コンピュータウイルス被害の現状と対策管理 -...

http://www.ipa.go.jp/security/

情報処理振興事業協会　セキュリティセンター

Copyright © 2001 情報処理振興事業協会　

2001年度情報セキュリティセミナー管理者コース

コンピュータウイルス被害の現状と対策管理


２００１年度　情報セキュリティセミナー　管理者コースCopyright © 2001 情報処理振興事業協会スライド　2

内容

１．ウイルス対策の意義

２．ウイルスとは

３．届出状況

４．対策（感染防止対策、復旧対策）



　ウイルス対策の意義

◆ 企業財産の保護情報の価値は思っている以上に高い

◆ 社会的責任（プライバシー情報の保護）顧客データ等プライバシー情報を守る社会的責任がある

◆ 企業の社会的信用の向上、維持情報の流出、加害者への加担は企業の信頼を失墜させる

◆ ウイルス対策は、費用対効果の問題ではなく、常識である。ウイルス対策に不安のある企業とは… …



　ウイルス感染経験の有無の推移

49.3

44.1

39.8

38.6

17.9 82.1

61.4

60.2

55.9

50.7

0% 20% 40% 60% 80% 100%

2000年

1999年

1998年

1997年

1996年

感染経験あり感染経験なし

(n=1377）

(n=1250）

(n=1541）

(n=1500）

(n=1673）

1996～2000年国内ウイルス被害アンケート調査結果より



　ウイルス被害－１

パソコンが立ち上がらなくなる

パソコンのデータが消える

原因究明

　　↓

復旧作業

ネットワークの停止≒業務の停止

それでも、取りあえずは、自社内の問題で済む



　ウイルス被害－２

ウイルスを取引先に送りつけてしまった

製品にウイルスが混入していた

→自社だけの問題では済まされない

　★インターネットは諸刃の剣

　　　→便利さと危険性とは、常に背中合わせ！

簡単に感染する→簡単に感染させることが出来る



　最近の出来事から－１

●メーリングリストによるウイルス配信

　　Ａ社（1月）、Ｂ社（2月）、Ｃ社（5月）、Ｄ社（7月）

→自らが感染したわけではない

●Sadimind（5月）、CodeRed（7月）、Nimda（9月）等

　セキュリティホールを悪用したウイルスの出現

→適切な対策をやっていないと・・・　　



最近の出来事から－２

対岸の火事だと思って、何もやらないでいると

被害者から加害者へ

　　　　　　社会的信用の失墜

　　　　　　損害賠償責任



２．ウイルスとは

ウイルスの定義

ウイルスの種類

ウイルス紹介



ウイルスの定義

　「コンピュータウイルス対策基準」（通産省告示）第三者のプログラムやデータベースに対して意図的に何らかの被害を及ぼすように作られたプログラムで、自己伝染機能、潜伏機能、発病機能の内１つ以上を有するもの。

・狭義のウイルス

　上記の機能をすべて有するもの

・広義のウイルス

　意図的に何らかの被害を及ぼすように作られたプログラムを

　総称していい、トロイの木馬などを含む



　ウイルスの種類

Windows、DOSのウイルス　　　　　　　　　　　　　

・ブートセクタ感染型ウイルス

・ファイル感染型ウイルス

・マクロ感染型ウイルス

・トロイの木馬型ウイルス（ワーム、爆弾等）

・メール機能を悪用して感染するウイルス　

Macintoshのウイルス

汎用機、ＵＮＩＸのウイルス



　ブートセクタ感染型ウイルス

感染したＦＤによるパソコン立ち上げ時に感染

ネットワーク経由では感染しない

●感染対象：ブートセクタ

代表例：Stamford、PerterⅡ



ファイル感染型ウイルス

●感染対象：拡張子が、ｅｘｅ、ｃｏｍ等のファイル

感染したファイルの実行時にウイルスの動作が行われる

ネットワーク経由で感染する場合がある

代表例：W32/CIH（チェルノブイリ）　　　　　Cascade



マクロ感染型ウイルス

●感染対象：MS-Word、MS-Excel等のファイル

※元の文書ファイルにマクロがない場合は、新たにマクロ領域を追加し感染

代表例：W97M/Melissa　　　　　　　　　　　XM/Laｒoux

◆感染のタイミング　　　　　　　　　　　　　　　　　　　　　　　　　・MS-Word、MS-Excelへの感染　　　　　　　　　　　　　　　　　　感染した文書ファイルを開く

