2000年3月3日
情報処理振興事業協会
1.はじめに
(1)2000年2月ウイルス被害届出状況
情報処理振興事業協会(略称IPA・石井賢吾理事長)は、2000年2月のコンピュータ ウイルス被害の届出状況をまとめた。
(2)今月の特記事項
(a)2ヶ月連続で被害届出400件を越える[約8割は感染を未然に防いだケース]
先月よりはやや減少したが、昨年の月平均を大きく上回り、2ヶ月連続で400件を越える届出件数となった。昨年までに月間の届出件数が400件を越えたのは、'99年3月(455件)、'99年10月(405件)の2回。
しかしながら、届出の内訳を見ると、感染を未然に防いだ届出が 336件と全体の約81%(先月71%)を占めており、実質的な被害は減少している。これは、管理者及びユーザのウイルスに対する意識が高まり、適切な感染予防対策が実施されてきたことによるものと思われる。今後も継続して、運用面も含めてきちんとした対策をとることが望まれる。メールにより感染したケースが、海外からのメールにより感染したケースを含めると、不明を除いた届出件数の約88%を占めている。また、自動的にウイルスを添付したメールを送信し、感染を拡げるウイルスが数多く発見されているので、メールの添付ファイルの取り扱いには、細心の注意を払うようにされたい。 下記に、対策の基本的事項を示すので、周知徹底されたい。
a)たとえ、友人、知人、職場の同僚から送られてきた電子メールであっても、添付ファイルは、開いたり、実行したりする前に、必ず最新のワクチンソフトでウイルス検査を行うこと。
b)「W32/Ska(Happy99)」、「W32/PrettyPark」などのトロイの木馬型ウイルスで、新種の場合は、 最新のワクチンソフトでも発見できない可能性が高いので、特に、メールの添付ファイルで受け取ったプログラムファイルは、相手先に内容の問い合わせを行う等により、ファイルの安全が確認できるまでは、実行しないこと。
メール機能を悪用したウイルスVBS/Freelinkの届出が増加している。(先月6件、今月29件)今のところ、その殆どは、添付ファイルを実行する前に検査を行い、パソコンに感染する前に発見したもので、大きな感染被害には至っていないが、今後も2次感染で被害を拡大させないために、引き続き以下の注意が必要である。
例えよく知っている相手からのメールであったとしても、Links.vbsというファイルが添付されている場合、実行することなく、速やかに削除すること。 また、ウイルス定義ファイルの更新をするとともに、ワクチンソフトの検査対象設定時に、vbsの拡張子を追加されたい。
(参考:主なワクチンソフトの検査対象の設定方法)IPAのWebサイトに掲載している、特定日発病[ウイルスカレンダー」の情報を更新したので、対策の参考にされたい。
ウイルス被害届出制度について
コンピュータウイルスの届出制度は、通商産業省のコンピュータウイルス対策基準に基づき、'90年4月にスタートした制度であって、コンピュータウイルスを発見したものは被害の拡大と再発を防ぐために必要な情報をIPAに届け出ることとされている。
IPAでは、個別に届出者への対応を行っているが、同時に受理した被害届出等を基に、コンピュータウイルス対策を検討している。また受理した届出は、届出者のプライバシー を侵害することがないように配慮した上で、被害状況の調査及び検討結果を定期的に公表している。
○コンピュータウイルス対策基準
・通商産業省告示第139号 平成2年4月10日制定
・通商産業省告示第429号 平成7年7月 7日改訂
・通商産業省告示第535号 平成9年9月24日改訂
2.届出の概要
(1)今までの届出状況
届出件数は、'90年4月通商産業省が告示した「コンピュータウイルス対策基準」に基づいて、IPAが被害の届出機関に指定されてから受理した届出の件数である。今までの届出件数は12,717件となる。次に示すグラフは、
'98年1月から2000年2月までの被害届出件数の月別推移を表したものである。
注記)'90年(4月〜12月)、'91年、'92年、'93年、'94年、'95年、'96年、'97年の届出件数はそれぞれ 14件、57件、253件、897件、1127件、668件、755件、2391件である。
(2)2000年2月の届出状況
2月のコンピュータウイルスの被害届出は414件であった。
2月の被害届出の詳細は次の通りである。
(a)今月、届出のあったウイルスは33種類であった。届出件数の多いウイルスは、W32/Skaが93件となっている。初めて届けられたウイルスは、W97M/Myna、W97M/Thus、W97M/Taro、X97M/Divi(*印)の4種類である。(マクロウイルス219件、従来型195件。)
項番 |
ウ イ ル ス 名 |
届出件数 |
感 染 し た 機 種 | |||
2000/2 |
IBM機 互換機 |
NEC98機 互換機 |
MAC機 | FDのみ | ||
