「スクリプトウイルスに関する報告書」

by user

on 28 марта 2017

Category: Documents

>> Downloads: 4

views

Report

Comments

Description

Download 「スクリプトウイルスに関する報告書」

Transcript

「スクリプトウイルスに関する報告書」

「スクリプトウイルスに関する報告書」
2001 年 2 月
情報処理振興事業協会
セキュリティセンター
Copyright(C) 2001 Information-technology Promotion Agency, Japan
All rights reserved
-1
目次
１．スクリプトウイルスとは
3
１ .a.
3
スクリプトウイルス登場の背景
１）スクリプト言語
3
２）VBAとスクリプトウイルス
4
３）Visual Basic Script
4-5
1.b.
スクリプトウイルスの特徴
5
１）スクリプト言語の利点
5-6
２）スクリプト言語における不正プログラム開発
6
３）スクリプトウイルスの利点
7
４）スクリプト言語の制限
8
２．スクリプトウイルスの現状
8
2.a.
現在のスクリプトウイルスの活動について
１） Visual Basic Script （ VBScript）
・初の VBScriptの不正プログラム
8
8
8-9
・「 VBS_BUBBLEBOY」、「 VBS_KAKWORM」 9-10
・「 VBS_LOVELETTER」
10
２）DOSバッチコマンド
11
３） Java Script
12
4）その他のスクリプト言語
12
3. 今後のスクリプトウイルスの傾向
13-15
４. HTML形式のメール及びＷｅｂサイト上で、ウイルスの動作実験報告
15-18
Copyright(C) 2001 Information-technology Promotion Agency, Japan
All rights reserved
-2
1．スクリプトウイルスとは
１ .a.
スクリプトウイルス登場の背景
本報告書では「スクリプトウイルス」についてご説明いたします。一般的に「スクリプト言語」と
呼ばれるプログラミング言語で記述された不正プログラムを指して特に「スクリプトウイルス」と呼
びます。本報告内では「スクリプトウイルス」と呼ばれるものについてはこの定義に基づいてご説
明します。
1）スクリプト言語
スクリプト言語とは人間にもわかりやすい文法で記述したロジックをコンパイルなどの作業
を経ずに直接実行できるようにした簡易言語です。代表的なものとしてMS-DOS 上のバッ
チコマンドやUNIX上のシェルスクリプトなどがあります。記述したプログラムのソースをコンパ
イルなど実行形式のモジュールに変換することなく、そのまま実行できるので手軽に扱える
ことが特長です。スクリプト言語は基本的に実行可能形式のプログラムファイルとして扱わ
れますが、スクリプト言語は直接 CPUが理解できる命令ではありません。したがってスクリプト
プログラムの実行、つまりコマンドプロンプトからのコマンド入力もしくはWindows上でのダブ
ルクリックでの実行を行うにはスクリプトを理解してCPUに伝えるインタープリターに類する仕
組みが必要です。このためスクリプト言語をインタープリター言語と呼ぶ場合もあります。前
述の UNIXシェルスクリプトの場合は UNIXのシェルがインタープリターとしてスクリプトを解釈
し、実行されます。また、Java ScriptのようにWebブラウザなどのアプリケーションに機能拡
張の目的で実装されそのアプリケーションがインタープリターとして働くことにより実行される
ものや、テキストの整形に特化していたawkや Perlのように限定された目的のものもスクリプト
言語と呼びます。
Copyright(C) 2001 Information-technology Promotion Agency, Japan
All rights reserved
-3
2） VBAとスクリプトウイルス
「スクリプトウイルス」と呼ばれる種別の登場は数あるプログラミング言語の中でも特に
Visual Basicと関連が深いといえます。Visual Basicはマイクロソフト社製のプログラム開発
