このページは福井県立大学の田中求之が2006年1月まで運用していた Mac のサーバ運用に関する会議室 「Web Scripter's Meeting」の記録です。情報が古くなっている可能性がありますのでご注意ください。

サーカムウイルス2

発言者:今井真人
( Date Thursday, August 02, 2001 16:01:40 )


サーカムウイルス対策パート2。開始。

今井真人 さんからのコメント
( Thursday, August 02, 2001 16:18:24 )

最初の発言は、ココです。

→  サーカムウイルス

しあわせのツボ さんからのコメント
( Thursday, August 02, 2001 16:37:33 )

> 感染者(感染パソコン)にメールでご注意したところ、逆ギレされてしまいました。
> まあ、こんなもんかな? こりゃー治まる気配はない。

そのうち数十人から苦情が来て、逆ギレしてる間もなくなることでしょう。
本人でダメならプロバイダに警告してもらうのが効果的かと思います。
ウィルス対策はネット社会のルール。痛みをもってでも覚えていただかないと。

「最近の若い者(初心者)は…」というのは世の常ですが、いい加減うんざりです。
それに比べて、田中先生の忍耐強さはどこから出てくるのでしょう。

中嶋 さんからのコメント
( Thursday, August 02, 2001 19:48:44 )

新種が出ていると、また、対策をしなければならないので、
ウイルス系の情報は取るようにしています。
今回は、変種が出たとの情報がなかったので、確認をお願い致しました。
確認して頂いて、ありがとうございました。 > たまちゃんさん

>感染者(感染パソコン)にメールでご注意したところ、逆ギレされてしまいました。
よくある話ですね。
私も管理者として注意すると、よく口答えをされます(ふぅ)。

たまちゃん さんからのコメント
( Thursday, August 02, 2001 20:14:43 )

EIMS と VirusBarrier を連動させる件ですが,運用によほど気を
つけないとユーザさんか管理者のどちらか,あるいは双方を悩ませ
ます。

いいアイデアだと思ったんですけど,もう一歩。でも欠点を分かっ
た上であればある程度の運用はできると思います。

ところで

>それに比べて、田中先生の忍耐強さはどこから出てくるのでしょう。

田中さん自身が答える訳にはいかないので,私が。

それは根っからの明るさからではないでしょうか。このサイトの運
営を数年間ご覧になっている方は分かると思いますが,ものすごく
慎重である反面,ときに大胆なことをされます。

相反するようですが,両方をもっていないといけないんですよね。
いつも勉強させてもらっています。

田中求之 さんからのコメント
( Friday, August 03, 2001 00:41:20 )

私がコメントするのもなんですが (^_^;;

なんていうか、忍耐とか我慢してるわけでもないんですよ。単に、そうしたい
からやっている、という感じです。ほら、やっぱ、少しでも誰かの役に立つって
うれしいことじゃないですか。たとえ、その「役に立った」と思うのが自己満足
でしかなかったとしても。トーバルズがいみじくも言ったように Just For Fun
ですね (^_^;;

また、私にも初心者である領域が山ほどありますから、初心者として「知らない
ことすら分らない」って状態や、何が分ればいいのか分らない、みたいな
ジリジリした気持ちもわかりますし、私自身がそういう状況にあるものだって
ありますから。

それと、ちょっと傲慢な意見かもしれませんが、「分らない」人と向き合う
ことで、自分の中で「何がどこまで分っている(分ったつもりになっている)のか」
を確認できるってことがありますよね。で、たとえば説明しようとしても
うまく言えなかったり伝えられなかったりして、自分でもまだ十分にモノに
できていない部分を見つけることになる。そういうのって、大切なことだと
思っていたりします。

なんか偉そうですが… まぁ、暑さで気がゆるんじゃった勢いでのたわごと
として聞き流してください (^_^;;

