ウイルス感染被害レポート - 2004年上半期および6月度
2004年度上半期および6月のウイルス感染被害レポート
トレンドマイクロ株式会社(本社:東京都渋谷区 代表取締役社長 兼 CEO:スティーブ・チャン、東証一部:4704、Nasdaq:TMIC)は、2004年度上半期のコンピュータウイルス感染被害レポート(2004年1月1日~6月30日までのデータを集計、日本国内)をお知らせするとともに、上半期のウイルスの状況を総括いたします。またあわせて2004年6月度のコンピュータウイルス感染被害報告件数マンスリーレポート(日本国内)をお知らせいたします。
2004年上半期の日本国内におけるウイルス感染被害報告数は36039件と、昨年の上半期の件数(17026件)に比べ倍増しており、MSブラストの流行があった昨年下半期の30581件と比べても被害の総件数は増加しています。この増分は、年初より相次いで発生した多数のマスメール型ワームの流行に起因しているところが大きいと言えます。また、Webを感染経路とするウイルスについても多くの被害報告も集まっており、報告件数の順位からメールやWebといった典型的な感染経路と手法で侵入してくるウイルスによる被害が非常に多かった期間であったことが伺えます。
ウイルス感染被害半期レポート 2004年度上半期
(2004年1月1日~6月30日 トレンドマイクロ調べ)
順位 | ウイルス名 | 通称 | ウイルス | 被害件数 | 発見時期 |
1位 | WORM_NETSKY※(1) | ネットスカイ | ワーム型 | 4186件 | 2004年2月 |
2位 | JAVA_BYTEVER.A※(2) | バイトバー | その他 | 1355件 | 2003年5月 |
3位 | WORM_AGOBOT※(1) | アゴボット | ワーム型 | 1277件 | 2002年11月 |
4位 | WORM_MYDOOM※(1)(3) | マイドゥーム | ワーム型 | 937件 | 2004年1月 |
5位 | TROJ_AGENT※(1) | エージェント | トロイの木馬型 | 918件 | 2004年3月 |
6位 | TROJ_ISTBAR※(1) | イストバー | トロイの木馬型 | 683件 | 2003年10月 |
7位 | VBS_REDLOF※(1) | レッドロフ | VBScript型 | 635件 | 2002年4月 |
8位 | TROJ_REVOP※(1) | リボップ | トロイの木馬型 | 397件 | 2004年1月 |
9位 | TROJ_HARNIG※(1) | ハーニング | トロイの木馬型 | 381件 | 2004年2月 |
10位 | WORM_KLEZ.H | クレズ | ワーム型 | 351件 | 2003年10月 |
※ このランキングは、2004年1月1日から6月30日までに、日本のトレンドマイクロのサポートセンターに寄せられたウイルス被害件数をもとにランク付けを行ったものです。
※ 被害件数はウイルス発見のみの数字も含みます。
※ (※(1))印のウイルスに関しては亜種をまとめてカウントした件数となります。
※ (※(2))印の「JAVA_BYTEVER.A」に関しては、パターンファイル番号546から「JAVA_BYTVERIFY.A」の検出名で対応いたしておりましたが、パターンファイル番号731から「JAVA_BYTEVER.A」に改称いたしましたので、双方の数を集計したものになります。
※ (※(3)) 印の「WORM_MYDOOM」に関しては、パターンファイル番号743から「WORM_MIMAIL.R」の検出名で対応いたしておりましたが、パターンファイル番号751から「WORM_MYDOOM.A」に改称しましたので、双方の数を集計したものになります 。
上半期のウイルス傾向 「TrendLabs Japan」ウイルス解析担当者コメント
トピック(1):ネットワークウイルス発生の加速
マイクロソフトから4月のWindows 2000/XPのLSASSの脆弱性情報が公開されたわずか17日後に、これを悪用する「WORM_SASSER」が登場しました。このウイルスのプログラム自体が日本語版のWindows 2000 ファミリーには侵入できなかったことやゴールデンウィーク中で稼動していないパソコンが多く、日本では大きな被害には至りませんでした。ただし、図1のようにセキュリティホールの発見からウイルス発生までの期間が年々短縮されてきている傾向があり、今後、より一層ウイルスの作成スピードが上がってくる恐れがあります。
