【マンスリーレポート2003/09】Blasterは終息傾向だが予断を許さない状況
──────────────────────────────〔Info〕─
Scan Monthly Report Best Worst
http://shop.vagabond.co.jp/p-sbw01.shtml
製品・サービス・業界動向
業界動向
Scan Monthly Report Best Worst
http://shop.vagabond.co.jp/p-sbw01.shtml
ネットワークセキュリティ・インシデント年鑑2003
http://www.vagabond.co.jp/c2/shop/books/p-inc02.html
───────────────────────────────────
■ウイルス月次レポート
ランキング ウイルス名 届出・被害件数
一位 Welchia 986件
二位 W32/Sobig 707件
三位 WORM_Klez 622件
四位 WORM_Bugbear 471件
五位 WORM_SWEN 460件
Trend Micro Symantec IPA ソフォス
Welchia WORM_Bugbear W32/Sobig WORM_SWEN
810件 233件 511件 23.5%
MS Blaster REDLOF.A WORM_Klez W32/Dumaru
310件 182件 272件 18.1%
WORM_Klez WORM_Klez WORM_SWEN W32/Mimail
169件 181件 219件 15.0%
REDLOF.A Trojan Horse W32/Mimail W32/Sobig
144件 121件 176件 10.0%
WORM_SWEN WORM_SWEN WORM_Bugbear Welchia
124件 117件 140件 5.5%
>> トップ5の件数は減少したものの全体の総数は増加
ウイルス情報系の各社が、2003年9月度のウイルス届出・被害状況を発表した。表は各社の結果をまとめたものである。トレンドマイクロ、シマンテックは「被害件数」、IPAは「届出件数」の数値である。ソフォスは件数ではなく被害報告全体に対する割合となっており、全世界での数値となっている。また、複数の亜種が存在する場合でも、ウイルスの名称ごとに件数や割合を合計している。
8月度は、8月16日に発見されたBlasterが大きな被害をもたらし最速の感染拡大速度を記録した。また、早いピッチで複数の亜種が登場し被害を拡大した。9月度はBlaster系ワームは終息傾向にあり届出、被害件数も減少した。トップ5の合計件数は3,246件であり、6月度のレベルに戻った形だ。ただし、従来からのワームやSwenなど新種の被害も少なくなく、全体的な総数は増加している印象である。
9月度で1位になったのはWelchiaであった。WelchiaはBlasterの亜種であり、Blaster.D、MSBlast.D、Lovsan.D、Nachiなどの別名を持つ。Blaster.Aと同様に「Microsoft DCOM RPCインターフェースのバッファオーバーフロー脆弱性(MS03-026)」を攻撃して感染するが、感染したPCがすでにBlaster.Aに感染している場合はこれを駆除して消滅する。
Welchiaの動作は一風変わっているが、感染を拡大するために大量のパケットを発信する。この点ではオリジナルと変わらず、ネットワークトラフィックを著しく増大させている。Blasterの亜種はその後も続々と登場しているが、幸いなことにどれも大きな被害には至っていない。
2位はSobigであったが海外での大流行を受けてのことと思われる。国内での報告のほとんどは感染被害でなく届出だったようだ。3位はKlez、4位はBugbearとなり、いまだに根強く活動している。ただし、件数はわずかずつであるが減少している。
5位には新種のSwenがランクインした。SwenはGibe.eの別名を持ち、メールの添付ファイルとして感染を広げるマスメーリング型のワーム。マイクロソフトからのメールを装うため、添付ファイルをうっかり開いてしまいやすい。また、「不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する (MS01-020)」のセキュリティホールを修正していない環境では、メールをプレビューしただけで感染する可能性がある。
>> 世界規模ではSwenによる被害が急増、次々に発表されたMSの脆弱性にも注意
世界規模でも9月度は日本国内では5位だったSwenによる被害が急増し、全体の23.5%を占めた。2位は独自のSMTPエンジンを持つマスメーリング型ワームであるDumaru、3位にはメールによって感染を拡大しPC内の情報を盗用するMimailがランクインした。Sobigによる被害は亜種であるSobig.Fが5.6%、オリジナルであるSobig.Aが4.4%という内訳だ。Klezは8位に後退している。
9月度以降では「Internet Explorer 用の累積的な修正プログラム(MS03-032)」を悪用するQHostsが発生し被害が拡大している。QHostsは特定のWebサイトにアクセスしようとする際に別のサイトにリダイレクトを行うトロイの木馬型ウイルスだ。パッチが適用されていない環境では、転送先のサイトから自動的に悪意あるプログラムをダウンロードし実行されてしまう。
【執筆:吉澤亨史】
(詳しくはScan Daily Expressをご覧ください)
http://www.vagabond.co.jp/cgi-bin/ct/p.cgi?sdx01_netsec
《ScanNetSecurity》