HOME >> 情報セキュリティ >> ウイルス対策 >> ウイルスの発見届出状況 >> 記事
コンピュータウイルスの届出状況について
2003年 5月1日
独立行政法人 情報処理推進機構
セキュリティセンター(IPA/ISEC)
Webサーバーは要注意!!
1.コンピュータウイルス届出状況
情報処理推進機構セキュリティセンター(IPA/ISEC)は、2003年4月のコンピュータウイルスの届出状況をまとめた。
4月の届出件数は、1,110件(2月1,052件、3月1,187件)とほぼ横ばいで推移している。
Wscript/Fortnight ウイルス出現!!
4月に届出のあったWscript/Fortnight ウイルスは、VBS/Redlof ウイルスと同様のセキュリティホールを悪用しており、メールをプレビューしただけで感染してしまう。
感染すると、送信するメールすべてにウイルス本体へのリンクが追記され、そのメールをセキュリティホールのあるOutlook Expressで見ると自動的にサイトへアクセスし、ウイルスをダウンロードされて感染してしまう。また、Internet Explorerの設定も改変されてしまう。
予防対策:
- 1)ワクチンソフトを導入し、活用する。
- 最新のウイルス検出データファイルに更新し、リアルタイムで検査する設定で活用すれば、ウイルスの実行を停止できる。
- 2)セキュリティホールを解消する。
- Windows Updateのサイトより、Internet Explorerの更新やセキュリティホールの解消を行うことで、ウイルスの自動実行を防ぐことができる。
- WindowsUpdate : http://windowsupdate.microsoft.com/
- 3)メーラーやブラウザのセキュリティ設定を適切にする。
Outlook Express(最新バージョン)では、「ツール」→「オプション」の「読み取り」タブから「メッセージはすべてテキスト形式で読み取る」にチェックを入れることで、テキスト形式で表示されるので、ウイルスの自動実行を防止できる。
Internet Explorer の「ツール」→「インターネットオプション」の「セキュリティ」タブからインターネット/イントラネットなどのセキュリティ設定を行う。例えば、Java の実行を無効にすれば、このウイルスの被害を防ぐことができる。
なお、Outlook Expressではなく、別のメールソフト(Eudora、Becky!等)を使っていればウイルスの自動実行を防ぐことができるので、乗り換えることも対策の一つとして有効である。
今月の呼びかけ:「サーバーの健康診断を!」
− Webサーバーにおける対策 −
4月のWebサーバーでの侵入被害の中4月のWebサーバーでの侵入被害の中でも$設定の不備や不要なサービスが原因となった被害届出が3件あった。
先月、OSやWebサーバー用アプリケーションソフトウェアに関する脆弱性に対する対策について記述したが、注意すべき点は、脆弱性だけではなく、あらゆる面から多重的にセキュリティ対策を行う必要があることを再度認識して頂きたい。
Webサーバーに限らず、外部に公開しているサーバーについては、以下の点を改めてチェックして頂きたい。
- 1)適切なアクセス制御
- DMZ※に配置するなどのネットワーク構成になっているか。ファイル保存場所へのアクセス権を制限しているか。サーバーでのIPアドレス制御を行っているか。
- 2)適切なフィルタリング設定
- ルーターやファイアウォールなどで不必要なポートやプロトコル、また不正なIPアドレスによる接続を排除しているか。
- 3)不要なサービスの停止・削除
- 提供していないサービスの停止や削除、不要なソフトウェアの削除がされているか。
- 4)適切なID、パスワードの設定・管理
- 不要なアカウントを削除しているか。8文字以上の推測されにくいパスワードを設定しているか。
- 5)最新パッチの適用
- OSやソフトウェアに最新のパッチ(修正プログラム)を可能な限り早急に適用しているか。
※DMZ(Demilitarized Zone):インターネットからも内部ネットワークからも隔離された区域のこと。
<Webサーバーのみに関わる項目>
- 6)不要なCGI※の削除
- 不要なCGIプログラムなどが削除されているか。
- 7)CGIの脆弱性の排除
- 最新のバージョンのCGIプログラムを使用しているか。ユーザが自由にCGIを登録できるようになっていないか。
- 8)ftpサービスとWebサービスの分離
- 当該サイトにてftpサービスも行っている場合、ftpサービスとWebサービスを別々のサーバーで運用しているか。
※CGI(Common Gateway Interface):Webサーバーが、ブラウザからの要求に応じて、プログラムを起動するための仕組み。掲示板やアクセスカウンターなどに使われている。
<メールサーバーのみに関わる項目>
- 9)適切な不正中継対策
- 管理しているメールサーバーとは無関係の第三者どうしのメールを転送するような設定になっていないか。
詳細は、以下のチェックシートを確認して頂きたい。
- 「セキュリティ対策セルフチェックシート」
http://www.ipa.go.jp/security/ciadr/checksheet.html
また、VBS/Redlof ウイルスのようにHTMLファイルに感染するウイルスも発見されている。ホームページを公開している場合は、コンテンツをWebサーバーにアップロードする際に、ウイルスチェックを行うなどの対策も必要である。
