2001年2月8日
情報処理振興事業協会

コンピュータウイルスの発見届出状況について

1.2001年1月ウイルス発見届出状況

 情報処理振興事業協会(略称IPA・村岡茂生理事長)は、2001年1月のコンピュータウイルスの発見届出状況をまとめた。

 ●発見届出件数 過去2番目の2,440件

[2000年1月 461件、2000年一年間11,109件(月平均約926件)]
['90年4月から2001年1月までの届出総数25,391件] 

 ●発見届出状況

  メール悪用ウイルスが引き続き上位を占めている。過去2番目の届出件数である2,440件のうち(過去最多は2000年12月の2778件)、実際に感染被害に遭った件数は469件と、届出全体の19%である。 1月の届出ウイルスは46種類で、新種ウイルスは「W32/Prolin」「W32/Msinit」の2種類であった。

2.今月の特記事項

(1)ウイルス蔓延は高水準のまま、メール悪用ウイルスが上位を占める。

 届出件数は3ヶ月連続2000件を越える2,440件で、引続き高い水準にある。
 メール経由の感染が95%を占めており、メールの添付ファイルは要注意である。上位3種は、メール悪用ウイルスのMTX」、「Hybris」、 「Navidadである。
 これらのウイルスの中には、ほとんど兆候を示さないものがあり、ウイルス対策ソフトでの検査以外に発見できないので、注意が必要である。

 また、届出のうち、感染せずに発見のみの割合は、11月が75%、12月が81%、1月が81%である。このように未然に感染を防止するためには、ウイルス対策ソフトの導入が不可欠である。 

(2)ウイルスの手配書に当たる定義ファイルを更新のこと!!

 発病すると渦巻きを大きく画面に表示して邪魔をするHybrisウイルスの変種や、感染すると花のマークがツールバーに表示されるNavidadウイルスの変種が出現している。(図参照)
 ウイルス対策ソフトは、警察機構に例えられるソフト本体と、ウイルスの手配書に当たる定義ファイルから構成される。したがって、新種・変種ウイルスの検出のため、手配書に当たる定義ファイル(パターンファイル、ウイルスDATファイル、ウイルス定義ファイルなど)を、頻繁に更新する必要がある企業ユーザは毎日個人ユーザは少なくとも毎週程度)。

参考:主なワクチンソフトのウイルス定義ファイルの更新履歴一覧
    主なワクチンソフトのウイルス定義ファイルの確認方法

●W32/Hybrisの変種                   ●W32/Navidadの変種

     

(3)メーリングリスト配信はウイルス検査を!!

 サーバで管理されたメーリングリストに登録されているユーザがHybrisウイルスに感染し、このウイルスがメーリングリストあてにウイルス添付のメールを送信したため、そのまま全ての登録ユーザに感染メールが配信されるという事件が報道された。
 登録ユーザへの配信メールは、ウイルス対策ソフトで検査後配信するか、ユーザからの返信メールは一斉配信しないようにするなどの、ウイルス感染メール配信防止についてなお一層の配慮が必要である。

3.今月の呼びかけ

 「ホームページ開設者はうっかりクリックに注意!」

 大流行しているHybrisウイルスの特性(*1)により、ホームページ掲載のメールアドレスがウイルスに捉えられ、たくさんのウイルス添付のメールが送信されてくるケースが多い。以下に示すユーザは、うっかり添付ファイルを実行することのないよう厳重注意すること。

  [特に注意すべきユーザ]
  ・ホームページ開設者
  ・投稿者(自己メールアドレス記入)
  ・メールマガジンの発行者及び加入者

(*1) Hybrisウイルスの特性
 送受信されたメールアドレスの他、ホームページアクセスで得られるメールアドレスにも、ウイルスを送信することがある。
  これらの特性のため、本ウイルスやMTXウイルスなどの送信メールを受け取ったユーザには、意図的にウイルスを送りつけられたと誤解するケースが増加している。 
 感染者は感染に気付かずにウイルスをいつまでも送信してしまうケースがほとんどである。

