2000年6月6日
情報処理振興事業協会
情報処理振興事業協会(略称IPA・石井賢吾理事長)は、2000年5月のコンピュータウイルスの発見届出状況をまとめた。
●発見届出件数
900件(先月476件、1月〜5月累計2,741件)
['99年5月 306件、'99年一年間3,645件(月平均約304件)、'99年1月〜5月:1,551件]
['90年4月から2000年5月までの届出総数14,583件]
●発見届出状況
発見届出件数は900件と、月間の届出件数で過去最高となった(今までの最高は2000年 3月の490件)。また、ゴールデンウィーク中に発見されたVBS/LOVELETTERウイルスが、1種類のウイルスの月間の届出件数として過去最高の346件となった。
感染経路は、メールにより感染したケースが最も多く、不明を除いた届出件数の約96%を占めており、そのうち海外からのメールにより感染したケースが約60%であった。
届出ウイルスの種類は33種類で、一番届出の多かったウイルスは、VBS/LOVELETTERが 346件、 次いでXM/Larouxが104件(先月93件)、W32/PrettyParkが98件(先月139件)であった。5月の新種ウイルスは、「VBS/LOVELETTER」「W97M/Eight941」「W97M/Vmpck1」「W97M/Verlor」「X97M/Manalo」の5種類である。VBS/LOVELETTERを除く4種はマクロウイルスで、いずれも メールを悪用しての感染やファイル破壊などの機能は持っていない。
ゴールデンウィーク中に発見されたVBS/LOVELETTERウイルスが、1種類のウイルスの月間の届出件数として過去最高の346件となったが(今までの最高は'99年3月のW32/Ska(Happy99) の181件)、このうち、実際に添付のウイルスファイルを開いて感染被害に遭ったケースは9件で、感染パソコンの合計は19台であった('99年3月のW32/Skaの場合、添付ファイルを開いて感染被 害に遭ったケースは132件、感染パソコンの合計は253台)。346件のうち、残りの337件はメールが届いた段階で検出し感染に至らなかったケースである。
企業が休みの間に大きなニュースとして取り上げられたため、ユーザが連休明けには注意深くメールを処理したこと、システム管理者が連休中に対処をしていたことから、大きな被害に至らなかったものと思われる。海外では、VBS/LOVELETTERに類似のウイルスや、W97M/Melissaの亜種などメールを悪用して感 染を拡げるウイルスが数多く発見されている。これらのメールを悪用するウイルスは、その差出人アドレスが知合いのアドレスである場合が多いので、怪しげな添付ファイル付きのメールは、知合いからのものこそ一層の注意が必要である。
新種・亜種が多く出現していることから、ワクチンのアップデートを行うとともに
「不用意に添付ファイルを実行(ダブルクリック)しないこと」
を心がける。事前にワクチンソフトでウイルス検査を行い、また送信者に問い合わせを行う等によりファイルの安全を確認することが肝要である。メールの機能を悪用するウイルスについての概要を添付する。
次ページの毎月の届出件数推移のグラフに、メール受信のみ等のパソコン感染前に発見し感染に至らなかった件数を分けて示した。
今年に入って、全体の届出件数は大幅に増加しているものの、1〜5月累計では約80%がメールが届いた段階で検出されており、ウイルス対策が浸透してその効果により実際の感染被害の増加が抑制されていると考えられる。
コンピュータウイルスに関する届出制度は、通商産業省のコンピュータウイルス対策基準に基づき、'90年4月にスタートした制度であって、コンピュータウイルスを発見したものは被害の拡大と再発を防ぐために必要な情報をIPAに届け出ることとされている。
IPAでは、個別に届出者への対応を行っているが、同時に受理した届出等を基に、コンピュータウイルス対策を検討している。また受理した届出は、届出者のプライバシー
を侵害することがないように配慮した上で、被害等の状況を分析し、検討結果を定期的に公表している。
○コンピュータウイルス対策基準
・通商産業省告示第139号 平成2年4月10日制定
・通商産業省告示第429号 平成7年7月 7日改訂
・通商産業省告示第535号 平成9年9月24日改訂
今月、届出のあったウイルスは33種類であった。届出件数の多いウイルスは、VBS/LOVELETTERが346件、XM/Larouxが104件となっている。初めて届けられたウイルスは、VBS/LOVELETTER、W97M/Eight941、W97M/Vmpck1、W97M/Verlor、X97M/Manaloの5種類(※印)である。
(マクロウイルス、スクリプトウイルス723件、Windows、DOSウイルス177件)
| マクロウイルス | 届出件数 | Windows、DOSウイルス | 届出件数 | ||