・文書ファイルへの感染　　　　　　　　　　　　　　　　　　　　　　　感染しているアプリケーションで　ファイルを新規作成・編集

ネットワーク経由で感染



トロイの木馬型ウイルス

●感染対象：なし

◆感染のタイミング実行すると、自身の複製をコピー再起動時に実行されるようにレジストリ等を変更

◆ユーザの協力（実行）が必要→ユーザを欺く手口が巧妙化　メール機能を悪用　

便利なツールと称してWeb 　　　サイトに掲載　

代表例：W32/Hibris、W32/Navidad



メール機能を悪用して感染するウイルス

W32/Nimda

W32/MTX

登録アドレス、Webサイトから取得したアドレス宛に　ウイルスを添付したメールを送信

W32/Sircam

送受信メール、Webサイト等から取得したアドレス宛にウイルスを添付したメールを送信

W32/Hybris

受信トレイにあるメールを再利用して、ウイルスを添付したメールを送信

W32/Navidad

登録アドレスにウイルスを添付したメールを送信　　VBS/LOVELETTER

メール受信時に送信者へウイルスを添付したメールを送信

W32/ExploreZip

メール送信時にウイルスを添付したメールを同じ宛先に送信

W32/Ska（Happy99）



ウイルス紹介－１－（１）

W32/W32/SkaSka（（俗称俗称Happy99Happy99））　（1999年２月届出）

添付ファイル名：「Happy99.exe」

添付ファイルを実行すると花火の画像

メール送信時に、

・同じ宛先、

・同じタイトル（本文空白）

のメールにウイルスを添付して送信



ウイルス紹介－１－（２）

　W32/W32/ExploreZipExploreZip 　（１９９９年６月届出）

　受信メールに対し、自分自身を添付した返信メールを出す。　添付ファイルを実行すると、偽のエラーメッセージを表示　「“Cannot　Open file ･･･”」　当該マシンとネットワーク上に共有されている全てのマシン　の｢.doc｣、｢.xls｣、｢.ppt｣等７種類の拡張子のファイルの　　サイズを０バイトにする。

件名：Re:［受信メールの件名］

本文:Hi［受信者の名前］!　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　I　received　your　email　and　I　shall　send　you　a　reply　ASAP　　　　Till　then　,take　a　look　at　the　attached　zipped　docs.　　　　　　　　　　Bye.　　　　

