2000年11月9日
情報処理振興事業協会
情報処理振興事業協会(略称IPA・村岡茂生理事長)は、2000年10月のコンピュータウイルスの発見届出状況をまとめた。
●発見届出件数 過去最高の906件(先月676件、1月〜10月累計6,128件)
['99年10月 405件、'99年一年間3,645件(月平均約304件)、'99年1月〜10月:3,188件]
['90年4月から2000年10月までの届出総数17,970件]
●発見届出状況
発見届出件数は906件と、過去最高の届出件数になった。届出者別件数では、個人ユーザからの届出が全体の11%と急増している。 またメールにより感染したケースが不明を除く届出全体の94%を占めている。10月の届出ウイルスは44種類で、新種ウイルスは「W32/Kriz」「VBS/NewLove」「W97M/Titch」「W97M/Turn」の4種類であった。
(1)ラブレターウイルスの際の記録を上回り月間届出件数過去最高に!!
発見届出件数は906件と、VBS/LOVELETTERウイルスが出現した今年5月の届出件数900件を越え、過去最高の届出件数になった。なおかつ、感染実害件数の割合は、届出全体の30%(先月13%)と深刻さを増している。
(2)パソコンご破算をもたらす31面相「W32/MTX」の感染被害激増!!
31種類の異なる添付ファイル名を日によって使い分け、動作するとパソコンをご破算にしてしまう悪質なウイルスが大流行している。なお、使用される添付ファイルの名称には、LOVELETTERなどの既存ウイルスと見まがうファイル名も含まれている。
この「W32/MTXウイルス」は先月初めて届けられたが、今月は223件と多数の届出があり、そのうち111件と約5割にも及ぶ高い比率で感染実害を受けた旨の報告があった。
このウイルスは、ユーザが感染パソコンからメールを送信すると、ウイルス自身が同じ宛先にウイルス感染した添付ファイル付きの2通目のメールを送信する。 知人や友人からのメールで感染する場合が多く、受け取った人は、何の疑問も持たずに2通目の添付ファイルを開けてしまうケースが最も多く見られる。
ひとたび感染被害に遭うと、確実な修復のためには、ハードディスクをフォーマットして、Windowsシステムの再インストールをする必要があり、被害が深刻となる。
参考: 「感染被害が深刻な「W32/MTX」に関する情報」(3)不正アクセス被害をもたらす「W32/QAZウイルス」に注意!!
マイクロソフト社への不正侵入に使われたと報道された「W32/QAZ」ウイルスの届出が急増しているので注意されたし。 IPアドレスの搾取、外部からのリモートアクセスを可能にするといった、不正アクセスの支援機能を持ち合わせたトロイの木馬型ウイルスである。メールの自動送信機能は持たず、不正者が意図的にメールに添付して送りつけられるので、見知らぬ相手からのメールの添付ファイルは、実行しないよう厳重な注意が必要である。 先月初めて1件の届出があったが、今月は34件に増加している。
参考: 「不正アクセス事件に使われたとされるW32/QAZウイルスに注意!!」
ウイルス感染したユーザからの相談で、自分が使用しているパソコンにウイルス対策ソフトがインストールされているかどうかを知らない、アップデートの必要性を知らない、ウイルス対策ソフトの使用方法が分からないといったケースが非常に多く見受けられる。日頃のウイルス対策のために、パソコンユーザが最低限知っておくべき事項をリストアップした「ウイルス対策チェックリスト」をまとめたので、ウイルス対策の準備事項を再確認した上で、必要とされる対策を確実に実施することが大切である。
IPAセキュリティセンターウイルス対策室
TEL 03-5978-7508 FAX 03-5978-7518 E-mail virus@ipa.go.jp
ウイルス110番:(03)-5978-7509 URL:http://www.ipa.go.jp/security/
今月、届出のあったウイルスは44種類であった。
届出件数の多いウイルスは、W32/MTXが223件、VBS/LOVELETTER が128件となっている。
初めて届けられたウイルスは、「W32/Kriz」「VBS/NewLove」「W97M/Titch」「W97M/Turn」の4種類である。
(マクロウイルス及びスクリプトウイルス543件、Windows、DOSウイルス 370件、Macウイルス 1件。1件で複数のウイルス感染の届出がある為、合計は届出件数の906件に合致しない。)
| マクロウイルス | 届出件数 | マクロウイルス | 届出件数 |
