【マンスリーレポート 2003/01】Slammerの影響が大きかった1月、世界規模ではAvrilの亜種が蔓延
■ウイルス月次レポート
製品・サービス・業界動向
業界動向
ランキング ウイルス名 届出・被害件数
一位 WORM_Klez 2,158件
二位 REDLOF.A 546件
三位 WORM_Bugbear 442件
四位 WORM_Opaserv 287件
五位 Laroux 88件
Trend Micro Symantec IPA 日本 Network ソフォス
Associates
WORM_Klez WORM_Klez WORM_Klez WORM_Klez W32/Avril
703件 564件 525件 422件 29.2%
WORM_Opaserv REDLOF.A WORM_Bugbear JS/NoClose WORM_Klez
287件 124件 105件 119件 12.1%
REDLOF.A WORM_Hybris REDLOF.A REDLOF.A W32/Yaha
259件 75件 74件 99件 9.0%
WORM_Bugbear IRC Trojan W32/Sobig Laroux W32/Sobig
228件 80件 68件 88件 6.1%
JS_EXCEPTION WORM_Bugbear BADTRANS.B JS/Seeker WORM_Bugbear
80件 59件 38件 69件 5.6%
>> 被害件数はやや増加。それよりもSlammerの影響が大きかった1月
ウイルス情報系の各社が、2003年1月度のウイルス届出・被害状況を発表した。表は各社の結果をまとめたものである。トレンドマイクロ、シマンテックは「被害件数」、IPAは「届出件数」、日本ネットワーク・アソシエイツのウイルスランキングは「届出」および「感染」の報告件数である。ソフォスの数値は全世界のもので、順位は被害件数ではなく全体に占める割合となっている。また、複数の亜種が存在する場合でも、ウイルスの名称ごとに件数や割合を合計している。
1月度の届出、被害状況は、ここ数ヶ月と同様にKlez、Redlof、Bugbear、Opaservが上位を占めた。ただし、全体の被害件数は先月よりもわずかではあるが増加している。また、1月25日に被害が一気に拡大したSlammerによって世界的な規模でネットワークが混乱した。
SlammerはSapphireの別名を持ち、マイクロソフトのSQL Server 2000およびMSDE(Microsoft Desktop Engine)2000を搭載するサーバをターゲットとしたワームである。そのため個人ユーザが感染する可能性は低い。しかし、Slammerに感染したサーバはランダムに選んだIPアドレスにSlammer自身をひたすら送信し続ける。この際送信されるデータはわずか376バイトであった。そして最初の10分間で全感染サーバの約90%に拡散した。376バイトのデータとはいえ、次々に感染したサーバがそれぞれSlammerを送信するため、ネットワークのトラフィックが急激に増大し、結果としてサーバがダウンしたりネットワークが極端に遅くなった。ある大学のコンピュータでは、1時間に20万件もの送信が行われたという。
Slammerによる被害は、特に韓国で深刻なものとなり、大手ISPであるKT社のDNSシステムに影響し、インターネットサービス全体を停止させた。また、地域によってはダイヤルトーンが聞こえなくなったり、飛行機が飛べなくなったり、ATMが使用できなくなるといった、一般の生活にも影響を与えた。
SlammerはマイクロソフトのSQL Server 2000およびMSDE(Microsoft Desktop Engine)2000の脆弱性を悪用したワームだが、マイクロソフトでは昨年の7月にこの問題を公開、対策パッチも提供されている。このパッチを当てていれば、Slammerによる攻撃は回避できたのである。しかし、サーバでのパッチ作業は簡単ではなく、それはSlammerによってマイクロソフト内のサーバが感染していたことでもわかる。たとえ個人レベルでウイルス対策を行っていても、サーバが感染しインターネット自体が混乱したり使えなくなる可能性があることを認識したい。
ランキングでは「NoClose」、「Sobig」が上位に登場している。NoCloseは、いわゆる迷惑プログラムでファイルを作成したりシステムを改変するようなことはない。しかし、Javaスクリプトを利用して大量のホームページを開くといった動作を行い、開いたページは容易に閉じることができない。表示されるページはポルノサイトなどの広告サイトで、バナーをクリックすると手数料を申請される可能性がある。Sobigは大量メール送信を行うワームで、メールの添付ファイルとして拡散する。添付ファイルを開くと感染し、ネットワークで共有されているディレクトリにも自己のコピーを作成しようとする。従来のマスメーリングウイルスと違って、Outlookのアドレス帳だけでなく「.TXT」「.EML」「.HTML」「.HTM」「.DBX」「.WAB」といったファイルからメールアドレスを検索するため、より多く拡散する可能性がある。
【執筆:吉澤亨史】
(詳しくはScan Daily Expressをご覧ください)
http://shop.vagabond.co.jp/m-sdx01.shtml
告知:
SCAN シリーズ まるとく・セキュリティ商品 4大キャンペーン! 3月末まで!
http://shop.vagabond.co.jp/campaign/
『Scan Security Management』 創刊!
http://shop.vagabond.co.jp/m-ssm01.shtml
《ScanNetSecurity》