1997年5月9日                            情報処理振興事業協会 コンピュータウイルス被害の届出状況について 1.はじめに ●IPA(情報処理振興事業協会・石井賢吾理事長)は、'97年4月のコンピュータ ウイルス被害の届出状況をまとめた。 ●コンピュータウイルスの届出制度は、通商産業省のコンピュータウイルス対策基準 ('90年4月10日付通商産業省告示第139号、'95年7月7日改訂通商産業省告示第429 号)に基づき、'90年4月にスタートした制度であって、コンピュータウイルスを発見 したものは被害の拡大と再発を防ぐために必要な情報をIPAに届出ることとされて いる。 問い合わせ先 IPA(情報処理振興事業協会) セキュリティセンター ウイルス対策室 TEL (03)3437−2301 FAX (03)3437−2537 e-mail virus@adm.ipa.go.jp 2.届出の概要 (1)今までの届出状況 届出件数は、'90年4月通産省が告示した「コンピュータウイルス対策基準」に基づ いて、IPAが被害の届出機関に指定されてから受理した届出の件数である。今まで の届出件数は、ウイルスではないと判明した届出10件を除いて4188件となる。次頁の グラフは、 '94年1月から'97年4月までの被害届出件数の月別推移を表したもので ある。 〔 届 出 件 数 の 月 別 推 移 〕 +−−−−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−+ | 月 | 1 2 3 4 5 6 7 8 9 10 11 12 | +−−+−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−+ | |月別件数| 60 57 100 200 | | +−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−+ | | | 60 217 | |97年|年別累計| 117 417 | | +−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−+ | | 全累計|3831 3988 | | | | 3888 4188 | +−−+−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−+ | |月別件数| 36 85 91 92 52 66 54 35 43 51 93 57 | | +−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−+ | | | 36 212 356 476 554 698 | |96年|年別累計| 121 304 422 511 605 755 | | +−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−+ | | 全累計|3052 3228 3372 3492 3570 3714 | | | | 3137 3320 3438 3527 3621 3771 | +−−+−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−+ | |月別件数| 42 52 47 33 36 54 83 72 46 66 59 78 | | +−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−+ | | | 42 141 210 347 465 590 | |95年|年別累計| 94 174 264 419 531 668 | | +−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−+ | | 全累計|2390 2489 2558 2695 2813 2938 | | | | 2442 2522 2612 2767 2879 3016 | +−−+−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−+ | |月別件数| 82 158 185 102 81 99 84 61 81 86 66 42 | | +−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−+ | | | 82 425 608 791 933 1085 | |94年|年別累計| 240 527 707 852 1019 1127 | | +−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−+ | | 全累計|1303 1646 1829 2012 2154 2306 | | | | 1461 1748 1928 2073 2240 2348 | +−−+−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−+ | |月別件数| 23 43 39 32 49 83 97 120 120 81 92 118 | | +−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−+ |93年|年別累計| 23 