| 1 | XM/Laroux | 68 | ● | ● | − | ● |
| 2 | W97M/Ethan | 31 | ● | − | − | ● |
| 3 | W97M/X97M/P97M/Tristate | 31 | ● | − | − | ● |
| 4 | W97M/Class | 27 | ● | − | − | ● |
| 5 | W97M/Marker | 26 | ● | − | − | ● |
| 6 | WM/Cap | 5 | ● | − | − | ● |
| *7 | W97M/Myna | 5 | ● | − | − | ● |
| 8 | W97M/Melissa | 4 | ● | − | − | ● |
| 9 | W97M/Opey | 4 | ● | − | − | ● |
| *10 | W97M/Thus | 4 | ● | − | − | − |
| 11 | W97M/Chack | 3 | − | − | − | ● |
| 12 | W97M/Story | 3 | − | − | − | ● |
| 13 | WM/Concept | 1 | − | − | − | ● |
| 14 | WM/Niceday | 1 | − | − | − | ● |
| 15 | WM/Nottice | 1 | − | − | − | ● |
| 16 | W97M/Pri | 1 | − | − | − | ● |
| 17 | W97M/Prilissa | 1 | ● | − | − | − |
| *18 | W97M/Taro | 1 | − | − | − | ● |
| 19 | XM/VCX.A | 1 | − | − | − | ● |
| *20 | X97M/Divi | 1 | − | − | − | ● |
| 21 | W32/Ska | 93 | ● | − | − | ● |
| 22 | W32/PrettyPark | 37 | ● | ● | − | ● |
| 23 | VBS/Freelink | 29 | − | − | − | ● |
| 24 | W32/Fix2001 | 16 | − | − | − | ● |
| 25 | W32/CIH | 7 | ● | ● | − | ● |
| 26 | カスケード | 3 | ● | ● | − | − |
| 27 | フォーム | 2 | − | − | − | ● |
| 28 | D3 | 1 | ● | − | − | − |
| 29 | W32/ExploreZip | 1 | ● | − | − | − |
| 30 | アンチシーモス | 1 | ● | − | − | − |
| 31 | カンス | 1 | − | − | − | ● |
| 32 | ステルスブート | 1 | ● | − | − | − |
| 33 | AutoStart9805 | 3 | − | − | ● | − |
注)
1.ウイルス名欄で、
XMは、MSexcel95、97で動作するウイルス。(ExcelMacroの略)
W97Mは、MSword97で動作するウイルス。(Word97Macroの略)
W97M/X97M/P97Mは、MSword97、MSexcel97、MSpowerpoint97で動作するウイルスを示す。
(Word97Macro/Excel97Macro/PowerPoint97Macroの略)
WMは、MSword95で動作するウイルス。(WordMacroの略)
X97Mは、MSexcel97で動作するウイルス。(Excel97Macroの略)
2.W32/は、Windows32ビット環境下で動作するウイルスを示す。
3.VBS/は、VisualBasicScriptで記述されているウイルスを示す。
4.感染した機種欄の印は、●感染有り、−感染無しである。
2月の届出の中で、検査発見・駆除修復に使われたウイルス対策ソフト及びメーカーを参考に示す。
(※印は、Macintosh機専用のソフトを示す。)
| 検査発見・駆除修復に使われたウイルス対策ソフト | |
| ソフト名(50音順) | メーカー名 |
| F-SECURE(F-PROT) | (株)山田洋行 |
| GroupShield | 日本ネットワークアソシエイツ(株) |
| InocuLAN | コンピュータアソシエイツ(株) |
| InterScan | トレンドマイクロ(株) |
| ※NAV for Mac | (株)シマンテック |
| NetShield | 日本ネットワークアソシエイツ(株) |
| NortonAntiVirus | (株)シマンテック |
| ScanMail | トレンドマイクロ(株) |
| ServerProtect | トレンドマイクロ(株) |
| VirusScan | 日本ネットワークアソシエイツ(株) |
