【レビュー】MyDoomウイルス：最も破壊的で最速な電子メールワーム

MyDoomとは？

MyDoomは、w32.myDoom@mm、Mimail.R、Shimgapi、またはNovargとも呼ばれ、Microsoft Windowsオペレーティングシステム（OS）に悪い影響を与えるコンピューターウイルスです。2004年1月26日に初めて出現したMyDoomは、ILOVEYOUとSobigの記録を抜き、史上最速のスピードで感染を広げるメールワームとして、2022年現在もその記録を超えていません。

MyDoomは、ウイルスを最初に発見したマカフィー社の社員、Craig Schmugar氏によって命名されたのです。また、彼はウイルスの第一発見者です。MyDoomのソースコードの一行が「mydoom」であることに着目し、この名前をつけました。”このウイルスが多くの問題を引き起こすことは、早い段階から明らかだった。名前に「Doom」をつけるのがふさわしいと思ったんです。”とCraigは言いました。

MyDoomの作成者は？

MyDoomワームは、電子メールスパマーに依頼され、感染したコンピューターを介してスパムメールを送信します。このスパムメールには、「andy; I’m just doing my job, nothing personal, sorry」というテキストメッセージが含まれており、マルウェアの作成者がお金をもらって仕事をしていると考える人が多いようです。

Mydoomの初期分析では、Mimailウイルスの亜種であることが判明したので、MyDoomの別名がMimail.Rと呼ばれるようになりました。このため、MydoomコンピューターウイルスがMimailウイルスと同じ作成者によって作られたという推測がなされます。しかし、それ以上に、この2つのウイルスの関連性を確認する実際の証拠はないのです。

初期の推測では、MyDoomの主な目的は、SCOグループに対する分散型サービス拒否（DDoS）攻撃です。その理由は、Mydoom.Aの影響を受けたコンピューターの25％が、激しいトラフィックでSCOグループを攻撃していました。

SCOグループの主張は、業界紙にさまざまな憶測を呼んでいます。彼らは、このマルウェアがSCOグループがLinuxに対して論争を巻き起こした法的措置や公的発言に対する報復として、Linuxまたはオープンソース推進派によって作成された可能性があると考えています。

しかし、その説はセキュリティ研究者によって即座に否定されました。このワームを調査していた法執行機関は、その後、マルウェアMyDoomは組織的なサイバー犯罪グループによるものであるとしています。

Vimm's Lairは安全に使用できますか？

古いゲームソフトのROMやエミュレータ、マニュアルなどをダウンロードできるVimm's Lairは安全ですか？Vimm.netの代替となるサイトがありますか？Vimmを安全に使うにはどうしたらいいですか？この記事を読めば、答えが分かります。

もっと見る

MyDoomはどのように拡散するのか？

MyDoomは主に電子メールで送信され、英語やフランス語などさまざまな言語で「エラー」「メール取引失敗」「テスト」「メール送信システム」など送信エラーを含む件名を発信します。

このメールには、実行するとユーザーのアドレス帳などのローカルファイルにウイルスを再送信するファイルが添付されていました。また、ピアツーピアのファイル共有アプリケーション「Kazaa」上の「共有フォルダ」にも自身をコピーし、この方式で拡散します。

MyDoomは巧妙に、スタンフォード大学、カリフォルニア大学バークレー校、ラトガース大学、MITなどの特定の大学のメールアドレスや、シマンテックやマイクロソフトなどの特定の企業への攻撃を避けています。初期の報告では、このウイルスはすべての.eduアドレスを避けるとされていましたが、実際はそうではありませんでした。

MyDoom.Aのオリジナルバージョンは、2つのペイロードを搭載していると考えられていました。一つは、ポート3127/TCPへのバックドアで、独自のSHIMGAPI.DLLファイルをsystem32ディレクトリに配置し、Windows Explorerの子プロセスとして開くことで感染したコンピューターをリモートコントロールできるようになります。これは、Mimailに発見されたものと本質的に同じバックドアです。

