2000年1月14日
情報処理振興事業協会
コンピュータウイルス被害の届出状況について
1.はじめに
(1)1999年12月ウイルス被害届出状況
情報処理振興事業協会(略称IPA・石井賢吾理事長)は、'99年12月のコンピュータ ウイルス被害の届出状況をまとめた。
(2)今月の特記事項
(a)1999年被害届出状況について!!
'99年一年間の被害届出件数は、3,645件とIPAが '90年4月に被害届出を受理するようになってから、最大の届出件数となった。(過去最大の届出件数は、 '97年の2,391件)
'99年一年間の状況を'98年のデータと併記して参考資料「1999年ウイルス被害届出状況」に記述したので参照されたい。(b)2000年ウイルスについて!!
年末に、海外で2000年ウイルスの新種が数種発見されたが、マクロウイルスを除いて、いずれもウイルスの感染能力がまったくなく、被害はほとんど出ていない。なお、国内ではこれら新種のウイルスは発生していない。
参考:年末ぎりぎりに発見され報道された新種ウイルス(Y2K便乗ウイルス)について
年末年始に、2000年ウイルスが大量に発生し、大混乱になるとの懸念が噂されたが、上述の新種ウイルスが発見された程度で、大きな被害はなかった。しかしながら、今後も引き続き適切なウイルス対策を継続していくことが必要である。
なお、IPAへの届出では、2000年ウイルスに該当するものとして、W32/Fix2001の届出があった。(c)VBS/Freelinkについて!!
VBS(VisualBasicScript)の記述言語を用いたウイルスで、VBS/Freelinkの届出があった。国内ではまだ大きな被害は出ていないが、海外ではVBSタイプのウイルスは数多く発見されており、国内に上陸することも十分考えられるので、注意されたい。
ウイルス定義ファイルの更新をするとともに、ワクチンソフトの検査対象に、拡張子がVBSのファイルも追加されたい。
ウイルス被害届出制度について
コンピュータウイルスの届出制度は、通商産業省のコンピュータウイルス対策基準に基づき、'90年4月にスタートした制度であって、コンピュータウイルスを発見したものは被害の拡大と再発を防ぐために必要な情報をIPAに届け出ることとされている。
IPAでは、個別に届出者への対応を行っているが、同時に受理した被害届出等を基に、コンピュータウイルス対策を検討している。また受理した届出は、届出者のプライバシー を侵害することがないように配慮した上で、被害状況の調査及び検討結果を定期的に公表している。
○コンピュータウイルス対策基準
・通商産業省告示第139号 平成2年4月10日制定
・通商産業省告示第429号 平成7年7月 7日改訂
・通商産業省告示第535号 平成9年9月24日改訂
2.届出の概要
(1)今までの届出状況
届出件数は、'90年4月通商産業省が告示した「コンピュータウイルス対策基準」に基づいて、IPAが被害の届出機関に指定されてから受理した届出の件数である。今までの届出件数は11,842件となる。次に示すグラフは、
'97年1月から'99年12月までの被害届出件数の月別推移を表したものである。
注記)'90年(4月〜12月)、'91年、'92年、'93年、'94年、'95年、'96年の届出件数はそれぞれ 14件、57件、253件、897件、1127件、668件、755件である。
(2)'99年12月の届出状況
12月のコンピュータウイルスの被害届出は238件であった。
12月の被害届出の詳細は次の通りである。
(a)12月、届出のあったウイルスは28種類であった。届出件数の多いウイルスは、XM/Larouxが51件となっている。初めて届けられたウイルスは、W97M/Story、W97M/Astia、W97M/Locale、W97M/Bogor、W32/Fix2001、VBS/Freelink(*印)の6種類である。(マクロウイルス127件、従来型112件。1件で複数のウイルス感染届出があるため、合計は、届出件数の238件に合致しない。)
項番 |
ウ イ ル ス 名 |
届出件数 |
感 染 し た 機 種 | |||
'99/12 |
IBM機 互換機 |
NEC98機 互換機 |
MAC機 | FDのみ | ||
| 1 | XM/Laroux | 51 | ● | ● | − | ● |
| 2 | W97M/Class | 14 | ● | ● | − | ● |
| 3 | W97M/Marker | 14 | ● | − | − | ● |
| 4 | W97M/Ethan | 9 | ● | − | − | ● |
| 5 | WM/Cap | 9 | ● | − | ● | ● |
| *6 | W97M/Story | 7 | − | − | − | ● |
| 7 | W97M/X97M/P97M/Tristate | 7 | ● | − | − | ● |
| 8 | W97M/Melissa | 4 | ● | − | − | ● |
| *9 | W97M/Astia | 3 | − | − | − | ● |
| *10 | W97M/Locale | 3 | − | − | − | ● |
| *11 | W97M/Bogor | 1 | − | − | − | ● |
| 12 | W97M/Chack | 1 | − | − | − | ● |
| 13 | W97M/ColdApe | 1 | ● | − | − | − |
| 14 | W97M/Opey | 1 | − | − | − | ● |
| 15 | W97M/Protected | 1 | − | − | − | ● |
| 16 | XM/VCX.A | 1 | ● | − | − | − |
| 17 | W32/Ska | 41 | ● | ● | − | ● |
