平成14年3月情報処理振興事業協会セキュリティセンター - ipa3.1 js.internal.f...

Copyright 2002 Information-technology Promotion Agency, Japan. All rights reserved

Windows CE 3.0 端末のスクリプトウイルスの

危険性に関する調査・検討報告書

平成 14 年 3 月

情報処理振興事業協会

セキュリティセンター


i

目次

1 はじめに ......................................................................................................................1

2 背景と目的 ...................................................................................................................3

3 Windows CE 3.0 での感染実験....................................................................................4

3.1 JS.Internal.f ............................................................................................................6

3.1.1 ファイル転送.........................................................................................................6

3.1.2 メールへの添付 .....................................................................................................7

3.2 JS.Lame...................................................................................................................9

3.2.1 ファイル転送.........................................................................................................9

3.2.2 メールへの添付 ...................................................................................................10

3.3 JS.NastyKiller.......................................................................................................11

3.3.1 ファイル転送.......................................................................................................11

3.3.2 メールへの添付 ...................................................................................................12

3.4 JS.Trojan.Freq.c ....................................................................................................13

3.4.1 ファイル転送.......................................................................................................13

3.4.2 メールへの添付 ...................................................................................................14

3.5 JS.Wobble ..............................................................................................................15

3.5.1 ファイル転送.......................................................................................................15

3.5.2 メールへの添付 ...................................................................................................17

3.6 Jscript.Optiz ..........................................................................................................18

3.6.1 ファイル転送.......................................................................................................18

3.6.2 メールへの添付 ...................................................................................................19

4 実験結果の考察..........................................................................................................21

4.1 携帯端末の Internet Explorer の機能について ......................................................22

4.2 Pocket Outlook の機能について.............................................................................23

4.3 WSH 機能について.................................................................................................24

5 まとめ ........................................................................................................................25


1

1 はじめに

先般、携帯コンピュータ用の OS として Microsoft Windows CE Version 3.0 が発表され、

これを搭載する Pocket PC 端末や Handheld PC 2000 端末が発売された。これらに搭載され

ている Web ブラウザの Microsoft Pocket Internet Explorer / Microsoft Internet Explorer

for Handheld PCは JavaScript および JScript に対応しており、既存の JavaScript / JScript

ウイルスが動作する恐れがある。

本報告書は、これらの OS を搭載する代表的な携帯端末上において、現在パーソナルコン

ピュータ用の OS である Microsoft Windows 98 / Me 等で問題となっている代表的なスクリ

プトウイルスの動作実験を行い、Windows CE Version 3.0 環境におけるスクリプトウイル

スの危険性を検証し、その結果を報告するものである。

実験対象とするスクリプトウイルスは JavaScript / JScript で書かれた以下の 6 種類であ

る。

• JS.Internal.f

• JS.Lame

• JS.NastyKiller

• JS.Trojan.Freq.c

• JS.Wobble (Jscript.NoWobbler)

• Jscript.Optiz

実験に用いたWindows CE Version 3.0端末は現在入手可能な以下の2種類とした。なお、

バージョンが同じであれば OS のカーネルも同じであるため、他メーカの端末でも実験結果

は等しくなると考えられる。

本報告書では Pocket PC 端末と Handheld PC 2000 端末の 2 種類について実験結果をま

とめている。

• Pocket PC 端末 : CASIO 社製 CASSIOPEIA

E-750、Microsoft Windows CE Version 3.0.9348

(Build 9503)


2

• Handheld PC 2000 端末: Hewlett Packard 社製 hp jornada 720、Microsoft Windows

for Handheld PC 2000: Microsoft Windows CE Version 3.0 (Build 9595-126)

