2004年度ウイルス感染被害年間レポート(最終版)
2004年度ウイルス感染被害年間レポート(最終版)
トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長 兼 CEO:エバ・チェン 東証一部:4704、NASDAQ:TMIC 以下 トレンドマイクロ)は、2004年度のウイルス感染被害年間レポートをお知らせするとともに、この1年のウイルスの状況を総括いたします。
※ このレポートは2004年12月20日にご報告した速報(2004年1月1日~12月15日分)の最終版になります。
2004年は、年初から世界的に流行した電子メールを大量に送信するマスメール型ワームによる被害が目立つ年になりました。「WORM_MYDOOM」、「WORM_BAGLE」、「WORM_NETSKY」の3系統のワームが互いに競争するように次々と亜種が登場し、70種以上にまで至るものまでありました。どれも技術的には特に目新しいところのない単純なマスメール型ワームだったのですが、メールの不達を知らせるようなエラーメールを装うことで多くのユーザを欺きました。怪しい英語のメールはすぐに削除するというセキュリティ意識が日本人には浸透しているのですが、日本においても英語で表記されるケースが多いエラーメールに見せかけたことで大きな被害につながってしまったと考えられます。これらマスメール型ワームの流行によりウイルス被害報告の総件数は65531件と昨年(47607件)を大きく上回りました。また、一年を通して悪質なWebサイトでトロイの木馬をダウンロードしてしまう被害も継続的に報告され、ゴールデンウィークにはセキュリティホールの発見からわずか17日でこれを標的とした「WORM_SASSER」が登場し欧米を中心に流行しました。
今後の傾向としては、セキュリティパッチが提供される前にセキュリティホールを標的とした攻撃を行うゼロデイアタックが懸念されます。従来のマスメール型ワームもユーザを欺く為に様々な手法を使用してくるでしょうし、これまでは攻撃対象でなかった新しいデバイスや新しいコミュニケーションツールがウイルスの標的になることが予想されます。
ウイルス感染被害年間レポート 2004年度
(2004年1月1日~12月31日 トレンドマイクロ調べ)
| 順位 | ウイルス名 (通称) | ウイルス種類 | 被害件数 | 発見時期 |
| 【1位】 | WORM_NETSKY※ (ネットスカイ) | ワーム型 | 5527件 | 2004年2月 |
| 【2位】 | TROJ_AGENT※ (エージェント) | トロイの木馬型 | 2558件 | 2003年8月 |
| 【3位】 | JAVA_BYTEVER※ (バイトバー) | その他 | 2336件 | 2003年5月 |
| 【4位】 | WORM_AGOBOT※ (アゴボット) | ワーム型 | 1972件 | 2002年11月 |
| 【5位】 | TROJ_ISTBAR※ (イストバー) | トロイの木馬型 | 1134件 | 2003年10月 |
| 【6位】 | WORM_SDBOT※ (エスディーボット) | ワーム型 | 1066件 | 2003年10月 |
| 【7位】 | WORM_MYDOOM※ (マイドゥーム) | ワーム型 | 963件 | 2004年1月 |
| 【8位】 | WORM_RBOT※ (アールボット) | ワーム型 | 908件 | 2004年3月 |
| 【9位】 | VBS_REDLOF※ (レッドロフ) | VBScript型 | 928件 | 2002年4月 |
| 【10位】 | WORM_NACHI※ (ナチ) | ワーム型 | 887件 | 2003年8月 |
※このランキングは、2004年1月1日から12月31日までの間に、日本のトレンドマイクロのサポートセンターに寄せられた問い合わせをもとに順位付けを行ったものです。
※被害件数はウイルス発見のみの数字も含みます。
※ウイルス名はトレンドマイクロ製品での検出名となります。
※(※)のウイルスに関しては、亜種をまとめてカウントした件数となります。
2004年のウイルス傾向 「TrendLabs Japan」ウイルス解析担当者コメント
◎「2004年の総括」~亜種の続出とウイルス作者の変化~
2004年は、1位の「WORM_NETSKY」を代表とするマスメール型ワームによる被害が目立った一年でした。「WORM_NETSKY」は非常に多くの亜種が登場したことで話題になりましたが、Webでダウンロードされる2位の「TROJ_AGENT」や5位の「TROJ_ISTBAR」、また「WORM_AGOBOT」「WORM_SDBOT」「WORM_RBOT」のBOT系プログラムも毎週のように新たな亜種が登場し続けています。「WORM_NETSKY」などはウイルス作成グループの存在が示唆されましたが、アンダーグラウンドで公開されているウイルスのソースコードや作成ツールを入手して個人が悪用するケースもあります。ウイルス作者には愉快犯が多いと言われてきましたが、個人的な攻撃やスパム業者との連携による営利目的でウイルスを作成し配布するケースも増加しているようです。
・「2004年のトピック①」~マスメール型ワームの世界的流行~
