Internet が生活の一部となりつつある現在、深刻な被害をもたらしているものの一つにコンピュータウイルス(ワームを含みます)があります。かつては、システムの起動時に使われる特定の場所を悪用して、感染した PC そのものにダメージを与えることを目的としていたのに対し、現在では感染した PC を操って、まったく別の PC に対して攻撃を仕掛ける、間接的な攻撃や2字的被害が深刻になっています。
ポケットベルからの派生した技術として、携帯電話に搭載されたメールによって、それまではごく限られた人だけが使用していた『E-Mail』が、瞬く間に使って当たり前、という状態になってきました。しかし、良いことだけがもたらされたわけではありませんでした。その利便性に気づいた一部の心ない人々が、メールを宣伝媒体として利用することを思いつき、現在の社会問題ともなりつつあるジャンクメールを産み出し、本来の利便性を大きく損ねる、負の資産までも引き込んでしまった、ともいえます。
数ヶ月前のことですが、会社での私のアドレスに、見慣れないメールが届きました。まず、件名がありません。この時点でかなり怪しいのですが、全くない、とは断言できません。社内メールでも、うっかり件名を付けないまま送信してしまう人が、少なからずいるためです。しかし、このメールは少々事情が異なりました。それは、送信者まで空白なのです。
基本的に、メールを新規作成するときには、メーラーが送信者情報を付加するため、故意に削除しない限り、送信者が空白になることはありえません。ということは『人が作成したメールではない可能性がある』ことになります。人以外でメールを作成するものとなると、そうです、ウイルスの疑いが高いといえます。
ウイルスの疑いがあるメールである以上、そのまま開くことは非常に危険です。なので、私は Outlook Express 5 の自動プレビューを止めたうえで、メールのプロパティを開いてみたところ、添付ファイルしかなく、本文が全くないメールとなっていることがわかりました。そこで、万全を配して、添付ファイルを分離し、ウイルスチェックを行ったところ、予想通りウイルス(Hybris、正確にはワーム)が検出されました。
なぜ、会社のアドレスにウイルスメールが送付されたか、という点については、現在までも正確な理由はわかっていません。このアドレスで参加しているものとしては、moug ML だけであり、その他の場所で使っていることはありません。私用となるものは、すべて個人で有しているアドレスを使用しているため、アドレスを収集した場所が moug ML の可能性は否定できません。しかし、所詮英数字からなる文字列でしかないわけであり、ある一定の範囲をさだめて絨毯爆撃的にアドレスを発生させれば、その一つが該当してくることは、十分に予想できることです。まして、アカウント部分が6文字では、来ないほうがおかしいともいえます。携帯電話もそうでしょうが、電話番号を直接覚えるのではなく、端末の電話帳に登録したものを使うように、メールアドレスも、一度受信したメールなどからアドレス帳へ登録し、以後はアドレス帳からの選択になるわけですから、ある程度長いメールアドレスを作成しても、実のところはそう問題でもないともいえます。
会社のメールアドレスにウイルスメールが送信されたので、当然の処置として、システム部門へウイルスメール受信の連絡を行いました。個人であれば、自分で対応すべきですが、組織の物(に送付された)以上は、対応すべきは担当部署になるわけです。しかし、事態は私の予想しない方向へ、進路を変えていったのです。
まず、驚いたのが、メールに対するウイルスチェックが何も実行されていなかったことです。実は、会社から貸与された PC には、ウイルスチェッカーが入っておらず、システム部門に確認したところ、まだブツが届いていないので届きしだい導入する、という話がありました。しかし、当時はすでにメールを媒体として派生していくウイルスが社会問題として取り上げられはじめていたため、暫定的に個人所有のウイルスチェッカーを導入して、対応していました。この時用いたソフトは、Norton AntiVirus です。ML に加入しているため、ウイルスメールを受信しやすい環境となっていることは重々承知していたので、自衛手段が必要だったためでもあります。Norton AntiVirus には、メールスキャナという機能があり、受信したメールにウイルスのコードが含まれていないか、一通づつ検査するため、仮にウイルスメールが届いたとしても、受信時に除去可能となるわけです。
貸与されてからしばらくして、会社として購入した Norton AntiVirus Corporate Edition にウイルスチェッカーに切り替わりました。これまでも同じエンジンを使用している Norton AntiVirus を使用していたので、すっかり安心していました。しかし、日が経つにつれ、次第に違和感を感じるようになってきました。それは、以前はメールを受信するときにタスクトレイに表示されていた Norton AntiVirus のメールスキャナアイコンが、Corporate Edition では表示されなくなっているのです。(あれっ、サーバー上でウイルスチェックするようになったのかな?)と思い、システム部門に特に確認することもなく、使用していました。そして、あのウイルスメールが送信されてきたのでした。
私はシステム部門に次のように報告を行いました。
1.私のアドレスにウイルスメールが送信されてきた。
2.Corporate Edition には、メールスキャナの機能はないのか>
3.メールに対するウイルスチェックは、サーバーで行われているのか?
