2000年10月6日
情報処理振興事業協会
情報処理振興事業協会(略称IPA・村岡茂生理事長)は、2000年9月のコンピュータウイルスの発見届出状況をまとめた。
●発見届出件数
676件(先月556件、1月〜9月累計5,222件)
['99年9月 332件、'99年一年間3,645件(月平均約304件)、'99年1月〜9月:2,783件]
['90年4月から2000年9月までの届出総数17,064件]
●発見届出状況
発見届出件数は676件。9月の届出中、実際に感染被害に遭ったケースはわずか91件(1割強)であった。
感染経路は、メールによるものが91%と、ほとんどを占めており、内訳では海外からのメールによるものが全体の50%以上となっている。
9月の届出ウイルスは45種類で、新種ウイルスは「W97M/Bablas」「W32/MTX」「W32/QAZ」の3種類であった。
今月の新種ウイルスであるW32/MTXウイルスの届出や相談が数多く寄せられている。このウイルスは、32ビット実行形式のファイルに感染するウイルスであり、W32/Ska(Happy99)ウイルスと同様に、ユーザが送信したE-mailのあて先に自分のコピーを送信し感染を広げる。このウイルスが送信する添付ファイル名は日によって異なり、その拡張子は「PIF」「EXE」「SCR」のいずれかである。特に、PIFファイルはWindows上ではファイル名称の表示時に「.PIF」拡張子部分が表示されないので、テキストファイルなど他の形式と見誤る恐れがあり注意を要する。 このウイルスが動作すると、一瞬にして多くのシステムファイルに感染する可能性が高く、ひとたび感染被害に遭うと、確実な修復のためには、初期化からシステムの再インストールを行わなければならないので、添付ファイルを安易にダブルクリックすることのないよう注意が必要である。
ワクチンソフトのウイルス定義ファイルのアップデートをしていないユーザからの相談がウイルス110番に数多く寄せられている。毎月出現している新しいウイルスの検出駆除を可能にするために、クライアントのマシンでも1〜2週間に一回は必ずウイルス定義ファイルのアップデートを実施するとともに、検査対象に「PIF」等の拡張子を追加することも必要である。
感染被害を防ぐためには、「メールの添付ファイルを不用意に実行しない」というウイルス対策の基本を確実に守ることである。
「メールの添付ファイルの取り扱い5つの心得」を参照のこと。
このウイルスの詳細はこちらを参照。
なお、アップデート情報や検査対象の設定方法は下記サイト及びワクチンベンダーサイトを参照されたい。
「主なワクチンソフトのウイルス定義ファイルの更新履歴一覧」
「主なワクチンソフトの検査対象の設定方法」
(3) 情報セキュリティセミナー開催
IPAは、全国の通商産業局との共催で、情報セキュリティセミナーを10月23日から12月8日の間に、全国14会場(15回)で開催する。本年度は、ウイルス対策及び不正アクセス対策について、「エンドユーザコース」と「管理者コース」の2コースが用意されており、いずれも参加無料である。
開催場所、日程、申込方法等の詳細は、IPAのWEBに掲載済み。
コンピュータウイルスに関する届出制度は、通商産業省のコンピュータウイルス対策基準に基づき、'90年4月にスタートした制度であって、コンピュータウイルスを発見したものは被害の拡大と再発を防ぐために必要な情報をIPAに届け出ることとされている。
IPAでは、個別に届出者への対応を行っているが、同時に受理した届出等を基に、コンピュータウイルス対策を検討している。また受理した届出は、届出者のプライバシーを侵害することがないように配慮した上で、被害等の状況を分析し、検討結果を定期的に公表している。
○コンピュータウイルス対策基準
・通商産業省告示第139号 平成2年4月10日制定
・通商産業省告示第429号 平成7年7月 7日改訂
・通商産業省告示第535号 平成9年9月24日改訂
今月、届出のあったウイルスは45種類であった。
届出件数の多いウイルスは、X97M/Diviが100件、
XM/Laroux が93件となっている。初めて届けられたウイルスは、
「
W97M/Bablas」「W32/MTX」「W32/QAZ」の3種類(※印)である。
(マクロウイルス及びスクリプトウイルス 584件、Windows、DOSウイルス 93件。
1件で複数のウイルス感染の届出がある為、合計は届出件数の 676件に合致しない。)
| マクロウイルス | 届出件数 | マクロウイルス | 届出件数 |
| X97M/Divi | 100 | W97M/Thus | 1 |
| XM/Laroux | 93 | W97M/Verlor | 1 |
| X97M/Barisada | 50 | X97M/Sugar | 1 |
| W97M/X97M/P97M/Tristate | 34 | XF/Sic | 1 |
| W97M/Marker | 27 | ||
| W97M/Class | 13 | スクリプトウイルス | 届出件数 |
| W97M/Ethan | 9 | VBS/LOVELETTER | 82 |
| W97M/Melissa | 9 | VBS/Stages | 57 |
| XM/VCX.A | 8 | Wscript/KakWorm | 57 |
