【マンスリーレポート2003/09】Blasterは終息傾向だが予断を許さない状況 | ScanNetSecurity
2024.05.03(金)

【マンスリーレポート2003/09】Blasterは終息傾向だが予断を許さない状況

──────────────────────────────〔Info〕─
Scan Monthly Report Best Worst
http://shop.vagabond.co.jp/p-sbw01.shtml

製品・サービス・業界動向 業界動向
facebookLINE
──────────────────────────────〔Info〕─
Scan Monthly Report Best Worst
http://shop.vagabond.co.jp/p-sbw01.shtml

ネットワークセキュリティ・インシデント年鑑2003
http://www.vagabond.co.jp/c2/shop/books/p-inc02.html
───────────────────────────────────


■ウイルス月次レポート

ランキング  ウイルス名   届出・被害件数
一位      Welchia        986件
二位      W32/Sobig      707件
三位      WORM_Klez     622件
四位      WORM_Bugbear   471件
五位      WORM_SWEN    460件

Trend Micro    Symantec        IPA        ソフォス
Welchia     WORM_Bugbear    W32/Sobig     WORM_SWEN
810件         233件         511件         23.5%
MS Blaster    REDLOF.A     WORM_Klez     W32/Dumaru
310件         182件         272件         18.1%
WORM_Klez    WORM_Klez     WORM_SWEN    W32/Mimail
169件         181件         219件         15.0%
REDLOF.A    Trojan Horse     W32/Mimail     W32/Sobig
144件         121件         176件         10.0%
WORM_SWEN   WORM_SWEN    WORM_Bugbear    Welchia
124件         117件         140件          5.5%


>> トップ5の件数は減少したものの全体の総数は増加

 ウイルス情報系の各社が、2003年9月度のウイルス届出・被害状況を発表した。表は各社の結果をまとめたものである。トレンドマイクロ、シマンテックは「被害件数」、IPAは「届出件数」の数値である。ソフォスは件数ではなく被害報告全体に対する割合となっており、全世界での数値となっている。また、複数の亜種が存在する場合でも、ウイルスの名称ごとに件数や割合を合計している。

 8月度は、8月16日に発見されたBlasterが大きな被害をもたらし最速の感染拡大速度を記録した。また、早いピッチで複数の亜種が登場し被害を拡大した。9月度はBlaster系ワームは終息傾向にあり届出、被害件数も減少した。トップ5の合計件数は3,246件であり、6月度のレベルに戻った形だ。ただし、従来からのワームやSwenなど新種の被害も少なくなく、全体的な総数は増加している印象である。

 9月度で1位になったのはWelchiaであった。WelchiaはBlasterの亜種であり、Blaster.D、MSBlast.D、Lovsan.D、Nachiなどの別名を持つ。Blaster.Aと同様に「Microsoft DCOM RPCインターフェースのバッファオーバーフロー脆弱性(MS03-026)」を攻撃して感染するが、感染したPCがすでにBlaster.Aに感染している場合はこれを駆除して消滅する。

 Welchiaの動作は一風変わっているが、感染を拡大するために大量のパケットを発信する。この点ではオリジナルと変わらず、ネットワークトラフィックを著しく増大させている。Blasterの亜種はその後も続々と登場しているが、幸いなことにどれも大きな被害には至っていない。

 2位はSobigであったが海外での大流行を受けてのことと思われる。国内での報告のほとんどは感染被害でなく届出だったようだ。3位はKlez、4位はBugbearとなり、いまだに根強く活動している。ただし、件数はわずかずつであるが減少している。

 5位には新種のSwenがランクインした。SwenはGibe.eの別名を持ち、メールの添付ファイルとして感染を広げるマスメーリング型のワーム。マイクロソフトからのメールを装うため、添付ファイルをうっかり開いてしまいやすい。また、「不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する (MS01-020)」のセキュリティホールを修正していない環境では、メールをプレビューしただけで感染する可能性がある。


>> 世界規模ではSwenによる被害が急増、次々に発表されたMSの脆弱性にも注意

 世界規模でも9月度は日本国内では5位だったSwenによる被害が急増し、全体の23.5%を占めた。2位は独自のSMTPエンジンを持つマスメーリング型ワームであるDumaru、3位にはメールによって感染を拡大しPC内の情報を盗用するMimailがランクインした。Sobigによる被害は亜種であるSobig.Fが5.6%、オリジナルであるSobig.Aが4.4%という内訳だ。Klezは8位に後退している。

 9月度以降では「Internet Explorer 用の累積的な修正プログラム(MS03-032)」を悪用するQHostsが発生し被害が拡大している。QHostsは特定のWebサイトにアクセスしようとする際に別のサイトにリダイレクトを行うトロイの木馬型ウイルスだ。パッチが適用されていない環境では、転送先のサイトから自動的に悪意あるプログラムをダウンロードし実行されてしまう。


【執筆:吉澤亨史】

(詳しくはScan Daily Expressをご覧ください)
http://www.vagabond.co.jp/cgi-bin/ct/p.cgi?sdx01_netsec

《ScanNetSecurity》

PageTop

アクセスランキング

  1. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  2. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  3. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  4. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

  5. 2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査

    2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査

  6. 「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい

    「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい

  7. クラウド型データ管理システム「ハイクワークス」のユーザー情報に第三者がアクセス可能な状態に

    クラウド型データ管理システム「ハイクワークス」のユーザー情報に第三者がアクセス可能な状態に

  8. SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感

    SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感

  9. 「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

    「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

  10. トレーニング 6 年ぶり復活 11/9 ~ 11/15「CODE BLUE 2024」開催

    トレーニング 6 年ぶり復活 11/9 ~ 11/15「CODE BLUE 2024」開催

ランキングをもっと見る
ホーム 製品・サービス・業界動向 業界動向 記事
TOP