言語であり、業務アプリケーション開発等に広く使用されております。 Visual Basic自体
はスクリプト言語ではありませんが、そのシンタックスを倣った Visual Basicのサブセットであ
るVisual Basic for Application（以下、 VBA）、さらに VBAのサブセットと呼べる Visual
Basic Script（以下、 VBScript）を生みました。
VBAは ExcelなどのMicrosoft Officeアプリケーション上で実行するプログラム用のプログ
ラミング言語として開発されました。Microsoft Officeアプリケーション用で使用されるプロ
グラムは一般的に「マクロ」と呼ばれていたため、Microsoft Office 97以降で実装された
VBAもその呼称を引き継ぎ、総称して｢マクロ｣と呼ばれ、
VBAで作成された不正プログラ
ムも「マクロウイルス」として大別されています。このためここでは「マクロウイルス」に関しては
「スクリプトウイルス」の対象外としますが、 VBA自体は Microsoft Officeなど特定のアプリ
ケーション上で動作するスクリプト言語ともいえるでしょう。
3） Visual Basic Script
Virusal Basic Script(VBScript)は Java Script 同様、Webブラウザ上で実行される Web
拡張言語の目的で登場しました。 Windows 98 以降では、 Windows Scripting Host
（WSH）の実装によりWindows 上で VBScriptファイルを直接実行できるようになり使用範
囲が広まり、汎用性の高いスクリプト言語となりました。Windows上で直接実行できるよう
になったことでVBScriptが不正プログラムを作成する際の選択肢として有力な存在となり、
Copyright(C) 2001 Information-technology Promotion Agency, Japan
All rights reserved
-4
Windows 98での Windows Scripting Hostの採用がスクリプトウイルス流行の土台となった
とさえいえるでしょう。
どのような形であれ、プログラムが作成、実行できるプラットフォームであれば「不正プログラ
ム」の作成も可能です。他に比べてプログラミングの容易なスクリプト言語を使用した不正プロ
グラムの存在はある意味当然といえるでしょう。厳密にいえば「スクリプトウイルス」という定義づ
けはあまり有意義なものではないかも知れません。単に不正プログラムにスクリプト言語が使用
されただけ、ともいえるからです。スクリプトの不正プログラムがまだそれほど多くなかった頃には
他の実行可能形式（EXE、COM等）と区別する積極的な理由はなかったため、「スクリプトウイ
ルス」という定義は必要がありませんでした。しかし、特にマイクロソフト社製 Visual Basicの登
場によりスクリプト言語を使用した不正プログラムが増加したこと、またスクリプト言語の特徴が
不正な活動やそのプログラムの流行に深く関わってきたケースも見られるようになってきたこと
により、他の不正プログラムとの区別がなされるようになってきました。
1.b.
スクリプトウイルスの特徴
スクリプト言語と他の本格的なプログラミング言語を比較した場合、スクリプト言語の長所短
所となる点がいくつかあります。他の不正プログラムと比較した場合の「スクリプトウイルス」の特
徴も概ねスクリプト言語自体の特徴を引き継ぐ形になります。
1）スクリプト言語の利点
スクリプト言語の最大の利点は、C言語等の他の開発言語に比較してプログラミング自
体が容易で、高度なプログラミングスキルがなくても簡便にプログラムが作成できることで
Copyright(C) 2001 Information-technology Promotion Agency, Japan
All rights reserved
-5
しょう。この利点は不正プログラムにとっては長所とも制限ともなります。基本的にスクリプト
言語は限定された処理を簡単に実現する目的で開発されています。このためスクリプト言
語でプログラム作成をするのに必要なスキルのレベルは C言語や VBなどの本格的なプロ
グラミング言語に比べると当然低いものとなります。例えば Visual Basicのコーディング、デ