| W97M/X97M/Shiver | 6 | VBS/Freelink | 1 |
| W97M/Locale | 5 | VBS/Netlog | 1 |
| W97M/Vmpck1 | 5 | Windows、DOSウイルス | 届出件数 |
| W97M/Groov | 3 | W32/PrettyPark | 29 |
| W97M/Myna | 3 | W32/Ska(Happy99) | 26 |
| WM/Cap | 3 | W32/MTX(※) | 11 |
| W97M/Eight941 | 2 | W32/Funlove | 8 |
| W97M/Panther | 2 | W32/CIH | 5 |
| W97M/Smac | 2 | W32/Fix2001 | 5 |
| W97M/Story | 2 | Anti-CMOS | 3 |
| W97M/Walker | 2 | Form | 2 |
| W97M/Bablas(※) | 1 | Anti-Telefonica | 1 |
| W97M/Chack | 1 | MCGY2803 | 1 |
| W97M/Nsi | 1 | W32/Marburg | 1 |
| W97M/Opey | 1 | W32/QAZ(※) | 1 |
注) ウイルス名欄で、各記号はそれぞれの下記ウイルスを示す。
| 記号 | 対象ウイルス |
| WM | MSword95(WordMacroの略) |
| W97M | MSword97(Word97Macroの略) |
| XM、XF | MSexcel95、97(ExcelMacro、ExcelFormulaの略) |
| X97M | MSexcel97(Excel97Macro) |
| W97M/X97M/P97M | MSword97、MSexcel97、MSpowerpoint97(Word97Macro、Excel97Macro、PowerPoint97Macroの略) |
| W32 | Windows32ビット環境下で動作 |
| VBS | VisualBasicScriptで記述 |
| Wscript | WindowsScriptingHost環境下で動作(VBSを除く) |
9月の届出の中で、検査発見・駆除修復に使われたウイルス対策ソフト及びベンダーを参考に示す。
| 検査発見・駆除修復に使われたウイルス対策ソフト | |
| ソフト名(50音順) | ベンダー名 |
| F-SECURE(F-PROT) | (株)山田洋行 |
| Inoculan | コンピュータ・アソシエイツ(株) |
| Inter Scan | トレンドマイクロ(株) |
| NortonAntiVirus | (株)シマンテック |
| Protector Plus | Proland Software |
| ServerProtect | トレンドマイクロ(株) |
| Virus Scan | 日本ネットワークアソシエイツ(株) |
| Web Shield | 日本ネットワークアソシエイツ(株) |
| ウイルスバスター | トレンドマイクロ(株) |
(1)9月にIPAに初めて届け出のあったウイルスの概要を記述する。
W97M/Bablas (Wordl97Macro/Bablas)
このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。
ウイルスに感染した文書ファイルを読み込むと、そのMSwordに感染する。
感染したMSwordで作成、編集した文書ファイルを閉じたときにそのファイルに感染する。
感染すると、「ツール」/「オプション」/[全般]タブの「マクロウイルスを自動検出する」、[保存]タブの「保存時にプロパティを確認する」の項目をオフに設定する。
金曜日または日曜日の00:00:00から20:59:59の間に感染しているWordを終了すると発病し、ビープ音をならし、インドネシア語のメッセージを表示する。
このウイルスは、日本語版MSword97/98/2000、英語版MSword97/2000版で感染・発病する。
W32/MTX
このウイルスは、32ビット実行形式のファイルに感染するウイルスである。
感染したファイルを実行すると、Windowsフォルダに、ウイルス及び関連ファイルを作成する。そして、システム起動時に、ウイルスが実行されるようにレジストリを変更する。
また、Windowsフォルダ、テンポラリフォルダ゙、カレントフォルダ内を検索し、32ビット実行形式のファイルに感染する。
感染したマシンを再起動しメールを送信すると、同じアドレスに、ウイルスを添付した件名および本文が空白のメールを送信する。添付ファイル名はメールの送信日により異なる。
また、特定ワクチンベンダー等のWebサイトにアクセスできなくなる。
このウイルスは、Windows95/98環境で感染・発病する。
W32/QAZ
このウイルスは、Windows32ビット環境で動作するトロイの木馬型ウイルスである。
このウイルスを実行すると、システム起動時にウイルスが動作するように、レジストリを変更する。そして、Windowsフォルダ内のnotepad.exeをnote.comというファイル名に変更し、自分自身のコピーをnotepad.exeというファイル名で、Windowsフォルダに作成する。
