平成13年9月28日

 

「ニムダ（NIMDA）」ワーム感染体験記

 

 

PE_NIMDA.A（ピーイー・ニムダ・ドット・エー）とは・・・直接感染型のファイル感染型ウイルスです。感染活動のほかメール送信、ネットワークドライブへのファイルコピー、IISのセキュリティホールを利用した侵入などさまざまな方法で自身のコピーをネットワーク上で頒布するワーム活動も行います。メール形式のファイルで頒布されることにより、Internet Explorerのセキュリティホールを利用してワームのメールファイルをプレビュー、エクスプローラでファイル選択しただけでウイルスが実行され活動を始める「ダイレクトアクション活動」を実現しています。（ワクチンバンク http://www.vaccinebank.or.jp/より）

感染対策は「PE_NIMDA.A対策Web」（http://www.trendmicro.co.jp/nimda/）へ。

 

 

今週に入り、下の子どもの「おたふくかぜ」の予防接種をし、さらに今シーズンの家族４人のインフルエンザウィルスワクチン接種の予約を入れてほっとしていたところ・・・・

 

　昨晩子どもが寝てから、コンピュータをいじっておりますと、デスクトップ上に「メール」のアイコンが、そのメールの名前は「経済戦略会議答申」とか他には意味不明の漢字またはカタカナ（２〜３文字）の名前のメールのアイコンが・・・。

　まさかと思い、削除してごみ箱に入れ、さらにごみ箱を空にしてみても、また、現れてきます。

　そのうちのひとつを開けてみますと（「よい子」はまねしてはいけませんってか。すぐさまシステム管理者へ通報を。）、発信者や宛名、表題のないメールで、添付ファイルが２つ。１つは「att00001.txt（だったかな）」というテキストファイル、もうひとつは「readme.exe」というプログラムファイルでした。この名前から過日新聞報道のあった新種コンピュータウィルス「ニムダ」に感染したことを確信しました。

　いろいろなフォルダを開けるたびに、この「ニムダ」を添付したメールやニュースファイルが作られていきます。フォルダを開ければ開けるほど増殖し、削除してもまた再生されてしまいます。

　自宅では、３台のコンピュータがネットワークで接続され、さらにCATV（ケーブルテレビ）で常時インターネットに接続できる環境にあります。今回は妻のコンピュータが感染したのですが、他のコンピュータには症状はなく（その後ソフトで検索したところ他１台に３ファイルありました）、また、そのコンピュータではメールの送受信は今まで１回もしたことがなく、ほとんどが子どものゲームに使われていました。

　他の経路としては、フロッピィ等による感染、感染しているＷＥＢ（ホームページ）の閲覧しか考えられませんが、ほとんどそういう利用はしていないため、思い当たることがありません。それゆえに、このウィルスの感染力の強さに危険性を認識しました。

　すでに、対策Webが公開されており、それをダウンロードして実行してみました。パソコン内のすべてのフォルダが検索され、その数約１００の「ニムダ」を添付したメールやニュースが削除されました。

　感染したパソコンには、データの保存もしていませんでしたし、メールソフトを使っていなかったため、自分にも、あるいは周囲の友人にも実害を及ぼすことはありませんでしたが、何といってもおどろいたのは、ほとんど外界と接点のないパソコンが感染したことでした。（感染体験もはじめてですが・・・）

　感染予防法として、感染しているＷＥＢの閲覧をしない（安全でないサイトを訪問しない）、不用意にデータやプログラムをダウンロードしない、発信元のはっきりしないメールは閲覧しない、メールに添付しているファイルは不用意に開けない（「readme.exe」や「経済戦略会議答申」その他意味不明の名前のメールやニュースなども絶対に開けてはいけない）などが挙げられますが、デスクトップ上やフォルダ内に、「readme.exe」や「経済戦略会議答申」その他意味不明の名前のメールやニュースがあったときには、すでに感染してしまったものとして、駆除作業が必要となります。

　他へウィルス付のメールを転送するなど被害を大きくする前に対応できるように、日ごろからパソコンの状態をよく観察することが大切だと思いました。

 

（以　　上）