2000年7月7日
情報処理振興事業協会
情報処理振興事業協会(略称IPA・村岡茂生理事長)は、2000年6月のコンピュータウイルスの発見届出状況をまとめた。
●発見届出件数
549件(先月900件、1月〜6月累計3,290件)
['99年6月 385件、'99年一年間3,645件(月平均約304件)、'99年1月〜6月:1,936件]
['90年4月から2000年6月までの届出総数15,132件]
●発見届出状況
発見届出件数は549件と、VBS/LOVELETTERウイルス事件が落ち着いてきたこともあり、先月の900件に比べ減少しているものの、史上第2位の500件を越える件数となった。
感染経路は、メールにより感染したケースが最も多く、海外からのメールにより感染したケースを含めると不明を除いた届出件数の約94%を占めている。
届出ウイルスの種類は34種類で、一番届出の多かったウイルスは、VBS/LOVELETTERが149件 (先月346件)であるが、このうち、6月に発見されたケースは1割弱の14件と前月の騒ぎから鎮静化の方向に進んでいる(5月の発見の事後報告が残り9割)。次いでXM/Larouxが88件(先月104件)、W97M/Markerが53件(先月34件)であった。
6月の新種ウイルスは、「VBS/Stages」「VBS/Netlog」「W97M/Walker」「XF/Sic」の4種類である。
2000年上半期のウイルス発見届出件数は、3,290件となった。このうち、添付ファイルを受け取ったのみ等のパソコン感染前に発見し感染に至らなかった件数は、2,682件と、約82%を占めており、ウイルス対策が浸透し、その効果により実際の感染被害の増加が抑制されていると考えられる。2000年上半期の届出状況を前年(1999年1年間)のデータを併記してまと めた「2000年上半期(1月〜6月)ウイルス発見届出状況」を添付する。
(2)「VBS/Stages」ウイルスについて 6月の新種ウイルスである「VBS/Stages」は、VBS(Visual Basic Script)タイプのスクリプトウイルスであるが、添付されているファイル名の拡張子は「SHS」(スクラップファイル)であるので、ウイルス定義ファイルを更新するとともに、ワクチンソフトの検査対象に、拡張子がSHSのファイルも追加すること。なお、このSHS拡張子は、Windows上では、ファイル名称の表示時に「.SHS」拡張子部分が表示されないので注意すること。
参考:新ウイルス「VBS/Stages」に関する情報メール機能を悪用するウイルスが増加しており、添付ファイルの取り扱いには十分な注意が必要である。特に怪しげな添付ファイル付きのメールは、知合いからのものこそ注意すべきである。
「不用意に添付ファイルを実行(ダブルクリック)しないこと」を常に心がける必要がある。
添付ファイルの具体的な取り扱いについてまとめた「メールの添付ファイルの取り扱い5つの心得」を添付する。
インターネットのWEBページからダウンロードしたプログラムによりトラブルに遭ったユーザから、ウイルスに感染したのではないかとの問合せが数多く寄せられている。ついうっかりとプログラムをダウンロードし実行してしまうと、それが悪意あるプログラムであった場合には、ハードディスクのデータが破壊されるなどのさまざまなトラブルを招くことがある。これらのプロ グラムはウイルスではないケースが多く、従ってワクチンソフトでは検出されない可能性が高いので、検査によってウイルスが検出されないからといって安全とは言えない。
「信頼できるサイト以外からはプログラムをダウンロードしないこと」 を守り、トラブルに遭わないようにユーザ自身が自己の責任で対処することが必要である。
インターネットを利用する上で、プログラムのダウンロードによるトラブル防止についてまとめた「安易なダウンロードがもたらす大きな被害について」を添付する。
コンピュータウイルスに関する届出制度は、通商産業省のコンピュータウイルス対策基準に基づき、'90年4月にスタートした制度であって、コンピュータウイルスを発見したものは被害の拡大と再発を防ぐために必要な情報をIPAに届け出ることとされている。
IPAでは、個別に届出者への対応を行っているが、同時に受理した届出等を基に、コンピュータウイルス対策を検討している。また受理した届出は、届出者のプライバシー
を侵害することがないように配慮した上で、被害等の状況を分析し、検討結果を定期的に公表している。
○コンピュータウイルス対策基準
・通商産業省告示第139号 平成2年4月10日制定
・通商産業省告示第429号 平成7年7月 7日改訂
・通商産業省告示第535号 平成9年9月24日改訂
今月、届出のあったウイルスは34種類であった。届出件数の多いウイルスは、VBS/LOVELETTERが149件、 XM/Laroux が88件となっている。初めて届けられたウイルスは、「VBS/Stages」 「VBS/Netlog」「W97M/Walker」「XF/Sic」 の4種類(※印)である。(マクロウイルス、スクリプトウイルス 454件、Windows、DOS、MACウイルス 95件)
