Windows CE 3.0 端末のスクリプトウイルスの危険性に関する調査・検討報告書

Windows CE 3.0 端末のスクリプトウイルスの

危険性に関する調査・検討報告書

平成 14 年 3 月

情報処理振興事業協会

セキュリティセンター

目次

1 はじめに...1 2 背景と目的...3 3 Windows CE 3.0 での感染実験...4 3.1 JS.Internal.f ...6 3.1.1 ファイル転送...6 3.1.2 メールへの添付...7 3.2 JS.Lame...9 3.2.1 ファイル転送...9 3.2.2 メールへの添付...10 3.3 JS.NastyKiller...11 3.3.1 ファイル転送...11 3.3.2 メールへの添付...12 3.4 JS.Trojan.Freq.c ...13 3.4.1 ファイル転送...13 3.4.2 メールへの添付...14 3.5 JS.Wobble ...15 3.5.1 ファイル転送...15 3.5.2 メールへの添付...17 3.6 Jscript.Optiz ...18 3.6.1 ファイル転送...18 3.6.2 メールへの添付...19 4 実験結果の考察...21 4.1 携帯端末のInternet Explorer の機能について ...22 4.2 Pocket Outlook の機能について...23 4.3 WSH 機能について...24 5 まとめ...25

1 はじめに

先般、携帯コンピュータ用のOS として Microsoft Windows CE Version 3.0 が発表され、 これを搭載するPocket PC 端末や Handheld PC 2000 端末が発売された。これらに搭載され ているWeb ブラウザの Microsoft Pocket Internet Explorer / Microsoft Internet Explorer for Handheld PC は JavaScript および JScript に対応しており、既存の JavaScript / JScript ウイルスが動作する恐れがある。 本報告書は、これらのOS を搭載する代表的な携帯端末上において、現在パーソナルコン ピュータ用のOS である Microsoft Windows 98 / Me 等で問題となっている代表的なスクリ プトウイルスの動作実験を行い、Windows CE Version 3.0 環境におけるスクリプトウイル スの危険性を検証し、その結果を報告するものである。 実験対象とするスクリプトウイルスはJavaScript / JScript で書かれた以下の 6 種類であ る。 • JS.Internal.f • JS.Lame • JS.NastyKiller • JS.Trojan.Freq.c • JS.Wobble (Jscript.NoWobbler) • Jscript.Optiz 実験に用いたWindows CE Version 3.0 端末は現在入手可能な以下の 2 種類とした。なお、 バージョンが同じであればOS のカーネルも同じであるため、他メーカの端末でも実験結果 は等しくなると考えられる。 本報告書ではPocket PC 端末と Handheld PC 2000 端末の 2 種類について実験結果をま とめている。

• Pocket PC 端 末 : CASIO 社 製 CASSIOPEIA E-750、Microsoft Windows CE Version 3.0.9348 (Build 9503)

• Handheld PC 2000 端末: Hewlett Packard 社製 hp jornada 720、Microsoft Windows for Handheld PC 2000: Microsoft Windows CE Version 3.0 (Build 9595-126)

なお、実験対象のスクリプトウイルスが本来どのような動作を行うかは、Windows Me を 搭載するDOS/V 互換デスクトップ端末の Microsoft Internet Explorer Version 6.0 の環境で 解析・実験して得ることとし、これを比較検討対象としている。

2 背景と目的

コンピュータウイルス(以下ウイルスと呼ぶ)とは、自分自身のコピーを他のプログラムに 追加(感染)することで自己増殖するプログラムである。ウイルスは、その感染プログラムの 移動によってあるマシンから他のマシンへと拡散していき、また、ある条件であらかじめ決 められている動作を起こし(発病)、システムに深刻な被害をもたらすことがある。近年、携 帯端末機器でインターネットや電子メールを利用する機会が増え、携帯端末機器でもコンピ ュータウイルスに遭遇するケースが増えている。

