W97M_Melissa

MMV>>Melissa Macro Virus

メリッサ

Microsoft社のWord 97またはWord 2000のマクロとOutlookを組み合わせ、電子メールやニュースグループの添付ファイルとして広がるワームの1種で、W97M_Melissaに感染した添付ファイルをクリックすると、Outlookのアドレス帳に記載されているトップ50人に対して「important message from(発信者の名前)」というタイトルで、発信者の名前を記載して送信してしまうウイルスの俗称。詳細情報は米国のカーネギー・メロン大学(CMU/Carnegie Mellon University) CERTのURL(http://www.cert.org/advisories/CA-99-04-Melissa-Macro-Virus.html)で知ることができる。また、送信元が知人の名前で、「Here is that document you asked for...don't show anyone else :-)/頼まれていたドキュメントです。誰にも見せないように;-)」というメッセージとポルノサイトのリストまで載っているため安心して開くと感染するという手の込んだワームで、Microsoft社ではサーバーを一時停止させたというニュースまでc|netやZDNetは報道している。詳細情報はURL(http://cnet.sphere.ne.jp/News/Sokuhou/990327-11.html)または、URL(http://www.zdnet.co.jp/news/9903/27/melissa.html)で知ることができる。このような自動転送機能を持ったウイルスは多くの社員を抱える会社ほどメールサーバーをダウンさせるなど、これまでの個人データを破壊するウイルスとは異なり、インフラを狙った点が特徴といえる。W97M_Melissaの被害は拡大する可能性が強く、Intel社などでも対応に大忙しのようである。日本でも1999年3月29日にネットワークアソシエイツからW97M_Melissaの感染報告があった。ただし、このような愉快犯は、騒げば騒ぐほど同様のウイルスやワームを製造し、配布する傾向が強く、注目されることに生き甲斐を持つような人が多い。また、このようなウイルスを作ること自体はそれほど高級な技術者でなくても簡単にできることから、ユーザーはまず対応方法を知ることが重要で、次ぎに知った顔であまり騒がないことが肝要である。すでにW97M_Melissaのウイルスコード をそのままコピーして作られた亜種として、「W97M_Melissa-B」「W97M_Melissa-C」やExcelに感染するようにExcel 97、Excel 2000のクラスモジュールから実行するX97M_Papaも登場している。X97M_Papaは、60のアドレスに対しメッセージを送付し、メールの件名は「Fwd: Workbook from from all.net and Fred Cohen (転送:all.net とフレッド・コーヘンからのワークブック)」となっている。また、メッセージには「Urgent info inside. Disregardmacro warning.(緊急情報が含まれています。マクロの警告は無視してください )」と書かれている。また、2つのホスト間の基本ネットワークを繋ぐユーティリティにちなんで名付けられたW97M_Ping-Aも登場している。また、このように有名なウイルスの登場は同時に、アンチ・ウイルス開発会社にとって最大のビジネスチャンスの到来ということになり、暗黙の宣伝合戦のメールがトラフィックを混乱させ、中にはウイルスの開発者に対し、このウイルスは高級技術を利用しているなどと褒める開発会社まで登場し、あおり立てている場合もあり、困ったものである。Melissaの作成者探しはFBIまで巻き込んで、Melissaの心臓部分とも言えるList.Docファイル内のGUIDから捜査が始まり、PSD2000.docというウイルスに感染 したWord 2000のファイルが VicodinESのサイト上で発見され、そのファイルにはMelissaウイルスと同じGUID(電子の指紋)が含まれていたことから、米国ではVicodinESと名乗る謎のウイルス・ライターではないかということで重要参考人として捜査が進行している。1999年3月30日、31日にはMelissaに関係があるといわれていたSourceofKaos.comとCodebreakers.org、それにcoderz.netが相次いで閉鎖された。この事件に対する詳細な捜査情報がc|netやZDNeで報道され、パソコンの側面的な環境がどんどん公にされ、1999年4月1日には米国連邦・州エージェントのコンピュータ特別委員会とAOLの助けを借り、AOL提供の情報からセキュリティ・ベンダのNAI(Network Associates Instiutte)研究員がAVERT(Anti-Virus Emergency Response Team)ラボでニュスグループ「alt.sex」で最初にポストした愛称「Sky Roket」を断定し、ニュージャージー州アバディーン在住のデビッド・L・スミス(David L. Smith)(30歳)を逮捕した。David L. Smithは逮捕後マンモス・カウンティー刑務所(the Monmouth County Jail)に拘置され、1999年4月2日には保釈金10万$を支払って保釈された。しかし、FBI(米国連邦捜査局/Federal Bureau of Investigation)はそれ以前に、最長の禁固刑10年と最高25万$の罰金を課す方針を発表していることから、保釈金10万$で釈放というニュースは不思議な感じがすると同時に、FBIが捜査している本命は別なのかもしれないと考えざるおえない。