なお、実験対象のスクリプトウイルスが本来どのような動作を行うかは、Windows Me を

搭載するDOS/V互換デスクトップ端末のMicrosoft Internet Explorer Version 6.0の環境で

解析・実験して得ることとし、これを比較検討対象としている。


3

2 背景と目的

コンピュータウイルス(以下ウイルスと呼ぶ)とは、自分自身のコピーを他のプログラムに

追加(感染)することで自己増殖するプログラムである。ウイルスは、その感染プログラムの

移動によってあるマシンから他のマシンへと拡散していき、また、ある条件であらかじめ決

められている動作を起こし(発病)、システムに深刻な被害をもたらすことがある。近年、携

帯端末機器でインターネットや電子メールを利用する機会が増え、携帯端末機器でもコンピ

ュータウイルスに遭遇するケースが増えている。

Windows 98 / Me 等では、Internet Explorer 上で動作するスクリプトウイルスの存在が

確認されており、スクリプトを扱うことのできる最新の Windows CE 3.0 端末でもこれらの

ウイルスの感染が懸念される。携帯端末の普及がめざましい現在において、その安全性を調

査することは今後の不正プログラム対策において重要である。

本調査は、携帯端末機器として現在入手可能な最新の Windows CE 3.0 端末を取り上げ、

スクリプトウイルスの動作確認やその被害が及ぶ範囲を明らかにするものであり、その結果

を、Windows CE 3.0 に関連したウイルス対策を構築するための基礎資料とすることを目的

としている。


4

3 Windows CE 3.0 での感染実験

実験に用いた Windows CE端末は CASIO 社製のCASSIOPEIA と Hewlett Packard社製

の jornada であり、その OS である Windows CE のバージョンはどれも 3.0 である。ただし、

CASSIOPEIA は Pocket PC であり、Internet Explorer の簡易版である Pocket Internet

Explorer を搭載している。また、jornada は Handheld PC 2000 であり、Internet Explorer

for Handheld PC を搭載しており、どちらも JavaScript と JScript に対応している。

実験を行うスクリプトウイルスは JavaScript / JScript で書かれた JS.Internal.f、

JS.Lame、JS.NastyKiller、JS.Trojan.Freq.c、JS.Wobble、Jscript.Optiz の 6 種類とする。

なお、JS.Wobble は XML ファイル、Jscript.Optiz は JS ファイル、それ以外は HTML ファ

イルの状態のものを用いた。

パーソナルコンピュータ(PC)と携帯端末とでファイルを転送するために、PC 側に

HotSync Version 3.5 をインストールし、両者を USB ケーブルで接続して通信を行った。ま

た、電子メールの取り扱いには Microsoft Outlook 2000 を用いた。Outlook は Microsoft 社

製のメールアプリケーションソフトウェアであり、携帯端末の Windows CE に付属する

Pocket Outlook の受信トレイと高い互換性がある。

以上により、Windows CE 3.0 端末上で動作する Internet Explorer および受信トレイ上で

上記ウイルスの動作実験を行う。


5

実験手順

1. PC に Microsoft ActiveSync 3.5 をインストールする。また、Windows CE 3.0 端末の

ルートディレクトリに実験用フォルダ(¥IPA¥VIRUSES)を作成する。

2. PC と Windows CE 3.0 端末を USB ケーブルで接続し、ActiveSync にてスクリプト

ウイルスファイルを Windows CE 3.0 端末に転送する(図 1, 図 2)。

3. Windows CE 3.0 端末側で Internet Explorer を起動し、受信したファイルを開いてそ

の挙動を確認する。

4. 次に、Outlook 上でスクリプトウイルスファイルを添付したメールを作成し、Windows

CE 3.0 端末に転送する。

5. Windows CE 3.0 端末側で受信トレイを起動し、受信したメールを開いてその挙動を

確認する。

図1: CASSIOPEIA に転送したウイルスファイル

図2: jornada に転送したウイルスファイル


6

3.1 JS.Internal.f JS.Internal.f は、パーソナルコンピュータ(以下 PC と表記する)上では、ローカルに保存

してある感染ファイルを Internet Explorer で開いた場合に、25%の確率でそのファイルの

あるディレクトリとその親ディレクトリ内の HTML ファイルに感染するスクリプトウイル

スである。ここでは、このウイルスに感染している"JS.Internal.f.htm"を検体とし、携帯端

末の Internet Explorer で開いたときの動作を調査する。

3.1.1 ファイル転送 Pocket PC -----------------------------------------------------------------------------------------------------------