バッグ、コンパイルといった一連の作業はプログラミング初心者にはハードルが高いでしょう。
また、スクリプト言語で作成したプログラムは基本的にプログラムソースがそのままテキスト
形式で頒布されることになるのでプログラミングの実例を参考にすることも容易でプログラミ
ングの実例を学習することができます。
2）スクリプト言語における不正プログラム開発
先のスクリプト言語の利点を不正プログラムに当てはめると、「亜種の作成が容易」という
特徴があげられます。通常のバイナリの実行可能形式プログラムを改変しようとしてもソー
スの入手が困難な場合には逆アセンブルなどの方法が必要条件であり、容易に解析する
ことはできません。しかし、スクリプトウイルスの場合は頒布されてくるウイルスファイルがその
ままソースコードなので基本的なプログラミングスキルを持っている人ならば容易にそのプロ
グラムロジックを把握でき、またロジックの改変が可能です。スクリプトウイルスに関する亜種
作成の容易さを表す例としては最も成功した最も有名なスクリプトウイルスである通称「ラ
ブレター(VBS_LOVELETTER)」ウイルスのケースが最適でしょう。「ラブレター」ウイルスは
2000 年 5 月に発見され、短時間に爆発的な勢いで世界に広まりましたがそれとほぼ同時
にメールの件名や本文、添付ファイル名など変更しやすい部分に小規模な改変を行った
亜種も多く出回りウイルスワクチンベンダーはその確認と対応に追われました。その亜種の
数は出現から1週間で約 20 種に達し、しかもその亜種すべてがオリジナルのウイルス作者
以外により改変が行われたものと推測されます。これは過去の不正プログラムでは考えら
Copyright(C) 2001 Information-technology Promotion Agency, Japan
All rights reserved
-6
れないほどの亜種の数といえます。ただし、スクリプトウイルスによっては簡単に解析されな
いよう、意図的にわかりづらいようにプログラミングされていたり、エンコードをかけたりしてい
る例もありますのですべてがこの特徴に当てはまるわけではありません。
3）スクリプトウイルスの利点
また、プログラムの取り扱いが容易であるというスクリプト言語の利点はウイルスにおいて
は検出を免れやすくなるという利点となります。現在すべてのウイルス対策ソフトで検索の
主流はパターンマッチング方式です。これはあらかじめ採取しておいたウイルスコードと検
索対象のファイルのコードをマッチングしてウイルス検出を行う方式ですが、パターンマッチ
ングはウイルスファイル内のコードが大きく変化した場合にマッチングできず、検出ができな
くなる弱点を持っています。スクリプトウイルスのファイルはテキストフォーマットであるため、
編集がし易い上に実行には関わらないような変更であってもその変更がコード全体に及
ぼす変化が大きく、結果パターンマッチングを免れ易くなるというウイルスにとっての利点と
なります。
4）スクリプト言語の制限
前述のような利点を持つスクリプト言語ですがこれは逆に制限にもなります。スクリプト言
語は限定された処理を簡単に実現する目的に適していますが、これは逆にいうとインター
プリターを通して CPUに命令を伝え実行するというスクリプト言語の仕組みが複雑な処理
をするには効率が悪いからです。つまり、スクリプト言語は機能を限定することによって簡
便性を得たわけですが、不正プログラムとして使用するには実施可能な活動の制限が大
きいといえます。また、実行にはそのスクリプト言語を解釈してくれるインタープリターが必
Copyright(C) 2001 Information-technology Promotion Agency, Japan
All rights reserved
-7
要です。これはMS-DOSコマンドやシェルスクリプトのようなOSの基本的な部分がインター
プリターであるもの以外では実行環境が制限されるという意味ではウイルスにとって大きな
問題です。例えば Perlの不正プログラムを作ってもPerlが実行できる環境が少ないため、
活動対象自体が限られてしまいます。これらの要因のため、VBScriptの登場まで、スクリ
プト言語は不正プログラムの作者にとっては魅力的でなかったといえます。
2．スクリプトウイルスの現状
2.a.
