-----BEGIN PGP SIGNED MESSAGE----- Translations of CA-99-04-Melissa-Macro-Virus (c) 1999 by Carnegie Mellon University, with special permission from the Software Engineering Institute. Accuracy and interpretation of this translation are the responsibility of the Japan Computer Emergency Response Team/Coordination Center. The SEI has not participated in this translation. The CERT* Advisories and other CERT publications are available on the Internet (http://www.cert.org/ or ftp://info.cert.org/pub/). Readers may learn about the latest updates to these publications at these locations. *Registered in the U.S. Patent and Trademark Office. CERT Advisory CA-99-04-Melissa-Macro-Virus Original issue date: Saturday March 27 1999 Last Revised: Saturday March 27, 1999 CERT 勧告 CA-99-04-Melissa-Macro-Virus 初版: 1999年3月27日(土) 最終改訂: 1999年3月27日(土) Systems Affected 影響を受けるシステム * Machines with Microsoft Word 97 or Word 2000 * Any mail handling system could experience performance problems or a denial of service as a result of the propagation of this macro virus. * マイクロソフト Word 97 または Word 2000 を搭載したシステム * このマクロウィルスに感染すると、メール処理システムが性能低下 の問題を被ったり、サービス不能に陥る可能性がある。 Overview 概要 At approximately 2:00 PM GMT-5 on Friday March 26 1999 we began receiving reports of a Microsoft Word 97 and Word 2000 macro virus which is propagating via email attachments. The number and variety of reports we have received indicate that this is a widespread attack affecting a variety of sites. 1999年3月26日金曜日午後2:00 (GMT-5) ごろから、我々は電子メールの添 付ファイル(attachment) 経由で感染する Word 97 と Word 2000 のマ クロウィルスに関する報告を受け始めた。受け取った報告の数と多様性は、 さまざまなサイトに影響を与える、広域の攻撃であることを示している。 Our analysis of this macro virus indicates that human action (in the form of a user opening an infected Word document) is required for this virus to propagate. It is possible that under some mailer configurations, a user might automatically open an infected document received in the form of an email attachment. This macro virus is not known to exploit any new vulnerabilities. While the primary transport mechanism of this virus is via email, any way of transferring files can also propagate the virus. 我々がこのマクロウィルスを分析したところによると、このウィルスが感 染するには、(感染した Word の文書をユーザが開くといった) 人間の操作 が必要である。メーラの設定によっては、電子メールへの添付 (attachment) の形で受け取った感染した文書を、ユーザが自動的に開いて しまうこともあり得る。このマクロウィルスは、新しいセキュリティ上の 弱点を悪用するものではない。このウィルスの主な感染経路は電子メール 経由であるが、あらゆるファイル転送方式が、このウイルスの感染経路と なりうる。 Anti-virus software vendors have called this macro virus the Melissa macro or W97M_Melissa virus. アンチウィルスソフトウェアのベンダは、このマクロウィルスを Melissa マクロ、あるいは W97M_Melissa ウィルスと呼んでいる。 I. Description I. 解説 The Melissa macro virus propagates in the form of an email message containing an infected Word document as an attachment. The transport message has most frequently been reported to contain the following Subject header Melissa マクロウィルスは、感染した Word 文書が添付されている電子 メールメッセージという形で感染する。多くの報告によれば、転送され るメッセージには以下の Subject フィールドが入っている。 Subject: Important Message From Where is the full name of the user sending the message. ここで言う は、メッセージを送るユーザのフルネームである。 