最近読んだある小説の中で、

「気にいろうが気にいるまいが、自分とは違う異質な他人と一緒に世界をつくっ 
ていくしかないという、明るい覚悟こそがジャズの精神なのである。」 

っていう文章があって、Jazz が好きな私としては、うん、これだよなぁ、と
(何がどうなのか細い所はぬきにして (^_^;; )思ってます。

今井真人 さんからのコメント
( Friday, August 03, 2001 06:56:22 )

> そのうち数十人から苦情が来て、逆ギレしてる間もなくなることでしょう

本当に相手からの反応が無くなってしまいましたね。私はまだおとなし目に
接したのですが、そうじゃない人もいっぱいいるでしょうね。

このような人間関係の絡んだ話で参考になるのは実は奥さんの雑誌です。

今井真人 さんからのコメント
( Friday, August 03, 2001 07:04:49 )

今回のような人間が絡むコミュニケーションのトラブル事例に付いては、実は
コンピュータ雑誌より、嫁さんが読むような雑誌にいっぱい事例が書いてあり
ます。

たまには女性誌を隅々まで読むと参考になります。

片岡 さんからのコメント
( Friday, August 03, 2001 15:44:31 )

以前、メールサーバ立ち上げの際にたっぷりとお世話になった片岡です。
フリーメールサービスを運営してます。

EIMS1.3.1でサーバを運営していますが、7/31の夕方にサポート用の
アカウントでメールを受信しようとしたらPOP接続できない。(T_T)
運営を初めてまだ半年足らずですが、今まで一度もコケたことのない
EIMS1.3.1だったので「何があったんだ?!」と思って、帰ってサーバを
調べたら…外部へ送信待ちのメールが180通(30MBくらい)ほど溜まって
ました。

ログを見ると、ほぼ1人のアカウントから送信されたことが分かったので、
即刻アカウントを停止(利用規約にメールの大量送信禁止をうたっていたので)
Outgoing mail ウインドウで、該当のメールを削除しようとしたのですが、
送信先とサイズしか出てないんで、どれがそうなのか分からないんですね(;_;)

しょうがないので未送信ぶんだけは送り終わるのを待つことにしたんですが、
unknownユーザー宛のメールがPostmaster宛に送り返されてきて初めて
気づきました。 自分の所のユーザーがサーカムに感染していたんですね。
メールの件名、本文、添付ファイル・・・まさしくソレという感じでした。

アカウント停止と同時に、ウイルス感染者のIPに対してポート25を閉じたの
ですが、しつこく送ってこようとしてます。
サーカムに感染しても、パソコンの使用者は気づかないもんなんですかね?

今回は、POP接続出来なくなるという状態に陥った上、原因がサーカムウイルス
と分かったので、通告なしのアカウント停止もやむを得ない措置だったとは
思っていますが・・・どうでしょうか? 他にいい方法があったのかなぁ。

しかし、管理下のユーザーに、またサーカム感染者が出てこないとも限らないし
そうなったときはどう対処するのがベストなのか・・・悩みます。
皆さんだったらどうしますか?

今井真人 さんからのコメント
( Friday, August 03, 2001 15:58:25 )

>サーカムに感染しても、パソコンの使用者は気づかないもんなんですかね?

気づかないものです。

サーカム感染者(感染パソコン)にもサーカムは送られてきていて、サーカム
感染者は非常に疎ましく思っています。

ウイルス付きの添付ファイルを受けるのに慣れているので、外部から自分を
問われたときに、まさか自分自身も同じように知らない人に添付ファイルを
送信しているとは思っていません。

今井真人 さんからのコメント
( Friday, August 03, 2001 16:02:33 )

>管理下のユーザーに、またサーカム感染者が出てこないとも限らないし
>そうなったときはどう対処するのがベストなのか

EIMS 2.0以降にバージョンアップして、サーカムに関係する添付ファイル
の拡張子をフィルタするのがよいと思います。

今井真人 さんからのコメント
( Friday, August 03, 2001 16:26:54 )

