【マンスリーレポート2003/09】Blasterは終息傾向だが予断を許さない状況

──────────────────────────────〔Info〕─
Scan Monthly Report　Best Worst
http://shop.vagabond.co.jp/p-sbw01.shtml

製品・サービス・業界動向業界動向

2003年10月27日（月） 12時00分

──────────────────────────────〔Info〕─
Scan Monthly Report　Best Worst
http://shop.vagabond.co.jp/p-sbw01.shtml

ネットワークセキュリティ・インシデント年鑑2003
http://www.vagabond.co.jp/c2/shop/books/p-inc02.html
───────────────────────────────────

■ウイルス月次レポート

ランキング　　ウイルス名　　　届出・被害件数
一位　　　　　　Welchia　　　　　　　 986件
二位　　　　　　W32/Sobig　　　　　 707件
三位　　　　　　WORM_Klez　　　　　622件
四位　　　　　　WORM_Bugbear　　 471件
五位　　　　　　WORM_SWEN　　　　460件

Trend Micro　　　　Symantec　　　　　　　　ＩＰＡ　　　　　　　　ソフォス
Welchia　　　　　WORM_Bugbear　　　　W32/Sobig　　　　　WORM_SWEN
810件　　　　　　　　　233件　　　　　　　　　511件　　　　　　　　　23.5％
MS Blaster　　　　REDLOF.A　　　　　WORM_Klez　　　　　W32/Dumaru
310件　　　　　　　　　182件　　　　　　　　　272件　　　　　　　　　18.1％
WORM_Klez　　　　WORM_Klez　　　　　WORM_SWEN　　　　W32/Mimail
169件　　　　　　　　　181件　　　　　　　　　219件　　　　　　　　　15.0％
REDLOF.A　　　　Trojan Horse　　　　W32/Mimail　　　　　W32/Sobig
144件　　　　　　　　　121件　　　　　　　　　176件　　　　　　　　　10.0％
WORM_SWEN　　　WORM_SWEN　　　 WORM_Bugbear　　　　Welchia
124件　　　　　　　　　117件　　　　　　　　　140件　　　　　　　　　　5.5％

>> トップ5の件数は減少したものの全体の総数は増加

　ウイルス情報系の各社が、2003年9月度のウイルス届出・被害状況を発表した。表は各社の結果をまとめたものである。トレンドマイクロ、シマンテックは「被害件数」、IPAは「届出件数」の数値である。ソフォスは件数ではなく被害報告全体に対する割合となっており、全世界での数値となっている。また、複数の亜種が存在する場合でも、ウイルスの名称ごとに件数や割合を合計している。

　8月度は、8月16日に発見されたBlasterが大きな被害をもたらし最速の感染拡大速度を記録した。また、早いピッチで複数の亜種が登場し被害を拡大した。9月度はBlaster系ワームは終息傾向にあり届出、被害件数も減少した。トップ5の合計件数は3,246件であり、6月度のレベルに戻った形だ。ただし、従来からのワームやSwenなど新種の被害も少なくなく、全体的な総数は増加している印象である。

　9月度で1位になったのはWelchiaであった。WelchiaはBlasterの亜種であり、Blaster.D、MSBlast.D、Lovsan.D、Nachiなどの別名を持つ。Blaster.Aと同様に「Microsoft DCOM RPCインターフェースのバッファオーバーフロー脆弱性（MS03-026）」を攻撃して感染するが、感染したPCがすでにBlaster.Aに感染している場合はこれを駆除して消滅する。

　Welchiaの動作は一風変わっているが、感染を拡大するために大量のパケットを発信する。この点ではオリジナルと変わらず、ネットワークトラフィックを著しく増大させている。Blasterの亜種はその後も続々と登場しているが、幸いなことにどれも大きな被害には至っていない。

　2位はSobigであったが海外での大流行を受けてのことと思われる。国内での報告のほとんどは感染被害でなく届出だったようだ。3位はKlez、4位はBugbearとなり、いまだに根強く活動している。ただし、件数はわずかずつであるが減少している。

　5位には新種のSwenがランクインした。SwenはGibe.eの別名を持ち、メールの添付ファイルとして感染を広げるマスメーリング型のワーム。マイクロソフトからのメールを装うため、添付ファイルをうっかり開いてしまいやすい。また、「不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する (MS01-020)」のセキュリティホールを修正していない環境では、メールをプレビューしただけで感染する可能性がある。

>> 世界規模ではSwenによる被害が急増、次々に発表されたMSの脆弱性にも注意

　世界規模でも9月度は日本国内では5位だったSwenによる被害が急増し、全体の23.5％を占めた。2位は独自のSMTPエンジンを持つマスメーリング型ワームであるDumaru、3位にはメールによって感染を拡大しPC内の情報を盗用するMimailがランクインした。Sobigによる被害は亜種であるSobig.Fが5.6％、オリジナルであるSobig.Aが4.4％という内訳だ。Klezは8位に後退している。

　9月度以降では「Internet Explorer 用の累積的な修正プログラム（MS03-032）」を悪用するQHostsが発生し被害が拡大している。QHostsは特定のWebサイトにアクセスしようとする際に別のサイトにリダイレクトを行うトロイの木馬型ウイルスだ。パッチが適用されていない環境では、転送先のサイトから自動的に悪意あるプログラムをダウンロードし実行されてしまう。

【執筆：吉澤亨史】

（詳しくはScan Daily Expressをご覧ください）
http://www.vagabond.co.jp/cgi-bin/ct/p.cgi?sdx01_netsec

《ScanNetSecurity》