| XLSCAN.XLA | マイクロソフト(株) |
| ウイルスバスター | トレンドマイクロ(株) |
今回、IPAに初めて届け出のあったウイルスを簡単に説明する。
「W97M/Myna」(Word97Macro/Myna)
このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルス
である。ウイルスに感染した文書ファイルを読み込むとそのMSwordに感染する。感染し
たMSwordで作成、編集した文書ファイルを閉じたときにそのファイルに感染する
MSword97/98に感染すると、「ツール」/「オプション」/全般タブの「マクロウイ
ルスを自動検出する」の項目をオフに設定する。
このウイルスは、日本語版MSword97/98/2000及び英語版MSword97/2000で感染する。
「W97M/Thus」(Word97Macro/Thus)
このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルス
である。ウイルスに感染した文書ファイルを読み込むとそのMSwordに感染する。感染し
たMSwordで作成、編集した文書ファイルを閉じたときにその文書ファイルに感染する。
MSword97/98に感染すると、「ツール」/「オプション」/全般タブの「マクロウイ
ルスを自動検出する」の項目をオフに設定する。
毎年12月13日に、感染していないMSwordで感染した文書ファイルを開くか、感染した
MSwordで、新規文書を作成または、文書を開くと発病し、Cドライブにあるフォルダ内
を含む全てのファイルを削除しようとする。
このウイルスは、日本語版MSword97/98/2000及び英語版MSword97/2000で感染発病する。
「W97M/Taro」(Word97Macro/Taro)
このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。ウイルスに感染した文書ファイルを読み込むとそのMSwordに感染する。
感染したMSwordで文書ファイルを開くとその文書ファイルに感染し、その文書ファイルの「ファイル」/「プロパティ」のファイルの概要の作成者を「太郎」に変更する。
このウイルスは、日本語版MSword97/98/2000及び英語版MSword97/2000で感染する。
「X97M/Divi」(Excel97Macro/Divi)
このウイルスは、マイクロソフト社のExcel(以下MSexcel)を介して感染するウイルスである。ウイルスに感染したデータファイルを読み込むと、スタートアップフォルダ
に、「BASE5874.XLS」というウイルスに感染したファイルを作成し、そのMSexcelに感染する。感染したMSexcelでデータファイルを作成、編集して、閉じるときにそのデータフ
ァイルに感染する。
MSexcel97に感染すると、「ツール」/「オプション」/全般タブの「マクロウィルスから保護する」の設定をオフにする。
このウイルスは、日本語版MSexcel97/2000及び英語版MSexcel97/2000で感染する。
(b)届出の感染機種別件数は次のとおりである。一番多い届出は、IBM及びその互換機で、 FDのみの感染及びファイルのみの感染を除く約83%を占めている。
機 種 |
届 出 件 数 |
|||
| 2000/2 | 2000/1〜2 | '99合計 | ||
| NEC 98機 | 日電 PC-98シリーズ | 10 | 24 | 236 |
| IBM 機 互換機 |
IBM機 | 13 | 18 | 213 |
| 各社 IBM互換機 | 52 | 177 | 1516 | |
| MAC機 | APPLE Macintoshシリーズ | 3 | 3 | 61 |
注)
1.複数機種感染の届出を含む。
2.FDのみの感染またはファイルのみの感染が336件あったが、表からは除外する。
3.各社IBM互換機には、NEC PC-98NXシリーズを含む。
(c)届出の届出者別件数は次のとおりである。一番多い届出は、一般法人ユーザからのもので、 約87%を占めている。
届 出 者 |
届 出 件 数 |
||
| 2000/2 | 2000/1〜2 | '99合計 | |
| 一般法人ユーザ | 361 | 771 | 2859 |
| 情 報 産 業 | 21 | 33 | 203 |
| 個 人 ユ ー ザ | 18 | 47 | 356 |
| 教育・研究機関 | 14 | 24 | 227 |
(d)届出の地域別件数は次のとおりである。関東地方が最も多く、続いて中部地方、近畿地方の順となっている。
地 域 |
届 出 件 数 | ||
| 2000/2 | 2000/1〜2 | '99合計 | |
| 北海道 地 方 | 4 | 8 | 34 |
| 東 北 地 方 | 6 | 9 | 89 |
