これがHappy99ウイルス――ウイルス対策セミナーより

1999年05月28日 00時00分更新

文● 編集部　原武士

28日、横浜市の岩崎学園で、神奈川マルチメディア産業推進協議会(KM協)が主催する“コンピューターウイルスの発生状況と対策”と題したセミナーが開催された。

講師は、情報処理振興事業協会(IPA(*1))セキュリティセンター、ウイルス対策室の石井茂氏。講義は大きく2つに分かれ、前半は日本におけるウイルスの現状を、後半は最近有名になったウイルスを紹介した。

(*1)情報処理振興事業協会(IPA:Information-technology Promotion Agency)：
情報処理の振興を図る施策を講ずることを目的に設立された公的機関で、通産省に近いとされる。ウイルスの対策、啓蒙などを主な活動とする。ウイルス感染の届出機関として、国内の企業から集まる情報を毎月ホームページで公開している。また、ウイルスに関するアンケートを毎年実施している。


IPAの石井茂氏

今年の感染状況の特徴は“Happy99”の隆盛

「IPAの実施したアンケート調査によると、'98年の国内の事業所におけるインターネットへの接続率は89.7%だった。日本の事業所の9割はインターネットに接続されている。今年になってから、インターネットの環境を使ってウイルス自身がウイルスの含まれるメールをばら撒くようなものが出てきた」

「日本でのウイルスの被害届出を調べてみたところ、'97年が1611件と最も届け出が多かった。'96年の10倍以上の被害が出ている。被害のほとんどがExcelやWordに感染するマクロウイルスによるものだった。その後、マクロウイルスは減少傾向にある」

「'99年は4月までで592件、このままでいけば過去最悪の被害になりそうだ。今年はかなりウイルスが出回っているといえる。このなかの3～4割が“Happy99”と呼ばれるウイルス。今まではマクロウイルス全盛時代だったが今年は状況が違うようだ」

今後は日本企業の感染率も欧米並みに増加か

「IPAのアンケート調査によると、約4割の事業所が1年間に何らかの形でウイルスに感染した経験を持っていた。今はウイルスはどこにでも転がっている。ウイルスが入ってこないようにするのではなく、ウイルスが入ってくるのをどうやって水際で食い止めるか注意を払うべき段階といえる」

「海外におけるウイルスの感染率はどうだろうかと、米国とドイツの企業に対してもアンケートを実施した。海外では日本より1割ほど多い結果だった。これは、英語環境でしか感染できないウイルスや機種依存のウイルスの存在が考えられる。しかし、今後は海外と国内のパソコンに差がなくなると考えられているため、国内でのウイルス感染率は増加していくだろう」

「ちなみに、業種別で調査してみたところ、感染経験にそれほど差がなかった。今の世の中、業種によりウイルスに感染しやすいというのはなく、どこでも感染しやすいと考えたほうが良いだろう」

'98年では被害の4分の3がマクロウイルス

「'98年の届け出状況(2072件)を調べてみたところ、被害原因の第1位は、Excel用のマクロウイルス“Laroux(ラルー)”が46パーセント、次がWord用のマクロウイルス“Cap(キャプ)”が21パーセントと、マクロウイルスだけで全体の77パーセントを占めていた。マクロウイルスは感染力が強く、感染スピードが速い。また、ソースコードを簡単に改善できるため、変種が非常に多いという特徴がある」

「昨年1年間で、IPAに届出があったウイルスの種類は65種類と意外に少ない。日本の現状では、ウイルス感染の半分は“Laroux”だといえる。Excelのデータをもらった場合、まずはウイルスチェックをしたほうが良いだろう。感染した場合の感染台数は1、2台と少なく、大規模感染はほとんどない。それだけ、ウイルス対策が広まってきていると考えられる」

「感染経路は、電子メールが全体の40.6パーセント、インターネットからのダウンロードが3.8パーセント。最近多いのがCD-ROMからの感染で34.4パーセントである」

ウイルスは進化する、最新のアンチウイルスソフトを

「昔と違い、今はパソコンがウイルスに感染していると気付きにくい。感染しているかどうか、常に最新のウイルスチェックソフトで感染をチェックしておくべき。ウイルス対策ソフトは古くなると価値がなくなる。アップデートせずに放っておくとまったく無意味なものになってしまうので徹底が必要だ」

パソコンの技術の進化に合わせて、ウイルスも進化しているという。石井氏は新型のウイルスの傾向について紹介した。

「ウイルスがファイルに感染した場合、ファイルサイズが増加してしまう。しかし、システムにも感染することで、システムがファイルサイズを聞いてきた場合に正しくみえるファイルサイズを報告するウイルスもある。こういう機能をステルス機能と呼び、これは古くから存在する」

「最近は、感染部分に暗号化を掛けることで、感染のたびにウイルス自身を変化させることで発見されにくいものや、ウイルス自身がソースコードを所有し、感染したパソコンにコンパイラーが存在すれば無条件に新しいウイルスを作成するウイルスもある。また、ウイルスの存在がわかりにくくするために、ワクチンプログラムに感染しないようなアルゴリズムを持つウイルスもある」

デマメールは読まずに消す

最近、ウイルスよりも問題になっている問題があるという。それがウイルス感染に乗じたデマメールだという。デマメールはチェーンメールの一種で、ウイルス情報を多くの人に広めようという善意を利用しているところが特徴だ。

「ウイルス情報に乗じて、デマが流れることがある。デマメールの特徴はそれっぽいタイトル名、ウイルスの感染理由が良くわからない内容、そしてそのメールを多くの人に流すように呼びかけてある点だ。デマメールは半年おきぐらいにでまわり、ひと月ぐらいで消えていく。こういうメールは読まずに消すべき」

デマメールの例：
重要　警告。もし“～”というタイトルのメールを受け取ったら絶対に開かないでください。もし“開くと感染してしまいます”。このメールは“できるだけ多くの人に送ってください”。

ウイルスの種類と発病

ここ最近で有名になったものを紹介する。

名称に“W32”と入っているウイルスは、32ビットのファイル形式に感染するタイプで、ファイル感染型ウイルスの中でも新種に属する。Windows 95/98/NTで発病する。Windwos 95では、ファイルのチェックが甘いので、ファイルサイズが変でも実行できてしまう。NTの場合は、チェックが厳しく、感染したファイルが実行できない場合が多い。また、95/98と比べNTでは、関数アドレスの相違やメモリー常駐の取り方が違うためウイルスに強いといえる。