1999年5月11日
情報処理振興事業協会
コンピュータウイルス被害の届出状況について
1.はじめに
(1)1999年4月ウイルス被害届出状況
情報処理振興事業協会(略称IPA・石井賢吾理事長)は、'99年4月のコンピュータ
ウイルス被害の届出状況をまとめた。
(2)今月の特記事項
(1)W32/CIHについて
4月26日に発病するウイルス 「W32/CIH」の被害届出が、今までで月間最多の75件あり(同ウイルスの月間の最多届出件数は、先月の34件であった。)、その中の24件が発病による被害届出であった。 これら以外にも発病してハードディスクの内容が破壊されたとの相談が多く寄せられている。
W32/CIHには、6月26日、毎月26日に発病する亜種も発見されているので、最新のワクチンソフトを用いて、発病する前に発見・駆除されたい。
Webサイトからダウンロードしたファイルからの感染が多くなってきている。ダウンロードファイルは、必ず最新のワクチンソフトで、ウイルス検査を行ってから、使用すべきである。
W32/CIHについては、IPAのWebサイトに情報を掲載しているので参照されたい。(2)コンピュータウイルス被害実態調査について
届出以外のウイルス被害状況の実態を把握するためにIPAが実施した、国内、海外におけるアンケートによるコンピュータウイルス被害状況調査の結果をまとめたものを [添付資料]「コンピュータウイルス被害実態調査要約」に記述したので、参照されたい。
平成10年の調査結果は、IPAのWebサイト(国内・海外)に掲載している。
また、印刷・製本した調査報告書は有償にて頒布している。(平成10年版調査報告書 国内、海外とも1000円(送料・消費税込))
今までにIPAで作成・頒布している調査報告書の一覧はIPAのWebサイトに掲載。
(3)ウイルス被害届出制度
コンピュータウイルスの届出制度は、通商産業省のコンピュータウイルス対策基準('90年4月10日付通商産業省告示第139号、'95年7月7日改訂通商産業省告示第429号、'97年9月24日改訂通商産業省告示第535号)に基づき、'90年4月にスタートした制度であって、コンピュータウイルスを発見したものは被害の拡大と再発を防ぐために必要な情報をIPAに届け出ることとされている。
2.届出の概要
(1)今までの届出状況
届出件数は、'90年4月通商産業省が告示した「コンピュータウイルス対策基準」に基づいて、IPAが被害の届出機関に指定されてから受理した届出の件数である。今までの届出件数は9442件となる。次に示すグラフは、
'97年1月から'99年4月までの被害届出件数の月別推移を表したものである。
注記)'90年(4月〜12月)、'91年、'92年、'93年、'94年、'95年、'96年の届出件数はそれぞれ 14件、57件、253件、897件、1127件、668件、755件である。
(2)'99年4月の届出状況
4月のコンピュータウイルスの被害届出は341件であった。
4月の被害届出の詳細は次の通りである。
(a)今月、届出のあったウイルスは17種類であった。届出件数の多いウイルスは、W32/Skaが114件となっている。
初めて届けられたウイルスは、W97M/Marker、W97M/Melissa、W97M/X97M/P97M/Trisitate(*印)の3種類である。
(マクロウイルス144件、従来型200件、1件で複数のウイルス感染届出があるため、合計は届出件数の341件に合致しない。)
項番 |
ウ イ ル ス 名 |
届出件数 |
感 染 し た 機 種 | |||
'99/4 |
IBM機 |
NEC98機 互換機 |
MAC機 | FDのみ | ||
| 1 | XM/Laroux | 74 | ● | ● | − | ● |
| 2 | W97M/Class | 29 | ● | − | − | ● |
| 3 | W97M/Ethan | 16 | ● | − | − | ● |
| *4 | W97M/Marker | 7 | ● | − | − | ● |
| 5 | WM/Cap | 6 | ● | − | − | ● |
| *6 | W97M/Melissa | 6 | ● | − | − | ● |
| *7 | W97M/X97M/P97M/Tristate | 3 | ● | ● | − | ● |
