1995年2月24日                            情報処理振興事業協会          コンピュータウイルス被害の届出状況について 1.はじめに ●'95年2月20日午後、IPA(情報処理振興事業協会・石井賢吾理事長)は、「コ ンピュータウイルス対策委員会」を開き、'95年1月のコンピュータウイルス被害の 届出状況を報告した。 ●コンピュータウイルスの届出制度は、通商産業省のコンピュータウイルス対策基準 ('90年4月10日付通商産業省告示第139号)に基づき、'90年4月にスタートした制度 であって、コンピュータウイルスを発見したものは被害の拡大と再発を防ぐために必 要な情報をIPAに届出ることとされている。  問い合わせ先  IPA(情報処理振興事業協会)                      TEL (03)3437−2301                      FAX (03)3437−2537                       担 当  中村、小門、山崎、赤堀 2.届出の概要 (1)今までの届出状況  届出件数は、'90年4月通産省が告示した「コンピュータウイルス対策基準」に基づ いて、IPAが被害の届出機関に指定されてから受理した届出の件数である。今まで の届出件数は、ウイルスではないと判明した届出10件を除いて2390件となる。次頁の グラフは、 '91年7月から'95年1月までの被害届出件数の月別推移を表したものであ る。         〔 届 出 件 数 の 月 別 推 移 〕 +−−−−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−+  |   月   | 1 2 3 4 5 6 7 8 9 10 11 12 | +−−+−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−+  |  |月別件数| 42                       |  |  +−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−+  |  |    | 42                       |  |95年|年別累計|                         |  |  +−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−+  |  | 全累計|2390                       | |  |    |                         | +−−+−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−+  |  |月別件数| 82 158 185 102 81 99 84 61 81 86 66 42 |  |  +−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−+  |  |    | 82   425   608   791   933  1085   |  |94年|年別累計|   240   527   707   852  1019  1127 |  |  +−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−+  |  | 全累計|1303  1646  1829  2012  2154  2306   | |  |    |  1461  1748  1928  2073  2240  2348 | +−−+−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−+  |  |月別件数| 23 43 39 32 49 83 97 120 120 81 92 118 |  |  +−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−+  |93年|年別累計| 23 66 105 137 186 269 366 486 606 687 779 897 |  |  +−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−+  |  | 全累計| 347   429   510   690   930  1103  | |  |    |   390   461   593   810  1011 1221 |  +−−+−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−+  |  |月別件数| 3 10 32 8 29 19 20 20 31 19 38 24 |  |  +−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−+  |92年|年別累計| 3 13 45 53 82 101 121 141 172 191 229 253 |  |  +−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−+  |  | 全累計| 74 84 116 124 153 172 192 212 243 262 300 324 |  +−−+−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−+  |  |月別件数| 2 1 2 7 4 3 6 5 11 7 6 3 |  |  +−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−+  |91年|年別累計| 2 3 5 12 16 19 25 30 41 48 54 57 |  |  +−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−+  |  | 全累計| 16 17 19 26 30 33 39 44 55 62 68 71 | +−−+−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−+  |  |件  数| − − − 1 0 1 2 3 2 1 2 2 |  |  +−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−+  |90年|年別累計| − − − 1 1 2 4 7 9 10 12 14 |  |  +−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−+  |  | 全累計| − − − 1 1 2 4 7 9 10 12 14 |  +−−+−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−+  注)表の届出件数は、調査した結果、ウイルスではないと判明した届出10件を    除いている。〔ウイルスではない届出〕'90 年7月:1件。                      '91 年5月、6月、7月:各1件。                      '92 年2月:1件。                         8月:2件。                         9月:1件。                      '93 年5月:1件。                      '94 年1月:1件。 (2)'95年1月の届出状況  1月のコンピュータウイルスの被害届出は42件である。 (a)届出の感染機種別件数は次のとおりである。一番多い届出は、日電PC−98 シリーズ及びその互換機で、届出の約54%になっている。続いて、IBM及びその互換 機が約43%になっている。   +−−−−−+−−−−−−−−−−−−−−−−−+−−−−−−−−−+   |     |                 |  届出件数   |   |     |    機    種       +−−−+−−−−−+   |     |                 |'95/1|'94/1〜12|   +−−−−−+−−−−−−−−−−−−−−−−−+−−−+−−−−−+   |98シリーズ| 日電  PC−98シリーズ | 24| 703 |   |     +−−−−−−−−−−−−−−−−−+−−−+−−−−−+   |互換機  | EPSON  PCシリーズ      |  1|  81 |   +−−−−−+−−−−−−−−−−−−−−−−−+−−−+−−−−−+   |     | IBM PS/2、PS/55 |  5| 123 |   |IBM 機  +−−−−−−−−−−−−−−−−−+−−−+−−−−−+   |     | 東芝  J−3100     |  0|  77 |   |互換機  +−−−−−−−−−−−−−−−−−+−−−+−−−−−+   |     | 各社  IBM互換機     | 15| 192 |   +−−−−−+−−−−−−−−−−−−−−−−−+−−−+−−−−−+   |FMシリーズ| 富士通  FM シリーズ |  1|  27 |   |     +−−−−−−−−−−−−−−−−−+−−−+−−−−−+   |互換機  | 松下   Panacomシリーズ  |  0|   1 |   +−−−−−+−−−−−−−−−−−−−−−−−+−−−+−−−−−+   |MAC 機  | APPLE   Macintoshシリーズ |  0|   9 |   +−−−−−+−−−−−−−−−−−−−−−−−+−−−+−−−−−+       注)複数機種感染の届出を含む。 (b)届出の届出者別件数は次のとおりである。一番多い届出は、一般法人ユーザか らのもので、続いて、個人ユーザ、情報産業の順になっている。      +−−−−−−−−−−−−−−−−−+−−−−−−−−−+      |                 |  届出件数   |      | 届  出  者 +−−−+−−−−−+      |                 |'95/1|'94/1〜12|      +−−−−−−−−−−−−−−−−−+−−−+−−−−−+      |  一般法人ユーザー  | 26| 514 |      +−−−−−−−−−−−−−−−−−+−−−+−−−−−+      |  個人ユーザー     |  9| 355 |      +−−−−−−−−−−−−−−−−−+−−−+−−−−−+      |  情 報 産 業    |  7| 198 |      +−−−−−−−−−−−−−−−−−+−−−+−−−−−+      |  教育・研究機関   |  0|  60 |      +−−−−−−−−−−−−−−−−−+−−−+−−−−−+ (c)届出の地域別件数は次のとおりである。関東地方が最も多い。続いて、近畿地 方、中部地方となっている。      +−−−−−−−−−−−−−−−−−+−−−−−−−−−+      |                 |  届出件数   |      |    地     域     +−−−+−−−−−+      |                 |'95/1|'94/1〜12|      +−−−−−−−−−−−−−−−−−+−−−+−−−−−+      |    北海道 地 方     |  1|  34 |      +−−−−−−−−−−−−−−−−−+−−−+−−−−−+      |    東 北 地 方     |  0|  68 |      +−−−−−−−−−−−−−−−−−+−−−+−−−−−+      |    関 東 地 方     | 22| 585 |      +−−−−−−−−−−−−−−−−−+−−−+−−−−−+      |    中 部 地 方     |  7| 141 |      +−−−−−−−−−−−−−−−−−+−−−+−−−−−+      |    近 畿 地 方     |  7| 164 |      +−−−−−−−−−−−−−−−−−+−−−+−−−−−+      |    中 国 地 方     |  0|  33 |      +−−−−−−−−−−−−−−−−−+−−−+−−−−−+      |    四 国 地 方     |  3|  28 |      +−−−−−−−−−−−−−−−−−+−−−+−−−−−+      |    九 州 地 方     |  2|  74 |      +−−−−−−−−−−−−−−−−−+−−−+−−−−−+ (d)届出ウイルスの種類については、次のとおりである。1月に届出のあったウイ ルスは17種類であった。この内、届出件数の一番多かったウイルスはヤンキー・ドゥ ードルで、14件。次にカスケードで、11件。この2種類だけで届出の約54%となって いる。また、今回IPAに初めて届けられたウイルスは、4種類(*印)であった。 +−−+−−−−−−−−−−+−−−−+−−−−−−−−−−−−−−−−−+ |  |          |届出件数|     感染した機種    | |項番| ウイルス名    +−−−−+−−−+−−−−+−−−−+−−−+ |  |          |'95/1 |IBM 機|98機 |FM機 |MAC 機| |  |          |    |互換機|互換機 |互換機 | | +−−+−−−−−−−−−−+−−−−+−−−+−−−−+−−−−+−−−+ | 1 |ヤンキー・ドゥードル| 14 | ● |  ●  |  ●  | − | | 2 |カスケード     | 11 | ● |  ●  |  −  | − | | 3 |アンチシーモス   |  6 | ● |  −  |  −  | − | | 4 |フォーム      |  2 | ● |  −  |  −  | − | | 5 |DH2       |  1 | − |  ●  |  −  | − | |* 6 |JAN       |  1 | ● |  −  |  −  | − | | 7 |エルサレム     |  1 | ● |  −  |  −  | − | |* 8 |ジャンキー     |  1 | ● |  −  |  −  | − | | 9 |ストーンド     |  1 | ● |  −  |  −  | − | | 10 |ストーンドIII    |  1 | ● |  −  |  −  | − | | 11 |テキーラ      |  1 | ● |  −  |  −  | − | |*12 |ノップス      |  1 | ● |  −  |  −  | − | | 13 |パリティブート   |  1 | ● |  −  |  −  | − | | 14 |ピーターII     |  1 | ● |  −  |  −  | − | | 15 |ブラッディ     |  1 | ● |  −  |  −  | − | |*16 |ホリデー      |  1 | ● |  −  |  −  | − | | 17 |リッパー      |  1 | ● |  −  |  −  | − | +−−+−−−−−−−−−−+−−−−+−−−+−−−−+−−−−+−−−+      注)1.届出件数は、1件の届出で2種類以上のウイルスに感染したものを         含む。        2.感染した機種欄の印は、●感染有り、−感染無しである。 今回IPAに初めて届出があったウイルスを簡単に説明する。 「JAN」 常駐型でCOM、EXEファイルに感染する。感染したファイルを実行すると ウイルスがメモリに常駐する。常駐したウイルスはファイルの実行とコピーを監視し、 実行及びコピーされたファイルに感染する。システム時計が1月の時、常駐してから 1秒〜1時間の間に、COM、EXEファイルを実行又はコピーすると発病し、カレ ントディスクを破壊する。ファイル名が「SCAN.EXE」「CLEAN.EXE」のものや、60000 バイト以上のCOMファイルには感染しない。 「ジャンキー」 このウイルスは、常駐型でディスクのブートセクタとCOMファイルに感染す る。