添付ファイル：zipped_files.exe



ウイルス紹介－１－（３）

VBS/LOVELETTERVBS/LOVELETTER　　（2000年５月届出）

添付ファイル名：

「LOVE-LETTER-FOR-YOU.TXT.vbs」

設定によっては、.vbsが表示されず、

テキストファイルのように見える。

.jpg、.mp3等の拡張子のファイルを破壊

アドレス帳の登録アドレス全てにウイルスを添付したメールを送信

メールサーバのシステムダウン



ウイルス紹介－１－（４）－１

　W32/MTXW32/MTX　（２０００年９月届出）

　メール送信時、同じ宛先にもう１通、件名、本文が空白で、　　ウイルスを添付したメールを送信

　３１種類の異なる添付ファイル名を日替わりで使い分ける

　　（　３日）LOVE_LETTER_FOR_YOU.TXT.pif

　　（１３日）ALANIS_Screen_Saver.SCR

　　（３０日）zipped_files.EXE　　

感染すると初期化が必要で、被害は深刻



ウイルス紹介－１－（４）－２

　W32/MTXW32/MTX　（２０００年９月届出）



ウイルス紹介－１－（５）－１

　W32/W32/NavidadNavidad　（２０００年１１月届出）

・受信トレイにあるメールを再送信

・添付ファイル名：Navidad.exe

（メーラーによりアイコンが異なる）

・レジストリの変更



ウイルス紹介－１－（５）－２

　W32/W32/NavidadNavidad　（２０００年１１月届出）

・感染するとアプリケーションが使用不可に



ウイルス紹介－１－（６）－１

　W32/W32/ＨｙｂｒｉｓＨｙｂｒｉｓ　（２０００年１２月届出）　

・ウイルスを実行すると、送受信メール、閲覧したWebサイトから取得したアドレス宛にウイルスメールを送信　件名、本文等は、感染したマシンの言語環境により異なる。

・日本語環境

　送信元、件名、本文は空白

　添付ファイル：「ランダムな８文字のアルファベット」＋.exe　(例：FHBMFMFH.exe)

・英語環境

　送信元：Hahaha、

　件名：Snowhite and the Seven Dwarfs ････

　本文：Today, Snowhite･････

　添付ファイル：joke.exe 他



ウイルス紹介－１－（６）－２

　W32/W32/ＨｙｂｒｉｓＨｙｂｒｉｓ（２０００年１２月届出）　　



ウイルス紹介－１－（６）－３

　W32/W32/Ｈｙｂｒｉｓ　Ｈｙｂｒｉｓ　（２０００年１２月届出）　



ウイルス紹介－１－（７）－１

　W32/SircamW32/Sircam　（２００1年７月届出）　

ウイルスに感染した添付ファイルを実行すると、・Outlook及びOutlook Expressの登録アドレス全て・Webサイトに掲載されていたアドレスに対し、感染ファイルを添付したメールを送信する。

メール件名：添付ファイル名の拡張子を取った部分メール本文：Hi! How are you?　　　　　　　　I send you this file in order to have your advice　　　　　　　　See you later. Thanks添付ファイル：「マイドキュメント」フォルダのドキュメントファイル等　

　　　　　　　のファイル名から取得

情報漏洩の危険性



ウイルス紹介－１－（７）－２

　W32/SircamW32/Sircam　（２００1年７月届出）　



ウイルス紹介－１－（８）

　Solaris/SadmindSolaris/Sadmind　（２００１年５月届出）　

既知の Solaris 、IIS (Internet Information Service)の脆弱性への攻撃の 2つを組み合わせて自己増殖するワーム　Solarisマシンは攻撃を受けるとワームを構成するプログラム一式がインストールされ、次に、他のSolarisマシンの攻撃用プログラム、他のIISマシンの攻撃用のプログラムが実行される。攻撃対象はIPアドレスをランダムに選択して行われる。　IISマシンは攻撃を受けるとWebのホームページが書き換えられる。



ウイルス紹介－１－（９）

　W32/W32/CodeRedCodeRed　　（２００１年８月届出）　

　既知のIIS(Internet Information Service)の脆弱性を攻撃　　して自己増殖するワーム　攻撃を受けるとワームがメモリ内に書き込まれ実行される。　次いで、IPアドレスをランダムに選択して他のIISマシンの　　攻撃が実行される　IISマシンは攻撃を受けるとWebのホームページが書き換えら　れる場合がある



ウイルス紹介－１－（10）

　W32/NimdaW32/Nimda　（２００１年9月届出）　

既知のIIS (Internet Information Service)IE（Internet Explorer）　の脆弱性を悪用

・ターゲット

　Webサーバー：IIS バージョン4、またはバージョン 5

　クライアント：InternetExplorer5.、5.5 のWindowsパソコン

ホームページを見ただけでも感染

メール本文を見ただけでも感染

ネットワークを介しても感染



３．届出状況

ウイルスの届出状況

届出ウイルス名称

届出感染経路



ウイルスの届出状況（１）

0

2000

4000

6000

8000

10000

12000

14000

16000

18000

1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001

897

件数

1,12714 57 253 668 755

年

2,391 2,035

届出件数の年別推移

3,645

11,109

16,354

（２００１年は１～9月）



届出件数の年別推移の要点

・１９９７年：マクロウイルスの急増が、届出件数急増の主な要因　　　　　　　　　　　　　　　６７件（1996年）→１６１１件（１９９７年）

　　　　　　　その他（Windows、DOSウイルス、Macintoshウイルス）も増加　　　　　　　　　　７０７件（1996年）→８８８件（1997年）

・１９９９年：メール機能を悪用するウイルス（Ska(Happy99））の出現　　　　　　　　　　Laroux（998件）に続いて第２位、Sks(Happy99)（992件）　　　　　　　　　　　パソコン初心者ユーザの急増も一因