 問い合わせ先:IPAセキュリティセンターウイルス対策室
          TEL:(03)-5978-7508 FAX:(03)-5978-7518 E-mail:virus@ipa.go.jp
          ウイルス110番:(03)-5978-7509 URL:http://www.ipa.go.jp/security/

 今月、届出のあったウイルスは46種類であった。届出件数の多いウイルスは、W32/MTXが771件、W32/Hybris が762件となっている。
 初めて届けられたウイルスは、「W32/Prolin」「W32/Msinit」の2種類である。(マクロウイルス及びスクリプトウイルス530件、Windows、DOSウイルス 1909件。Macウイルス1件)
マクロウイルス 届出件数 スクリプトウイルス 届出件数
 X97M/Divi 112  VBS/LOVELETTER 74
 W97M/Myna 73  Wscript/KakWorm 41
 XM/Laroux 70  VBS/Stages
 W97M/X97M/P97M/Tristate 36  VBS/Netlog
 W97M/Marker 28 Windows、DOSウイルス 届出件数
 W97M/Ethan 11  W32/MTX 771
 W97M/Thus 10  W32/Hybris 762
 WM/Cap 10  W32/Navidad 217
 W97M/Class  W32/Prolin(※) 47
 W97M/Melissa  W32/QAZ 22
 XM/VCX.A  W32/Ska(Happy99) 22
 W97M/Claud  W32/Funlove 19
 W97M/Nsi  W32/PrettyPark 12
 W97M/Opey  W32/CIH 11
 W97M/Titch  W32/Msinit(※) 10
 X97M/Barisada  Form  
 W97M/Chack  W32/Kriz
 W97M/Pri  Stoned
 XF/Sic  Angelina
 W97M/Astia  Cascade
 W97M/Proverb  D3  1
 W97M/Story  PeterII
 WM/Wazzu  W32/Fix2001
      Macintoshウイルス 届出件数
      AutoStart9805

注) ウイルス名欄で、各記号はそれぞれの下記ウイルスを示す。

記号 対象ウイルス
 WM  MSword95(WordMacroの略)
 W97M  MSword97(Word97Macroの略)
 XM、XF  MSexcel95、97(ExcelMacro、ExcelFormulaの略)
 X97M  MSexcel97(Excel97Macro)
 W97M/X97M/P97M  MSword97、MSexcel97、MSpowerpoint97(Word97Macro、Excel97Macro、PowerPoint97Macroの略)
 W32  Windows32ビット環境下で動作
 VBS  VisualBasicScriptで記述
 Wscript  WindowsScriptingHost環境下で動作(VBSを除く)

4.届出の概要

(1)1月にIPAに初めて届け出のあったウイルスの概要を記述する。

W32/Prolin(Shockwave、Creative)
 このウイルスは通常、電子メールの添付ファイルとして広がっていく。
ウイルスを実行すると、Outlookのアドレス帳にある全てのアドレスに対して、以下の内容のメールを送信する。
件名:A great Shockwave flash movie
本文:Check out this new flash movie that I downloaded just now ...
   It's Great
   Bye
添付ファイル名:creative.exe
 また、マシンの全てのドライブを検索し、拡張子が、jpg、mp3、zipのファイルを全てCドライブのルートディレクトリに移動させ、「change atleast now to LINUX」という文字を拡張子として追加する。
 例)○○○.zip→○○○.zipchange atleast now to LINUX

W32/Msinit(Bymer)
 このウイルスは、Distributed.netと呼ばれるネットワーク経由分散処理プロジェクトで配布されるクライアントプログラムを拡げるものである。
 ウイルスを実行すると、C:\Windows\Systemフォルダに、dnetc.exe、dnet.iniというファイルを作成する。そして、distributed.netと呼ばれるネットワーク経由分散処理プロジェクトのクライアントマシンとして利用される。 
 また、ウイルスはIPアドレスを乱数で作成し、ローカルネットワークまたはインターネット経由で共有されているCドライブを検索する。これを見つけるとWindows\ systemフォルダを探し、存在すればここにウイルス自身(wininit.exe)とdnetc.exe、 dnet.iniをコピーし、さらに起動時にウイルスが実行されるように、win.iniファイルを変更する。

