1995年1月27日                             情報処理振興事業協会          コンピュータウイルス被害の届出状況について 1.はじめに ●'95年1月19日午後、IPA(情報処理振興事業協会・石井賢吾理事長)は、「コ ンピュータウイルス対策委員会」を開き、'94年12月のコンピュータウイルス被害の 届出状況を報告した。 ●コンピュータウイルスの届出制度は、通商産業省のコンピュータウイルス対策基準 ('90年4月10日付通商産業省告示第139号)に基づき、'90年4月にスタートした制度 であって、コンピュータウイルスを発見したものは被害の拡大と再発を防ぐために必 要な情報をIPAに届出ることとされている。  問い合わせ先  IPA(情報処理振興事業協会)                      TEL (03)3437−2301                      FAX (03)3437−2537                       担 当  中村、小門、山崎、赤堀 2.届出の概要 (1)今までの届出状況  届出件数は、'90年4月通産省が告示した「コンピュータウイルス対策基準」に基づ いて、IPAが被害の届出機関に指定されてから受理した届出の件数である。今まで の届出件数は、ウイルスではないと判明した届出10件を除いて2348件となる。次頁の グラフは、 '91年1月から'94年12月までの被害届出件数の月別推移を表したものであ る。         〔 届 出 件 数 の 月 別 推 移 〕 +−−−−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−+  |   月   | 1 2 3 4 5 6 7 8 9 10 11 12 | +−−+−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−+  |  |月別件数| 82 158 185 102 81 99 84 61 81 86 66 42 |  |  +−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−+  |  |    | 82   425   608   791   933  1085   |  |94年|年別累計|   240   527   707   852  1019  1127 |  |  +−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−+  |  | 全累計|1303  1646  1829  2012  2154  2306   | |  |    |  1461  1748  1928  2073  2240  2348 | +−−+−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−+  |  |月別件数| 23 43 39 32 49 83 97 120 120 81 92 118 |  |  +−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−+  |93年|年別累計| 23 66 105 137 186 269 366 486 606 687 779 897 |  |  +−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−+  |  | 全累計| 347   429   510   690   930  1103  | |  |    |   390   461   593   810  1011 1221 |  +−−+−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−+  |  |月別件数| 3 10 32 8 29 19 20 20 31 19 38 24 |  |  +−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−+  |92年|年別累計| 3 13 45 53 82 101 121 141 172 191 229 253 |  |  +−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−+  |  | 全累計| 74 84 116 124 153 172 192 212 243 262 300 324 |  +−−+−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−+  |  |月別件数| 2 1 2 7 4 3 6 5 11 7 6 3 |  |  +−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−+  |91年|年別累計| 2 3 5 12 16 19 25 30 41 48 54 57 |  |  +−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−+  |  | 全累計| 16 17 19 26 30 33 39 44 55 62 68 71 | +−−+−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−+  |  |件  数| − − − 1 0 1 2 3 2 1 2 2 |  |  +−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−+  |90年|年別累計| − − − 1 1 2 4 7 9 10 12 14 |  |  +−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−+  |  | 全累計| − − − 1 1 2 4 7 9 10 12 14 |  +−−+−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−+  注)表の届出件数は、調査した結果、ウイルスではないと判明した届出10件を    除いている。〔ウイルスではない届出〕'90 年7月:1件。                      '91 年5月、6月、7月:各1件。                      '92 年2月:1件。                         8月:2件。                         9月:1件。                      '93 年5月:1件。                      '94 年1月:1件。 (2)'94年12月の届出状況  12月のコンピュータウイルスの被害届出は42件である。'94年の被害届出件数の累 計は、1127件である。 (a)届出の感染機種別件数は次のとおりである。一番多い届出は、日電PC−98 シリーズ及びその互換機で、届出の約56%になっている。続いて、IBM及びその互 換機が約41%になっている。   +−−−−−+−−−−−−−−−−−−−−−−−+−−−−−−−−−+   |     |                 |  届出件数   |   |     |    機    種       +−−−+−−−−−+   |     |                 |'94/12|'94/1〜12|   +−−−−−+−−−−−−−−−−−−−−−−−+−−−+−−−−−+   |98シリーズ| 日電  PC−98シリーズ   | 22| 703 |   |     +−−−−−−−−−−−−−−−−−+−−−+−−−−−+   |互換機  | EPSON  PCシリーズ     |  4|  81 |   +−−−−−+−−−−−−−−−−−−−−−−−+−−−+−−−−−+   |     | IBM PS/2、PS/55 |  4| 123 |   |IBM 機  +−−−−−−−−−−−−−−−−−+−−−+−−−−−+   |     | 東芝  J−3100     |  1|  77 |   |互換機  +−−−−−−−−−−−−−−−−−+−−−+−−−−−+   |     | 各社  IBM互換機     | 14| 192 |   +−−−−−+−−−−−−−−−−−−−−−−−+−−−+−−−−−+   |FMシリーズ| 富士通  FM シリーズ |  1|  27 |   |     +−−−−−−−−−−−−−−−−−+−−−+−−−−−+   |互換機  | 松下   Panacomシリーズ  |  0|   1 |   +−−−−−+−−−−−−−−−−−−−−−−−+−−−+−−−−−+   |MAC 機  | APPLE   Macintoshシリーズ |  0|   9 |   +−−−−−+−−−−−−−−−−−−−−−−−+−−−+−−−−−+       注)複数機種感染の届出を含む。 (b)届出の届出者別件数は次のとおりである。一番多い届出は、一般法人ユーザか らのもので、続いて、個人ユーザ、情報産業、教育・研究機関の順になっている。      +−−−−−−−−−−−−−−−−−+−−−−−−−−−+      |                 |  届出件数   |      | 届  出  者 +−−−+−−−−−+      |                 |'94/12|'94/1〜12|      +−−−−−−−−−−−−−−−−−+−−−+−−−−−+      |  一般法人ユーザー  | 19| 514 |      +−−−−−−−−−−−−−−−−−+−−−+−−−−−+      |  個人ユーザー     | 12| 355 |      +−−−−−−−−−−−−−−−−−+−−−+−−−−−+      |  情 報 産 業    | 10| 198 |      +−−−−−−−−−−−−−−−−−+−−−+−−−−−+      |  教育・研究機関   |  1|  60 |      +−−−−−−−−−−−−−−−−−+−−−+−−−−−+ (c)届出の地域別件数は次のとおりである。関東地方が最も多い。続いて、近畿地 方、中部地方となっている。      +−−−−−−−−−−−−−−−−−+−−−−−−−−−+      |                 |  届出件数   |      |    地     域     +−−−+−−−−−+      |                 |'94/12|'94/1〜12|      +−−−−−−−−−−−−−−−−−+−−−+−−−−−+      |    北海道 地 方     |  2|  34 |      +−−−−−−−−−−−−−−−−−+−−−+−−−−−+      |    東 北 地 方     |  4|  68 |      +−−−−−−−−−−−−−−−−−+−−−+−−−−−+      |    関 東 地 方     | 15| 585 |      +−−−−−−−−−−−−−−−−−+−−−+−−−−−+      |    中 部 地 方     |  7| 141 |      +−−−−−−−−−−−−−−−−−+−−−+−−−−−+      |    近 畿 地 方     |  9| 164 |      +−−−−−−−−−−−−−−−−−+−−−+−−−−−+      |    中 国 地 方     |  1|  33 |      +−−−−−−−−−−−−−−−−−+−−−+−−−−−+      |    四 国 地 方     |  1|  28 |      +−−−−−−−−−−−−−−−−−+−−−+−−−−−+      |    九 州 地 方     |  3|  74 |      +−−−−−−−−−−−−−−−−−+−−−+−−−−−+ (d)届出ウイルスの種類については、次のとおりである。12月に届出のあったウイ ルスは10種類であった。この内、届出件数の一番多かったウイルスはヤンキー・ドゥ ードルとカスケードで、各13件。この2種類だけで届出の約60%となっている。また、 今回IPAに初めて届けられたウイルスは、2種類(*印)であった。 +−−+−−−−−−−−−−+−−−−+−−−−−−−−−−−−−−−−−+ |  |          |届出件数|     感染した機種    | |項番| ウイルス名    +−−−−+−−−+−−−−+−−−−+−−−+ |  |          |'94/12 |IBM 機|98機 |FM機 |MAC 機| |  |          |    |互換機|互換機 |互換機 | | +−−+−−−−−−−−−−+−−−−+−−−+−−−−+−−−−+−−−+ | 1 |ヤンキー・ドゥードル| 13 | ● |  ●  |  ●  | − | | 2 |カスケード     | 13 | − |  ●  |  −  | − | | 3 |パリティブート   |  4 | ● |  −  |  −  | − | | 4 |アンチテレフォニカ |  3 | ● |  −  |  −  | − | | 5 |モンキー      |  3 | ● |  −  |  −  | − | | 6 |アンチシーモス   |  2 | ● |  −  |  −  | − | | 7 |フォーム      |  2 | ● |  −  |  −  | − | |* 8 |B1        |  1 | ● |  −  |  −  | − | | 9 |アズサ       |  1 | ● |  −  |  −  | − | |*10 |リッパー      |  1 | ● |  −  |  −  | − | +−−+−−−−−−−−−−+−−−−+−−−+−−−−+−−−−+−−−+      注)1.届出件数は、1件の届出で2種類以上のウイルスに感染したものを         含む。        2.感染した機種欄の印は、●感染有り、−感染無しである。 今回IPAに初めて届出があったウイルスを簡単に説明する。 「B1」 このウイルスは、常駐型でディスクのブートセクタに感染する。感染したディ スクを起動するとウイルスはメモリに常駐する。メモリに常駐したウイルスは、ディ スクアクセスを監視し、アクセスしたディスクに感染する。このウイルスが常駐して いる状態で感染ディスクの感染セクタの内容を確認しても感染前の内容が表示される。 (ステルス型)このウイルスは、感染するだけで発病はしない。 「リッパー」 このウイルスは、常駐型でディスクのブートセクタに感染する。感染したディ スクを起動するとウイルスはメモリに常駐する。メモリに常駐したウイルスは、ディ スクアクセスを監視し、アクセスしたディスクに感染する。 ウイルスが常駐している状態で、ディスク書き込みを行うと、希に書き込みデ ータが破壊される。この結果、プログラムが暴走することもある。このウイルスが常 駐している状態で感染ディスクの感染セクタの内容を確認しても感染前の内容が表示 される。(ステルス型) (e)被害届出から感染経路を区分けすると次の表のようになる。感染経路が不明を 除くとすべてが外部からの媒体による感染である。他の人にパソコンを使用させると きは気を付けるとともに、外部から持ち込んだフロッピーディスク・ハードディスク ・パソコンは、ウイルス検査後使用することが重要である。        +−−−−−−−−−−−−−−−−−−+−−−−+        |                  |届出件数|        |    感 染 経 路       +−−−−+        |                  | '94/12 |        +−−−−−−−−−−−−−−−−−−+−−−−+        |外部から感染したケース       | 17 |        +−−−−−−−−−−−−−−−−−−+−−−−+        |客先、取引先により感染したケース  |  2 |        +−−−−−−−−−−−−−−−−−−+−−−−+        |海外からの媒体で感染したケース   |  1 |        +−−−−−−−−−−−−−−−−−−+−−−−+        |学生により感染したケース      |  1 |        +−−−−−−−−−−−−−−−−−−+−−−−+        |職場から感染したケース       |  1 |        +−−−−−−−−−−−−−−−−−−+−−−−+        |中古機器から感染したケース     |  1 |        +−−−−−−−−−−−−−−−−−−+−−−−+        |不 明               | 19 |        +−−−−−−−−−−−−−−−−−−+−−−−+ (f)届出のあったウイルスが感染させたパソコンの台数は次のとおりである。10 台未満の感染がほとんどであるが、50台以上の感染には100台の被害届出が含ま れている。        +−−−−−−−−−−−−−−+−−−−−−+        |              | 届出件数 |        |   感 染 台 数   +−−−−−−+        |              |  '94/12 |        +−−−−−−−−−−−−−−+−−−−−−+        |   1台         |  24  |        +−−−−−−−−−−−−−−+−−−−−−+        |   2台以上5台未満   |  10  |        +−−−−−−−−−−−−−−+−−−−−−+        |   5台以上10台未満  |   2  |        +−−−−−−−−−−−−−−+−−−−−−+        |  10台以上20台未満  |   4  |        +−−−−−−−−−−−−−−+−−−−−−+        |  20台以上50台未満  |   1  |        +−−−−−−−−−−−−−−+−−−−−−+        |  50台以上       |   1  |        +−−−−−−−−−−−−−−+−−−−−−+ 以      上              特定日発病ウイルスについて  ウイルスの被害の拡大を防止する意味から、今回は、IPAに届出されたウイルス の中で、1月19日〜2月28日に発病する可能性があるウイルスを下記に掲げた。ウイ ルスの早期発見の参考にされることを望む。 (1)スイスブート: システム日付が、毎年2月7日のときに、ディスクアクセスを行うと「Schaffs die Schweizer Armee ad !」とドイツ語のメッセージを表示しハードディスクを破壊す る。このウイルスは、常駐型でディスクのブートセクタに感染する。このウイルスは感染 するときに破損クラスタを作成する。          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 届出年 |  被 害 届 出 件 数       |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1990年 |   0件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1991年 |   0件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1992年 |   0件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1993年 |   0件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1994年 |   1件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+ (2)DApm−8: 2月14日に 「Be my valentine.」というメッセージを表示する。非常駐型ウイ ルス。 COMファイルに感染し,600バイトファイルサイズを増加させる。 307 20バイト以上のファイルの場合,感染したファイルを破壊する。DApm−2の日付と メッセージ部を変えたものである。           +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 届出年 |  被 害 届 出 件 数       |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1990年 |   0件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1991年 |   0件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1992年 |   2件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1993年 |   0件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1994年 |   0件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+ (3)DApm−15: 2月14日に「Be my valentine.」というメッセージを表示する。非常駐型ウイル ス。 COMファイルに感染し,600バイトファイルサイズを増加させる。30720 バイト以上のファイルの場合,感染したファイルを破壊する。 DApm−8(バレンタ インウイルス)を改造したもので、重複して感染する点がDApm−8と異なる。重複感 染して30720バイト以上になったファイルを実行するとプログラムは暴走する。          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 届出年 |  被 害 届 出 件 数       |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1990年 |   0件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1991年 |   0件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1992年 |   1件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1993年 |   0件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1994年 |   0件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+ (4)ピーターII: 2月27日に感染したシステムから起動すると、ハードディスクの内容を破壊して、 3つの質問を出す。1問でも答えを間違えると、ハードディスクを破壊したまま終了する。 全問正解するとハードディスクを元の状態に戻す。常駐型でブートセクターに感染する。          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 届出年 |  被 害 届 出 件 数       |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1990年 |   0件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1991年 |   0件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1992年 |   0件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1993年 |   2件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1994年 |  25件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+ (5)DH2: 3日、11日、15日、28日が火曜日の日に発病し、ファイルの書き込みを行う と「SW ERROR」と表示しファイルの書き込みを拒否する。