●情報処理振興事業協会セキュリティセンターは、2001年7月の届出状況をまとめた。1.
7月の届出状況
7月の届出件数は 1,738件(6月1,335件)。前年同月の 700件の約2.5倍と高水準。
6月に急増したW32/Magistrウイルス及び7月中旬に出現したW32/Sircamウイルスなど、届出上位のデータ破壊型ウイルスの実害率が高く、
7月の届出全体の実害率は 19.8%と、6月 11.5%より 8.3ポイント増となった。(前月より増加は2月以来。)
届出件数上位のデータ破壊型ウイルス
| |
届出件数(実害率) |
破壊・削除などの症状 |
| 6月 |
7月 |
| W32/Sircam |
− |
520(※1)
(23%) |
Cドライブのすべてのファイルを消去(10月16日)
ハードディスクの空き領域をデータで埋めて使用出来なくする |
| W32/Magistr |
253
(9%) |
202
(16.3%) |
BIOS、CMOSのデータ破壊(感染から1ヵ月後) |
| VBS/Haptime(※2) |
21
(10%) |
35
(20%) |
拡張子がEXE, DLLファイルの消去
(月、日を足して13になる日 例:8月5日) |
※1 (2001.7.21〜7.31の届出件数)
※2 メール本文を開いただけで感染する。対策:Internet Explorerの設定を適切にする。
2.今月の特記事項
新種「W32/Sircamウイルス」の被害甚大!!
W32/Sircamウイルスが送信するメールは、件名及び添付ファイル名がもっともらしく、うっかり実行するケースが多いので実害率が高い。
下記に特徴を図示する。このようなメールが届いたら決して添付ファイルを実行しないこと。
実害率:20%超え。極めて大きな実質的被害。
届出件数:520件! 新種ウイルスの当月届出として過去最多。
(2000年11月のNavidad437件以来)
感染力大:下記アドレスにウイルスが感染メールを送信
・Outlook,Outlook Expressのアドレス帳の登録アドレスすべて。
・閲覧したWebページに掲載されているアドレス。
秘密情報の漏洩:ウイルスが勝手に送信するメールには、パソコン上の「マイドキュメント」
フォルダにあるWordやExcelファイルが感染して添付される。
今月の呼びかけ:「バックアップの奨め」
−破壊されたデータはワクチンでも元には戻らない− |
W32/SircamやW32/Magistrなどのデータ破壊タイプのウイルスは、感染時にシステム上の重要なファイルやレジストリ等を改変してしまい、さらに発病してデータ等を破壊するので、ワクチンソフトでは元通りに修復することはできず、
バックアップから戻すしか対処の方法がない。
日頃からデータ及びプログラム等のバックアップをとっていれば大切なデータ類を失わなくて済む。
3. ウイルス届出の詳細
1)今月、届出のあったウイルスは42種類であった。初めて届けられたウイルスは、
「W32/Sircam」及び「W97M/Seqnum」である。 (Windows及びUNIXウイルス1407件、マクロウイルス及びスクリプトウイルス331件。)(※)印は、今月の新種ウイルスを示す。
| Windows、DOSウイルス |
届出件数 |
マクロウイルス |
届出件数 |
| W32/Sircam(※) |
520 |
XM/Laroux |
87 |
| W32/Hybris |
351 |
X97M/Divi |
48 |
| W32/MTX |
204 |
W97M/Marker |
37 |
| W32/Magistr |
202 |
XM/VCX.A |
23 |
| W32/Funlove |
36 |
W97M/X97M/P97M/Tristate |
12 |
| W32/QAZ |
29 |
W97M/Melissa |
8 |
| W32/Badtrans |
13 |
W97M/Vmpck1 |
8 |
| W32/Navidad |
11 |
W97M/Class |
7 |
| W32/BleBla |
9 |
WM/Cap |
5 |
| W32/CIH |
7 |
W97M/Myna |
5 |
| W32/Ska |
7 |
W97M/Thus |
3 |
| W32/Msinit |
3 |
W97M/Bablas |
2 |
| W32/PrettyPark |
3 |
W97M/Proverb |
2 |
| W32/Plage |
2 |
WM/Concept |
1 |
| WYX |
2 |
W97M/Ethan |
1 |
| Anti-CMOS |
1 |
W97M/Seqnum(※) |
1 |
| Barrotes |
1 |
W97M/Smac |
1 |
| UNIXウイルス |
届出件数 |
X97M/Barisada |
1 |
| Solaris/Sadmind |
5 |
|
|
| Macintoshウイルス |
届出件数 |
|
|
| |
なし |
|
|
| スクリプトウイルス |
届出件数 |
|
|
| VBS/Haptime |
35 |
