【マンスリーレポート2003/10】軒並み増加の傾向にあるが、対策が行き届いてきた可能性も

──────────────────────────────〔Info〕─
Scan Monthly Report　Best Worst
http://www.vagabond.co.jp/c2/shop/books/p-sbw01.html

製品・サービス・業界動向業界動向

2003年11月26日（水） 12時00分

──────────────────────────────〔Info〕─
Scan Monthly Report　Best Worst
http://www.vagabond.co.jp/c2/shop/books/p-sbw01.html

ネットワークセキュリティ・インシデント年鑑2003
http://www.vagabond.co.jp/c2/shop/books/p-inc02.html
───────────────────────────────────
■ウイルス月次レポート

　ランキング　ウイルス名　　　届出・被害件数
　　　一位　　　WORM_SWEN　　　　　1,544件
　　　二位　　　Welchia　　　　　　980件
　　　三位　　　WORM_Klez　　　　　665件
　　　四位　　　TROJ_ISTBAR　　　　442件
　　　五位　　　REDLOF　　　　　　　385件

　Trend Micro　　Symantec　　　ＩＰＡ　　　　ソフォス
　Welchia　　　Trojan Horse　　WORM_SWEN　　　W32/Gibe
　887件　　　　　205件　　　　　506件　　　　　22.7％
　WORM_SWEN 　　WORM_Klez　　　WORM_Klez　　W32/Dumaru
　858件　　　　　198件　　　　　312件　　　　　13.6％
　TROJ_ISTBAR　WORM_Bugbear　　W32/Sobig 　　W32/Mimail
　442件　　　　　186件　　　　　142件　　　　　12.4％
　TROJ_DLUCA　　WORM_SWEN　　　W32/Mimail　　W32/Sobig
　372件　　　　　180件　　　　　134件　　　　　9.0％
　MS Blaster　　REDLOF.A　　　WORM_Bugbear　WORM_Klez
　238件　　　　　134件　　　　　133件　　　　　4.4％

>> Swenによる件数を筆頭に全般的な増加傾向

　ウイルス情報系の各社が、2003年10月度のウイルス届出・被害状況を発表した。表は各社の結果をまとめたものである。トレンドマイクロ、シマンテックは「被害件数」、IPAは「届出件数」の数値である。ソフォスは件数ではなく被害報告全体に対する割合となっており、全世界での数値となっている。また、複数の亜種が存在する場合でも、ウイルスの名称ごとに件数や割合を合計している。

　10月度は、9月に発見されたSwenによる届出・被害件数が急増した。件数は1,500を超え、最盛期のKlezほどではないものの、かなりの件数となった。トップ5の合計件数は4,016件であり、9月度より千件近く増加している。2位以下の件数は先月と同じレベルであるため、Swenによる件数が急増した結果といえそうだ。

　SwenはGibe.eの別名を持ち、メールや共有ネットワークを介して感染を広げるワーム。WindowsのMS01-020（不適切なMIMEヘッダが原因でInternet Explorerが電子メールの添付ファイルを実行する）の脆弱性を悪用し、大量メール送信やネットワーク感染といった動作を行う。マイクロソフトのパッチを装ったメールのため、うっかり開いてしまいやすく感染を広げた。

　2位以下はWelchia、Klez、ISTBAR、Redrofと続いており、4位のISTBERはXXXToolbaの別名を持つトロイの木馬型の不正プログラムだ。特定のサイトを表示すると自動的にダウンロード、インストールされ、システムの改変を行う。感染するとInternet Explorerのスタートページやツールバーを変更し、ユーティリティプログラムをダウンロードしようとする。感染力、危険度はともに低いが、このようなトロイの木馬型が増えていることも10月度の特徴だ。

　トレンドマイクロのランキングで4位となったDLUCAもトロイの木馬型ワームである。感染するとメモリに常駐し、ランダムにポートを開いて不正なWebサイトに接続する。この接続によって自信をアップデートする機能が装備されている。危険度は低く、メールやネットワークによって感染を広げる機能も持たない。

　各社のランキングの下位まで見てみると、トロイの木馬型が増えていることがわかる。現在のところ危険度、感染力が低いものばかりだが、これだけ蔓延しているともいえる。悪性のトロイの木馬が登場したときには一気に被害が拡大する可能性があるからだ。ウイルス対策ソフトやファイアウォールソフトなどを用いて、定期的にシステムをチェックするようにしたい。

>> 世界規模ではSwen、Dumaru、Mimailによる被害が拡大

　世界規模では、引き続きGibe（Swen）による被害が拡大している。マイクロソフトがセキュリティホール情報を定期的に発表するようになり、一度に4〜5種類のセキュリティホールが発表されることも珍しくなくなった。そのためマイクロソフトからのパッチを装うタイプのウイルスが被害を広げているようだ。

　Dumaruはメールの添付ファイルとして感染を広げるワームだが、複雑な圧縮形式を使用している。そのためウイルス対策ソフトのチェックをかいくぐるケースもある。また、ファイルに感染して発症するワームだが、その方法もADS（Alternate Data Stream）と呼ばれる機能を使用する。感染力が非常に強いため注意が必要だ。

　Mimailも10月に登場したばかりのワームだが、次々に亜種が登場し感染を広げている。オリジナルはWindowsの脆弱性を攻撃するものだったが、Mamail.Cは友人からのメールのように送信者を詐称し、感染すると自身のコピーを添付ファイルとした大量メール送信を行う。また、11月に入って登場したMimail.Iは、オンライン決済サービスである「Paypal」からの偽装メールによって拡散し、クレジットカード情報を盗もうとする。

　マイクロソフトは毎月中旬にまとめてセキュリティホール情報を発表するようになったが、先月、今月においても重大なセキュリティホールが含まれており、数日後には脆弱性を悪用するコードが公開され、さらに数日後にはその機能を搭載したワームが登場する。マイクロソフトのセキュリティホール情報には絶えず注意を払い、新しいパッチをすぐに適用できるようにしたい。

【執筆：吉澤亨史】

（詳しくはScan Daily Expressをご覧ください）
http://www.vagabond.co.jp/cgi-bin/ct/p.cgi?sdx01_netsec

《ScanNetSecurity》