Windows 98 / Me 等では、Internet Explorer 上で動作するスクリプトウイルスの存在が 確認されており、スクリプトを扱うことのできる最新のWindows CE 3.0 端末でもこれらの ウイルスの感染が懸念される。携帯端末の普及がめざましい現在において、その安全性を調 査することは今後の不正プログラム対策において重要である。 本調査は、携帯端末機器として現在入手可能な最新のWindows CE 3.0 端末を取り上げ、 スクリプトウイルスの動作確認やその被害が及ぶ範囲を明らかにするものであり、その結果 を、Windows CE 3.0 に関連したウイルス対策を構築するための基礎資料とすることを目的 としている。

3 Windows CE 3.0 での感染実験

実験に用いたWindows CE 端末は CASIO 社製の CASSIOPEIA と Hewlett Packard 社製 のjornada であり、その OS である Windows CE のバージョンはどれも 3.0 である。ただし、 CASSIOPEIA は Pocket PC であり、Internet Explorer の簡易版である Pocket Internet Explorer を搭載している。また、jornada は Handheld PC 2000 であり、Internet Explorer for Handheld PC を搭載しており、どちらも JavaScript と JScript に対応している。

実験を行うスクリプトウイルスは JavaScript / JScript で書かれた JS.Internal.f、 JS.Lame、JS.NastyKiller、JS.Trojan.Freq.c、JS.Wobble、Jscript.Optiz の 6 種類とする。 なお、JS.Wobble は XML ファイル、Jscript.Optiz は JS ファイル、それ以外は HTML ファ イルの状態のものを用いた。

パーソナルコンピュータ(PC)と携帯端末とでファイルを転送するために、PC 側に HotSync Version 3.5 をインストールし、両者を USB ケーブルで接続して通信を行った。ま た、電子メールの取り扱いにはMicrosoft Outlook 2000 を用いた。Outlook は Microsoft 社 製のメールアプリケーションソフトウェアであり、携帯端末の Windows CE に付属する Pocket Outlook の受信トレイと高い互換性がある。

以上により、Windows CE 3.0 端末上で動作する Internet Explorer および受信トレイ上で 上記ウイルスの動作実験を行う。

実験手順

1. PC に Microsoft ActiveSync 3.5 をインストールする。また、Windows CE 3.0 端末の ルートディレクトリに実験用フォルダ(¥IPA¥VIRUSES)を作成する。

2. PC と Windows CE 3.0 端末を USB ケーブルで接続し、ActiveSync にてスクリプト ウイルスファイルをWindows CE 3.0 端末に転送する(図 1, 図 2)。

3. Windows CE 3.0 端末側で Internet Explorer を起動し、受信したファイルを開いてそ の挙動を確認する。 4. 次に、Outlook 上でスクリプトウイルスファイルを添付したメールを作成し、Windows CE 3.0 端末に転送する。 5. Windows CE 3.0 端末側で受信トレイを起動し、受信したメールを開いてその挙動を 確認する。 図1: CASSIOPEIA に転送したウイルスファイル 図2: jornada に転送したウイルスファイル

3.1 JS.Internal.f

JS.Internal.f は、パーソナルコンピュータ(以下 PC と表記する)上では、ローカルに保存 してある感染ファイルをInternet Explorer で開いた場合に、25%の確率でそのファイルの あるディレクトリとその親ディレクトリ内の HTML ファイルに感染するスクリプトウイル スである。ここでは、このウイルスに感染している"JS.Internal.f.htm"を検体とし、携帯端 末のInternet Explorer で開いたときの動作を調査する。

3.1.1 ファイル転送

Pocket PC --- ActiveSync で PC から Pocket PC 端末へファイル転送を行い、Internet Explorer で開い た画面を図3に示す。

この表示は HTML で書かれているもので、この画面からはスクリプトの動作が確認でき ないが、他のHTML ファイルを調べたところ、サイズ・内容共に変化がなく、JS.Internal.f