・２０００年：メール機能を悪用するウイルスの届出急増　　　　　　　　　　　　　　　　　　MTX（2136件）、LOVELETTER（1221件）の届出急増

・２００１年：引き続きメール機能悪用ウイルスの届出多数　　　　　　　　　　　　　　　　Hybris(4298件）、MTX（2721件）、Sircam（2481件）

（注：１件の届出で複数のウイルス感染の届出がある為、合計は届出件数に合致しない）



ウイルスの届出状況（２）

届出の感染被害別推移

0

4000

8000

12000

16000

20000

1998 1999 2000 2001

パソコンに感染する前に発見したケース

パソコンに感染したケース

20%54%80%

件数

年

2,035件

3,645件

11,109件

（２００１年は１～9月）

16,354件

19%



Laroux(9.4%)

Divi(4.9%)

Marker(3.1%)

Ethan(1.9%)

Tristate(2.6%)

その他ﾏｸﾛ(8.7%)

LOVELETTER(11.0%)

Kakworm(4.6%)

Stages(3.7%)

MTX(19.2%)

Navidad(10.8%)

Ska(Happy99)(6.1%)

PrettyPark(5.1%)

その他ﾒｰﾙ機能悪用

(4.2%)

その他(4.7%)

メール機能悪用ウイルス(64.7%) マクロウイルス(30.5%)（Melissa、Prilissaはﾏｸﾛｳｲﾙｽに含む）

届出ウイルス名称（１）

２０００年



Laroux(5.2%) Divi

(3.3%)

その他ﾏｸﾛ(6.3%)

MTX(16.6%)

Hybris(26.3%)Sircam

(15.2%)

その他ﾒｰﾙ機能悪用(21.2%)

その他(5.9%)

メール機能悪用ウイルス(79.3%) マクロウイルス(14.8%)（Melissaはﾏｸﾛｳｲﾙｽに含む）

届出ウイルス名称（２）

２００1年

（１月～９月）



届出ウイルス名称の要点

　ウイルスは約50000種類と言われているが、流行しているものは数百種類。

　ＩＰＡへの届出は、約２９０種類（2001年9月現在）

　届出件数の累計が１００件を超えているのは約４０種類。　　　　　　　　　　　　　　　　　　　　　　　　　　　毎月の届出種類－約３０～４０種類

　悪質な発病機能がないものが流行りやすい

　Laroux：Excelのマクロウイルス

　感染のみで、発病機能はない

　　　→　感染に気づきにくく、気づいた時には感染が拡大している

２０００年：LOVELETTER、MTX、Ｎａｖｉｄａｄ等メール機能を悪用するウイルスの届出急増

２００１年：Hybris、MTX、Sircam、Magistr等メール機能を悪用するウイルスの届出増加



届出感染経路の割合の年別推移

（２００１年は１月～9月）

51.5

32.8

34.4

16.8

3.9

3.3

7.2

40.6

33

67

90.1

87.5

0.8

2

3.8

1.5

0.7

5.3

40.5

7.3

5.3

10.9

32.7

21.2

2001年

2000年

1999年

1998年

1997年

1996年

外部からの媒体メールダウンロード不明



感染経路割合の要点

1997年：マクロウイルスの急増→外部媒体と、メールからの感染の割合が　　　　　　　ほぼ同じくらいに　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　インターネット、メールの普及も一因

1998年：マクロウイルスの割合が増加　　　　　　　　　　　　　　　　　　　　　　　　　　　　　→メールの割合が、外部媒体の割合を超えた　　

1999年：Ska（Happy99）の大量の届出→メールの割合が増加

2000年：LOVELETTER、MTX、Ｎａｖｉｄａｄ等メール機能を悪用するウイルス　　　　　　　急増　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　→メールからの感染が全体の約９０％

