2003年度ウイルス感染被害年間レポート(最終版)
2003年度ウイルス感染被害年間レポート(最終版)
トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長 兼 CEO:スティーブ・チャン 東証一部:4704、Nasdaq:TMIC 以下 トレンドマイクロ)は、2003年度のウイルス感染被害年間レポートをお知らせするとともに、この1年のウイルスの状況を総括いたします。
※このレポートは2003年12月17日にご報告した速報(2003年1月1日~12月15日分)の最終版になります。
2003年は、8月から爆発的に流行した「WORM_MSBLAST」の猛威が忘れられない年になりました。「WORM_MSBLAST」は登場直後から6日間に渡って連日200件もの被害が報告され、1週間で約1300件に達しました。間違いなく過去最速規模の大流行と言えます。この大流行の1つの原因としてセキュリティホールが発見されてから悪用されるまでのスピードが早まっている傾向があり、セキュリティパッチを適用する前に感染してしまう危険性がより高くなってきています。また、1位から7位までのウイルスと9位のウイルスが何らかの方法でWindowsのセキュリティホールを悪用します。ここからもセキュリティホールを狙うウイルスが主流となったことが伺えます。
「WORM_MSBLAST」の大規模な被害とは裏腹に、ウイルス被害報告の総件数は47607件と昨年(52172件)を下回っています。2003年に登場したウイルスは比較的短期間の内に感染が収束したものが多いことが被害の総数を抑えられた1つの要因と考えられます。単純に報告件数の大小のみで被害の深刻さを比較できない要素もあるため、見かけの数字が減少してもウイルス対策を軽視することはできません。
今後の傾向としては、引き続きセキュリティホールを悪用するものには警戒する必要があります。また、視覚的にユーザを欺いたり、英語ではなく日本語で件名や本文を表記したメールであったり、OS言語によってメールの言語を変化させるマスメーリング型のワームが登場した場合、流行する可能性は高いでしょう。
ウイルス感染被害年間レポート 2003年度
(2003年1月1日~12月31日 トレンドマイクロ調べ)
順位 | ウイルス種類 | 通称 | ウイルスの種類 | 被害件数 | 発見時期 |
【1位】 | WORM_KLEZ※(1) | クレズ | ワーム型 | 4041件 | 2001年10月 |
【2位】 | WORM_NACHI.A※(2) | ナチ.A | ワーム型 | 3265件 | 2003年8月 |
【3位】 | VBS_REDLOF※(1) | レッドロフ | VBScript型 | 2754件 | 2002年4月 |
【4位】 | WORM_MSBLAST※(1) | エムエスブラスト | ワーム型 | 2381件 | 2003年8月 |
【5位】 | スウェン | ワーム型 | 1766件 | 2003年9月 | |
【6位】 | BUGBEAR※(1)(3) | バグベアー | ファイル感染型 | 1552件 | 2002年9月 |
【7位】 | WORM_OPASERV※(1) | オパサーブ | ワーム型 | 1473件 | 2002年9月 |
| 【8位】 | TROJ_DLUCA※(1) | ドルカ | トロイの木馬型 | 710件 | 2003年10月 |
【9位】 | JS_FORTNIGHT※(1) | フォートナイト | JavaScript型 | 709件 | 2002年5月 |
| 【10位】 | TROJ_ISTBAR※(1) | イストバー | トロイの木馬型 | 620件 | 2003年10月 |
※ このランキングは、2003年1月1日から12月31日までの間に、日本のトレンドマイクロのサポートセンターに寄せられた問い合わせをもとに順位付けを行ったものです。
※ 被害件数はウイルス発見のみの数字も含みます。
※ ウイルス名はトレンドマイクロ製品での検出名となります。
※ (※(1))のウイルスに関しては、亜種をまとめてカウントした件数となります。
※ (※(2))印の「WORM_NACHI.A」に関しては、パターンファイル番号614から「WORM_MSBLAST.D」の検出名で対応いたしておりましたが、パターンファイル番号631から「WORM_NACHI.A」に改称いたしましたので、双方の数を集計したものになります。
※ (※(3))は、PE型、WORM型双方の件数を含みます。
2003年のウイルス傾向 「TrendLabs Japan」ウイルス解析担当者コメント
◎「2003年の総括」 ~エムエスブラストの猛威~
2003年は、「WORM_MSBLAST」をはじめとしてセキュリティホールを狙ったウイルスが猛威を振るった1年でした。報告件数1位は2001年10月に登場した「WORM_KLEZ」ですが、「WORM_MSBLAST」に「WORM_NACHI.A」を加えた件数は5000件を超えます。事実上の最大の被害は「WORM_MSBLAST」とそこから派生したウイルスによるものと言えます。
「WORM_MSBLAST」の被害がこれほど深刻になった原因は、(1)セキュリティホールが発見されてからウイルスが登場するまで1ヶ月とかからなかったこと、(2)セキュリティパッチを適用していないPCが多かったこと、(3)悪用されたセキュリティホールがサーバOSのみならずクライアントOSにも存在したこと、(4)ワームのランダムなIPアドレスにアクセスする仕組みが感染を広げるに効果的であったこと、(5)感染にユーザの実行が不要なことなどが挙げられます。
- 「2003年のトピック(1)」~ネットワークウイルスによる被害~