お勧め記事：Avast Virus Chest & MiniTool ShadowMakerでコンピューターを安全に保護する

もう一つは、2004年2月1日に始まった、話題の企業SCOグループのウェブサイトに対するサービス妨害攻撃です。しかし、多くのウイルス分析者は、このペイロードが実際に機能するかどうか疑っていました。その後のテストでは、影響を受けたシステム内の25％しか機能しないことが判明しました。

MyDoom.Bは、最初のバージョンAと同じペイロードを搭載し、マイクロソフトのウェブサイトも標的にして、ユーザーがマイクロソフトのウェブサイトや 有名なオンラインアンチウイルスサイトにアクセスするのをブロックします。さらに、MyDoom.Bは、アンチウイルスプログラムとそのアップデートをブロックするホストファイルを変更します。また、MyDoomバージョンBの流通枚数が少ないため、WindowsサーバーはバージョンBの被害をあまり受けません。

MyDoomウイルスの歴史 / MyDoomウイルスの影響

以下は、MyDoomウイルス事件のタイムラインです。

2004年1月26日

MyDoomが最初に発見されたのは、北米で始業前の午前8時頃（米国東部標準時13時頃）でした。一番最初のメールは、ロシアから来たのです。それから、数時間後、その日の昼頃まで、MyDoomウイルスの急速な拡散により、インターネット全体のパフォーマンスは約10％低下し、ページの平均読み込み時間は約50％低下しました。報告によると、当時は、約10%メールがマルウェアMyDoomによって作成されたのです。

この分散型サービス拒否攻撃は2004年2月1日に開始されたのですが、SCOグループのウェブサイトはウイルスの最初のリリースから数時間で一時的に閉鎖されました。しかし、MyDoom自体がこれに関与しているかどうかは今でも不明です。

2004年1月27日

SCOグループは、MyDoomの作成者に関連する情報に対して25万ドルの賞金を提供しました。そして、米国では、FBIとシークレットサービスがこのウイルスに関する調査を開始しました。

2004年1月28日

Mydoom.bが見つかりました。最初のメッセージは14:00UTCに発見され、ロシアから発信されました。新バージョンには、SCOグループに対するオリジナルのサービス拒否攻撃と、2004年2月3日に始まったwww.microsoft.comに対する同攻撃が含まれています。

しかし、いずれの攻撃も、MyDoomの脆弱性を隠すことを目的とした壊れたコードや使用できないデコイコードです。また、MyDoom.Bは、60以上のコンピュータセキュリティ企業のウェブサイトへのアクセスや、ダブルクリックなどのオンラインマーケティング企業が提供するポップアップ広告も無効化しました。

この日に、MyDoomの広がりはピークに達しました。セキュリティ会社の報告によると、この日、約20%のメールがMyDoomによって引き起こされたとのことです。

お勧め記事：ポリモーフィックウイルスとその対策

2004年1月29日

Mydoom Bのソースコードに誤りがあったため、当初想定していたような急速な普及は見込めなくなり、Mydoomの広がりは衰退していくことになった。一方、マイクロソフトはMyDoom Bの作成者の逮捕につながる情報に対して25万ドルの報奨金を提供しています。

2004年2月1日

全世界で推計100万台のコンピューターがMyDoomに感染し、ワームによる大規模な分散型サービス拒否攻撃に遭いました。また、これまでで最大の攻撃となりました。そしてこの日、ウイルスはオーストラリアと東アジアに到達しました。なお、1月1日17時頃、SCOはwww.sco.comをDNSから削除されました。

2004年2月3日

この日、ウイルスはマイクロソフト社に対してサービス妨害攻撃を開始し、マイクロソフト社はinformation.microsoft.comというウイルスの影響を受けないサイトを用意して攻撃に備えました。幸いなことに、MyDoomウイルスによる被害は最小限にとどまり、攻撃中もmicrosoft.comは正常に機能し続けました。