ネットワークウイルスの恐ろしい点は、パソコンにセキュリティホールの対策がされていない場合、ネットワークに繋いだだけで瞬間的にパソコンに侵入されてしまうことです。セキュリティホールのアップデートはもちろんなのですが、新品のパソコンや再インストールしたパソコンでWindowsUpdateを行うためにネットワークに繋げたところ侵入されてしまった、というどうしようもないケースもあるようです。ネットワーク内に一台でも感染パソコンが存在するとネットワーク内を不正パケットが飛び交う状況になってしまいます。ネットワーク間で不正なパケットの流通を遮断するルータ的機能や個々のパソコンを防御するためのパーソナルファイアウォール機能の導入は必須と言えます。
図1:セキュリティホールの発見からウイルス発生までの期間短縮 
トピック(2):Web上に仕込まれたトロイの木馬
Web閲覧時のウイルスのダウンロード被害は世界的には少数なのですが、日本では昨年来、特に目立ってきています。マンスリーレポートでも何度か取り上げていますが、減少するどころかますます増加する傾向になっているのは残念なことです。
実際にWeb上から不正プログラムがインストールされてしまうケースには、通常のWebインストール時のセキュリティ警告に対してユーザが誤ってインストールを許諾してしまう場合と、ブラウザのセキュリティホールを悪用して自動でインストールされてしまう場合の大きく二通りがあります。WindowsUpdateをまめに行うとともに、Web閲覧時にはインターネットエクスプローラの「セキュリティ設定」を「高」にしておき、安心できるサイトでのみ設定を変える、といった心がけが必要になってきているかもしれません。
トロイの木馬はハッキングによって一般的なWebサイトに仕込まれることもありますが、その殆どは故意にユーザを陥れようとする悪質サイト上にあるものです。アンダーグラウンド系サイトなど不審なサイトを安易に訪問しないようにするのは当然ですが、スパムメールや掲示板などで紹介されているリンクをたどったために悪質なサイトに行きついてしまったケースも多くなっています。Webサーフィンも気軽に楽しめなくなっているのが現状であるといえます。
トピック(3):ウイルスによる情報流出の危険
コンピュータ内部の情報を外部に送信したり、外部からのリモートコントロールを可能にしてしまう、いわゆる「ハッキングツール」の活動を持つ不正プログラムの被害が増えています。
特に大きな話題となった事件として、PtoPのファイル共有ソフト「Winny」を悪用した「WORM_ANTINNY.G」による情報漏えいがありました。個人のプライバシーから各種団体の機密資料までが被害に遭いました。これは感染したパソコンのデスクトップ上のファイルや画面ショットを「Winny」経由で他人がダウンロードできるようにしてしまうといった悪質なものでした。
不正プログラムの多様化傾向の中で3位の「WORM_AGOBOT」のようにワームとして侵入後にハッキングツールの活動を行うものや8位の「TROJ_REVOP」のように他のハッキングツールをダウンロードしてインストールしようとするものなど、様々なものがあります。今後も不正プログラムによる情報漏えいの危険は高まっていくでしょう。
トピック(4):マスメール型ワームの流行
1月の「WORM_MYDOOM」に始まり、「WORM_BEAGLE」「WORM_NETSKY」と典型的なマスメール型ワームが流行しています。これらのウイルスには取り立てて目新しい手法や技術は見当たらないのですが、システムからのエラーメールのような形式を利用することでユーザの心理をつき、添付ファイルを実行させるという手法で感染が広まりました。
また、これら3種類のウイルス作者同士が亜種を作成する競争に発展し、わずか1~2ヶ月間で数十種の亜種が登場するまでに至りました。あまりに速いスピードで次々と新たなウイルスが現れたため、ユーザの混乱を招き今回の流行につながってしまったと考えられます。
特に最近は感染機能が欠如した状態で送信されているケースや、送信者詐称によりエラーメールや返信メールが拡散してしまう傾向もあり、感染の危険性だけではなくスパムメール的な被害をユーザやネットワークに及ぼすようになっています。
<ご参考> ウイルス感染被害報告件数月別グラフ
ウイルス感染被害マンスリーレポート 2004年6月度
| 順位 | ウイルス名 (通称) | ウイルス種類 | 被害件数 | 先月被害 件数 | 先月 順位 | 先月 順位比 |
| 【1位】 | TROJ_AGENT※(1) (エージェント) | トロイの木馬型 | 857件 | 48件 | 【圏外】 | ↑ |
| 【2位】 | WORM_NETSKY※(1) (ネットスカイ) | ワーム型 | 547件 | 693件 | 【1位】 | ↓ |