The body of the message is a multipart MIME message containing two sections. The first section of the message (Content-Type: text/plain) contains the following text. メッセージの本体は、2 つのパートを含む MIME メッセージのマルチパー トである。メッセージの第一パート (Content-Type: text/plain) は、以 下のテキストを含む。 Here is that document you asked for ... don't show anyone else ;-) 訳注:日本語環境でもこの英語の文章が含まれている The next section (Content-Type: application/msword) was initially reported to be a document called "list.doc". This document contains references to pornographic web sites. As this macro virus spreads we are likely to see documents with other names. In fact, under certain conditions the virus may generate attachments with documents created by the victim. 次のパート (Content-Type: application/msword) は、最初は "list.doc" という文書であると報告された。この文書には、ポルノのウェブサイトへ のリンクが含まれている。このマクロウィルスが蔓延するにつれて、別の 名前が使われることがあるかもしれない。実際、ある条件下では被害者が 作成した文書を利用してウイルスは添付ファイルを生成する。 When a user opens an infected .doc file with Microsoft Word97 or Word2000, the macro virus is immediately executed if macros are enabled. ウィルスに感染した .doc ファイルを Word97 か Word2000 で開いた時、 マクロの実行が許可されているなら、このマクロウィルスはすぐに実行さ れる。 Upon execution, the virus first lowers the macro security settings to permit all macros to run when documents are opened in the future. Therefore, the user will not be notified when the virus is executed in the future. このウィルスが実行されると、あとで文書が開かれるときにすべてのマク ロ実行が許可されるよう、まず最初にマクロのセキュリティ設定を低い値 に変更する。よって、将来ウイルスが実行されてもユーザは気づかないだ ろう。 The macro then checks to see if the registry key そしてマクロは次のレジストリのキー、 "HKEY_Current_User\Software\Microsoft\Office\Melissa?" has a value of "... by Kwyjibo". If that registry key does not exist or does not have a value of "... by Kwyjibo", the virus proceeds to propagate itself by sending an email message in the format described above to the first 50 entries in every MAPI address book readable by the user executing the macro. Keep in mind that if any of these email addresses are mailing lists, the message will be delivered to everyone on the mailing lists. In order to successfully propagate, the affected machine must have Microsoft Outlook installed; however, Outlook does not need to be the mailer used to read the message. "HKEY_Current_User\Software\Microsoft\Office\Melissa?" が、"... by Kwyjibo" の値を持っているかどうかを調べる。もし、そのレ ジストリのキーがなかったり、値が "... by Kwyjibo" でない場合、上述 のレジストリのキーが存在しないか、あるいは値が "... by Kwyjibo" で ない場合、(このマシンを感染経路として利用してないと判断し)ウィルス は前述のフォーマットで電子メールメッセージを送信し他のマシンを感染 させようとする。宛先は、このマクロを実行しているユーザが参照できる すべての MAPI アドレスブックに対し、それぞれの最初の 50 エントリで ある。これら電子メールの宛て先がメーリングリストの場合、メッセージ はメーリングリストの参加者全員に配送されることに注意して欲しい。こ のようにウィルスが他のマシンを感染させようとするには(つまり、自分自 身を送りつけるためには) Microsoft Outlook がインストールされている 必要がある。しかし、このウイルスに感染する側は、メッセージを読むの に必ずしも Outlook が必要であるわけではない。(他のメーラで読んでも 感染する。) Next, the macro virus sets the value of the registry key to "... by Kwyjibo". Setting this registry key causes the virus to only propagate once per session. If the registry key does not persist through sessions, the virus will propagate as described above once per every session when a user opens an infected document. If the registry key persists through sessions, the virus will no longer attempt to propagate even if the affected user opens an infected document. 