文書破壊ワーム感染、最多国はインド――CAIDA調査

CAIDAの調査によると、NyxemやBlackwormなどの名称で呼ばれた文書破壊ワームは200カ国以上に拡散し、46万9507台から94万6835台のPCに感染していたと推測されるという。

» 2006年02月08日 04時32分 公開
[高橋睦美,ITmedia]

 CAIDA(Cooperative Association for Internet Data Analysis)が2月6日に公表した調査結果によると、NyxemやBlackwormなどの名称で呼ばれた文書破壊ワーム「CME-24」は世界200カ国以上に拡散し、46万9507台から94万6835台のPCに感染していたと推測されるという。

 CME-24は、電子メールの添付ファイルや共有フォルダを通じて感染するワームだ。感染してしまうと、日付が毎月3日になると、アクセス可能なドライブに保存されているファイルのうち「.doc」「.xls」「.ppt」「.pdf」といった拡張子が付いたファイルが上書きされ、破壊されてしまう。

 CME-24はまた、感染すると特定のWebページにアクセスしに行き、そのページに用意されたアクセスカウンターを増やすというユニークな機能も持っている。CAIDAの調査ではこのカウンターの数字を基本に、人間によるアクセスやDoS攻撃など、CME-24以外の要因による誤差を排除することで、感染数を推定した。

 これによると、1月15日から2月1日までの間にCME-24に感染したPCは世界200カ国以上にまたがり、46万9507台から最大で94万6835台に上ると推定される。また、そのうち少なくとも4万5401台は、ほかのスパイウェアもしくはボットに感染していたという。

 国別ドメイン名で最も多くの感染が見られたのはインドで、推定被害台数は15万1341台〜27万3013台。次に多いのはペルーで、8万7599台から15万785台が感染したと見られている。その後にイタリア、トルコ、米国が続いている。

 CAIDAによるとCME-24の感染分布は中東および南米の国々に偏っており、各国のインターネット普及率とも、また他のインターネットワームの感染状況とも異なる様相を示していた。また、北米やヨーロッパといった地域では活動のピークが1月16日から18日にかけてだったのに対し、中南米では1月20日から21日になって顕著な活動が見られたという。このことを踏まえると、1月20日ごろにCME-24ウイルスのスペイン語版が登場したのではないかという疑いも考えられるとしている。

 また、このワームによるダメージはさほど大きくなかったという報道に対しては、感染したPCの特定とユーザーへの告知、システム管理者による修復作業などに要した時間やコストが反映されておらず、決して正しいものではないと指摘。ウイルス対策ソフトによる対応は済んでいるものの、引き続き対策をとっていかない限り、毎月3日が来るたびにファイルが削除され、データが失われることになると警告している。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