ウイルスの活動は起こらなかった。

これは、このウイルスが使用しているWScript.Shell や Scripting.FileSystemObject とい うWSH(Windows Script Host) ActiveX オブジェクトがデスクトップ PC 用のオブジェクト であり、Windows CE には搭載されていないためである。これらの ActiveX オブジェクトを 利用するスクリプトウイルスはPocket PC では何の被害ももたらさない。 ただし、当然のことながら、検体ファイル内にはウイルススクリプトが残っており、他の PC へウイルスを渡してしまう恐れがあるため注意が必要である。 図3: Pocket PC 上の JS.Internal.f Handheld PC --- 同様にHandheld PC 端末へファイル転送を行い、Internet Explorer で開いた画面を図 4 に示す。 こちらも、他のHTML ファイルのサイズ・内容共に変化がなく、JS.Internal.f ウイルス の活動は起こらなかった。 Handheld PC は Pocket PC と比較してよりデスクトップ PC に近い存在ではあるが、や はりActiveX オブジェクトをサポートしておらず、これらの ActiveX オブジェクトを利用す るスクリプトウイルスはHandheld PC では何の被害ももたらさない。

もちろん、ファイル内からウイルススクリプトが除去されているわけではなく、他の PC へウイルスを渡してしまう恐れがあるため注意が必要である。 図4: Handheld PC 上の JS.Internal.f

3.1.2 メールへの添付

次に、電子メールにウイルスファイルを添付した場合の実験を行う。 Pocket PC --- Pocket PC 端末でメールを受信(図 5)し、これを開くと、添付したウイルスファイル(図 6) も含まれていた1_{。この添付ファイルを開くとInternet Explorer が起動し、図 3と同じ状態} になった。しかしやはり、JS.Internal.f ウイルスの活動は起こらなかった。 なお、ウイルスファイルを配布することのないよう、メールの転送には注意が必要となる。 図5: Pocket PC でのメール受信 図6: Pocket PC のメールに添付された JS.Internal.f 1 _{送受信に添付ファイルを含めるよう ActiveSync 側で設定した場合。初期設定では、携帯} 端末側の受信トレイで「全文をサーバからコピー」を実行しないと添付ファイルは受信され

Handheld PC --- 同様にHandheld PC 端末でメールを受信(図 7)し、これを開くと、添付したウイルスファ イル(図 8)も含まれていた2_{。この添付ファイルを開くと Internet Explorer が起動し、図 4} と同じ状態になった。しかしやはり、JS.Internal.f ウイルスの活動は起こらなかった。 なお、ウイルスファイルを配布することのないよう、メールの転送には注意が必要となる。 図7: Handheld PC でのメール受信 図8: Handheld PC のメールに添付された JS.Internal.f 2 _{送受信に添付ファイルを含めるよう ActiveSync 側で設定した場合。Pocket PC 端末と同} じく、デフォルトでは添付ファイルは含まれない。

3.2 JS.Lame

JS.Lame は、PC 上では、ローカルに保存してある感染ファイルを Internet Explorer で 開いた場合にWindows ディレクトリ内の Web, Help, Web¥Wallpaper ディレクトリおよび テンポラリディレクトリ内のHTML ファイルや JS ファイルに感染するスクリプトウイルス である。ここでは、このウイルスに感染している"JS.Lame.htm"を検体とし、携帯端末の Internet Explorer で開いたときの動作を調査する。

3.2.1 ファイル転送

Pocket PC --- ActiveSync で PC から Pocket PC 端末へファイル転送を行い、Internet Explorer で開い た画面を図9に示す。 この表示はHTML で書かれているもので、「Internet Explorer でローカルの HTML ファ イルを開いた状態でこのメッセージを読んでいるならあなたは感染している」とあるが、実 際には感染対象ファイルのサイズ・内容共に変化がなく、JS.Lame ウイルスの活動は起こら なかった。 これは、このウイルスが使用しているScripting.FileSystemObject が Windows CE には 搭載されていないためである。 なお、他のPC へウイルスを渡してしまわないよう注意が必要である。 図9: Pocket PC 上の JS.Lame Handheld PC --- 同様にHandheld PC 端末へファイル転送を行い、Internet Explorer で開いた画面を図 10 に示す。