| 8 | W97M/Nono | 1 | ● | − | − | − |
| 9 | W97M/Chack | 1 | ● | − | − | − |
| 10 | WM/Niknat | 1 | ● | − | − | − |
| 11 | W32/Ska | 114 | ● | ● | − | ● |
| 12 | W32/CIH | 75 | ● | ● | − | ● |
| 13 | アンチシーモス | 2 | ● | − | − | − |
| 14 | B1 | 2 | ● | − | − | ● |
| 15 | アンチテレフォニカ | 1 | ● | − | − | − |
| 16 | D3 | 1 | ● | − | − | − |
| 17 | AutoStart9805 | 5 | − | − | ● | − |
注)
1.ウイルス名欄で、XMはExcelMacro、W97MはWord97Macro、WMはWordMacro、W97M/X97M/P97Mは、Word97Macro/Excel97Macro/PowerPoint97Macroの略である。
2.W32/は、Windows32ビット実行形式ファイルを感染対象とするウイルスを示す。
3.感染した機種欄の印は、●感染有り、−感染無しである。
4..検査発見及び駆除修復に使われたウイルス対策ソフトを、下記に示す。
※印は、Macintosh機のウイルス対策ソフトを示す。
| 検査発見に使われたソフト名 | 件数 |
| ウイルスバスター | 93 |
| VirusScan | 64 |
| InterScan | 47 |
| NortonAntiVirus | 31 |
| ScanMail | 7 |
| GroupShield | 5 |
| CheyenneAntiVirus | 2 |
| F−SECURE(F−PROT) | 2 |
| ServerProtect | 2 |
| SWEEP | 2 |
| InocuLAN | 1 |
| LANDesk | 1 |
| NetShield LX | 1 |
| ※NAV for Mac(SAM) | 3 |
| ※WormScanner | 1 |
| 駆除修復に使われたソフト名 | 件数 |
| ウイルスバスター | 78 |
| VirusScan | 52 |
| InterScan | 30 |
| NortonAntiVirus | 30 |
| GroupShield | 5 |
| ScanMail | 5 |
| F−SECURE(F−PROT) | 2 |
| ServerProtect | 2 |
| SWEEP | 2 |
| CheyenneAntiVirus | 1 |
| InocuLAN | 1 |
| NetShield LX | 1 |
| XLSCAN.XLA | 1 |
| ※NAV for Mac(SAM) | 3 |
| ※VirusScan for Mac | 1 |
| ※WormScanner | 1 |
今回、IPAに初めて届出があったウイルスを簡単に説明する。
「W97M/Marker」(Word97Macro/Marker)
このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。ウイルスに感染した文書ファイルをを開いて閉じるときに、そのMSwordに
感染する。そして感染したMSWordで作成、更新した文書ファイルを閉じるときに、文書ファイルに感染する。
感染すると、「ツール」/「オプション」/「全般」タブの「マクロウイルスを自動検出する」のチェックボックスをオフに設定する。
毎月1日に感染したWordで文書を閉じたときに、感染日時等を記載した感染ユーザーリストを作成し、特定のサイトにアップロードしようとする。
このウイルスは、英語版MSword97、日本語版MSword97/98で感染・発病する。
「W97M/Melissa」(Word97Macro/Melissa)
このウイルスは、マイクロソフト社のWord(以下MSword)を介して感染するウイルスである。ウイルスに感染した文書ファイルを読み込むとそのMSwordに感染する。そ
して感染したMSwordで作成、更新した文書ファイルに感染する。
MSword及びマイクロソフト社のOutlookがインストールされている環境で、ウイルスに感染した文書を開くと、ウイルスが動作し、
