2000年4月7日
情報処理振興事業協会

コンピュータウイルスの発見届出状況について

1.はじめに

(1)2000年3月ウイルス発見届出状況

 情報処理振興事業協会(略称IPA・石井賢吾理事長)は、2000年3月のコンピュータ ウイルスの発見届出状況をまとめた。

(2)今月の特記事項

(a)過去最大の届出件数[約8割は感染を未然に防いだケース]

 3ヶ月連続で 400件を越える届出となり、月間で過去最大の届出件数となった。
 しかしながら、届出の感染台数の内訳を見ると、パソコンに感染する前にウイルスを発見し、未然に防いだケースが 390件と全体の約80%(先月81%)を占めている。1月から3月までの累計でも、約77%となっている。 (1999年一年間の届出のうち、未然に防いだケースの割合は、約46%)
 今月、感染を未然に防いだケースのうち、約95%は、ワクチンソフトの常駐によりウイルスを発見しており、この背景には、ワクチンソフト利用率の向上があるものと考えられる。

(b)W32/PrettyPark、VBS/Freelinkの届出急増

 メール機能を悪用したウイルスW32/PrettyParkVBS/Freelinkの届出が急増している。
 W32/PrettyParkは、101件(2000年1月31件、2月37件)、VBS/Freelinkは67件(2000年1月6件、2月29件)の届出件数となった。
 いずれも、アドレス帳に登録されているメールアドレス全てに対し、ウイルスを添付したメールを送信するウイルスで、このようなウイルスに感染すると知らないうちにウイルスを外部に出してしまい、ウイルス感染の加害者になってしまうので、注意が必要である。
 友人、知人からのメールであっても、 Prettypark.exeLinks.vbsという名称の添付ファイルは、速やかに削除して、決して実行しないこと。また、送信元が感染に気づいていない場合がほとんどなので、相手にウイルスに感染している旨を連絡されたい。

(c)コンピュータウイルス被害状況調査について

 届出以外のウイルス被害状況の実態を把握するために、国内及び海外におけるアンケートによるコンピュータウイルス被害状況調査を実施し、調査結果をまとめたものを「コンピュータウイルス被害状況調査結果要約」として添付した。

  被害状況調査結果の詳細 ( 国内 ・ 海外 )   

(d)システム管理者向けウイルス対策/不正アクセス対策セミナー総括

 IPAでは、平成12年3月15日(水)10:00〜16:30 銀座ヤマハホールにおいて、関東通産局と共催で、「システム管理者向けコンピュータウイルス対策/不正アクセス対策セミナー」(実践的なシステム防衛術を身につけるために)を開催した。会場での質問、内容等を要約してまとめたものを「開催総括」として添付した。


コンピュータウイルスに関する届出制度について

 コンピュータウイルスに関する届出制度は、通商産業省のコンピュータウイルス対策基準に基づき、'90年4月にスタートした制度であって、コンピュータウイルスを発見したものは被害の拡大と再発を防ぐために必要な情報をIPAに届け出ることとされている。
 IPAでは、個別に届出者への対応を行っているが、同時に受理した届出等を基に、コンピュータウイルス対策を検討している。また受理した届出は、届出者のプライバシー を侵害することがないように配慮した上で、被害等の状況を分析し、検討結果を定期的に公表している。

 ○コンピュータウイルス対策基準
  ・通商産業省告示第139号 平成2年4月10日制定
  ・通商産業省告示第429号 平成7年7月 7日改訂
  ・通商産業省告示第535号 平成9年9月24日改訂


2.届出の概要

(1)今までの届出状況
 届出件数は、'90年4月通商産業省が告示した「コンピュータウイルス対策基準」に基づいて、IPAが届出機関に指定されてから受理した届出の件数である。今までの届出件数は13,207件となる。次に示すグラフは、 '98年1月から2000年3月までの届出件数の月別推移を表したものである。

(2)2000年3月の届出状況
3月のコンピュータウイルスの発見届出は490件であった。

 3月の届出の詳細は次の通りである。

(a) 今月、届出のあったウイルスは32種類であった。 届出件数の多いウイルスは、W32/PrettyParkが101件となっている。 初めて届けられたウイルスは、W97M/Tolose、W97M/Brenda、W32/Funlove、W32/Kenston(*印)の4種類である。 (マクロウイルス、VBSウイルス289件、Windows・DOS、Macintoshウイルス202件、1件で複数のウイルスの届出があるため、合計は届出件数の490件に合致しない。) 

マクロウイルス 届出件数 Windows、DOSウイルス 届出件数
 XM/Laroux 93 20  W32/PrettyPark 101
 W97M/Marker 36 21  W32/Ska 71
 W97M/Ethan 25 22  W32/CIH 13
 W97M/X97M/P97M/Tristate 22 23  W32/Fix2001
 W97M/Class 14 24  フォーム
 W97M/Melissa 25  W32/Funlove(*)
 WM/Cap 26  W32/Kenston(*)
 W97M/Myna 27  アンチシーモス
 W97M/Opey 28  アンジェリーナ
10  W97M/Tolose(*) 29  ウィンナー
11  W97M/Thus 30  プリントスクリーン
12  W97M/Story 31  リッパー
13  W97M/Brenda(*)      
14  W97M/Chack      
15  W97M/Groov      
16  W97M/Locale      
17  WM/Wazzu      
18  XM/VCX.A      
VBSウイルス 届出件数 Macintoshウイルス 届出件数