こちらも、対象HTML / JS ファイルのサイズ・内容共に変化がなく、JS.Lame ウイルス

の活動は起こらなかった。

Handheld PC も ActiveX オブジェクトをサポートしていないためである。 もちろん、他のPC へウイルスを渡してしまわないよう注意が必要である。

図10: Handheld PC 上の JS.Lame

3.2.2 メールへの添付

次に、電子メールにウイルスファイルを添付した場合の実験を行う。 Pocket PC --- Pocket PC 端末でメールを受信し、これを開くと、添付したウイルスファイルも含まれて いた。この添付ファイルを開くとInternet Explorer が起動し、ファイル転送時と同じ状態 になった。しかしやはり、JS.Lame ウイルスの活動は起こらなかった。 なお、ウイルスファイルを配布することのないよう、メールの転送には注意が必要となる。 Handheld PC --- 同様にHandheld PC 端末でメールを受信し、これを開くと、添付したウイルスファイル も含まれていた。この添付ファイルを開くとInternet Explorer が起動し、ファイル転送時 と同じ状態になった。しかしやはり、JS.Lame ウイルスの活動は起こらなかった。 なお、ウイルスファイルを配布することのないよう、メールの転送には注意が必要となる。

3.3 JS.NastyKiller

JS.NastyKiller を PC 上の Internet Explorer で開くと、Windows ディレクトリ上の System.ini, Win.ini, Rundll32.exe, Rundll.exe, Command.com, Regedit.exe, Regsvr32.exe、 そしてルートディレクトリの Command.com ファイルを破壊する。ここで は、このウイルス"JS.NastyKiller.htm"を検体とし、携帯端末の Internet Explorer で開いた ときの動作を調査する。

3.3.1 ファイル転送

Pocket PC --- ActiveSync で PC から Pocket PC 端末へファイル転送を行い、Internet Explorer で開い た画面を図11に示す。 この表示はJavaScript で書かれているもので、まるでスクリプトウイルスが動作している ように見えるが、実際には標的の各ファイルは変化がなく、JS.NastyKiller ウイルスの活動 は起こらなかった。 これは、このウイルスが使用している Scriptlet.TypeLib というスクリプトコンポーネン トオブジェクトがWindows CE には搭載されていないためである。 ただし、当然のことながら、検体ファイル内にはウイルススクリプトが残っており、他の PC へウイルスを渡してしまう恐れがあるため注意が必要である。 図11: Pocket PC 上の JS.NastyKiller Handheld PC --- 同様にHandheld PC 端末へファイル転送を行い、Internet Explorer で開いた画面を図 12 に示す。 こちらも、標的ファイルのサイズ・内容共に変化がなく、JS.NastyKiller ウイルスの活動 は起こらなかった。 やはりHandheld PC もスクリプトコンポーネントオブジェクトをサポートしていないた めである。 もちろん、ファイル内からウイルススクリプトが除去されているわけではなく、他の PC

へウイルスを渡してしまう恐れがあるため注意が必要である。 図12: Handheld PC 上の JS.NastyKiller

3.3.2 メールへの添付

次に、電子メールにウイルスファイルを添付した場合の実験を行う。 Pocket PC --- Pocket PC 端末でメールを受信し、これを開くと、添付したウイルスファイルも含まれて いた。この添付ファイルを開くとInternet Explorer が起動し、ファイル転送時と同じ状態 になった。しかしやはり、JS.NastyKiller ウイルスの活動は起こらなかった。 なお、ウイルスファイルを配布することのないよう、メールの転送には注意が必要となる。 Handheld PC --- 同様にHandheld PC 端末でメールを受信し、これを開くと、添付したウイルスファイル も含まれていた。この添付ファイルを開くとInternet Explorer が起動し、ファイル転送時 と同じ状態になった。しかしやはり、JS.NastyKiller ウイルスの活動は起こらなかった。 なお、ウイルスファイルを配布することのないよう、メールの転送には注意が必要となる。

3.4 JS.Trojan.Freq.c

JS.Trojan.Freq.c を PC 上の Internet Explorer で開くと、ある FTP サーバからトロイの 木馬本体Trojan.exe をダウンロードし実行するスクリプトファイル Startme.hta を生成しよ うとする。このファイルは、次回のWindows 起動時に実行されるように Windows のスター トメニューのProgramme¥Autostart3_{内に生成される。ここでは、このウイルスに感染して}