| 【3位】 | JAVA_BYTEVER.A※(2) (バイトバー) | その他 | 498件 | 282件 | 【3位】 | → |
| 【4位】 | TROJ_REVOP※(1) (リボップ) | トロイの木馬型 | 271件 | 92件 | 【8位】 | ↑ |
| 【5位】 | DIAL_KTUDIALER.A (ケーティーユーダイヤラー) | ダイヤラ | 231件 | 38件 | 【圏外】 | ↑ |
| 【6位】 | BKDR_JEEMP.C (ジーンプ) | バックドア | 117件 | 40件 | 【圏外】 | ↑ |
| 【7位】 | TROJ_DYFUCA.BQ (ディフカ) | トロイの木馬型 | 116件 | 2件 | 【圏外】 | ↑ |
| 【8位】 | SPYW_BRISS.M (ブリッス) | スパイウェア | 102件 | 13件 | 【圏外】 | ↑ |
| 【9位】 | TROJ_PORNDIAL.BP (ポーンダイヤル) | トロイの木馬型 | 91件 | 20件 | 【圏外】 | ↑ |
| 【10位】 | ADW_NCASE.A (エヌケース) | アドウェア | 69件 | 68件 | 【圏外】 | ↑ |
※ このランキングは、2004年6月1日から6月30日までに、日本のトレンドマイクロのサポートセンターに寄せられたウイルス被害件数をもとにランク付けを行ったものです。
※ 被害件数はウイルス発見のみの数字も含みます。
※ (※(1))印のウイルスに関しては亜種をまとめてカウントした件数となります。
※ (※(2)印の「JAVA_BYTEVER.A」に関しては、パターンファイル番号546から「JAVA_BYTVERIFY.A」の検出名で対応いたしておりましたが、パターンファイル番号731から「JAVA_BYTEVER.A」に改称いたしましたので、双方の数を集計したものになります。
6月のウイルス傾向 「TrendLabs Japan」ウイルス解析担当者コメント
今月の全体的なウイルス感染被害報告数は、9309件と先月(7199件)から増加しました。2位の「WORM_NETSKY」を除く9種類のウイルス全てがWebを感染経路とするものです。
1位の「TROJ_AGENT」は、感染した場合にDLL※1ファイルとしてレジストリに書き込まれるため、アプリケーションを起動する度にウイルスが活動を開始する上、発見した後の駆除が非常に面倒です。インターネットエクスプローラのホームページの設定を勝手に別の怪しいサイトに変更してしまう活動もあり、ユーザがインターネットエクスプローラの設定を何度元に戻しても起動時にはまた別のサイトに書き換えられてしまうので、対応に困ったユーザからの問い合わせが相次ぎました。 この「TROJ_AGENT」を含め、一つのWebサイトから複数の不正プログラムが同時にダウンロードされる報告も増加しています。ハッキングツールを誘導する「TROJ_REVOP」やリモートコントロールを試みる「BKDR_JEEMP」には個人情報の流出につながる危険性があり、「DIAL_KTUDIALER」「TROJ_PORNDIAL」は、感染時に勝手に海外のプロバイダにダイヤルアップされてしまい、後日、身に覚えのない多額の通信料の請求がされるといった古典的なタイプです。
※1 Dynamic Link Libraryの略:Windowsで複数のアプリケーションが共通して使用できるプログラムを部品化してファイルとして保存しておき、必要に応じて利用する手法
新種ウイルス情報
■「DIAL_KTUDIALER.A」(ケーティーユーダイヤラー)
これは一般的に「ダイヤラ」と呼ばれるプログラムです。「ダイヤラ」とはユーザのコンピュータよりインターネット接続する際に使用されるプログラムです。通常、「ダイヤラ」の活動は通常無害であり不正な活動とは言えませんが、このプログラムに関しては特定のプロバイダやペイパービューのWEBサイトに接続し、必要のない電話料金を発生させるなどの活動を含み、ユーザにとって不利益となる活動を行います。
・「DIAL_KTUDIALER.A」 詳細情報:
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=DIAL_KTUDIALER.A
● トレンドマイクロウイルス情報はこちら
http://jp.trendmicro.com/jp/threat/index.html
※TRENDMICRO、Trend Labsはトレンドマイクロ株式会社の登録商標です。
※各社の社名および製品名は、各社の商標又は登録商標です。
Copyright (c) 2004 Trend Micro Incorporated. All Rights Reserved.