| 18 | W32/PrettyPark | 33 | ● | ● | − | ● |
| 19 | W32/CIH | 16 | ● | ● | − | ● |
| 20 | W32/ExploreZip | 7 | ● | − | − | ● |
| *21 | W32/Fix2001 | 5 | − | − | − | ● |
| *22 | VBS/Freelink | 3 | ● | − | − | ● |
| 23 | アンチシーモス | 2 | ● | − | − | − |
| 24 | カスケード | 1 | − | ● | − | − |
| 25 | フォーム | 1 | ● | − | − | − |
| 26 | モンキー | 1 | − | − | − | ● |
| 27 | AutoStart9805 | 1 | − | − | ● | − |
| 28 | nVIR | 1 | − | − | ● | − |
注)
1.ウイルス名欄で、XMはExcelMacro、W97Mは、Word97Macro、WM/はWordMacro、
W97M/X97M/P97Mは、Word97Macro/Excel97Macro/PowerPoint97Macro、の略である。
2.W32/は、Windows32ビットの環境下で動作するウイルスを示す。
3.VBSは、VisualBasicScriptの略である。
4.感染した機種欄の印は、●感染有り、−感染無しである。
12月の届出の中で、検査発見・駆除修復に使われたウイルス対策ソフト及びメーカーを参考に示す。
(※印は、Macintosh機専用のソフトを示す。)
| 検査発見・駆除修復に使われたウイルス対策ソフト | |
| ソフト名(50音順) | メーカー名 |
| CheyeenAntiVirus | コンピュータアソシエイツ |
| F-SECURE(F-PROT) | 且R田洋行 |
| IBMAntiVirus | 日本アイ・ビー・エム |
| InterScan | トレンドマイクロ |
| ※NAV for Mac | 款マンテック |
| NortonAntiVirus | 款マンテック |
| ScanMail | トレンドマイクロ |
| ServerProtect | トレンドマイクロ |
| VirusScan | 日本ネットワークアソシエイツ |
| ※VirusScan for Mac | 日本ネットワークアソシエイツ |
| XLSCAN.XLA | マイクロソフト |
| ウイルスバスター | トレンドマイクロ |
今回、IPAに初めて届け出のあったウイルスを簡単に説明する。
「W97M/Story」(Word97Macro/Story)
このウイルスは、マイクロソフト社のWord(以下MSword)
を介して感染するウイルスである。ウイルスに感染した文書ファイルを読み込むとそのMSwordに感染する。
感染したMSwordで作成、編集した文書ファイルを閉じたときにそのファイルに感染する。
感染したMSwordで文書ファイルを閉じたとき、ウイルスはmIRCというIRCクライアントソフトがインストールされているかどうかを調べ、
インストールされている場合は、mircフォルダのmirc.iniファイルとscript.iniファイルを書き換える。
そして、C:\Windowsフォルダに、story.docというウイルスに感染したファイルを作成する。
ファイルが書き換えられた状態で、mIRCを起動してチャットを行うと、IRC参加者に次のようなメッセージを送り、
story.docファイルを送信する。
Hey I can't talk right now but I wanted to send you this file.
It has a funny story you should read, and also has macros inside that
protect you from a lot of viruses. Just open the document, enable the
macros, and if you are infected it will get rid of the virus
このウイルスは、日本語版MSword97/98/2000及び英語版MSword97/2000で感染・発病する
「W97M/Astia」(Word97Macro/Astia)
「W97M/Locale」(Word97Macro/Locale)
このウイルスは、マイクロソフト社のWord(以下MSWord)を介して感染するウイルスである。
ウイルスに感染した文書ファイルを読み込むとそのMSwordに感染する。感染したMSword作成、編集した文書ファイルを閉じたときに文書ファイルに感染する。
発病機能はない。
このウイルスは、日本語版MSword97/98/2000及び英語版MSword97/2000で感染する。
「W97M/Bogor」(Word97Macro/Bogor)
このウイルスは、マイクロソフト社のWord(以下MSWord)を介して感染するウイルスである。
ウイルスに感染した文書ファイルを読み込むとそのMSwordに感染する。感染したMSwordで、以下の操作をしたときに、文書ファイルに感染する。
作成、編集したファイルを、
・閉じる
・名前をつけて保存する。
・上書き保存する。
感染すると、 MSwordの「ツール」/「オプション」/全般の「マクロウイルスを自動検出する」のチェックボックスをオフにし、次の機能を使えなくする。
「ツール」/「マクロ」/Visual Basic Editor
「ツール」/「マクロ」/マクロ
「ツール」/ユーザー設定
「ツール」/テンプレートとアドイン
そして、ヘルプのバージョン情報を表示すると、Reformasi, YES!
