【マンスリーレポート 2003/02】比較的平穏だった2月、世界規模ではKlezが1位に
■ウイルス月次レポート
製品・サービス・業界動向
業界動向
ランキング ウイルス名 届出・被害件数
一位 WORM_Klez 1,762件
二位 REDLOF.A 500件
三位 WORM_Bugbear 219件
四位 W32/Sobig 147件
五位 WORM_Opaserv 141件
Trend Micro Symantec IPA 日本 Network ソフォス
Associates
WORM_Klez WORM_Klez WORM_Klez WORM_Klez WORM_Klez
442件 448件 439件 433件 16.1%
REDLOF.A REDLOF.A W32/Sobig REDLOF.A W32/Avril
216件 93件 110件 122件 9.1%
WORM_Opaserv Trojan Horse WORM_Bugbear Laroux W32/Sobig
141件 93件 82件 96件 7.7%
WORM_Bugbear W32/Sobig REDLOF.A JS/NoClose W32/Yaha
113件 37件 69件 83件 7.0%
JS_FORTNIGHT Trojan Horse W32/Lirva JS_FORTNIGHT WORM_Bugbear
53件 35件 49件 58件 4.3%
>> 被害件数はやや増加。それよりもSlammerの影響が大きかった1月
ウイルス情報系の各社が、2003年2月度のウイルス届出・被害状況を発表した。表は各社の結果をまとめたものである。トレンドマイクロ、シマンテックは「被害件数」、IPAは「届出件数」、日本ネットワーク・アソシエイツのウイルスランキングは「届出」および「感染」の報告件数である。ソフォスの数値は全世界のもので、順位は被害件数ではなく全体に占める割合となっている。また、複数の亜種が存在する場合でも、ウイルスの名称ごとに件数や割合を合計している。
2月度の届出、被害状況はKlez、Redlof、Bugbear、Opaservといった、すでにおなじみのウイルスが上位を占めた。ただし、5位までの届出、被害件数の合計は先月の3,521件から今月は2,769件と全体的に減少している。また、2月19日に発見され、被害の拡大が危惧されたLovgateは想像されたよりも被害が少なく、比較的静穏な1ヶ月となった。
LovgateはSupnotとも呼ばれ、トロイの木馬型ワームである。メールの添付ファイルとして拡散し、添付ファイルを実行すると大量メール送信を行う。メールの送信先はハードディスク内から「ht」で始まる拡張子の付いたファイルを探し、ファイル内からメールアドレスを抽出する。また、同時にバックドア機能を持ったトロイの木馬もインストールする。そして、オリジナルのわずか5日後に発見された亜種Lovgate.Cでは、メールアドレスの抽出にメールソフトの自動返信機能をエミュレートする機能を持っていた。前述のように大規模な感染は引き起こさなかったものの、短期間で亜種が登場するため安心は禁物だ。
新たに上位にランクインしたSobigも大量メール送信を行うワームで、メールの添付ファイルとして拡散する。添付ファイルを開くと感染し、ネットワークで共有されているディレクトリにも自己のコピーを作成しようとする。従来のマスメーリングウイルスと違って、Outlookのアドレス帳だけでなく「.txt」「.eml」「.html」「.htm」「.dbx」「.wab」といったファイルからメールアドレスを検索するため、より多く拡散する可能性がある。ソフォスの報告によると、世界規模のランキングでも3位となっている。
ここ最近でウイルス対策ベンダが注意を呼びかけているのはCodered.CおよびFとDeloderである。Coderedは2001年7月に発見され、大規模な感染を引き起こしたワームだが、Codered.CおよびFはその亜種だ。正確には3月11日に発見されたCodered IIと呼ばれるワームの亜種で、オリジナルとは異なる発病症状を持つ。オリジナルはホワイトハウスのWebサーバにDoS攻撃を行ったが、Codered IIではWebサーバのアクセス権を取得するという発病症状になっている。マイクロソフトのIISを標的とするため、個人ユーザにはあまり影響はない。また、IISサーバにパッチが当てられていれば感染することもない。
DeloderはWindows 2000およびXPをターゲットとするワームで、1月に世界的にネットワークの混乱を引き起こしたSlammerと同じポートを攻撃する。フリーのリモートコントロールツールである「PsExec」を悪用しており、Administrator権限でログインしようとする。Deloderにはあらかじめ数十種類のパスワードが用意されており、たとえパスワードがかけられていてもログインして共有を削除したりバックドア機能を持ったトロイの木馬をインストールする。「123」や「abc」、「Admin」といった安易なパスワードを設定していると容易にログインされてしまう。これらのワームは、オリジナルが流行したときに完全な対策を行っていれば防げたはずである。感染しなかったのは偶然という認識を持ち、対策を行っておきたい。
【執筆:吉澤亨史】
(詳しくはScan Daily Expressをご覧ください)
http://shop.vagabond.co.jp/m-sdx01.shtml
《ScanNetSecurity》