Outlookのアドレス帳に登録されているメールアドレス50カ所に対して、ウイルスに感染した文書を添付したメールを送信する。
また、ファイルを開いたとき、コンピュータの内部時計の「日」と「分」が等しい場合(例えば、29日で毎時29分)の時は、現在編集している文書に「Twenty-
two points, plus triple-word-score, plus fifty points for using all my letters. Game's
over. I'm outta here.」 という文を挿入する。
感染すると「ツール」/「オプション」/の[全般]タブの「マクロウイルスを自動検出する」と[保存]タブの「標準設定を変更するかどうかを確認する」
のチェックボックスをオフに設定する。
「W97M/X97M/P97M/Tristate」(Word97Macro/Excel97Macro/PowerPoint97Macro/Tristate)
このウイルスは、マイクロソフト社のWord(以下MSword)、Excel(以下MSexcel)、PowerPoint(以下MSpp)
を介して感染するウイルスである。
●MSwordでの感染
ウイルスに感染した文書ファイルを開いて閉じるときに、そのMSwordに感染する。
1)次に、XLStartフォルダーに「BOOK1」というファイルが存在するかを確認し、無い場合には、「BOOK1」というファイルを作成し、このファイルにウイルスをコピーする。
2)そしてMSppのテンプレートファイル「Blank Presentation.pot」の感染の有無を調べて、未感染ならばこのファイルに感染する。
感染したMSWordで作成、更新した文書ファイルを閉じるときに、その文書ファイルに感染する。
●MSexcelでの感染
ウイルスに感染したファイルを開いて閉じるときに、XLStartフォルダーに「BOOK1」というファイルが存在するかを確認する。
・ファイルが無い場合は、
1)MSwordの標準テンプレートの感染をチェックして、未感染であればその標準テンプレートに感染する。
2)次に、MSppのテンプレートファイル「Blank Presentation.pot」の感染のチェックを行い、未感染ならばこのファイルに感染する。
3)そして、XLStartフォルダーに「BOOK1」というファイルを作成して、このファイルにウイルスをコピーする。
・ファイルが有る場合は、
1)MSppのテンプレートファイル「Blank Presentation.pot」の感染のチェックを行い、未感染ならばこのファイルに感染する。
XLStartフォルダーに、ウイルスがコピーされた「BOOK1」というファイルが有るMSexcelで作成、更新したファイルを閉じるときに、そのファイルに感染する。
●MSppでの感染
ウイルスに感染したファイルを開いて、スライドショーを実行中に、スライドをクリックすると、7分の1の確率で以下の動作をする。
XLStartフォルダーに「BOOK1」というファイルが存在するかを確認する。
・ファイルが無い場合には、
1)MSwordの標準テンプレートの感染をチェックして、未感染であればその標準テンプレートに感染する。
2)次に、XLStartフォルダーに「BOOK1」というファイルを作成して、このファイルにウイルスをコピーする。
3)そして、MSppのテンプレートファイル「Blank Presentation.pot」の感染のチェックを行い、未感染ならばこのファイルに感染する。
・ファイルが有る場合には、
1) MSppのテンプレートファイル「Blank Presentation.pot」の感染のチェックを行い、未感染ならばこのファイルに感染する。
感染したテンプレートファイルを使用して作られるファイルに感染する。
また、このウイルスに感染すると、それぞれのアプリケーションのセキュリティ機能の設定をオフに設定する。
・MSword
「ツール」/「オプション」/の「全般」タブの「マクロウイルスを自動検出する」、「文書を開くときにファイル形式を確認する」
と、「保存」タブの「標準設定を変更するかどうかを確認する」のチェックボックスをオフに設定する。
・MSexcel