66 105 137 186 269 366 486 606 687 779 897 | | +−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−+ | | 全累計| 347 429 510 690 930 1103 | | | | 390 461 593 810 1011 1221 | +−−+−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−+ | |月別件数| 3 10 32 8 29 19 20 20 31 19 38 24 | | +−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−+ |92年|年別累計| 3 13 45 53 82 101 121 141 172 191 229 253 | | +−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−+ | | 全累計| 74 84 116 124 153 172 192 212 243 262 300 324 | +−−+−−−−+−−−−−−−−−−−−−−−−−−−−−−−−−+ 注)表の届出件数は、ウイルスではないと判明した届出10件を除く。 '90年の届出件数は4月〜12月の9ヶ月間で14件。 '91年の届出件数は1月〜12月の12ヶ月間で57件。 (2)'97年4月の届出状況 4月のコンピュータウイルスの被害届出は過去最高の 200件である。この中で最も 被害が大きかった届出は、ExcelMacro/Laroux に感染したもので、パソコン約200 0台に被害を与えたものであり、今までで最大の被害規模の届出である。 被害届出の詳細は次のとおりである。 (a)今月、届出のあったウイルスは36種類であった。届出件数の多いウイルスはマ クロウイルスのExcelMacro/Laroux が61件、ブートセクタ感染型のアンチシーモス が28件となっている。 初めて届けられたウイルスはマクロウイルスのWordMacro/Cap、WordMacro/Appder、W ordMacro/Boom、WordMacro/Nuclear、ブートセクタ感染型のストーンド・キエフ、フ ァイル感染型のアルバニア、アブラクサスの7種類(*印)である。 +−−+−−−−−−−−−−+−−−−+−−−−−−−−−−−−−−−−−+ | | |届出件数| 感染した機種 | |項番| ウイルス名 +−−−−+−−−+−−−−+−−−−+−−−+ | | |'97/4 |IBM 機|98 機 |MAC 機 |FDのみ| | | | |互換機|互換機 | | | +−−+−−−−−−−−−−+−−−−+−−−+−−−−+−−−−+−−−+ | 1 |ExcelMcro/Laroux | 61 | ● | ● | − | − | | 2 |アンチシーモス | 28 | ● | − | − | − | | 3 |カスケード | 14 | ● | ● | − | − | | 4 |フォーム | 13 | ● | − | − | − | | 5 |ヤンキー・ドゥードル| 9 | ● | ● | − | − | | 6 |WordMacro/Concept | 9 | ● | ● | − | − | | 7 |B1 | 8 | ● | − | − | − | | 8 |ベイジン | 5 | ● | − | − | − | | 9 |WordMacro/Npad | 4 | ● | − | − | − | | 10 |WordMacro/Wazzu | 4 | ● | − | − | − | | 11 |リッパー | 4 | ● | − | − | − | | 12 |サンポ | 3 | ● | − | − | − | | 13 |D3 | 2 | − | − | − | × | | 14 |パリティブート | 2 | ● | − | − | − | | 15 |ダークアベンジャー | 2 | ● | − | − | − | | 16 |ファットアベンジャー| 2 | ● | − | − | − | | 17 |MBDF | 2 | − | − | ● | − | | 18 |WordMacro/MDMA | 1 | ● | − | − | − | | 19 |ジミー | 1 | ● | − | − | − | | 20 |DIR−U | 1 | ● | − | − | − | | 21 |DApm−2 | 1 | − | ● | − | − | | 22 |ナタス | 1 | ● | − | − | − | | 23 |ワンハーフ | 1 | ● | − | − | − | | 24 |ハロウィン | 1 | ● | − | − | − | | 25 |Lixi | 1 | − | − | − | × | | 26 |4096 | 1 | − | ● | − | − | | 27 |モンキー | 1 | ● | − | − | − | | 28 |ステルスブート | 1 | ● | − | − | − | | 29 |CDEF | 1 | − | − | − | × | |*30 |WordMacro/Cap | 14 | ● | − | − | − | |*31 |WordMacro/Appder | 3 | ● | ● | − | − | |*32 |ストーンド・キエフ | 2 | ● | − | − | − | |*33 |アルバニア | 2 | ● | − | − | − | |*34 |WordMacro/Boom | 1 | ● | − | − | − | |*35 |WordMacro/Nuclear | 1 | ● | − | − | − | |*36 |アブラクサス | 1 | ● | − | − | − | +−−+−−−−−−−−−−+−−−−+−−−+−−−−+−−−−+−−−+ 注)1.