コンピュータ不正アクセスの届出状況について
W32/MSBlaster 史上最大規模の被害を引き起こす
2003年 9月3日
情報処理振興事業協会
セキュリティセンター(IPA/ISEC)
情報処理振興事業協会セキュリティセンター(IPA/ISEC)は、8月のコンピュータ不正アクセスの届出状況をまとめた。
1.コンピュータ不正アクセス届出状況
8月の届出件数は45件であり、今年最多の件数となった。
中でも、ワーム感染が4件、ワーム形跡が13件で、W32/MSBlaster及びW32/Welchiによる感染被害及びアクセス形跡が多かった。
企業内LANで感染が広まり、ワームによる不要なトラフィックでネットワークが混雑し業務に支障をきたしたと言う届出、ワームに感染しなくても外部からのアクセスによりPCの動作が重くなったという届出もあった。
なお、8月の届出のうち被害があった届出件数は17件で、その内訳は、侵入被害9件、ワーム感染4件、メール不正中継1件、DoS(サービス妨害)1件、その他(個人情報発信警告など)2件であった。
最近の不正アクセスの傾向として、ワームやツールなどによる自動攻撃が多くなっている点、またこれらのワームやツールは既知の脆弱性を突くものが多い点が挙げられる。更に、自身のコンピュータが被害に遭うだけでなく、踏み台とされたケースも多くなっている。8月の被害届出のうち、侵入被害の6件が踏み台となり他サイトへ攻撃していたことが確認できたものであった。
ワームも含めて不正アクセスにより、自身のコンピュータが被害に遭うだけでなく、他サイトへも被害を及ぼす可能性があることを改めて認識して対策を実施して頂きたい。
2. 今月の呼びかけ:「ワームの駆除はしましたか?」
− 感染していても異常が見えない場合も… −
一見、W32/MSBlaster や W32/Welchi による被害への対処が浸透し、終息しつつあるように思えるが、IPA/ISEC環境の観測データ(下図)によると、これらのワームによると推測される不正アクセスはほとんど減少していない。
セキュリティホールを修正すると再起動などの異常は起きなくなるので、ユーザは問題が解決したと思うかもしれない。しかし、これらのアクセスが一向に減少していない状況から、パソコン中に残っているワームから、外部への攻撃が継続して行われていると考えられる。つまり、『修正プログラムは適用したがワームの駆除を行っていないユーザが多数存在する』と推測される。
感染に気付かずに他者に対しての攻撃が継続して行われると、インターネット上に攻撃データが溢れ、深刻な障害が起きる可能性がある。全ての Windows ユーザは、コンピュータに異常な症状が見られない場合でも、以下のサイトにてウイルスチェックを行い、感染の有無を確認しよう。
- トレンドマイクロ (ウイルスバスターオンラインスキャン):
http://www.trendmicro.co.jp/hcall/scan.htm - シマンテック (ウイルススキャン):
http://www.symantec.com/region/jp/securitycheck/index.html
もし、感染が確認された場合は、下記サイトにW32/MSBlasterワーム、W32/Welchiワームに感染した場合の復旧手順をそれぞれ掲載しているので、参照されたい。
- 「W32/MSBlaster」ワームに関する情報
http://www.ipa.go.jp/security/topics/newvirus/msblaster.html - 「W32/Welchi」ワームに関する情報
hhttp://www.ipa.go.jp/security/topics/newvirus/welchi.html
3.不正アクセス届出の詳細
1) 届出種別の内訳は次のとおりである。
| 3月 | 4月 | 5月 | 6月 | 7月 | 8月 | |
|---|---|---|---|---|---|---|
| 侵入 | 4 | 6 | 3 | 12 | 8 | 9 |
| アクセス形跡(未遂) | 16 | 24 | 23 | 23 | 17 | 15 |
| ワーム感染 | 0 | 0 | 0 | 0 | 0 | 4 |
| ワーム形跡 | 5 | 2 | 3 | 2 | 0 | 13 |
| アドレス詐称 | 0 | 1 | 0 | 3 | 4 | 0 |
| SPAM | 2 | 1 | 0 | 0 | 0 | 0 |
| メール不正中継 | 0 | 1 | 1 | 0 | 1 | 1 |