| 1 | XM/Laroux | 104 | 26 | W32/PrettyPark | 98 |
| 2 | W97M/Thus | 56 | 27 | W32/Ska | 46 |
| 3 | W97M/Marker | 34 | 28 | W32/CIH | 13 |
| 4 | W97M/X97M/P97M/Tristate | 32 | 29 | W32/Fix2001 | 11 |
| 5 | W97M/Ethan | 23 | 30 | アンチシーモス | 4 |
| 6 | W97M/Astia | 6 | 31 |
フォーム |
3 |
| 7 | W97M/Class | 6 | 32 | ジャンキー | 1 |
| 8 | W97M/Melissa | 6 | 33 | ヤンキー・ドゥードル(TP44VIR) | 1 |
| 9 | X97M/Divi | 5 | |||
| 10 | WM/Cap | 4 | |||
| 11 | W97M/Eight941(※) | 2 | |||
| 12 | W97M/Myna | 2 | |||
| 13 | W97M/Vmpck1(※) | 2 | |||
| 14 | W97M/Chack | 1 | |||
| 15 | W97M/ColdApe | 1 | |||
| 16 | W97M/Footer | 1 | |||
| 17 | W97M/Groov | 1 | |||
| 18 | W97M/Jedi | 1 | |||
| 19 | W97M/Locale | 1 | |||
| 20 | W97M/Verlor(※) | 1 | |||
| 21 | W97M/X97M/Shiver | 1 | |||
| 22 | X97M/Manalo(※) | 1 | |||
| スクリプトウイルス | 届出件数 | Macintoshウイルス | 届出件数 | ||
23 |
VBS/LOVELETTER(※) | 346 |
|
(届出なし) |
|
| 24 | VBS/Freelink | 45 | |||
| 25 | Wscript/KakWorm | 41 | |||
注)
ウイルス名欄で、
XMは、MSexcel95、97で動作するウイルス。(ExcelMacroの略)
W97Mは、MSword97で動作するウイルス。(Word97Macroの略)
W97M/X97M/P97Mは、MSword97、MSexcel97、MSpowerpoint97で動作するウイルスを示す。
(Word97Macro/Excel97Macro/PowerPoint97Macroの略)
X97Mは、MSexcel97で動作するウイルス。(Excel97Macroの略)
WMは、MSword95で動作するウイルス。(WordMacroの略)
W32/は、Windows32ビット環境下で動作するウイルスを示す。
VBS/は、VisualBasicScriptで記述されているウイルスを示す。
Wscriptは、WindowsScriptingHost環境下(VBSを除く)で動作するウイルスを示す。
5月の届出の中で、検査発見・駆除修復に使われたウイルス対策ソフト及びベンダーを参考に示す。
| 検査発見・駆除修復に使われたウイルス対策ソフト | |
| ソフト名(50音順) | ベンダー名 |
| AntiDote | (株)バーテックスリンク |
| F-SECURE(F-PROT) | (株)山田洋行 |
| GroupShield | 日本ネットワークアソシエイツ(株) |
| InterScan | トレンドマイクロ(株) |
| NortonAntiVirus | (株)シマンテック |
| ServerProtect | トレンドマイクロ(株) |
| VirusScan | 日本ネットワークアソシエイツ(株) |
| WebShield | 日本ネットワークアソシエイツ(株) |
| ウイルスバスター | トレンドマイクロ(株) |
(1)5月にIPAに初めて届け出のあったウイルスの概要を記述する。
VBS/LOVELETTER(VisualBasicScript/LOVELETTER)
このウイルスは、通常はメールの添付ファイルを介して拡がっていく。WSH(※)がインストールされている環境で、LOVE-LETTER-FOR-YOU.TXT.vbsというファイルを実行すると、WindowsのSystemフォルダに、Mskernel32.vbs、LOVE-LETTER-FOR-YOU.TXT.vbs、WindowsフォルダにWin32dll.vbsというファイル名で自分自身をコピーする。そして、これらのファイルが再起動時に実行されるようにレジストリを変更する。 次に、Outlookのアドレス帳に登録されているメールアドレス全てに対して、下記の内容のメールに、LOVE-LETTER-FOR-YOU.TXT.vbsというファイルを添付して送信する。
Subject:I LOVE YOU.
