2002年4月8日～4月14日にウィルスメール

　情報処理振興事業協会セキュリティセンタに、「W32/Klez」ウイルスに関する質問をしたところ、非常に丁寧な返答が帰ってきまして、おおよそのことが理解できました。

情報処理振興事業協会セキュリティセンタ
 「W32/Klez」ウイルスの亜種に関する情報

　「W32/Klez」ウィルスは、奇数月の６日に感染したパソコンで発症し、データを壊すそうです。それ以外の日には、パソコン内にキャッシュされたデータの中から、メールアドレスを取りだして、差出人と宛先をランダムに作成してウィルスメールを自動で送り付けるとのことです。

　今回のことで私が重要と思ったのは次のようなことです。

１．感染してしまったパソコンの所有者に対してできることは少ない

　ウィルスに感染してしまった人のパソコンに対しては、私自身はウィルスを駆除することもできませんし、防止策を施してあげることもできません。また、自身が感染しているかどうかを調べることも、ウィルス除去ソフトを購入していただいて、御自身で確認してもらうのが一番で、感染してしまったパソコンの持ち主に対して私ができることは限られています。できることと言えば、今回のように注意を喚起する呼びかけくらいのものです。

２．自身が感染していないのに、自身の名前を使われてウィルスメールの差出人と思われてしまう人の不安

　今回気づいたのはこちらのほうです。十分にウィルスチェックをしているのに、依然として自身のメールアドレスが差出人となって他人にウィルスメールが届けられていること。これは、とても不安であり、大変なことです。この点について、今回セキュリティセンターに質問し分かったことがあります。それは、ウィルスメールのヘッダを見ることにより、どのプロバイダからメールが発信されたが分かる可能性が有るのです。

　電子メールのヘッダには、SMTPサーバが必ず中継したという印を付けています。これはウィルスとて偽造することができません。そのヘッダは、Receivedヘッダと言い、通常Receivedヘッダは複数付けられていますが、最も最初に付けられたもの（最も下にあるもの）は、ウィルスの感染したコンピュータから直接SMTPサーバが受け取ったものと考えられます。

　このとき、SMTPサーバは、通常、接続してきたパソコンのIPアドレスを、receivedヘッダに付与するのです。

　さて、御自身のメールアドレスを利用され、御自身がもしかして本当にウィルスに感染してしまっているのではないか、と御心配の方は、相手先に届いたウィルスメールのヘッダを確認してもらい、receivedヘッダの一番下にあるものに、IPアドレスが書かれていないか、確認して下さい。もし書かれていたのなら、そのIPアドレスが普段御自身で使っているプロバイダが与えてくれるIPアドレスかどうか、較べてみて下さい。

　通常、ウィルスは、感染したパソコンの持ち主のメールアドレスは利用しないそうです。ですから、自身のメールアドレスが利用されているという方は、一応、自身が感染しているわけではない、と考えることもできます。

　また、ウィルスメールに、同時に添付されてきた画像ファイルなどは、やはり感染したパソコンのハードディスクに入っていたファイルであるとのことなので、感染を本人に知らせる場合に（十分プライバシーを考慮して）知らせようとすることは有効である、と教えていただきました。

掲示板でのメールアドレスの扱い

　今回、ナディアの掲示板に書かれたメールアドレスがキャッシュされ、ウィルスに利用されてしまった形跡があり、掲示板にメールアドレスを書くことは危険ではないか、と思っておりましたが、この点についても、教えてもらいました。

「ウイルスは.htmlファイルのソースを見て、@の前後の文字列をメールアドレスとして取得しています。従いまして、@の前後にコメントを記入しておけばウイルスは誤ったアドレスを取得し、メールは届かなくなります。」

　とのことでした。そのため、掲示板を上記のように設定し、今後ウィルスに利用されても、メールが蔓延しないようにしたいと思います。具体的には、ユーザ名<--comment-->@<--comment-->ドメイン名のように記述するようにする、ということです。ただしこれではmailtoによるリンクはできませんが、掲示板に何も書かれないよりは、情報が豊富です。

　ということで、今回のウィルスメールに関することは、とりあえずこれで終了したいと思います。今後とも皆さんお気を付け下さい。

　なお、ウィルスが発症するのが、奇数月の６日とのことなので、次は５月６日です。これまで記述して来た内容は、５月上旬までそのまま残しておきたいと思いますので、以下に添付しておきます。

