【マンスリーレポート 2003/01】Slammerの影響が大きかった1月、世界規模ではAvrilの亜種が蔓延

■ウイルス月次レポート

製品・サービス・業界動向業界動向

2003年2月19日（水） 12時00分

■ウイルス月次レポート

ランキング　　ウイルス名　　　届出・被害件数

　一位　　　　WORM_Klez　　　　　　2,158件
　二位　　　　REDLOF.A　　　　　　　546件
　三位　　　　WORM_Bugbear　　　　442件
　四位　　　　WORM_Opaserv　　　　287件
　五位　　　　Laroux　　　　　　　　　　88件

Trend Micro　　　　Symantec　　　　　　ＩＰＡ　　　　　日本 Network　　　　ソフォス
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　Associates

WORM_Klez　　　　WORM_Klez　　　WORM_Klez　　　WORM_Klez　　　　W32/Avril
703件　　　　　　　　　564件　　　　　　　525件　　　　　　　422件　　　　　　　29.2％

WORM_Opaserv　　REDLOF.A　　　WORM_Bugbear　JS/NoClose　　　WORM_Klez
287件　　　　　　　　　124件　　　　　　　105件　　　　　　　　119件　　　　　　　12.1％

REDLOF.A　　　　WORM_Hybris　　　REDLOF.A　　　　REDLOF.A　　　　W32/Yaha
259件　　　　　　　　　75件　　　　　　　　74件　　　　　　　　99件　　　　　　　　9.0％

WORM_Bugbear　　IRC Trojan　　　　W32/Sobig　　　　　Laroux　　　　　W32/Sobig
228件　　　　　　　　　80件　　　　　　　　68件　　　　　　　　88件　　　　　　　　6.1％

JS_EXCEPTION　　WORM_Bugbear　BADTRANS.B　　JS/Seeker　　WORM_Bugbear
80件　　　　　　　　　　59件　　　　　　　　38件　　　　　　　　69件　　　　　　　　5.6％

>> 被害件数はやや増加。それよりもSlammerの影響が大きかった1月

　ウイルス情報系の各社が、2003年1月度のウイルス届出・被害状況を発表した。表は各社の結果をまとめたものである。トレンドマイクロ、シマンテックは「被害件数」、IPAは「届出件数」、日本ネットワーク・アソシエイツのウイルスランキングは「届出」および「感染」の報告件数である。ソフォスの数値は全世界のもので、順位は被害件数ではなく全体に占める割合となっている。また、複数の亜種が存在する場合でも、ウイルスの名称ごとに件数や割合を合計している。
　1月度の届出、被害状況は、ここ数ヶ月と同様にKlez、Redlof、Bugbear、Opaservが上位を占めた。ただし、全体の被害件数は先月よりもわずかではあるが増加している。また、1月25日に被害が一気に拡大したSlammerによって世界的な規模でネットワークが混乱した。

　SlammerはSapphireの別名を持ち、マイクロソフトのSQL Server 2000およびMSDE（Microsoft Desktop Engine）2000を搭載するサーバをターゲットとしたワームである。そのため個人ユーザが感染する可能性は低い。しかし、Slammerに感染したサーバはランダムに選んだIPアドレスにSlammer自身をひたすら送信し続ける。この際送信されるデータはわずか376バイトであった。そして最初の10分間で全感染サーバの約90％に拡散した。376バイトのデータとはいえ、次々に感染したサーバがそれぞれSlammerを送信するため、ネットワークのトラフィックが急激に増大し、結果としてサーバがダウンしたりネットワークが極端に遅くなった。ある大学のコンピュータでは、1時間に20万件もの送信が行われたという。
　Slammerによる被害は、特に韓国で深刻なものとなり、大手ISPであるKT社のDNSシステムに影響し、インターネットサービス全体を停止させた。また、地域によってはダイヤルトーンが聞こえなくなったり、飛行機が飛べなくなったり、ATMが使用できなくなるといった、一般の生活にも影響を与えた。

　SlammerはマイクロソフトのSQL Server 2000およびMSDE（Microsoft Desktop Engine）2000の脆弱性を悪用したワームだが、マイクロソフトでは昨年の7月にこの問題を公開、対策パッチも提供されている。このパッチを当てていれば、Slammerによる攻撃は回避できたのである。しかし、サーバでのパッチ作業は簡単ではなく、それはSlammerによってマイクロソフト内のサーバが感染していたことでもわかる。たとえ個人レベルでウイルス対策を行っていても、サーバが感染しインターネット自体が混乱したり使えなくなる可能性があることを認識したい。

　ランキングでは「NoClose」、「Sobig」が上位に登場している。NoCloseは、いわゆる迷惑プログラムでファイルを作成したりシステムを改変するようなことはない。しかし、Javaスクリプトを利用して大量のホームページを開くといった動作を行い、開いたページは容易に閉じることができない。表示されるページはポルノサイトなどの広告サイトで、バナーをクリックすると手数料を申請される可能性がある。Sobigは大量メール送信を行うワームで、メールの添付ファイルとして拡散する。添付ファイルを開くと感染し、ネットワークで共有されているディレクトリにも自己のコピーを作成しようとする。従来のマスメーリングウイルスと違って、Outlookのアドレス帳だけでなく「.TXT」「.EML」「.HTML」「.HTM」「.DBX」「.WAB」といったファイルからメールアドレスを検索するため、より多く拡散する可能性がある。

【執筆：吉澤亨史】

（詳しくはScan Daily Expressをご覧ください）
http://shop.vagabond.co.jp/m-sdx01.shtml

告知：
SCAN シリーズ　まるとく・セキュリティ商品 4大キャンペーン！ 3月末まで！
http://shop.vagabond.co.jp/campaign/
『Scan Security Management』　創刊！
http://shop.vagabond.co.jp/m-ssm01.shtml

《ScanNetSecurity》