情報処理推進機構(IPA)は11月1日、「11月の呼びかけ」として、コンピュータウイルスに対する注意勧告を発表した。今回の発表は、ウイルス感染によって自治体のWebサイトや掲示板サイトに対して勝手に殺人予告や破壊予告などが投稿されるという一連の事件が発生していることを受け、ウイルス感染から身を守るための対策を改めて呼びかける内容となっている。

ウイルスによって掲示板サイトなどへの書き込みが行われた場合、PCの持ち主が書き込んだものと疑われる可能性もあるため、十分に注意する必要がある。IPAによると、このような遠隔操作ウイルスは、まずインターネット上にある複数のサーバーに仕掛けられる。そして攻撃者が掲示板などにウイルスの場所(URL)を書き込み、これをクリックさせることでウイルスを拡散させる。クリックしたユーザーがPCに保存されたファイルを実行すると、ウイルスに感染してしまうという仕組み。

遠隔操作ウイルスに感染するまでの流れ

IPAは、一連の事件で使用されたものと同じと思われる遠隔操作ウイルス(chikan.zip)を入手・分析しており、調査の結果、攻撃者が感染PCを直接操作するものではなく、間接的に操作を行うタイプのウイルスであることがわかったという。遠隔操作ウイルスは感染したPCから掲示板サイトの特定のページを定期的にチェックするようになっており、攻撃者はウイルス感染PCへの指令に相当する文字列をその掲示板ページに書き込むことで、遠隔操作を行っていた。

攻撃者が遠隔操作を行うイメージ

なお、chikan.zipは「文字置換ソフト」を装って配布されており、これを解凍すると「chikan.exe」と「data」という2つのファイルが生成される。chikan.exeを実行するとさらに「iesys.exe」と「cfg.dat」というファイルが生成され、ウイルスに感染する。

cfg.datにはウイルスが指令を読み取るために掲示板サイトのどのページを参照するかが記述されており、cfg.datの内容を書き換えることで、ウイルスが指令を読み取りに行くページを簡単に変更できるようになっていたという。

chikan.zipの挙動のイメージ

IPAはこのような遠隔操作ウイルスに感染しないための心がけとして、「出所の不明なファイルをダウンロードしたり、ファイルを開いたりしない」こと、「安易にURLリンクをクリックしない」ことが重要だとしている。また、基本的な対策として、「使用しているパソコンのOSやアプリケーションなどの脆弱性を解消する」「ウイルス対策ソフトを導入し、ウイルス定義ファイルを最新に保ちながら使用する」ことを呼びかけている。

さらに一歩進んだ対策として、適切に設定されたパーソナルファイアウォールの利用も推奨されている。パーソナルファイアウォールを使い、ユーザーが許可したプログラムだけを通信可能な状態にすることで、万が一ウイルスに感染した場合でも、ウイルスの存在に気付きやすくなり、また、そのウイルスが外部と通信することを防げるという。

IPAはこれらの基本的な対策のほか、自分のPCから遠隔操作ウイルスによる自動書き込みが行われてしまった場合に備えて、PCの動作記録を保存しておくことも提案している。PC上のすべての動作を記録することは難しいものの、Windows OSの標準機能のひとつである「Windowsファイアウォール」や、セキュリティ対策ソフトのログ機能などを用いることで、ある程度の記録を取得・保存できるという。