トレンドマイクロでは以前の「Nimda」、「CodeRed」といったウイルスのように、セキュリティホールを狙い、メールと共有以外のプロトコルで侵入し、自動的に活動を開始するタイプのウイルスを「ネットワークウイルス」としてこれまでも注目してきました。2003年は「WORM_SQLP1434.A」、「WORM_MSBLAST」、「WORM_NACHI.A」が「ネットワークウイルス」として登場しました。これらは、ユーザの実行が不要なために感染に気付かれることなく感染を広げることができます。「ネットワークウイルス」が蔓延するとネットワークに多大な負荷が加わるためネットワーク障害が発生しやすくなります。なお、感染している端末をユーザがそれに気付かずネットワークに参加させるだけでそのまま感染源となる危険が伴うため、一度LAN内に侵入されると根絶することが困難です。特に企業では、自宅や外部から社内に持ち込んだ端末が感染源となり、社内で蔓延してしまった被害が数多く報告されました。
このような「ネットワークウイルス」の被害を防ぐために個人ができることは、まず情報収集を行い、セキュリティパッチを迅速に適用することです。次にウイルス対策ソフトを導入した上でパターンファイルのアップデートを継続して実施し、できればパーソナルファイアウォール機能やIDS機能を利用することがより高いセキュリティを保つために有効です。 - 「2003年のトピック(2)」~ハッキング手法を応用したウイルス~
ウイルス活動にハッキング手法が応用される傾向がありました。「WORM_DELODER」はファイルのやりとりに使用されるTCPポート445番を通じてネットワーク上のコンピュータに対し、Administratorとしてリモートログインを試みます。この際、あらかじめ用意した、ありがちなパスワードをすべて試します。覚えづらいなどの理由でパスワードにパターン化された言葉が使われる傾向がありますが、このワームはその人間の心理をついたものです。また、「WORM_MSBLAST」もリモートシェルによるバックドアを形成した後にリモート操作によって侵入してきますが、これも典型的なハッキング手法を応用したものといえます。 - 「2003年のトピック(3)」~マスメーリング型ワームの傾向変化~
「WORM_SWEN.A」は9月の登場以来、感染被害ランキングの上位に位置していたマスメーリング型ワームです。「WORM_SWEN.A」の送信する電子メールの本文はマイクロソフト社のロゴやフォーマットで装飾されており、見かけに安心して思わず添付ファイルを開いてしまい、被害にあうケースが多かったようです。
しかし、一方では電子メールに対するセキュリティ意識の高まりを示す例もあります。8月以降、海外では「WORM_MIMAIL」という、マスメーリング型のワームが流行していましたが、日本ではほとんど被害報告がありませんでした。これは日本のユーザに電子メールに対するセキュリティ意識、特に英語のメールに対する警戒が浸透していることを示す一例と言えます。今後もマスメーリング型ワームは新たなセキュリティホールを狙ったものや「WORM_SWEN.A」のように視覚的にユーザを騙すタイプでないと日本では流行りにくい傾向が続くでしょう。 - 「2003年のトピック(4)」~Webインストール型の流行~
「TROJ_ISTBAR」、「TROJ_DLUCA」に代表される不正プログラムとして、悪質なWebサイトからダウンロード/実行される「トロイの木馬型」のウイルスがおのおの約1ヶ月間という短期間の間に感染報告が集中しました。こういったタイプは実行後、Internet Explorer の設定を変更し、Internet Explorerのスタートページやツールバーの変更、お気に入りにアダルトサイトへのリンク追加などを行います。また、バックドア型などのハッキング系プログラムやユーティリティをダウンロードするものもあります。
Webサイトによっては年齢確認やサイト表示に必要などと偽ってウイルスをダウンロードさせてしまう悪質な例もあるため、ユーザの心構えとしての注意が必要です。 - 「2003年のトピック(5)」~日本固有のウイルス~
これまで日本発のハードウェアやソフトウェアを狙ったウイルスはほんの数例を除いてほとんどありませんでしたが、今年は日本発のP2Pファイルソフト「WINNY」を利用したワーム「WORM_ANTINNY.A」が登場しました。ウイルスのファイル名があまりに露骨で怪しいため実際の感染被害はほとんど報告されていませんが、弊社のウイルストラッキングセンター※では累計10万件以上のコンピュータで発見されました。
※「ウイルストラッキングセンター」について
弊社ホームページからオンラインでウイルス検索ができる「ウイルスバスターオンラインスキャン」で発見されたウイルスの数を集計しています。
「今後 懸念されるウイルスの傾向」~ネットワークウイルスと日本語ウイルス~
今後もネットワークウイルスのようにセキュリティホールを悪用するタイプには引き続き警戒する必要があります。また、単純なマスメーリング型のウイルスは日本では流行らなくなってきています。ただ、視覚的にユーザを欺いたり、英語ではなく日本語で件名や本文を表記したメールであったり、OS言語によってメールの言語を変化させるマスメーリング型のワームが登場した場合、大きな流行が懸念されます。
セキュリティパッチの迅速な適用とウイルスに騙されないための個人の注意が基本的かつ重要な対策になります。
● トレンドマイクロウイルス情報はこちら
http://jp.trendmicro.com/jp/threat/index.html
※各社の社名および製品名は、各社の商標または登録商標です
Copyright (c) 2004 Trend Micro Incorporated. All Rights Reserved.