現在のスクリプトウイルスの活動について
現在では、スクリプトウイルスに分類できるウイルスはそのほとんどがVBScriptを使用したもの
ですが MS-DOSのバッチコマンドや Java Scriptなど他の言語を使用したものも存在します。
個々のスクリプトウイルスの特徴はその使用するスクリプト言語自体の特徴に因るところが大き
いので、ここでは使用スクリプト言語ごとに現在するスクリプトウイルスの活動を説明します。
１） Visual Basic Script （ VBScript）
Visual Basicはマイクロソフトが開発したプログラミング言語及びその開発環境の総称で
すが、Visual Basic Script（VBScript）はそのスクリプト言語版サブセットといえます。当初
は Webブラウザに実装される WWW 拡張言語として登場しましたが、 Windows Scripting
Host（ WSH、実体は Wscript.exe）がインストールされている Windows 環境では直接実行で
きるプログラムとして使用できるようになり、Visual Basicから引き継いだ機能とあいまってス
クリプト言語としては高機能で汎用性が高いものとなっています。 VBScriptの直接実行に
必要な WSH は Windows 98/Me/2000 においてはデフォルトでインストールされる他、
Internet Explorer 4以降ではモジュールの一部としてもインストールされます。現在の状況
としてはVBScriptが直接実行できる環境が Windowsのデフォルトといえ、PC環境では動作
Copyright(C) 2001 Information-technology Promotion Agency, Japan
All rights reserved
-8
可能な環境が最も多いスクリプト言語でしょう。しかし逆にその汎用性の高さから不正プロ
グラムに使用される頻度も高まりました。特に VBA同様、Microsoft Officeアプリケーション
のコントロールが容易であることにより、現在最も不正プログラムに使用され、最も大きなウイ
ルス被害を引き起こしたプログラミング言語となってしまいました。
・初の VBScriptの不正プログラム
VBScriptの不正プログラムはWindows 98 が発売された 1998年からすでに存在が確
認されています。当時の VBScriptウイルスとしては「VBS_V777」、「VBS_HAPPY」といっ
たものがあります。どちらも特定のディレクトリ内の VBScriptファイルに感染する他、テキス
ト文書や DOC 文書に文字列をコピーしたり、自身のコピーをレジストリに登録して自動実
行させたり、といった現在の VBScriptウイルスにも通ずる活動を行います。翌 1999年 8 月
には「VBS_MONOPOLY」が登場します。これは Outlookをコントロールしてメールを自動
送信する活動を行うもので、後の「ラブレター（VBS_LOVELETTER）」などのVBScript
ワームの始祖といえる不正プログラムです。しかし、これらの不正プログラムは被害として
は小規模だったためほとんど注目されませんでした。
・「 VBS_BUBBLEBOY」、「 VBS_KAKWORM」
これまでのウイルスの常識を覆し、VBScriptの危険性を大きく知らしめたのは1999年 11
月に確認された「VBS_BUBBLEBOY」です。「VBS_BUBBLEBOY」はもともとWeb拡張
言語として HTML 内のスクリプトとしてブラウザ上でも実行できる VBScriptの特性から
Internet Explorer 5までのセキュリティホールを利用してメールの添付ファイルを開かなく
ともOutlook Express上でプレビューしただけで不正プログラムが活動開始してしまうとい
うダイレクトアクション型のワーム活動を実現しました。その革新性にも関わらず
Copyright(C) 2001 Information-technology Promotion Agency, Japan
All rights reserved
-9
「VBS_BUBBLEBOY」はほとんど流行しませんでしたが、これは「VBS_BUBBLEBOY」
の活動が、活動開始には Outlook Express、ワームメールの自動送信には Outlookと、異
なる二つのメーラーを必要としていたためと思われます。しかし、2000年 1 月に存在が確
認された「VBS_KAKWORM」は、同じセキュリティホールを利用してメールを開かずとも
活動開始すると同時に自分のウイルスコードをOutlook Expressの署名として送信メール
