──────────────────────────────〔Info〕─Scan Monthly Report Best Worsthttp://shop.vagabond.co.jp/p-sbw01.shtmlネットワークセキュリティ・インシデント年鑑2003http://shop.vagabond.co.jp/p-inc02.shtml───────────────────────────────────■ウイルス月次レポートランキング ウイルス名 届出・被害件数一位 MS Blaster 2,156件二位 Welchia 989件三位 WORM_Klez 806件四位 W32/Sobig 771件五位 WORM_Bugbear 445件Trend Micro Symantec IPA ソフォスMS Blaster MS Blaster W32/Sobig W32/Sobig1624件 217件 542件 37.6%Welchia WORM_Bugbear WORM_Klez MS Blaster789件 207件 409件 18.8%TROJ_DYFUCA WORM_Klez MS Blaster Welchia283件 200件 315件 5.5%WORM_Klez REDLOF.A WORM_Bugbear Mimail197件 177件 153件 5.3%REDLOF.A IRC Trojan W32/Mimail W32_Yaha187件 115件 107件 2.9%>> ネットワーク感染ワームの登場で最速、最悪の被害に ウイルス情報系の各社が、2003年8月度のウイルス届出・被害状況を発表した。表は各社の結果をまとめたものである。トレンドマイクロ、シマンテックは「被害件数」、IPAは「届出件数」の数値である。ソフォスは件数ではなく被害報告全体に対する割合となっており、全世界での数値となっている。また、複数の亜種が存在する場合でも、ウイルスの名称ごとに件数や割合を合計している。 8月度は、長期間にわたって届出・被害件数のトップに君臨していたKlezがようやく終息傾向を見せていたものの、過去最速の感染拡大速度を記録したBlasterの登場によって件数が大幅に増加した。8月16日に発見されたBlasterは急速に感染を広げ、8月19日までに発見された4種類の亜種の届出・被害件数の合計は3千件を超えた。 Blasterは非常に感染力が強く、ネットワーク経由で感染することもあり最初の感染から5日間で500を超える企業、2,500近いPCが感染した。また、早いピッチで複数の亜種が登場し、Blaster.Dにも多くのPCが感染した。ネットワーク経由で感染するためトラフィックが増大したことも特徴だ。 3位以下はKlez、Sobig、Bugbearが続いており、Klezは7月度よりわずかながら増加し、Bugbearは100件以上減少している。Sobigは新たな亜種が登場し、海外で被害を拡大したことを受けて500件以上も増加している。ただし、ほとんどが届出の件数であり、国内での感染被害は少なかったようだ。>> Blasterが示唆する新しい感染拡大のスタイル Blasterはテレビをはじめ多くのメディアで取り上げられ、マイクロソフトによる積極的な対策キャンペーンも行われている。それだけ危険度の高いワームであったわけだが、その理由は感染方法と登場までのスパンの短さである。 Blaster.AはMSBlast、Lovsan、Pozaの別名を持つワームで、メールなどの感染媒体を必要とせず、直接ネットワーク経由で感染を広げることが特徴だ。このワームはMicrosoft DCOM RPCインターフェースのバッファオーバーフロー脆弱性(MS03-026)を攻撃するもので、パッチがあてられていないと容易に感染してしまう。 感染するとWindowsが強制終了されるようになるが、その裏で感染を拡大するためのパケットが送信される。ネットワーク上で感染PCと同様の脆弱性を持つPCが発見されると、リモート操作によってワームを送信し実行させる。このように感染を拡大し、結果としてネットワークトラフィックが著しく増大する。 Blaster.DはMSBlast.D、Lovsan.D、Welchia、Nachiなどの別名を持つBlasterの亜種である。感染方法および拡大方法はBlaster.Aと同様だが、感染PCがBlaster.Aに感染している場合、これを駆除して消滅するという一件変わった動作を行う。ただし、ネットワークトラフィックを増大させることに変わりはなく、悪質であるといわざるを得ない。 Windowsの脆弱性が公表されたのが7月17日であり、同28日には脆弱性を攻撃するコードが公開された。Blasterの登場はおよそ半月後と短いスパンであったことに注意したい。その後もマイクロソフトでは複数のセキュリティホールが公表されているため、これらを攻撃するワームの登場も時間問題と思われる。ネットワークによる直接攻撃という新たな手法も要注意だ。【執筆:吉澤亨史】(詳しくはScan Daily Expressをご覧ください)http://shop.vagabond.co.jp/m-sdx01.shtml──────────────────────────────〔Info〕─トレンドマイクロhttp://www.trendmicro.co.jp/msblast/ソフト入手方法(ダウンロード)http://www.vector.co.jp/swreg/catalogue/vb2003/?srno=SR031494&site=vgシマンテックhttp://www.symantec.com/region/jp/sarcj/data/w/w32.blaster.worm.htmlソフト入手方法(ダウンロード)http://www.vector.co.jp/swreg/catalogue/norton/2003/antivirus/?srno=SR036290&site=vg───────────────────────────────────
