2000年8月4日
情報処理振興事業協会
情報処理振興事業協会(略称IPA・村岡茂生理事長)は、2000年7月のコンピュータウイルスの発見届出状況をまとめた。
●発見届出件数
700件(先月549件、1月〜7月累計3,990件)
['99年7月 299件、'99年一年間3,645件(月平均約304件)、'99年1月〜7月:2,235件]
['90年4月から2000年7月までの届出総数15,832件]
●発見届出状況
発見届出件数は700件と、VBS/LOVELETTERウイルスの届出により急増した2000年5月の900件に次ぐ、過去第2位の件数となった。特にVBS/Stagesウイルスの届出が246件と、1種類のウイルスの月間届出件数としてVBS/LOVELETTER(2000年5月346件)に次いで過去第2位となった。また、1月から7月までの累計届出件数は、 昨年1年間の届出件数を越えており、年間の過去最高を更新している。
感染経路は、メールによるものが97%(不明を除く)と、ほとんどを占めている。
届出ウイルスの種類は38種類で、一番届出の多かったウイルスは、VBS/Stagesが246件(先月11件)である。次いでXM/Larouxが66件(先月88件)、Wscript/Kakwormが57件(先月31件)であった。 7月の新種ウイルスは、「W97M/Smac」「W97M/Proverb」「W97M/Claud」「W97M/JulyKiller」 の4種類である。
先月新種ウイルスとして登録された「VBS/Stages」の届出が急増し、今月は246件(先月11件)となった。このウイルスはVBS(Visual Basic Script)タイプのスクリプトウイルスでメールに添付されて感染が拡がる。メールに添付されているファイル名(LIFE_STAGES.TXT.SHS)の拡張子は「SHS」(スクラップファイル)である。
なお、このSHS拡張子は、Windows上ではファイル名称の表示時に「.SHS」拡張子部分が表示されないので注意すること。Outlookのアドレス帳からアドレスを盗んで送信するので、特に知合いからの添付メールには注意し、「不用意に添付ファイルを実行(ダブルクリック)しないこと」を常に心がける必要がある。
VBS/Stagesの詳細は、こちらを参照。
また、今までに届出されたウイルスのデータベースをIPAのWebサイトに掲載しているので、参照されたい。(2)メール機能悪用ウイルス届出増加・年間届出件数が過去最高に、実害は減少傾向
1月から7月までの累計届出件数3,990件は、昨年1年間の届出件数3,645件を越えており、年間の過去最高を更新している。ただし感染実害は1月から7月までの累計で690件と、昨年同時期累計の1417件に比べて半分以下になっている。
メール機能を悪用するウイルスによる感染が顕著で、感染経路のうち海外を含むメールによるものは、98年40.6%、99年67.0%、2000年上半期86.0%と急激に増加している。一旦感染すると、メール機能を使って、非常に多くの相手先に一瞬でウイルスが撒かれることになる。
事前の感染防止のためには、添付ファイルの取り扱いには十分な注意が必要である。添付ファイルの具体的な取り扱いについてまとめた「メールの添付ファイルの取り扱い5つの心得」を参照のこと。(3)危ないWEBサイト
最近、ウイルスに感染したかのようなメッセージを表示するWebサイトやウイルスに似通った妙な動作を起こすプログラムに関する相談や届出が寄せられている。代表的な相談例を次に示す。
(相談例)
1.Webサイトを見に行ったら、「あなたのマシンはウイルスに感染した。」「修復には、このプログラムを実行する必要がある。」と表示されたので、ダウンロードして実行すると、パソコンの調子がおかしくなった。
2.知人から受け取ったメールの署名欄のURLを見に行ったところ、いきなりダウンロードが始まりファイルが保存された。そのファイルを実行後、メール送信時に、署名欄に特定のWebサイトのURLが追加されるようになった。
これらの例はいずれもウイルスではなかったが、このようなトラブルに巻き込まれないためには、ダウンロードファイルを安易に実行しないことが重要である。
参照:安易なダウンロードがもたらす大きな被害について
コンピュータウイルスに関する届出制度は、通商産業省のコンピュータウイルス対策基準に基づき、'90年4月にスタートした制度であって、コンピュータウイルスを発見したものは被害の拡大と再発を防ぐために必要な情報をIPAに届け出ることとされている。
IPAでは、個別に届出者への対応を行っているが、同時に受理した届出等を基に、コンピュータウイルス対策を検討している。また受理した届出は、届出者のプライバシー
