11 Klez -まぎらわしぃ-
あいかわらずさまざまなウィルスが蔓延しています。
あんまり蔓延しまくるもんですから、最近はけっこぅ対処する方々も増えてきまして。一般企業やユーザでもウィルス駆除ソフトをきちんと導入する傾向がずいぶん顕著になりました。
対策を講じ始めたのはエンドユーザ側だけではありません。プロバイダ側でも、メールサーバにウィルス駆除機能を持たせるサービスを開始するところなどが出てきました。
この機能はなかなかすぐれものですね。
最近のウィルスのメインの感染経路はメールですし、\300/月くらいの使用料ですので、ウィルス駆除ソフトを新規に購入するよりはかなり低経費です。
もちろんフリーウェアなどに混ざり込んでいるウィルスにはこのサービスでは対応できないわけですが、メールとインターネットくらいしかしない方であれば、これだけでもかなりの効果があります。
URLを見ればお分かりのよぅに、本サイトは@niftyといぅプロバイダのHPサービスを使用しています。パソコン通信(インターネットじゃないよ)のNiftyServeの頃からのお付き合いですね。そんなサービス一級品ってわけではないんですが、割と安定しているので私としてはけっこぅ使いやすいです。
で。@niftyも、上記のウィルス駆除機能がメールオプションとして用意されているんですね。
先日も、@niftyのメールサーバから自動発信のメールが届きました。
------------------ Virus Warning Message (on the network)Found virus WORM_KLEZ.H in file xxxx.scr
The file is deleted.
(xxxx.scrってファイルん中にWORM_KLEZ.Hって
ウィルスを見つけたんで削除しましたぜ)
---------------------------------------------------------
おぉっやるな@niftyメールサーバ。自動的に添付ウィルスを駆除してくれて、しかも報告まで入れてくれるとは。
なんで勝手にウィルス駆除しますか@nifty。この機能って有料でしょ。私、実は設定をONにしといて、そこのことを忘れちゃってるのかなぁ。
でも会員設定のページで改めてチェック入れても、やっぱりウィルス駆除機能オプションはOFFだしなぁ。
postmaster@cherry.nifty.jpからもメールが。
The following mail can't be sent to xxxxxx@xxxxxxxx.com:
From: salvage@nifty.com
To: xxxxxx@xxxxxxxx.com
Subject: please try again
The file is the original mail
(xxxxxx@xxxxxxxx.comに出したメールを
届けられなかったんでフォローしてくださいや)
いゃ私こんな人にメール出してないし。
えとですね。原因はKlez.Hってウィルスでした。
このKlez、いろんな亜種がいっぱいあって、「.A」とか「.E」とか後ろにつけてどの亜種かを区別してるんですけどね。
今回私んとこにのこのこやってきたのは「.H」タイプ。
Klezの中でもこのKlez.Hは、すごくまぎらわしいメールを送りつけてくるんです。
従来はアドレス帳なんかから取得したメールアドレスに対してウィルスメールを送りつけるだけで、差出人のアドレスはウィルスに引っかかった人のものだったので、誰からウィルスメールが来たか簡単にわかったんです。
ところがこのKlez.Hは、差出人とこのアドレスも勝手に作ったりアドレス帳の中のアドレスで置き換えちゃったりするんですね。
とするとどぅなるか。
だれかのマシンからウィルスメールが出発する時に、どぅもたまたま差出人のアドレスをsalvage@nifty.comにしちゃったらしい。
で、そのだれかさんもたまたま@niftyのメールサービス(ウィルス駆除機能オプション付)に加入してたもんだから、@niftyのメールサーバはきちんとウィルスを削除した上で、その結果を差出人(私)に報告したんですね。
ウィルス駆除機能の仕組みとしてはわかるんですけどね。@niftyの場合はメールサーバに接続する時に、メールアドレスとは別のユーザIDとパスワードを強制してるんですよ。それをもって「他プロバイダよりもセキュリティに気を使っている」とか言ってるんですよ。
…使ってないじゃん。使ってないじゃん@nifty(T-T)。中途半端に他社製のウィルス削除機能(たぶんトレンドマイクロあたり)を組み合わせたりするからとんちんかんな動作になるんですよ。んもぅ言ぅことだけ立派なんだから。
てことで、@niftyからの報告メールは、本来私ではなくほかの人のところへ行くはずのものなのでした。
もひとつ、postmaster@cherry.nifty.jpから来てたメールはほんとのKlez.H。こっちはどうも私のメールアドレスの@以下の部分に、「postmaster」ってさも管理者っぽい名前をくっつけて差出人アドレスとしてこしらえたらしい。
またダミーで書かれている文章も、ごていねいに「Kelz.Eの削除方法」とかだったりするもんだから…どれが誤送信でどれがカムフラージュされたウィルスメールなのか、ちょっと判断に苦しんだりしました。
Klezシリーズの仕組みに、特に目新しい部分はありません。間違えやすい拡張子をつけたウィルスファイルを添付する、Outlookで表示したとたんに自動実行するといぅメジャー&お手軽な仕組みでしかないんですね。
だから、対処法も今までどおり。HTMLメールの自動表示機能さえOffにしておけば読んだとたんに実行って動作は防げますし、Windowsのファイル表示オプションで登録されている拡張子は表示しないをOffにしておけば、ダミー拡張子の後ろにほんとの拡張子も表示されるのでファイルオープンしていいかどぅかの判断はつきます。
でも。差出人まで差し替えたり、内容が「ウィルス削除の方法」であったりと、間違えやすいようなさまざまな工夫を凝らしてあるあたりがなかなか楽しいじゃないですか。 <楽しんじゃいけません。
しかも折りも折り、プロバイダのメールサーバが混乱してまちがった宛先に報告メールを出したりするもんですからなおさら混乱度合いが増して。
これはなかなかいい工夫でした。ウィルスの出来をほめちゃいけないんですけどね^^;。