ActiveSync で PC から Pocket PC 端末へファイル転送を行い、Internet Explorer で開い

た画面を図 3に示す。

この表示は HTML で書かれているもので、この画面からはスクリプトの動作が確認でき

ないが、他の HTML ファイルを調べたところ、サイズ・内容共に変化がなく、JS.Internal.f

ウイルスの活動は起こらなかった。

これは、このウイルスが使用している WScript.Shell や Scripting.FileSystemObject とい

う WSH(Windows Script Host) ActiveX オブジェクトがデスクトップ PC 用のオブジェクト

であり、Windows CE には搭載されていないためである。これらの ActiveX オブジェクトを

利用するスクリプトウイルスは Pocket PC では何の被害ももたらさない。

ただし、当然のことながら、検体ファイル内にはウイルススクリプトが残っており、他の

PC へウイルスを渡してしまう恐れがあるため注意が必要である。

図3: Pocket PC 上の JS.Internal.f

Handheld PC -------------------------------------------------------------------------------------------------------

同様に Handheld PC 端末へファイル転送を行い、Internet Explorer で開いた画面を図 4

に示す。

こちらも、他の HTML ファイルのサイズ・内容共に変化がなく、JS.Internal.f ウイルス

の活動は起こらなかった。

Handheld PC は Pocket PC と比較してよりデスクトップ PC に近い存在ではあるが、や

はり ActiveX オブジェクトをサポートしておらず、これらの ActiveX オブジェクトを利用す

るスクリプトウイルスは Handheld PC では何の被害ももたらさない。


7

もちろん、ファイル内からウイルススクリプトが除去されているわけではなく、他の PC

へウイルスを渡してしまう恐れがあるため注意が必要である。

図4: Handheld PC 上の JS.Internal.f

3.1.2 メールへの添付次に、電子メールにウイルスファイルを添付した場合の実験を行う。

Pocket PC -----------------------------------------------------------------------------------------------------------

Pocket PC 端末でメールを受信(図 5)し、これを開くと、添付したウイルスファイル(図 6)

も含まれていた1。この添付ファイルを開くと Internet Explorer が起動し、図 3と同じ状態

になった。しかしやはり、JS.Internal.f ウイルスの活動は起こらなかった。

なお、ウイルスファイルを配布することのないよう、メールの転送には注意が必要となる。

図5: Pocket PC でのメール受信

図6: Pocket PC のメールに添付された JS.Internal.f

1 送受信に添付ファイルを含めるよう ActiveSync 側で設定した場合。初期設定では、携帯

端末側の受信トレイで「全文をサーバからコピー」を実行しないと添付ファイルは受信されない。


8

Handheld PC -------------------------------------------------------------------------------------------------------

同様に Handheld PC 端末でメールを受信(図 7)し、これを開くと、添付したウイルスファ

イル(図 8)も含まれていた2。この添付ファイルを開くと Internet Explorer が起動し、図 4

と同じ状態になった。しかしやはり、JS.Internal.f ウイルスの活動は起こらなかった。


図7: Handheld PC でのメール受信

図8: Handheld PC のメールに添付された JS.Internal.f

2 送受信に添付ファイルを含めるよう ActiveSync 側で設定した場合。Pocket PC 端末と同

じく、デフォルトでは添付ファイルは含まれない。


9

3.2 JS.Lame JS.Lame は、PC 上では、ローカルに保存してある感染ファイルを Internet Explorer で

開いた場合に Windows ディレクトリ内の Web, Help, Web¥Wallpaper ディレクトリおよび

テンポラリディレクトリ内のHTMLファイルやJSファイルに感染するスクリプトウイルス

である。ここでは、このウイルスに感染している"JS.Lame.htm"を検体とし、携帯端末の

Internet Explorer で開いたときの動作を調査する。

3.2.1 ファイル転送 Pocket PC -----------------------------------------------------------------------------------------------------------



この表示は HTML で書かれているもので、「Internet Explorer でローカルの HTML ファ

イルを開いた状態でこのメッセージを読んでいるならあなたは感染している」とあるが、実

際には感染対象ファイルのサイズ・内容共に変化がなく、JS.Lame ウイルスの活動は起こら

なかった。

これは、このウイルスが使用している Scripting.FileSystemObject が Windows CE には

搭載されていないためである。

なお、他の PC へウイルスを渡してしまわないよう注意が必要である。

図9: Pocket PC 上の JS.Lame

Handheld PC -------------------------------------------------------------------------------------------------------


に示す。

こちらも、対象 HTML / JS ファイルのサイズ・内容共に変化がなく、JS.Lame ウイルス


Handheld PC も ActiveX オブジェクトをサポートしていないためである。

もちろん、他の PC へウイルスを渡してしまわないよう注意が必要である。


10

図10: Handheld PC 上の JS.Lame


Pocket PC -----------------------------------------------------------------------------------------------------------