| マクロウイルス | 届出件数 | Windows,DOSウイルス | 届出件数 |
| XM/Laroux | 88 | W32/Ska | 51 |
| W97M/Marker | 53 | W32/PrettyPark | 24 |
| W97M/Ethan | 25 | W32/Fix2001 | 11 |
| W97M/Class | 15 | アンチシーモス | 4 |
| W97M/Thus | 15 | W32/CIH | 2 |
| W97M/X97M/P97M/Tristate | 12 | W32/Marburg | 1 |
| X97M/Divi | 10 | ||
| W97M/Walker(※) | 9 | ||
| W97M/Melissa | 6 | ||
| XM/VCX.A | 5 | ||
| W97M/Locale | 3 | ||
| W97M/Myna | 3 | ||
| W97M/Chack | 2 | ||
| W97M/Eight941 | 2 | ||
| W97M/Vmpck1 | 2 | ||
| W97M/Astia | 1 | ||
| W97M/Jedi | 1 | ||
| W97M/Nono | 1 | ||
| W97M/Opey | 1 | ||
| W97M/Story | 1 | ||
| WM/Cap | 1 | ||
| XM/Extras | 1 | ||
| XF/Sic(※) | 1 | ||
| スクリプトウイルス | 届出件数 | Macintoshウイルス | 届出件数 |
| VBS/LOVELETTER | 149 | AutoStart9805 | 2 |
| Wscript/KakWorm | 31 | ||
| VBS/Stages(※) | 11 | ||
| VBS/Netlog(※) | 5 |
注)
ウイルス名欄で、
XM、XFは、MSexcel95、97で動作するウイルス。(ExcelMacro、ExcelFormulaの略)
W97Mは、MSword97で動作するウイルス。(Word97Macroの略)
W97M/X97M/P97Mは、MSword97、MSexcel97、MSpowerpoint97で動作するウイルスを示す。
(Word97Macro/Excel97Macro/PowerPoint97Macroの略)
X97Mは、MSexcel97で動作するウイルス。(Excel97Macroの略)
WMは、MSword95で動作するウイルス。(WordMacroの略)
W32/は、Windows32ビット環境下で動作するウイルスを示す。
VBS/は、VisualBasicScriptで記述されているウイルスを示す。
Wscriptは、WindowsScriptingHost環境下(VBSを除く)で動作するウイルスを示す。
6月の届出の中で、検査発見・駆除修復に使われたウイルス対策ソフト及びベンダーを参考に示す。
| 検査発見・駆除修復に使われたウイルス対策ソフト | |
| ソフト名(50音順) | ベンダー名 |
| F-SECURE(F-PROT) | (株)山田洋行 |
| InocuLAN | コンピュータ・アソシエイツ(株) |
| Inter Scan | トレンドマイクロ(株) |
| NetShield | 日本ネットワークアソシエイツ(株) |
| Norton AntiVirus | (株)シマンテック |
| ServerProtect | トレンドマイクロ(株) |
| Sophos Anti-Virus | (株)シー・エス・イー |
| VirusScan | 日本ネットワークアソシエイツ(株) |
| WebShield | 日本ネットワークアソシエイツ(株) |
| ウイルスバスター | トレンドマイクロ(株) |
(1)6月にIPAに初めて届け出のあったウイルスの概要を記述する。
VBS/Stages(VisualBasicScript/Stages)
このウイルスは通常、LIFE_SATAGES.TXT.SHSというファイル名で、電子メールの添付ファイル
として広がっていく。
WSH(※)がインストールされている環境で、このウイルスを実行すると、男性と女性の人生に
関するテキスト文字列を表示し、自分自身をWindowsフォルダにコピーする。
次に、次回起動時にウイルスが自動実行されるようにレジストリを変更する。
そして、Outlookがインストールされている場合は、登録されているアドレス100件に
対して、以下の内容のメールに、LIFE_STAGES.TXT.SHSというファイルを添付して送信する。
件名:Funny他
本文:The male and female stages of life.