その他、以下のサイトを参考にしてセキュリティ対策を行って頂きたい。
- 「セキュアなWEBサーバーの構築と運用」
http://www.ipa.go.jp/security/awareness/administrator/secure-web/index.html - 「セキュアなインターネットサーバー構築に関する調査 (トラステッド OS 利用とセキュアWeb プログラミング)」
http://www.ipa.go.jp/security/fy14/contents/trusted-os/guide.html - 「インターネットサーバーの安全性向上策に関する調査 (アベイラビリティ確保)」
http://www.ipa.go.jp/security/fy14/contents/high-availability/guide.html
3. ウイルス届出の詳細
1) 4月、届出のあったウイルスは47種類であった。
(Windows/DOS ウイルス941件、マクロウイルス及びスクリプトウイルス167件、Macintosh及びUNIXウイルスは2件。)
(*) 印は今月の新種ウイルスを示す。
| Windows、DOSウイルス | 届出件数 | マクロウイルス | 届出件数 |
|---|---|---|---|
| W32/Klez | 379 | XM/Laroux | 30 |
| W32/Sobig | 98 | X97M/Divi | 13 |
| W32/Bugbear | 66 | W97M/X97M/P97M/Tristate | 4 |
| W32/Yaha | 60 | W97M/Nsi | 3 |
| W32/Gibe | 46 | W97M/Eight941 | 2 |
| W32/Magistr | 39 | W97M/Marker | 2 |
| W32/Badtrans | 35 | W97M/Opey | 2 |
| W32/Hybris | 33 | WM/Cap | 1 |
| W32/Sircam | 32 | XM/VCX.A | 1 |
| W32/Nimda | 31 | ||
| W32/Lovgate | 24 | ||
| W32/Opaserv | 18 | ||
| W32/Brid | 15 | スクリプトウイルス | 届出件数 |
| W32/Lirva | 14 | VBS/Redlof | 93 |
| W32/CIH | 13 | Wscript/Fortnight (*) | 9 |
| W32/Frethem | 8 | VBS/Netlog | 3 |
| W32/Funlove | 7 | Wscript/Kakworm | 2 |
| W32/Ganda (*) | 7 | VBS/Haptime | 1 |
| W32/Deloder | 3 | VBS/LOVELETTER | 1 |
| W32/Oror (*) | 2 | ||
| W32/Ska | 2 | ||
| Cascade | 1 | ||
| WYX | 1 | UNIXウイルス | 届出件数 |
| W32/CodeRed | 1 | Linux/Slapper | 1 |
| W32/Dupator | 1 | ||
| W32/Goner | 1 | ||
| W32/Myparty | 1 | Macintoshウイルス | 届出件数 |
| W32/Spaces | 1 | AutoStart9805 | 1 |
| W32/SQLSlammer | 1 | ||
| W32/Winevar | 1 |
備考:件数には亜種の届出を含む
注) ウイルス名欄で、各記号はそれぞれの下記ウイルスを示す。
| 記号 | 対象ウイルス |
|---|---|
| WM | MSword95(WordMacroの略) |
| W97M | MSword97(Word97Macroの略) |
| XM、XF | MSexcel95、97(ExcelMacro、ExcelFormulaの略) |
| X97M | MSexcel97(Excel97Macro) |
| W97M/X97M/P97M | MSword97、MSexcel97、MSpowerpoint97(Word97Macro、Excel97Macro、PowerPoint97Macroの略) |
| W32 | Windows32ビット環境下で動作 |
| VBS | VisualBasicScriptで記述 |
| Wscript | WindowsScriptingHost環境下で動作(VBSを除く) |
| Solaris | Solaris環境下で動作 |
| FreeBSD | FreeBSD環境下で動作 |
| Linux | Linux環境下で動作 |
2)届出の届出者別件数は次のとおりである。一番多い届出は、一般法人ユーザからのもので、約94%を占めている。
| 届出者 | 届出件数 | |||||
|---|---|---|---|---|---|---|
| 2003/4 | 2003年合計 | 2002年合計 | ||||
| 一般法人ユーザ | 1,040 | 93.7% | 3,889 | 86.3% | 15,313 | 75.2% |
| 教育・研究機関 | 5 | 0.4% | 284 | 6.3% | 1,914 | 9.4% |