常駐型でCOM,EXEファイ ルに感染する。感染したファイルを実行するとウイルスはメモリに常駐し、CONFIG.SYSで 指定されたCOMMAND.COMに感染する。メモリに常駐したウイルスは、プログラムの実行、フ ァイルのオープン・クローズを監視し、プログラムの実行、ファイルのオープン・クロー ズしたファイルに感染する。また、ウイルスが常駐している状態で「.ASM」、「.PAS」を オープンするとそのファイルを破壊する。          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 届出年 |  被 害 届 出 件 数       |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1990年 |   0件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1991年 |   0件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1992年 |   0件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1993年 |   0件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1994年 |   2件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+ (6)フリップ(2153):          毎月2日にシステムを立上げた場合に発病し、10:00になるとデ ィスプレイの表示が上下左右逆さまになる。この状態は電源をOFFにするまで継続され る。常駐型でCOM、EXEファイルに感染する。感染時にハードディスクのパーティシ ョンテーブルを書き換える。IBM−PC及びその互換機で発病しNEC−PC98及び その互換機では感染するだけである。          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 届出年 |  被 害 届 出 件 数       |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1990年 |   0件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1991年 |   0件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1992年 |   1件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1993年 |   2件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1994年 |   2件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+ (7)フレアジャックス: 毎月13日又は金曜日に「Frere Jacques」を演奏する。常駐型で、 COM、EXEファイルに感染し、EXEファイルには再感染もする。但し、COMMAND.COM には感染しない。感染ファイルはCOMファイルの場合1,813バイト、EXEファイルの場 合1,808〜1,823バイト増加する。EXEファイルには再感染する。ウィルスが感染しようと するとプログラムが破壊される場合がある。エルサレムBウイルスの亜種である。          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 届出年 |  被 害 届 出 件 数       |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1990年 |   0件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1991年 |   0件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1992年 |   1件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1993年 |   0件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1994年 |   0件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+ (8)フォーム:          毎月24日になると、クリッキングノイズをシステムのスピーカーか ら発する。常駐型でHD,FDのブートセクターに感染するIBM機及びその互換機に感 染する。          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 届出年 |  被 害 届 出 件 数       |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1990年 |   0件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1991年 |   0件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1992年 |   3件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1993年 |  42件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1994年 |  97件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+   (9)サンデー:          毎週日曜日になると、”日曜日なのにどうして仕事なんかするの?” という意味のメッセージを表示する。常駐型でEXE、COMファイルに感染する。FA T(ファイル・アロケーション・テーブル)を破壊する場合がある。IBM機及びその互換 機でメッセージが表示される。PC−98及びその互換機では感染のみでメッセージは表 示されない。          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 届出年 |  被 害 届 出 件 数       |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1990年 |   0件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1991年 |   3件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1992年 |   9件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1993年 |  21件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1994年 |  11件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+ 以上