届出件数は、1件の届出で2種類以上のウイルスに感染したものを含む。 2.感染した機種欄の印は、●感染有り、−感染無し、×FDのみの感染である。 3.検査発見及び駆除修復に使われたウイルス対策ソフトを、下記に示す。 |検査発見に使われたソフト名|件数|駆除修復に使われたソフト名|件数| |スキャンワクチン | 87 |クリーンワクチン | 85 | |ウイルスバスター | 54 |ウイルスバスター | 26 | |Norton Antivirus | 16 |XLSCAN.XLA | 16 | |XLSCAN.XLA | 12 |Norton Antivirus | 15 | |F-PROT | 6 |VirusScan | 6 | |VirusScan | 4 |F-PROT | 6 | |TSCAN | 4 |SAM | 2 | |IBM Antivirus | 4 |IBM Antivirus | 2 | |AntiVirus ToolKit | 3 |AntiVirus ToolKit | 2 | |SAM | 2 |InocuLAN | 1 | |Inter Scan | 2 |TSCAN | 1 | |InocuLAN | 1 | | | 今回、IPAに初めて届出があったウイルスを簡単に説明する。 「WordMacro/Cap」(WordMacro/Cap) このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染する ウイルスである。このウイルスに感染したMSword文書ファイルを読み込むと そのMSwordに感染する。そして、感染したMSwordで、作成、更新したMSword 文書ファイルに感染する。感染したMSword文書ファイルを開くと、ユーザー が作成したマクロや今まで使用していたマクロが消去される。そして、MSwo rdのメニューから「マクロ(M)」のコマンドが消え、その機能が使えなくなる。 このウイルスは日本語MSwordでも感染と発病をする。 「WordMacro/Appder」(WordMacro/Appder) このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染する ウイルスである。このウイルスに感染したMSword文書ファイルを読み込むと そのMSwordに感染する。そして、感染したMSwordで、作成、更新したMSword 文書ファイルに感染する。感染したMSword文書ファイルを20回開くとCドラ  イブの下記ファイルを消去する。このウイルスは日本語MSwordでは発病はする  が感染しない。 消去されるファイル ・C:\DOC\*.EXE ・C:\DOC\*.COM ・C:\Windows\*.EXE ・C:\Windows\SYSTEM\*.TTF ・C:\Windows\SYSTEM\*.FOT 「ストーンド・キエフ」(Stoned.Kiev) このウイルスは、常駐型でディスクのブートセクタに感染する。感染したデ ィスクを起動するとウイルスはメモリに常駐する。メモリに常駐したウイル スは、ディスクアクセスを監視し、アクセスしたディスクに感染する。この ウイルスに感染しているシステムを255回起動するとハードディスクを破 壊する。破壊されたハードディスクからの起動やハードディスクへのアクセ スができなくなる。 「アルバニア」(ALBANIA) このウイルスは、非常駐型でCOMファイルに感染する。感染したファイル を実行すると、環境変数「PATH=」に設定されたディレクトリを検索し 最初に見つけたCOMファイルに感染する。そのファイルが既に自分自身に よって感染している場合は、再度検索して次のCOMファイルに感染する。 このウイルスは、感染するだけで発病はしない。 「WordMacro/Boom」(WordMacro/Boom) このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染する ウイルスである。このウイルスに感染したMSword文書ファイルを読み込むと そのMSwordに感染する。そして、感染したMSwordで、作成、更新したMSword 文書ファイルに感染する。1996年以降の年で、3月から12月の13時 13分13秒に、下記発病をする。このウイルスは日本語MSwordでは発病 感染しない。 ・メニューを換える(ドイツ語版のみ) ・ステイタスバーに文字列を表示する(ドイツ語と英語のみ) ・文書を作成して印刷する。(ドイツ語と英語のみ) 「WordMacro/Nuclear」(WordMacro/Nuclear) このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染する ウイルスである。