MyDoomについては、ウイルスと呼ぶ人も、ワームと呼ぶ人もいます。「My Doom」というスペルを使用する人も、単にDoomウイルスと呼ぶ人もいます。

何と呼ぶか、どのようなスペルを使用するかに関係なく、MyDoomは深刻です。この小さなコードは、メールの添付ファイルを介して、コンピューターから別のコンピューターへと広がります。こうしたメッセージを受信してファイルを開くと、プログラムはコンピューター上にとどまり続けます。そうこうするうちに、アドレス帳に連絡先が含まれる全員にメッセージが送信されます。

2004年に確認されたMyDoomは、攻撃が実行されてから長い年月が経過しましたが、感染コンピューターは現在も多数残っています。したがって、このワームがどのように機能し、このコードをコンピューターから取り除く方法を知っておくのが賢明です。

MyDoomウイルスの進展

2004年1月から2月にかけて、「私は自分の仕事をしているだけです。申し訳ありませんが、悪く思わないでください」という謎めいたメッセージのメールを、世界中の人々が受け取るようになりました。各メールには添付ファイルが含まれ、受信トレイをチェックするたびに、別のコピーが届きました。これを引き起こしたのがMyDoomウイルスです。

MyDoomは、数十万台のコンピューターからゾンビを作成するための非常に効果の高いワームです。これにより、ハッカーはハイジャックされた各端末を使用して、特定の企業に対してサービス拒否（DoS）攻撃を実行できるようになります。

2004年には、誰がコードを開発したのかは不明でした。MyDoomワームがロシアのラボで開発された他のワームによく似ていると感じた人もいました。しかし、疑惑は証拠ではなく、誰が何の目的でこのコードを作成したのか、結局わかりませんでした。

その一方で、専門家の見解が一致していたのは、MyDoomが危険であるという点です。このコードについては、以下の特徴が報告されました。

• 高速：これほど急速に広がったウイルスは他にありませんでした。
• 効果的：MyDoomは、わずか1週間で50万台以上のマシンに感染しました。
• 高額：被害額は385億ドル以上に達すると見積もられました。

ウイルスはホストコンピューターを乗っ取り、ほとんどのクリーンアップレポートは、コードを排除するために何をする必要があるかに焦点を当てていました。しかし、真の被害者は2つの企業でした。

ワームの最初のバージョンは、感染したコンピューターを使用し、ホームページリクエストを使用してSCO Groupを攻撃しました。同社はそのようなトラフィックに対処できず、サイトがクラッシュしました。絶え間ない攻撃が1時間続いた後、同社はWebサイトのアドレスを完全に変更しました。

ワームの2番目のバージョンは、2つのことを実行しました。

• 攻撃：感染コンピューターは、MicrosoftのWebサイトを攻撃しました。
• 防御：感染コンピューターは、65のウイルス対策Webサイトにアクセスできなくなりました。つまり、コンピューターのクリーンナップがワームによって妨害されたのです。

ハッカーがMyDoomをリリースする前から、専門家はこのような攻撃が可能であることを知っていました。しかし、どのような形態で、どのように機能し、コンピューターのクリーンアップをどのように実行できるのかについては、まったくわかっていませんでした。その後数か月で、こうした攻撃の全容を知ることになったのです。

MyDoomの仕組み

感染コンピューターを使用する人々は、何の異常も認識していなかった可能性があります。速度の低下やサービスの問題を経験したかもしれませんが、コンピューターが正常に機能していないことを示すアラートや警告は受け取らなかったのではないでしょうか。しかし、Windows環境の奥深くで動作するコードによって、ワームが拡散しました。

MyDoomワームは以下を実行します。

• ダウンロード：ユーザーが添付ファイルを開くと、コードがWindows環境に移動できるようになります。Windowsを使用していないユーザーは、ワームの影響を受けません。
• 拡散：コードは、被害者のコンピューターに保存されている連絡先情報を収集します。コードが見つけたすべてのアドレスには、新しいバージョンのワームがメールの添付ファイルとして送信されます。
• 攻撃開始：設定された日に、感染コンピューターはSCO GroupまたはMicrosoftのWebサイトへのリクエストを開始します。
• 滞在：攻撃者は、再び侵入できるようにバックドアを開けたままにします。