| DoS | 0 | 0 | 2 | 1 | 2 | 1 |
| その他 | 2 | 1 | 2 | 2 | 1 | 2 |
| 合計(件) | 29 | 36 | 34 | 43 | 33 | 45 |
2)届出の届出者別件数は次のとおりである。個人ユーザからのものが、約60%占めている。
| 届出者 | 届出件数 | |||||
|---|---|---|---|---|---|---|
| 2003/8 | 2003年合計 | 2002年合計 | ||||
| 一般法人ユーザ | 10 | 22.2% | 53 | 18.5% | 151 | 24.4% |
| 教育・研究機関 | 8 | 17.8% | 36 | 12.6% | 54 | 8.7% |
| 個人ユーザ | 27 | 57.6% | 197 | 68.9% | 414 | 66.9% |
3)届出の被害原因別件数は次のとおりである。設定不備が原因の被害が最も多かった。
| 原因 | 届出件数 | |||||
|---|---|---|---|---|---|---|
| 2003/8 | 2003年合計 | 2002年合計 | ||||
| ID、パスワード 管理不備 |
0 | 0.0% | 3 | 3.1% | 3 | 1.3% |
| 古いバージョン・ パッチ未導入 |
6 | 35.3% | 21 | 21.6% | 50 | 22.2% |
| 設定不備 | 4 | 23.5% | 18 | 18.6% | 33 | 14.7% |
| 不明 | 5 | 29.4% | 32 | 33.0% | 70 | 31.1% |
| 原因なし | 2 | 11.8% | 23 | 23.7% | 69 | 30.7% |
4. 8月のネットワーク観測状況
IPAが試験的に運用しているインターネット公開サーバー(IPアドレス範囲6)の各ポートへのアクセス状況を観測したデータ。
注:試験的に運用しているインターネット公開サーバー(IPアドレス範囲6)へのアクセス数であり、 検出の割合は必ずしも実状を表しているとはいえません。
5.8月に掲載した脆弱性情報
8月にIPAにて掲載した脆弱性に関連する他組織からのお知らせ。
マイクロソフト セキュリティ情報
- Internet Wxplorer 用の累積的な修正プログラム(MS03-032)
- Microsoft Data Access Components のセキュリティアップデート(MS03-033)
- MDAC 機能の未チェックのバッファにより、システムが侵害される(MS02-040)更新)
CIAC
- wu-ftpd にバッファオーバーフローの脆弱性
Oracle
- Oracle9i の XML データベースにバッファオーバーフローの脆弱性
詳細は以下を参照。
「脆弱性関連情報2003年8月分」
http://www.ipa.go.jp/security/news/news0308.html
コンピュータ不正アクセス被害の届出制度について
コンピュータ不正アクセス被害の届出制度は、経済産業省のコンピュータ不正アクセス対策基準に基づき、’96年8月にスタートした制度であり、同基準において、コンピュータ不正アクセスの被害を受けた者は、被害の拡大と再発を防ぐために必要な情報をIPAに届け出ることとされている。
IPAでは、個別に届出者への対応を行っているが、同時に受理した届出等を基に、コンピュータ不正アクセス対策を検討している。また受理した届出は、届出者のプライバシーを侵害することがないように配慮した上で、被害等の状況を分析し、検討結果を定期的に公表している。
コンピュータ不正アクセス対策基準
- 通商産業省告示第362号 平成 8年 8月 8日制定
- 通商産業省告示第534号 平成 9年 9月24日改訂
- 通商産業省告示第950号 平成12年12月28日改訂
問い合わせ先:
IPAセキュリティセンター(IPA/ISEC)
(ISEC:Information technology SEcurity Center)
| TEL: | 03-5978-7508 |
| FAX: | 03-5978-7518 |
| E-mail: |  |
| 相談電話: | 03-5978-7509 |
| URL: | http://www.ipa.go.jp/security/index.html |
更新履歴
| 2003年 9月 3日 | 掲載。 |
|---|