に添付するというパッシブな方法をとっています。「VBS_KAKWORM」はメールの自動送
信を行うものではないため爆発的な広まりはありませんでしたが、登場から1年以上が経
った現在でもウイルス感染報告のトップ 10に入り続けています。
「VBS_BUBBLEBOY」、「VBS_KAKWORM 」が利用した Internet Explorerのセキュリ
ティホールはInternet Explorer 5.01で修正されましたが市販の Windows 98 SE/2000で
も最初は Internet Explorer 5.00の状態でインストールされるので、インストール後アップ
デートを怠るとそのセキュリティホールを抱えたままとなります。「VBS_KAKWORM」の感
染報告が絶えない事からみても、ユーザ自体のこのセキュリティホールの認識が低いと考
えてよいでしょう。ただし、ブラウザ上で実行された VBScriptプログラムの活動はブラウザ
のセキュリティにより制限を受けます。このため、「 VBS_BUBBLEBOY」も
「VBS_KAKWORM」も最初のアクションでは Windows のスタートアップフォルダに
VBScriptウイルスの本体を作成し、次回 Windows 起動時に実際の活動を行うという二
段階の活動を行います。幸い、ほとんどの不正プログラムは英語環境での活動を前提に
しているため、 Windowsのスタートアップフォルダのパスが異なる日本語環境では活動が
できません。「VBS_KAKWORM」も海外では息長く流行し続けていますが、先の理由に
より日本での発見例はあるものの感染例はほとんどないという結果になっています。
・「 VBS_LOVELETTER」
Copyright(C) 2001 Information-technology Promotion Agency, Japan
All rights reserved
-10
2000 年 5 月には「メリッサ (W97M_MELLISA)」以上の大きな被害を世界に与えた
「VBS_LOVELETTER( 通称 :ラブレター )」が登場します。「ラブレター」ウイルスは
Microsoft Officeアプリケーションをコントロールしやすい VBScriptの特性を生かし、
Outlook を利用してアドレス帳の宛先全員にワームメールを送信する活動と、
「ILOVEYOU」、「LOVELETTER」という人の興味を引きやすいキーワードで一瞬のうち
に世界を席巻しました。「ラブレター」ウイルスはVBScriptによる Outlookのコントロールの
容易さを世界的に知らしめたことで現在の VBScriptワーム大流行の元となったといえま
す。「ラブレター」ウイルス以降の VBScriptウイルスはほとんどがOutlookを利用してマスメ
ーリングのワーム活動を行います。
2） DOS バッチコマンド
「バッチ」とはあらかじめ設定しておいたいくつかの処理をまとめて実行させることですが、
MS-DOSでは特に複数の MS-DOSコマンドをテキストフォーマットで記述したものをバッチ
ファイル（.BAT）として実行可能なものとしています。MS-DOSコマンドで可能な処理はす
べてバッチファイルで行えます。Windows上で起動された場合はひとつのウインドウとして
表示され、そのウインドウ内で実行されます。しかしあまり複雑な活動は行い難いので使用
した不正プログラムの種類も極めて少ないものです。 MS-DOSバッチコマンドの不正プロ
グラムとして最も複雑な活動を行うものとしては 2000 年 4 月に確認された「
BAT_CHODE911」があります。「BAT_CHODE911」はネットワーク上のアクセス可能な共
有ドライブを探し出しワーム活動を行うことができます。また、モデムをコントロールして電話
番号 911（米国の救急時用電話番号）に電話をかける発病もあります。しかし、現状存在
する MS-DOSバッチコマンドの不正プログラムが行う活動のほとんどはファイル削除などの
単純な破壊活動です。起動時に破壊活動を行って終了するため感染が大きく広がる可
能性もありません。
Copyright(C) 2001 Information-technology Promotion Agency, Japan
All rights reserved
-11
また、DOS/Windowsのシステム起動時に自動実行される「AUTOEXEC.BAT」もDOSバ
ッチファイルなので、この仕組みを利用して「AUTOEXEC.BAT」を書き換え起動時に破壊
活動が行われることもあります。
Windows NT/2000 はもともと MS-DOS が必要ない OS であり、 Windows 95/98 系でも
Windows Meにおいて起動時の MS-DOSリアルモードを撤廃したため、全体として
