2000年2月4日
情報処理振興事業協会
コンピュータウイルス被害の届出状況について
1.はじめに
(1)2000年1月ウイルス被害届出状況
情報処理振興事業協会(略称IPA・石井賢吾理事長)は、2000年1月のコンピュータ ウイルス被害の届出状況をまとめた。
(2)今月の特記事項
(a)過去最大の届出件数
月間の届出件数としては過去最大となった。
届出の内訳をみると、一般法人からの割合が、全体の約89%を占めており、また、パソコンに感染する前にウイルスを発見し、未然に感染を防いだ届出が 326件と、全体の約71%を占めていることから、Y2K対策の一環として、ワクチンソフトをサーバーレベルで使用するなど、運用面で強化がなされたことが、ウイルスの発見、届出増加の大きな要因の一つであると考えられる。
過去、月間の届出件数が400件を越えたのは、'99年3月(455件)、10月(405件)の2回(b)W32/Fix2001の届出増加
メールの機能を悪用したウイルスW32/Fix2001の届出が増加している。今のところ、その殆どは、添付ファイルを実行する前に検査を行い、パソコンに感染する前に発見したもので、大きな感染被害には至っていないが、今後も2次感染で被害を拡大させないために、引き続き以下の注意が必要である。例えよく知っている相手からのメールであったとしても、fix2001.exeというファイルが添付されている場合、実行することなく、速やかに削除すること。 参考:W32/Fix2001に関する情報
(c)「2000年ウイルス」について
2000年問題に便乗したいわゆる「2000年ウイルス」の届出は、上述のW32/Fix2001の1種類のみであり、年があけて2000年になると発病するウイルスも海外では発見されていたが、それらの届出は1件もなかった。
(d)システム管理者向けコンピュータウイルス対策/不正アクセス対策セミナー東京地区開催
IPAでは、関東通産局と共催で、「システム管理者向けコンピュータウイルス対策/不正アクセス対策セミナー」(実践的なシステム防衛術を身につけるために)を開催する。
開催日時等 :平成12年3月15日(水)10:00〜16:30 於:銀座ヤマハホール
申込受付期間:平成12年2月25日(金)〜3月10日(金)
申込宛先方法:関東通商産業局産業企画部情報政策課宛 E-mail、FAXにて申し込み。
E-mail kanto-josei@miti.go.jp FAX:048-601-1289
詳細は、「開催のお知らせ」を参照のこと。
ウイルス被害届出制度について
コンピュータウイルスの届出制度は、通商産業省のコンピュータウイルス対策基準に基づき、'90年4月にスタートした制度であって、コンピュータウイルスを発見したものは被害の拡大と再発を防ぐために必要な情報をIPAに届け出ることとされている。
IPAでは、個別に届出者への対応を行っているが、同時に受理した被害届出等を基に、コンピュータウイルス対策を検討している。また受理した届出は、届出者のプライバシー を侵害することがないように配慮した上で、被害状況の調査及び検討結果を定期的に公表している。
○コンピュータウイルス対策基準
・通商産業省告示第139号 平成2年4月10日制定
・通商産業省告示第429号 平成7年7月 7日改訂
・通商産業省告示第535号 平成9年9月24日改訂
2.届出の概要
(1)今までの届出状況
届出件数は、'90年4月通商産業省が告示した「コンピュータウイルス対策基準」に基づいて、IPAが被害の届出機関に指定されてから受理した届出の件数である。今までの届出件数は12,303件となる。次に示すグラフは、
'98年1月から2000年1月までの被害届出件数の月別推移を表したものである。
注記)'90年(4月〜12月)、'91年、'92年、'93年、'94年、'95年、'96年、'97年の届出件数はそれぞれ 14件、57件、253件、897件、1127件、668件、755件、2391件である。
(2)2000年1月の届出状況
1月のコンピュータウイルスの被害届出は461件であった。
1月の被害届出の詳細は次の通りである。
(a)今月、届出のあったウイルスは32種類であった。届出件数の多いウイルスは、XM/Larouxが115件となっている。初めて届けられたウイルスは、W97M/Prilissa、W97M/Bribagi、W32/LoveSong(*印)の3種類である。(マクロウイルス270件、従来型191件。)
項番 |
ウ イ ル ス 名 |
届出件数 |
感 染 し た 機 種 | |||
2000/1 |
IBM機 互換機 |
NEC98機 互換機 |
MAC機 | FDのみ | ||
| 1 | XM/Laroux | 115 | ● | ● | − | ● |
| 2 | W97M/Ethan | 30 | ● | − | − | ● |
| 3 | W97M/X97M/P97M/Tristate | 28 | ● | ● | − | ● |
| 4 | WM/Cap | 25 | ● | − | − | ● |
| 5 | W97M/Marker | 24 | ● | − | − | ● |
| 6 | W97M/Class | 23 | ● | − | − | ● |
| 7 | W97M/Melissa | 9 | ● | − | − | ● |
| 8 | XM/Extras | 3 | ● | − | − | ● |
| 9 | W97M/Story | 2 | − | − | − | ● |
| *10 | W97M/Prilissa | 2 | ● | − | − | ● |
| 11 | XM/VCX.A | 2 | − | − | − | ● |
| 12 | WM/Appder | 1 | ● | − | − | − |
| 13 | WM/Npad | 1 | ● | − | − | − |