を侵害することがないように配慮した上で、被害等の状況を分析し、検討結果を定期的に公表している。
○コンピュータウイルス対策基準
・通商産業省告示第139号 平成2年4月10日制定
・通商産業省告示第429号 平成7年7月 7日改訂
・通商産業省告示第535号 平成9年9月24日改訂
今月、届出のあったウイルスは38種類であった。 届出件数の多いウイルスは、VBS/Stagesが246件、 XM/Laroux が66件となっている。初めて届けられたウイルスは、 「W97M/Smac」「W97M/Proverb」「W97M/Claud」「W97M/JulyKiller」の4種類(※印)である。 (マクロウイルス、スクリプトウイルス 593件、Windows、DOS、MACウイルス 107件)
| マクロウイルス | 届出件数 | スクリプトウイルス | 届出件数 |
| XM/Laroux | 66 | VBS/Stages |
246 |
| W97M/Marker | 29 | Wscript/KakWorm | 57 |
| W97M/X97M/P97M/Tristate | 25 | VBS/LOVELETTER | 55 |
| X97M/Divi | 17 | VBS/Netlog | 1 |
| W97M/Ethan | 16 | ||
| W97M/Smac(※) | 15 | ||
| XM/VCX.A | 10 | Windows、DOSウイルス | 届出件数 |
| W97M/Class | 8 | W32/Ska | 48 |
| W97M/Proverb(※) | 7 | W32/PrettyPark | 31 |
| W97M/Thus | 7 | AntiCMOS | 17 |
| W97M/Myna | 6 | Cascade | 3 |
| WM/Cap | 5 | B1 | 2 |
| W97M/Melissa | 4 | W32/Fix2001 | 2 |
| W97M/Chack | 3 | Form | 1 |
| W97M/Claud(※) | 3 | W32/CIH | 1 |
| W97M/Opey | 2 | Stoned | 1 |
| W97M/Pri | 2 | ||
| W97M/Taro | 2 | ||
| XF/Sic | 2 | ||
| W97M/JulyKiller(※) | 1 | ||
| W97M/Panther | 1 | ||
| W97M/Story | 1 | ||
| W97M/Verlor | 1 | Macintoshウイルス | 届出件数 |
| W97M/Walker | 1 | AutoStart9805 |
1 |
注)
ウイルス名欄で、
XM、XFは、MSexcel95、97で動作するウイルス。(ExcelMacro、ExcelFormulaの略)
W97Mは、MSword97で動作するウイルス。(Word97Macroの略)
W97M/X97M/P97Mは、MSword97、MSexcel97、MSpowerpoint97で動作するウイルスを示す。
(Word97Macro/Excel97Macro/PowerPoint97Macroの略)
X97Mは、MSexcel97で動作するウイルス。(Excel97Macroの略)
WMは、MSword95で動作するウイルス。(WordMacroの略)
W32/は、Windows32ビット環境下で動作するウイルスを示す。
VBS/は、VisualBasicScriptで記述されているウイルスを示す。
Wscriptは、WindowsScriptingHost環境下(VBSを除く)で動作するウイルスを示す。
7月の届出の中で、検査発見・駆除修復に使われたウイルス対策ソフト及びベンダーを参考に示す。
| 検査発見・駆除修復に使われたウイルス対策ソフト | |
| ソフト名(50音順) | ベンダー名 |
| F-SECURE(F-PROT) | (株)山田洋行 |
| InocuLAN | コンピュータ・アソシエイツ(株) |
| Inter Scan | トレンドマイクロ(株) |
| Norton AntiVirus | (株)シマンテック |
| ServerProtect | トレンドマイクロ(株) |
| VirusScan | 日本ネットワークアソシエイツ(株) |
| ウイルスバスター | トレンドマイクロ(株) |
(1)7月にIPAに初めて届け出のあったウイルスの概要を記述する。
W97M/Smac (Word97Macro/Smac)
このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。ウイルスに感染した文書ファイルを読み込むと、そのMSwordに感染する。