感染したディスク、ファイルを起動すると、ウイルスは感染していないディスク に感染する。感染したディスクで起動した場合、ウイルスはメモリに常駐し、ディス クアクセス、ファイルの実行とコピーを監視し、アクセスしたディスク、実行やコピ ーされたファイルに感染する。このウイルスは、感染するだけで発病はしない。 「ノップス」 このウイルスは、常駐型でディスクのブートセクタに感染する。感染したディ スクを起動するとウイルスはメモリに常駐する。メモリに常駐したウイルスは、ディ スクアクセスを監視し、アクセスしたディスクに感染する。このウイルスが常駐して いる状態で感染ディスクの感染セクタの内容を確認しても感染前の内容が表示される。 (ステルス)このウイルスは、感染するだけで発病はしない。 「ホリデー」 このウイルスは、常駐型でCOM,EXEファイルに感染する。感染したファ イルを実行するとウイルスはメモリに常駐する。メモリに常駐したウイルスは、プロ グラムの実行を監視し、実行されたファイルに感染する。毎年3月3日にファイルを 実行すると、「ATTENTION! I'm very sorry. today is my holiday.(略)」を表示 する。翌日まで、電源を入れ続けた場合、さらに「Thank You for playing, see you...  Please,hit ENTER!」を表示しリターンキー入力を要求してくる。リターンを押すと 再起動される。 上記の現象はホリデーBとおなじであるが、ウイルスのプログラムコードはホ リデーBと別のものである。 (e)被害届出から感染経路を区分けすると次の表のようになる。感染経路が不明を 除くとすべてが外部からの媒体による感染である。他の人にパソコンを使用させると きは気を付けるとともに、外部から持ち込んだフロッピーディスク・ハードディスク・ パソコンは、ウイルス検査後使用することが重要である。        +−−−−−−−−−−−−−−−−−−+−−−−+        |                  |届出件数|        |    感 染 経 路       +−−−−+        |                  | '95/1 |        +−−−−−−−−−−−−−−−−−−+−−−−+        |外部から感染したケース       | 19 |        +−−−−−−−−−−−−−−−−−−+−−−−+        |海外からの媒体で感染したケース   |  3 |        +−−−−−−−−−−−−−−−−−−+−−−−+        |不 明               | 20 |        +−−−−−−−−−−−−−−−−−−+−−−−+ (f)届出のあったウイルスが感染させたパソコンの台数は次のとおりである。10 台未満の感染がほとんどである。        +−−−−−−−−−−−−−−+−−−−−−+        |              | 届出件数 |        |   感 染 台 数   +−−−−−−+        |              |  '95/1 |        +−−−−−−−−−−−−−−+−−−−−−+        |   1台         |  26  |        +−−−−−−−−−−−−−−+−−−−−−+        |   2台以上5台未満   |  11  |        +−−−−−−−−−−−−−−+−−−−−−+        |   5台以上10台未満  |   0  |        +−−−−−−−−−−−−−−+−−−−−−+        |  10台以上20台未満  |   4  |        +−−−−−−−−−−−−−−+−−−−−−+        |  20台以上50台未満  |   1  |        +−−−−−−−−−−−−−−+−−−−−−+        |  50台以上       |   0  |        +−−−−−−−−−−−−−−+−−−−−−+ 以      上              特定日発病ウイルスについて  ウイルスの被害の拡大を防止する意味から、今回は、IPAに届出されたウイルス の中で、2月20日〜3月31日に発病する可能性があるウイルスを下記に掲げた。ウイ ルスの早期発見の参考にされることを望む。 (1)ピーターII: 2月27日に感染したシステムから起動すると、ハードディスクの内容を破壊 して、3つの質問を出す。1問でも答えを間違えると、ハードディスクを破壊したま ま終了する。全問正解するとハードディスクを元の状態に戻す。(解析したウイルス の正解例:4、4、2)常駐型でブートセクターに感染する。          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 届出年 |  被 害 届 出 件 数       |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1990年 |   0件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1991年 |   0件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1992年 |   0件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1993年 |   2件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1994年 |  25件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1995年 |   1件(〜1月)          |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+ (2)ジェリー: 3月10日に感染ファイルを実行すると「Don't TRUST any virus scanner! -- HKs VTech --」と表示する。常駐型でCOM、EXEファイルに感染する。感染した ファイルを実行するとウイルスがメモリに常駐する。ウイルスが常駐しているときに COM、EXEファイルを実行すると、そのファイルに感染する。          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 届出年 |  被 害 届 出 件 数       |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1990年 |   0件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1991年 |   0件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1992年 |   0件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1993年 |   2件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1994年 |   1件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1995年 |   0件(〜1月)          |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+ (3)DH2: 3日、11日、15日、28日が火曜日の日に発病し、ファイルの書き込みを 行うと「SW ERROR」と表示しファイルの書き込みを拒否する。常駐型でCOM,EX Eファイルに感染する。感染したファイルを実行するとウイルスはメモリに常駐し、 CONFIG.SYSで指定されたCOMMAND.COMに感染する。メモリに常駐したウイルスは、プロ グラムの実行、ファイルのオープン・クローズを監視し、プログラムの実行、ファイ ルのオープン・クローズしたファイルに感染する。