IPA/ISEC(独立行政法人 情報処理推進機構 セキュリティセンター)によると、2004年1月〜6月の半年間のウィルス届け出件数は21,957件と、すでに2003年の累計である17,425件を大幅に突破してしまった。
この原因は、2月に発生したメール感染型のNetskyとその亜種が未だ猛威をふるっており、なかなか収束しないためだ。
この大混乱を巻き起こした犯人は、マイクロソフトがスポンサーとなったウィルス対策の懸賞金で狩られたわけだが、蓋を開けてみてびっくりの若干18歳の少年だったとのこと。
CNET Japan : 実は1人の仕業--今年前半のウイルス感染状況、SasserとNetskyが上位に
最近のこの種のウィルスのタチが悪いのは、WindowsのMAPIを用いずウィルスが独自にSMTP送信を行うことだ。被感染マシンのリソースをフル活用してメールサーバを介さずに直接メールを配送するため、送信ログが残らず感染経路のトレースが難しい。
WORM_NETSKY.Pは、「不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する (MS01-020)」というセキュリティホールを衝いてくるため、対策が行われていないWindowsマシン上のOutlook Expressでメールをプレビューしただけで感染してしまう。
こういうセキュリティホールがいつまで経ってもなくならないのは、従来のプログラミング言語、主にCやC++でメモリ管理(特に文字列バッファ)をプログラマーに任せてきたからだ。プログラムからバグがなくならないのと同じ理由によって、ウィルスの感染メカニズムは担保されているのである。
なんとももどかしい話ではある。
IPA/ISEC : バッファオーバーラン その1「こうして起こる」
安全なネットワークプログラミング(JPCERT/CC&NEC 佐野 晋)
Windows XP SP2ではコア部分がVisual C++の「/GSオプション」をつけて再コンパイルされているため、DoS攻撃は防げない(強制終了される)ものの、「乗っ取り」は防ぐことができる。
また、最近の64ビット系プロセッサ(Itanium / Athlon 64 / Opteron)では「NX」(No Execute)という機能がサポートされており、データエリアでのプログラムの実行をページ単位でハードウェア的に禁止することができる。ということは、逆にデータエリアでのプログラム実行に依存していたようなトリッキーな(?)プログラムは当然ながら動かなくなるので、特殊なデバイスや古いソフトウェアを使っている場合には要注意。
AtmarkIT : Windows XP SP2で採用されたDEPの仕組み(元麻布春男)
鬱陶しいウィルスメールはご勘弁!と思っているあなた。身の回りの人、特に親族などに古いマシンを使っている人がいるのでは?あるいは、お下がりの古いマシンをあげてませんか?たぶん、多くのウィルスはそういう人のマシンから知らず知らずのうちにバラ撒かれて届いているのだから、この機会に一度、ざっと周囲のWindowsユーザーにWindows Updateを呼びかけてみてはいかが?
存外、問題解決とはこういう一見焼け石に水のように思える努力の積み重ねの先にあるものです。そしたらまた、今とは全く違うアーキテクチャの新種ウィルスが出てくるのだろうけれど、西洋医学がそうであるように、目先のモグラを叩き続けるという循環は自由主義社会のあだ花なのだから。
♪ Marc Bonilla / Lycanthrope
