原田ウイルスは、ファイル名に有名なアニメーションのタイトルやキャラクターの名前を含む映像ファイルに見せかけていることが確認されています。ファイル共有ソフトのネットワークを利用して、それら映像ファイルを求めている人を感染ターゲットにする目的であると考えられます。

　このウイルスに感染すると図1-1の画面が表示されます。亜種の中には、人物の代わりにアニメキャラクターの画面が表示される場合もあります。　表示されると同時に、パソコン内にある静止画ファイルや動画ファイルや実行ファイルなどを図1-1のような画像ファイルに置き換え、破壊してしまいます。

　このような動作の特徴などから「破壊型ウイルス」とも呼ばれています。

　原田ウイルスは、映像ファイルに見せかけるため、ファイルの見た目を偽装しています。このような場合、下記の方法でファイルの拡張子を確認することで、偽装されたファイルを見分けることが出来ます。拡張子とは、そのファイルが記録しているデータの種類を示すものです。

(a)拡張子の表示

　Windows の初期設定では、ファイルの拡張子が表示されない設定になっています。下記の手順で拡張子を表示するように変更してください。

(i)Windows XP の場合

マイコンピュータもしくはエクスプローラのメニューバーから[ツール]−[フォルダオプション] −[表示]タブを選択し、[登録されている拡張子は表示しない]のチェックを外す

(ii)Windows Vista の場合

スタートボタンから[コントロールパネル]−[デスクトップのカスタマイズ]−[フォルダオプション]−[表示]タブを選択し、[登録されている拡張子は表示しない]のチェックを外す

(b)拡張子の確認方法

　正しいファイルの例として、図1-2(i)と図1-2(ii)を示します。図1-2(i)のファイルの拡張子は「avi」であり、動画であることを示しています。ところが図1-2(ii)ではファイル名の末尾に「…」が表示され、拡張子が見えていません。これはファイル名が長すぎるため全てを表示できていないことを示しています。Windows ではファイル名がある一定の長さを超えると全部を表示せず、「…」で省略して表示することになっているためです。図1-2(ii)の本当のファイル名は、「２００７年１０月長男運動会（小学校運動場）.avi」で、正しい動画ファイルです。

　図1-2(iii)と図1-2(i)のファイルは一見すると同じように見えますが、図1-2(iii)を良く見ると少し離れたところに「…」が表示されています。つまり、図1-2(iii)のファイル名は長すぎるために全てが表示されていないということになります。図1-2(iii)の本当のファイル名は「動画.avi　　　　　　　　　　　　　　　.exe」であり、拡張子は「exe」、つまりアプリケーションプログラムです。ファイル名の途中にある大量のスペースのためにファイル名の全てが表示されず、拡張子が「exe」ではなく「avi」であると見誤ってしまいがちです。もし、図1-2(iii)のようなファイルがウイルスだった場合、見た目で「動画」と判断してダブルクリックするとすぐにウイルス感染してしまいます。このようなファイルが見つかった場合には、安易にクリックして開かずに、(c)の方法によりこのファイルの種類が何かを確認してください。

(c)ファイルのプロパティでの確認方法

　図1-2（iii）のファイルの拡張子は何かということを見るには、まず図1-3(i)のようにファイルのアイコンの上で、マウスの右ボタンをクリックしてください。

　次に、図1-3(ii)のようなメニューが表示されますので、メニューの一番下にある「プロパティ」を選択します。そうすると、図1-3(iii)のような画面が表示され、「全般」タブの一番上に全体のファイル名が表示されます。この場合は、「avi」の後に多数のスペースがあり、最後にこのファイルの本当の拡張子である実行形式ファイルの「exe」が表示されています。また、「ファイルの種類」も「アプリケーション」(正しい動画ファイルの場合は「ビデオクリップ」となる)となっていますので、このファイルは動画ファイルではなく実行形式ファイルであることがわかります。これが、ファイルの見た目を偽装するウイルスの典型的な例です。

