今月は、再度Oftel(英国電気通信庁)関連の話題を取り上げる − といっても政策的な課題ではなく、警告的な逸話についてである。
5月18日日曜日、新種のコンピュータ・ウィルスが現れ、やがてSobigとして知られるようになった。このウィルスは、5月18日以前のウィルス定義を使うアンチウィルス・ソフトでは検出されず、また、ウィルスチェッカーをすり抜ける可能性を持っていた最近のウィルス同様、「複合型脅威」であった。「複合型脅威」では、最初のウィルスは「ペイロード」のほんの一部しか運んでこない。しかし、一旦ウィルスが自分自身をインストールすると、最初の検出されなかったウィルスがひとつもしくは複数のインターネット・サイトから残りのペイロードをダウンロードしてきて、二つ以上のエレメントを最終的なウィルスに合成する。
ここでいうウィルス、Sobigは深刻な問題というよりも厄介者である。このウィルスは完全にインストールされるとスパム・リレーのような働きをし、感染したコンピュータ上にあるEメールアドレス・ブックのアドレス宛にメールを送ってインターネットに氾濫を引き起す。ここでは深刻な問題というよりも厄介者であると言ったが、ユーザの中には、このウィルスのせいで大量のスパムメールを送っていたため、そんなこととは気づかぬうちに利用するISPから接続を切られてしまった人もいくらかいた。
Oftelの話に戻る。Oftelは、同機関の新しい各種出版物のお知らせを送るためのEメールリストを持っている。このリストは極秘扱いではないかもしれないが、産業界における相当数の人のEメールアドレスを含んでいる。彼らは世界中に広く自分の連絡先情報を流してほしいとは思わないだろう。こうしたことから、Oftelはこのリストについて確固たるセキュリティを持っていると予想するかもしれない。が、現実は違った。
5月21日水曜日午後、Oftelが出版物発送リストを置いているコンピュータがSobigの攻撃を受けた。このコンピュータはアンチウィルス・ソフトを持っていたが、おそらくは5月18日または19日以来最新の定義をダウンロードしていなかった。その上、問題のコンピュータにはファイアウォールがなかった。Oftelの他のコンピュータには全てファイアウォールがついていると言われている。にもかかわらず、Oftelの発送リストを置いているコンピュータにはまだファイアウォールがインストールされていなかったと言うのだ。
ファイアウォールを搭載していなかったため、ウィルスは自分自身を即座にインストールし、「複合型脅威」(ジオシティーズの4つのサイトにホストされていたものと見られるが、後にジオシティーズが更に問題が広がることを防ぐために利用停止にした)から残りの部分をダウンロードした。そしてこのウィルスは、メーリングリストにある全ての人に自分自身をEメールし始めた。このEメールの形は、ランダムに選ばれた件名がついたMicrosoft Supportからの偽メッセージであった。たとえば、サポートの質問に対する回答や新しいスクリーンセーバー、新しいアプリケーションや、単に「Approved」と書かれたテキスト、などである。
この大花火は、これらの新しいEメールがOftelより新しいウィルス定義を備えたウィルスチェッカーにあたった時に上がり始めた(ウィルスチェッカーの中には、顧客のシステムではなくISPのシステムに搭載されていたものがある)。お察しのとおり、これらのウィルスチェッカーは、ウィルスに感染したEメールに対し、ペイロードまたは不達メッセージについての警告メッセージをつけて返信を送った。しかし、もともとのウィルスを運ぶEメールがグループ化された発送リストから出たように(Oftelはこうした万一の事態に備えたグループアドレスの保護を正しく行っていなかった)、それらのEメールはOftelの発送リストにある全ての人に送られることとなった。
最初、メールを受け取った人は、Microsoft Supportから送られたと見られる、Eメールに対する拒絶メッセージにいくらか混乱した。そこで彼らは「これは私へのメッセージなのか?」あるいは「これはどういうことで、私は何をしたらいいのか?」などといった問い合わせを返信し始めた。そして、Oftelが使っていた無防備なアドレスリストのおかげで、リストにある全ての人にそのコピーが送られることとなった。さらに、ウィルスの専門家を自称する人たちが、対処法について相当ご自慢のアドバイスを配っていた。新しく出されたアドバイスは、どれも直前のアドバイスとは矛盾していたのであった。そしてまた、これらのEメールはリストに名前のある全員に送られた。この時点で事態は悪化し始め、、、、
不要なEメールが届く度に、受信者の中には送られてきたメールに対し、自分たちには関係がないものだとの思いに怒りが募って、更に長く更に憤慨したEメールを送る者が出てきた。こうしたEメールもまた、リストの全員に送信され、他の受信者たちを更にいらだたせたのであった。とはいえ、少なくとも中にはユーモアのセンスがある人もいて(EメールはOftel自身が発信元となることがあるので、それが誰かは分からないが)、「WE ARE DISTRIBUTING VIRUSES(ウィルス配布中)」という件名でEメールが出まわった。不可解なEメールの野放し状態についての知恵の塊を期待してそれらのメールを開いてみたが、その内容を読んで驚きでもあり、面白くもあった。「でも料金は課しません、、、。」何の役にも立たず、ただ古めかしいユーモアがあるだけだった。
