【マンスリーレポート2003/09】Blasterは終息傾向だが予断を許さない状況 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.18(月)

【マンスリーレポート2003/09】Blasterは終息傾向だが予断を許さない状況

製品・サービス・業界動向 業界動向

──────────────────────────────〔Info〕─
Scan Monthly Report Best Worst
http://shop.vagabond.co.jp/p-sbw01.shtml

ネットワークセキュリティ・インシデント年鑑2003
http://www.vagabond.co.jp/c2/shop/books/p-inc02.html
───────────────────────────────────


■ウイルス月次レポート

ランキング  ウイルス名   届出・被害件数
一位      Welchia        986件
二位      W32/Sobig      707件
三位      WORM_Klez     622件
四位      WORM_Bugbear   471件
五位      WORM_SWEN    460件

Trend Micro    Symantec        IPA        ソフォス
Welchia     WORM_Bugbear    W32/Sobig     WORM_SWEN
810件         233件         511件         23.5%
MS Blaster    REDLOF.A     WORM_Klez     W32/Dumaru
310件         182件         272件         18.1%
WORM_Klez    WORM_Klez     WORM_SWEN    W32/Mimail
169件         181件         219件         15.0%
REDLOF.A    Trojan Horse     W32/Mimail     W32/Sobig
144件         121件         176件         10.0%
WORM_SWEN   WORM_SWEN    WORM_Bugbear    Welchia
124件         117件         140件          5.5%


>> トップ5の件数は減少したものの全体の総数は増加

 ウイルス情報系の各社が、2003年9月度のウイルス届出・被害状況を発表した。表は各社の結果をまとめたものである。トレンドマイクロ、シマンテックは「被害件数」、IPAは「届出件数」の数値である。ソフォスは件数ではなく被害報告全体に対する割合となっており、全世界での数値となっている。また、複数の亜種が存在する場合でも、ウイルスの名称ごとに件数や割合を合計している。

 8月度は、8月16日に発見されたBlasterが大きな被害をもたらし最速の感染拡大速度を記録した。また、早いピッチで複数の亜種が登場し被害を拡大した。9月度はBlaster系ワームは終息傾向にあり届出、被害件数も減少した。トップ5の合計件数は3,246件であり、6月度のレベルに戻った形だ。ただし、従来からのワームやSwenなど新種の被害も少なくなく、全体的な総数は増加している印象である。

 9月度で1位になったのはWelchiaであった。WelchiaはBlasterの亜種であり、Blaster.D、MSBlast.D、Lovsan.D、Nachiなどの別名を持つ。Blaster.Aと同様に「Microsoft DCOM RPCインターフェースのバッファオーバーフロー脆弱性(MS03-026)」を攻撃して感染するが、感染したPCがすでにBlaster.Aに感染している場合はこれを駆除して消滅する。

 Welchiaの動作は一風変わっているが、感染を拡大するために大量のパケットを発信する。この点ではオリジナルと変わらず、ネットワークトラフィックを著しく増大させている。Blasterの亜種はその後も続々と登場しているが、幸いなことにどれも大きな被害には至っていない。

 2位はSobigであったが海外での大流行を受けてのことと思われる。国内での報告のほとんどは感染被害でなく届出だったようだ。3位はKlez、4位はBugbearとなり、いまだに根強く活動している。ただし、件数はわずかずつであるが減少している。

 5位には新種のSwenがランクインした。SwenはGibe.eの別名を持ち、メールの添付ファイルとして感染を広げるマスメーリング型のワーム。マイクロソフトからのメールを装うため、添付ファイルをうっかり開いてしまいやすい。また、「不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する (MS01-020)」のセキュリティホールを修正していない環境では、メールをプレビューしただけで感染する可能性がある。


>> 世界規模ではSwenによる被害が急増、次々に発表されたMSの脆弱性にも注意

 世界規模でも9月度は日本国内では5位だったSwenによる被害が急増し、全体の23.5%を占めた。2位は独自のSMTPエンジンを持つマスメーリング型ワームであるDumaru、3位にはメールによって感染を拡大しPC内の情報を盗用するMimailがランクインした。Sobigによる被害は亜種であるSobig.Fが5.6%、オリジナルであるSobig.Aが4.4%という内訳だ。Klezは8位に後退している。

 9月度以降では「Internet Explorer 用の累積的な修正プログラム(MS03-032)」を悪用するQHostsが発生し被害が拡大している。QHostsは特定のWebサイトにアクセスしようとする際に別のサイトにリダイレクトを行うトロイの木馬型ウイルスだ。パッチが適用されていない環境では、転送先のサイトから自動的に悪意あるプログラムをダウンロードし実行されてしまう。


【執筆:吉澤亨史】

(詳しくはScan Daily Expressをご覧ください)
http://www.vagabond.co.jp/cgi-bin/ct/p.cgi?sdx01_netsec

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. イスラエルのサイバー防衛たてつけ~視察団報告

    イスラエルのサイバー防衛たてつけ~視察団報告

  2. カスペルスキーに関する一連の報道に対し、代表取締役社長の川合氏が言及

    カスペルスキーに関する一連の報道に対し、代表取締役社長の川合氏が言及

  3. 次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

    次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

  4. シミュレーションゲーム「データセンターアタック」(トレンドマイクロ)

  5. 自分の利用しているサーバの状況を確認する方法 不正中継確認

  6. ダークウェブからAIで情報収集(DTRS、IISEC)

  7. サイバーセキュリティ経営ガイドライン改訂、経営者が指示すべき10項目見直しや事後対策取組など(経済産業省)

  8. 2020大会関係者向け疑似サイバー攻撃演習、システムを忠実に再現(NICT)

  9. EDRとSOCを連携させた標的型攻撃対策サービスを提供(TIS)

  10. 個人・小規模事業者向けの「FFRI yarai」を発売(FFRI)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×