平成１３年１１月１日

　　　　　　　　　　コンピュータウイルス（NIMDA）の亜種について

１　情報源

○トレンドマイクロ社
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=PE_NIMDA.E
等

２　概要
・NIMDAの亜種（NIMDA.E）が発生しており、感染メールの大量送付等の連絡があった。
・従前のワクチンのパターンファイルでは感染ファイルを検知できないことが予想され
　、再度流行のおそれがあるので注意が必要。

３　対策
・従前のパターンファイルで対応しているかどうか確認し、対応していない場合には、
　ワクチンベンダーから対応したものが公表され次第パターンファイルの更新を実施。
・平成１３年９月１９日及び２１日付け「コンピュータウイルス（W32.NIMDA）につい
　て」において総務省より周知した対策の徹底を実施。（参考として以下に添付）


−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
（参考１：平成１３年９月１９日付け総務省より事務連絡）
┌────┐                                                      
│注意喚起│                                                      
└────┘                                                      
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　平成１３年９月１９日
　　　　　　　　　　　　　　　　　　　
　　　　　　　コンピュータ・ウイルス（W32.NIMDA）について


　標記について、別添のとおり情報提供をしますので、適切な対応をお願いします。
　なお、政府機関における被害が発生しているとの連絡がありましたので、各関係者に
おかれましては対策の徹底を図るようお願いします。
　また、被害が発生した場合には、「政府機関の情報システムに係る緊急時の連絡等に
ついて」（平成１２年４月１７日付け事務連絡）に基づき、内閣官房情報セキュリティ
対策推進室まで連絡してください。

（参考）CERT/CC等でも情報が発出されておりますので、参考としてください。

○CERT Advisory CA-2001-26 Nimda Worm
　　http://www.cert.org/advisories/CA-2001-26.html
○NIPC ADVISORY 01-022
　　http://www.cert.org/advisories/CA-2001-26.html

情報提供元：内閣官房情報セキュリティ対策推進室
−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
（参考２：平成１３年９月２１日付け総務省より事務連絡）
┌────┐                                                      
│注意喚起│                                                      
└────┘                                                      
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　平成１３年９月２１日

　　　　　コンピュータ・ウイルス（W32.NIMDA ）について（追加情報）

　標記について、別添のとおり追加情報を提供しますので、適切な対処をお願いします。
情報提供元：内閣官房情報セキュリティ対策推進室

（別添）
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　平成１３年９月２１日
　コンピュータ・ウイルス（W32.NIMDA ）について（追加情報）
　第一報でお知らせした感染経路のほか、イントラネット内での共有フォルダを媒介と
した感染が被害拡大の要因の一つとなっております。以下の概要をご覧の上、当該経路
での感染についてもご注意願います。
１ 共有フォルダ経由の感染の概要
　あるクライアント等がウイルスに感染した際に、ネットワーク上にある全ての有効な
　共有フォルダを探し出し、次のウイルスの設置活動を行います。
（１）全てのフォルダに「*.eml」又は「*.nws」（注１）というウイルスプログラムを
　　　設置します。このため、感染していないクライアント等の共有フォルダに、当該
　　　ウイルスプログラムが不怠に設置され、これを開封すると感染します。
（２）MS-Word ファイル（拡張子.doc）のある全てのフォルダに「riched20.dll」（注
　　２）というウイルスプログラムを設置します。ここで当該MS-Word ファイルを開く
　　と、このウイルスプログラムが読み込まれ、感染します。
（３）winzip32.exe を除く全てのプログラムファイル（拡張子.exe）が改ざんされ、感
　　染していないクライアント等が当該プログラムを起動することにより感染します。
（注１）ファイルサイズは78KB です。また、上の文中「*」の部分には、任意のファイ
　　　　ル名が埋め込まれます。
（注２）ファイルサイズは56KB です。また、感染していないクライアント等において、
　　　　C:\ windows\ system 等にある「riched20.dll 」は、正規のファイルです。
２ 対策
（１）共有フォルダのパスワードの設定
　　　共有フォルダにパスワードを設定することにより、アクセスを許可していない他
　　　のクライアントからウイルス感染ファイルを設置されることを防止する。
（２）ファイル共有サーバにおけるウイルスチェックの徹底
　　　ファイル共有サーバのウイルスチェックを可能な限り頻繁に行い、ウイルスの検
　　　出を迅速に行えるようにする。
（３）注意喚起の実施
　　　以下の注意喚起を徹底する。
　・共有フォルダ内に「*.eml 」又は「*.nws 」という不審なファイルがある場合には
　　、これを開封しない。
　・「riched20.dll」が不審な場所にある場合には、このフォルダ中のMS-Word ファイ
　　ルは開かない。
　・共有フォルダ上には、不必要なプログラムファイルを置かない。
（４）複数のクライアントで共有して利用するプログラム共有フォルダ上にあるプログ
　　　ラムを複数のクライアントで共有して利用する必要がある場合には、当該プログ
　　　ラムのチェックを徹底する。
３ 参考
○シマンテック社
　　http://www.symantec.com/region/jp/sarci/data/w/w32.nimda.a@mm.html等
−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−