いる"JS.Trojan.Freq.c.htm"を検体とし、携帯端末の Internet Explorer で開いたときの動作 を調査する。

3.4.1 ファイル転送

Pocket PC --- ActiveSync で PC から Pocket PC 端末へファイル転送を行い、Internet Explorer で開い た画面を図13に示す。 何も表示されないのは HTML 本文に空白しかないためであり、この画面からはスクリプ トの動作が確認できないが、Startme.hta はどこにも生成されず、JS.Trojan.Freq.c ウイル スの活動は起こらなかった。 これは、このウイルスが使用しているScriptlet.TypeLib が Windows CE には搭載されて いないためである。なお、たとえStartme.hta が生成されたとしてもそれを実行することは できず、やはり動作しない。 ただし、当然のことながら、検体ファイル内にはウイルススクリプトが残っており、他の PC へウイルスを渡してしまう恐れがあるため注意が必要である。 図13: Pocket PC 上の JS.Trojan.Freq.c

Handheld PC --- 同様にHandheld PC 端末へファイル転送を行い、Internet Explorer で開いた画面を図 14 に示す。 こちらも、Startme.hta が生成されることはなく、JS.Trojan.Freq.c ウイルスの活動は起 こらなかった。なお、たとえStartme.hta が生成されたとしてもそれを実行することはでき ず、やはり動作しない。 もちろん、ファイル内からウイルススクリプトが除去されているわけではなく、他の PC へウイルスを渡してしまう恐れがあるため注意が必要である。 図14: Handheld PC 上の JS.Trojan.Freq.c

3.4.2 メールへの添付

次に、電子メールにウイルスファイルを添付した場合の実験を行う。 Pocket PC --- Pocket PC 端末でメールを受信し、これを開くと、添付したウイルスファイルも含まれて いた。この添付ファイルを開くとInternet Explorer が起動し、ファイル転送時と同じ状態 になった。しかしやはり、JS.Trojan.Freq.c ウイルスの活動は起こらなかった。 なお、ウイルスファイルを配布することのないよう、メールの転送には注意が必要となる。 Handheld PC --- 同様にHandheld PC 端末でメールを受信し、これを開くと、添付したウイルスファイル も含まれていた。この添付ファイルを開くとInternet Explorer が起動し、ファイル転送時 と同じ状態になった。しかしやはり、JS.Trojan.Freq.c ウイルスの活動は起こらなかった。 なお、ウイルスファイルを配布することのないよう、メールの転送には注意が必要となる。

3.5 JS.Wobble

JS.Wobble は、PC 上ではエンコードされた JScript / VBScript ファイルとして存在する が、これを実行すると拡張子WSC がついた XML ファイルを生成する。この XML ファイル は、自分自身をアドレス帳に登録されている電子メールアドレスにOutlook を使って送信し たり、共有されているネットワークドライブを介して増殖したりするようなスクリプトが含 ま れ て い る 。 こ こ で は 、 こ の WSC ファイルの拡張子を XML に変更したファイル "JS.Wobble.xml"を検体とし、携帯端末の Internet Explorer で開いたときの動作を調査する。

3.5.1 ファイル転送

Pocket PC --- ActiveSync で PC から Pocket PC 端末へファイル転送を行い、Internet Explorer で開い た画面を図15に示す。これはスクリプトのエラーメッセージであり、指示通りスクリプト 1 行目の"XML"を小文字に書き換えて再度開くと図 16のようになった。

この結果、XML ファイルの内容がそのまま表示されてしまい、スクリプトが実行される ことはなかった。もちろんOutlook が起動することもなく、JS.Wobble ウイルスの活動は起

