最終更新日: 2018/03/31

ウイルスメール開いたら感染!? プレビューの呪縛が解けない2つの理由

イメージ 2
Image いらすとや

2010年代になっても、次のような脅威を紹介してユーザーの不安を煽る日本語のページを見かけます。
  • ウイルスメールを開くだけでウイルス感染!

  • ウイルスメールを見るだけでウイルス感染!

  • メールソフトのプレビュー表示でウイルス感染!
2015年の今現在、こんなウイルスメールの感染攻撃手口はもう投入されてません。

いちおう、そんなウイルスメールの脅威が過去に存在していたのは事実だけど、それが今から 15年近くも前の古いお話で時間が経過してる のが事実です。

2000年代前半に書かれて更新がストップしてる古いページならまだしも、明らかに2010年代の新しい記事に 「メールを開くだけでウイルスに感染する」 と流行ってるかのようにいい加減な情報が紹介されてるワケです。

ウイルスメール誤情報の紹介事例

2015年にウイルス感染をキッカケにして外部に機密情報が流出する 日本年金機構 の不祥事が明らかになりました。

この時のウイルスメールからのウイルス感染事案は、年金機構の職員が不正なファイルを開いたことがキッカケになってます。

…にも関わらず、次の記事には ウイルスメールの感染手口 として ”絶対に回避” が実現できないウイルス対策を紹介してます。
  • メールソフトでメッセージの表示形式をテキストに切り替える
  • メールソフトで開封プレビュー機能を無効化する
イメージ 1
筆者の誤解でウイルスメール誤情報を紹介?

メールを開くとウイルスに感染!?この方法で絶対に回避! - NAVER まとめ
「開いた時点で感染するタイプもあります。日本年金機構はこれでした。この回避方法は下記の「メールを開いても大丈夫にする方法」を実践するしかありません。」
https://matome.naver.jp/odai/2143401279763023601

メールからウイルス感染を確実に防ぐたった一つの設定 - Pasolack
https://pasolack.com/tips/mail-virus/

このような誤った記事が作成される大きな原因は、そもそも記事の執筆者さんがウイルスメールの攻撃手口を勘違いしてるからかもしれん。

日本年金機構ウイルスメールの真実

内閣サイバーセキュリティセンターの調査報告書では、次の2つのパターンで日本年金機構にサイバー攻撃が実施されたことを紹介してます。

> www.nisc.go.jp/active/kihon/pdf/incident_report.pdf

《1》 メール本文中に誘導リンク

ウイルスメールの内容は日本語で 「厚生年金」 に関する問い合わせで、メール本文中に URL が記載されてあり年金機構の職員にファイルをダウンロードするよう仕向けた。

このファイルは正規オンラインストレージにアップロードされていて、具体的に Yahoo! JAPAN が運営するファイルストレージ 「Yahoo!ボックス」 でした。

恐らく、「Yahoo!ボックス」 は攻撃者にとって悪用するのに都合が良かったはず。
  • このサービスにはウイルス検出機能が実装されてない
    (Google Drive はウイルス検出機能が実装されてる)

  • 組織のセキュリティ対策として Yahoo! JAPAN のドメインをフィルタリング機能でブロックしておくことは現実的に難しい
《2》 メールに添付ファイル

年金機構内で使う職員個人のメールアドレス宛てに 「セミナーの案内」「医療費の通知」 といった名目で日本語メールを送信し、添付ファイルを開くよう誘導した。

メールに添付されていたのは圧縮アーカイブ .lzh 形式だった。

2000年代初頭の脆弱性が影響する!?

「メールを開封して内容が表示された」、つまりメッセージのプレビュー表示の機能を悪用する攻撃手口が投入された時期は 2001年以降の数年 です。

マイクロソフトはこの問題にすでに対処していて、脆弱性を解決するセキュリティ更新パッチを 1999年2001年 に Windows Update で配信してます。

「Scriptlet.typelib/Eyedog」 の脆弱性に対する対策 マイクロソフト セキュリティ情報 MS99-032 - 緊急 1999年8月
https://technet.microsoft.com/ja-jp/library/security/ms99-032.aspx

不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する - マイクロソフト セキュリティ情報 MS01-020 - 緊急 2001年3月
https://technet.microsoft.com/ja-jp/library/security/ms01-020.aspx

この問題の影響を受ける化石のような PC 環境を使うユーザーさん2015年時点で存在する?
  • Windows OS: Windows 95/98/Me
  • メールソフト: Microsoft Outlook、Outlook Express
  • ブラウザ: Internet Explorer 4(IE4)、Internet Explorer 5(IE5)
なお、2014年に サポートが終了して危険領域に突入済みの Windows XP(Outlook Express) は2001年11月にデビューしてます。

つまり、Windows XP ですらウイルスメールのプレビューうんぬんからウイルス感染はまったく関係ないのです。

メール経由のウイルス感染は2パターン

現在の ウイルスメール による感染攻撃手口 は次の2パターンです。
  1. メールに 添付ファイル が付いていて、それが不正なプログラムでユーザーの意思で起動する ⇒ 自爆感染

  2. メール本文中に リンク が記載されてあり、そのリンクをユーザーの意志でクリックする ⇒ 自爆感染 or ドライブバイ・ダウンロードによる強制感染
特定の組織を狙うサイバー攻撃で採用されるウイルスメールの手口も同じで、IPA が公開した2015年の資料にプレビュー機能の危険性を指摘したり、プレビュー機能を無効にするよう案内するお話はサッパリ登場しません。

IPAテクニカルウォッチ「標的型攻撃メールの例と見分け方」 - IPA 情報処理推進機構
https://www.ipa.go.jp/security/technicalwatch/20150109.html

「メール開封でウイルス感染!?」 を今だに信じるユーザーがいる理由2つは…
  1. 古い記事だけでなく、そもそも誤ってるセキュリティ記事が存在する

  2. 又聞きだけで見たことのない脅威が通用すると思い込んでる?
10年以上前に書かれたであろう古い記事は、セキュリティ機関から掲載されたままのものもあるので、誤った記事が出るのはやむを得ないやもしれんけど。

メール利用時のセキュリティ設定:POINT 1. メールソフトのセキュリティ設定をする。 - IPA 情報処理推進機構
https://www.ipa.go.jp/security/personal/base/mail/point1.html

ウイルスメール | 迷惑メール対策 - 迷惑メール相談センター
https://www.dekyo.or.jp/soudan/contents/taisaku/1-1-4.html




<2016年1月 追記...>

メールソフト Microsoft Outlook の脆弱性 CVE-2015-6172 が公表され、2015年12月に Windows Update からセキュリティ更新パッチが配信されました。
電子メールでの攻撃のシナリオでは、攻撃者は特別に細工された電子メール メッセージをユーザーに送信し、ユーザーにその電子メールをプレビュー表示する、または開くよう誘導することにより、この脆弱性を悪用する可能性があります。
Microsoft Office RCE の脆弱性 CVE-2015-6172 マイクロソフト セキュリティ情報 MS15-131 - 緊急
https://technet.microsoft.com/ja-jp/library/security/ms15-131.aspx

実際にウイルス感染攻撃が行われた事実はなく、セキュリティ研究者の指摘により発覚したもので 「BadWinmail」 という呼称も付けられてます。
関連するブログ記事