Pocket PC 端末でメールを受信し、これを開くと、添付したウイルスファイルも含まれて

いた。この添付ファイルを開くと Internet Explorer が起動し、ファイル転送時と同じ状態

になった。しかしやはり、JS.Lame ウイルスの活動は起こらなかった。


Handheld PC -------------------------------------------------------------------------------------------------------

同様に Handheld PC 端末でメールを受信し、これを開くと、添付したウイルスファイル

も含まれていた。この添付ファイルを開くと Internet Explorer が起動し、ファイル転送時

と同じ状態になった。しかしやはり、JS.Lame ウイルスの活動は起こらなかった。



11

3.3 JS.NastyKiller JS.NastyKiller を PC 上の Internet Explorer で開くと、Windows ディレクトリ上の

System.ini, Win.ini, Rundll32.exe, Rundll.exe, Command.com, Regedit.exe,

Regsvr32.exe、そしてルートディレクトリの Command.com ファイルを破壊する。ここで

は、このウイルス"JS.NastyKiller.htm"を検体とし、携帯端末の Internet Explorer で開いた

ときの動作を調査する。

3.3.1 ファイル転送 Pocket PC -----------------------------------------------------------------------------------------------------------



この表示は JavaScript で書かれているもので、まるでスクリプトウイルスが動作している

ように見えるが、実際には標的の各ファイルは変化がなく、JS.NastyKiller ウイルスの活動

は起こらなかった。

これは、このウイルスが使用している Scriptlet.TypeLib というスクリプトコンポーネン

トオブジェクトが Windows CE には搭載されていないためである。



図11: Pocket PC 上の JS.NastyKiller

Handheld PC -------------------------------------------------------------------------------------------------------


に示す。

こちらも、標的ファイルのサイズ・内容共に変化がなく、JS.NastyKiller ウイルスの活動

は起こらなかった。

やはり Handheld PC もスクリプトコンポーネントオブジェクトをサポートしていないた

めである。



12


図12: Handheld PC 上の JS.NastyKiller


Pocket PC -----------------------------------------------------------------------------------------------------------



になった。しかしやはり、JS.NastyKiller ウイルスの活動は起こらなかった。


Handheld PC -------------------------------------------------------------------------------------------------------



と同じ状態になった。しかしやはり、JS.NastyKiller ウイルスの活動は起こらなかった。



13

3.4 JS.Trojan.Freq.c JS.Trojan.Freq.c を PC 上の Internet Explorer で開くと、ある FTP サーバからトロイの

木馬本体Trojan.exeをダウンロードし実行するスクリプトファイルStartme.htaを生成しよ

うとする。このファイルは、次回の Windows 起動時に実行されるように Windows のスター

トメニューの Programme¥Autostart3内に生成される。ここでは、このウイルスに感染して

いる"JS.Trojan.Freq.c.htm"を検体とし、携帯端末の Internet Explorer で開いたときの動作

を調査する。

3.4.1 ファイル転送 Pocket PC -----------------------------------------------------------------------------------------------------------



何も表示されないのは HTML 本文に空白しかないためであり、この画面からはスクリプ

トの動作が確認できないが、Startme.hta はどこにも生成されず、JS.Trojan.Freq.c ウイル

スの活動は起こらなかった。

これは、このウイルスが使用している Scriptlet.TypeLib が Windows CE には搭載されて

いないためである。なお、たとえ Startme.hta が生成されたとしてもそれを実行することは

できず、やはり動作しない。



図13: Pocket PC 上の JS.Trojan.Freq.c

3 このパス名からこれが海外版 Windows 用に作られたものであることがわかる。


14

Handheld PC -------------------------------------------------------------------------------------------------------


に示す。

こちらも、Startme.hta が生成されることはなく、JS.Trojan.Freq.c ウイルスの活動は起

こらなかった。なお、たとえ Startme.hta が生成されたとしてもそれを実行することはでき

ず、やはり動作しない。



図14: Handheld PC 上の JS.Trojan.Freq.c


Pocket PC -----------------------------------------------------------------------------------------------------------



になった。しかしやはり、JS.Trojan.Freq.c ウイルスの活動は起こらなかった。


Handheld PC -------------------------------------------------------------------------------------------------------