また、Cドライブにbdoc.txtという名称のファイルを作成して、ウイルスコードをコピーする。感染したMSwordで作成、編集した文書ファイルを閉じたときにそのファイルに感染する。
感染すると、「ツール」/「オプション」/[全般]タブの「マクロウイルスを自動検出する」の項目をオフに設定する。また、「ツール」メニューが使えなくなる。
9月2日に感染した文書ファイルを閉じると、または、毎月13日に感染しているMSwordを終了すると、中国語のメッセージ(日本語版では文字化けする。)を表示する。
このウイルスは、日本語版MSword97/98/2000、英語版MSword97/2000で感染・発病する。
W97M/Proverb (Word97Macro/Proverb)
このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。ウイルスに感染した文書ファイルを読み込むと、そのMSwordに感染する。感染したMSwordで作成、編集した文書ファイルを閉じたときにそのファイルに感染する。
感染すると、「ツール」/「オプション」/[全般]タブの「マクロウイルスを自動検出する」の項目をオフに設定する。
発病機能はない。
このウイルスは、日本語版MSword97/98/2000、英語版MSword97/2000で感染する。
W97M/Claud (Word97Macro/Claud)
このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。ウイルスに感染した文書ファイルを読み込むと、そのMSwordに感染する。感染したMSwordで作成、編集した文書ファイルを閉じたときにそのファイルに感染する。
感染すると、「ツール」/「オプション」/[全般]タブの「マクロウイルスを自動検出する」の項目をオフに設定する。
発病機能はない。
このウイルスは、日本語版MSword97/98/2000、英語版MSword97/2000で感染する。
W97M/JulyKiller (Word97Macro/JulyKiller)
このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。ウイルスに感染した文書ファイルを読み込むと、そのMSwordに感染する。また、C:\ にAutoexec.dotというファイルを作成し、ウイルスコードをコピーする。感染したMSwordで作成、編集した文書ファイルを閉じたときにそのファイルに感染する。
感染すると、「ツール」/「オプション」/[全般]タブの「マクロウイルスを自動検出する」の項目をオフに設定する。
7月に感染した文書ファイルを開くか、感染したMSwordで文書ファイルを閉じたときに発病し、台湾語(日本語版では文字化けする。)のダイアログボックスを表示する。キャンセルボタンをクリックすると、再びダイアログボックスを表示する。続けて2回(最初の操作から連続して3回)キャンセルボタンをクリックすると、Stop it! you are so incurable to lose 3 chances! Now, god will punish you..
というメッセージを表示する。そして、再起動すると、Cドライブの全てのファイルが削除されるように、Autoexec.batファイルの内容を変更する。
このウイルスは、日本語版MSword97/98/2000で感染・発病する。
(2)届出の届出者別件数は次のとおりである。一番多い届出は、一般法人ユーザからのもので、約96%を占めている。
届 出 者 |
届 出 件 数 |
|||||
| 2000/7 | 2000/1〜7 | '99合計 | ||||
| 一般法人ユーザ | 671 | 95.9% | 3708 | 92.9% | 2859 | 78.4% |
| 情 報 産 業 | 12 | 1.7% | 79 | 2.0% | 203 | 5.6% |
| 教育・研究機関 | 3 | 0.4% | 52 | 1.3% | 227 | 6.2% |
| 個 人 ユ ー ザ | 14 | 2.0% | 151 | 3.8% | 356 | 9.8% |
(3)届出の地域別件数は次のとおりである。関東地方が最も多く、続いて近畿地方、中部地方の順となっている。
地 域 |
届 出 件 数 | |||||
| 2000/7 | 2000/1〜7 | '99合計 | ||||
| 北海道 地 方 | 2 | 0.3% | 24 | 0.6% | 34 | 0.9% |
| 東 北 地 方 | 3 | 0.4% | 37 | 0.9% | 89 | 2.4% |