こらなかった。

これは、Windows CE の Internet Explorer が XML に対応していないことが第 1 の理由 であろう。第2 に、このウイルスに使用されているスクリプト言語である VBScript がやは り対応していないことが挙げられる。他にも、このウイルスはScripting.FileSystemObject、 WScript.Network、Outlook.Application、WScript.Shell というオブジェクトを利用してお り、動作することはないのである。 また、拡張子を変える前のWSC ファイルや、元のエンコードされた JScript / VBScript ファイル(JSE / VBE ファイル)やそのエンコード前の JS / VBS ファイルであっても、同様の 理由により被害はない(3.6節参照)。 ただし、当然のことながら、検体ファイル内にはウイルススクリプトが残っており、他の PC へウイルスを渡してしまう恐れがあるため注意が必要である。 図15: Pocket PC 上の JS.Wobble(エラー表示)

図16: Pocket PC 上の JS.Wobble

Handheld PC --- 同様にHandheld PC 端末へファイル転送を行い、Internet Explorer で開くとエラーダイ アログが表示され(図 17)、スクリプト 1 行目の"XML"を小文字に書き換えて再度開くと図 18 のようにスクリプトそのものが表示された。

このXML スクリプトは実行されず、JS.Wobble ウイルスの活動は起こらなかった。 Handheld PC の Internet Explorer も XML や VBScript に対応しておらず、やはり Scripting.FileSystemObject、WScript.Network、Outlook.Application、WScript.Shell と いうオブジェクトの利用も不可能である。 また、拡張子を変える前のWSC ファイルや、JSE / VBE / JS / VBS ファイルであっても、 同様の理由により被害はない。 もちろん、ファイル内からウイルススクリプトが除去されているわけではなく、他の PC へウイルスを渡してしまう恐れがあるため注意が必要である。 図17: Handheld PC 上の JS.Wobble(エラー表示)

図18: Handheld PC 上の JS.Wobble

3.5.2 メールへの添付

次に、電子メールにウイルスファイルを添付した場合の実験を行う。 Pocket PC --- Pocket PC 端末でメールを受信し、これを開くと、添付したウイルスファイルも含まれて いた。この添付ファイルを開くとInternet Explorer が起動し、ファイル転送時と同じ状態 になった。やはり、JS.Wobble ウイルスの活動は起こらなかった。 また、拡張子を変える前のWSC ファイルや、JSE / VBE / JS / VBS ファイルでは、どれ も添付ファイルを開くことができないため被害はない。 なお、ウイルスファイルを配布することのないよう、メールの転送には注意が必要となる。 Handheld PC --- 同様にHandheld PC 端末でメールを受信し、これを開くと、添付したウイルスファイル も含まれていた。この添付ファイルを開くとInternet Explorer が起動し、ファイル転送時 と同じ状態になった。やはり、JS.Wobble ウイルスの活動は起こらなかった。 また、拡張子を変える前のWSC ファイルや、JSE / VBE / JS / VBS ファイルでは、どれ も添付ファイルを開くことができないため被害はない。 なお、ウイルスファイルを配布することのないよう、メールの転送には注意が必要となる。

3.6 Jscript.Optiz

Jscript.Optiz は HTML ファイルではなく、通常の JScript ファイルであり、PC 上でこの ウイルスを実行すると、カレントディレクトリ、Windows ディレクトリ、デスクトップ4_上 の拡張子が JS のファイルに自分自身をコピーする。ここでは、このウイルスに感染してい る"Jscript.Optiz.js"を検体とし、携帯端末上で開いたときの動作を調査する。

3.6.1 ファイル転送

Pocket PC --- ActiveSync で PC から Pocket PC 端末へファイル転送を行い、アイコンをダブルクリッ クして開こうとしたときの画面を図19に示す。 この表示はこの JS ファイルを開くためのアプリケーションソフトウェアがインストール されておらず、実行できなかったことを表している。Jscript.Optiz ウイルスの活動は起こら なかった。 PC では WSH がこのスクリプトを解釈し実行するのだが、Windows CE には WSH が存 在せず、JS ファイルだけでなく VBS / JSE / VBE / WSC ファイルをも実行することはでき ないのである。 ただし、当然のことながら、検体ファイルはウイルスそのものであり、他の PC へウイル スを渡してしまう恐れがあるため注意が必要である。 図19: Pocket PC 上の Jscript.Optiz Handheld PC --- 同様にHandheld PC 端末へファイル転送を行い、エクスプローラ上でダブルクリックし て開こうとした画面を図20に示す。 こちらも、Jscript.Optiz ウイルスの活動は起こらなかった。