攻撃失敗は、MyDoom.Bの配布数が比較的少ないこと、マイクロソフト社のウェブサーバーの負荷耐性が高いこと、マイクロソフト社が事前に準備したことなどが要因です。さらに、専門家は、ウイルス攻撃時の負担は、マイクロソフトのソフトウェア更新など、こうしたWebベースのサービスに比べて低いと指摘しました。

2004年2月9日

この日、寄生型ウイルス「Doomjuice」の拡散を開始しました。Doomjuiceは、MyDoomが残したバックドアを使用して拡散します。Doomjuiceは、影響を受けていないマシンを攻撃しません。そのペイロードは、同じくマイクロソフトのサービス拒否を狙ったMyDoom.Bと類似しています。

2004年2月12日

MyDoom.Aは拡散を停止するようにプログラムされています。しかし、この日以降もバックドアは開いたままです。

2004年3月1日

MyDoom.Bは拡散を停止するようにプログラムされています。また、MyDoom Aと同様、バックドアが開いています。

MEMZ Virusとは｜トロイの木馬ウイルスを駆除する方法

MEMZウイルスとは何ですか？お使いのPCがトロイの木馬ウイルスに遭遇している場合、どのようにそれを削除しますか？この記事では、これらの質問について説明していきます。

もっと見る

2004年7月26日

MyDoomの別の亜種がGoogle、Yahoo、Lycos、AltaVistaを攻撃し、Googleの検索エンジンを1日の大半で完全に停止させ、AltaVistaとLycosのエンジンに数時間にわたって顕著なスローダウンを引き起こしたのです。

2004年9月10日

MyDoomのU、V、W、Xバージョンが出たことで、より強力な新しいMyDoomが登場することを懸念されています。

2005年2月18日

MyDoomバージョンAO登場。

2009年7月

2009年7月、韓国と米国で発生したサイバー攻撃で、MyDoomが再び姿を現しました。

2019

15年後、最も速く広がり、最も破壊的なコンピューターウイルス‐MyDoomはまだ存在し、フィッシング攻撃に利用されているのです。Unit 42の分析によると、2019年中に送信されたウイルスを含む全メールの1％がMyDoomメールでした。また、2019年にMyDoomを拡散したIPアドレスの大部分は、中国、米国、英国にありました。

Twitterでシェア

MyDoomの拡散を防ぐ方法

上記のMyDoomウイルスのタイムラインから、世界にはまだMyDoomの感染があることが分かります。もしかしたら、ある日突然、友人からワームの入ったメールが届くかもしれません。ウイルスと知らずに添付ファイルを開くと、攻撃が実行され、連絡先にコピーが送られます。そうすれば、新たな世界的なウイルス攻撃につながるかもしれません。

怖いですよね。さて、MyDoomを受信したら、自分から拡散しないようにするにはどうしたらいいのか、気になりますよね。ここでは、おすすめの方法をご紹介します。

ヒント1. アンチウィルスを常に開いておく

ほとんどの人が、少なくとも1つのセキュリティプログラムをパソコンにインストールしていると思います。WindowsのOSには必ずWindows Defenderというファイアウォールが搭載されており、パソコンを使うときはこれをオンにしておくだけでいいのです。こうすることで、万が一、ウィルスを含むメールを受信しても、ファイアウォールが警告メッセージを出すことで、メールを開いたり、ローカルストレージにダウンロードしたりすることを防ぐことができます。

お勧め記事：Windows Defenderで十分ですか？PCを保護するその他のソリューション

ヒント2. 未知のファイルを開かない

知らないファイルは開かないでください。知らないファイルを受け取った場合は、開く前に必ずそのファイルが何であるか、安全であるかどうかを確認してください。連絡先から送られてきたメールの添付ファイルであれば、ダウンロードする前に、そのファイルが何であるかをその人に確認しておきます。安全でクリーンなファイルであることが確認された後、ファイルを開くことができます。そうでなければ、メールと添付ファイルを完全に削除してください。