MS-DOS バッチコマンド自体が使用されなくなる傾向にあります。
3） Java Script
Java Scriptは Netscape 社が開発したスクリプト言語です。Webブラウザに実装され Web
拡張言語として使用されています。類似した名称でサンマイクロシステムズが開発した
「Java」というプログラム言語があります。Java Scriptの文法は「Java」言語を参考にしている部分
がありますが、「Java」言語との互換性はありません。Visual Basicと VBScriptのような関係ではな
く、JavaのサブセットとしてJava Scriptがあるわけではありません。基本的には Java Script
に対応した Webブラウザがインタープリターとなって実行されます。 HTMLファイル上に
<Script>タグを使って記述することにより、ボタンが押された場合の処理や、簡単な演算処理などを
WWWブラウザ上で実現できます。VBScript の項目で触れた WSHがインストールされた
Windows環境では ”.js”の拡張子で直接実行も可能です。
基本的に Java Scriptの不正プログラムはHTML文書内に含まれた形でユーザの下に入
り込み、ブラウザでHTML 文書が表示される際に実行されます。通常は Webのコンテンツ
に含まれ、インターネット上の Webページをブラウズしただけで実行されてしまうことになりま
Copyright(C) 2001 Information-technology Promotion Agency, Japan
All rights reserved
-12
す。しかし、Java Scriptでは言語自体の仕様上、ローカルのファイル操作はほとんど行え
ないため可能な不正活動は限られます。実際の不正活動は Java Script以外の不正プロ
グラムによって行われ、Java Script自体はその不正プログラムをマシン内に作成する手段
としてのみ使用される場合が多いものです。現在までに最も感染報告が多かった Java
Script 不正プログラムは「JS_SEEKER」です。Windowsのスタートアップフォルダにレジスト
リを編集して Internet Explorerのホームページを変更してしまうプログラムファイルを作成し、
次回起動時に実行させます。
4）その他のスクリプト言語
その他、シェルスクリプト、Perl、PHP（Hypertext Preprocessor）、などのスクリプト言語を使用
した不正プログラムもごく少数存在しますが、現状ではほとんど問題にならないレベルですので
現状の説明としては割愛させていただきます。
Copyright(C) 2001 Information-technology Promotion Agency, Japan
All rights reserved
-13
3．今後のスクリプトウイルスの傾向
今後のスクリプトウイルスの傾向ですが、まずは不正プログラムの作成に使用されるスクリプト
言語自体の変化が考えられます。
プログラミング言語が不正プログラムに使用されやすい条件としては、実現できる機能が多い
こと、実行できる環境が多いことの二つを満たしていることが必要です。この二つのどちらかが
欠けても不正プログラムの作者には魅力的でなくなります。現状からみて、VBScriptの不正プ
ログラムはWindows 上で容易に利用できて汎用性も高い利点から今後も増加するでしょう。
MS-DOSバッチコマンドやJava Scriptを使用した不正プログラムは、その機能制限から今後も
大きく増えることは無く衰退していく可能性が高いと想定されます。
前章では説明を割愛しましたが、シェルスクリプト、Perl、PHP（Hypertext Preprocessor）と
いったスクリプト言語を使用した不正プログラムの存在が現在確認されております。このうち
PHP は Web サーバ上で使用されるサーバサイドのスクリプト言語です。 2001 年 1 月には
「PHP_NEWWORLD」が大きな話題を呼びました。しかし、PHPはあくまでもサーバサイドのスク
リプトであり、実行できる環境はあまり多くないのが現実です。したがってこれ以上の広まりはな
いものと想定されます。ただし、 PHPが実行できるサーバ上で行える活動は多いので例えば
DDoS（分散型サービス拒否 Distributed Denial of Service）のような攻撃やハッキングの際のツール
に使用される可能性はあるものと思われます。シェルスクリプトとPerlは UNIX系のプログラミン
グ言語であったためこれまでのDOS/Windows 中心のコンピューターウイルスでは使用されるこ