次にこのマクロウイルスは、このレジストリのキーの値を "... by Kwyjibo" に設定する。このレジストリのキーが感染期間中にウイルスが 1 度のみ他に 感染しようとする仕掛けである。もし、感染期間中にこのレジストリのキーが 無くなると、ユーザが感染した文章を開いた際にウイルスは上記の行動をとる。 レジストリのキーが継続して存在するなら、たとえユーザが感染した文章を開 いても、他へ感染しようとはしない。 The macro then infects the Normal.dot template file. By default, all Word documents utilize the Normal.dot template; thus, any newly created Word document will be infected. Because unpatched versions of Word97 may trust macros in templates the virus may execute without warning. For more information please see: そして、マクロは Normal.dot テンプレートファイルに感染する。デフォル トでは、すべての Word の文書は Normal.dot テンプレートを使うように なっている。従って、新たに作られるすべての Word の文書が感染すること になる。パッチの当たっていないバージョンの Word97 は、テンプレートの 中のマクロを信用してしまうかもしれないので、警告なしにウィルスが実行 される危険がある。より詳しい情報は、以下の URL を参照のこと。 http://www.microsoft.com/security/bulletins/ms99-002.asp Finally, if the minute of the hour matches the day of the month at this point, the macro inserts into the current document the message "Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game's over. I'm outta here." 最後に、この時、時刻の分が日付と同じ数字であれば、このマクロは現在 の文章に"Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game's over. I'm outta here." とい うメッセージを挿入する。 Note that if you open an infected document with macros disabled and look at the list of macros in this document, neither Word97 nor Word2000 list the macro. The code is actually VBA (Visual Basic for Applications) code associated with the "document.open" method. You can see the code by going into the Visual Basic editor. マクロを禁止した状態でウィルスに感染した文書を開き、その文書内にマ クロのリストを見つけても、Word97 も Word2000 もこのマクロを表示しな いことに注意して欲しい。実際のところ、コードは "document.open"メソッ ドと関連づけられた VBA (Visual Basic for Applications) コードである。 Visual Basic エディタでそのコードを表示できる。 If you receive one of these messages, keep in mind that the message came from someone who is affected by this virus and they are not necessarily targeting you. We encourage you to contact any users from which you have received such a message. Also, we are interested in understanding the scope of this activity; therefore, we would appreciate if you would report any instance of this activity to us according to our Incident Reporting Guidelines document available at: もしこれらのメッセージを受け取ったら、メッセージはこのウィルスによっ て被害を受けた人から来たものであり、必ずしも読者自身を標的にしてい るわけではないことを念頭に置いて欲しい。このようなメッセージを送っ てきたユーザと連絡を取るよう、読者に対し奨励する。また、CERT/CC は こうした活動を把握したいと考えている。よって、Incident Reporting Guideline という文書に沿って、こうした活動の事例を我々の元にレポー トして頂けるとありがたい。Incident Reporting Guideline 文書は、以下 から入手できる。 http://www.cert.org/tech_tips/incident_reporting.html II. Impact II. 影響 * Users who open an infected document in Word97 or Word2000 with macros enabled will infect the Normal.dot template causing any documents referencing this template to be infected with this macro virus. If the infected document is opened by another user, the document, including the macro virus, will propagate. Note that this could cause the user's document to be propagated instead of the original document, and thereby leak sensitive information. * マクロ実行を有効にしている Word97 または Word2000 を用いて、ウィ ルスに感染した文書を開いたユーザは、Normal.dot テンプレートを感 染させてしまうだろう。