平成１３年１２月３日、ウイルス感染されたメールが私の事務所のパソコンに届きました。ウイルスが増加しているという情報は新聞等で知っていたのですがウイルス感染されえたメールを私の事務所で受け取るのは始めてでした。今回は、メールを読み込む前にウイルス感染されたメールが届いているかもしれないと言う連絡を受けていました。そこで今回、考えられるセキュリティー対策を行った後にメールを読み込み、問題のメールを駆除し、事務所のシステムがウイルスに感染していないことを確認するまでの過程をまとめてみました。
その前に、私の今までのウイルスに対する考え方ですが、基本的に私の事務所に届くメールの発信元は把握できる場合が殆どでしたので、添付ファイルに注意して、発信元の不明なメールの添付ファイルは開かないと言うことでした。ウイルス対策ソフトで感染が確認されたメールについては添付ファイルを開かなければ感染しないと言う対応でした。しかし平成１３年９月18日に新しいNimuda（ニムダ）と言うコンピュータ・ウイルスが発見されて今までの常識が通用しなくなりました。マイクロソフト社のウェブブラウザであるInternet ExplorerとメールソフトであるOutlookExpressの一定のバージョンを使用している場合、感染されているWebサーバの、ホームページを閲覧したり、感染されているメールをプレビューするだけで感染してしまうのです。このため、ウイルス対策ソフトを常駐させる必要があると考え、もともとウイルス対策ソフトはトレンドマイクロ社のウイルスバスターを使用していましたので、バージュンを２００２に上げてリアルタイム検索に設定していました。
Nimudaの猛威が一段落したところで、今回、BADTRANS-B（バッドトランスＢ）というウイルスが流行しだしました。このBADTRANS-Bと言うウイルスですが、メール件名は"Re"で始まっていますが"info"、"docs"、"Humor"、"fun"の場合がある・本文は空白・添付ファイルには二重拡張子（＜ファイル名＞.＜拡張子＞.＜拡張子＞）が付いていると言うのが特徴です。しかし最大の問題はNimuda同様Internet Explorerのセキュリティホールを使用してOutlookExpressでメールをプレビューするだけで感染してしまうと言うことです。攻撃者が実行可能な添付ファイルを含む電子メールの形式を変更し、Internet Explorer がその電子メールをプレビューする際に、添付ファイルを自動的に起動してしまうためです。
以下のバージョンはメールをプレビューしただけで感染する可能性があります。
Internet Explorer５．００
Internet Explorer５．０１
Internet Explorer５．０１ServicePack1(SP1)
Internet Explorer５．５
Internet Explorer５．５ ServicePack1(SP1)
（使用のバージョンはInternet Explorerのメニューバーから「ヘルプ（Ｈ）」「バージョン情報(A)」の左クイックで確認できます）
感染を予防する手段として、メールをプレビューしただけでは感染しない様に対応された以下のバージョンをインストールしておく必要があります。
Internet Explorer５．０１ServicePack2(SP2)
Internet Explorer５．５ ServicePack2(SP2)
Internet Explorer6（標準構成以上）
マイクロソフト社のホームページ（http://www.
microsoft.com/japan/ie/）から無償でダウンロードできます。またどのバージョンを使用するかはWINDOWSのバージョン等によりますので詳しくはそのホームペーズをご参照ください。
　私の事務所では、インターネットを使用しているパソコンのInternet ExplorerのバージョンはＳＰ１を使用していたので、ＳＰ２をインストールし直しました。
もう一つの予防策として、Outlook Expressでメールを自動的にプレビューさせない方法が考えられます。これはOutlook Expressの操作だけで設定ができますので、比較的簡単にできる対応です。Outlook Expressのメニューバーの「表示(V)」「レイアウト(L)」から「プレビューウインドウを表示する(P)」のチェックをはずします。
しかし、これらの対応はあくまでも感染の危険を下げるもので、届いたウイルスメールの添付ファイルをクリックするとウイルスが動作してしまいますので、ウイルス対策ソフトでリアルタイムに監視する必要はあるでしょう。
上記の２つの対応をしてから、いよいよメールを取り込むことにしました。予想通り以下のウイルスを検知するメッセージが表示されました。
ウイルスバスターの設定でウイルスを検索した場合駆除する設定にしていましたが、ウイルスを駆除できず放置するメッセセージが表示されていました。これについては、バッドトランスBは1個で動作するプログラム（ほかのファイルへの感染活動を行わない）のため、トレンドマイクロ製品で「ウイルス駆除」処理はしないとのことで、ウイルス対策ソフトとしては正常処理でした。結果的には、ウイルス対応ソフトでは検索はできましたが駆除できづ、問題のウイリスは手作業での駆除となりました。
トレンドマイクロ社のウイルス駆除のツール（トレンドマイクロ社のホーページからダウンロード）により駆除し、駆除後ウイルス感染されていないことの確認は駆除ツールにより作成されたログで行いました。基本的には"KERNEL32.EXE"、"KDLL.DLL"の二つのファイルの削除に成功していれば駆除は完了しています。
以上で、今回のウイルスBADTRANS-Bの対応は終了しました。
対応にあたって以下のホームページを参照しました。
トレンドマイクロ
http://www.trendmicro.co.jp/
マイクロソフト
http://www.microsoft.com/japan/ie/
シマンテック
http://www.symantec.com/region/jp/

最後に事務所システムのウイルスからの予防と、関与先に迷惑をかけない為と、無駄な時間を使わないため今後も次のようなことに注意したいと考ええています。
・不信な添付ファイルは開かない。
　特に２重拡張 子は要注意
・最新の状態のウイルス対策ソフトを常に起動さ
せ、リアルタイムでウイルス検索を行う。パタ
ーンファイル等は常に更新し最新にしておく。
・My documentsフォルダのファイルは要注意
ウイルスによってはMy documentsフォルダの
ファイルを配信するものがあります。
・メールを発信する場合、極力添付ファイル
は付けないようにする。
また、これらの対策を十分することにより、メールの配信先・配信元である関与先のセキュリティーにも役立つと考えています。

戻る