(d)感染を防ぐためには

　ウイルスの中には、この原田ウイルスのように、ファイルの見た目を偽装するようなウイルスがあることを認識してください。そして、利用しようとするファイルが「何か怪しいファイルだな」と感じたときは、上記の方法でそのファイルが何かということを確認してください。
　このような確認を行うことで、原田ウイルスのようなウイルスから、少しでも感染を防ぐことができます。もし、原田ウイルスのような特徴を持つファイルが見つかったら、何もしないで直ぐに削除してください。さらに Windows の場合はファイルの削除等を行うと「ゴミ箱」にファイルが移動しますが、念のためファイルを移動した後、ゴミ箱を空にすることをお勧めします。

　原田ウイルスに感染した場合は、「(1)原田ウイルスの特徴」で記述したようにパソコン内のアプリケーションプログラム、映像データやデジカメで撮影した写真など個人の重要な情報が破壊されてしまい、残念ながら通常では復元する方法はありません。
　破壊された情報を復元する方法は、外部のハードディスクや DVD、CD 等の記録媒体に保存した情報からの復旧しかありません。いつ被害に遭うかわかりませんので、常日頃から定期的に「バックアップ」をとることをお勧めします。

(ご参考）

• IPA - パソコンユーザのためのウイルス対策 7 箇条
  http://www.ipa.go.jp/security/antivirus/7kajonew.html
• IPA - パソコンユーザのためのスパイウェア対策 5 箇条
  http://www.ipa.go.jp/security/antivirus/spyware5kajyou.html

　ウイルスの検出数^(※1)は、 約31万個と、12月の約34万個から8.5％の減少となりました。また、1月の届出件数^(※2)は、2,046件となり、12月の2,239件から8.7％の減少となりました。

※1 検出数 ： 届出にあたり届出者から寄せられたウイルスの発見数（個数）
※2 届出件数： 同じ届出者から寄せられた届出の内、同一発見日で同一種類のウイルスの検出が複数ある場合は、1日何個検出されても届出1件としてカウントしたもの。

• 1月は、寄せられたウイルス検出数約31万個を集約した結果、2,046件の届出件数となっています。
• 検出数の1位は、W32/Netsky で約29万個 、2位は W32/Mytob で約1万個、3位は W32/Mydoom で約2千5百個でした。

不正アクセスの届出および相談の受付状況

		8月	9月	10月	11月	12月	1月
届出(a) 計		16	10	10	15	14	8
	被害あり(b)	13	8	9	11	7	7
	被害なし(c)	3	2	1	4	7	1
相談(d) 計		23	27	37	31	21	24
	被害あり(e)	15	12	22	17	16	15
	被害なし(f)	8	15	15	14	5	9
合計(a+d)		39	37	47	46	35	32
	被害あり(b+e)	28	20	31	28	23	22
	被害なし(c+f)	11	17	16	18	12	10

（1）不正アクセス届出状況

　1月の届出件数は8件であり、そのうち被害のあった件数は7件でした。

（2）不正アクセス等の相談受付状況

　不正アクセスに関連した相談件数は24件（うち3件は届出件数としてもカウント）であり、そのうち何らかの被害のあった件数は15件でした。

（3）被害状況

　被害届出の内訳は、侵入3件、その他（被害あり）4件でした。
侵入届出の被害は、3件全てが他サイト攻撃の踏み台として悪用されたものでした。侵入の原因としては、SSH^※で使用するポートへのパスワードクラッキング^※攻撃によるものが2件、ftpd（ftp サーバのプログラム）のぜい弱性への攻撃によるものが1件、でした。
　その他（被害あり）の被害として、オンライン RPG（ロールプレイングゲーム）上で自分のキャラクターのアイテムやゲーム内の通貨が消失していたものが1件ありました。