「ツール」/「オプション」/「全般」タブの「マクロウイルスから保護する」のチェックボックスをオフに設定する。
・MSpp
「ツール」/「オプション」/「全般」タブの「マクロウイルスを自動的に検出する」のチェックボックスをオフに設定する。
(b)届出の感染機種別件数は次のとおりである。一番多い届出は、IBM及びその互換機で、 FDのみの感染及びファイルのみの感染を除く約73%の割合を占めている。
機 種 |
届 出 件 数 |
|||
| '99/4 | '99/1〜4 | '98合計 | ||
| NEC 98機 | 日電 PC-98シリーズ | 21 | 98 | 198 |
| IBM 機 互換機 |
IBM機 | 27 | 99 | 149 |
| 各社 IBM互換機 | 193 | 693 | 1174 | |
| MAC機 | APPLE Macintoshシリーズ | 5 | 35 | 201 |
注)
1.複数機種感染の届出を含む。
2.FDのみの感染及びファイルのみの感染が106件有ったが、表からは除外する。
3.各社IBM互換機には、NEC PC-98NXシリーズを含む。
(c)届出の届出者別件数は次のとおりである。一番多い届出は、一般法人ユーザからのもので、 約69%の割合を占めている。
届 出 者 |
届 出 件 数 |
||
| '99/4 | '99/1〜4 | '98合計 | |
| 一般法人ユーザ | 235 | 881 | 1595 |
| 情 報 産 業 | 34 | 120 | 292 |
| 個 人 ユ ー ザ | 48 | 162 | 75 |
| 教育・研究機関 | 24 | 82 | 73 |
(d)届出の地域別件数は次のとおりである。関東地方が最も多く、続いて近畿地方、中部地方の順となっている。
地 域 |
届 出 件 数 | ||
| '99/4 | '99/1〜4 | '98合計 | |
| 北海道 地 方 | 4 | 16 | 21 |
| 東 北 地 方 | 8 | 48 | 45 |
| 関 東 地 方 | 223 | 798 | 1366 |
| 中 部 地 方 | 32 | 109 | 204 |
| 近 畿 地 方 | 54 | 187 | 200 |
| 中 国 地 方 | 7 | 47 | 95 |
| 四 国 地 方 | 4 | 8 | 33 |
| 九 州 地 方 | 9 | 32 | 71 |
(e)被害届出から感染経路を区分けすると次の表のようになる。メールにより感染したケースが最も多く、 不明を除く約65%の割合を占めている。
感 染 経 路 |
届 出 件 数 | ||
| '99/4 | '99/1〜4 | '98合計 | |
| 外部からの媒体で感染したケース | 48 | 238 | 668 |
| メールにより感染したケース | 196 | 662 | 778 |
| 海外からの媒体で感染したケース | 3 | 13 | 32 |
| 海外からのメールにより感染したケース | 11 | 64 | 48 |
| ネットワークからのダウンロードにより感染したケース | 42 | 86 | 77 |
| 不 明 | 41 | 182 | 432 |
(f)届出のあったウイルスが感染させたパソコンの台数は次のとおりである。感染台数の欄0台は、FDのみの感染またはファイルのみの感染を示し、事前の検査により、パソコンに感染する前にウイルスを発見したものである。
感 染 台 数 |
届 出 件 数 | ||
| '99/4 | '99/1〜4 | '98合計 | |
| 0台 | 106 | 350 | 416 |
| 1台 | 160 | 596 | 1000 |
| 2台以上 5台未満 | 53 | 185 | 373 |
| 5台以上10台未満 | 14 | 56 | 129 |
| 10台以上20台未満 | 5 | 39 | 58 |
| 20台以上50台未満 | 2 | 11 | 39 |
| 50台以上 | 1 | 8 | 20 |
特定日発病ウイルスについて
ウイルスの被害の拡大を防止する意味から、今回は、IPAに届け出されたウイルスの中で、
5月12日〜6月30日に発病する可能性がある主なウイルスを下記に掲げた。
発病してからではデータを破壊される等修復が困難となるので市販のワクチンソフト等を用いて、発病する前に発見・駆除することを望む。(駆除方法についてはIPAまで)
以上