さきほど、またウイルスをブロックしました。今回は前回の件を踏まえて
次のようなメールを送り注意を促しました。地道にこのような作業を行うしか
ないと思ってます。

--------------------ここからメール----------------------------
こんにちは。あなたのパソコンは、サーカムウイルスに感染しています。この
ままですと、インターネットに接続されているユーザにウイルスをばらまくこ
とになります。

【参考】
McAfee ウイルス百科事典
http://www.nai.com/japan/virusinfo/virS.asp?v=W32/SirCam@MM&a=S

ウイルスに対する対抗策が無い場合、インターネット接続を止めてからハード
ディスクを全て消去するのが一番安全です。下手に再起動を何度もするとその
都度ウイルスをばらまきます。

-----------------------------------------------------------------------
>2001年 8月 3日 (金) 14:15:34 +0900   Blocked BAT attachment named あき
>せんひろがわ.doc.bat from XXXXXXXX@XXX.XXX.ne.jp at XXXXXX.XXX.ne.jp (
>211.124.0.173)

しあわせのツボ さんからのコメント
( Friday, August 03, 2001 17:55:40 )

> サーカムに感染しても、パソコンの使用者は気づかないもんなんですかね?

感染者が自分で気付くようでは、立派なTrojan Horseとは言えません。(苦笑)
ウィルス(やその類)の第一目的は「自身をできるだけ増殖させる」
ことなのですから、できるだけ駆除されないよう隠れている方がいい訳です。

うちはクライアントの殆どがMacという会社なので、まだいい方なのですが、
Winを大量配備した所のサーバ担当は悲惨でしょうね。

片岡 さんからのコメント
( Friday, August 03, 2001 20:01:07 )

> EIMS 2.0以降にバージョンアップして、サーカムに関係する添付ファイル
> の拡張子をフィルタするのがよいと思います。

バージョンアップですか・・・8/9期限の車検で、ディーラーから予想外の
修理項目を言い渡され、青くなったり赤くなったりしている私にはキビシイ
選択を迫られた気がしてます、ハイ(>_<)
まずはウイルスに対する注意を促すメールを送ろうと思います。

ただ私が自分で判断しかねるのは、ウイルスメールだと分かっているから
そのメールをはねる・・・というのは、メールサーバ管理者の責任と言える
コトなのでしょうか? それとも善意による行為なのでしょうか?

私たちが普段利用しているプロバイダーのメールサーバでは、どう対処して
いるのか気になります。これだけウイルスが蔓延するのは、メールサーバ
レベルでは対処しないからなのかな?・・・と思ったりもしますが。


> 感染者が自分で気付くようでは、立派なTrojan Horseとは言えません。(苦笑)

トレンドマイクロのサイトで勉強してきました。トロイだったんですね。
だったら、よほど気の利いた人じゃないと気づかないですよネ。
モデムやTA、ルーターのデータランプを見て「ナヌ?!」とか…(^_^;)

今泉克美 さんからのコメント
( Friday, August 03, 2001 21:34:07 )

シマンテック主宰の8/1の
サーカム対策講演で

>「SirCamに汚染された“見積書.xls.lnk”
>という添付ファイルをダブルクリックすると,
>ワームプログラムが実行されるのだが,
>その後すぐにExcelがちゃんと立ち上がるようになっている」
>と,SirCamウィルスの巧妙な手口を紹介。
>ユーザーはExcelが立ち上がって普通に処理されるため,
>通常のファイルと錯覚してしまうという。


だそうです。
こういうのが、
立派なTrojan Horseなのでしょうね。

うーん。
そのうえ機密漏洩の味つけ付きですからねぇ。

そのほか、なんでもいいので
hogehoge.EXEが起動されると
(たとえば、Winマシン起動時とか)
サーカム君も、こっそり動くのですが
これもすばらしいですね。(怒)


今井真人 さんからのコメント
( Friday, August 03, 2001 22:14:06 )

>私たちが普段利用しているプロバイダーのメールサーバでは、どう対処して
>いるのか気になります。これだけウイルスが蔓延するのは、メールサーバ
>レベルでは対処しないからなのかな?・・・と思ったりもしますが。

アサヒネットでは月千円でメールサーバがウイルスフィルタをしてくれる
サービスが始まりました。TikiTikiもそういう話です。

他のプロバイダはフィルタなど考えたこともないんじゃないでしょうか?

