【マンスリーレポート2003/09】Blasterは終息傾向だが予断を許さない状況 | ScanNetSecurity
2025.12.08(月)
コンテンツ
注目検索ワード
ホーム 製品・サービス・業界動向 業界動向 記事

【マンスリーレポート2003/09】Blasterは終息傾向だが予断を許さない状況

──────────────────────────────〔Info〕─
Scan Monthly Report Best Worst
http://shop.vagabond.co.jp/p-sbw01.shtml

製品・サービス・業界動向
13 views
──────────────────────────────〔Info〕─
Scan Monthly Report Best Worst
http://shop.vagabond.co.jp/p-sbw01.shtml

ネットワークセキュリティ・インシデント年鑑2003
http://www.vagabond.co.jp/c2/shop/books/p-inc02.html
───────────────────────────────────


■ウイルス月次レポート

ランキング  ウイルス名   届出・被害件数
一位      Welchia        986件
二位      W32/Sobig      707件
三位      WORM_Klez     622件
四位      WORM_Bugbear   471件
五位      WORM_SWEN    460件

Trend Micro    Symantec        IPA        ソフォス
Welchia     WORM_Bugbear    W32/Sobig     WORM_SWEN
810件         233件         511件         23.5%
MS Blaster    REDLOF.A     WORM_Klez     W32/Dumaru
310件         182件         272件         18.1%
WORM_Klez    WORM_Klez     WORM_SWEN    W32/Mimail
169件         181件         219件         15.0%
REDLOF.A    Trojan Horse     W32/Mimail     W32/Sobig
144件         121件         176件         10.0%
WORM_SWEN   WORM_SWEN    WORM_Bugbear    Welchia
124件         117件         140件          5.5%


>> トップ5の件数は減少したものの全体の総数は増加

 ウイルス情報系の各社が、2003年9月度のウイルス届出・被害状況を発表した。表は各社の結果をまとめたものである。トレンドマイクロ、シマンテックは「被害件数」、IPAは「届出件数」の数値である。ソフォスは件数ではなく被害報告全体に対する割合となっており、全世界での数値となっている。また、複数の亜種が存在する場合でも、ウイルスの名称ごとに件数や割合を合計している。

 8月度は、8月16日に発見されたBlasterが大きな被害をもたらし最速の感染拡大速度を記録した。また、早いピッチで複数の亜種が登場し被害を拡大した。9月度はBlaster系ワームは終息傾向にあり届出、被害件数も減少した。トップ5の合計件数は3,246件であり、6月度のレベルに戻った形だ。ただし、従来からのワームやSwenなど新種の被害も少なくなく、全体的な総数は増加している印象である。

 9月度で1位になったのはWelchiaであった。WelchiaはBlasterの亜種であり、Blaster.D、MSBlast.D、Lovsan.D、Nachiなどの別名を持つ。Blaster.Aと同様に「Microsoft DCOM RPCインターフェースのバッファオーバーフロー脆弱性(MS03-026)」を攻撃して感染するが、感染したPCがすでにBlaster.Aに感染している場合はこれを駆除して消滅する。

 Welchiaの動作は一風変わっているが、感染を拡大するために大量のパケットを発信する。この点ではオリジナルと変わらず、ネットワークトラフィックを著しく増大させている。Blasterの亜種はその後も続々と登場しているが、幸いなことにどれも大きな被害には至っていない。

 2位はSobigであったが海外での大流行を受けてのことと思われる。国内での報告のほとんどは感染被害でなく届出だったようだ。3位はKlez、4位はBugbearとなり、いまだに根強く活動している。ただし、件数はわずかずつであるが減少している。

 5位には新種のSwenがランクインした。SwenはGibe.eの別名を持ち、メールの添付ファイルとして感染を広げるマスメーリング型のワーム。マイクロソフトからのメールを装うため、添付ファイルをうっかり開いてしまいやすい。また、「不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する (MS01-020)」のセキュリティホールを修正していない環境では、メールをプレビューしただけで感染する可能性がある。


>> 世界規模ではSwenによる被害が急増、次々に発表されたMSの脆弱性にも注意

 世界規模でも9月度は日本国内では5位だったSwenによる被害が急増し、全体の23.5%を占めた。2位は独自のSMTPエンジンを持つマスメーリング型ワームであるDumaru、3位にはメールによって感染を拡大しPC内の情報を盗用するMimailがランクインした。Sobigによる被害は亜種であるSobig.Fが5.6%、オリジナルであるSobig.Aが4.4%という内訳だ。Klezは8位に後退している。

 9月度以降では「Internet Explorer 用の累積的な修正プログラム(MS03-032)」を悪用するQHostsが発生し被害が拡大している。QHostsは特定のWebサイトにアクセスしようとする際に別のサイトにリダイレクトを行うトロイの木馬型ウイルスだ。パッチが適用されていない環境では、転送先のサイトから自動的に悪意あるプログラムをダウンロードし実行されてしまう。


【執筆:吉澤亨史】

(詳しくはScan Daily Expressをご覧ください)
http://www.vagabond.co.jp/cgi-bin/ct/p.cgi?sdx01_netsec

《ScanNetSecurity》
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 永世名誉編集長 りく)
×