本文:kindly check the attached LOVELETTER coming from me..
またmIRCというIRCクライアントソフトがインストールされているかどうかを調べ、
mIRCがインストールされている場合はscript.iniファイルを書き換える。
以降、mIRCを起動してチャットを行うと、参加者に対して、LOVE-LETTER-FOR-YOU.HTMファイルを送信する。
そして、ネットワークドライブを含むAからZまでのドライブを検索して、拡張子が、.vbs、.vbe、.js、.jse、.css、.wsh、.sct、.hta、.jpg、.jpeg、.mp3、.mp2のファイルを破壊する。
(※Windows Scripting Host)
W97M/Eight941(Word97Macro/Eight941)
このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。
ウイルスに感染した文書ファイルを読み込むとそのMSwordに感染する。感染したMSwordで作成、
編集した文書ファイルを閉じたときにそのファイルに感染する。
7月1日または11月10日に、感染した文書ファイルを開くか、または感染したMSwordで文書ファイルを開くと、Cドライブにある全ての拡張子が.docのファイルの属性を以下のように変更する。
「ツール」/「オプション」[保存]タグの
「バックアップファイルを作成する」→する
「高速保存」→する
「保存時にプロパティを確認する」→しない
「標準設定を変更するかどうかを確認する」→しない
「バックグラウンドで保存する」→する
このウイルスは、日本語版MSword97/98/2000及び英語版MSword97/2000で感染・発病する。
W97M/Vmpck1 (Word97Macro/Vmpck1)
このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。
ウイルスに感染した文書ファイルを読み込むと、Cドライブのルートにxix.drvというファイルを作成し、ウイルスコードをコピーし、そのMSwordに感染する。感染したMSwordで作成、編集した文書ファイルを閉じたときにそのファイルに感染する。
感染すると、「ツール」/「オプション」/[全般]タブの「マクロウイルスを自動検出する」、「文書を開くときにファイル形式を確認する」及び[保存]タブの「標準設定を変更するかどうか確認する」の項目をオフに設定する。
このウイルスには2つの発病がある。
1)感染した文書ファイルを開くか、または感染したMSwordで文書ファイルを開いたとき、100分の1の確率で、次のようなメッセージを表示する。
Dia 8 de Novebro VOTA NAO a regionalizacao!