| 関 東 地 方 | 633 | 90.4% | 3410 | 85.5% | 2476 | 67.9% |
| 中 部 地 方 | 29 | 4.1% | 223 | 5.6% | 293 | 8.0% |
| 近 畿 地 方 | 31 | 4.4% | 233 | 5.8% | 547 | 15.0% |
| 中 国 地 方 | 0 | 0% | 20 | 0.5% | 107 | 2.9% |
| 四 国 地 方 | 1 | 0.1% | 9 | 0.2% | 25 | 0.7% |
| 九 州 地 方 | 1 | 0.1% | 34 | 0.9% | 74 | 2.0% |
(4)届出から感染経路を区分けすると次の表のようになる。海外からのメールも含めたメールにより感染したケースが最も多く、大部分を占めており、不明を除いた届出件数の約97%を占めている。
感 染 経 路 |
届 出 件 数 | |||||
| 2000/7 | 2000/1〜7 | '99合計 | ||||
| メール | 262 | 37.4% | 2283 | 57.2% | 2175 | 59.7% |
| 海外からのメール | 365 | 52.1% | 1172 | 29.4% | 268 | 7.4% |
| ダウンロード | 3 | 0.4% | 43 | 1.1% | 195 | 5.3% |
| 外部からの媒体 | 13 | 1.9% | 236 | 5.9% | 589 | 16.2% |
| 海外からの媒体 | 1 | 0.1% | 1 | 0% | 22 | 0.6% |
| 不 明 | 56 | 8.0% | 255 | 6.4% | 396 | 10.9% |
(5)届出のあったウイルスが感染させたパソコンの台数は次のとおりである。感染台数の欄0台は、FDのみの感染またはファイルのみの感染を示し、事前の検査により、パソコンに感染する前にウイルスを発見したものである。
感 染 台 数 |
届 出 件 数 | |||||
| 2000/7 | 2000/1〜7 | '99合計 | ||||
| 0台 | 618 | 88.3% | 3300 | 82.7% | 1692 | 46.4% |
| 1台 | 60 | 8.6% | 474 | 11.9% | 1316 | 36.1% |
| 2台以上 5台未満 | 15 | 2.1% | 158 | 4.0% | 401 | 11.0% |
| 5台以上10台未満 | 6 | 0.9% | 42 | 1.1% | 122 | 3.3% |
| 10台以上20台未満 | 1 | 0.1% | 7 | 0.2% | 64 | 1.8% |
| 20台以上50台未満 | 0 | 0% | 2 | 0.1% | 33 | 0.9% |
| 50台以上 | 0 | 0% | 7 | 0.2% | 17 | 0.5% |
特定日発病ウイルスについて
ウイルスの被害の拡大を防止する意味から、今回は、IPAに届出されたウイルスの中で、8月4日〜9月30日に発病する可能性がある主なウイルスを下記に掲げた。(参考:特定日発病ウイルス[ウイルスカレンダー]
)
発病してからではデータを破壊される等修復が困難となるので市販のワクチンソフト等を用いて、発病する前に発見・駆除することを望む。(駆除方法についてはIPAまで)
(1)W97M/Marker(Word97Macro/Marker)
このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。 このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。 ウイルスに感染した文書ファイルを開いて閉じるときに、そのMSwordに感染する。そして感染したMSwordで作成、更新した文書ファイルを閉じるときに、文書ファイルに感染する。| 届出年 | 1998 | 1999 | 2000/1〜7 | 合 計 |
| 届出件数 | − | 116 | 232 | 348 |
(2)W97M/Protected(Word97Macro/Protected)
このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染する ウイルスである。| 届出年 | 1998 | 1999 | 2000/1〜7 | 合 計 |
| 届出件数 | − | 18 | 0 | 18 |
IPA(情報処理振興事業協会)セキュリティセンターウイルス対策室
TEL 03-5978-7508 FAX 03-5978-7518 E-mail virus@ipa.go.jp