また、この逮捕と立証のための証拠となる詳細情報はネットワークの中における個人情報の解明など、別の側面からも注目されることだろう。また、David L. Smithを逮捕したから全てが解決したと考えているとしたら大きな間違いである。なぜなら、David L. Smithは新しいネットワーク上でのクーデターの方法を実験したに過ぎず、それがこれほど話題になれば第2のDavid L. Smith、第3のDavid L. Smithが出てくる可能性は大きく、David L. Smithが逮捕されたことから、次からはもう少し発見されにくい方策を考えて行動を起こしてくることだろう。今回の事件でもっとも明確になったことは、コンピュータ関係者にMicrosoft社が敵を作ったことで、Microsoft社の商品を購入しているユーザーは、いつも脅威におびえなくてはならないと言うことである。日本法人のマイクロソフト社ではURL(http://www.microsoft.com/japan/Office/)でOffice 2000に関するFAQを発表し、その中で気になるQ & Aを掲載した。
Q3●Office 2000の文書に感染するウイルスが出回っていると聞いたのですが。
A3▲現在出回っていることが確認されているのは、いまはやりの「Melissa」や「W2000M/PSD」というウイルスです。これらは、Office 97でも注意が促されていた「マクロウイルス」で、ウイルスの症状は、変数をランダムに変更して一様ではないものもあります。Office 2000では、Office 97のときと同様にマクロを含む文書を開くときは注意を促すダイアログボックスが表示されます。また、本製品リリース時にはワクチンや対処方法が出回ると思われるので、それほど心配することもないでしょう。
ということであるが、現実的にはウイルスが発見されてからでないと、ワクチンや対処方法は出回らないということで、どんどん新しいマクロウイルスが登場している現実に対応した答えになっていないということである。Microsoft社では1999年4月2日に、米国のネットワーク・アソシエイツ(Network Associate)社、トレンドマイクロ(TrendMicro)社と共同で、次期版のOffice 2000にウイルス対策機能を開発し、組み込む計画を発表した。詳細情報はURL(http://www.microsoft.com/presspass/press/1999/Apr99/O2KSecurpr.htm)で知ることができる。ただし、このような方策で完全に対処したとはとうてい考えにくいのが現実的で、その根本的な解決方法はないのが現状といえる。また、最も喜んだのはウイルス撃退ソフト販売しているシマンテック、ネットワークアソシエイツ、トレンドマイクロなどで、売り上げが67%増であったことがUS News Flash Todayで報道された。このような報道から、ウイルスを開発しているのは、実はウイルス撃退ソフト販売会社ではないかという巷の噂が再熱する可能性まで出てきている。MelissaがMS Wordのdocファイルを対象としていたのに対し、rtfファイルに感染する変種「Melissa.U(Gen1)」と「Melissa.V」、MelissaライクなVBスクリプトウイルスの「VBS.Freelink」が1999年5月頃から登場している。1999年10月に入ってから、無防備な企業を襲って10社で感染が報告されている。1999年11月17日には、「Melissa.A」ウイルスがDisneyの社内文書に感染し、添付したスパムメールとして、アドレス帳に登録された多数の報道機関に宛てに送信されるという事故を誘発した。Melissaの亜種で、クリスマス(12月25日)に発症し、にユーザーのハード・ドライブを強制フォーマットしてしまう新種のウイルス「Prilissa(プリリッサ/W97M/Prilissa)」が登場した。MelissaはMacOS版のOffice 2001形式で、タイトルが「Important Message From - [ユーザー名]」で、本文に「Here is that document you asked for ... don't show anyone else ;-)」(頼まれていた文書です。他の人には見せないでくださいね :-) )と書かれた電子メールに添付されて送られ、感染すると「アウトルック」のアドレス帳に登録してある最初の50メンバーに自分自身を添付して送信して広がることが、2001年1月19日にネットワークアソシエイツから発表された。詳細情報はURL(http://www.nai.com/japan/virusinfo/virM.asp?v=W97M/Melissa@MM&a=M)で知ることができる。米国のDOJ(Department of Justice/米国司法省)が提供している刑務所情報(Federal Bureau of Prisons)はURL(http://www.bop.gov/)で読むことができる。マザージョーンズ・コム(MotherJones.com)でも、「Debt to Society(社会への負債)」というサイトで、全米の警務諸情報を公開した。詳細情報はURL(http://www.motherjones.com/prisons/)で知ることができる。ニュージャージー州の連邦地方裁判所(Superior Court)のローレンス裁判長(Judge Lawrence M.Lawson)は2002年5月1日に、元AT&Tプログラマー、デビッド・スミス(David L.Smith)被告(34)に対し、禁固1年8ヵ月と罰金5000ドルの判決を言い渡した。詳細情報はURL(http://www.njusao.org/files/me0501_r.htm)で知ることができる。

