インターネットワーム「ILOVEYOU」感染広がる 〜北米、欧州、豪州などで10億ドル規模の被害 日本でも被害報告が多数〜(各社対応状況) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.06.25(日)

インターネットワーム「ILOVEYOU」感染広がる 〜北米、欧州、豪州などで10億ドル規模の被害 日本でも被害報告が多数〜(各社対応状況)

製品・サービス・業界動向 業界動向

 5月4日、感染力の非常に高いワーム型ウイルス通称「ILOVEYOU」が北米を初めとした各地で発見された。
このウイルスはVisual Basic Script で記述されているもので、「ILOVEYOU」と題名でユーザーの元に届き、本文には「kindly check the attached LOVELETTER coming from me.(日本語訳:私からのラブレターです。どうぞ読んでみて下さい) 」と記述されている。このメールに添付されているテキストファイル「LOVE-LETTER-FOR-YOU.TXT.vbs」を開くと感染し、アドレス帳に記録されているメールアドレスに自身を送付し被害を拡大していく。
現在までにウイルスの発信元がフィリピンであることが判明。プリペイド式プロバイダーのメールアドレスを使用し、世界中に発信されたものであることが分かっている。このユーザーIDも不正入手されたものであることも判明しており、このIDは使用停止がされている。現在までに、北米、欧州、オーストラリアなどで被害が拡大しており、被害額は10億ドル以上にものぼる模様。日本ではゴールデンウィーク明けの8日、同ウイルスへの感染が多数報告されている。
また、このウイルスの亜種が多数発見されており、現在までに件名を変更した物、本文の内容を変更した物、ウイルス自身のコードが変更されている物など多岐にわたっており注意が必要だ。


▼トレンドマイクロ対応状況
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 トレンドマイクロ株式会社は5月4日、感染力の非常に高いワーム型ウイルス「VBS_LOVELETTER」を発見。対策状況を発表した。
ウイルス自身はVisual Basic Script で記述されており、「ILOVEYOU」と題名でユーザーの元に届き、本文には「kindly check the attached LOVELETTER coming from me.(日本語訳:私からのラブレターです。どうぞ読んでみて下さい) 」と記述されている。このメールに添付されているテキストファイル「LOVE-LETTER-FOR-YOU.TXT.vbs」を開くと感染するタイプのもので、大きな話題となった「Melissa」と同様、Microsoft Outlookを利用してワームプログラム自身をメールアドレスに自動的に送信し感染を拡大していく。感染後 は、マシンのレジストリを書き換え、アドレス帳に登録されているアドレス に対し、自身を添付し送信する。
その後、ハードディスク内に保存されている、.vbs、.vbe、.js、.jse、.css、.wsh、.sct、.hta、.jpg、.jpeg、.mp3、.mp2 といった拡張子をもつファイルを破壊。ファイル名を「オリジナルファイル名+オリジナル拡張子」+ .VBS という名前に変更する。このように感染されたファイルはすべて破壊され、オリジナルファイルを復元することはできない。また、チャットソフトである「IRC」を介しての感染も確認されているので、同ソフトを使用しているユーザーに関しても注意が必要だ。
現在の所、このウイルスの亜種が多数発見されており、同社ではオリジナルとこれらの差異についての情報も掲載。亜種に対しても「ウイルスバスター2000」のパターンファイル697以降で対応ずみで、検知した場合の手動削除手順を同社のホームページ上にて掲載している。

ウイルス情報
http://www.trendmicro.co.jp/virusinfo/loveletter.htm

亜種情報
http://www.trendmicro.co.jp/virusinfo/loveletter2.htm

eDoctor Web(ウイルス対策診断サービス)
http://inet.trendmicro.co.jp/as/login.asp


▼シー・エス・イー対応状況
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 株式会社シー・エス・イーは、Microsoft Outlookを利用して感染を広げるワームウイルス「VBS/LoveLet-A」、「Troj/LoveLet-A」に対し、同社のウイルス対策ソフト「Sophos Anti-Virus」、緊急定義ファイル(ウイルスID)で対応している。