| 個人ユーザ | 65 | 5.9% | 334 | 7.4% | 3,125 | 15.3% |
3)届出の地域別件数は次のとおりである。関東地方が最も多く、続いて近畿地方、中部地方の順となっている。
| 地域 | 届出件数 | |||||
|---|---|---|---|---|---|---|
| 2003/4 | 2003年合計 | 2002年合計 | ||||
| 北海道地方 | 4 | 0.4% | 14 | 0.3% | 311 | 1.5% |
| 東北地方 | 24 | 2.2% | 100 | 2.2% | 534 | 2.6% |
| 関東地方 | 718 | 64.7% | 3,068 | 68.1% | 12,986 | 63.8% |
| 中部地方 | 138 | 12.4% | 430 | 9.5% | 1,894 | 9.3% |
| 近畿地方 | 155 | 13.9% | 678 | 15.0% | 3,254 | 16.0% |
| 中国地方 | 18 | 1.6% | 93 | 2.1% | 365 | 1.8% |
| 四国地方 | 1 | 0.1% | 21 | 0.5% | 151 | 0.7% |
| 九州地方 | 52 | 4.7% | 103 | 2.3% | 857 | 4.2% |
4)届出から感染経路を区分けすると次の表のようになる。海外からのメールも含めたメールにより感染したケースが最も多く、届出件数の約92%を占めている。
| 感染経路 | 届出件数 | |||||
|---|---|---|---|---|---|---|
| 2003/4 | 2003年合計 | 2002年合計 | ||||
| メール | 704 | 63.4% | 3,073 | 68.2% | 17,107 | 84.1% |
| 海外からのメール | 316 | 28.4% | 1,117 | 24.8% | 2,660 | 13.0% |
| ダウンロード(※) | 14 | 1.3% | 64 | 1.4% | 121 | 0.6% |
| 外部からの媒体 | 34 | 3.1% | 77 | 1.7% | 119 | 0.6% |
| 海外からの媒体 | 0 | 0% | 1 | 0% | 4 | 0% |
| 不明・その他 | 42 | 3.8% | 175 | 3.9% | 341 | 1.7% |
5)届出のあったウイルスが感染させたパソコンの台数は次のとおりである。感染台数の欄0台は、FDのみの感染またはファイルのみの感染を示し、事前の検査により、パソコンに感染する前にウイルスを発見したものである。
| 感染台数 | 届出件数 | |||||
|---|---|---|---|---|---|---|
| 2003/4 | 2003年合計 | 2002年合計 | ||||
| 0台 | 1,044 | 94.0% | 4,240 | 94.1% | 18,633 | 91.5% |
| 1台 | 53 | 4.8% | 238 | 5.3% | 1,364 | 6.7% |
| 2台以上 5台未満 | 10 | 0.9% | 21 | 0.5% | 206 | 1.0% |
| 5台以上 10台未満 | 1 | 0.1% | 4 | 0.1% | 59 | 0.3% |
| 10台以上 20台未満 | 1 | 0.1% | 2 | 0% | 60 | 0.3% |
| 20台以上 50台未満 | 1 | 0.1% | 2 | 0% | 23 | 0.1% |
| 50台以上 | 0 | 0% | 0 | 0% | 7 | 0% |
4.特定日発病ウイルスについて
ウイルスの被害の拡大を防止する意味から、今回は、IPA/ISECに届出されたウイルスの中で、5月2日〜6月30日に発病する可能性がある主なウイルスを下記に掲げたので注意されたい。 (参考:特定日発病ウイルス[ウイルスカレンダー])
| W32/Klez | 5月6日、6月6日 (毎月6日に発病) |
|---|---|
| VBS/Haptime | 5月8日、6月7日 (「月」と「日」の合計が13の時に発病) |
コンピュータウイルスに関する届出制度について
コンピュータウイルスに関する届出制度は、経済産業省のコンピュータウイルス対策基準に基づき、'90年4月にスタートした制度であって、コンピュータウイルスを発見したものは被害の拡大と再発を防ぐために必要な情報をIPAに届け出ることとされている。
IPAでは、個別に届出者への対応を行っているが、同時に受理した届出等を基に、コンピュータウイルス対策を検討している。また受理した届出は、届出者のプライバシーを侵害することがないように配慮した上で、被害等の状況を分析し、検討結果を定期的に公表している。
コンピュータウイルス対策基準
- 通商産業省告示第139号平成 2年 4月10日制定
- 通商産業省告示第429号平成 7年 7月 7日改訂
- 通商産業省告示第535号平成 9年 9月24日改訂
- 通商産業省告示第952号平成12年12月28日改訂
問い合わせ先:IPAセキュリティセンター(IPA/ISEC)
(ISEC:Information technology SEcurity Center)
TEL:03-5978-7508FAX:03-5978-7518
E-mail: 
相談電話:03-5978-7509URL:http://www.ipa.go.jp/security/