また、ウイルスが常駐している状 態で「.ASM」、「.PAS」をオープンするとそのファイルを破壊する。          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 届出年 |  被 害 届 出 件 数       |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1990年 |   0件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1991年 |   0件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1992年 |   0件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1993年 |   0件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1994年 |   2件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1995年 |   1件(〜1月)          |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+ (4)フリップ(2153):          毎月2日にシステムを立上げた場合に発病し、10:00になるとデ ィスプレイの表示が上下左右逆さまになる。この状態は電源をOFFにするまで継続され る。常駐型でCOM、EXEファイルに感染する。感染時にハードディスクのパーティシ ョンテーブルを書き換える。IBM−PC及びその互換機で発病しNEC−PC98及び その互換機では感染するだけである。          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 届出年 |  被 害 届 出 件 数       |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1990年 |   0件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1991年 |   0件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1992年 |   1件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1993年 |   2件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1994年 |   2件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1995年 |   0件(〜1月)          |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+ (5)フレアジャックス: 毎月13日又は金曜日に「Frere Jacques」を演奏する。常駐型で、 COM、EXEファイルに感染し、EXEファイルには再感染もする。但し、COMMAND.COM には感染しない。感染ファイルはCOMファイルの場合1,813バイト、EXEファイルの場 合1,808〜1,823バイト増加する。EXEファイルには再感染する。ウィルスが感染しようと するとプログラムが破壊される場合がある。エルサレムBウイルスの亜種である。          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 届出年 |  被 害 届 出 件 数       |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1990年 |   0件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1991年 |   0件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1992年 |   1件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1993年 |   0件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1994年 |   0件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1995年 |   0件(〜1月)          |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+ (6)フォーム:          毎月24日になると、クリッキングノイズをシステムのスピーカーか ら発する。常駐型でHD,FDのブートセクターに感染するIBM機及びその互換機に感 染する。          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 届出年 |  被 害 届 出 件 数       |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1990年 |   0件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1991年 |   0件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1992年 |   3件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1993年 |  42件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1994年 |  97件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1995年 |   2件(〜1月)          |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+ (7)サンデー:          毎週日曜日になると、”日曜日なのにどうして仕事なんかするの?” という意味のメッセージを表示する。常駐型でEXE、COMファイルに感染する。FA T(ファイル・アロケーション・テーブル)を破壊する場合がある。IBM機及びその互換 機でメッセージが表示される。PC−98及びその互換機では感染のみでメッセージは表 示されない。          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 届出年 |  被 害 届 出 件 数       |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1990年 |   0件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1991年 |   3件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1992年 |   9件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1993年 |  21件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1994年 |  11件               |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+          | 1995年 |   0件(〜1月)          |          +−−−−−+−−−−−−−−−−−−−−−−−−−−+ 以上