| X97M/Divi | 111 | W97M/X97M/Shiver | 1 |
| XM/Laroux | 60 | WM/Wazzu | 1 |
| W97M/X97M/P97M/Tristate | 32 | X97M/Sugar | 1 |
| X97M/Barisada | 29 | スクリプトウイルス | 届出件数 |
| W97M/Marker | 19 | VBS/LOVELETTER | 128 |
| W97M/Ethan | 13 | Wscript/KakWorm | 50 |
| W97M/Class | 10 | VBS/Stages | 18 |
| W97M/Melissa | 9 | VBS/Netlog | 7 |
| XM/VCX.A | 8 | VBS/NewLove(※) | 1 |
| W97M/Pri | 7 | Windows、DOSウイルス | 届出件数 |
| WM/Cap | 6 | W32/MTX | 223 |
| W97M/Myna | 5 | W32/Ska(Happy99) | 40 |
| W97M/Thus | 5 | W32/QAZ | 34 |
| W97M/Smac | 4 | W32/Funlove | 27 |
| W97M/Verlor | 4 | W32/PrettyPark | 24 |
| W97M/Vmpck1 | 3 | W32/Kriz(※) | 11 |
| W97M/Nsi | 2 | W32/CIH | 6 |
| W97M/Story | 2 | Form | 2 |
| W97M/Titch(※) | 2 | Anti-CMOS | 1 |
| W97M/Chack | 1 | StealthBoot | 1 |
| W97M/JulyKiller | 1 | Yonyu | 1 |
| W97M/Proverb | 1 | Macintoshウイルス | 届出件数 |
| W97M/Turn(※) | 1 | MBDF | 1 |
| W97M/Walker | 1 |
注) ウイルス名欄で、各記号はそれぞれの下記ウイルスを示す。
| 記号 | 対象ウイルス |
| WM | MSword95(WordMacroの略) |
| W97M | MSword97(Word97Macroの略) |
| XM、XF | MSexcel95、97(ExcelMacro、ExcelFormulaの略) |
| X97M | MSexcel97(Excel97Macro) |
| W97M/X97M/P97M | MSword97、MSexcel97、MSpowerpoint97(Word97Macro、Excel97Macro、PowerPoint97Macroの略) |
| W32 | Windows32ビット環境下で動作 |
| VBS | VisualBasicScriptで記述 |
| Wscript | WindowsScriptingHost環境下で動作(VBSを除く) |
10月の届出の中で、検査発見・駆除修復に使われたウイルス対策ソフト及びベンダーを参考に示す。
| 検査発見・駆除修復に使われたウイルス対策ソフト | |
| ソフト名(届出受付順) | ベンダー名 |
| ウイルスバスター | トレンドマイクロ(株) |
| Virus Scan | 日本ネットワークアソシエイツ(株) |
| NortonAntiVirus | (株)シマンテック |
| Inter Scan | トレンドマイクロ(株) |
| ServerProtect | トレンドマイクロ(株) |
| Net(Group) Shield | 日本ネットワークアソシエイツ(株) |
| Inoculan(Cheyenne) | コンピュータ・アソシエイツ(株) |
| F-SECURE(F-PROT) | (株)山田洋行 |
| Antidote | (株)バーテックスリンク |
| Sophos AntiVirus | (株)シー・エス・イー |
(1)10月にIPAに初めて届け出のあったウイルスの概要を記述する。
W32/Kriz(W32/Kriz クリッツ)
このウイルスはWindows95/98の32ビット実行形式ファイル(PEファイル、拡張子がEXE、SCR)に
感染するファイル感染型ウイルスである。
感染したファイルを実行すると、WindowsのシステムフォルダにあるKernel32.dllを同じフォルダに
Krized.tt6という名前でコピーし、このファイルに感染する。そして、次回起動時に、Kernel32.dllをKrized.