同社WebサイトからIDEファイルとSophos Anti-Virus評価版をダウンロードして対策を行うことが可能。


ウイルス情報
http://www.cseltd.co.jp/security/sav/virusinfo/analyses/VBSLoveLetA.htm
http://www.cseltd.co.jp/security/sav/virusinfo/analyses/TrojLoveLetA.htm

亜種情報
http://www.cseltd.co.jp/security/sav/virusinfo/analyses/VBSLoveLetB.htm
http://www.cseltd.co.jp/security/sav/virusinfo/analyses/VBSLoveLetC.htm
http://www.cseltd.co.jp/security/sav/virusinfo/analyses/VBSLoveLetD.htm
http://www.cseltd.co.jp/security/sav/virusinfo/analyses/VBSLoveLetE.htm

Sophos Anti-Virus 評価版のダウンロード
http://www.cseltd.co.jp/security/sav/Downloads/eval/eval.htm
緊急定義ファイル(IDEファイル)のダウンロード
http://www.cseltd.co.jp/security/sav/downloads/ide/ide.htm


▼シマンテック対応状況
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 株式会社シマンテックは5月4日、ワーム型ウイルス「BS.LoveLetter.A」についての情報を掲載した。このウイルスはフィリピンのマニラで発見されたもので、すでにヨーロッパなどから多くの被害報告が寄せられている。
感染したマシンは、Windowsディレクトリの「Win32dll.vbs」、Windowsシステムディレクトリの「MSKernel32.vbs」「Love-letter-for-you.txt.vbs」を作成。Outlookのアドレス帳に登録されているアドレスに対し自分自身を添付したメールを送りつけ感染を広げていく。また、チャットソフトである、mIRCを通じて自己増殖することも確認されている。
さらに、ローカルドライブや共有ドライブにある拡張子がvbs, vbe, js, jse, css, wsh, sct, hta, jpg, jpeg, mp3, mp2のファイルに感染し、ファイル名を書き換え、ウイルスコードを上書きします。なお、これらのファイルをダブルクリックするとコンピュータはこのウイルスに感染するので、注意が必要だ。
また、同社では亜種の存在も多数確認しており、原種との差異についての情報を掲載しており、これらに対しての警告も発している。
同社では、手動での駆除方法を掲載するほか、アンチウイルスソフトである「Norton AntiVirus」では5月4日以降の定義ファイルにより対応している。

ウイルス情報(亜種情報の掲載有り)
http://www.symantec.com/region/jp/sarcj/data/v/vbslovelettera.html

ウイルス定義ファイルダウンロードサイト
http://www.symantec.com/region/jp/sarcj/download/download.html


▼日本ネットワークアソシエイツ対応状況
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 日本ネットワークアソシエイツ株式会社は5月4日、ウイルス性を有するVBScriptワーム「VBS/Loveletter.a」を発見。対応状況を発表した。
このウイルスは、「ILOVEYOU」という件名でユーザーの元に届き、本文には「kindly check the attached LOVELETTER coming from me.」と記載。「LOVE-LETTER-FOR-YOU.TXT.vbs」というファイルが添付されている。
ユーザーがこの添付ファイルを実行すると、「WINDOWSSYSTEMMSKERNEL32.VBS」「WINDOWSWIN32DLL.VBS」「WINDOWSSYSTEMLOVE-LETTER-FOR-YOU.TXT.VBS」というファイルをコピー。レジストリを変更し、自身を添付したメールをアドレス帳に記載されているメールアドレスに対し送付する。その後、接続されているすべてのドライブを検索し、.JPG、.JPEG、.VBS、.VBE、.JS、.JSE、.CSS、.WSH、.SCT、.HTA、.MP3、.MP2の拡張子のファイルに自身をコピーし、本来のファイル名に.vbsを付けた物に変更してしまう。
また、システムにIRCクライアントがインストールされている場合、IRCチャンネルに送付されるので、同ソフトを使用しているユーザーは注意が必要である。
この他、WIN-BUGSFIX.EXEという実行ファイルをダウンロードし、パスワード不正詐取する機能があるが、現在のところパスワードがダウンロード出来るサイトは削除されている。
同社では、感染されたマシンを手動で修復する方法を掲載するほか、4077以降のDATファイルによって対応。さらに亜種に関しての情報を多数掲載している。

