でこれを乗り越え、侵入してくる」（Kuo）。エアギャップは、機密性の高いパソコンに対してよく利用される技術で、公共のインターネットからパソコンを隔離する。

　また、このようなシステムでBugbear.Bは、モデムが最後に通信した番号を呼び出し、目的のシステムに対して自身の送信を試みるという。

　また、感染システムとネットワーク共有するハードディスクなどにも感染する可能性がある。この場合、ハードディスク内の30以上のプログラムに自らを追加し、プログラム実行時に感染する。他にも、パソコンのポート1080を「バックドア」として開いて攻撃者の侵入を可能にしたり、キーボードの入力内容を盗み出すことができるキーロガーなどをインストールしたりする。

　英MessageLabsのCTO（技術最高責任者）のMark Sunnerは「SoBigはスパムメール的様相が強かったが、Bugbear.Bは非常にたちの悪い機能を持っている。被害は瞬く間に広がるだろう」と語っている。