また、LAN上のドライブを検索し、notepad.exeファイルが存在した場合にも、同様の動作を行い感染する。
ファイルの破壊等の発病はないが、このウイルスが実行されメモリに常駐すると、外部からのリモートアクセスを受入れる設定にされる。
(2)届出の届出者別件数は次のとおりである。一番多い届出は、一般法人ユーザからのもので、約97%を占めている。
届 出 者 |
届 出 件 数 |
|||||
| 2000/9 | 2000/1〜9 | '99合計 | ||||
| 一般法人ユーザ | 658 | 97.3% | 4908 | 94.0% | 2859 | 78.4% |
| 情 報 産 業 | 3 | 0.4% | 82 | 1.6% | 203 | 5.6% |
| 教育・研究機関 | 0 | 0% | 56 | 1.1% | 227 | 6.2% |
| 個 人 ユ ー ザ | 15 | 2.2% | 176 | 3.4% | 356 | 9.8% |
(3)届出の地域別件数は次のとおりである。関東地方が最も多く、続いて中部地方、近畿地方の順となっている。
地 域 |
届 出 件 数 | |||||
| 2000/9 | 2000/1〜9 | '99合計 | ||||
| 北海道 地 方 | 1 | 0.1% | 27 | 0.5% | 34 | 0.9% |
| 東 北 地 方 | 3 | 0.4% | 43 | 0.8% | 89 | 2.4% |
| 関 東 地 方 | 620 | 91.7% | 4546 | 87.1% | 2476 | 67.9% |
| 中 部 地 方 | 25 | 3.7% | 271 | 5.2% | 293 | 8.0% |
| 近 畿 地 方 | 20 | 3.0% | 262 | 5.0% | 547 | 15.0% |
| 中 国 地 方 | 1 | 0.1% | 22 | 0.4% | 107 | 2.9% |
| 四 国 地 方 | 0 | 0% | 9 | 0.2% | 25 | 0.7% |
| 九 州 地 方 | 6 | 0.9% | 42 | 0.8% | 74 | 2.0% |
(4)届出から感染経路を区分けすると次の表のようになる。海外からのメールも含めたメールにより感染したケースが最も多く、大部分を占めており、不明を除いた届出件数の約91%を占めている。
感 染 経 路 |
届 出 件 数 | |||||
| 2000/9 | 2000/1〜9 | '99合計 | ||||
| メール | 263 | 38.9% | 2825 | 54.1% | 2175 | 59.7% |
| 海外からのメール | 353 | 52.2% | 1744 | 33.4% | 268 | 7.4% |
| ダウンロード | 4 | 0.6% | 48 | 0.9% | 195 | 5.3% |
| 外部からの媒体 | 23 | 3.4% | 288 | 5.5% | 589 | 16.2% |
| 海外からの媒体 | 0 | 0% | 1 | 0% | 22 | 0.6% |
| 不 明 | 33 | 4.9% | 316 | 6.1% | 396 | 10.9% |
(5)届出のあったウイルスが感染させたパソコンの台数は次のとおりである。感染台数の欄0台は、FDのみの感染またはファイルのみの感染を示し、事前の検査により、パソコンに感染する前にウイルスを発見したものである。
感 染 台 数 |
届 出 件 数 | |||||
| 2000/9 | 2000/1〜9 | '99合計 | ||||
| 0台 | 585 | 86.5% | 4382 | 83.9% | 1692 | 46.4% |
| 1台 | 60 | 8.9% | 572 | 11.0% | 1316 | 36.1% |
| 2台以上 5台未満 | 20 | 3.0% | 189 | 3.6% | 401 | 11.0% |
| 5台以上10台未満 | 6 | 0.9% | 50 | 1.0% | 122 | 3.3% |
| 10台以上20台未満 | 2 | 0.3% | 13 | 0.2% | 64 | 1.8% |
| 20台以上50台未満 | 2 | 0.3% | 8 | 0.2% | 33 | 0.9% |
| 50台以上 | 1 | 0.1% | 8 | 0.2% | 17 | 0.5% |
特定日発病ウイルスについて
ウイルスの被害の拡大を防止する意味から、今回は、IPAに届出されたウイルスの中で、10月6日〜11月30日に発病する可能性がある主なウイルスを下記に掲げた。(参考:特定日発病ウイルス[ウイルスカレンダー]
)
発病してからではデータを破壊される等修復が困難となるので市販のワクチンソフト等を用いて、発病する前に発見・駆除することを望む。(駆除方法についてはIPAまで)
| W97M/Opey(Word97Macro/Opey) | 11月1日、30日 |
| W97M/Eight941(Word97Macro/Eight941) | 11月10日 |
IPA(情報処理振興事業協会)セキュリティセンターウイルス対策室
TEL 03-5978-7508 FAX 03-5978-7518 E-mail virus@ipa.go.jp