| 関 東 地 方 | 322 | 692 | 2476 |
| 中 部 地 方 | 37 | 63 | 293 |
| 近 畿 地 方 | 29 | 79 | 547 |
| 中 国 地 方 | 3 | 6 | 107 |
| 四 国 地 方 | 3 | 4 | 25 |
| 九 州 地 方 | 10 | 14 | 74 |
(e)被害届出から感染経路を区分けすると次の表のようになる。メールにより感染したケースが大部分を占めており、不明を除いた届出件数の約83%となる。
感 染 経 路 |
届 出 件 数 | ||
| 2000/2 | 2000/1〜2 | '99合計 | |
| メールにより感染したケース | 327 | 656 | 2175 |
| 海外からのメールにより感染したケース | 22 | 57 | 268 |
| ネットワークからのダウンロードにより感染したケース | 9 | 18 | 195 |
| 外部からの媒体で感染したケース | 37 | 93 | 589 |
| 海外からの媒体で感染したケース | 0 | 0 | 22 |
| 不 明 | 19 | 51 | 396 |
(f)届出のあったウイルスが感染させたパソコンの台数は次のとおりである。感染台数の欄0台は、FDのみの感染またはファイルのみの感染を示し、事前の検査により、パソコンに感染する前にウイルスを発見したものである。
感 染 台 数 |
届 出 件 数 | ||
| 2000/2 | 2000/1〜2 | '99合計 | |
| 0台 | 336 | 662 | 1692 |
| 1台 | 49 | 144 | 1316 |
| 2台以上 5台未満 | 22 | 53 | 401 |
| 5台以上10台未満 | 7 | 12 | 122 |
| 10台以上20台未満 | 0 | 3 | 64 |
| 20台以上50台未満 | 0 | 0 | 33 |
| 50台以上 | 0 | 1 | 17 |
特定日発病ウイルスについて
ウイルスの被害の拡大を防止する意味から、今回は、IPAに届出されたウイルスの中で、3月4日〜4月30日に発病する可能性がある主なウイルスを下記に掲げた。(参考:特定日発病ウイルス[ウイルスカレンダー]
)
発病してからではデータを破壊される等修復が困難となるので市販のワクチンソフト等を用いて、発病する前に発見・駆除することを望む。(駆除方法についてはIPAまで)
(1)W97M/Opey(Word97Macro/Opey)
このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。
ウイルスに感染した文書ファイルを開くと、そのMSwordに感染し、
さらにMSwordのメニューの「ツール」/「オプション」/ユーザー情報タブの
名前を 「OPEY.A」
頭文字を 「LOVE」
住所を 「CNNHS B'92 PHILIPPINES(CNSC)」
に変更する。
このウイルスは、日本語版、英語版MSword97/98で感染発病する。ただし、文書ファイ
ルへの感染は、 感染したMSwordで当該文書ファイルを作成、更新したときに英語版でのみ行われる。
特定日に下記の操作を行うと発病し、Autoexec.batにフィリピンの記念日などに関するメッセージを書き込む。
・感染した文書ファイルを開いたとき。
・感染したMSwordで次の操作を行ったとき。
MSwordを起動及び終了したとき。
文書ファイルを作成、開く、印刷、保存、閉じたとき。
文書ファイルのページ設定を変更したとき。
特定日と書き込まれるメッセージは次のとおり。
| 12/25または1/1 | MERRY CHRISTMAS AND HAPPY NEW YEAR!!! |
| 2/14 | HAPPY VALENTINES DAY!!! |
| ※4/1(除木曜日) | HAPPY LABOR DAY!!! |
| 6/12 | HAPPY INDEPENDENCE DAY!!! |
| 11/1 | HAPPY HALLOWEEN!!! |
| 11/30 | BONIFACIO DAY!!! |
| 12/30 | REZAL DAY!!! |
| ※4月の木、金、土曜日 | HOLY WEEK!!! |
(2)W32/CIH
このウイルスは常駐型でWindows95/98の32ビット実行形式ファイルに感染するファイル感染型ウイルスである。
感染したファイルを実行すると、メモリに常駐し、プログラムの実行、ファイルのコ
ピー等でオープンしたプログラムファイルに感染する。発病するとハードディスクの先
頭部分を無意味なデータで上書きするため、ディスク内容にアクセスできなくなる。
また、コンピュータが使用しているチップセットが、インテル430TXかその互換
チップの場合には、BIOS ROMのブートブロックに無意味なデータを上書きして、内容を破壊する。
このウイルスには、4月26日発病、6月26日発病等の種類がある。
以上