その結果、このテンプレートを参照している すべての文書が、このマクロウィルスに感染してしまう。ウィルスに 感染した文書が別のユーザによって開かれると、その文書はマクロウィ ルスを他へ含んだまま感染する。その結果、元とは異なった形でユー ザの文章が配送され、秘密情報が漏洩する危険もあることに注意して欲 しい。 * Indirectly, this virus could cause a denial of service on mail servers. Many large sites have reported performance problems with their mail servers as a result of the propagation of this virus. * 間接的に、このウィルスが原因で、メールサーバ上のサービスが使用 不能に陥る可能性がある。多くの大規模なサイトが、このウィルスの 感染の結果として、メールサーバにおける性能低下の問題を報告して いる。 III. Solutions III. 対策 * Block messages with the signature of this virus at your mail transfer agents. * メール配送システムで、このウィルスの特徴を持つメッセージを食い 止める。 With Sendmail sendmailの場合 Nick Christenson of sendmail.com provided information about configuring sendmail to filter out messages that may contain the Melissa virus. This information is available from the follow URL: sendmail.com の Nick Christenson は、Melissa ウィルスを含んでいる かもしれないメッセージをフィルタリングして除去するよう、sendmail を設定する方法を提供した。この情報は以下の URL で入手可能である。 ftp://ftp.cert.org/pub/cert_advisories/Patches/CA-99-04-sendmail-m elissa-filter.txt * Utilize virus scanners * ウィルススキャナを活用する Most virus scanning tools will detect and clean macro viruses. In order to detect and clean current viruses you must keep your scanning tools up to date with the latest definition files. ほとんどのウィルス検出ツールは、マクロウィルスを検出し除去する。 現在感染しているウィルスを検出し除去するためには、読者のウィル ス検出ツールの定義ファイルを更新する必要がある。 + McAfee / Network Associates http://vil.mcafee.com/vil/vm10120.asp http://www.avertlabs.com/public/datafiles/valerts/vinfo/melissa.asp + Symantec http://www.symantec.com/avcenter/venc/data/mailissa.html + Trend Micro http://housecall.antivirus.com/smex_housecall/technotes.html * Encourage users at your site to disable macros in Microsoft Word * Microsoft Word のマクロを禁止するよう、サイトのユーザに対し奨励す る。 Notify all of your users of the problem and encourage them to disable macros in Word. You may also wish to encourage users to disable macros in any product that contains a macro language as this sort of problem is not limited to Microsoft Word. 自分のサイトの全ユーザにこの問題を知らせ、Word のマクロの使用を 禁止するよう奨励する。この種の問題は Microsoft Word だけに限ら れるわけではないので、ユーザに対し、マクロ言語が含まれるいかな る製品についても、そのマクロの使用を禁止するよう奨励するのもよ いだろう。 In Word97 you can disable automatic macro execution (click Tools/Options/General then turn on the 'Macro virus protection' checkbox). In Word2000 macro execution is controlled by a security level variable similar to Internet Explorer (click on Tools/Macro/Security and choose High, Medium, or Low). In that case, 'High' silently ignores the VBA code, Medium prompts in the way Word97 does to let you enable or disable the VBA code, and 'Low' just runs it. Word97 では、マクロの自動実行を禁止できる (「Tools/Options/General」をクリックし、チェックボックスの 「Macro virus protection」をオンにする)。Word2000 の場合、マク ロ実行はインターネットエクスプローラと同様のセキュリティレベル 変数 (security level variable) によって制御される (「Tools/Macro/Security」をクリックし、「High」、「Medium」、あ るいは「Low」を選択する)。この場合、「High」はユーザに無断で VBA のコードを無視し、「Medium」はその VBA のコードを許可するか 禁止するかについて、Word97 が行う方法でユーザに問い合わせ、 「Low」は単に実行する。 Word2000 supports Authenticode on the VB code. In the 'High' setting you can specify sites that you trust and code from those sites will run. Word2000 は VB コードの Authenticode をサポートしている。