ただ、サーカムに関してはメールサーバ側で徹底したフィルタリングを
行わないかぎり対応が難しいと思っています。

KOY さんからのコメント
( Monday, August 06, 2001 19:06:07 )

うちは、ASIPメールサーバでメールクライアントもMacなのですが、
Windowsから添付ファイルが送られてくると、Winマシンに持っていって開く
場合があります。

添付ファイルをコピーして開いた時点で感染するのでしょうか?

しあわせのツボ さんからのコメント
( Monday, August 06, 2001 19:38:06 )

その通りです。
ただ、Macで受信した際に拡張子の二重付けが見えますので、
不審なファイルであることはわかるはずです。

どんなウィルス類にも言えることですが、
実行形式のファイルやマクロを埋め込めるファイルは
必ずアンチウィルスソフトで検査してから開くべきです。

KOY さんからのコメント
( Monday, August 06, 2001 19:58:29 )

>必ずアンチウィルスソフトで検査してから
ごもっともです。
アンチウィルスソフトが対応していなかった時期があった
ので、感染してるマシンがあるかも知れません。
インターネットに繋がっていないマシンだと、送り先が見つからずに
ひそかに活動を続けているのでしょうかね?

中嶋 さんからのコメント
( Tuesday, August 07, 2001 19:15:06 )

まさにその通りです。
マックで受け取った添付ファイルを、マックで開かないからと再度添付して、
わざわざウインドウズに転送して、炸裂させてくれました(T−T)。
今回はサーバをロムってたんで、外部への被害は出さなくて済みましたが、
少しは注意して貰いたいものです。

KOY さんからのコメント
( Wednesday, August 08, 2001 19:01:53 )

うちでの経験です。
○Macで受信したSirCamの添付ファイルをASIP6.3.3の共有ディスクに
置いてWindowsで開こうとしたが感染せず。(ファイルも開かなかった)
○Mac用NortonAntiVirusは、最新設定(7/31?)でもSirCamの添付
ファイルを確認できない。

他の方のご経験と比較しておかしいですか?
SirCamの添付ファイルと見なしているものをWindowsのローカルディスクに
置いてシマンテックのSirCam駆除ツールを走らせると削除されます。

中嶋 さんからのコメント
( Wednesday, August 08, 2001 19:26:17 )

「SirCamはOutLookExpressのSMTPを使わない」に惑わされて、OutLookExpress以外の
メーラーでも、感染源になると思っていましたが、どうやら、OutLookExpressの設定
ファイルからSMTPサーバ等のIPを取っている様子です。つまり、OutLookExpress以
外のメーラーしか使わないのであれば、OutLookExpressの設定でSMTPの個所を空に
しておけば、メールを送り出せないと思われます。
私のところでは、感染源になることを防ぐために、SMTPの個所とアドレス帳を空に
するように指示しました。

ただし、あくまで推論ですので、間違っていたらごめんなさい。

今井真人 さんからのコメント
( Thursday, August 09, 2001 02:28:08 )

感染者(感染パソコン)への連絡ですが、ハードディスクの書類を知らない人に
どんどん送っているという話を強調したほうがいいですね。

そうすることで大抵のWindowsユーザは、嫌でもウイルス対策を実施するものです。

今井真人 さんからのコメント
( Thursday, August 09, 2001 11:35:39 )

>○Mac用NortonAntiVirusは、最新設定(7/31?)でもSirCamの添付
>ファイルを確認できない。

今までもそうでしたが、Windowsのウイルスはマックでは検出できない
のが普通です。

KOY さんからのコメント
( Thursday, August 09, 2001 12:20:43 )

>今までもそうでしたが、Windowsのウイルスはマックでは検出できない
>のが普通です。

それは意外でした。対策の方針を考え直さなければいけないです。

今井真人 さんからのコメント
( Thursday, August 09, 2001 13:06:13 )