と同じ状態になった。しかしやはり、JS.Trojan.Freq.c ウイルスの活動は起こらなかった。



15

3.5 JS.Wobble JS.Wobble は、PC 上ではエンコードされた JScript / VBScript ファイルとして存在する

が、これを実行すると拡張子 WSC がついた XML ファイルを生成する。この XML ファイル

は、自分自身をアドレス帳に登録されている電子メールアドレスに Outlook を使って送信し

たり、共有されているネットワークドライブを介して増殖したりするようなスクリプトが含

まれている。ここでは、この WSC ファイルの拡張子を XML に変更したファイル

"JS.Wobble.xml"を検体とし、携帯端末の Internet Explorer で開いたときの動作を調査する。

3.5.1 ファイル転送 Pocket PC -----------------------------------------------------------------------------------------------------------


た画面を図 15に示す。これはスクリプトのエラーメッセージであり、指示通りスクリプト 1

行目の"XML"を小文字に書き換えて再度開くと図 16のようになった。

この結果、XML ファイルの内容がそのまま表示されてしまい、スクリプトが実行される

ことはなかった。もちろん Outlook が起動することもなく、JS.Wobble ウイルスの活動は起

こらなかった。

これは、Windows CE の Internet Explorer が XML に対応していないことが第 1 の理由

であろう。第 2 に、このウイルスに使用されているスクリプト言語である VBScript がやは

り対応していないことが挙げられる。他にも、このウイルスは Scripting.FileSystemObject、

WScript.Network、Outlook.Application、WScript.Shell というオブジェクトを利用してお

り、動作することはないのである。

また、拡張子を変える前の WSC ファイルや、元のエンコードされた JScript / VBScript

ファイル(JSE / VBE ファイル)やそのエンコード前の JS / VBS ファイルであっても、同様の

理由により被害はない(3.6節参照)。



図15: Pocket PC 上の JS.Wobble(エラー表示)


16

図16: Pocket PC 上の JS.Wobble

Handheld PC -------------------------------------------------------------------------------------------------------

同様に Handheld PC 端末へファイル転送を行い、Internet Explorer で開くとエラーダイ

アログが表示され(図 17)、スクリプト 1 行目の"XML"を小文字に書き換えて再度開くと図 18

のようにスクリプトそのものが表示された。

この XML スクリプトは実行されず、JS.Wobble ウイルスの活動は起こらなかった。

Handheld PC の Internet Explorer も XML や VBScript に対応しておらず、やはり

Scripting.FileSystemObject、WScript.Network、Outlook.Application、WScript.Shell と

いうオブジェクトの利用も不可能である。

また、拡張子を変える前の WSC ファイルや、JSE / VBE / JS / VBS ファイルであっても、

同様の理由により被害はない。



図17: Handheld PC 上の JS.Wobble(エラー表示)


17

図18: Handheld PC 上の JS.Wobble


Pocket PC -----------------------------------------------------------------------------------------------------------



になった。やはり、JS.Wobble ウイルスの活動は起こらなかった。

また、拡張子を変える前の WSC ファイルや、JSE / VBE / JS / VBS ファイルでは、どれ

も添付ファイルを開くことができないため被害はない。


Handheld PC -------------------------------------------------------------------------------------------------------



と同じ状態になった。やはり、JS.Wobble ウイルスの活動は起こらなかった。

また、拡張子を変える前の WSC ファイルや、JSE / VBE / JS / VBS ファイルでは、どれ

も添付ファイルを開くことができないため被害はない。



18

3.6 Jscript.Optiz Jscript.Optiz は HTML ファイルではなく、通常の JScript ファイルであり、PC 上でこの

ウイルスを実行すると、カレントディレクトリ、Windows ディレクトリ、デスクトップ4上

の拡張子が JS のファイルに自分自身をコピーする。ここでは、このウイルスに感染してい

る"Jscript.Optiz.js"を検体とし、携帯端末上で開いたときの動作を調査する。

3.6.1 ファイル転送 Pocket PC -----------------------------------------------------------------------------------------------------------