19

 VBS/Freelink

67

32

 AutoStart9805

注)
 1.ウイルス名欄で、
  XMは、MSexcel95、97で動作するウイルス。(ExcelMacroの略)
  W97Mは、MSword97で動作するウイルス。(Word97Macroの略)
  W97M/X97M/P97Mは、MSword97、MSexcel97、MSpowerpoint97で動作するウイルスを示す。
  (Word97Macro/Excel97Macro/PowerPoint97Macroの略)
  WMは、MSword95で動作するウイルス。(WordMacroの略)
   X97Mは、MSexcel97で動作するウイルス。(Excel97Macroの略)
 2.W32/は、Windows32ビット環境下で動作するウイルスを示す。
 3.VBS/は、VisualBasicScriptで記述されているウイルスを示す。

 3月の届出の中で、検査発見・駆除修復に使われたウイルス対策ソフト及びメーカーを参考に示す。
 (※印は、Macintosh機専用のソフトを示す。)

検査発見・駆除修復に使われたウイルス対策ソフト
 ソフト名(50音順)  メーカー名
 F-SECURE(F-PROT)  (株)山田洋行
 GroupShield  日本ネットワークアソシエイツ(株)
 InterScan  トレンドマイクロ(株)
 ※NAV for Mac  (株)シマンテック
 NortonAntiVirus  (株)シマンテック
 ScanMail  トレンドマイクロ(株)
 ServerProtect  トレンドマイクロ(株)
 SophosAnti-Virus  (株)シー・エス・イー
 VirusScan  日本ネットワークアソシエイツ(株)
 WebShield  日本ネットワークアソシエイツ(株)
 ウイルスバスター  トレンドマイクロ(株)

今回、IPAに初めて届け出のあったウイルスを簡単に説明する。

「W97M/Tolose」(Word97Macro/Tolose)
 このウイルスはマイクロソフト社のWord(以下、MSword)を介して感染するウイル スである。ウイルスに感染している文書ファイルを開くと、そのMSwordに感染する。感染したMSwordで作成更新した文書ファイルを閉じるとその文書ファイルに感染する。ただし、日本語版MSwordでは文書ファイルには感染しない。感染すると、MSword97/98の場合は、「ツール」/「オプション」/全般タグの「マクロウィルスを自動検出する」のチェックボックスがオフにされる。発病はない。
 このウイルスは、日本語版MSword97/98/2000及び英語版MSword97/2000で感染する。

「W97M/Brenda」(Word97Macro/Brenda)
 このウイルスはマイクロソフト社のWord(以下、MSword)を介して感染するウイル スである。ウイルスに感染している文書ファイルを開くと、そのMSwordに感染する。
 感染したMSwordで作成更新した文書ファイルを閉じるとその文書ファイルに感染する。
 感染すると、
 ・マイコンピュータのアイコンが変更される。
 ・MSword97/98の場合は、「ツール」/「オプション」/全般タグの「マクロウィルスを自動検出する」 及び「文書を開くときにファイル形式を確認する」のチェックボックスがオフにされる。
 ・Cドライブのボリュームラベルが「N0nuts」に変更される。
 発病はない。このウイルスは、日本語版MSword97/98/2000及び英語版MSword97/2000で感染する。

「W32/Funlove」(W32/Funlove)
 Windows32ビット実行プログラムのファイル(拡張子がexe、scr、ocx)に感染するウイルスである。
 感染したプログラムを実行すると、Windowsのシステムフォルダにflcss.exeというファイルを作成する。そして、そのファイルを実行して、全てのドライブ上の拡張子 がexe、scr、ocxのファイルに感染する。 発病はない。

「W32/Kenston」(W32/Kenston)
 Windows32ビット実行プログラムのファイル(拡張子がexe)に感染するウイルスである。
ウイルスに感染したプログラムを実行すると、カレントドライブ内のルートフォルダにあるファイルを除く全ての Windows32ビット実行プログラムファイル(拡張子がexe)に感染する。発病はない。

(b)届出の届出者別件数は次のとおりである。一番多い届出は、一般法人ユーザからのもので、 約90%を占めている。

届   出   者

届  出  件  数

2000/3   2000/1〜3   '99合計  
 一般法人ユーザ 440 89.8% 1211 88.7% 2859 78.4%
 情 報 産 業 23 4.7% 56 4.1% 203 5.6%
 教育・研究機関 1.0% 29 2.1% 227 6.2%
 個 人 ユ ー ザ 22 4.5% 69 5.1% 356 9.8%

