情報処理推進機構：情報セキュリティ：コンピュータウイルス・不正アクセスの届出状況について［要旨］

HOME >> 情報セキュリティ >> ウイルス対策 >> ウイルスの発見届出状況 >> 記事

情報セキュリティ

コンピュータウイルス・不正アクセスの届出状況について［要旨］

2003年10月6日

独立行政法人情報処理推進機構
セキュリティセンター(IPA/ISEC)

パッチの適用を促すW32/Swenウイルス出現！！

情報処理推進機構セキュリティセンター(IPA/ISEC)は、2003年 9月のコンピュータウイルス・不正アクセスの届出状況をまとめた。

1．コンピュータウイルス届出状況

9月の届出件数は、1,794件と 8月の 2,014件より若干の減少となった。

W32/Swenウイルス巧妙な手口でユーザを欺く！！

2003年9月、W32/Swen ウイルスが出現し、W32/Sobig（511件）、W32/Klez（272件）に次いで 219件と多数の届出があった。このウイルスは、メールの添付ファイルとして届くウイルスで、Windows の MS01-020というセキュリティホールを悪用している。

このセキュリティホールが存在しているパソコンでは、添付ファイルを開かなくてもメールをプレビューしただけで感染してしまう。

また、Microsoft から送信された Internet Explorer の修正プログラムの案内を装い、添付ファイルを実行させるように促しており、このセキュリティホールを解消していても、添付ファイルを開くと感染してしまう。

このように感染させるための手法を二重に仕掛け、修正プログラムの重要性を認識するようになった利用者の心理をついて、感染拡大を図っている。

図はメールの受信画面を表し、送信者はMS Security Support、件名はnewest patchとあるが、これはW32/Swenウイルスであることを示している。
例：W32/Swenウイルスのメール受信画面

さらに、添付ファイルが実行されると、修正プログラムをインストールするという偽のメッセージを表示し、ウイルスに感染したことに気付かせないようにしている。感染すると、パソコン内のアプリケーションにエラーを発生させ、使用不可能にする被害をもたらす。
また、感染を拡大するため、アドレス帳の全アドレス宛へウイルスメールを送信する活動を行う。

2．コンピュータ不正アクセス届出状況

9月の届出件数は39件と8月の45件より若干減少した。

9月の届出のうち被害があった届出件数は5件のみで、今年最も少なかった。その内訳は、侵入被害2件、アドレス詐称1件、DoS（サービス妨害）1件、その他（PC内アプリケーションの不正利用）1件であった。

被害に遭う前に対策を!!

システム管理者へ

9月には、広く利用されている複数のオープンソースソフトウェアにセキュリティホールが発見されている。メールサーバーソフトウェアである「sendmail」、SSH（Secure Shell）ソフトウェアである「OpenSSH」、更にSSL(Secure Socket Layer)ソフトウェアである「OpenSSL」にそれぞれセキュリティホールが発見されている。

このセキュリティホールを突かれると攻撃者に任意の命令を実行されるなどの被害に遭う可能性がある。以下のサイトを確認して、最新のバージョンを導入する、パッチを適用するなどの対策を実施して頂きたい。

「脆弱性情報」
http://www.ipa.go.jp/security/news/news.html

エンドユーザーへ

9月にもW32/MSBlasterワームが悪用したセキュリティホールと同様に重大なセキュリティホール（MS03-039）が発見されているため、Windows Update によるセキュリティホールの解消を実施して頂きたい。

また、マイクロソフト社のOffice製品にもセキュリティホールが複数発見されている。以下のサイトから Office Update を実施し、セキュリティホールを解消して頂きたい。

マイクロソフト社「Officeのアップデート」
http://office.microsoft.com/officeupdate/default.aspx

3.　今月の呼びかけ：
（1）「見た目に騙されて添付ファイルを開くな！！」
－親切な案内メールではありません！－

メールで届くウイルスには、添付ファイルを開かせるために、件名や本文に偽情報を記載することがある。その情報を信用して添付ファイルを開いてしまうと感染することになる。代表的な手法として、次のような例があるので注意されたい。

(1) マイクロソフト社からの修正プログラムの案内を装う	：W32/Swen
(2) Yahooなどのサポートセンターを装う	：W32/Sobig
(3) 送ってもいないメールに対する宛先不明のエラーメールを装う	：W32/Swen、W32/Klez

ソフトベンダーでは、修正プログラムをホームページからのダウンロードにより提供している場合が多く、メールの添付ファイルで送信することはほとんどないので、親切なメールと勘違いして安易に開かないよう注意が必要である。
また、メールの添付ファイルはワクチンソフトで検査することにより、ウイルス感染の有無を確認することを習慣として頂きたい。

また、次々に報告されるセキュリティホールに関する情報を収集し、出来るだけ早急に対処できるよう心がけて頂きたい。

ワクチンソフトに関する情報
http://www.ipa.go.jp/security/antivirus/vacc-info.html

（2）お使いのパソコンはウイルスに感染していませんか？

MSBlaster または Welchia に感染した Windows 2000/XP のパソコンをお使いのユーザで、ウイルスを駆除する前に修正プログラムを適用すると、ウイルスが残ったままでシャットダウン等の現象が起きなくなる。

IPA/ISEC環境の観測システムのデータ（下図）によると、MSBlaster や Welchia によるものと推測される不正アクセスが2ヶ月近く経過した現在も相変わらず高水準で推移している。

グラフは8月10日から9月30日のポート135へのアクセスとPingアクセスを示し、ポート135へのアクセス数（MS Blaster）は11日を最初に最大1400アクセス、頻繁にアクセスされており、Pingアクセス数（Welchi）は18日を最初に22日までに急激にその数を増やし、最大25000以上のアクセスまでを衰えることなく続けていることを示している。

日本国内のパソコンからと推定されるアクセスも W32/MSBlaster 約 3割、W32/Welchia 約 2割あり、未だに感染したままインターネットに接続しているパソコンが多数存在していると考えられる。

シャットダウン等の現象が起きていないWindows 2000/XP のユーザも、ワクチンソフトなどによりウイルスチェックを行い、感染の有無を確認しておこう。

「W32/MSBlaster」ワームに関する情報
http://www.ipa.go.jp/security/topics/newvirus/msblaster.html
「W32/Welchia」ワームに関する情報
http://www.ipa.go.jp/security/topics/newvirus/welchi.html

問い合わせ先：IPAセキュリティセンター（IPA/ISEC）
（ISEC：Information technology SEcurity Center）

TEL：03-5978-7508　FAX：03-5978-7518
E-mail：
相談電話：03-5978-7509　URL： http://www.ipa.go.jp/security/

ページトップへ