ヒント3. 定期的にコンピューターのウィルスをスキャンする

新しく受信したファイルをチェックするだけでは不十分です。ウイルスの中には、休止機能を持つ種類もあり、通常、コンピューターに侵入してから数日後にシステムを攻撃します。そのため、コンピューター全体をスキャンして、潜在的なリスクがないか徹底的にチェックすることをお勧めします。さらに、休止状態のウイルスがいつ攻撃を始まりか分からないので、この作業は定期的かつ頻繁に行う必要があります。

ヒント4. 重要なファイルをバックアップする

MyDoomはコンピューターの速度を低下させ、一部のオンラインサービス/ウェブサイトにアクセスできなくなるだけですが、重要で頻繁に使用するファイルのバックアップをとっておくことは有益なことです。一度バックアップをとっておけば、万が一いずれかの端末でMyDoomの影響を受けても、そのファイルを他の正常な端末に復元して作業を続行することができます。

また、NotPetyaやWannaCryなどのランサムウェアに感染した場合、元のファイルが暗号化、破壊、削除され、アクセスできなくなります。この場合、以前にバックアップをとっていれば、別のパソコンに復元することができ、データの損失を最小限に抑えることができます。

では、重要なファイルやフォルダのバックアップはどのように作成するのでしょうか。コピーして安全な場所に貼り付ければかんたんにできるのですが、これにはソースファイルと同じだけのストレージ容量が必要です。バックアップするファイルがたくさんある場合や、システムのバックアップを取る場合は、さらに多くのストレージ容量が必要になります。

また、Windowsに内蔵されている機能やユーティリティに頼ることもできます。しかし、操作がややこしかったり、一般的で便利な機能がなかったりします。その結果、ユーザーのニーズに応えられません。

幸いなことに、専門的で信頼できるサードパーティのアプリケーションは、顧客の特定のニーズに応じて、ファイル/フォルダー、システム、ハードドライブ、パーティション/ボリュームなどをバックアップすることができます。さらに、スケジュールバックアップ、スキームバックアップ（ストレージ容量の節約）、その他多くのバックアップオプションを提供しています。

MiniTool ShadowMakerは、そんな優れたバックアッププログラムです。家族の写真やビデオ、お気に入りの曲、仕事のファイル、カスタマイズしたOSなど、さまざまなものをすばやくバックアップできます。使用するには、まず、お使いの端末にダウンロードし、インストールしてください。次に、以下のガイドに従って、インポートしたファイルの初期バックアップを作成します。

MiniTool ShadowMaker Trialクリックしてダウンロード100%クリーン＆セーフ

ステップ1. MiniTool ShadowMakerを起動し、最初の画面で「体験版で続く」をクリックします。

ステップ2. その後、メインインターフェイスに入ります。そこで、トップタブメニューの「バックアップ」をクリックします。

ステップ3. バックアップタブで、左側のモジュールをクリックして、バックアップするソースファイルを選択します。

ステップ4. 右のモジュールをクリックして、バックアップイメージの保存先を選択します。

ステップ5. 「バックアップ」タブにリダイレクトされ、バックアップタスクのプレビューが表示されます。タスクを確認した後、右下の「今すぐバックアップ」をクリックして、プロセスが開始します。

重要なファイルのバックアップを開始します。この間、コンピューターの電源を入れたままにしておいてください。また、最初のバックアップを実行する前に、左下の「スケジュール」ボタンをクリックすることで、これらのファイルを自動的にバックアップするスケジュールを作成することができます。また、左下の「スキーム」をクリックすると、カスタマイズされたバックアップスキームを作成して、ディスク容量を節約できます。

さて、以上がMyDoomウイルスに関連する話です。MyDoomやその他のコンピューターウイルスについてお伝えしたいことがありましたら、以下のコメント欄にお寄せください。また、MiniTool ShadowMakerに問題が発生した場合は、弊社のサポートチーム（[email protected]）までご連絡ください。

MyDoomウイルスFAQ