しかし、システム部門から言われたことは、私が想像だにしないことでした。それは、
『君がメールアドレスを教えた相手を報告するように』
『ウイルスメールを送信してきた相手にこころあたりはないか』
『関連組織以外にメールの送受信は謹むこと』
というものでした。つまり『ウイルスメールを出すようなところに、メールアドレスをばらまいていた君の責任だ』と言わんばかりなのでした。これには憤慨するどころか、あきれ果てて、二の句が継げなくなりました。さらには、
ML などの不特定多数の受信者が存在するところに会社のアドレスから投稿することは、極力さけること
とまでいわれました。しかし、私が参加している moug ML は、Office ユーザーの ML であり、業務で Office をつかわされている以上、必要な情報を入手するために、購読しているにもかかわらず、それをあたかも個人の趣味であるかのように、言われたことは、あまりにも無知識、無理解であると、言わざるをえません。反論する気さえ、消失してしました。
もし、ML に入っているからだ、というならば、なぜ携帯電話のキャッチメールはこれほどまでにはびこっているのでしょうか?所詮限りある英数字の組み合わせでしかないメールアドレスを使っている以上、いつかは届くだけのことであり、それがたまたま私だった、ということではないでしょうか?さらにいえば、ウイルスメールではないか、と予想できたからこそ、ワームを発動させることなく、封じ込められた訳であり、これが私以外に来ていたらどうなるのでしょう?私の上司には、何度行っても、メールウイルスに感染して、ウイルスメールをばらまく、懲りない面々が多数存在するため、来てから対応するのではなく、事前の対応が重要なのではないでしょうか?だからこそ、『メールスキャナはないのでしょうか』と質問しているのにもかかわらず、それに対する回答は全くないのです。
私は現在も ML の購読を続けています。なぜなら、これは業務運用上必要なことだからです。システム開発を、システム部門以外でもしなければいけない現状で、開発に当たってノウハウと得る意味でも、ML は知識の宝箱であり、活用しない手はありません。
私は会社のメーラーとして、Outlook Express 5.0 を使用しています。これは、自分で選択したのではなく、システム部門が、Outlook Express を指定しているためです。しかし、最近また一つ憤るようなことを体感することになってしまいました。
ここ最近出まわっているメールウイルスは、どうも作成キットのようなものを使っているようで、ウイルスと思わしきすべてのメールには、特定の文字列が共通して含まれていました。となれば、この文字列をキーとして、メールを振り分けできれば、仮にウイルスメールが送信されていても、サーバー上で削除することも可能になるのではないか、そう考えたわけです。Outlook Express には、『ルール』という機能があります。これはあらかじめ条件を指定しておくことで、メールを受信時に自動振り分けする機能であり、メールの受信量が増えれば増えるほど、うまく活用しておくことが重要になる機能です。
さっそく、このウイルスメールを特定する文字列を設定したルールを作成し、うまく弾けるか、確認をしてみました。しかし、何度行っても、Outlook Express はウイルスメールをそのまま受け取ってしまうのです。ルールに間違いはなく、同じ効果を出すように、他のメーラーを使うと、問題なく弾けるのですが、Outlook Express ではどうにも弾けないのです。
調べていくうちに、びっくりするようなことがわかりました。それは、
1.Outlook Express のルールは、メールデコード後にしか有効にならない
2.ルールで本分から検索する文字列は、本文のみが対象となる
ということでした。1は特に問題です。なぜなら、メールをデコードする時に、ウイルスが起動するために、蔓延することが問題なのであり、デコードする前に除去できなければ、意味がないのです。送信者フィールドなどはデコードしないと、設定条件と一致するか確認ができないのでは、と思われるかもしれませんが、メールアドレスそのものは、本来エンコードの対象とはすべきではない(エンコードが必要なのは、半角英数字以外の文字であり、フィールド全体をエンコードしてしまうと、万一途中でメールが戻ってきた場合に、どこに届けてよいのか、わからなくなってしまう危険性があります。)以上、メールアドレスそのもので設定しておけば、デコードをしなくても可能なはずです。にもかかわらず、Outlook Express では、フィールド全体をエンコードしてしまうため、一度デコードしないと、ルールを適用できないことになるのです。
2も、かなり気づきにくいものでした。ウイルスメールを受信状態にすると、内容表示ウインドウには、なにもひょうじされません。しかしプロパティを確認すると、間違いなくウイルスの添付ファイルが付属しています。しかし、メール本文にルールが適用されるのは、この内容表示ウインドウに表示できるものだけ、という限定があるようで、デコード前の文字列をいくら指定しても、Outlook Express では、どうにも排除できないのです。だからこそ、メールスキャナのようなツールを使って、メールそのものを検閲する必要があるのです。
実は、私の個人アドレスにも、日に一本程度のウイルス添付メールが届いています。しかし、メーラーである電信八号の振り分けルールを使って、ウイルス添付メールについては、ウイルス専用メールボックスに保管するようにしています。このおかげで、私のところでは、特別確認した場合を除いて、ウイルス添付メールが、通常の受信箱に収まることはありません。しかも、一つの指定で、いくつかのウイルスのタイプを捉えることができて、一石二鳥どころか、一石多鳥ともなっています。
ウイルスと呼ばれるものは、それが他の人間に対し、外を与えるから問題になります。しかし、見えない部分でユーザーに利益をもたらすようになれば、それは必携ツールとして世に広まっていくことになります。私には、人に迷惑をかけて喜ぶ気持ちはわかりませんが、その技術を正のベクトルとすることができれば、より有益になると思うのですが、目立ち方を間違っている人間が多くなってきているように、最近は特に感じられます。