2001年：2000年に引き続き、Hybris、MTX等メール機能を悪用するウイルスの　　　　　届出が多い



４．対策

・感染防止対策

・復旧対策



感染防止対策－１－（１）

●ワクチンソフトの導入（必須）

・サーバ→インターネットの入口・出口でのチェック

　　　　メールの添付ファイル、ダウンロード　　　　・クライアント

　　　　ネット以外（ＦＤ等外部媒体）

・モバイル等の共有パソコン



ワクチンソフトの導入状況

43.2 25.5 13.3 18.3

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

1999年

全てのＰＣ主なＰＣ半数以上のＰＣ未導入

55.4 14.0 17.2 13.5

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

2000年

９割以上のＰＣ半数以上のＰＣ半数未満のＰＣ未導入

1999、2000年国内ウイルス被害アンケート調査結果より



ワクチンソフトのアップデートの管理

46.4

34.3

39.2

50.9

58.9

57.2

2.7

6.8

3.6

0% 20% 40% 60% 80% 100%

2000年

1999年

1998年

整っている整っていないわからない

1998～2000年国内ウイルス被害アンケート調査結果より



感染防止対策－１－（２）

◆サーバー：

　　・クライアントへの更新案内の自動通知

　　・クライアントへの定義ファイルの自動配信

◆クライアント：

　　・スケジューラによる定義ファイルの自動更新

　　・リアルタイムチェック機能の活用

→ワクチンソフト導入後の抜き打ち（定期）検査

　　・定義ファイルの更新状況の管理者への通知

　　・活動ログの提出等



感染防止対策－２－（１）

●セキュリティホールは必ず埋める　　　・サーバー：IIS　　　・クライアント：ブラウザ（IE）、メーラー

・定期的にベンダー等のWebサイトをチェックし、　　最新の情報を収集しておくことが重要。

・脆弱性発見ツールの活用

※パッチを当てた後の設定も忘れないように！



感染防止対策－２－（２）

Microsoft 社のセキュリティ情報一覧のページ(http://www.asia.microsoft.com/japan/technet/security/current.asp)



感染防止対策－２－（３）

Microsoft 社の脆弱性発見ツールのページ(http://www.microsoft.com/technet/mpsa/start.asp)



感染防止対策－３

●イントラネットの対策

◆サーバマシンへの書き込み権限の制限等の管理

　　→ノーパスワード＋フルアクセスは論外

◆安易な共有の禁止（Nimda、Sircam、QAZ、ExploreZip等）

　　－イントラネット内のセキュリティは案外脆い－

　　　　→　Ｃドライブの共有は御法度



復旧対策

●ウイルス対策窓口を設置し、ウイルス対策関連情報を集め、復旧手順を事前に策定しておく　　　→最小限の被害にくい止めるため　　　→最小限の労力で復旧させるため

★ネットワークを停止する等して、

　　一斉に、漏れがないように行うことが重要

　→修復が確認できるまでは、ネットワークにつながせない

最終確認を兼ねて、ＩＰＡへ届け出を！！



教育、啓発

●ユーザに対するウイルス対策方法の周知徹底

　→役員等経営者レベルは要注意！！

　→派遣社員、アルバイトも忘れずに

●セキュリティレベルの全体の底上げ

　→弱いところ（落ちこぼれ）を作らない



情報処理振興事業協会セキュリティセンター（IPA/ISEC）〒113-6591

東京都文京区本駒込２－２８－８

　　文京グリーンコートセンターオフィス１６階

ＴＥＬ０３（５９７８）７５０８　　　　ＦＡＸ０３（５９７８）７５１８

ウイルス/不正アクセス相談１１０番　ＴＥＬ０３（５９７８）７５０９

電子メール　[email protected] [email protected]

ＵＲＬ　http://www.ipa.go.jp/security/

Date post:	12-Oct-2020
Category:	Documents
Upload:	others
View:	0 times
Download:	0 times

コンピュータウイルス被害の現状と対策管理 -...

Documents