所内向けコンピュータセキュリティ警報

コンピュータウィルス特別警戒警報 AISTSA-0001
Microsoft Windows, Internet Explorer / Outlook / Outlook Express, (MS01-020)

2001年9月20日午前9時改訂

目次

• 対象者
• 対処方法
• バージョン番号確認方法
• 被害に遭う場面
• 感染すると何が起きるか
• 深刻度
• 関連情報

対象者

• Internet Explorer 5.5 Service Pack 1 (IE 5.5 SP1) 以前
• Internet Explorer 5.01 Service Pack 1 (IE 5.01 SP1) 以前

対処方法

1. 以下の対策を完了させるまでの間、 Outlook ExpressおよびOutlookを起動しない。 また、Internet Explorerでのウェブ閲覧をしない。

   9月20日9時追記
   また、共有フォルダやローカルディスクの フォルダに見知らぬファイル （特に拡張子が「.eml」のもの）があっても触らない （ダブルクリックしてはいけないのはもちろんのこと、 シングルクリックもしてはならない）。

   対策

   Internet Explorerを以下のどちらかのバージョンに 更新する。

   • Internet Explorer 5.5 Service Pack 2 (IE 5.5 SP2)
   • Internet Explorer 5.01 Service Pack 2 (IE 5.01 SP2)

   
   

   更新手順（重要）：

   1. ネットワークケーブルをはずす。
   2. Internet Explorerを起動する。
   3. Internet Explorerの「ホームページ」（起動時に最初に開くページ）が どこかのサイトに設定されていないことを確認する。 （後述のように、msn.co.jp がこのウィルスに感染していたという情報があるため。）

      確認方法

      • 「ツール」メニューの「インターネット オプション」を開き、 「全般」の「ホームページ」の項目の「アドレス」を確認する。
      • 「about:blank」でない場合は「空白を使用」ボタンを押し、 「about:blank」に設定する。

   4. ネットワークケーブルを接続する。
   5. 以下のマイクロソフトのサイトにアクセスして、どちらかをダウンロード してインストールする。
      • マイクロソフト Internet Explorer 5.5 Service Pack 2
      • マイクロソフト Internet Explorer 5.01 Service Pack 2

2. バージョン更新後であっても、 「readme.exe」という名前の添付ファイルが 送られてきたら起動しないで捨てる。

バージョン番号確認方法

1. Intenet Explorerを起動する。
2. 「ヘルプ」メニューの「バージョン情報」を開く。
3. 以下の図の丸印の部分を確認する。

   

被害に遭う場面

• ウィルスプログラム「readme.exe」 が添付されたメールをOutlook/Outlook Expressで受信すると、 添付ファイルを開かなくても、 ただそのメールの本文を表示しただけで、 その添付ファイルが自動的に起動されてしまい、感染する。

• （Microsoft製のウェブサーバ「IIS」で運用されているサイトのうち） 改竄されているサイトに アクセスしただけで、 「readme.exe」を自動的にダウンロード、起動させられてしまい、感染する。

  既に msn.co.jp などのメジャーサイトが改竄され感染していた との情報もあり、 いったいどれだけのサイトが改竄されているか見当もつかない状況であり、 被害に遭う可能性は低いものではない。

• 9月20日9時追記
  所内で誰かが感染した場合、 所内ネットワークを介して 共有しているフォルダの中にウィルスプログラムの ファイルが作りこまれる可能性がある。 それを触るだけで （ダブルクリックはもちろんのこと、 単にクリックしてファイルを選択するだけで）、 ウィルスプログラムが起動してしまい、感染する。 また、自分のコンピュータが他人に共有フォルダを提供している場合、 感染した他人によってローカルフォルダにウィルスファイルを設置される 可能性もある。

感染すると何が起きるか

• 他人に無差別にこのウィルスプログラムを添付したメールを送りつける。
• 無差別にウェブサーバを攻撃し、脆弱なIISサーバのページを改竄して このウィルスプログラムに感染させる。
• 9月20日9時追記
  所内ネットワークでフォルダを共有している場合、 他のコンピュータにウィルスプログラムをコピーしフォルダに設置する。

深刻度

• メール本文を表示しただけで添付ファイル（ウィルスプログラム） が自動的に起動される。

• 「Code Red」に類似した積極的で能動的な伝染アルゴリズムを用いて、 世界中のIISサーバを一斉に改竄目的で攻撃し、 このウィルスをウェブサイトに埋め込みつつある。 改竄されたサイトをIEで閲覧した者はこのウィルスに感染する。 感染者は「I Love You」ウィルス等に類似の方法で、 無差別に自分自身をメールでばら撒くと同時にIISの改竄行為も 行う。 近年のウィルス伝染手法を総括した複合的な方法で急速に感染を広げている。

• 当所では、 所の入り口のメールサーバでウィルスの駆除を自動的に行っているが、 ワクチンメーカのパターンファイル供給が間に合わず、 少なくとも9月19日未明の時点では、駆除システムをすり抜けて、 筆者個人の手元に三通のこのウィルスメールが到着している。 初期の感染拡大が急速であったため、 既にウィルスメールが各所員のアカウントに到着しているおそれがある。

感染してしまったら

関連情報

• 「Windows環境で感染力の強い新種ウイルス発生の恐れ」 日経オープンシステム, 2001年4月13日
• シマンテック セキュリティレスポンス - W32.Nimda.A@mm
• 「２ちゃんねる」「『 ニュース速報』板」の「『MSNにウィルス添付？』スレ」
• マイクロソフト セキュリティ情報 - 不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する (MS01-020)
• マイクロソフト サポート技術情報 - 不適切な MIME ヘッダーが電子メールの添付ファイルを実行

改訂履歴

2001年9月20日午前9時： ローカルファイルからの感染について追記

2001年9月19日： 初版作成