また、mIRC、PIRTHというIRCクライアントソフトがインストールされている場合は、
チャットを介して、LIFE_STAGES.TXT.SHSを送信するように、設定を変更する。
(※Windows Scripting Host)
VBS/Netlog(VisualBasicScript/Netlog)
このウイルスは通常、network.vbsというファイル名で、インターネット経由またはLAN経由で
感染する。
WSHがインストールされている環境で、このウイルスを実行すると、Cドライブに、
network.logというファイルを作成する。
次にネットワーク上にCという名前で共有されているドライブを検索し、発見すると、
c:\、c:\Windows、c:\Windows\start menu\programs\statup、c:\win95、c:\Win95\start menu
\programs\startupに、network.vbsというファイル名で自分自身をコピーする。
発病機能はない。
W97M/Walker(Word97Macro/Walker)
このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。
ウイルスに感染した文書ファイルを読み込むとそのMSwordに感染する。感染したMSwordで作成、
編集した文書ファイルを閉じたときにそのファイルに感染する。
感染すると、「ツール」/「オプション」/[全般]タブの「マクロウイルスを自動検出する」
の項目をオフに設定する。
発病機能はない。
XF/Sic (ExcelFormula/Sic)
このウイルスは、マイクロソフト社のExcel(以下MSexcel)を介して感染するウイルスである。
ウイルスに感染したデータファイルを読み込むと、XLStartフォルダに、「Book1.xls」
というウイルスに感染したファイルを作成し、そのMSexcelに感染する。以降感染した
MSexcelで作成、編集したデータファイルを閉じるときにそのファイルに感染する。
発病は2種類ある。
感染したデータファイルを開いている状態で、
1.午前6時30分になると、
・タイトルバーに表示される名前を「Xf.Classic.Poppy」に書き換える。
・ステータスバーに「VicondinES and Lord Natas greet you a good morning」という文字列を表示する。
2.午後6時30分になると、
・メッセージボックスを続けて2つ表示する。
・表示文字列は「XF.Classic.Poppy by VicodinES」と「c 1998 The Narkotic Network」である。
(2)届出の届出者別件数は次のとおりである。一番多い届出は、一般法人ユーザからのもので、約96%を占めている。
届 出 者 |
届 出 件 数 |
|||||
| 2000/6 | 2000/1〜6 | '99合計 | ||||
| 一般法人ユーザ | 525 | 95.6% | 3037 | 92.3% | 2859 | 78.4% |
| 情 報 産 業 | 3 | 0.5% | 67 | 2.0% | 203 | 5.6% |
| 教育・研究機関 | 4 | 0.7% | 49 | 1.5% | 227 | 6.2% |
| 個 人 ユ ー ザ | 17 | 3.1% | 137 | 4.2% | 356 | 9.8% |
(3)届出の地域別件数は次のとおりである。関東地方が最も多く、続いて中部地方、近畿地方の順となっている。
地 域 |
届 出 件 数 | |||||
| 2000/6 | 2000/1〜6 | '99合計 | ||||
| 北海道 地 方 | 3 | 0.5% | 22 | 0.7% | 34 | 0.9% |
| 東 北 地 方 | 8 | 1.5% | 34 | 1.0% | 89 | 2.4% |
| 関 東 地 方 | 473 | 86.2% | 2777 | 84.4% | 2476 | 67.9% |
| 中 部 地 方 | 35 | 6.4% | 194 | 5.9% | 293 | 8.0% |