tt6で上書きするようにWininit.iniファイルを作成する。
その後、メモリに常駐し、実行、コピー等を行うファイルに感染する。
毎年12月25日に、ウイルスがメモリに常駐した状態で感染したファイルを実行すると発病する。
発病は、マシンのCMOSを破壊し、全てのドライブのファイルを、無意味なデータで上書きして破壊する。機種によっては、BIOSを破壊することもある。
VBS/NewLove (VisualBasicScript/NewLove ニューラブ)
このウイルスは通常、電子メールの添付ファイルとして広がっていく。
ウイルスを実行すると、Windowsフォルダ(通常は、C:\Windows)及びWindowsのシステムフォルダ
(通常は、C:\Windows\System)にウイルス自身のコピーを作成する。ファイル名は、「最近使ったファイル」のなかからランダムに選択されたもので、拡張子は以下リストから選択されたものである。
拡張子リスト:Doc.Vbs、Xls.Vbs、Mdb.Vbs、Bmp.Vbs、Mp3.Vbs、Txt.Vbs、
Jpg.Vbs、Gif.Vbs、Mov.Vbs、Url.Vbs、Htm.Vbs
次に、次回起動時にウイルスが自動的に起動するようにレジストリを変更する。
そして、Outlookがインストールされている場合は、登録されているメールアドレス全てに、以下の内容のメールを自動送信する。
件名:FW:ファイル名(ウイルスがWindowsに作成したファイル名で拡張子を除く)
本文:なし
添付ファイル名:ファイル名+拡張子(ウイルスがWindowsに作成したファイル名)
最後に、全てのドライブの全てのファイル(除:使用中のファイル、システム属性・読みとり専用のファイル)を0バイトにし、拡張子をVBSに変更する。
(例:xxxx.jpg=xxxx.jpg.vbs)
W97M/Titch (Word97Macro/Titch ティッチ)
このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。
ウイ
ルスに感染した文書ファイルを読み込むと、そのMSwordに感染する。
感染したMSwordで作成、編集した文書ファイルを閉じたときにそのファイルに感染する。
感染すると、「ツール」/「オプション」/[全般]タブの「マクロウイルスを自動検出する」の項目をオフに設定する。発病機能はない。
このウイルスは、日本語版MSword97/98/2000、英語版MSword97/2000版で感染する。
W97M/Turn(Word97Macro/Turn ターン)
このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。
ウイルスに感染した文書ファイルを読み込むと、そのMSwordに感染する。
感染したMSwordで作成、編集した文書ファイルを閉じたときにそのファイルに感染する。
感染すると、「ツール」/「オプション」/[全般]タブの「マクロウイルスを自動検出する」の項目をオフに設定する。また、VisualBasicEditorが使用できなくなる。発病機能はない。
このウイルスは、日本語版MSword97/98/2000、英語版MSword97/2000版で感染する。
(2)届出の届出者別件数は次のとおりである。一番多い届出は、一般法人ユーザからのもので、約87%を占めている。
届 出 者 |
届 出 件 数 |
|||||
| 2000/10 | 2000/1〜10 | '99合計 | ||||
| 一般法人ユーザ | 790 | 87.2% | 5698 | 93.0% | 2859 | 78.4% |
| 情 報 産 業 | 3 | 0.3% | 85 | 1.4% | 203 | 5.6% |
| 教育・研究機関 | 13 | 1.4% | 69 | 1.1% | 227 | 6.2% |
| 個 人 ユ ー ザ | 100 | 11.0% | 276 | 4.5% | 356 | 9.8% |
(3)届出の地域別件数は次のとおりである。関東地方が最も多く、続いて近畿地方、中部地方の順となっている。
地 域 |
届 出 件 数 | |||||
| 2000/10 | 2000/1〜10 | '99合計 | ||||
| 北海道 地 方 | 6 | 0.7% | 33 | 0.5% | 34 | 0.9% |
