【マンスリーレポート2003/10】軒並み増加の傾向にあるが、対策が行き届いてきた可能性も
──────────────────────────────〔Info〕─
Scan Monthly Report Best Worst
http://www.vagabond.co.jp/c2/shop/books/p-sbw01.html
製品・サービス・業界動向
業界動向
Scan Monthly Report Best Worst
http://www.vagabond.co.jp/c2/shop/books/p-sbw01.html
ネットワークセキュリティ・インシデント年鑑2003
http://www.vagabond.co.jp/c2/shop/books/p-inc02.html
───────────────────────────────────
■ウイルス月次レポート
ランキング ウイルス名 届出・被害件数
一位 WORM_SWEN 1,544件
二位 Welchia 980件
三位 WORM_Klez 665件
四位 TROJ_ISTBAR 442件
五位 REDLOF 385件
Trend Micro Symantec IPA ソフォス
Welchia Trojan Horse WORM_SWEN W32/Gibe
887件 205件 506件 22.7%
WORM_SWEN WORM_Klez WORM_Klez W32/Dumaru
858件 198件 312件 13.6%
TROJ_ISTBAR WORM_Bugbear W32/Sobig W32/Mimail
442件 186件 142件 12.4%
TROJ_DLUCA WORM_SWEN W32/Mimail W32/Sobig
372件 180件 134件 9.0%
MS Blaster REDLOF.A WORM_Bugbear WORM_Klez
238件 134件 133件 4.4%
>> Swenによる件数を筆頭に全般的な増加傾向
ウイルス情報系の各社が、2003年10月度のウイルス届出・被害状況を発表した。表は各社の結果をまとめたものである。トレンドマイクロ、シマンテックは「被害件数」、IPAは「届出件数」の数値である。ソフォスは件数ではなく被害報告全体に対する割合となっており、全世界での数値となっている。また、複数の亜種が存在する場合でも、ウイルスの名称ごとに件数や割合を合計している。
10月度は、9月に発見されたSwenによる届出・被害件数が急増した。件数は1,500を超え、最盛期のKlezほどではないものの、かなりの件数となった。トップ5の合計件数は4,016件であり、9月度より千件近く増加している。2位以下の件数は先月と同じレベルであるため、Swenによる件数が急増した結果といえそうだ。
SwenはGibe.eの別名を持ち、メールや共有ネットワークを介して感染を広げるワーム。WindowsのMS01-020(不適切なMIMEヘッダが原因でInternet Explorerが電子メールの添付ファイルを実行する)の脆弱性を悪用し、大量メール送信やネットワーク感染といった動作を行う。マイクロソフトのパッチを装ったメールのため、うっかり開いてしまいやすく感染を広げた。
2位以下はWelchia、Klez、ISTBAR、Redrofと続いており、4位のISTBERはXXXToolbaの別名を持つトロイの木馬型の不正プログラムだ。特定のサイトを表示すると自動的にダウンロード、インストールされ、システムの改変を行う。感染するとInternet Explorerのスタートページやツールバーを変更し、ユーティリティプログラムをダウンロードしようとする。感染力、危険度はともに低いが、このようなトロイの木馬型が増えていることも10月度の特徴だ。
トレンドマイクロのランキングで4位となったDLUCAもトロイの木馬型ワームである。感染するとメモリに常駐し、ランダムにポートを開いて不正なWebサイトに接続する。この接続によって自信をアップデートする機能が装備されている。危険度は低く、メールやネットワークによって感染を広げる機能も持たない。
各社のランキングの下位まで見てみると、トロイの木馬型が増えていることがわかる。現在のところ危険度、感染力が低いものばかりだが、これだけ蔓延しているともいえる。悪性のトロイの木馬が登場したときには一気に被害が拡大する可能性があるからだ。ウイルス対策ソフトやファイアウォールソフトなどを用いて、定期的にシステムをチェックするようにしたい。
>> 世界規模ではSwen、Dumaru、Mimailによる被害が拡大
世界規模では、引き続きGibe(Swen)による被害が拡大している。マイクロソフトがセキュリティホール情報を定期的に発表するようになり、一度に4〜5種類のセキュリティホールが発表されることも珍しくなくなった。そのためマイクロソフトからのパッチを装うタイプのウイルスが被害を広げているようだ。
Dumaruはメールの添付ファイルとして感染を広げるワームだが、複雑な圧縮形式を使用している。そのためウイルス対策ソフトのチェックをかいくぐるケースもある。また、ファイルに感染して発症するワームだが、その方法もADS(Alternate Data Stream)と呼ばれる機能を使用する。感染力が非常に強いため注意が必要だ。
Mimailも10月に登場したばかりのワームだが、次々に亜種が登場し感染を広げている。オリジナルはWindowsの脆弱性を攻撃するものだったが、Mamail.Cは友人からのメールのように送信者を詐称し、感染すると自身のコピーを添付ファイルとした大量メール送信を行う。また、11月に入って登場したMimail.Iは、オンライン決済サービスである「Paypal」からの偽装メールによって拡散し、クレジットカード情報を盗もうとする。
マイクロソフトは毎月中旬にまとめてセキュリティホール情報を発表するようになったが、先月、今月においても重大なセキュリティホールが含まれており、数日後には脆弱性を悪用するコードが公開され、さらに数日後にはその機能を搭載したワームが登場する。マイクロソフトのセキュリティホール情報には絶えず注意を払い、新しいパッチをすぐに適用できるようにしたい。
【執筆:吉澤亨史】
(詳しくはScan Daily Expressをご覧ください)
http://www.vagabond.co.jp/cgi-bin/ct/p.cgi?sdx01_netsec
《ScanNetSecurity》