[関連情報]
●トレンドマイクロのW97M_Melissaに関する詳細情報があるURL(http://housecall.antivirus.com/smex_housecall/technotes.html)
●シマンテックのW97M_Melissaに関する詳細情報があるURL(http://www.symantec.com/region/jp/sarcj/sarcj.html)または、URL(http://www.symantec.com/avcenter/venc/data/mailissa.html)
●Microsoft社が提供するW97M_Melissaに関する詳細情報のURL(http://www.asia.microsoft.com/japan/Office/Documents/VirusInfo/Melissa.htm)
●シー・エス・イーのW97M_Melissaに関する詳細情報があるURL(http://www.cseltd.co.jp/sweep/)
●David L. Smith逮捕劇の詳細ニュースはtechwebのURL(http://www.techweb.com/wire/story/TWB19990402S0008)で知ることができる。
●Prilissaの詳細情報はURL(http://www.nai.com/japan/virusinfo/virPQ.asp?v=W97M/Prilissa&a=PQ)または、URL(http://inet.trendmicro.co.jp/virusinfo/default3.asp?VCode=10001409)


FBI(Federal Bureau of Investigation)
コンピュータ・ウイルス
ウイルス/セキュリティ関連URL
バンダル
ワーム
ファイル
フロッピーディスク
ワーム
パソコン通信
WebScan
HareVirus
ジャンク電子メール
チェーン・メール
Morris Worm
Authenticode
ActiveX
アプレット
CCCのActiveX調査
ミッションクリティカル
ワクチンバンク
マクロウイルス
AntiEXEウイルス
Windows CE
パームPC
サイバースペース免疫システム
リブート
CIAC
TechTool
Norton Utilities
ADSP
通産省経由のスパム・メール
電子メール署名運動
反スパム法
高度情報通信社会に向けた環境整備に関する研究会
JETDB_Access-1
Servlet
ServletExpress
デマ・メール
USC法
CAUCE
IAA
ネチズン保護法
VCS
SVP
AutoStart 9805
SAM
Norton AntiVirus
データベース保護法案
Dreamcast
通産省のマルチメディア・コンテンツの公募
NetAction
uuencode/undecode
ウイルスコンサルティングセンター
PE_CIH
サイバーナース
郵政省の迷惑メールの苦情処理機関
Malicious Mobile Code Consortium
ポートスキャン
セキュアメールサービス
eドクター
IIJ4U
Macintoshエミュレータ
Windowsエミュレータ
エミュレータ
Win95/CIH
防人
グループウェア
Corp3
PIN(Personal Identification Number)
Strange Brew
Strange Brew
W95/Marburg
BackOrifice
トロイの木馬
PowerPointウイルス
Officeアプリケーション感染型ウイルス
Caligula
W97M/Nono.A
O97M/Tristate
W97/X97M Shiver
米国FBIが発表したW97M_Melissa注意警報
AOL
FunLove
W97M/Prilissa
WebTV
Elecciones2000
VBS.LoveLetter.A
VBS.LoveLetter.A
unsolicited Email
cyber pollution
被害者は加害者になる!!
スクリプト遮断
セキュリティ・ホールの修正パッチ種痘
被害者は加害者になる!!
CATT(Cyber Attack Tiger Team)
迷惑メール防止法案
サーバーモンキー
再犯防止システム
FISA
ウイルス作成罪
アカウンタビリティ
インターネット隔離
Anti-Virus Reward Program
SmartScreen
VBScript
Visual Basic
Operation Peer Pressure