【国産ソフトを狙ったゼロデイウイルス】
拡大表示

 ソフトウエアの未知のぜい弱性を突いて感染する「ゼロデイウイルス」。マイクロソフト製品のように、世界中で使われているソフトウエアが標的になってきたが、国産ソフトも狙われ始めた(表)。

 2006年夏から2007年春にかけて、ジャストシステムのオフィスソフト「一太郎」シリーズを狙ったゼロデイウイルスが続出。2007年6月には、フリーのファイル圧縮・解凍ソフト「+Lhaca(ラカ)」を狙うウイルスが出現した。「国産のフリーソフトが狙われるとは思ってもみなかった。今後は、どのようなソフトウエアも攻撃対象になると考えた方がよい」(シマンテックの浜田譲治氏)。

読み込むだけで被害

 ぜい弱性を突くウイルスの危険な点は、通常は安全とされる文書ファイルやデータファイルなどに潜んでいること。

【ダミーの一太郎ファイルを生成】
拡大表示

 例えば、+Lhacaを狙ったウイルスの実体は、LZH形式の圧縮ファイル(拡張子がlzh)。通常なら、LZHファイルにウイルスファイルが含まれていても、解凍するだけ(解凍ソフトで読み込むだけ)では感染しない。解凍されたウイルスをユーザーが実行しない限り、動き出すことはないのだ。ところが、ぜい弱性を悪用されると、LZHファイルを読み込むだけで、ウイルスが勝手に動き出す。

 こういったウイルスには、修正パッチ(セキュリティ更新プログラム)の適用や、ぜい弱性を修正した最新版の利用が対策となる。しかし、出現したばかりのゼロデイウイルスには無力。パッチや修正版は存在しない。ウイルス対策ソフトでも検出できないことがほとんどだ。

 さらに、ゼロデイウイルスの多くは、ウイルス感染をユーザーに気付かれないように、偽装工作を行う。

 例えば、+Lhacaのぜい弱性を悪用するウイルスは、ダミーのLZHファイルを生成して+Lhacaに解凍させる。このLZHファイルには、「出張報告.jtd」という一太郎の文書ファイルが圧縮されている。このファイルには何も書かれていない。その裏で、パソコンを乗っ取るような別のウイルスを生成して実行する。

ターゲットは日本人

 LZH形式や+Lhaca、一太郎は主に日本国内で利用されている。加えて、生成されるファイル名は日本語。これらから、「今回のウイルスは、日本のユーザーを標的にしていると考えられる」(ラックの新井悠氏)。これは、今回取材した専門家の一致した意見だ。

 ゼロデイウイルスはメールで送られてくることがほとんどなので、「信頼できないメールの添付ファイルは開かない」ことが対策となる。とはいえ、メールがもっともらしく書かれていたら、開いてしまう可能性は高い。

 このため、事後の対応に力を入れた方がよい。その一つが、ウイルス対策ソフトの利用。対策ソフトメーカーがゼロデイウイルスのサンプルを入手すれば、すぐに対応されるので検出できる。

 ただし、対策ソフトが対応する前に、パソコンに入り込まれている可能性がある。そういったウイルスを見つけるには、対策ソフトを使って、パソコン全体を定期的にスキャンする必要がある。

 「ぜい弱性が見つかった場合にすぐに対応してくれる、信頼できる企業や開発者のソフトウエアを使うことも対策の一環」(トレンドマイクロの岡本勝之氏)。+Lhacaのケースのように、すぐに修正版が公開されれば、ユーザーは対策が取れるからだ。

【「+Lhaca」の作者は修正版をすぐに公開】
拡大表示
出典:日経パソコン 2007年7月23日号
記事は執筆時の情報に基づいており、現在では異なる場合があります。