全てのフレーミングがおさまりつつあるちょうどそのとき、自動設定された「不在中の自動返信」メッセージが一斉に送られるという新たなショックが巻き起こった。以前に送られてきたEメールひとつひとつに対して返信するもので、発送リストにある全員に逐一送られた。自動返信Eメールの中には、宛先人は退職していたことを知らせるものもあり、Oftelには発送リスト更新の機会を与えたかもしれないが、、、、。しかし、多くの場合在職中の人から出された自動返信メッセージには名前や携帯電話番号、あるいはそれに代わるような連絡先番号が入っていた。これは秘密保持の規範(おそらくは不文律)に違反することである。
退職済みを知らせる人たちからの不在メッセージに加え、不達メッセージの長いリストができた。これもOftelがメーリングリストのメンテナンスが遅れていることを示すものである。
Oftelが、(ほんの数日ではあるがアップデートされていなかった)古いウィルス定義、ファイアウォール不搭載、無防備な発送リストという不体裁があからさまになったことの不面目を拭い去るには長い時間がかかるだろう。この貴重なサービスのためにOftelが無償でウィルスを配布したという事実に苛立ってはならないという意味合いのことが出されもした。
滑稽なできごととOftelに対する不面目は別として、今回の事態は大事な教訓を残している。我々は全てウィルスの攻撃を受ける危険性があり、ウィルスからの保護やファイアウォールのセキュリティ、および通信する人についての秘密保持は常に最高位のものを保つ必要があるということである。その通信者とビジネスなどどんな関係があるかにかかわらず、これは言える。また、自分自身で厳しい発言をするほど、セキュリティの備えは確固たるものでなければならない。言いかえれば、国の通信当局は平均的な家庭用コンピュータよりも優れたセキュリティの用意が望まれるということであって、決して遅れをとるものであってはいけない。
(C) 2003 Telecommunication Ltd.
(原文)
Oftel Distributes Viruses For Free
Is this really an appropriate role for a national telecoms regulator?
This month we again consider an issue involving Oftel - but this time it is a cautionary tale rather than a matter of policy.
On Sunday 18 May, a new computer virus emerged which eventually became know as SoBig. The virus was not detected by antivirus software using virus definitions from before 18 May and - like many recent viruses that have had the potential to get by virus checkers - was a 'blended threat'. 'Blended threats' only carry part of the 'payload' in the initial virus, but once they have installed themselves, the initial undetected virus downloads the rest of the payload from one or more Internet sites and then combines the two or more elements into the final virus.
The virus in question, SoBig, is more of a nuisance than a serious threat. Once fully installed, the virus operates as a spam relay, flooding the Internet with emails to the addresses found in the email address books of the computers it has infected. Although we say this is more of a nuisance than a serious threat, a number of users were disconnected by their ISPs for sending large volumes of spam because of this virus, when the user was not even aware of sending anything.