ハッカーは特定のWebサイトを攻撃するためにワームを作成しましたが、コードが期限切れになったり、アンインストールされたりすることはありせん。ユーザーは、この点に留意する必要があります。自分のコンピューターが現在も感染している可能性や、開いたことを覚えてすらいないメッセージによって汚染されたマシンを使用している可能性があるのです。

MyDoomウイルスによる被害の可能性

MyDoomに感染したコンピューターには、オープンなバックチャネルが作成され、理論的には攻撃者により乗っ取られる可能性があります。ゾンビ攻撃の一端を担う可能性が突然生じたのです。

コンピューターがこのような攻撃に使用される場合、ユーザーは以下のような現象に気付くことがあります。

• 速度低下：Windowsファイルを開く、閉じる、保存するなどの操作に、想定をはるかに超える時間がかかることがあります。
• 苛立ち：コンピューターがアドレス帳の全員にランダムなメッセージを送信し始めると、これらの人々からの応答として怒りのメッセージを受け取る可能性があります。
• アラート：管理されたネットワークを使用している場合、なぜこれほど多くの帯域幅が作業に必要なのかを管理者から尋ねられることがあります。

もちろん、何も気付かないかもしれません。企業や国家に対する新たな攻撃に、自分のコンピューターが必ず使用されるというわけではありません。しかし、バックドアは依然として存在し、ハッカーがいつでも使用できる状態になっています。ユーザーが対処しない限り、セキュリティリスクであり続けます。

MyDoomに対する防御のアプローチ

MyDoomに感染していると思われる場合は、問題を探して削除する必要があります。さらに、二度と感染しないように予防策をとります。

感染していると思われる場合は、以下を実行します。

• ファイルを削除する。報告によると、コードが保存される場所は、通常は「%system%\drivers\etc」になります（%system%はWindowsのシステムファイル）。Windows XPの場合は「C:\windows\system32」、NT/2000の場合は「C:\winnt\system32」、Windows 9x/Meの場合は「C:\windows\system」です。
• Windowsを更新する。ワームはWindowsを実行しているコンピューターにのみ感染でき、プログラマーはそれを承知しています。最新バージョンのWindowsを実行していない場合は、すぐに是正します。
• ウイルス対策ソフトウェアを実行する。最新のパッチをダウンロードして、ウイルス対策ソフトウェアが最新の脅威に対応するようにします。次に、システムの完全なクリーンアップを実行します。
• チェックする。連絡先の人々に連絡し、不審なメッセージが自分から送信されていないか確認します。次に、一般的なウイルス対策Webサイトにアクセスして、ページをロードできるかどうかチェックします。
• 上記を繰り返す。コンピューターの感染を依然として排除できない場合は、最初からやり直します。

MyDoomのようなワームは、ユーザーがウイルスをダウンロードしなければ機能しません。つまり、予防の機会があるのです。まずは、送信者のアドレスに注意を払います。見覚えのない人から受け取ったメッセージは、開いてはなりません。また、疑わしいと思われるメールメッセージの添付ファイルは絶対にクリックしないでください。

大企業のセキュリティを担当している場合は、すべての従業員にこうしたルールを周知します。疑わしいと思われるものがあれば、確認のため送信してもらうように促しましょう。

Oktaと連携してオンプレミスリソースの保護の強化

Oktaのセキュリティソリューションは、リスクを軽減し、適切なユーザーのみに必要なリソースへのアクセスを付与する上で役立ちます。規模の大小を問わず組織を支援するOktaのソリューションについて、詳細をご確認ください。

参考文献

Who Made MyDoom?（2004年2月、New Scientist）

More Doom?（2004年2月、Newsweek）

MyDoom Shows Vulnerability of the Web（2004年2月、Network Computing）

Update: New Mydoom Worm Discovered（2004年1月、Computerworld）

Worm:W32/MyDoom（F-Secure）

MyDoom: The 15-Year-Old Malware That's Still Being Used in Phishing Attacks in 2019（2019年7月、ZD Net）

How to Thwart Renewed 'MyDoom" Email Bug（2006年1月、ABC News）