| 近 畿 地 方 | 23 | 4.2% | 202 | 6.1% | 547 | 15.0% |
| 中 国 地 方 | 2 | 0.4% | 20 | 0.6% | 107 | 2.9% |
| 四 国 地 方 | 1 | 0.2% | 8 | 0.2% | 25 | 0.7% |
| 九 州 地 方 | 4 | 0.7% | 33 | 1.0% | 74 | 2.0% |
(4)届出から感染経路を区分けすると次の表のようになる。海外からのメールも含めたメールにより感染したケースが最も多く、大部分を占めており、不明を除いた届出件数の約94%を占めている。
感 染 経 路 |
届 出 件 数 | |||||
| 2000/6 | 2000/1〜6 | '99合計 | ||||
| メールにより感染したケース | 324 | 59.0% | 2021 | 61.4% | 2175 | 59.7% |
| 海外からのメールにより感染したケース | 140 | 25.5% | 807 | 24.5% | 268 | 7.4% |
| ネットワークからのダウンロードにより感染したケース | 3 | 0.5% | 40 | 1.2% | 195 | 5.3% |
| 外部からの媒体で感染したケース | 29 | 5.3% | 223 | 6.8% | 589 | 16.2% |
| 海外からの媒体で感染したケース | 0 | 0% | 0 | 0% | 22 | 0.6% |
| 不 明 | 53 | 9.7% | 199 | 6.0% | 396 | 10.9% |
(5)届出のあったウイルスが感染させたパソコンの台数は次のとおりである。感染台数の欄0台は、FDのみの感染またはファイルのみの感染を示し、事前の検査により、パソコンに感染する前にウイルスを発見したものである。
感 染 台 数 |
届 出 件 数 | |||||
| 2000/6 | 2000/1〜6 | '99合計 | ||||
| 0台 | 465 | 84.7% | 2682 | 81.5% | 1692 | 46.4% |
| 1台 | 52 | 9.5% | 414 | 12.6% | 1316 | 36.1% |
| 2台以上 5台未満 | 24 | 4.4% | 143 | 4.3% | 401 | 11.0% |
| 5台以上10台未満 | 4 | 0.7% | 36 | 1.1% | 122 | 3.3% |
| 10台以上20台未満 | 1 | 0.2% | 6 | 0.2% | 64 | 1.8% |
| 20台以上50台未満 | 1 | 0.2% | 2 | 0.1% | 33 | 0.9% |
| 50台以上 | 2 | 0.4% | 7 | 0.2% | 17 | 0.5% |
特定日発病ウイルスについて
ウイルスの被害の拡大を防止する意味から、今回は、IPAに届出されたウイルスの中で、7月7日〜8月31日に発病する可能性がある主なウイルスを下記に掲げた。(参考:特定日発病ウイルス[ウイルスカレンダー]
)
発病してからではデータを破壊される等修復が困難となるので市販のワクチンソフト等を用いて、発病する前に発見・駆除することを望む。(駆除方法についてはIPAまで)
(1)W97M/Vmpck1(Word97Macro/Vmpck1)
このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。| 届出年 | 1998 | 1999 | 2000/1〜6 | 合 計 |
| 届出件数 | − | − | 2 | 2 |
(2)W97M/Protected(Word97Macro/Protected)
このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染する ウイルスである。| 届出年 | 1998 | 1999 | 2000/1〜6 | 合 計 |
| 届出件数 | − | 18 | 0 | 18 |
IPA(情報処理振興事業協会)セキュリティセンターウイルス対策室
TEL 03-5978-7508 FAX 03-5978-7518 E-mail virus@ipa.go.jp