4 _{Windows ディレクトリ上の Desktop ディレクトリ。英語版 Windows 用に作成されたも}

Handheld PC にも WSH は存在せず、JS ファイルや VBS / JSE / VBE / WSC ファイルを 実行することはできない。 もちろん、このファイルはウイルスであるため、他の PC へウイルスを渡してしまう恐れ があることに注意が必要である。 図20: Handheld PC 上の Jscript.Optiz

3.6.2 メールへの添付

次に、電子メールにウイルスファイルを添付した場合の実験を行う。 Pocket PC --- Pocket PC 端末でメールを受信し、これを開くと、添付したウイルスファイルも含まれて いた。しかしこの添付ファイルは開けず(図 21)、やはり Jscript.Optiz ウイルスの活動は起 こらなかった。 エクスプローラで開くことができないJS / VBS / JSE / VBE / WSC ファイルは、添付ファ イルとしても開けないのである。当然のことながら、添付ファイルを保存してもエクスプロ ーラ上では開くことはできない。 なお、ウイルスファイルを配布することのないよう、メールの転送には注意が必要となる。 図21: Pocket PC のメールに添付された Jscript.Optiz

Handheld PC --- 同様にHandheld PC 端末でメールを受信し、これを開くと、添付したウイルスファイル も含まれていた。しかしこの添付ファイルは開けず(図 22)、やはり Jscript.Optiz ウイルス の活動は起こらなかった。 エクスプローラで開くことができないJS / VBS / JSE / VBE / WSC ファイルは、添付ファ イルとしても開けないのである。当然のことながら、添付ファイルを保存してもエクスプロ ーラ上では開くことはできない。 なお、ウイルスファイルを配布することのないよう、メールの転送には注意が必要となる。 図22: Handheld PC のメールに添付された Jscript.Optiz

4 実験結果の考察

ここでは、以上の実験結果をまとめ、Windows CE 3.0 環境におけるスクリプトウイルス の動作に関する考察を行う。

4.1 携帯端末の Internet Explorer の機能について

Pocket PC 端末の Pocket Internet Explorer も、Handheld PC 2000 端末の Internet Explorer for Handheld PC も、HTML の<SCRIPT>エレメントに対応しているが、現状で は、対応スクリプト言語はJavaScript 1.1 および JScript に限られ、デスクトップ PC で利 用されている VBScript には対応していない。また、ActiveX オブジェクトにも対応してお らず、ウィンドウやドキュメントを操作するウィンドウオブジェクトとドキュメントオブジ ェクトをサポートしているのみであった。また、外部スクリプトにも対応していない。

スクリプトウイルスが感染活動や破壊活動を行うには、スクリプト言語がファイルへの書 き込みやメール送信機能などを持っている必要があるが、Windows CE の Internet Explorer にはそれらの機能は用意されていないため、スクリプトウイルスが動作することはあり得な い。 しかしながら、もしInternet Explorer がバージョンアップなどでファイルシステムを操 作可能になったり、ファイルシステムを操作できる ActiveX オブジェクトに対応した Windows CE アプリケーションが開発・販売されたりした場合は、Windows CE がスクリプ トウイルスに感染することは十分考えられる。もちろん、デスクトップPC での教訓が生か され、セキュリティホールのない状態で発表されればよいのだが、ActiveX などの高度に複 雑なシステムには何かと問題が残りやすい。ファイル操作やメール送信等の機能を実装する 際には、最低限、ユーザに危険を伴うスクリプトであることを警告し実行の確認を取るなど の配慮が必要だろう。

現在のWindows CE 端末では ROM や RAM の容量の問題によって ActiveX オブジェクト がサポートされることはなさそうだが、コンピュータの小型軽量化の行き着く先がデスクト ップPC の機能を携帯端末で実現することであるならば、この懸念が現実のものとなるのは そう遠い将来ではないかもしれない。