ウイルス情報(亜種情報の掲載有り)
http://www.nai.com/japan/virusinfo/virL.asp?v=VBS/Loveletter.a&a=L

新規の亜種情報
http://www.nai.com/japan/virusinfo/virL.asp?v=VBS/Loveletter.e&a=L
http://www.nai.com/japan/virusinfo/virL.asp?v=VBS/Loveletter.f&a=L
http://www.nai.com/japan/virusinfo/virL.asp?v=VBS/Loveletter.g&a=L
http://www.nai.com/japan/virusinfo/virL.asp?v=VBS/Loveletter.h&a=L
http://www.nai.com/japan/virusinfo/virL.asp?v=VBS/Loveletter.i&a=L
http://www.nai.com/japan/virusinfo/virL.asp?v=VBS/Loveletter.j&a=L

DATファイルダウンロードサイト
http://www.nai.com/japan/download/dat4.asp


▼バーテックスリンク対応状況
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 バーテックスリンク株式会社は5月8日、Outlookに登録したアドレスに、感染ファイルを送りつけるインターネット型ワーム「I-Worm.LoveLetter」への対策状況を発表した。
このウイルスの最大の特徴は、感染後にEmail経由でワーム本体を自動的に送信する機能を持っていることで、Microsoft Outlook 97/98/2000がインストールされたシステムでは、アドレス帳を検索して取得したアドレスに勝手にワーム本体を送信する機能を持っていること。
また、システムおよびネットワークドライブ内にあるJPG、JPEGなどの特定の拡張子のファイルを検索し、オリジナルファイルを削除または隠れファイルに設定するといった破壊的な動作を行うので、注意が必要としている。
さらに、いくつかの亜種が確認されており、ユーザーは「ILOVEYOU」「Mothers Day Order Confirmation」「fwd: Joke」というタイトルのメールは、決して開かずに削除するといった注意が必要だ。
同社では、手動での対処方法を掲載するほか、5月6日付けのデータベースで対応。その他、「簡易ウイルス検索プログラム」のダウンロードサービスを行っている。

ウイルス情報
http://www.vertexlink.co.jp/product/security/antidote/news/i-worm_loveletter.html

ダウンロードサイト
http://www.antidote4pc.com/vertex/Program/Antidote/evalregister.html


▼F-Secure対応状況
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 F-Secureは5月5日、ワーム型ウイルス「VBS/LoveLetter」とこの亜種についての警告を発表した。このワームは、ヨーロッパ時間の金曜日正午までに、5つの亜種が発見されており、この週明けにさらに多数の亜種が発見されている。
同社では、「母の日」版とされる「motherday.vbs」と呼ばれるものについて、非常に狡猾な物であるとし、警告を発している。同社のWebサイトでは、件名の付けられる法則や、本文の内容についての解説を掲載するほか、他の亜種についての解説を掲載している。

http://www.F-secure.com/


《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. 給料、現場、成長…、セキュリティの仕事の「今」をセキュ鉄の服部氏に聞いた

    給料、現場、成長…、セキュリティの仕事の「今」をセキュ鉄の服部氏に聞いた

  2. 仮想の企業をネットワーク上に構築、サイバー攻撃を誘引し挙動を観測(NICT)

    仮想の企業をネットワーク上に構築、サイバー攻撃を誘引し挙動を観測(NICT)

  3. ネットワークセキュリティを強化する専用BOXを設置、対応サポートも提供(NTT東日本)

    ネットワークセキュリティを強化する専用BOXを設置、対応サポートも提供(NTT東日本)

  4. 金融機関向けにカスタマイズされた「Splunk」用Appを顧客及び検討中企業へ無償提供(GSX)

  5. 日立の寺田氏、piyokango氏、SECCON実行委員会が総務大臣奨励賞を受賞(総務省)

  6. 自分の利用しているサーバの状況を確認する方法 不正中継確認

  7. 規約に同意してワンクリックでWannaCryなどを自己診断(ラック)

  8. AWSユーザ向け、サービスリリース前の脆弱性診断オプション(クラスメソッド)

  9. 専門家チームを立ち上げ、「車両システムセキュリティ診断」を提供開始(NRIセキュア)

  10. 「こうして感染する」ランサムウェア感染プロセスと対策~トレンドマイクロ岡野氏に聞く

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×