| 14 | WM/Wazzu | 1 | ● | − | − | − |
| *15 | W97M/Bribagi | 1 | ● | − | − | − |
| 16 | W97M/Chack | 1 | − | − | − | ● |
| 17 | W97M/Locale | 1 | ● | − | − | − |
| 18 | W97M/Opey | 1 | − | − | − | ● |
| 19 | W32/Ska | 96 | ● | − | − | ● |
| 20 | W32/PrettyPark | 31 | ● | ● | − | ● |
| 21 | W32/Fix2001 | 19 | ● | − | − | ● |
| 22 | W32/CIH | 17 | ● | ● | − | ● |
| 23 | フォーム | 7 | ● | − | − | ● |
| 24 | VBS/Freelink | 6 | − | − | − | ● |
| 25 | アンチシーモス | 5 | ● | − | − | ● |
| 26 | W32/ExploreZip | 4 | ● | − | − | ● |
| *27 | W32/LoveSong | 1 | ● | − | − | − |
| 28 | カスケード | 1 | − | ● | − | − |
| 29 | タイパン | 1 | ● | − | − | − |
| 30 | ベイジン | 1 | ● | − | − | − |
| 31 | ヤンキードゥードル | 1 | − | ● | − | − |
| 32 | AutoStart9805 | 1 | − | − | − | ● |
注)
1.ウイルス名欄で、
XMは、MSexcel95、97で動作するウイルス。(ExcelMacroの略)
WMは、MSword95で動作するウイルス。 (WordMacroの略)
W97Mは、MSword97で動作するウイルス。 (Word97Macroの略)
W97M/X97M/P97Mは、MSword97、MSexcel97、MSpowerpoint97で動作するウイルスを示す。
(Word97Macro/Excel97Macro/PowerPoint97Macroの略) 2.W32/は、Windows32ビット環境下で動作するウイルスを示す。
3.VBS/は、VisualBasicScriptで記述されているウイルスを示す。
4.感染した機種欄の印は、●感染有り、−感染無しである。
1月の届出の中で、検査発見・駆除修復に使われたウイルス対策ソフト及びメーカーを参考に示す。
(※印は、Macintosh機専用のソフトを示す。)
| 検査発見・駆除修復に使われたウイルス対策ソフト | |
| ソフト名(50音順) | メーカー名 |
| InocuLAN | コンピュータアソシエイツ(株) |
| InterScan | トレンドマイクロ(株) |
| ※NAV for Mac | (株)シマンテック |
| NetShield | 日本ネットワークアソシエイツ(株) |
| NortonAntiVirus | (株)シマンテック |
| ScanMail | トレンドマイクロ(株) |
| ServerProtect | トレンドマイクロ(株) |
| SophosAnti-Virus | (株)シー・エス・イー |
| VirusScan | 日本ネットワークアソシエイツ(株) |
| XLSCAN.XLA | マイクロソフト(株) |
| ウイルスバスター | トレンドマイクロ(株) |
今回、IPAに初めて届け出のあったウイルスを簡単に説明する。
「W97M/Prilissa」(Word97Macro/Prilissa)
このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。
ウイルスに感染した文書ファイルを読み込むとそのMSwordに感染する。
感染したMSwordで作成、編集した文書ファイルを閉じたときにそのファイルに感染する。
感染すると、MSword97の場合は、ツール」/「オプション」/「全般」タブの「マクロウイルスを自動検出する」
と「文書を開くときにファイル形式を確認する」及び「保存」タブの「標準設定を変更するかどうかを確認する」
の項目をオフに設定する。 MSword2000の場合は「ツール」/「マクロ」/「セキュリティ」のセキュリティレベルを「低」レベルに変更する。
マイクロソフト社のOutlookがインストールされている環境で、ウイルスに感染した文書ファイルを開くと、
Outlook のアドレス帳に登録されているメールアドレス50カ所に対して、ウイルスに感染した文書を添付したメールを送信する。
件名:Message From(登録ユーザ名)
本文:This document is very Important and you've GOT to read this !!
12月25日に、ウイルスに感染した文書ファイルを開く、または感染したMSwordで文書ファイルを閉じると以下の動作を行う。
1.次回起動時に、以下のメッセージを表示させて、Cドライブをフォーマットするように、Autoexec.batファイルを書き換える。
Vine...Vide...Vice...Moslem Power Never End...
Your Computer Have Just Been Terminated By -= CyberNET =- Virus !!!
2.次に、以下の内容のダイアログボックスを表示する。
Vine...Vide...Vice...Moslem Power Never End...
You Dare Rise Against Me...The Human Era is Over, The CyberNET
Era Has Come !!!