2)毎月8日に感染した文書ファイルを開くか、または感染したMSwordで文書ファイルを開いたとき、文書中の「sim」という単語を「nao a regionalizacao!」に置換する。
このウイルスは、日本語版MSword97/98/2000及び英語版MSword97/2000で感染・発病する。
W97M/Verlor (Word97Macro/Verlor)
このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。
ウイルスに感染した文書ファイルを読み込むとそのMSwordに感染する。感染したMSwordで作成、編集した文書ファイルを閉じたときにそのファイルに感染する。
感染すると、「ツール」/「オプション」/[全般]タブの「マクロウイルスを自動検出する」、「文書を開くときにファイル形式を確認する」及び[保存]タブの「標準設定を変更するかどうか確認する」の項目をオフに設定する。
発病機能はない。
このウイルスは、日本語版MSword97/98/2000及び英語版MSword97/2000で感染する。
X97M/Manalo (Excel97Macro/Manalo)
このウイルスは、マイクロソフト社のExcel(以下MSexcel)を介して感染するウイルスである。
ウイルスに感染したデータファイルを読み込むと、XLStartフォルダに、「C
B I.XLS」というウイルスに感染したファイルを作成し、そのMSexcelに感染する。
以降感染したMSexcelで作成、編集したデータファイルを閉じるときにそのファイルに感染する。
感染すると、ファイルには、INC、85Yearsという非表示のワークシートが作成される。
このウイルスは、日本語版MSexcel97/2000及び英語版MSexcel97/2000で感染する。
(2)届出の届出者別件数は次のとおりである。一番多い届出は、一般法人ユーザからのもので、約95%を占めている。
届 出 者 |
届 出 件 数 |
|||||
| 2000/5 | 2000/1〜5 | '99合計 | ||||
| 一般法人ユーザ | 856 | 95.1% | 2512 | 91.6% | 2859 | 78.4% |
| 情 報 産 業 | 6 | 0.7% | 64 | 2.3% | 203 | 5.6% |
| 教育・研究機関 | 9 | 1.0% | 45 | 1.6% | 227 | 6.2% |
| 個 人 ユ ー ザ | 29 | 3.2% | 120 | 4.4% | 356 | 9.8% |
(3)届出の地域別件数は次のとおりである。関東地方が最も多く、続いて中部地方、近畿地方の順となっている。
地 域 |
届 出 件 数 | |||||
| 2000/5 | 2000/1〜5 | '99合計 | ||||
| 北海道 地 方 | 4 | 0.4% | 19 | 0.7% | 34 | 0.9% |
| 東 北 地 方 | 5 | 0.6% | 26 | 0.9% | 89 | 2.4% |
| 関 東 地 方 | 806 | 89.6% | 2304 | 84.1% | 2476 | 67.9% |
| 中 部 地 方 | 37 | 4.1% | 159 | 5.8% | 293 | 8.0% |
| 近 畿 地 方 | 36 | 4.0% | 179 | 6.5% | 547 | 15.0% |
| 中 国 地 方 | 6 | 0.7% | 18 | 0.7% | 107 | 2.9% |
| 四 国 地 方 | 0 | 0% | 7 | 0.3% | 25 | 0.7% |
| 九 州 地 方 | 6 | 0.7% | 29 | 1.1% | 74 | 2.0% |
(4)届出から感染経路を区分けすると次の表のようになる。海外からのメールも含めたメールにより感染したケースが最も多く、大部分を占めており、不明を除いた届出件数の約96%を占めている。
感 染 経 路 |
届 出 件 数 | |||||
| 2000/5 | 2000/1〜5 | '99合計 | ||||
| メールにより感染したケース | 295 | 32.8% | 1697 | 61.9% | 2175 | 59.7% |
| 海外からのメールにより感染したケース | 539 | 59.9% | 667 | 24.3% | 268 | 7.4% |
| ネットワークからのダウンロードにより感染したケース | 9 | 1.0% | 37 | 1.3% | 195 | 5.3% |
| 外部からの媒体で感染したケース | 27 | 3.0% | 194 | 7.1% | 589 | 16.2% |