とはありませんでした。実行できる環境が多いというウイルスが流行する条件を満たしていなか
ったわけですが、LINUXのシェアが増えるにつれ、今後の展開次第では不正プログラムの増
加が予想されます。特に Perlは当初のテキスト処理用スクリプトの目的から大きく機能が拡張
され VBScript以上の汎用性を持ったプログラミング言語となっており、機能的な条件は十分
Copyright(C) 2001 Information-technology Promotion Agency, Japan
All rights reserved
-14
です。Windowsなど現在のほとんどのOSにも移植されてはいますが、DOS/Windowsで多く使
われているものではなく、どちらかというとクライアントサイドよりもサーバサイドのスクリプト言語と
なっています。今後例えば WSHのような仕組みによりデフォルトでOSに実装されクライアントサ
イドのスクリプトになった場合には大量の不正プログラムの登場が予測されます。ただし現状
Windowsでそういった動きはみられないため、Perlインタープリターを導入するのはプログラミン
グを行う人たちだけの限定的な環境にとどまると考えられます。
次にありえるシナリオとしては新しいスクリプト言語の登場と、現在は存在しないインタープリ
ターのセキュリティホールが発覚することが考えられます。特にブラウザのセキュリティホールに
よって、実行できないはずの機能が実行できてしまったり、HTMLメール内のスクリプトが自動
実行されてしまうようなものによる被害が考えられます。これについては予測可能なものではあ
りません。ただし、セキュリティホールの問題は常にフィックスされていくので恒常的な問題では
ありえず、一時的な被害にとどまることは確かです。
Copyright(C) 2001 Information-technology Promotion Agency, Japan
All rights reserved
-15
4. HTML形式のメールおよびＷｅｂサイト上での、ウイルス動作実験報告
スクリプトウイルスに関して、HTML形式のメールおよびＷｅｂサイト上で、ウイルスの動作実験を行い、動
作の可否およびその影響に関する調査検討を実施しました。
【確認方法】
① Webサイトでの確認：
Webサイト上の HTMLページ内にスクリプトウイルスのコードを埋め込み、クライアントマ
シンからブラウザでアクセスする。
② HTMLメールでの確認：
HTMLメール内にスクリプトウイルスのコードを埋め込み、クライアントマシンのメーラーに
て受信する。
※①・②それぞれについて動作確認しました。
【検証環境】
①ブラウザおよびメーラーについて
ブラウザはInternet Explorer、メーラーはその付属であるOutlook Expressにて実施し
ました。
※ユーザーが OSをインストールしたままアップデートしていない状態が最も多いと考え、
OSインストール後マシン上に何もアップデートしていない状態を想定しました。
a. Windows Me
＋
Internet Explorer 5.5
b. Windows 2000
＋
Internet Explorer 5.0
Copyright(C) 2001 Information-technology Promotion Agency, Japan
All rights reserved
-16
c. Windows98 SE
＋
Internet Explorer 5.0
d. Windows 98＋ Internet Explorer 4.0
※ OSの英語環境下での活動を同時に確認する方法として、英語環境の場合のスター
トアップフォルダ（c:¥Windows¥Start Menu¥Programs¥Startup）を手動で作成してい
ます。
【検証方法】
① Webサイト：
スタンドアロンネットワーク内に Window 2000に標準でインストールされるIIS5.0を Web
サーバとして、スクリプトウイルスのコードを内包したHTML文書を Webページとして公開
しました。「検証環境」の項目で触れた各クライアント環境からブラウズして検証しました。
尚 IEのセキュリティ設定はインターネットゾーンのデフォルトである「中」の状態を基本に
しています。
② メール：
スタンドアロンネットワーク内にメールサーバを設置し、スクリプトウイルスのコードを内
包した HTMLメール送信を実施しました。「検証環境」の項目で触れた各クライアント環
境からOutlook Expressでメールを受信し、プレビュー/オープンします。 IEのセキュリ
ティ設定はインターネットゾーンのデフォルトである「中」の状態を基本にしています。