| 東 北 地 方 | 9 | 1.0% | 52 | 0.8% | 89 | 2.4% |
| 関 東 地 方 | 707 | 78.0% | 5253 | 85.7% | 2476 | 67.9% |
| 中 部 地 方 | 58 | 6.4% | 329 | 5.4% | 293 | 8.0% |
| 近 畿 地 方 | 95 | 10.5% | 357 | 5.8% | 547 | 15.0% |
| 中 国 地 方 | 12 | 1.3% | 34 | 0.6% | 107 | 2.9% |
| 四 国 地 方 | 9 | 1.0% | 18 | 0.3% | 25 | 0.7% |
| 九 州 地 方 | 10 | 1.1% | 52 | 0.8% | 74 | 2.0% |
(4)届出から感染経路を区分けすると次の表のようになる。海外からのメールも含めたメールにより感染したケースが最も多く、届出件数の約86%を占めている。
感 染 経 路 |
届 出 件 数 | |||||
| 2000/10 | 2000/1〜10 | '99合計 | ||||
| メール | 415 | 45.8% | 3240 | 52.9% | 2175 | 59.7% |
| 海外からのメール | 365 | 40.3% | 2109 | 34.4% | 268 | 7.4% |
| ダウンロード | 14 | 1.5% | 62 | 1.0% | 195 | 5.3% |
| 外部からの媒体 | 34 | 3.8% | 322 | 5.3% | 589 | 16.2% |
| 海外からの媒体 | 0 | 0% | 1 | 0% | 22 | 0.6% |
| 不 明 | 78 | 8.6% | 394 | 6.4% | 396 | 10.9% |
(5)届出のあったウイルスが感染させたパソコンの台数は次のとおりである。感染台数の欄0台は、FDのみの感染またはファイルのみの感染を示し、事前の検査により、パソコンに感染する前にウイルスを発見したものである。
感 染 台 数 |
届 出 件 数 | |||||
| 2000/10 | 2000/1〜10 | '99合計 | ||||
| 0台 | 638 | 70.4% | 5020 | 81.9% | 1692 | 46.4% |
| 1台 | 180 | 19.9% | 752 | 12.3% | 1316 | 36.1% |
| 2台以上 5台未満 | 59 | 6.5% | 248 | 4.0% | 401 | 11.0% |
| 5台以上10台未満 | 13 | 1.4% | 63 | 1.0% | 122 | 3.3% |
| 10台以上20台未満 | 8 | 0.9% | 21 | 0.3% | 64 | 1.8% |
| 20台以上50台未満 | 4 | 0.4% | 12 | 0.2% | 33 | 0.9% |
| 50台以上 | 4 | 0.4% | 12 | 0.2% | 17 | 0.5% |
特定日発病ウイルスについて
ウイルスの被害の拡大を防止する意味から、今回は、IPAに届出されたウイルスの中で、11月6日〜12月31日に発病する可能性がある主なウイルスを下記に掲げた。(参考:特定日発病ウイルス[ウイルスカレンダー]
)
発病してからではデータを破壊される等修復が困難となるので市販のワクチンソフト等を用いて、発病する前に発見・駆除することを望む。(駆除方法についてはIPAまで)
| W97M/Class(Word97Macro/Class) | 11月14日、12月14日 |
| Wscript/Kakworm(WindowsScript/Kakworm) | 12月1日 |
コンピュータウイルスに関する届出制度は、通商産業省のコンピュータウイルス対策基準に基づき、'90年4月にスタートした制度であって、コンピュータウイルスを発見したものは被害の拡大と再発を防ぐために必要な情報をIPAに届け出ることとされている。
IPAでは、個別に届出者への対応を行っているが、同時に受理した届出等を基に、コンピュータウイルス対策を検討している。また受理した届出は、届出者のプライバシーを侵害することがないように配慮した上で、被害等の状況を分析し、検討結果を定期的に公表している。
○コンピュータウイルス対策基準
・通商産業省告示第139号 平成2年4月10日制定
・通商産業省告示第429号 平成7年7月 7日改訂
・通商産業省告示第535号 平成9年9月24日改訂