VBS.LoveLetter.A

2000年5月4日に感染被害が確認され、米国のMicrosoft社、Ford Motor社、US ARMY、US NAVYなどをはじめ、ヨーロッパからアジアまで拡散し、重大な被害を与えているとBBCやCNNなどのテレビやthe Times、the Sun、Dow Jones Newswires、the Asian Wall Street Journal、Infobeat、MediaNews、Yahoo!、ZDNet、などの新聞や電子メール新聞で頻繁に報道された、「I LOVE YOU」や「Love Letter For You」といった英語圏でもっともポピュラーな「愛に餓えた人を癒す」言葉を利用し、Microsoft社製のWindowsのオプション機能である「Windowsスクリプティング・ホスト(Windows Scripting Host)」を利用して感染し、Microsoft Outlook Expressを使っていると増殖する米国のMicrosoft社が開発した開発環境のVBS(Visual Basic Script)で書かれたワームの名称。ただし、各ワクチン提供会社がそれぞれ独自で名称を付けるため、混乱を招く危険性まで出てきている。VBS.LoveLetter.Aに感染すると、拡張子がvbs、vbe、js、jse、css、wsh、sct、hta、jpg、 jpeg、mp3、mp2の各ファイルは、ファイル内容をウイルスの複製に書き換えられた後、拡張子をvbsにリネームされ、設定 (レジストリ・データベース) が書き換え、WindowsディレクトリにWin32DLL.vbsとして自分自身の複製をコンピュータの中に作成する。また、Windowsシステム・ディレクトリにMSKernel32.vbsとLOVE-LETTER-FOR-YOU.TXT.vbsを作成する。VBS.LoveLetter.Aを除去するには、感染したファイルを全て見つけだして削除し、変更された設定を元に戻す必要がある。ただし、現実的にこれらの拡張子のデータが全て感染した場合は削除することが不可能であり、ハードディスクを再フォーマットして、Windowsを再インストールして対処する必要がでてくる。また、VBS.LoveLetter.Aに感染したまま、メールのやり取りをした場合、相手にLOVE-LETTER-FOR-YOU.HTMを送りつけ、script.iniファイルをmIRCのプログラムディレクトリに作成することにより、mIRCを介して、相手に感染する。また、Outlookのアドレス帳に登録されている全てのアドレスに対し、メールの件名「ILOVEYOU」、本文「kindly check the attached LOVELETTER coming from me」と、添付ファイル名「LOVE-LETTER-FOR-YOU.TXT.vbs」を添付したメールを送りつけて感染を広げる。詳細情報はURL(http://www.trendmicro.co.jp/virusinfo/loveletter.htm)または、URL(http://www.nai.com/japan/)または、URL(http://www.cert.org/advisories/CA-2000-04.html)または、URL(http://www.f-secure.com/v-descs/love.htm)または、URL(http://fullcoverage.yahoo.com/fc/Tech/Computer_Viruses/)または、URL(http://www.zdnet.com/downloads/toolkits/antivirus/iloveyou.html)で知ることファできる。また、もっとも大元であるでMicrosohuto社もURL(http://www.asia.microsoft.com/japan/security/)で情報を公開した。すでに発見3日後の2000年5月7日現在で、亜種B(Susitikim版)、亜種C(Very Funny版)、亜種D(No Manila Header版)、亜種E(Mothersday版)、亜種F(Brainstorm版)が発見され、急激に増加し、今後増える傾向にあり、「ILOVEYOU」「Susitikim shi vakara kavos puodukui..」「fwd: Joke」「Mothers Day Order Confirmation」「Important ! Read carefully」など、不審な件名やファイルが添付されたメールを受信したら削除し、実行(ダブルクリック)しないように、多くのアンチ・ウイルス・メーカーは呼びかけている。亜種の詳細情報はURL(http://www.trendmicro.co.jp/virusinfo/loveletter2.htm)で知ることができる。同時に、世界中で犯人逮捕に向けた情報がテレビなどで報道し始めている。