| 海外からの媒体で感染したケース | 0 | 0% | 0 | 0% | 22 | 0.6% |
| 不 明 | 30 | 3.3% | 146 | 5.3% | 396 | 10.9% |
(5)届出のあったウイルスが感染させたパソコンの台数は次のとおりである。感染台数の欄0台は、FDのみの感染またはファイルのみの感染を示し、事前の検査により、パソコンに感染する前にウイルスを発見したものである。
感 染 台 数 |
届 出 件 数 | |||||
| 2000/5 | 2000/1〜5 | '99合計 | ||||
| 0台 | 792 | 88.0% | 2217 | 80.9% | 1692 | 46.4% |
| 1台 | 76 | 8.4% | 362 | 13.2% | 1316 | 36.1% |
| 2台以上 5台未満 | 21 | 2.3% | 119 | 4.3% | 401 | 11.0% |
| 5台以上10台未満 | 9 | 1.0% | 32 | 1.2% | 122 | 3.3% |
| 10台以上20台未満 | 0 | 0% | 5 | 0.2% | 64 | 1.8% |
| 20台以上50台未満 | 0 | 0% | 1 | 0.0% | 33 | 0.9% |
| 50台以上 | 2 | 0.2% | 5 | 0.2% | 17 | 0.5% |
特定日発病ウイルスについて
ウイルスの被害の拡大を防止する意味から、今回は、IPAに届出されたウイルスの中で、6月7日〜7月31日に発病する可能性がある主なウイルスを下記に掲げた。(参考:特定日発病ウイルス[ウイルスカレンダー]
)
発病してからではデータを破壊される等修復が困難となるので市販のワクチンソフト等を用いて、発病する前に発見・駆除することを望む。(駆除方法についてはIPAまで)
(1)W97M/Opey(Word97Macro/Opey)
このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。
ウイルスに感染した文書ファイルを開くと、そのMSwordに感染し、
さらにMSwordのメニューの「ツール」/「オプション」/ユーザー情報タブの
名前を 「OPEY.A」
頭文字を 「LOVE」
住所を 「CNNHS B'92 PHILIPPINES(CNSC)」
に変更する。
特定日に下記の操作を行うと発病し、Autoexec.batにフィリピンの記念日などに関するメッセージを書き込む。
・感染した文書ファイルを開いたとき。
・感染したMSwordで次の操作を行ったとき。
MSwordを起動及び終了したとき。
文書ファイルを作成、開く、印刷、保存、閉じたとき。
文書ファイルのページ設定を変更したとき。
特定日と書き込まれるメッセージは次のとおり。
| 12/25または1/1 | MERRY CHRISTMAS AND HAPPY NEW YEAR!!! |
| 2/14 | HAPPY VALENTINES DAY!!! |
| 4/1(除木曜日) | HAPPY LABOR DAY!!! |
| 6/12 | HAPPY INDEPENDENCE DAY!!! |
| 11/1 | HAPPY HALLOWEEN!!! |
| 11/30 | BONIFACIO DAY!!! |
| 12/30 | REZAL DAY!!! |
| 4月の木、金、土曜日 | HOLY WEEK!!! |
| 届出年 | 1998 | 1999 | 2000/1〜5 | 合 計 |
| 届出件数 | 0 | 6 | 7 | 13 |
(2)W32/CIH
このウイルスは常駐型でWindows95/98の32ビット実行形式ファイルに感染するファイル感染型ウイルスである。
感染したファイルを実行すると、メモリに常駐し、プログラムの実行、ファイルのコ
ピー等でオープンしたプログラムファイルに感染する。発病するとハードディスクの先
頭部分を無意味なデータで上書きするため、ディスク内容にアクセスできなくなる。
また、コンピュータが使用しているチップセットが、インテル430TXかその互換
チップの場合には、BIOS ROMのブートブロックに無意味なデータを上書きして、内容を破壊する。
このウイルスには、4月26日発病、6月26日発病等の種類がある。
| 届出年 | 1998 | 1999 | 2000/1〜5 | 合 計 |
| 届出件数 | 34 | 297 | 68 | 399 |
IPA(情報処理振興事業協会)セキュリティセンターウイルス対策室
TEL 03-5978-7508 FAX 03-5978-7518 E-mail virus@ipa.go.jp