「High」 の設定では、信頼できるサイトを指定できるので、そうしたサイトか らのコードだけが実行される。 * General protection from Word Macro Viruses * 一般的な Word のマクロウィルス防止策 For information about macro viruses in general, we encourage you to review the document "Free Macro AntiVirus Techniques" by Chengi Jimmy Kuo which is available at. マクロウィルス全般に関しての情報は、Chengi Jimmy Kuo 氏による "Free Macro AntiVirus Techniques" という文書を読むよう奨励する。 この文書は以下から入手可能である。 http://www.nai.com/services/support/vr/free.asp Acknowledgements 謝辞 We would like to thank Jimmy Kuo of Network Associates, Eric Allman and Nick Christenson of sendmail.com, Dan Schrader of Trend Micro, and Jason Garms and Karan Khanna of Microsoft for providing information used in this advisory. 本勧告で利用する情報を提供してくださった Network Associates の Jimmy Kuo 氏、sendmail.com の Eric Allman 氏および Nick Christenson 氏、 Trend Micro の Dan Schrader 氏、そして Microsoft の Jason Garms 氏およ び Karan Khanna 氏に感謝する。 Additionally we would like to thank the many sites who reported this activity. また、このウィルスに関して報告してくださった多くのサイトに感謝する。 ______________________________________________________________________ This document is available from: この文書は以下から取得することができる。 http://www.cert.org/advisories/CA-99-04-Melissa-Macro-Virus.html. ______________________________________________________________________ CERT/CC Contact Information Email: cert@cert.org Phone: +1 412-268-7090 (24-hour hotline) Fax: +1 412-268-6989 Postal address: CERT Coordination Center Software Engineering Institute Carnegie Mellon University Pittsburgh PA 15213-3890 U.S.A. CERT personnel answer the hotline 08:00-20:00 EST(GMT-5) / EDT(GMT-4) Monday through Friday; they are on call for emergencies during other hours, on U.S. holidays, and on weekends. CERT へのコンタクト方法 電子メール: cert@cert.org 電話: +1 412-268-7090 (24-hour hotline) ファックス: +1 412-268-6989 住所: CERT Coordination Center Software Engineering Institute Carnegie Mellon University Pittsburgh PA 15213-3890 U.S.A. CERT の個別回答ホットライン 08:00-20:00 EST(GMT-5) / EDT(GMT-4) 月曜から金曜まで。このほかの時間帯、アメリカ合衆国の休日、あるいは 週末も、緊急事態に備え待機している。 Using encryption 暗号の利用 We strongly urge you to encrypt sensitive information sent by email. Our public PGP key is available from http://www.cert.org/CERT_PGP.key. If you prefer to use DES, please call the CERT hotline for more information. 電子メールで重要な情報を送るときは、暗号化することを強く要請する。CERT の PGP 公開鍵は、http://www.cert.org/CERT_PGP.key から手に入れることが できる。DES を利用したい方は、詳細について CERT ホットラインまで問い合 わせて頂きたい。 Getting security information セキュリティ情報の取得 CERT publications and other security information are available from our web site http://www.cert.org/. CERT の発行文書、その他セキュリティに関する情報は、我々のWebサイト http://www.cert.org/ から入手できる。 To be added to our mailing list for advisories and bulletins, send email to cert-advisory-request@cert.org and include SUBSCRIBE your-email-address in the subject of your message. 勧告と公報を提供するメーリングリストを購読したい場合は、メッセージの subject 欄に、 SUBSCRIBE 自分の電子メールアドレス を記入して、cert-advisory-request@cert.org に送って欲しい。 Copyright 1999 Carnegie Mellon University. Conditions for use, disclaimers, and sponsorship information can be found in http://www.cert.org/legal_stuff.html. Copyright 1999 Carnegie Mellon University. 