このウイルスに感染したMSword文書ファイルを読み込むと そのMSwordに感染する。そして、感染したMSwordで、作成、更新したMSword 文書ファイルに感染する。このウイルスは英語MSwordと日本語MSwordで発病 条件、発病内容が異なる。以下に発病条件と発病内容を示す。 ・英語MSwordの発病条件 4月5日に感染したMSwordを起動するか、感染した文書ファイルを読み 込むと発病する。 ・日本語MSwordの発病条件 4月5日に感染した文書ファイルを読み込む時に、標準.DOTファイルに AutoExecマクロが存在した場合、発病をする。 以上の条件で発病したウイルスは、発病後次のことを行う。 @C:\IO.SYSファイルのサイズを0バイトにする。 AC:\COMMAND.COMファイルを消去する。(英語MSwordのみ) Bシステム時間が56秒から59秒の間に印刷を開始すると下記メッセー ジを文書末に加えて印刷される。 「And finally i would like to say: STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC!」 「アブラクサス」(ABRAXAS) このウイルスは、非常駐型でEXEファイルに感染する。感染したファイル は完全にこのウイルスと同一内容に書き換えられてしまう。(ファイルサイ ズも同一になる)感染ファイルを実行すると、最初に見つけたEXEファイ ルに感染し、画面にカラーの修飾文字で、下記メッセージを表示する。 「I AM THE EDWIN CLETON VIRUS... AND I LOVE A GOOD HARD DRIVE ..Ahhhh! Get a ROD just thinking about it!」 特記事項 上記の「ストーンド・キエフ」等のブートセクタ感染型のウイルスに感染 したFD(システムディスクだけでなくデータディスクも含む)で誤ってシ ステムを起動しようとした場合、その時点でハードディスクにウイルスが感 染してしまうので、FDを入れたままコンピュータの電源を入れるなどのこ とがないよう注意のこと。 (b)届出の感染機種別件数は次のとおりである。一番多い届出は、IBM及びその 互換機で、次に日電PC−98シリーズ及びその互換機である。 +−−−−+−−−−−−−−−−−−−−+−−−−−−−−−−−−−−−+ | | | 届 出 件 数 | | | 機 種 +−−−+−−−−−+−−−−−+ | | |'97/4|'97/1〜4|'96/1〜12| +−−−−+−−−−−−−−−−−−−−+−−−+−−−−−+−−−−−+ |98 機 |日電 PC−98シリーズ | 34| 57 | 117 | | +−−−−−−−−−−−−−−+−−−+−−−−−+−−−−−+ |互換機 |EPSON PCシリーズ | 0| 1 | 1 | +−−−−+−−−−−−−−−−−−−−+−−−+−−−−−+−−−−−+ |IBM 機 |IBM PS/2、PS/55| 28| 57 | 141 | | +−−−−−−−−−−−−−−+−−−+−−−−−+−−−−−+ |互換機 |各社 IBM互換機 |139| 270 | 454 | +−−−−+−−−−−−−−−−−−−−+−−−+−−−−−+−−−−−+ |FMR 機 |富士通 FMRシリーズ | 0| 0 | 2 | | +−−−−−−−−−−−−−−+−−−+−−−−−+−−−−−+ |互換機 |松下 Panacomシリーズ | 0| 0 | 0 | +−−−−+−−−−−−−−−−−−−−+−−−+−−−−−+−−−−−+ |MAC 機 |APPLE Macintoshシリーズ | 2| 6 | 10 | +−−−−+−−−−−−−−−−−−−−+−−−+−−−−−+−−−−−+ 注)複数機種感染の届出を含む。 FDのみの感染が12件。 (c)届出の届出者別件数は次のとおりである。一番多い届出は、情報産業からのも ので、続いて一般法人ユーザ、個人ユーザになっている。 +−−−−−−−−−−−−−−−+−−−−−−−−−−−−−−−+ | | 届 出 件 数 | | 届 出 者 +−−−+−−−−−+−−−−−+ | |'97/4|'97/1〜4|'96/1〜12| +−−−−−−−−−−−−−−−+−−−+−−−−−+−−−−−+ | 情 報 産 業 | 99| 211 | 200 | +−−−−−−−−−−−−−−−+−−−+−−−−−+−−−−−+ | 一般法人ユーザ | 63| 143 | 449 | +−−−−−−−−−−−−−−−+−−−+−−−−−+−−−−−+ | 個人ユーザ | 37| 52 | 77 | +−−−−−−−−−−−−−−−+−−−+−−−−−+−−−−−+ | 教育・研究機関 | 1| 11 | 29 | +−−−−−−−−−−−−−−−+−−−+−−−−−+−−−−−+ (d)届出の地域別件数は次のとおりである。関東地方が最も多く、続いて中部地方 となっている。 +−−−−−−−−−−−−−−−+−−−−−−−−−−−−−−−+ | | 届 出 件 数 | | 地 域 +−−−+−−−−−+−−−−−+ | |'97/4|'97/1〜4|'96/1〜12| +−−−−−−−−−−−−−−−+−−−+−−−−−+−−−−−+ | 北海道 地 方 | 3| 4 | 6 | +−−−−−−−−−−−−−−−+−−−+−−−−−+−−−−−+ | 東 北 地 方 | 11| 19 | 16 | +−−−−−−−−−−−−−−−+−−−+−−−−−+−−−−−+ | 関 東 地 方 |109| 251 | 440 | +−−−−−−−−−−−−−−−+−−−+−−−−−+−−−−−+ | 中 部 地 方 | 32| 72 | 86 | +−−−−−−−−−−−−−−−+−−−+−−−−−+−−−−−+ | 近 畿 地 方 | 30| 49 | 161 | +−−−−−−−−−−−−−−−+−−−+−−−−−+−−−−−+ | 中 国 地 方 | 6| 7 | 20 | +−−−−−−−−−−−−−−−+−−−+−−−−−+−−−−−+ | 四 国 地 方 | 0| 1 | 2 | +−−−−−−−−−−−−−−−+−−−+−−−−−+−−−−−+ | 九 州 地 方 | 9| 14 | 24 | +−−−−−−−−−−−−−−−+−−−+−−−−−+−−−−−+ (e)被害届出から感染経路を区分けすると次の表のようになる。感染経路が不明を 除くとほとんどが外部からの媒体とメールによる感染である。他の人にパソコンを使 用させるときは気を付けるとともに、外部から持ち込んだフロッピーディスク、ハー ドディスク、パソコンを使用する場合や、メールによりMSwordのテンプファイル、Ex celの表シートファイルを受信した場合には、ウイルス検査後使用することが重要で ある。 +−−−−−−−−−−−−−−−−−−+−−−−−−−−−−−−−−−+ | | 届 出 件 数 | | 感 染 経 路 +−−−+−−−−−+−−−−−+ | |'97/4|'97/1〜4|'96/1〜12| +−−−−−−−−−−−−−−−−−−+−−−+−−−−−+−−−−−+ |外部からの媒体で感染したケース | 79| 175 | 376 | +−−−−−−−−−−−−−−−−−−+−−−+−−−−−+−−−−−+ |メールにより感染したケース | 42| 91 | 29 | +−−−−−−−−−−−−−−−−−−+−−−+−−−−−+−−−−−+ |海外からの媒体で感染したケース | 9| 24 | 13 | +−−−−−−−−−−−−−−−−−−+−−−+−−−−−+−−−−−+ |海外からのメールにより感染したケース| 12| 16 | 25 | +−−−−−−−−−−−−−−−−−−+−−−+−−−−−+−−−−−+ |ネットワークからのダウンロード | 12| 18 | 6 | |により感染したケース | | | | +−−−−−−−−−−−−−−−−−−+−−−+−−−−−+−−−−−+ |不 明 | 46| 93 | 306 | +−−−−−−−−−−−−−−−−−−+−−−+−−−−−+−−−−−+ (f)届出のあったウイルスが感染させたパソコンの台数は次のとおりである。FD のみの感染は外部から持ち込まれたFDの使用前にウイルス検査した時、ウイルスを 発見したものである。50台以上の被害が12件と急増しており、この中には2000台、60 0台、300台の感染被害がそれぞれ1件ずつあった。 +−−−−−−−−−−−−−−+−−−−−−−−−−−−−−−+ | | 届 出 件 数 | | 感 染 台 数 +−−−+−−−−−+−−−−−+ | |'97/4|'97/1〜4|'96/1〜12| +−−−−−−−−−−−−−−+−−−+−−−−−+−−−−−+ | FDのみ感染 | 12| 49 | 89 | +−−−−−−−−−−−−−−+−−−+−−−−−+−−−−−+ | 1台 | 94| 218 | 417 | +−−−−−−−−−−−−−−+−−−+−−−−−+−−−−−+ | 2台以上5台未満 | 41| 74 | 183 | +−−−−−−−−−−−−−−+−−−+−−−−−+−−−−−+ | 5台以上10台未満 | 13| 22 | 32 | +−−−−−−−−−−−−−−+−−−+−−−−−+−−−−−+ | 10台以上20台未満 | 13| 18 | 21 | +−−−−−−−−−−−−−−+−−−+−−−−−+−−−−−+ | 20台以上50台未満 | 15| 20 | 9 | +−−−−−−−−−−−−−−+−−−+−−−−−+−−−−−+ | 50台以上 | 12| 16 | 1 | +−−−−−−−−−−−−−−+−−−+−−−−−+−−−−−+ 以 上 ●特定日発病ウイルスについて IPAに今まで届出されたウイルスの中で、5月10日〜6月30日に発病する可能性がある ものは次のとおりである。被害が出てからでは手遅れであるので、早期に発見されることを 望む。 ガニュー: (毎年5月17日) アルゼンティーナ: (毎年5月25日、6月20日) DH2: (3日、11日、15日、28日の火曜日) 64: (毎年6月4日) フリップ(2153):(毎月2日) フレアジャックス: (毎月13日又は金曜日) フォーム: (毎月24日) サンデー: (毎週日曜日) エルサレム: (13日の金曜日、6月13日が該当日) DAdmh−26: (13日の金曜日、6月13日が該当日) 以 上