【マンスリーレポート2004/01】MyDoomが急速に拡散したものの、国内では全体的に件数が減少
──────────────────────────────〔Info〕─
Scan Monthly Report Best Worst
http://www.ns-research.jp/c2/shop/books/p-sbw01.html
製品・サービス・業界動向
業界動向
Scan Monthly Report Best Worst
http://www.ns-research.jp/c2/shop/books/p-sbw01.html
ネットワークセキュリティ・インシデント年鑑2003
http://www.ns-research.jp/c2/shop/books/p-inc02.html
───────────────────────────────────
■ウイルス月次レポート
ランキング ウイルス名 届出・被害件数
一位 MyDoom 840件
二位 Klez 448件
三位 Redlof 401件
四位 Swen 340件
五位 Bugbear 293件
Trend Micro Symantec IPA ソフォス
MyDoom Bugbear MyDoom MyDoom
411件 190件 245件 25.1%
StartPage MyDoom Klez Bagle
241件 184件 242件 16.3%
Istbar Redlof Mimail Mimail
168件 182件 150件 11.6%
Redlof Gaobot Swen Sobar
165件 80件 138件 9.9%
Swen Klez Bugbear Dumaru
161件 58件 103件 5.3%
>> MyDoomは国内では拡大せず、減少傾向が続く
ウイルス情報系の各社が、2004年1月度のウイルス届出・被害状況を発表した。表は各社の結果をまとめたものである。トレンドマイクロ、シマンテックは「感染被害件数」、IPAは「届出件数」の数値である。ソフォスは件数ではなく被害報告全体に対する割合となっており、全世界での数値となっている。また、複数の亜種が存在する場合でも、ウイルスの名称ごとに件数や割合を合計している。
1月度は、MyDoomが急速に感染を広げたものの、国内では大きな被害にならなかった。また、MyDoomの亜種やMimailの亜種も次々と登場したが、海外に比べその被害はきわめて少なかった。国内で被害が拡大しなかった原因は、これらのウイルスがメールの添付ファイルによって拡散するタイプで、しかも英語の件名を使用していたためと考えられる。
このようなメールを不審に思い、添付ファイルを開かなかったユーザが増えたのだろう。もちろん、セキュリティ対策ソフトをインストールしたPCが増えたことや、ISPのメールサーバでも同様の機能を装備するケースが増え、ウイルス対策の環境が整ってきたことも要因と思われる。
結果として、各社が発表する件数はすべて前月、前々月よりも少なく、減少傾向が続いている。それでもMyDoomによる被害件数は少なくなく、トレンドマイクロとIPAでトップ、シマンテックで2位となり、総合1位という結果になった。2位以降はKlez、Redlof、Swen、Bugbearと以前から件数の多いウイルスが続いており、根強く感染活動を行っていることがわかる。
>> 世界規模ではMyDoomが急速に被害が増大、新種Bagleも2位に
2004年1月に新たにランクインしたウイルスは、総合1位のMyDoom、7位のIstbar、10位のBagleであった。また、14位のJubon、15位のGaobotも新たに登場したものだ。MyDoomはメールの添付ファイルによって拡散する複合型ワームで、感染するとマスメーリング動作やバックドア動作を行い、さらにSCOのWebサイトにDoS攻撃を仕掛けるツールも搭載されていた。実際にSCOのサイトは数日でダウンしている。
MyDoomは「Hi.」「Hello.」といった件名のほかに、「Error」といったエラーメールを装う件名も用意されていた。しかも、添付ファイルが「メモ帳」のファイルを偽装しており、ファイルを開くとメモ帳が起動するため、特に海外で急激に拡散した。実際にはメモ帳が起動している裏で不正なプログラムが実行されていたのだ。
Istbarは、Internet Explorerのツールバーを変更するプログラムをダウンロードしようとするトロイの木馬である。また、お気に入りの内容やスタートページを変更する。主にアダルトサイトのリンクやボタンに仕込まれているケースが多いようだ。この種のトロイの木馬は増加傾向にある。
Bagleもメールの添付ファイルによって拡散するマスメーリングワームである。Bagleが送信するメールには「電卓」のアイコンに偽装する。見慣れたアイコンのため開いてしまうユーザが多く、被害が拡大した。Jubonはサイトからダウンロードされるトロイの木馬で、マスメーリング動作を行う。
【執筆:吉澤亨史】
(詳しくはScan Daily Expressをご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?sdx01_netsec
《ScanNetSecurity》