4.2 Pocket Outlook の機能について

Windows CE の Pocket Outlook はメールを読み書きできる「受信トレイ」や、「予定表」、 「仕事」、「メモ」、「連絡先」などのソフトウェアで構成されている。これらはデスクトップ PC の Outlook と似た機能を持っており、特に受信トレイはメールの添付ファイルを扱うこ とも可能となっている。 しかしながら、Windows CE ではスクリプトウイルス自体が動作しないため、添付ファイ ルがスクリプトウイルスであってもWindows CE 端末自身が感染する心配はない。 また、デスクトップPC のウイルスには Outlook を不正に利用しウイルスメールをばらま くものが存在するが、これはWindows CE のスクリプトでは不可能であり、やはり安全であ ると言える。 ただし、Windows CE ユーザがメールの添付ファイルをそのままデスクトップ PC や他の Windows CE ユーザに転送することは可能であり、知らずにウイルスの拡散を手助けするこ とにもなりかねないため、やはり不審な添付ファイルを受け取ったら削除することが最善の 策であろう。

4.3 WSH 機能について

WSH(Windows Script Host)はデスクトップ PC 用に提供されているスクリプトエンジン であり、JScript や VBScript などのスクリプト言語で書かれたスクリプトを解釈・実行する ソフトウェアである。これはデスクトップPC では Internet Explorer からも利用可能で、 HTML ファイル内のウイルススクリプトが ActiveX オブジェクトを用いてファイルの読み 書きやメール送信などを実現できるのはこれがあるためである。 現在のところ、Windows CE には WSH は存在せず、今後サポートされる予定もないよう である。しかし、前述の通り、WSH が将来 Windows CE に搭載されるようなことがあれば、 現在のデスクトップPC と同じ危険性を持つことになるだろう。現在の WSH にはスクリプ トにディジタル署名を付加したり検証する機能はなく、また、Internet Explorer や Microsoft Office のように危険なスクリプトの実行に対し警告する機能もない。Windows CE 版の WSH を開発する以前に、まずWSH 自身の安全性を高める改善が必要であろう。

5 まとめ

携帯端末の普及により、Windows CE 端末の Internet Explorer でインターネットを利用 する機会が増加している。これにより、Windows CE ユーザが Windows 98 / Me 等で動作 するスクリプトウイルスに遭遇する場合も増えてくると考えられる。

本報告書では、JavaScript および JScript に対応した最新の Windows CE 3.0 を搭載して いる携帯端末(Pocket PC 端末および Handheld PC 2000 端末)におけるスクリプトウイルス (JS.Internal.f、JS.Lame、JS.NastyKiller、JS.Trojan.Freq.c、JS.Wobble、Jscript.Optiz) の動作を確認するため、下記の実験を行った。

• ウイルスファイルをPocket PC 端末に転送し、Pocket Internet Explorer で開く

• ウイルスファイルを添付したメールをPocket PC 端末で受信し、添付ファイルを開く

• ウイルスファイルを Handheld PC 2000 端末に転送し、Internet Explorer for Handheld PC で開く • ウイルスファイルを添付したメールをHandheld PC 2000 端末で受信し、添付ファイ ルを開く この結果、基本的なスクリプトは動作するものの、 1) ファイル操作に関する機能が提供されていないため、他のファイルに書き込むような 感染処理部分は一切動作しない 2) 他のプログラムを起動してその機能を操作することもできないため、自分自身をメー ルに添付して送信するような拡散活動も実行できない ということがわかった。したがって、現状ではスクリプトウイルスがWindows CE 端末自体 に危険を及ぼすことはない。 しかしながら、ウイルスファイルをそのまま別の電子メールユーザに転送してしまう恐れ があるため、添付ファイルの取り扱いにはデスクトップPC ユーザと同じくらい注意する必 要があるだろう。 また、今後、WSH もしくはそれと同等のスクリプト機能を持ったアプリケーションが出 現した場合は、その危険性はWindows 98 / Me 等と何ら変わらなくなるため、Windows CE の今後の動向に注目していなければならないだろう。