Copyright(C) 2001 Information-technology Promotion Agency, Japan
All rights reserved
-17
【検証結果】
IE5.5(WinMe)
IE5.0(Win2000)
Web
Mail
Web
Mail
HTML_ZULU.A
×
×
×
×
JS_THE_FLY
×
×
×
×
VBS_BUBBLEBOY
×
△(英）
×
×
VBS_FIREBURN
×
×
×
×
VBS_FORGOTTEN.A
NA
△(英）
NA
×
VBS_FREELINK
×
×
×
×
VBS_FRIENDMESS.A
×
×
×
×
VBS_GABRILELALO
×
△(英）
×
×
VBS_GABRY.A
×
×
×
×
VBS_IROK
×
×
×
×
VBS_JER
×
×
×
×
VBS_KAKWORM.A
×
△(英）
×
×
VBS_LEEBILL
×
×
×
×
VBS_LOVELETTR.AS
×
×
×
×
VBS_PICA.A
×
×
×
×
VBS_PLACID
×
×
×
×
VBS_TIMOFONICA
×
×
×
×
VBS_TRIPLESIX
×
×
×
×
VBS_VBS10
×
×
×
×
IE5.0(Win98SE)
IE4.0(Win98)
Web
Mail
Web
Mail
×
×
×
×
×
×
×
×
×
○（
英）
×
×
×
×
×
×
NA
○（
英）
NA
×
×
×
×
×
×
×
×
×
×
○（
英）
×
×
×
×
×
×
×
×
×
×
×
×
×
×
○（
英） ○（
英）
×
×
×
×
×
×
×
×
×
×
×
×
×
×
×
×
×
×
×
×
×
×
×
×
×
×
×
×
×
×
凡例：
×＝動作せず
△＝セキュリティ低なら動作
○＝動作
(英）
＝英語環境でのみ動作
NA＝クライアントマシンハングのため検証不可
【 OSの言語による動作】
検証結果より日本語版環境では動作いたしませんでした。これはほとんどスクリプトウイルス
が実行の際に Windowsの“スタートアップ”フォルダに起動設定を行おうとするのですが、英語
環境と日本語環境では“スタートアップ”フォルダ名が異なるために、スクリプトウイルスが英語
版 OSのみしかコーディング上考慮にいれていないためです。当然スクリプトウイルスのコード
を日本語 OSの“スタートアップ“フォルダ名に書き込むというようにロジックを変更すれば、動作
することができます。
Copyright(C) 2001 Information-technology Promotion Agency, Japan
All rights reserved
-18
【 Webサイトおよびメール等の経路による動作】
Webサイト上でもVBS_KAKWORM.A以外はほとんど動作をしませんでした。
ほとんどのスクリプ
トウイルスはローカルで実行されることを前提に記述されていますが、Internet Explorerのセキュリティにより
実行を制限されています。また、IEのセキュリティホールを意識したダイレクトアクション型のスクリプトウイ
ルスの中でもVBS_KAKWORM.AだけがWebサイト経由でも活動が可能でした。これはKAKWORMだけが
具体的にOBJECTのCLSIDを宣言するなど、もっとも正確にIEのセキュリティホールを意識してコーディング
されているためといえます。
【ブラウザの設定による動作】
Internet Explorerのセキュリティの設定によって動作するケースが確認されました。
これはInternet Explorer5.5のセキュリティ「低」の設定はすべてのアクティブコンテンツを実行できる設定
なのでスクリプトから呼び出されるActivXコントロールも実行されてしまいます。ただしIE5.0と異なり、実行前
には必ず確認のメッセージが出ます。その際にOKしなければスクリプトウイルスが実行されることはありま
せん。
また今回は Internet Explorerで検証しましたが、Netscapeなど他のブラウザであった場合
はActiveXコントロールの呼び出しに対応していないためにスクリプトウイルスは動作しません。
【 Webサーバに対する影響】
VBScriptなどスクリプトウイルスに使用されるスクリプト言語は、クライアントサイドのスクリプトなの
でWebサーバサイドへはなんら影響を及ぼしません。ただしPHPなどのサーバサイドのスクリプトであれば
Webサーバに対する動作になりますので、ファイルを入れ替えるなどのに影響を及ぼすことが想定されま
す。
Copyright(C) 2001 Information-technology Promotion Agency, Japan
All rights reserved
-19