No.114 2001/11/24
スパムメール防御策でウィルスを防御

 ALIZというコンピュータウィルスが発生しました。これは、HTMLテキストと、「whatever.exe」という添付ファイルから成るものです。マイクロソフトのメーラーOutlookまたはOutlook ExpressでHTMLテキストを開いただけで、インターネットエクスプローラのセキュリティホールを突いて感染します(感染しないためには、インターネットエクスプローラ5.01または5.5をインストールしている人は、それぞれのサービスパック2を適用する必要があります)。そのパソコンの使用者の正しい差出人アドレスを名乗ったメールで感染を広げようとするものなので、受けた人がメールを開く前に怪しいと気付くことは困難と考えられます。
 2001年11月22日午前0時ころ、私が運用しているメーリングリストに会員のパソコンからALIZウィルス付きのメールが投げられました。第98回で述べたように、私は添付ファイルを除去するフィルタを仕掛けていたので、ほかの会員にウィルスを伝染させずにすみました。転ばぬ先の杖が初めて功を奏した事件でした。

 私が運用するメーリングリストでは、ウィルス付きのメールは、添付ファイルが除去されて無害になるものの、配信されてしまいます。簡易なスクリプトを使っているので、今のところ、配信せずに差し戻す仕掛けはできていないのです。しかし、「添付を除去しました」という意味の警告メッセージだけのメールが流れたことは、無駄ではなかったと思います。対策をとっていなかった会員は、「メーリングリストで添付ファイルを除去してくれていなかったらどうなっていたか」とぞっとしたことでしょう。そして、ウィルス情報を知らされてなお自分が同じウィルス付きのメールをメーリングリストへ発信してしまってはみっともないと思って、急いで対策をとってくれるでしょう。つまり、無害化したウィルスメールの効果は、無害化したウィルス(病原体の意味での)を使ったワクチンで人体に免疫力を付けるのに似ています。

 とはいえ、ウィルスメールが投げられるたびに「添付ファイルを除去しました」という警告メッセージのメールが何度も流れるのは、受信者にとってわずらわしいことです。最初は、同じ人のアドレスから2通立て続けに来たので、いずれも差出人アドレスがその人の正しいアドレスであることを確認して、緊急策としてその人のアドレスからのメールをブロックしました。これには、スパムメール防御策のノウハウが役立ちました。差出人アドレスを条件としてスパムメールを拒絶するのと同じ方法でその人の差出人アドレスを拒絶条件に加えたのです。これにより、そのメーリングリスト宛だろうと私個人宛だろうと、まかり間違って私が運用するほかのメーリングリストに投げられようとも受信拒否されます。悪意のなかった人をスパマーと同等扱いするかのようですが、安全のためですからやむを得ません。「対処が完了したら電話でご連絡ください」と連絡しました。

 11月24日午前8時ころ、2人目の会員から流れました。同じようにその人からのメールをブロック。
 この時、無害化したウィルスメールが配信されたものが、ある会社で拒絶されて私に差し戻されました。「ウィルスが含まれているので拒絶する」という意味のメッセージが書かれていました。その会社では新たに対策をとったようです。
 「添付ファイルは除去してあるのに、添付ファイル名の情報を残しているから、これに反応したのかな。えらく過敏だな」と思ったのですが、突然「あ、そうか!」とひらめきました。添付ファイル名の情報を条件として受信拒否すれば、ウィルス付きメールをすべてブロックできます。これにも、スパムメール防御策のノウハウを使えます。スパマーが誘導しようとするサイトのURLを条件として受信拒否するのと同じように、「whatever.exe」という添付ファイル名を指定する文字列を拒絶条件として加えればよいのです。さっそくこれも設定しました。
 この方法だと、このウィルスについての情報を記載した正当なメールも拒絶されてしまう可能性があります。しかし、無害化されるとはいえウィルスメールがメーリングリストにばんばん流れるよりはましでしょう。

 さて、対処に要した時間の記録です。
 1度目(11月22日午前0時ころ)は、1通目でまだ気付かず(その人が間違ってHTMLメールを投稿したのかと思いました)、その9分後に2通目が流れた時に気付きました。対処してアナウンスを流したのは、2通目が流れた8分後です。2度目(11月24日午前8時ころ)は、4通流れたのですが、1通目ですぐに対処にとりかかり、5分後にはアナウンスを流していました。
 いずれも、サーバを置いている書斎にたまたまいて、サーバのディスクがカリカリと音をたててルータのモニターランプが激しく点滅したことから、メーリングリストの配信に気付き、すぐにパソコンのメーラーで受信してわかったものです。2度ともこんなにすばやく対処したら、会員には、あたかも私が24時間体制でサーバを監視しているかのように見えたかもしれません。
 たまたまサーバのそばにいたとはいえ、すばやく対処できたのは、また、一度たりとも会員にウィルスの被害を伝播させずにすんだのは、いつもインターネットサイトの危機管理を総合的に考えていた成果だと思っています。それというのも、メーリングリストのネチケットをなかなか守ってもらえないことがあってもうんざりすることなく(第65回参照)、添付ファイル除去フィルタを作るなど、そのコミュニティのために最適なサービスを追求し続けたことが良かったのだと思います。情けは人のためならず。

目次 ホーム