　私に送られてきたウィルスが添付されたメールは、差出人がi-liter@sunny-side-st.comのものもありました。それを考えるに、私のメールアドレスがウィルスに利用され、私のアドレスで多くのウィルス付きメールが配付されているのではないか、ということが考えられます。そのため、もし可能であれば、ウィルスに感染している方に、それを気づかせ、対策を施してもらえると、私自身も助かると思い、その特定の手助けのために、情報を公開しようと思います。ただし、プライバシーに関わるような情報は、可能なかぎり伏せて置こうとは思います。また、私の情報公開により、他の方に迷惑がかかった場合、それは私の責任において対処させていただきます。

　当方に送られたウィルスメールに、ウィルス以外で添付された画像ファイルがいくつかありました。私がこの画像をPhotoshopで再度保存してあります。私ももう少し勉強しないとはっきりとしたことは言えないのですが、もしかするとこの画像は、メールの発信者の方のハードディスクに入っていた、もしくはWebのキャッシュに入っていた画像ではないかと思うのです。これはあくまでサニーサイドの憶測であり、ウイルスがこのような挙動をするという、技術的な裏付けを確実に取っているわけではありません。

　この画像やリンクで思い当たる方がいらっしゃいましたら、ぜひ私に御連絡を戴けないかと思います。

　2002年4月8日～4月14日にウィルスメールが、私のメールアドレスに何通か届いています。差出人は、ナディアの掲示板に書込みをしてくれている方の名前になっています。

　しかし、このウィルス、差出人のパソコンが感染しているとは限りません。おそらく、ウィルスがWebブラウザのキャッシュに残っている掲示板データのメールアドレスを勝手に使って、差出人、宛先を作成して、勝手にメールを送っているものと思われます。

　よって、本当に感染している人が誰か、を探し当てるのが大変です。ただ、明らかにナディアのホームページを見てくれている方、が感染しているのではないかと思います。というのも、上記のように、掲示板にメールアドレスを書いてくれた人のメールアドレスが、差出人、宛先に使われているからです。

　本当に感染している方がどなたか、ということとは別に、このような不信な添付ファイルを受け取った方は、絶対に添付ファイルを実行しないで下さい。ただし、メールソフト、ブラウザソフトのバージョンが古かった場合、添付ファイルを開かなくとも感染する可能性はあります。怖いですね。

　添付されているウィルスの詳細はこちらをみてください。

http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_KLEZ.E

　また、個人的情報で申し訳ありませんが、私宛に届いたウィルス付きのメールのヘッダからわかる情報を、被害を拡大させないためにも、掲載させていただきます。これは、メールヘッダのReceived:に書かれた情報で、最初にメールが出されたサーバです。ヘッダにこのように書いているから、といって、必ずそのサーバを使っているユーザから出された、とは一概に言えませんが、現状でウィルスメールを発信している方を特定できないため、この情報が唯一の情報なのです。

メールソフト（おそらくWindowsの~~Outlook Express~~ Outlook Express です）のSMTPサーバ設定に、

lcfep4.online.sh.cn
mta0.bs.dion.ne.jp
mta3.bs.dion.ne.jp

をお使いの方、一度、ウィルスに感染されていないか、確認下さい。

　また、ナディアの掲示板に良く出てくる方が差出人となっている、不審なメールを受け取った方は、ぜひ、私宛（nadia@sunny-side-st.com）に、ヘッダの情報などを送っていただくと、被害を最小にするお手伝いができると思いますので、御協力下さい。

tino_hid_b.JPG（画像を見る）	1024x768のデジカメ画像（縮小しました）	日産ティーノのhid（ヘッドライト？）の画像だと思われます。
terran.JPG（画像を見る）	もともと小さな画像	日産テラノのWebで公開されているような全体写真です。
http://www2.bridgestone.co.jp/hqe/index.html		ブリジストンOnlineのページ

4月15日、ウィルスメールのまとめ

１．感染してしまったパソコンの所有者に対してできることは少ない

２．自身が感染していないのに、自身の名前を使われてウィルスメールの差出人と思われてしまう人の不安

掲示板でのメールアドレスの扱い

みなさん、ウィルスメールに御注意を