というダイアログボックスが表示される。
このウイルスは、日本語版Word97/98/2000及び英語版Word97で感染・発病する。
「W32/Fix2001」(W32/Fix2001)
このウイルスは、通常電子メールの添付ファイルを介して拡がっていく。添付されたfix2001.exeを実行すると、以下のメッセージを表示する。
"Y2K Ready!!"
"Your Internet Connection is already Y2K, you don’t need to upgrade it"
そして、 WindowsのSystemフォルダーに自分自身をコピーして、次回の起動時に実行されるようにレジストリを変更する。
ウイルスが実行された状態でメールを出すと、同じ宛先に、自分自身を添付したメールを送る。
メールタイトルは、 Internet problem year 2000、送信者はAdministrator、メールの本文は、
英語とスペイン語で、2000年問題の修正プログラムを配布しているかのようにように見せかけている。
「VBS/Freelink」(VisualBasicScript/Freelink)
このウイルスは、通常はメールの添付ファイルを介して拡がっていく。WSH(※)がインストールされている環境で、
Links.vbsというファイルを実行すると、WindowsのSystemフォルダに、Rundll.vbsというファイルを作成し、
次回の起動時に、Rundll.vbsが実行されるようにレジストリを変更する。次に、
This will add a shortcut to free XXX links on your desktop.
Do you want to Continue?
というダイアログボックスを表示し、「はい」と答えると、
"Free XXX links"というインターネットショートカットをデスクトップに作成する。
そして、ネットワークで共有されている全てのフォルダに、Links.vbsファイルをコピーする。
Outlookがインストールされていると、
アドレス帳に登録されているメールアドレス全てに対して、下記の内容のメールにLinks.vbsファイルを添付して送信する。
Subject:Check This
本文:Have fun with these links. Bye.
次回起動時にRundll.vbsが実行されると、Windowsフォルダーに、Links.vbsというファイルを作成する。
そして、mIRC、PIRCH98というIRCクライアントソフトがインストールされているかどうかを調べ、mIRCがインストールされている場合はscript.iniファイルを、
PIRCH98がインストールされている場合はEvents.iniファイルを書き換える。
以降、mIRC、PIRCH98を起動してチャットを行うと、参加者に対して、
Links.vbsファイルを送信する。
(※Windows Scripting Host)
(b)届出の感染機種別件数は次のとおりである。一番多い届出は、IBM及びその互換機で、 FDのみの感染及びファイルのみの感染を除く約76%を占めている。
機 種 |
届 出 件 数 |
|||
| '99/12 | '99/1〜12 | '98合計 | ||
| NEC 98機 | 日電 PC-98シリーズ | 23 | 236 | 198 |
| IBM 機 互換機 |
IBM機 | 10 | 213 | 149 |
| 各社 IBM互換機 | 73 | 1516 | 1174 | |
| MAC機 | APPLE Macintoshシリーズ | 3 | 61 | 201 |
注)
1.複数機種感染の届出を含む。
2.FDのみの感染及びファイルのみの感染が133件あったが、表からは除外する。
3.各社IBM互換機には、NEC PC-98NXシリーズを含む。
(c)届出の届出者別件数は次のとおりである。一番多い届出は、一般法人ユーザからのもので、 約75%を占めている。
届 出 者 |
届 出 件 数 |
||
| '99/12 | '99/1〜12 | '98合計 | |
| 一般法人ユーザ | 178 | 2859 | 1595 |
| 情 報 産 業 | 12 | 203 | 292 |
| 個 人 ユ ー ザ | 21 | 356 | 75 |
| 教育・研究機関 | 27 | 227 | 73 |
(d)届出の地域別件数は次のとおりである。関東地方が最も多く、続いて近畿地方、中部地方の順となっている。
地 域 |
届 出 件 数 | ||
| '99/12 | '99/1〜12 | '98合計 | |
| 北海道 地 方 | 3 | 34 | 21 |
| 東 北 地 方 | 5 | 89 | 45 |
| 関 東 地 方 | 156 | 2476 | 1366 |
| 中 部 地 方 | 24 | 293 | 204 |