(c)届出の地域別件数は次のとおりである。関東地方が最も多く、続いて中部地方、近畿地方の順となっている。

地     域

届  出  件  数
2000/3   2000/1〜3   '99合計  
 北海道 地 方 1.0% 13 1.0% 34 0.9%
 東 北 地 方 0.8% 13 1.0% 89 2.4%
 関 東 地 方 401 81.8% 1093 80.1% 2476 67.9%
 中 部 地 方 38 7.8% 101 7.4% 293 8.0%
 近 畿 地 方 34 6.9% 113 8.3% 547 15.0%
 中 国 地 方 0.8% 10 0.7% 107 2.9%
 四 国 地 方   0.3% 25 0.7%
 九 州 地 方 0.8% 18 1.3% 74 2.0%

(e)届出から感染経路を区分けすると次の表のようになる。メールにより感染したケースが大部分を占めており、不明を除いた届出件数の約79%となる。

感  染  経  路

届  出  件  数
2000/3   2000/1〜3   '99合計  
 メールにより感染したケース 364 74.3% 1020 74.7% 2175 59.7%
 海外からのメールにより感染したケース 39 8.0% 96 7.0% 268 7.4%
 ネットワークからのダウンロードにより感染したケース 0.8% 22 1.6% 195 5.3%
 外部からの媒体で感染したケース 53 10.8% 146 10.7% 589 16.2%
 海外からの媒体で感染したケース     22 0.6%
 不 明 30 6.1% 81 5.9% 396 10.9%

(f)届出のあったウイルスが感染させたパソコンの台数は次のとおりである。感染台数の欄0台は、FDのみの感染またはファイルのみの感染を示し、事前の検査により、パソコンに感染する前にウイルスを発見したものである。

感  染  台  数

届  出  件  数
2000/3   2000/1〜3   '99合計  
  0台 390 79.6% 1052 77.1% 1692 46.4%
  1台 71 14.5% 215 15.8% 1316 36.1%
  2台以上 5台未満 23 4.7% 76 5.6% 401 11.0%
  5台以上10台未満 1.0% 17 1.2% 122 3.3%
 10台以上20台未満 0.2% 0.3% 64 1.8%
 20台以上50台未満     33 0.9%
 50台以上   0.1% 17 0.5%

特定日発病ウイルスについて

 ウイルスの被害の拡大を防止する意味から、今回は、IPAに届出されたウイルスの中で、4月8日〜5月31日に発病する可能性がある主なウイルスを下記に掲げた。(参考:特定日発病ウイルス[ウイルスカレンダー]
 発病してからではデータを破壊される等修復が困難となるので市販のワクチンソフト等を用いて、発病する前に発見・駆除することを望む。(駆除方法についてはIPAまで)

(1)W32/CIH

 このウイルスは常駐型でWindows95/98の32ビット実行形式ファイルに感染するファイル感染型ウイルスである。
 感染したファイルを実行すると、メモリに常駐し、プログラムの実行、ファイルのコ ピー等でオープンしたプログラムファイルに感染する。発病するとハードディスクの先 頭部分を無意味なデータで上書きするため、ディスク内容にアクセスできなくなる。
 また、コンピュータが使用しているチップセットが、インテル430TXかその互換 チップの場合には、BIOS ROMのブートブロックに無意味なデータを上書きして、内容を破壊する。
 このウイルスには、4月26日発病、6月26日発病等の種類がある。

届出年 1998 1999 2000/1〜3 合    計
届出件数 34 297 37 368

  参考:W32/CIHに関する情報

(2)W97M/Opey(Word97Macro/Opey)

 このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。
 ウイルスに感染した文書ファイルを開くと、そのMSwordに感染し、 さらにMSwordのメニューの「ツール」/「オプション」/ユーザー情報タブの
 名前を   「OPEY.A」
 頭文字を  「LOVE」
 住所を   「CNNHS B'92 PHILIPPINES(CNSC)」
に変更する。
 特定日に下記の操作を行うと発病し、Autoexec.batにフィリピンの記念日などに関するメッセージを書き込む。
 ・感染した文書ファイルを開いたとき。
 ・感染したMSwordで次の操作を行ったとき。
   MSwordを起動及び終了したとき。
   文書ファイルを作成、開く、印刷、保存、閉じたとき。
   文書ファイルのページ設定を変更したとき。
 特定日と書き込まれるメッセージは次のとおり。

 12/25または1/1  MERRY CHRISTMAS AND HAPPY NEW YEAR!!!
 2/14    HAPPY VALENTINES DAY!!!
 4/1(除木曜日)  HAPPY LABOR DAY!!!
 6/12      HAPPY INDEPENDENCE DAY!!!
 11/1  HAPPY HALLOWEEN!!!
 11/30    BONIFACIO DAY!!!
 12/30    REZAL DAY!!!
※4月の木、金、土曜日    HOLY WEEK!!!

 

届出年 1998 1999 2000/1〜3 合    計
届出件数 13

以上

問い合わせ先:
 
IPA(情報処理振興事業協会)セキュリティセンターウイルス対策室
TEL 03-5978-7508 FAX 03-5978-7518 E-mail virus@ipa.go.jp