3.OKのボタンを押すと、文書ファイルにシェイプを様々な色と形で書き込む。
このウイルスは、日本語版MSword97/98/2000、英語版MSword97/2000で感染・発病する。
「W97M/Bribagi」(Word97Macro/Bribagi)
このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。
ウイルスに感染した文書ファイルを読み込むとそのMSwordに感染する。
感染したMSwordで作成、編集した文書ファイルを閉じたときにそのファイルに感染する。
感染すると、「ツール」/「オプション」/「全般」タブの「マクロウイルスを自動検出する」
の項目をオフに設定する。
感染したMSwordで文書ファイルを閉じたときに発病し、ルートフォルダとProgram
Filesフォルダ内のサブフォルダ名を検索し、 「PC」という文字が含まれるフォルダのリストとそのフォルダ内にあるサブフォルダ名及びファイル名のリストをそれぞれ作成し、
リストに挙げたファイルを各々2分の1の確率で0バイトにする。
「W32/LoveSong」(W32/LoveSong)
(b)届出の感染機種別件数は次のとおりである。一番多い届出は、IBM及びその互換機で、 FDのみの感染及びファイルのみの感染を除く約90%を占めている。
機 種 |
届 出 件 数 |
||
| 2000/1 | '99合計 | ||
| NEC 98機 | 日電 PC-98シリーズ | 14 | 236 |
| IBM 機 互換機 |
IBM機 | 5 | 213 |
| 各社 IBM互換機 | 125 | 1516 | |
| MAC機 | APPLE Macintoshシリーズ | 0 | 61 |
注)
1.複数機種感染の届出を含む。
2.FDのみの感染及びファイルのみの感染が326件あったが、表からは除外する。
3.各社IBM互換機には、NEC PC-98NXシリーズを含む。
(c)届出の届出者別件数は次のとおりである。一番多い届出は、一般法人ユーザからのもので、 約89%を占めている。
届 出 者 |
届 出 件 数 |
|
| 2000/1 | '99合計 | |
| 一般法人ユーザ | 410 | 2859 |
| 情 報 産 業 | 12 | 203 |
| 個 人 ユ ー ザ | 29 | 356 |
| 教育・研究機関 | 10 | 227 |
(d)届出の地域別件数は次のとおりである。関東地方が最も多く、続いて近畿地方、中部地方の順となっている。
地 域 |
届 出 件 数 | |
| 2000/1 | '99合計 | |
| 北海道 地 方 | 4 | 34 |
| 東 北 地 方 | 3 | 89 |
| 関 東 地 方 | 370 | 2476 |
| 中 部 地 方 | 26 | 293 |
| 近 畿 地 方 | 50 | 547 |
| 中 国 地 方 | 3 | 107 |
| 四 国 地 方 | 1 | 25 |
| 九 州 地 方 | 4 | 74 |
(e)被害届出から感染経路を区分けすると次の表のようになる。メールにより感染したケースが大部分を占めており、海外からのメールにより感染したケースを含めると、不明を除いた届出件数の約77%となる。
感 染 経 路 |
届 出 件 数 | |
| 2000/1 | '99合計 | |
| メールにより感染したケース | 329 | 2175 |
| 海外からのメールにより感染したケース | 35 | 268 |
| ネットワークからのダウンロードにより感染したケース | 9 | 195 |
| 外部からの媒体で感染したケース | 56 | 589 |
| 海外からの媒体で感染したケース | 0 | 22 |
| 不 明 | 32 | 396 |
(f)届出のあったウイルスが感染させたパソコンの台数は次のとおりである。感染台数の欄0台は、FDのみの感染またはファイルのみの感染を示し、事前の検査により、パソコンに感染する前にウイルスを発見したものである。
感 染 台 数 |
届 出 件 数 | |
| 2000/1 | '99合計 | |
| 0台 | 326 | 1692 |
| 1台 | 95 | 1316 |
| 2台以上 5台未満 | 31 | 401 |
| 5台以上10台未満 | 5 | 122 |
| 10台以上20台未満 | 3 | 64 |
| 20台以上50台未満 | 0 | 33 |
| 50台以上 | 1 | 17 |
特定日発病ウイルスについて
ウイルスの被害の拡大を防止する意味から、今回は、IPAに届出されたウイルスの中で、2月5日〜3月31日に発病する可能性がある主なウイルスを下記に掲げた。(参考:特定日発病ウイルス[ウイルスカレンダー]
)
発病してからではデータを破壊される等修復が困難となるので市販のワクチンソフト等を用いて、発病する前に発見・駆除することを望む。(駆除方法についてはIPAまで)
(1)W97M/Marker(Word97Macro/Marker)
このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。
ウイルスに感染した文書ファイルを開いて閉じるときに、そのMSwordに感染する。そして感染したMSwordで作成、更新した文書ファイルを閉じるときに、文書ファイルに感染する。
毎月1日に感染したMSwordで文書ファイルを閉じたときに、感染日時等を記載した感染ユーザーリストを作成し、特定のサイトにアップロードしよう
とする。
(2)ピーターII(PeterII)
常駐型でブートセクターに感染する。
2月27日に起動すると、ユーザに対し3つの質問を出す。1問でも答えを間違えると、ハードディスクを破壊する。
(3)ミケランジェロ(Michelangelo)
常駐型でHD、FDのブートセクターに感染する。
3月6日に感染システムでマシンを立ち上げると、当該システムを初期化する。
以上