CNNでは、フィリッピンでフィリピン国家捜査局(NBI)が、電子の痕跡6点を発見したと言うことで銀行員のレオメル・ラモネス(Reomel Ramones/27歳)容疑者を逮捕する映像を放映し、同居している23歳の女性イレーネ・デ・グズマン(Irene de Guzman)容疑者も逮捕したと報道しているが、スウェーデンのストックホルム大学(University of Stockholm)のドリック・ビョルク(Fredrik Bjorck)やサチューセッツ州グロスターのグラナイト・アイランド・グループ(Granite Island Group)社のジェームズ・アトキンソン(James Atkinson)などは、オーストラリア在住でフィリピンに住んでいるミヒャエルMichael(/23歳)が犯人で、今回の逮捕は誤認逮捕であると発表している。その後、Reomel Ramones容疑者は証拠不十分で釈放され、Irene de Guzman容疑者の弟で、元コンピューター専門学校生(23)に疑いがもたれているが、2000年5月11日にこの元学生は弁護士とともに会見し、事件関与について回答を拒否している。日本では2000年5月4日がゴールデンウィーク中ということもあって、企業のサーバー管理者がサーバーの中から感染ファイルを削除し、最悪の事態は回避された。しかし、トレンドマイクロはゴールデンウイークが明けた2000年5月8日午後4時20分に、亜種が10種類までに増え、国内で約8万2000件以上が感染し、このうち約100台が実際に発病した。サポートセンターに寄せられた数字と合わせて150台が被害に遭ったと発表した。シマンテックでは2000年5月8日までに40件の感染報告があり、このうち実際に発病した事例は数件にとどまったことを発表した。日本ネットワークアソシエイツは、2000年5月8日の9:00〜10:00に200件強(そのうち受信が180件、感染が3件)の問い合わせがあり、10:00〜11:00には600件弱(そのうち受信が540件、感染が1件)、11:00〜12:00には650件弱(そのうち受信が520件、感染が2件)、13:00〜17:00には1600弱(そのうち受信が1128件、感染が4件)であったことを発表した。情報処理振興事業協会(IPA)も2000年5月8日に、被害相談は10件未満にとどまったことを発表している。日本アイ・ビー・エムは、5日付けで全社員向けに警告のメールを出し、受け取った場合出所を含めて報告し個々で対処するよう通知したが被害報告は無く、メールを受け取ったという報告も2件あるだけであったと発表した。郵政省は今後のことも考慮して2000年5月8日に、第一種電気通信事業者などがつくる電気通信事業者協会(TCA)、第二種事業者のテレコムサービス協会(テレサ協)、インターネット接続業者の団体である日本インターネットプロバイダー協会(JAIPA)の3団体に対しメール型ウイルス対策会議や情報収集窓口の設置し、会員や顧客への緊急通報体制の確立などを要請した。一部ではMacOSユーザーやLinuxユーザー、UNIXユーザーが「I LOVE YOU 」ワームを賞賛したと報道していたが、冷静なそれらのユーザーは、開発コンセプトの問題点を指摘し、Microsoft Outlook Expressがバックグラウンド・スクリプトを実行するように設定したMicrosoft社を非難した。ドイツの広告代理店Springer & Jacoby社は、ドイツのApple社や米国のApple社に「その広告は掲載しないで欲しい」と言われたにも係わらず、Apple社のロゴを無断使用し、「I love you」ウイルスに苦しむWindowsユーザーを哀れんだ、「We love you」というコピーの全面新聞広告を約1万3,800$支払ってドイツの日刊紙「Welt」に出稿した。苦しんでいる人をあざけ笑うような常識を逸脱した広告代理店の行為として、今後非難され、訴訟問題にまで発展する可能性がある。ドイツの広告代理店Springer & Jacoby社はさらに、Steve Jobs宛でApple社のトレードマークは間違った使い方をされていると非難した広告を2000年5月13日にWerben und Verkaufen誌に掲載した。2000年5月20日には、VBS.NewLove.Aというワームが発見されたと言うことである。米国のGAO(General Accounting Office/米国連邦会計監査院)は2000年5月18日に、被害状況や米国政府の対応をまとめ、メリッサ・ウイルス(W97M_Melissa)の約100倍にあたる100億$に達する可能性があることを防衛情報システム(Governmentwide and Defense Information Systems)担当のブロック(Jack L. Brock)部長が米国上院公聴会で発表した。詳細情報はURL(http://www.gao.gov/audit.htm)で知ることができる。Sophosは2006年5月4日に、2000年5月4日に初めて「the VBS/Lovelet-A virus」を報告したときの様子を「The Love Bug - six years on. How has the malware landscape changed?」として紹介した。詳細情報はURL(http://s526.link.sophos.com/lovebug6?pl_id=9)で知ることができる。