※SSH（Secure SHell）…ネットワークを介して遠隔のコンピュータと通信するためのプロトコルの一つ。
※パスワードクラッキング（password cracking）…他人のパスワードを、解析するなどして探り当てること。ブルートフォース攻撃（総当り攻撃）や辞書攻撃といった手法があり、クラッキング用のプログラムも存在する。

（4）被害事例

　1月の相談総件数は408件でした。そのうち『ワンクリック不正請求』に関する相談が28件（12月：43件）、Winny に関連する相談が17件（12月：19件）、『セキュリティ対策ソフトの押し売り』行為に関する相談が10件（12月：11件）などでした。

IPA で受け付けた全ての相談件数の推移

		8月	9月	10月	11月	12月	1月
合計		1,013	910	1,128	911	389	408
	自動応答システム	593	544	669	520	222	219
	電話	374	310	397	337	109	151
	電子メール	43	55	57	52	56	38
	その他	3	1	5	2	2	0

（備考）
IPA では、コンピュータウイルス・不正アクセス、Winny 関連、その他情報セキュリティ全般についての相談を受け付けています。
メール： （ウイルス）、（不正アクセス）

             （Winny緊急相談窓口）、（その他）
電話番号： 03-5978-7509（24時間自動応答、ただし IPA セキュリティセンター員による相談受付は休日を除く月〜金、10:00〜12:00、13:30〜17:00のみ）
FAX： 03-5978-7518 （24時間受付）
「自動応答システム」　：　電話の自動音声による応対件数
「電話」　：　IPA セキュリティセンター員による応対件数
合計件数には、「不正アクセスの届出および相談の受付状況」における『相談(d) 計』件数を内数として含みます。

（参考）ワンクリック不正請求相談件数の推移

図 4-1

主な相談事例は以下の通りです。

(i) Winny でダウンロードしたファイルで、原田ウイルスに感染

相談	Winny でダウンロードしたファイルを、動画だと思って開いたら、「原田ウイルスＯＯ（ダブルオー）」などという画面が表示された。見た目のアイコンは動画、ファイルの拡張子はスクリーンセーバである scr に見えたが、その後ろに大量のスペースが続き、その先に本当の拡張子 exe が付いていた。パソコン内のプログラムや画像のファイルが、「原田ウイルスＯＯ」と書かれた画像で上書きされ、破壊されてしまった。ウイルス対策ソフトを購入して使っていたが、何も検知してくれなかった。幸い、データのバックアップを取っていたので、１時間ほどで復旧できた。
回答	ウイルスによって破壊されたデータは、元に戻すことが困難です。日頃、重要なデータのバックアップを取っておくことが、有効な対策となります。 なお、Winny などのファイル共有ネットワークには、原田ウイルスのような"破壊型"の他に、Antinny のような"暴露型"など、凶悪なウイルスが多数流通しています。不特定多数が参加するファイル共有ネットワークは危険だという認識を持つべきです。ウイルスに感染したくなければ、ファイル共有ソフトを使わないに越したことはありません。 （ご参考） IPA - Winny による情報漏えいを防止するために http://www.ipa.go.jp/security/topics/20060310_winny.html

(ii) Cabos でダウンロードしたファイルでウイルス感染？

相談	ファイル共有ソフト Cabos でダウンロードしたファイルを開いたら、突然パソコンの電源が OFF になった。再度電源を入れると、画面に "In God We Trust" などと英語の文章が出て、その後は全く操作ができない。ウイルスに感染したのか？ウイルス対策ソフトは、何も検知しなかった。どうすれば良いのか。
回答	ウイルス対策ソフトで検知できない、新しいウイルスに感染した可能性が高いです。しかし、パソコンが正常に起動しないことにはウイルス駆除作業は困難です。Windows XP であれば、「回復オプション」で起動すると復旧できることがあります。もしダメだった場合は、パソコンを初期化することになります。 なお、ウイルス対策の観点で見れば、出所の不明なファイルを開くことは最も危険な行為です。そのようなファイルばかり流通しているファイル共有ネットワークの危険性を、改めて認識すべきです。 （ご参考） マイクロソフト - 前回正常起動時の構成機能を使用してコンピュータを起動する http://support.microsoft.com/kb/307852/ja