そういえば、VirusBarriarは検出できたみたいですよ(byたまちゃん)
私は、これが以外だなと思ってました。

今井真人 さんからのコメント
( Thursday, August 09, 2001 14:45:32 )

試しに VirusBarriarを自分で買ってみました。
#08/01のウイルス定義情報の更新ができないのがわかんないけど。

早速、マックのファイルを検査したところあれ?MacPerlの中に
MacPerl:lib:MacPPC:ハ丿auto:Mac:Windows:Windows
にVBS.Plageが居るという話?たぶん判断ミスだろうと思うんだけど念のため削除。

McAfee ウイルス百科事典
http://www.nai.com/japan/virusinfo/virPQ.asp?v=W32/Plage.worm&a=PQ

ということで、VirusBarriarはWindows向けのウイルスも検出する唯一の
マック向けのソフトです。

今井真人 さんからのコメント
( Thursday, August 09, 2001 17:32:53 )

Windowsのウイルスがマックのファイルサーバの中で温存されるのも
困った話になりそうです。

KOY さんからのコメント
( Thursday, August 09, 2001 23:48:43 )

NortonAntiVirusでMSWordのマクロウイルスは、Macに感染しないタイプ
でも検出してくれるので、他のウイルスもいけると思っていました。
パターンマッチングならチェックできるように思うのですが。設定ファイル
で手を抜いているのならたまらないですね。

KOY さんからのコメント
( Thursday, August 09, 2001 23:53:27 )

ところで、SirCamの適応性は大したことがなさそうだという事例が
もう一つ出てきました。
Notesのメーラーで受信してダブルクリックした人がいるのですが、
感染しませんでした。ファイルがサーバにあるという点、実際には
オープンできなかったという点で私の場合と似てます。
共有ディスク経由で感染したという事例の具体的な状態を知りたい
ものです。

今泉克美 さんからのコメント
( Friday, August 10, 2001 09:58:52 )

共有ディスク感染のこと。
私も詳しいことを知りたいです。
(ふたつの会社のネットの管理しているので
頭がわやです)

−−−−−−−−−−−−−−−

面倒なのでWinNTサーバはのけて考えます。
サーカムの性質を考えるとのけても充分に
理解できると思うからです。
今、AとBというWin9X系のパソコンがあったとします。
Bは、自分のハードデイスク内のフォルダを
他に公開し共有させてあります。
(サーバ管理者の立場からするとクライアントTOクライアントの
共有ができるのって、嫌いなんですけれども、お手軽なので
みなさん、みようみまねで利用してしまいます。)
マシンBのディスクの共有フォルダを
マシンAは、ネットワークドライブとして使っているものと
考えます。Bが擬似的にファイルサーバになっている感じ。

マシンAが、NOTE使いだったとして、受信したメールの
添付ファイルが、そうですねぇ、たとえば、
他のPCから漏洩してきたエクセルのブックで、
ウイルスが1FILE上で合体
感染しているものだとします。

マシンAが、この感染エクセルブックを
NOTEの世界から外部にうつして
いったんローカルなマシンAのディスク上に
おとしてからダブルクリックすると、、、
あるいは、NOTEの世界にファイルはあっても
ダブルクリックして、マシンAのメモリ上に
展開されると、、、

マシンAの利用者は、(拡張子について無知であれば)
【普通に】エクセルブックの中身を見ている
気になるので、素人ならば感染に気がつかない。

このときウイルスは、活動を開始し
マシンAが、マシンBの環境をネットを介在して
利用していることを知る。

マシンAのメモリ上のウイルスは
自分自身の複製を
マシンBの共有フォルダに置く。

(関連記事を読んでも
不明なのですが、自分自身を、、とあります。
このときマシンAにある,他の文書にとりついて
マシンBにおかれると、
人間の心理から考えると、スゴイ感染力になるのですが。
各種記事では、触れられていません。会社運用などでは
「おやぁ、他部署の文書があるなー。中身を見て
確認をとった上で連絡してやろう、、とか、
まぁいいや、関係ないから放置しておこう、、とかなって
数年後に再発かもしれません。)

