【マンスリーレポート　2002/11】WORM_Klez が8ヶ月連続1位に

■ウイルス月次レポート

製品・サービス・業界動向業界動向

2002年12月18日（水） 12時00分

■ウイルス月次レポート

ランキング　ウイルス名　届出・被害件数

一位　　　　WORM_Klez　　　　2,113件
二位　　　　WORM_Bugbear　　877件
三位　　　　WORM_Opaserv　　762件
四位　　　　REDLOF.A　　　　　346件
五位　　　　FUNLOVE.4099　　164件

Trend Micro　　　　Symantec　　　　　　ＩＰＡ　　　　　　日本 Network　　　　　ソフォス
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　Associates

WORM_Klez　　　　WORM_Klez　　　WORM_Klez　　　　ORM_Klez　　　　WORM_Bugbear
849件　　　　　　　　　538件　　　　　　　　613件　　　　　　　113件　　　　　　　　29.4％

WORM_Opaserv　WORM_Bugbear　WORM_Bugbear　WORM_Bugbear　WORM_Opaserv
544件　　　　　　　　　123件　　　　　　　　185件　　　　　　　　　34件　　　　　　　　10.5％

WORM_Bugbear　　LoveLetter　　WORM_Opaserv　　WORM_Opaserv　　WORM_BRAID.A
535件　　　　　　　　　108件　　　　　　　　113件　　　　　　　　　25件　　　　　　　　8.5％

REDLOF.A　　　WORM_Opaserv　　　REDLOF.A　　　　Badtrans.B　　　　　WORM_Klez
233件　　　　　　　　　　80件　　　　　　　　62件　　　　　　　　17件　　　　　　　　7.7％

TROJ_Japsx.A　　　NIMDA　　　　　WORM_BRAID.A　　　REDLOF.A　　　　　Flcss
132件　　　　　　　　　　59件　　　　　　　　　54件　　　　　　　　13件　　　　　　　　4.6％

>> 上位の4位は先月と変わらないが、被害件数はやや減少

　ウイルス情報系の各社が、2002年11月度のウイルス届出・被害状況を発表した。表は各社の結果をまとめたものである。トレンドマイクロ、シマンテックは「被害件数」、IPAは「届出件数」である。日本ネットワーク・アソシエイツのウイルスランキングは「届出」および「感染」の報告件数である。また、ソフォスの数値は全世界のもので、順位は被害件数ではなく全体に占める割合となっている。
　11月度の上位4位までは10月と同じく、Klez、Bugbear、Opaserv、そしてRedlofが占めた。被害件数は減少しているものの、まだまだ少ないとは言えない数字である。1位は依然としてKlezが君臨しており、4月以来8ヶ月にわたって1位の座を独占している。その届出、被害件数は3万8千件を超えており、いかに強い感染力があるかがわかる。2位のBugbear、3位のOpaservも大流行する要素を持ったウイルスであるが、幸いなことに先月よりも報告件数が減少している。

　4位のRedlofは「Microsoft VMによるActiveXコンポーネントの制御」の脆弱性を悪用するスクリプトウイルスで、感染すると大量メール送信を行ったり、最悪の場合はWindowsのシステムファイルを上書きするためWindowsを起動できなくする。このウイルスはメールで届く以外に、サイトに埋め込まれているケースもあり、このようなサイトを表示しようとするとスクリプトが実行され、感染してしまう。ウイルスの中には、このようなサイトに自動的に接続するようレジストリを書き換えるものもある。先月に引き続き4位となったのは、複数の感染経路を持つためと考えられる。
　スクリプトウイルスのため、マイクロソフトの「Windowsスクリプティングホスト」がインストールされている環境でなければ動作しない。しかし、この機能はWindows98以降でデフォルトでインストールされているため注意が必要だ。ただし、この脆弱性を解決するセキュリティパッチがマイクロソフトから配布されているので、WindowsUpdateやTechNetから入手しインストールすれば、Redlofに感染することはない。

　5位となったFunlove.4099はFlscc、FUNLOVE、FUNLOVE CRIMINALとも呼ばれるウイルスで、オリジナルは1999年に発見されたという古いウイルスだ。もちろん、現在流行しているものはオリジナルに手を加えたものだが、昔のウイルスだからといって安心は厳禁である。ファイルに直接感染するタイプのウイルスで、Windows 9XおよびWindows NT4.0 WorkStationのみで活動する。感染のために実行可能ファイルを作成することが特徴で、exe、scr、ocxの拡張子を持つWin32ファイルを改ざんし、アプリケーションを破壊することもある。また、Windows NT4.0 WorkStationではサービスとして動作することでファイルセキュリティシステムを攻撃するという、新しい手法が盛り込まれている。

　11月度において流行の兆しがあるウイルスにBraidが挙げられる。Bridとも呼ばれるこのウイルスは、「トロイの木馬」型の不正プログラムで、Windowsの「不適切な MIME ヘッダが原因で Internet Explorer が電子メールの添付ファイルを実行する」というセキュリティホールを悪用したものだ。メールの添付ファイルという形で侵入し、添付ファイルを実行するとFunlove.4099をインストールする。別のウイルスをインストールするため、このようなワームは「ウイルスドロッパー」と呼ばれる。BraidはWindowsシステムの中核ともいえる「Explorer.exe」を終了させ起動不能にするほか、感染したPCのさまざまな情報を本文としたメールを大量送信する。送信者名に感染PCの所有者名、件名に感染PCの組織名を使用するため、うっかり開いてしまいやすい。

>> 世界規模ではBraidの被害が急増。年末年始は特に注意したい

　Klez、Bugbear、Opaservによる被害は、世界規模で見ても相変わらず多い。しかし、11月の被害報告では勢力図が変わりつつあるようだ。Bugbearによる被害が全体の3割を占め、猛威をふるっている。また、OpaservにはCという亜種が被害を拡大しており、Opaservとして合計すると全体の10％を超える。Klezが7.7％で続き、この3種類が上位を独占している。ただし、前述のBraidが8.5％とKlezよりも被害報告が多く急増しており、日本での流行が懸念される。Flscc（Funlove.4099）による被害が再び増え、世界的な順位では6位に再ランクインしている。これはBraidが感染PCにFunlove.4099をインストールするためと思われる。

【執筆：吉澤亨史】

（詳しくはScan Daily Expressをご覧ください）
http://shop.vagabond.co.jp/m-sdx01.shtml

《ScanNetSecurity》