(2)届出の届出者別件数は次のとおりである。一番多い届出は、一般法人ユーザからのもので、約74%を占めている。

届   出   者

届  出  件  数

2001/1   2000年合計  
 一般法人ユーザ 1801 73.8% 9975 89.8%
 教育・研究機関 95 3.9% 214 1.9%
 個 人 ユ ー ザ 544 22.3% 920 8.3%

(3)届出の地域別件数は次のとおりである。関東地方が最も多く、続いて近畿地方、中部地方の順となっている。

地     域

届  出  件  数
2001/1   2000年合計  
 北海道 地 方 54 2.2% 89 0.8%
 東 北 地 方 52 2.1% 121 1.1%
 関 東 地 方 1939 79.5% 9415 84.8%
 中 部 地 方 116 4.8% 612 5.5%
 近 畿 地 方 198 8.1% 628 5.7%
 中 国 地 方 26 1.1% 80 0.7%
 四 国 地 方 27 1.1% 35 0.3%
 九 州 地 方 28 1.1% 129 1.2%

(4)届出から感染経路を区分けすると次の表のようになる。海外からのメールも含めたメールにより感染したケースが最も多く、届出件数の約95%を占めている。

感  染  経  路

届  出  件  数
2001/1   2000年合計  
 メール 1671 68.5% 6171 55.5%
 海外からのメール 638 26.1% 3843 34.6%
 ダウンロード 0.2% 82 0.7%
 外部からの媒体 40 1.6% 424 3.8%
 海外からの媒体 0% 0%
 不 明 85 3.5% 585 5.3%

(5)届出のあったウイルスが感染させたパソコンの台数は次のとおりである。感染台数の欄0台は、FDのみの感染またはファイルのみの感染を示し、事前の検査により、パソコンに感染する前にウイルスを発見したものである。

感  染  台  数

届  出  件  数
2001/1   2000年合計  
  0台 1971 80.8% 8927 80.4%
  1台 412 16.9% 1610 14.5%
  2台以上 5台未満 35 1.4% 393 3.5%
  5台以上10台未満 10 0.4% 109 1.0%
 10台以上20台未満 0.3% 32 0.3%
 20台以上50台未満 0.1% 20 0.2%
 50台以上 0.1% 18 0.2%

特定日発病ウイルスについて

 ウイルスの被害の拡大を防止する意味から、今回は、IPAに届出されたウイルスの中で、2月8日〜3月31日に発病する可能性がある主なウイルスを下記に掲げた。(参考:特定日発病ウイルス[ウイルスカレンダー]
 発病してからではデータを破壊される等修復が困難となるので市販のワクチンソフト等を用いて、発病する前に発見・駆除することを望む。(駆除方法についてはIPAまで)

 W97M/Opey  2月14日


コンピュータウイルスに関する届出制度について

 コンピュータウイルスに関する届出制度は、経済産業省のコンピュータウイルス対策基準に基づき、'90年4月にスタートした制度であって、コンピュータウイルスを発見したものは被害の拡大と再発を防ぐために必要な情報をIPAに届け出ることとされている。
 IPAでは、個別に届出者への対応を行っているが、同時に受理した届出等を基に、コンピュータウイルス対策を検討している。また受理した届出は、届出者のプライバシーを侵害することがないように配慮した上で、被害等の状況を分析し、検討結果を定期的に公表している。

 ○コンピュータウイルス対策基準
  ・通商産業省告示第139号 平成2年4月10日制定
  ・通商産業省告示第429号 平成7年7月 7日改訂
  ・通商産業省告示第535号 平成9年9月24日改訂
  ・通商産業省告示第952号 平成12年12月28日改訂