Windows TIPS

［System Environment］

→ Windows TIPS TOPへ → Windows TIPS全リストへ → 内容別分類一覧へ メールに添付された.PIFや.EXE、.SCRなどの実行ファイルに注意 デジタルアドバンテージ 2003/08/23 　 対象OS Windows 2000 Professional Windows 2000 Server Windows 2000 Advanced Server Windows XP Professional Windows XP Home Edition Windows Server 2003

■ メール添付型のウイルスでは、ウイルスのプログラムを添付したメールを送信し、ユーザーが実行するのを待つ。 ■ 自分の知っているファイル・タイプ以外の添付ファイルは不用意に開かないようにする。 ■ .PIFや.LNKファイルは、エクスプローラではファイル・タイプが表示されないので、取り扱いには特に注意する。

　

解説

　コンピュータ・ウイルスの種類にはさまざまなものがあるが、その1つに、メールにウイルス・プログラムを添付して大量にばらまく、というメール添付型のものがある。このタイプのウイルスは、メールを受け取ったユーザーが、添付されていた実行ファイルをうっかり実行させてしまうことを期待しており、ウイルス作成者は、さまざまな手段を使って、ユーザーにプログラムを実行させようとする。

　例えばこの原稿を書いている2003年8月現在、「Sobig.F」と呼ばれるメール添付型のウイルスが全世界中で猛威をふるっている。このウイルスでは、件名に「Thank you!」や「Details」「Approved」「Your Application」などのタイトルを付け（先頭に「Re:」が付いていることも多い）、さらに実行ファイルとしては、「your_details.pif」「wicked_scr.scr」「document_all.pif」「movie_0045.pif」「thank_you.pif」など（ファイル・サイズは75Kbytes程度のランダムなサイズ）というふうに、.PIFや.SCRという拡張子を持っていることが多い。一般的なメール添付型のウイルスでは、.EXEや.COMといった拡張子も使われている。

• W32.Sobig.F@mm（シマンテック）
• WORM_SOBIG.F（トレンドマイクロ）

　Sobig.Fでは、添付されたプログラムが実行を開始すると、システム内のアドレス帳やテキスト・ファイル、Webブラウザのキャッシュ・ファイルなどからメール・アドレス情報を収集し、そこに向けてウイルス付きのメールを送信する。送信されるメールの送信元（From:アドレス）も適当なものに詐称しているので（つまり送信元として表示されているメール・アドレスは実際にウイルスを発信したユーザーではないということ。本当の発信を特定するには、メール・ヘッダの内容を詳しく調査する必要がある）、大量のメールが送られるだけでなく、あて先不明のメールに対するエラー応答メールも大量に発生し、混乱をさらに大きくしている。

　このようなウイルス・メールに感染しないための対策としては、ウイルス・チェック・ソフトウェアを導入して、ウイルス付きのメールをすべてブロックすることが第一である。だが、ウイルス・チェックのためのデータベース・ファイルの更新が間に合わないような新種の発生などを考えると、常日頃から、メールに添付された実行ファイルなどは安易にオープンしたり、実行したりしないようにしなければならない。具体的には、添付ファイルの拡張子が .EXE や .COM、 .BAT、 .CMD、 .PIF、 .SCR （スクリーン・セーバのファイル） などは非常に危険性が高い。ほかにも .VBS や .VBE、.JS、 .JSE、 .WSF、 .WSHといったスクリプトなども危険であるし、各種の拡張言語（PERLなど）によるウイルスもあるので、やはり避けるべきであろう。もちろんこのほかにもいろいろなウイルスが考えられるので、結局のところ、自分の知っているファイル・タイプ以外の添付ファイルは開かないようにする、というぐらいのつもりでいるのがよいかもしれない（特に見知らぬ相手からのメールには慎重に対応すること）。

.PIFファイルに注意

　Windowsで利用できるファイル・タイプにはさまざまなものがあるが、.PIFについては特に注意が必要である。.PIF（Program Information File）ファイルは、MS-DOS時代のプログラムをWindows OS環境で動作させるために使われる、一種の環境設定用情報ファイルである。