　インターネット定点観測(TALOT2)によると、2008年1月の期待しない（一方的な）アクセスの総数は、10観測点で244,657件ありました。1観測点で1日あたり227の発信元から789件のアクセスがあったことになります。

　TALOT2 での1観測点の環境は、インターネットを利用される一般的な接続環境と同一なので、インターネットを利用される皆さんの環境へも同じくらいの一方的なアクセスがあると考えられます。言い換えれば、あなたのコンピュータは、毎日、平均して、227人の見知らぬ人(発信元)から、発信元一人当たり約3件の不正と思われるアクセスを受けていると言うことになります。

　2007年8月〜2008年1月までの各月の1観測点での1日あたりの平均アクセス数および、それらのアクセスの平均発信元数を図5-1に示します。この図を見ると、1月の期待しない（一方的な）アクセスは昨年12月よりも若干ですが増加しましたが、全体的なアクセスの内容としては、定常化していると言えます。

　2008年1月のアクセス状況は、昨年12月よりも、若干ですが増加しました。これは、Windows のぜい弱性を狙っていると思われる、135/tcp のアクセスが増加したのが原因です。また、昨年12月にアクセスが多かった、Windows Messenger サービスを悪用してポップアップメッセージを送信するアクセスの内、1028/udp のアクセス（主な発信元地域はカナダ）が減少しました。

（1）135/tcp を狙ったアクセス

　1月は135/tcp へのアクセスが増加しました。これは、Windows のぜい弱性を狙っていると思われるアクセスで、最近では、2007年10月に Microsoft 社から MS07-058 のセキュリティ情報が公開されてから、主に日本を発信元地域とした、135/tcp へのアクセスが増加傾向にありました。

（参考情報）

• 2007年10月のインターネット定点観測（TALOT2）での観測状況について(PDF ファイル)
  http://www.ipa.go.jp/security/txt/2007/documents/TALOT2-0711.pdf
• Microsoftセキュリティ情報（MS07-058） RPC の脆弱性により、サービス拒否が起こる (933729)
  http://www.microsoft.com/japan/technet/security/bulletin/MS07-058.mspx

　11月、12月は、135/tcp のアクセスは減少していましたが、1月に入り、中華人民共和国を発信元地域としたアクセスが、少しずつですが増加しています（図5-2参照）。

　この様なアクセスは、主にボットウイルスからと思われます。今後増える可能性は十分ありますので、以下の資料を参考にしてもらい、ボット対策および不正アクセス対策を実施して下さい。

（参考情報）

• ボット対策のしおり／不正アクセス対策のしおり
  http://www.ipa.go.jp/security/antivirus/shiori.html
• 総務省・経済産業省 連携プロジェクト Cyber Clean Center サイバークリーンセンター
  https://www.ccc.go.jp/
• 感染防止のための知識（サイバークリーンセンター）
  https://www.ccc.go.jp/knowledge/

以上の情報に関して、詳細はこちらのサイトをご参照ください。

• 別紙3_インターネット定点観測（TALOT2）での観測状況について

届出の詳細については以下の PDF ファイルをご参照ください。

• 本紙_コンピュータウイルス・不正アクセスの届出状況[1月分]
• 別紙1_コンピュータウイルスの届出状況について［詳細］
• 別紙2_コンピュータ不正アクセスの届出状況について［詳細］

@police：http://www.cyberpolice.go.jp/
トレンドマイクロ株式会社：http://www.trendmicro.com/jp/
マカフィー株式会社：http://www.mcafee.com/japan/

独立行政法人 情報処理推進機構 セキュリティセンター（IPA/ISEC）
（ISEC：Information technology SEcurity Center）
TEL：03-5978-7527　FAX：03-5978-7518
E-mail：
URL：http://www.ipa.go.jp/security/