ActiveSync で PC から Pocket PC 端末へファイル転送を行い、アイコンをダブルクリッ

クして開こうとしたときの画面を図 19に示す。

この表示はこの JS ファイルを開くためのアプリケーションソフトウェアがインストール

されておらず、実行できなかったことを表している。Jscript.Optiz ウイルスの活動は起こら

なかった。

PC では WSH がこのスクリプトを解釈し実行するのだが、Windows CE には WSH が存

在せず、JS ファイルだけでなく VBS / JSE / VBE / WSC ファイルをも実行することはでき

ないのである。

ただし、当然のことながら、検体ファイルはウイルスそのものであり、他の PC へウイル

スを渡してしまう恐れがあるため注意が必要である。

図19: Pocket PC 上の Jscript.Optiz

Handheld PC -------------------------------------------------------------------------------------------------------

同様に Handheld PC 端末へファイル転送を行い、エクスプローラ上でダブルクリックし

て開こうとした画面を図 20に示す。

こちらも、Jscript.Optiz ウイルスの活動は起こらなかった。

4 Windows ディレクトリ上の Desktop ディレクトリ。英語版 Windows 用に作成されたも

のであろう。


19

Handheld PC にも WSH は存在せず、JS ファイルや VBS / JSE / VBE / WSC ファイルを

実行することはできない。

もちろん、このファイルはウイルスであるため、他の PC へウイルスを渡してしまう恐れ

があることに注意が必要である。

図20: Handheld PC 上の Jscript.Optiz


Pocket PC -----------------------------------------------------------------------------------------------------------


いた。しかしこの添付ファイルは開けず(図 21)、やはり Jscript.Optiz ウイルスの活動は起

こらなかった。

エクスプローラで開くことができない JS / VBS / JSE / VBE / WSC ファイルは、添付ファ

イルとしても開けないのである。当然のことながら、添付ファイルを保存してもエクスプロ

ーラ上では開くことはできない。


図21: Pocket PC のメールに添付された Jscript.Optiz


20

Handheld PC -------------------------------------------------------------------------------------------------------


