【マンスリーレポート 2003/02】比較的平穏だった2月、世界規模ではKlezが1位に

■ウイルス月次レポート

製品・サービス・業界動向業界動向

2003年3月26日（水） 12時00分

■ウイルス月次レポート

ランキング　ウイルス名　　届出・被害件数

一位　　　　WORM_Klez　　　　　1,762件
二位　　　　REDLOF.A　　　　　　500件
三位　　　　WORM_Bugbear　　　219件
四位　　　　W32/Sobig　　　　　　147件
五位　　　　WORM_Opaserv　　　141件

Trend Micro　　　　Symantec　　　　　ＩＰＡ　　　　　日本 Network　　　ソフォス
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　Associates

WORM_Klez　　　WORM_Klez　　　WORM_Klez　　　WORM_Klez　　　WORM_Klez
442件　　　　　　　　448件　　　　　　　439件　　　　　　　433件　　　　　　　16.1％

REDLOF.A　　　　REDLOF.A　　　　W32/Sobig　　　REDLOF.A　　　　W32/Avril
216件　　　　　　　　93件　　　　　　　　110件　　　　　　　122件　　　　　　　9.1％

WORM_Opaserv　Trojan Horse　　WORM_Bugbear　　Laroux　　　　W32/Sobig
141件　　　　　　　　93件　　　　　　　　82件　　　　　　　　96件　　　　　　　7.7％

WORM_Bugbear　W32/Sobig　　　　REDLOF.A　　　JS/NoClose　　　W32/Yaha
113件　　　　　　　　37件　　　　　　　　69件　　　　　　　　83件　　　　　　　7.0％

JS_FORTNIGHT　Trojan Horse　　W32/Lirva　　JS_FORTNIGHT　　WORM_Bugbear
53件　　　　　　　　　35件　　　　　　　　49件　　　　　　　　58件　　　　　　　4.3％

>> 被害件数はやや増加。それよりもSlammerの影響が大きかった1月

　ウイルス情報系の各社が、2003年2月度のウイルス届出・被害状況を発表した。表は各社の結果をまとめたものである。トレンドマイクロ、シマンテックは「被害件数」、IPAは「届出件数」、日本ネットワーク・アソシエイツのウイルスランキングは「届出」および「感染」の報告件数である。ソフォスの数値は全世界のもので、順位は被害件数ではなく全体に占める割合となっている。また、複数の亜種が存在する場合でも、ウイルスの名称ごとに件数や割合を合計している。
　2月度の届出、被害状況はKlez、Redlof、Bugbear、Opaservといった、すでにおなじみのウイルスが上位を占めた。ただし、5位までの届出、被害件数の合計は先月の3,521件から今月は2,769件と全体的に減少している。また、2月19日に発見され、被害の拡大が危惧されたLovgateは想像されたよりも被害が少なく、比較的静穏な1ヶ月となった。

　LovgateはSupnotとも呼ばれ、トロイの木馬型ワームである。メールの添付ファイルとして拡散し、添付ファイルを実行すると大量メール送信を行う。メールの送信先はハードディスク内から「ht」で始まる拡張子の付いたファイルを探し、ファイル内からメールアドレスを抽出する。また、同時にバックドア機能を持ったトロイの木馬もインストールする。そして、オリジナルのわずか5日後に発見された亜種Lovgate.Cでは、メールアドレスの抽出にメールソフトの自動返信機能をエミュレートする機能を持っていた。前述のように大規模な感染は引き起こさなかったものの、短期間で亜種が登場するため安心は禁物だ。

　新たに上位にランクインしたSobigも大量メール送信を行うワームで、メールの添付ファイルとして拡散する。添付ファイルを開くと感染し、ネットワークで共有されているディレクトリにも自己のコピーを作成しようとする。従来のマスメーリングウイルスと違って、Outlookのアドレス帳だけでなく「.txt」「.eml」「.html」「.htm」「.dbx」「.wab」といったファイルからメールアドレスを検索するため、より多く拡散する可能性がある。ソフォスの報告によると、世界規模のランキングでも3位となっている。

　ここ最近でウイルス対策ベンダが注意を呼びかけているのはCodered.CおよびFとDeloderである。Coderedは2001年7月に発見され、大規模な感染を引き起こしたワームだが、Codered.CおよびFはその亜種だ。正確には3月11日に発見されたCodered IIと呼ばれるワームの亜種で、オリジナルとは異なる発病症状を持つ。オリジナルはホワイトハウスのWebサーバにDoS攻撃を行ったが、Codered IIではWebサーバのアクセス権を取得するという発病症状になっている。マイクロソフトのIISを標的とするため、個人ユーザにはあまり影響はない。また、IISサーバにパッチが当てられていれば感染することもない。

　DeloderはWindows 2000およびXPをターゲットとするワームで、1月に世界的にネットワークの混乱を引き起こしたSlammerと同じポートを攻撃する。フリーのリモートコントロールツールである「PsExec」を悪用しており、Administrator権限でログインしようとする。Deloderにはあらかじめ数十種類のパスワードが用意されており、たとえパスワードがかけられていてもログインして共有を削除したりバックドア機能を持ったトロイの木馬をインストールする。「123」や「abc」、「Admin」といった安易なパスワードを設定していると容易にログインされてしまう。これらのワームは、オリジナルが流行したときに完全な対策を行っていれば防げたはずである。感染しなかったのは偶然という認識を持ち、対策を行っておきたい。

【執筆：吉澤亨史】

（詳しくはScan Daily Expressをご覧ください）
http://shop.vagabond.co.jp/m-sdx01.shtml

《ScanNetSecurity》