| 近 畿 地 方 | 31 | 547 | 200 |
| 中 国 地 方 | 13 | 107 | 95 |
| 四 国 地 方 | 2 | 25 | 33 |
| 九 州 地 方 | 4 | 74 | 71 |
(e)被害届出から感染経路を区分けすると次の表のようになる。メールにより感染したケースが大部分を占めており、海外からのメールにより感染したケースを含めると、不明を除いた届出件数の約56%となる。
感 染 経 路 |
届 出 件 数 | ||
| '99/12 | '99/1〜12 | '98合計 | |
| 外部からの媒体で感染したケース | 42 | 589 | 668 |
| メールにより感染したケース | 119 | 2175 | 778 |
| 海外からの媒体で感染したケース | 1 | 22 | 32 |
| 海外からのメールにより感染したケース | 34 | 268 | 48 |
| ネットワークからのダウンロードにより感染したケース | 16 | 195 | 77 |
| 不 明 | 26 | 396 | 432 |
(f)届出のあったウイルスが感染させたパソコンの台数は次のとおりである。感染台数の欄0台は、FDのみの感染またはファイルのみの感染を示し、事前の検査により、パソコンに感染する前にウイルスを発見したものである。
感 染 台 数 |
届 出 件 数 | ||
| '99/12 | '99/1〜12 | '98合計 | |
| 0台 | 133 | 1692 | 416 |
| 1台 | 73 | 1316 | 1000 |
| 2台以上 5台未満 | 19 | 401 | 373 |
| 5台以上10台未満 | 6 | 122 | 129 |
| 10台以上20台未満 | 4 | 64 | 58 |
| 20台以上50台未満 | 2 | 33 | 39 |
| 50台以上 | 1 | 17 | 20 |
特定日発病ウイルスについて
ウイルスの被害の拡大を防止する意味から、今回は、IPAに届出されたウイルスの中で、1月15日〜2月29日に発病する可能性がある主なウイルスを下記に掲げた。(参考:特定日発病ウイルス[ウイルスカレンダー]
)
発病してからではデータを破壊される等修復が困難となるので市販のワクチンソフト等を用いて、発病する前に発見・駆除することを望む。(駆除方法についてはIPAまで)
(1)W97M/Marker(Word97Macro/Marker)
このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。
ウイルスに感染した文書ファイルを開いて閉じるときに、そのMSwordに感染する。そして感染したMSwordで作成、更新した文書ファイルを閉じるときに、文書ファイルに感染する。
毎月1日に感染したMSwordで文書ファイルを閉じたときに、感染日時等を記載した感染ユーザーリストを作成し、特定のサイトにアップロードしよう
とする。
| 届出年 | 1997 | 1998 | 1999 | 1997〜1999合計 |
| 届出件数 | 0 | 0 | 116 | 116 |
(2)W97M/Opey(Word97Macro/Opey)
このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。
ウイルスに感染した文書ファイルを開くと、そのMSwordに感染し、
さらにMSwordのメニューの「ツール」/「オプション」/ユーザー情報タブの
名前を 「OPEY.A」
頭文字を 「LOVE」
住所を 「CNNHS B'92 PHILIPPINES(CNSC)」
に変更する。
特定日に下記の操作を行うと発病し、Autoexec.batにフィリピンの記念日などに関するメッセージを書き込む。
・感染した文書ファイルを開いたとき。
・感染したMSwordで次の操作を行ったとき。
MSwordを起動及び終了したとき。
文書ファイルを作成、開く、印刷、保存、閉じたとき。
文書ファイルのページ設定を変更したとき。
特定日と書き込まれるメッセージは次のとおり。
| 12/25または1/1 | MERRY CHRISTMAS AND HAPPY NEW YEAR!!! |
| ※2/14 | HAPPY VALENTINES DAY!!! |
| 4/1(除木曜日) | HAPPY LABOR DAY!!! |
| 6/12 | HAPPY INDEPENDENCE DAY!!! |
| 11/1 | HAPPY HALLOWEEN!!! |
| 11/30 | BONIFACIO DAY!!! |
| 12/30 | REZAL DAY!!! |
| 4月の木、金、土曜日 | HOLY WEEK!!! |
| 届出年 | 1997 | 1998 | 1999 | 1997〜1999合計 |
| 届出件数 | 0 | 0 | 6 | 6 |
以上