共有フォルダ関連での活動はここまで。

一方、普段はNOTE使いをしているAの利用者で
あったが、Aには、OUTLOOKEXPRESSが
使われないものの、インストールだけは
してあったとします。
かつてためしに使ったことがあって
アドレス帳になにかはいっているかもしれません。
(できれば、アドレス帳からアドレスを削除してから
OUTLOOKEXPRESSのアンインストールが必要ですね。
アンインストールだけだと、アドレス帳は、ディスク上に
残ります)
OUTLOOKは、かつて、ためしに使ったのですが、
このメーラ、
設定しだいでは、返信するだけで、アドレスが
自動的にアドレス帳に格納されます。
こういうアドレスは
NOTE使いの、人間の記憶には
残らないかもしれません。
ウイルスは、これらの宛先に
自分自身を添付して、送りつけます。

(不明なのですが、送信済みアイテムとしては
保存されないのではないでしょうか。
したがって、普通には、ことがおきたことが
わからないと思います)

HTMLのキャッシュからでも同じことが。

#報道されている記事によれば
上ぐらいのことしかわからないのです。

-----------------

ながながとおさらいしちゃいましたが
上の例でいうと
マシンBのディスク上の共有フォルダに
おかれたウイルスがいつ発病するのか、、
がきわめてあいまいです。
自発的に発病はしないのでしょうけれども
それでも、ダブルクリックしやすい
ファイル名前になっていて
しかもダブルクリックしても
感染して発病したとは気がつかないもんだとすると
とてもやっかいです。

メールに添付されたウイルスファイルの話ばかりが
出ていますが、ネットを通じて
デイスク上に単体として植え込まれたものを
どのように認識して除菌したら良いのか
もっとお知らせしてほしいものです。

私は、シマンテックから出ている
発見・除菌ツールを定期的に
RUNさせていますが。
けっこう時間がかかって面倒です。

この除菌ツールはローカルディスクしか
検知してくれませんし。

サーバ管理者としては
クライントtoクライアントの
共有を全面廃止し、
ファイルサーバのみ見張るのが
一番やりやすいのかもしれません。

今井真人 さんからのコメント
( Saturday, August 11, 2001 01:24:58 )

>「W32/Sircamウイルス」の場合、Cドライブのすべてのファイルを消去する、HDD
>の空き領域をデータで埋めて使用できなくするなどの破壊的な被害が感染全体の
>23%にものぼっている。

ということで、ウイルスによるファイルの無断配布はまだ可愛らしい方だとわかりました。

→  情報処理振興事業協会セキュリティセンターは、2001年 7月の届出状況

今井真人 さんからのコメント
( Sunday, August 12, 2001 08:32:35 )

私が昨年、ビデオ編集したムービーファイルを見ようとしたら、
VirusBarriarが「W32/Sircamウイルス」が居ると認識し
ましたが、これは間違いです。ビットパターンをチェックして
いるだけのようですね。

誤認識が続くと、使用に耐えない場合があるかも。

今井真人 さんからのコメント
( Friday, August 17, 2001 08:34:11 )

未だ収まる気配無しというレポートがあります。

→  IPA/ISEC緊急警告2001年 8月15日

今井真人 さんからのコメント
( Monday, August 20, 2001 07:36:29 )

職場のWindowsユーザがPCを自宅に持ち帰って、私が管理している以外
のメールサーバからのメール受信でサーカムに感染しました。ウイルス検査
で感染がわかったようです。

SirCamウイルス駆除ツール
http://www.nai.com/japan/pqa/aMcAfeevinfo.asp?ancQno=VR01072601&ancProd=McAfeevinfo

でうまくいくかどうか?試してみよう。ダメだったら、素直にフォーマットです。
ちなみに、駆除ツールはFDで転送して、ネットは遮断した状態で作業します。