【マンスリーレポート 2002/11】WORM_Klez が8ヶ月連続1位に
■ウイルス月次レポート
製品・サービス・業界動向
業界動向
ランキング ウイルス名 届出・被害件数
一位 WORM_Klez 2,113件
二位 WORM_Bugbear 877件
三位 WORM_Opaserv 762件
四位 REDLOF.A 346件
五位 FUNLOVE.4099 164件
Trend Micro Symantec IPA 日本 Network ソフォス
Associates
WORM_Klez WORM_Klez WORM_Klez ORM_Klez WORM_Bugbear
849件 538件 613件 113件 29.4%
WORM_Opaserv WORM_Bugbear WORM_Bugbear WORM_Bugbear WORM_Opaserv
544件 123件 185件 34件 10.5%
WORM_Bugbear LoveLetter WORM_Opaserv WORM_Opaserv WORM_BRAID.A
535件 108件 113件 25件 8.5%
REDLOF.A WORM_Opaserv REDLOF.A Badtrans.B WORM_Klez
233件 80件 62件 17件 7.7%
TROJ_Japsx.A NIMDA WORM_BRAID.A REDLOF.A Flcss
132件 59件 54件 13件 4.6%
>> 上位の4位は先月と変わらないが、被害件数はやや減少
ウイルス情報系の各社が、2002年11月度のウイルス届出・被害状況を発表した。表は各社の結果をまとめたものである。トレンドマイクロ、シマンテックは「被害件数」、IPAは「届出件数」である。日本ネットワーク・アソシエイツのウイルスランキングは「届出」および「感染」の報告件数である。また、ソフォスの数値は全世界のもので、順位は被害件数ではなく全体に占める割合となっている。
11月度の上位4位までは10月と同じく、Klez、Bugbear、Opaserv、そしてRedlofが占めた。被害件数は減少しているものの、まだまだ少ないとは言えない数字である。1位は依然としてKlezが君臨しており、4月以来8ヶ月にわたって1位の座を独占している。その届出、被害件数は3万8千件を超えており、いかに強い感染力があるかがわかる。2位のBugbear、3位のOpaservも大流行する要素を持ったウイルスであるが、幸いなことに先月よりも報告件数が減少している。
4位のRedlofは「Microsoft VMによるActiveXコンポーネントの制御」の脆弱性を悪用するスクリプトウイルスで、感染すると大量メール送信を行ったり、最悪の場合はWindowsのシステムファイルを上書きするためWindowsを起動できなくする。このウイルスはメールで届く以外に、サイトに埋め込まれているケースもあり、このようなサイトを表示しようとするとスクリプトが実行され、感染してしまう。ウイルスの中には、このようなサイトに自動的に接続するようレジストリを書き換えるものもある。先月に引き続き4位となったのは、複数の感染経路を持つためと考えられる。
スクリプトウイルスのため、マイクロソフトの「Windowsスクリプティングホスト」がインストールされている環境でなければ動作しない。しかし、この機能はWindows98以降でデフォルトでインストールされているため注意が必要だ。ただし、この脆弱性を解決するセキュリティパッチがマイクロソフトから配布されているので、WindowsUpdateやTechNetから入手しインストールすれば、Redlofに感染することはない。
5位となったFunlove.4099はFlscc、FUNLOVE、FUNLOVE CRIMINALとも呼ばれるウイルスで、オリジナルは1999年に発見されたという古いウイルスだ。もちろん、現在流行しているものはオリジナルに手を加えたものだが、昔のウイルスだからといって安心は厳禁である。ファイルに直接感染するタイプのウイルスで、Windows 9XおよびWindows NT4.0 WorkStationのみで活動する。感染のために実行可能ファイルを作成することが特徴で、exe、scr、ocxの拡張子を持つWin32ファイルを改ざんし、アプリケーションを破壊することもある。また、Windows NT4.0 WorkStationではサービスとして動作することでファイルセキュリティシステムを攻撃するという、新しい手法が盛り込まれている。
11月度において流行の兆しがあるウイルスにBraidが挙げられる。Bridとも呼ばれるこのウイルスは、「トロイの木馬」型の不正プログラムで、Windowsの「不適切な MIME ヘッダが原因で Internet Explorer が電子メールの添付ファイルを実行する」というセキュリティホールを悪用したものだ。メールの添付ファイルという形で侵入し、添付ファイルを実行するとFunlove.4099をインストールする。別のウイルスをインストールするため、このようなワームは「ウイルスドロッパー」と呼ばれる。BraidはWindowsシステムの中核ともいえる「Explorer.exe」を終了させ起動不能にするほか、感染したPCのさまざまな情報を本文としたメールを大量送信する。送信者名に感染PCの所有者名、件名に感染PCの組織名を使用するため、うっかり開いてしまいやすい。
>> 世界規模ではBraidの被害が急増。年末年始は特に注意したい
Klez、Bugbear、Opaservによる被害は、世界規模で見ても相変わらず多い。しかし、11月の被害報告では勢力図が変わりつつあるようだ。Bugbearによる被害が全体の3割を占め、猛威をふるっている。また、OpaservにはCという亜種が被害を拡大しており、Opaservとして合計すると全体の10%を超える。Klezが7.7%で続き、この3種類が上位を独占している。ただし、前述のBraidが8.5%とKlezよりも被害報告が多く急増しており、日本での流行が懸念される。Flscc(Funlove.4099)による被害が再び増え、世界的な順位では6位に再ランクインしている。これはBraidが感染PCにFunlove.4099をインストールするためと思われる。
【執筆:吉澤亨史】
(詳しくはScan Daily Expressをご覧ください)
http://shop.vagabond.co.jp/m-sdx01.shtml
《ScanNetSecurity》