使用条件、免責事項、スポンサーとの契約に関する情報については、 http://www.cert.org/legal_stuff.html から入手できる。 * "CERT" and "CERT Coordination Center" are registered in the U.S. Patent and Trademark Office * "CERT" および "CERT Coordination Center" は、合衆国特許商標庁に登 録済みである。 ______________________________________________________________________ NO WARRANTY Any material furnished by Carnegie Mellon University and the Software Engineering Institute is furnished on an "as is" basis. Carnegie Mellon University makes no warranties of any kind, either expressed or implied as to any matter including, but not limited to, warranty of fitness for a particular purpose or merchantability, exclusivity or results obtained from use of the material. Carnegie Mellon University does not make any warranty of any kind with respect to freedom from patent, trademark, or copyright infringement. 無保証 Carnegie Mellon University および Software Engineering Institute に よってもたらされたいかなる資料も、「現状のまま」提供される。Carnegie Mellon University はその包含する事柄に関し、表出されたもの、あるいは 含意されたものに対し、一切の保証を行わない。またそれは、特定の目的や 市場価値への適合性、排他性、あるいはこの資料を利用することによって得 られた結果に対する保証に限定されない。Carnegie Mellon Universityは、 特許、商標、あるいは著作権の侵害の免除に関し、一切の保証を行わない。 ______________________________________________________________________ Revision History 改訂履歴 - ---------------------------------------------------------------------------- JPCERT/CC 改訂履歴 2000年8月25日 最新情報の URL の更新 1999年5月7日 Copyright の年の間違いを修正した。 1999年4月1日 初版 ====================== この文書の取扱に関する注意事項 ====================== この文書は、原著作権者から翻訳の許諾を受け、JPCERT/CC が独自に翻訳し た文書です。この翻訳文書を商業目的に使用することを禁止します。また JPCERT/CC の許諾なく再配布することを禁止します。 翻訳にあたっては、誤訳や誤解を生じるような表現をなくすように努力して おりますが、もし万が一不具合を見つけた場合には、JPCERT/CC にご連絡頂け れば幸いです。また、それ以外にも、この翻訳に関して質問等がある場合には、 JPCERT/CC にご連絡をお願い致します。連絡先は次の通りです。 info@jpcert.or.jp この翻訳文書は、随時更新される可能性がありますので、最新情報について は、次を参照してください。 http://www.jpcert.or.jp/tr/cert_advisories/ また翻訳文書の原文書も随時更新される可能性がありますので、そちらも参 照してください。翻訳文書と原文書のバージョンが異なる場合には、原文書が 最新情報です。 ===================== JPCERT/CC からのお知らせとお願い ===================== 本文書で解説した不正アクセスも含め、インターネット上で引き起こされる さまざまな不正アクセスに関する情報がありましたら、JPCERT/CC 所定の報告 様式にご記載のうえ、関連するログファイルのメッセージとともに、次のアド レスまでお送りください。 info@jpcert.or.jp 報告様式等、JPCERT/CC への連絡方法につきまして、詳しくは次の URL を ご参照下さい。 http://www.jpcert.or.jp/contact.html JPCERT/CC に頂いた報告は、報告者の了解なしに、そのまま他組織等に開示 することはありません。JPCERT/CC の組織概要につきましては、次の URL を ご参照ください。 http://www.jpcert.or.jp/ JPCERT/CC では、不正アクセスに関する情報を迅速にご提供するために、メー リングリストを開設しています。登録の方法等、詳しくは、次の URL をご参 照ください。 http://www.jpcert.or.jp/announce.html __________ 注: この文書は、不正アクセスに対する一般的な情報提供を目的としており、特定 の個人や組織に対する個別のコンサルティングが目的ではありません。そのため、 個別の問題に関するお問い合わせ等に必ずお答えできるとは限りません。また、お 答えできる場合でもご回答が遅れる可能性があります。 JPCERT/CC は、この文書に記載された情報の内容が正確であるよう努めていますが、 正確性を含め一切の品質についてこれを保証致しません。この文書に記載された情 報に基づいて、貴方あるいは貴組織がとられる行動、あるいはとられなかった行動 によって、直接的、間接的または偶発的に引き起こされた結果に対して、JPCERT/CC は何ら保証致しません。 -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia iQCVAwUBOaXoo4x1ay4slNTtAQGCXAQAiEivc63MVYvva90v4lEo8lg5bJHtSBq2 6k+9nPEICsXcBhDWDoxLS5OhFAo41CcYWBooN+QWFAxU7ueYs6JMNDLuwN0gIVy4 Wgf2BUz5pTWXZRoAhpdrC1Ag+BEQAgZ0w34wrOInWLNeh9Dl/PvK9zQlOxTWe4BU 5UKa7rpHKZ4= =orbL -----END PGP SIGNATURE-----