　（怪しいと思われる）添付ファイル付きのメールを受け取った場合、慎重なユーザーならば、OSの持つオープン機能（簡単にいうと、エクスプローラでファイルをダブルクリックした場合の標準的な動作）を使っていきなり添付ファイルをオープンしたりせず、まずはいったん別の（バイナリ）エディタなどで内容を確認してから、その後の対応を決めるだろう。実行ファイルなのに（Windows OSの場合は、先頭に'MZ'という文字列が見えれば、それは実行ファイルを意味している）、そのほかのファイル・タイプを装うような名前が付いていれば、それは非常に怪しいファイルであると判断できる。

　具体的な方法としては、例えば、メールをいったんどこかのフォルダへ保存して、それをテキスト・エディタ（メモ帳など）などで開いて内容を確認してみればよい。ただし、ここで1つ大事な注意点がある。「ファイルをエディタで開く」ために、保存したファイル名の最後を、例えば「.txt」に名前変更して、そのファイルをダブルクリックして、エディタを起動する、という方法はとってはいけない。というのは、この方法は「.PIF」には有効でないからだ。

ウイルス付きのメールの例

これはSobig.Fウイルスのメールの例。添付ファイルが.PIFファイルになっている。これを実行してしまうとウイルスに感染するので、まずはどこかへ保存して内容を調べることにする。

　例えばメールに添付されていた「your_details.pif」というファイルをデスクトップ上に保存する。すると、エクスプローラの［ツール］−［フォルダ オプション］にある［表示］タブで、［登録されている拡張子は表示しない］をオフにしていても（デフォルトではオン）、.PIFファイルの拡張子はエクスプローラでは表示されない。そのため、エクスプローラで見ると、デスクトップ上に保存したファイルの名前は「your_details」というふうに見える（アイコンは「MS-DOS」の形になっている）。

デスクトップに保存したyour_details.pifファイル

Sobig.Fウイルスが送ってきた添付ファイルをデスクトップ上に保存したところ。エクスプローラでは、最後の「.PIF」は表示されない。だがアイコンが「MS-DOS」の形をしているので、かろうじて.PIFファイルであることが分かる。

名前の最後を.txtに変更したyour_details.pifファイル

ファイル名の最後に.txtを付けて、テキスト・ファイルにしたはずのyour_details.pifファイル。だが、アイコンはやはり「MS-DOS」の形をしているので、.PIFファイルのままであることが分かる。

　このファイルをテキスト・ファイル形式にしようとして、アイコンを右クリックし（ダブルクリックすると実行されてしまうので、「絶対にやってはいけない」）、ポップアップ・メニューから［名前の変更］を選ぶ。そして名前の最後に「.txt」を付けて、「your_details.txt」にしたとする。だがこれは、実際には「your_details.txt.pif」という名前になっているに過ぎない。よく見れば、アイコンは元の「MS-DOS」アイコンのままなのが分かるだろう（つまりファイル拡張子は変わっていないということ）。

　これでテキスト・ファイルに変更されたと思って、このアイコンをダブルクリックすると、.PIFファイル、つまりもとのウイルス・ファイルが起動されてしまい、システムはウイルスに感染してしまう。

　このように.PIFというファイル拡張子は特別な扱いをされているので注意が必要である。同様に、.LNKというファイルも、拡張子がエクスプローラでは表示されないので、やはり注意が必要である。

　これらのファイルの内容を調べたければ、メモ帳（notepad.exe）を開いておいて、その上にドロップするか、エクスプローラの右クリックの［送る］メニューにメモ帳を登録しておいて（「TIPS―［送る］メニューに項目を追加する方法」参照）、保存したファイルを直接メモ帳へ送るようにしなければならない。絶対に、エクスプローラ上でダブルクリックしてはいけない。なお、メモ帳以外のエディタも危険なので使わない方がよいだろう。メモ帳は非常に低機能なテキスト・エディタであり、バイナリ・ファイルでも無理やり開いて、文字化けしながらも表示するが、ほかの高機能なエディタでは、ファイル・タイプを調べて、それに応じて何らかの処理をしている可能性がある。もしそのファイルがバイナリの実行ファイルだと認識すると、それを実行してしまう可能性があるからだ。

「Windows TIPS」

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）