2002年5月の発見

2002年5月7日（火）

クレズH

こんな形でこのコーナーが復活するというのは不本意なんですが，致し方ありません。最近流行しているというワーム（ウイルスとは違うのですが，ウイルスと言ったほうが通りがいいかもしれません）クレズHについて，掲示板に随時載せていた話をここにまとめましょう。

5月4日の夕方だったと思いますが，最近話題の「発信者を偽るウイルス（ワーム）」が私のところにも来ました。
これがクレズH（WORM_KLEZ.H）です。

それ以前から来ていたと思うのですが，ワームは来る端から消しているので，手元に記録が残っていません。しかし，その時点で問題の重要性に気づいておくべきでした。

このワームがPCに感染すると，アドレス帳のほか，ローカルドライブ（ハードディスクなど）の中にある拡張子“.mp8”，“.exe”，“.scr”，“.pif”，“.bat”，“.txt”，“.htm”，“.html”，“.wab”，“.doc”，“.xls”，“.cpp”，“.c”，“.pas”，“.mpq”，“.mpeg”，“.bak”，“.mp3”（お，多い(^^;）のファイルからメールアドレスを収集し，アトランダムに送信者と受信者に設定してワームをばら撒きます。

以前に訪れたウェブページはキャッシュとしてディスクに保存されているので，掲示板などに書き込んだメールアドレスがこのときに収集されてしまいます。

K大学の知り合いから来たことになっている（もちろん偽られた発信者），Internet Explorer の集成プログラム（笑）という体裁のワームをみても，鈍感な私は，まだ事態に気いていませんでした。
はっと気づいたのは，私から私あてに（これも笑）ADSL加入を勧める趣旨のメールが来たときでした。

そうです，クレズHが送られてくるということは，どこかの感染PCで私のメールアドレスが収集されたということであり，クレズHはそれを送信者に指定することだって，当然あるはずなのです。

慌てて，それまで届いたクレズH（一部はすでに削除していましたが）のメールについて，ヘッダを表示させてみると，大半には同じ
> Return-Path: <xxxxxxxx@ngs1.xxxx.ne.jp>（一部修正）
という記述があり，メールがngs1.xxxx.ne.jp（やはり一部修正）を経由してきているので，どうもこれが感染者を示すのではないかと考えました。これを仮にX氏とします。

こうしている間にも，X氏から次々とクレズHが届き，しかもその半数近くの“発信者”が私ということになっていました(^^;ゞ。
これはまずい。前述のK大学の人も考古学関係者。ということは，X氏は考古学サイトをいくつか閲覧している人で，X氏のPCからワームが収集したメールアドレスには考古学関係者の者が多く含まれている可能性があります。彼らに対して，“発信者”を私と偽ったメール（しかもワームのおまけつき）がかなりの割合で発送されているということではないですか。

危惧を裏付ける事態になりました。身に覚えのない「Returned mail」がいくつも届くようになったのです。X氏のPCに入り込んだワームは，“発信者”に私を，“宛先”に某氏を指定したのですが，某氏のアドレスがすでに消滅していた（あるいは架空か不正確なものだった）ので，某氏が所属する大手プロバイダから，“発信者”である私あてに「こんなアドレス，ないですよ」というメールが届いたのです。

私が対策に乗り出したのは，事態がここまで及んだ4日深夜でした。

まず，人のことを言う前に，自分のPCを診断し，感染していないことを確認しました。

クレズHに感染していると思われるX氏に関しては，私の面識のない人物と思われましたので，X氏の加入されている地域プロヴァイダに，「会員の方に感染の疑いがあるので調べてほしい」旨の電子メールを送りました。連休中だし，いつ対応してもらえるのかわかりませんが，直接メールして角が立つのもいやなので，この点はプロに任せました（プロヴァイダなら，X氏の通信履歴も把握できますしね）。

それから，X氏のPCに入り込んだワームが考古学者のアドレスをたくさん抱えている可能性があるので，掲示板などでここまでの経緯を報告しました。

X氏が発信源と推定されるワームは，その後何度か届きましたが，6日朝を最後に，その後は届いていません。

しかし，別の人たちから，やはり同様のワームが届くようになりました。中には
> Subject: W32.Klez.E removal tools（クレズEを除去するツール）
などという，人を馬鹿にしたタイトルのメール（やはりワームのおまけつき）もありました。

クレズEは奇数月6日に破壊活動を行う変種

そんなわけで，連休後半をワームに苦しめられている次第です（名前を使われているだけで感染していないのが不幸中の幸いですが）。

よく言われていることばかりですが，注意点をまとめておきましょう。

1. 添付ファイルは開かないようにしましょう。安易に開かなくてすむように，添付ファイルをやり取りする習慣そのものを控えましょう。どうしても送る必要があるときは予告する習慣をつけましょう。
2. HTMLメールは表示させない（プレビュー含む）ようにしましょう。HTMLメールをやり取りする習慣そのものを控えましょう。多くの場合，必然性はありません（うっとうしいだけ）。
3. 感染を促しやすいOutlook Expressなどは，設定を見直しましょう。私も使ったことがあるので，なかなか高機能のソフトであることは認めますが，危険を放置した使い方は改めましょう。または，ほかのソフトに乗り換えましょう。
4. 怪しいメール（添付ファイルがある，変なタイトル，発信者が偽られている，など）が届いたら，ヘッダを確認しましょう。疑いが晴れなければ迷わず削除し，ごみ箱からも消しましょう。
5. 最新の情報を確認しましょう。マスコミの記事は大まかで不正確なことが多いので，憶測や伝聞に頼らず，シマンテックやトレンドマイクロのサイトを利用しましょう。
6. パソコンの診断をしましょう。

まだまだ変なメールが続くのかなぁ。

この記事にはトレンドマイクロによる情報を活用させていただきました。