も含まれていた。しかしこの添付ファイルは開けず(図 22)、やはり Jscript.Optiz ウイルス


エクスプローラで開くことができない JS / VBS / JSE / VBE / WSC ファイルは、添付ファ

イルとしても開けないのである。当然のことながら、添付ファイルを保存してもエクスプロ

ーラ上では開くことはできない。


図22: Handheld PC のメールに添付された Jscript.Optiz


21

4 実験結果の考察

ここでは、以上の実験結果をまとめ、Windows CE 3.0 環境におけるスクリプトウイルス

の動作に関する考察を行う。


22

4.1 携帯端末の Internet Explorer の機能について

Pocket PC 端末の Pocket Internet Explorer も、Handheld PC 2000 端末の Internet

Explorer for Handheld PC も、HTML のエレメントに対応しているが、現状で

は、対応スクリプト言語は JavaScript 1.1 および JScript に限られ、デスクトップ PC で利

用されている VBScript には対応していない。また、ActiveX オブジェクトにも対応してお

らず、ウィンドウやドキュメントを操作するウィンドウオブジェクトとドキュメントオブジ

ェクトをサポートしているのみであった。また、外部スクリプトにも対応していない。

スクリプトウイルスが感染活動や破壊活動を行うには、スクリプト言語がファイルへの書

き込みやメール送信機能などを持っている必要があるが、Windows CE の Internet Explorer

にはそれらの機能は用意されていないため、スクリプトウイルスが動作することはあり得な

い。

しかしながら、もし Internet Explorer がバージョンアップなどでファイルシステムを操

作可能になったり、ファイルシステムを操作できる ActiveX オブジェクトに対応した

Windows CE アプリケーションが開発・販売されたりした場合は、Windows CE がスクリプ

トウイルスに感染することは十分考えられる。もちろん、デスクトップ PC での教訓が生か

され、セキュリティホールのない状態で発表されればよいのだが、ActiveX などの高度に複

雑なシステムには何かと問題が残りやすい。ファイル操作やメール送信等の機能を実装する

際には、最低限、ユーザに危険を伴うスクリプトであることを警告し実行の確認を取るなど

の配慮が必要だろう。

現在の Windows CE端末では ROM や RAMの容量の問題によって ActiveXオブジェクト

がサポートされることはなさそうだが、コンピュータの小型軽量化の行き着く先がデスクト

ップ PC の機能を携帯端末で実現することであるならば、この懸念が現実のものとなるのは

そう遠い将来ではないかもしれない。


23

4.2 Pocket Outlook の機能について

Windows CE の Pocket Outlook はメールを読み書きできる「受信トレイ」や、「予定表」、

「仕事」、「メモ」、「連絡先」などのソフトウェアで構成されている。これらはデスクトップ

PC の Outlook と似た機能を持っており、特に受信トレイはメールの添付ファイルを扱うこ

とも可能となっている。

しかしながら、Windows CE ではスクリプトウイルス自体が動作しないため、添付ファイ

ルがスクリプトウイルスであっても Windows CE 端末自身が感染する心配はない。

また、デスクトップ PC のウイルスには Outlook を不正に利用しウイルスメールをばらま

くものが存在するが、これは Windows CE のスクリプトでは不可能であり、やはり安全であ

ると言える。

ただし、Windows CE ユーザがメールの添付ファイルをそのままデスクトップ PC や他の

Windows CE ユーザに転送することは可能であり、知らずにウイルスの拡散を手助けするこ

とにもなりかねないため、やはり不審な添付ファイルを受け取ったら削除することが最善の

策であろう。


24

4.3 WSH 機能について

WSH(Windows Script Host)はデスクトップ PC 用に提供されているスクリプトエンジン

であり、JScript や VBScript などのスクリプト言語で書かれたスクリプトを解釈・実行する

ソフトウェアである。これはデスクトップ PC では Internet Explorer からも利用可能で、

HTML ファイル内のウイルススクリプトが ActiveX オブジェクトを用いてファイルの読み

書きやメール送信などを実現できるのはこれがあるためである。

現在のところ、Windows CE には WSH は存在せず、今後サポートされる予定もないよう

である。しかし、前述の通り、WSH が将来 Windows CE に搭載されるようなことがあれば、

現在のデスクトップ PC と同じ危険性を持つことになるだろう。現在の WSH にはスクリプ

トにディジタル署名を付加したり検証する機能はなく、また、Internet Explorer や Microsoft

Officeのように危険なスクリプトの実行に対し警告する機能もない。Windows CE版のWSH

を開発する以前に、まず WSH 自身の安全性を高める改善が必要であろう。


25

5 まとめ

携帯端末の普及により、Windows CE 端末の Internet Explorer でインターネットを利用

する機会が増加している。これにより、Windows CE ユーザが Windows 98 / Me 等で動作

するスクリプトウイルスに遭遇する場合も増えてくると考えられる。

本報告書では、JavaScript および JScript に対応した最新の Windows CE 3.0 を搭載して

いる携帯端末(Pocket PC 端末および Handheld PC 2000 端末)におけるスクリプトウイルス

(JS.Internal.f、JS.Lame、JS.NastyKiller、JS.Trojan.Freq.c、JS.Wobble、Jscript.Optiz)

の動作を確認するため、下記の実験を行った。

• ウイルスファイルを Pocket PC 端末に転送し、Pocket Internet Explorer で開く

• ウイルスファイルを添付したメールを Pocket PC 端末で受信し、添付ファイルを開く

• ウイルスファイルを Handheld PC 2000 端末に転送し、Internet Explorer for

Handheld PC で開く

• ウイルスファイルを添付したメールを Handheld PC 2000 端末で受信し、添付ファイ

ルを開く

この結果、基本的なスクリプトは動作するものの、

1) ファイル操作に関する機能が提供されていないため、他のファイルに書き込むような

感染処理部分は一切動作しない

2) 他のプログラムを起動してその機能を操作することもできないため、自分自身をメー

ルに添付して送信するような拡散活動も実行できない

ということがわかった。したがって、現状ではスクリプトウイルスが Windows CE 端末自体

に危険を及ぼすことはない。

しかしながら、ウイルスファイルをそのまま別の電子メールユーザに転送してしまう恐れ

があるため、添付ファイルの取り扱いにはデスクトップ PC ユーザと同じくらい注意する必

要があるだろう。

また、今後、WSH もしくはそれと同等のスクリプト機能を持ったアプリケーションが出

現した場合は、その危険性は Windows 98 / Me 等と何ら変わらなくなるため、Windows CE

の今後の動向に注目していなければならないだろう。

平成14年3月 情報処理振興事業協会 セキュリティセンター - ipa3.1 js.internal.f...

Documents

平成14年3月情報処理振興事業協会セキュリティセンター - ipa3.1 js.internal.f...