Back to Oftel... Oftel has an email circulation list to advise interested parties of its various new publications. This list, while perhaps not strictly confidential, contains the email addresses of many people in the industry who may not want their contact details broadcast to the world at large. For this reason, you might expect Oftel to have ensured the security of this list. Not so.
In the afternoon of Wednesday 21 May, the computer on which Oftel hosts its publication distribution list became infected with SoBig. The computer had antivirus software, but presumably had not downloaded new definitions since the 18th or 19th of May. However, the computer in question did not have a firewall... All Oftel's other computers are said to have firewalls, but a firewall had not yet been installed on the computer hosting Oftel's distribution list.
With no firewall present, the virus quickly installed itself and downloaded the remainder of the 'blended threat' (believed to be hosted on four Geocities sites, later disabled by Geocities to prevent further problems). The virus then started emailing itself to everyone on the mailing list. The form of the email was a bogus message from Microsoft Support regarding a randomly chosen topic, including responses to support queries, new screensavers, new applications and simply the text 'Approved'.
The firework party started when these new emails hit virus checkers with newer virus definitions than Oftel's (some of the virus-checkers being embedded in ISPs' systems as opposed to being on the customers' systems). These virus checkers responded to the virus-infected emails with warning messages about the payload and/or non-delivery messages, as one might expect, but as the original virus-carrying email came from a group distribution list (Oftel had not properly protected the group address list against such eventualities), these emails were sent to everyone on Oftel's publication list.
Initially the recipients were somewhat confused to receive rejection messages for emails that appeared to have been sent by Microsoft Support. So they started to reply with queries such as 'Was this intended for me?' or 'What does this mean and do I need to do anything?' - which by virtue of the unprotected address list Oftel used were copied to everyone on the list. Also, a number of self-appointed experts on viruses were handing out their highly self-valued advice on what should be done - and of course with each new piece of advice came a contradiction of the last piece of advice. Again, these emails were circulated to everyone on the list. At this point, things started to turn a little nastier...
With each additional unwanted email, some recipients became more angry and sent longer and more irritable emails in response to what they were receiving, which they believed had nothing to do with them - and these emails too were sent to everyone on the list, irritating other recipients still further. But at least somebody had a sense of humour (although it is not clear who, as the email could have come from Oftel itself) and sent an email with the subject **WE ARE DISTRIBUTING VIRUSES**. We all opened it, expecting some nugget of wisdom about the wild proliferation of incomprehensible emails, and were shocked but amused to read its contents; 'But we aren't charging for them...'. There was nothing more, no wisdom, just old-fashioned humour.
Just when all the Flaming appeared to be diminishing, a new shock; all the automated 'Out of Office AutoReply' messages started - to every email previously sent - each sent to everyone on the distribution list. Some of the autoreply emails indicated that the intended recipient had left the company - perhaps giving Oftel the opportunity the update its distribution list... However, those autoreply emails from people still in situ in many cases gave names and mobile or other alternative contact numbers, thereby breaking a (probably unwritten) code of confidentiality.
In addition to the out of office messages from people advising that they had left the company came a long list of delivery failure messages, again suggesting that Oftel may have fallen behind in maintaining the mailing list.
It will take Oftel a long time to get over the embarrassment of this situation; out of date (although only just) virus definitions, no firewall, an unprotected distribution list - and the suggestion that we should not be annoyed at Oftel for distributing the virus as no charge was made for this invaluable service.
Aside from the humour and the embarrassment for Oftel comes an important message; we are all at risk from virus attack and need to maintain the highest standards of virus protection, firewall security and confidentiality for our correspondents - whatever our business or other relationship with those correspondents. And, the higher the ground we claim for ourselves, the better our security planning should be. Or, to put it another way, national telecoms regulators might be expected to have better security arrangements than the average home computer, not worse.
(C) 2003 Telecommunication Ltd.
トニー・デンチのユーロレポートのバックナンバーはこちらから