1月に登場した「WORM_MYDOOM」を皮切りに「WORM_BAGLE」、「WORM_NETSKY」が次々と登場し、世界的な大流行につながりました。登場した当初は日本での感染報告はほとんどありませんでしたが、亜種が競うように登場し続け日本まで感染が広まりました。このようにウイルス同士の「競争」になってしまったのは「WORM_NETSKY」のある活動が発端と言われています。「WORM_NETSKY」は自分より先に登場した「WORM_BAGLE」、「WORM_MYDOOM」などの先輩ワームを駆除する活動を行う上、他のワームを挑発するようなメッセージが記載されており、非常に挑戦的なものでした。これらの活動は標的となったウイルスの作者を大いに立腹させたらしく、直接競争相手となった「WORM_BAGLE」の他にも流行が一段落していた「WORM_MYDOOM」でも「WORM_NETSKY」を非難する亜種が登場し、亜種作成が再燃焼したようです。
・「2004年のトピック②」~セキュリティホールへの攻撃~
ウイルスによるセキュリティホールへの攻撃は一般的になっており、5月に登場した「WORM_SASSER」は世界的に深刻な被害がありました。特に「WORM_SASSER」の場合、セキュリティホールが判明してから攻撃が行われるまでの期間はわずか17日であり、ユーザがセキュリティパッチを適用するためのいわば猶予期間が短くなってきています。アンダーグラウンドで公開される脆弱性を発見し攻撃コードを作成するツールの進歩やウイルス作者間の競争心により今後ますますこの期間が短縮されることが予測されます。
・「2004年のトピック③」~Webサイトでダウンロードされるトロイの木馬~
ウェブサイトで不正にインストールされるトロイの木馬は1年を通して感染被害が報告され続けました。これは日本特有の傾向のようで、海外で同様の被害はあまり報告されません。メールの際には開封する前に怪しい英語のものを疑う反面、ネットサーフィン中に突如現われるポップアップのメッセージにはついつい「Yes」をクリックしてしまうケースが多いようです。また、掲示板やスパムメール内に添付されたURLをクリックしたら悪質なサイトに飛んでいったという被害もあります。このような悪質なウェブサイトはひとつ閉鎖されてもまた別のサイトが次々に立ち上がり、不正なプログラムが配布されます。今後もこういった落とし穴のような危険がインターネットからなくなることはなさそうです。
・「2004年のトピック④」~日本発のウイルス~
日本のOS環境やソフトを狙った日本発と考えられる不正プログラムの被害もありました。「WORM_ANTINNY」や「TROJ_NULLPORCE」などです。「WORM_ANTINNY」は日本製P2Pファイル共有ソフト「Winny」を悪用して感染を広げるため、流行も日本に集中しています。
日本でのみシェアの大きい日本製ハードやソフトを明確に狙った不正プログラムは存在自体が希少で大きな流行に繋がるものはこれまでには皆無でした。しかし、2003年8月に登場した「WORM_ANTINNY」はその初めての流行種になったわけです。オリジナルの「WORM_ANTINNY.A」は単純に自身のコピーを増殖させるだけの活動でした。しかし「WORM_ANTINNY」は2004年に入って豹変しました。3月に登場した亜種の「WORM_ANTINNY.G」は侵入したPC内の情報を1ファイルにまとめて「Winny」上で頒布してしまいます。漏洩される情報にはPCの使用者を特定できる情報も含まれており、非常に悪質です。ウイルス対策ソフトを停止させるような活動を持つ亜種なども確認され、穏やかだった「WORM_ANTINNY」は凶暴化が進み、実害を及ぼすようになりました。ウイルスに利用されたファイル共有ソフトの「Winny」も含め、日本の巨大掲示板「2ちゃんねる」に関連しているところも興味深いところです。
・「2004年のトピック⑤」~BOTプログラムの大量発生~
4位の「WORM_AGOBOT」、6位の「WORM_SDBOT」、10位の「WORM_RBOT」などのBOT系プログラムの亜種が一年を通して非常に大量に発見されました。「WORM_AGOBOT」に関しては既に1000以上の亜種が確認されています。BOT系プログラムの感染活動は共有フォルダを介してのワーム活動で、主に企業などのLANで自身のコピーを次々と作成して蔓延していく被害報告が主なものです。これらのワームは感染後、別のプログラムを外部からダウンロードすることで感染コンピュータを迷惑メールの踏み台などに悪用することがあります。感染していても症状が自覚しにくいため、知らない内に感染して、コンピュータがスパム配信に悪用されているケースも考えられます。
「今後 懸念されるウイルスの傾向」~ゼロデイアタック~
セキュリティホールを攻撃する手法が一般的になってしまった上、セキュリティホールが発見されてから攻撃が行われるまでの期間は短くなっており、セキュリティパッチがない状態のセキュリティホールに攻撃を加える「ゼロデイアタック」が心配されます。また、海外では、WindowsベースのATMがウイルスに感染した被害や携帯電話を狙ったウイルスも話題になりました。P2Pのファイル共有ソフトやメッセンジャーなどのコミュニケーションツールを経由したウイルスによる攻撃も次第に広まってきています。デバイスがコンピュータに近付いていくことや、コミュニケーションツールの普及とともにウイルスの危険性も高まってしまうことが懸念されます。
● トレンドマイクロウイルス情報はこちら
http://jp.trendmicro.com/jp/threat/solutions/index.html
※各社の社名および製品名は、各社の商標または登録商標です
Copyright (c) 2005 Trend Micro Incorporated. All Rights Reserved.