|
|
| VBS/Homepage |
15 |
|
|
| VBS/LOVELETTER |
14 |
|
|
| Wscript/Kakworm |
10 |
|
|
| VBS/SST |
3 |
|
|
| VBS/Netlog |
2 |
|
|
注) ウイルス名欄で、各記号はそれぞれの下記ウイルスを示す。
| 記号 |
対象ウイルス |
| WM |
MSword95(WordMacroの略) |
| W97M |
MSword97(Word97Macroの略) |
| XM、XF |
MSexcel95、97(ExcelMacro、ExcelFormulaの略) |
| X97M |
MSexcel97(Excel97Macro) |
| W97M/X97M/P97M |
MSword97、MSexcel97、MSpowerpoint97(Word97Macro、Excel97Macro、PowerPoint97Macroの略) |
| W32 |
Windows32ビット環境下で動作 |
| VBS |
VisualBasicScriptで記述 |
| Wscript |
WindowsScriptingHost環境下で動作(VBSを除く) |
| Solaris |
Solaris環境下で動作 |
2)7月にIPAに初めて届け出のあったウイルスの概要を記述する。
W32/Sircam
このウイルスはWindows32ビット環境下で動作するウイルスで、メールの添付ファイルを介して感染を拡げる。
ウイルスに感染すると、以下の内容のメールを送信する。
宛先:Outlook,Outlook Express
のアドレス帳の登録アドレスすべて並びに「テンポラリ・
インターネット・ファイル」フォルダ(Webブラウザのキャッシュフォルダ)にあるファイルの中から取得したアドレス
件名:ランダム
「マイドキュメント」フォルダにあるMSwordやMSexcelのファイル名
本文:下記いずれのバージョンも1行目と最終行は確定しているが、その間の文はランダムに選ばれる。バージョンは送り側で決定される。
英語バージョン
1行目: Hi! How are you?
・I send you this file in order to have your advice
・I hope you can help me with this file that I send
・I hope you like the file that I send you
・This is the file with the information that you ask for
最終行: See you later. Thanks
スペイン語バージョン
1行目: Hola como estas ?
・Te mando este archivo para que me des tu punto de vista
・Espero me puedas ayudar con el archivo que te mando
・Espero te guste este archivo que te mando
・Este es el archivo con la informacion que me pediste
最終行: Nos vemos pronto, gracias.
添付ファイル:件名に2重拡張子が付けられたもの
発病:10月16日に Cドライブのすべてのファイルとディレクトリを削除する。
また、起動時にハードディスクの未使用スペースを埋めてしまう。
●W97M/Seqnum (Word97Macro/Seqnum)
このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスで
ある。ウイルスに感染した文書ファイルを読み込むと、そのMSwordに感染する。
感染すると、Word2000の場合は、メニューの「ツール/マクロ」にあるセキュリティレベ
ルを「低」に、Word97/98の場合は、メニューの「ツール/オプション/全般」の「マクロウ
イルスを自動検出する」のチェックをオフに設定する。
感染したMSwordで文書を新規作成または編集したファイルに感染する。
Outlookがインストールされている場合、登録されているアドレス全てに対して、特定日にメールを送信する。このウイルスはメ
ールを送信するだけで添付ファイルはない。
日付と、本文の内容は以下のとおり。
日付:1/ 1
OK! I got it, thanks.
Happy New Year!
<ワードの登録ユーザー名>
日付:2/14
OK! I got it, thanks.
Acutally... I love you.
<ワードの登録ユーザー名>
日付:12/ 3
OK! I got it, thanks.
Happy Birthday, hnet!
Let's celebrating your <今年の西暦−1998> year(s) old birthday!
<ワードの登録ユーザー名>
日付12/25
OK! I got it, thanks.
Merry Christmas!
