HOME >> 情報セキュリティ >> ウイルス対策 >> ウイルスの発見届出状況 >> 記事

コンピュータウイルス・不正アクセスの届出状況について[要旨]

2003年9月3日

独立行政法人 情報処理推進機構
セキュリティセンター(IPA/ISEC)

W32/MSBlaster 史上最大規模の被害を引き起こす

情報処理推進機構 セキュリティセンター(IPA/ISEC)は、2003年8月のコンピュータウイルス・不正アクセスの届出状況をまとめた。

1. コンピュータウイルス届出状況

8月の状況は、W32/MSBlaster(315件)W32/Welchia(86件) W32/Sobig(542件) などの被害が拡大したことにより、全体で 2,014件の届出および3,065件の相談が寄せられ、今年最悪の件数となった。また、実害率(届出の内、感染被害に遭った割合)も21.4%となり、2001年10月以来22ヶ月ぶりに20%を超える割合となった。

※ 届出件数、相談件数、実害率の今年1〜7月の月平均は、それぞれ約1,250件、約1,300件、約5% 。
なお、経済産業省が設置した緊急対応窓口でも1,180件の相談に対応。

W32/MSBlaster 史上最悪の混乱を招く

2003年8月、W32/MSBlasterワームが出現し、瞬く間に世界中に被害を拡大した。このワームは、7月17日に発表されたWindowsのセキュリティホールを悪用し、パソコンがインターネットに接続された状態であれば、メール受信やホームページを見ていなくても感染してしまう。

セキュリティホールを抱えているパソコンがワームの攻撃を受けると、パソコンの動作が不安定になりシャットダウン(再起動)してしまう。また、感染したパソコンが多くなると、それに比例してワームによる攻撃が増加する。

ピーク時にはインターネットに接続されたパソコン1台当たり、3分に一回は攻撃を受ける状況で、その度にシャットダウンしてしまうので、インターネットで調べることも修正プログラムをダウンロードすることもできず、混乱を引き起こした。

図はワームが感染を拡大するプロセスを表し、感染したパソコンは脆弱性のあるパソコンに対し、ポート135に攻撃データを送信、ポート4444を開いて命令を待機させ、次にワームの本体(msblast.exe)を送信、これが実行され感染することを示している。

被害が拡大した要因は、
  • Windows XP/2000などは購入したままの状態で影響を受けるセキュリティホールがあった。
  • そのセキュリティホールを修正する等の予防策がとられなかった。
などが挙げられる。

なお、9月3日現在も、このワームによる攻撃は依然として多い状況なので、感染の有無の確認および予防策を徹底して頂きたい。(詳細は項目3.を参照)

W32/Sobigの亜種(Sobig.F)がウイルスメールを撒き散らす!!

W32/MSBlasterに続き、W32/Sobig の亜種が出現し、大量のウイルスメールを発信している。このウイルスは、「Thank you!」「Re: Details」* などの件名で届き、メールの添付ファイルを開くことで感染する。従来からあるタイプだが、うっかり開いてしまい感染するケースが見受けられた。

* その他の件名には、「Re: Thank you!」、「Re: Re: My details」、「Your details」、「Re: Approved」、「Re: Your application」、「Re: Wicked」がある。

ウイルス対策の基本である、メールの添付ファイルは安易に開かないよう、改めて注意が必要である。

図はメールの受信画面を表し、送信者はIPA/ISEC、件名はThank you!とあるが、これはW32/Sobigの亜種であることを示している。
例: W32/Sobigの亜種の受信画面

2.コンピュータ不正アクセス届出状況

8月の届出件数は45件であり、今年最多の件数となった。

中でも、ワーム感染が4件、ワーム形跡が13件で、W32/MSBlaster及びW32/Welchiaによる感染被害及びアクセス形跡が多かった。

企業内LANで感染が広まり、ワームによる不要なトラフィックでネットワークが混雑し業務に支障をきたしたと言う届出、ワームに感染しなくても外部からのアクセスによりPCの動作が重くなったという届出もあった。

なお、8月の届出のうち被害があった届出件数は17件で、その内訳は、侵入被害9件、ワーム感染4件、メール不正中継1件、DoS(サービス妨害)1件、その他(個人情報発信警告など)2件であった。

最近の不正アクセスの傾向として、ワームやツールなどによる自動攻撃が多くなっている点、またこれらのワームやツールは既知の脆弱性を突くものが多い点が挙げられる。 更に、自身のコンピュータが被害に遭うだけでなく、踏み台とされたケースも多くなっている。8月の被害届出のうち、侵入被害の6件が踏み台となり他サイトへ攻撃していたことが確認できたものであった。

図は最近の不正アクセスの特徴を表し、攻撃者は既知の脆弱性を抱えたコンピュータに対し、ワームやツールによる自動化攻撃を行い、踏み台として他サイトを攻撃する。

ワームも含めて不正アクセスにより、自身のコンピュータが被害に遭うだけでなく、他サイトへも被害を及ぼす可能性があることを改めて認識して対策を実施して頂きたい。

3. 今月の呼びかけ:「ワームの駆除はしましたか?」
− 感染していても異常が見えない場合も… −

一見、W32/MSBlasterW32/Welchia による被害への対処が浸透し、終息しつつあるように思えるが、IPA/ISEC環境の観測データ(下図)によると、これらのワームによると推測される不正アクセスはほとんど減少していない

セキュリティホールを修正すると再起動などの異常は起きなくなるので、ユーザは問題が解決したと思うかもしれない。しかし、これらのアクセスが一向に減少していない状況から、パソコン中に残っているワームから、外部への攻撃が継続して行われていると考えられる。つまり、『修正プログラムは適用したがワームの駆除を行っていないユーザが多数存在する』と推測される。

グラフは8月11日から8月31日のポート135へのアクセスとPingアクセスを示し、ポート135へのアクセス数(MS Blaster)は11日を最初に最大1400アクセス、頻繁にアクセスされており、Pingアクセス数(Welchi)は18日を最初に22日までに急激にその数を増やし、最大25000以上のアクセスまでを衰えることなく続けていることを示している。

感染に気付かずに他者に対しての攻撃が継続して行われると、インターネット上に攻撃データが溢れ、深刻な障害が起きる可能性がある。全ての Windows ユーザは、コンピュータに異常な症状が見られない場合でも、以下のサイトにてウイルスチェックを行い、感染の有無を確認しよう。

もし、感染が確認された場合は、下記サイトにW32/MSBlasterワーム、W32/Welchiaワームに感染した場合の復旧手順をそれぞれ掲載しているので、参照されたい。

第9回 情報セキュリティセミナー
−Advanced IT Security Seminar 2003 -
〜 平成15年10月8日(水)〜10月30日(木)全国8ヶ所で開催 〜

IPAは、経済産業省及び全国の経済産業局と共催で、第9回情報セキュリティセミナー【コンピュータウイルス対策/不正アクセス対策/セキュリティ評価/セキュリティマネジメント】についてのセミナーを全国8会場で開催します。

開催場所、日程、申し込み方法等の詳細は、下記ページをご参照ください。

問い合わせ先:IPAセキュリティセンター(IPA/ISEC)
(ISEC:Information technology SEcurity Center)

TEL:03-5978-7508 FAX:03-5978-7518
E-mail: 電話番号:03-5978-7501までお問い合わせください。
相談電話:03-5978-7509 URL: http://www.ipa.go.jp/security/