<ワードの登録ユーザー名>
(2)届出の届出者別件数は次のとおりである。一番多い届出は、一般法人ユーザからのもので、約74%を占めている。
届 出 者 |
届 出 件 数 |
| 2001/7 |
|
2001年合計 |
|
2000年合計 |
|
| 一般法人ユーザ |
1258 |
72.4% |
8299 |
73.4% |
9975 |
89.8% |
| 教育・研究機関 |
116 |
6.7% |
632 |
5.6% |
214 |
1.9% |
| 個 人 ユ ー ザ |
364 |
20.9% |
2376 |
21.0% |
920 |
8.3% |
(3)届出の地域別件数は次のとおりである。関東地方が最も多く、続いて近畿地方、中部地方の順となっている。
地 域 |
届 出 件 数 |
| 2001/7 |
|
2001年合計 |
|
2000年合計 |
|
| 北海道 地 方 |
26 |
1.5% |
191 |
1.7% |
89 |
0.8% |
| 東 北 地 方 |
47 |
2.7% |
371 |
3.3% |
121 |
1.1% |
| 関 東 地 方 |
1273 |
73.2% |
8309 |
73.5% |
9415 |
84.8% |
| 中 部 地 方 |
121 |
7.0% |
861 |
7.6% |
612 |
5.5% |
| 近 畿 地 方 |
170 |
9.8% |
1075 |
9.5% |
628 |
5.7% |
| 中 国 地 方 |
31 |
1.8% |
150 |
1.3% |
80 |
0.7% |
| 四 国 地 方 |
27 |
1.6% |
167 |
1.5% |
35 |
0.3% |
| 九 州 地 方 |
43 |
2.5% |
183 |
1.6% |
129 |
1.2% |
(4)届出から感染経路を区分けすると次の表のようになる。
海外からのメールも含めたメールにより感染したケースが最も多く、届出件数の87%を占めている。
感 染 経 路 |
届 出 件 数 |
| 2001/7 |
|
2001年合計 |
|
2000年合計 |
|
| メール |
1109 |
63.8% |
8140 |
72.0% |
6171 |
55.5% |
| 海外からのメール |
400 |
23.0% |
2045 |
18.1% |
3843 |
34.6% |
| ダウンロード |
33 |
1.9% |
94 |
0.8% |
82 |
0.7% |
| 外部からの媒体 |
68 |
3.9% |
388 |
3.4% |
424 |
3.8% |
| 海外からの媒体 |
3 |
0.2% |
15 |
0.1% |
4 |
0% |
| 不 明 |
125 |
7.2% |
625 |
5.5% |
585 |
5.3% |
(5)届出のあったウイルスが感染させたパソコンの台数は次のとおりである。感染台数の欄0台は、FDのみの感染またはファイルのみの感染を示し、事前の検査により、パソコンに感染する前にウイルスを発見したものである。
感 染 台 数 |
届 出 件 数 |
| 2001/7 |
|
2001年合計 |
|
2000年合計 |
|
| 0台 |
1394 |
80.2% |
9215 |
81.5% |
8927 |
80.4% |
| 1台 |
258 |
14.8% |
1717 |
15.2% |
1610 |
14.5% |
| 2台以上 5台未満 |
55 |
3.2% |
250 |
2.2% |
393 |
3.5% |
| 5台以上 10台未満 |
10 |
0.6% |
60 |
0.5% |
109 |
1.0% |
| 10台以上 20台未満 |
8 |
0.5% |
32 |
0.3% |
32 |
0.3% |
| 20台以上 50台未満 |
9 |
0.5% |
20 |
0.2% |
20 |
0.2% |
| 50台以上 |
4 |
0.2% |
13 |
0.1% |
18 |
0.2% |
特定日発病ウイルスについて
ウイルスの被害の拡大を防止する意味から、今回は、IPA/ISEC
に届出されたウイルスの中で、8月3日〜9月30日に発病する可能性がある主なウイルスを下記に掲げた。(参考:特定日発病ウイルス[ウイルスカレンダー]
)
発病してからではデータを破壊される等修復が困難となるので市販のワクチンソフト等を用いて、発病する前に発見・駆除することを望む。(駆除方法についてはIPAまで)
コンピュータウイルスに関する届出制度について
コンピュータウイルスに関する届出制度は、経済産業省のコンピュータウイルス対策基準に基づき、'90年4月にスタートした制度であって、コンピュータウイルスを発見したものは被害の拡大と再発を防ぐために必要な情報をIPAに届け出ることとされている。
IPAでは、個別に届出者への対応を行っているが、同時に受理した届出等を基に、コンピュータウイルス対策を検討している。また受理した届出は、届出者のプライバシーを侵害することがないように配慮した上で、被害等の状況を分析し、検討結果を定期的に公表している。
○コンピュータウイルス対策基準
・通商産業省告示第139号 平成 2年 4月10日制定
・通商産業省告示第429号 平成 7年 7月 7日改訂
・通商産業省告示第535号 平成 9年 9月24日改訂
・通商産業省告示第952号 平成12年12月28日改訂
問い合わせ先:IPAセキュリティセンター(IPA/ISEC)
(ISEC:Information technology SEcurity Center)
TEL:03-5978-7508 FAX:03-5978-7518
E-mail: isec-info@ipa.go.jp
相談電話:03-5978-7509 URL:http://www.ipa.go.jp/security/ |
