HOME情報セキュリティ情報セキュリティ対策ウイルス対策コンピュータウイルス・不正アクセスの届出状況[2005年4月分]について

本文を印刷する

情報セキュリティ

コンピュータウイルス・不正アクセスの届出状況[2005年4月分]について

2005年 5月10日

独立行政法人 情報処理推進機構
セキュリティセンター(IPA/ISEC)

独立行政法人 情報処理推進機構(略称IPA、理事長:藤原 武平太)は、2005年4月のコンピュータウイルス・不正アクセスの届出状況をまとめました。
(届出状況の詳細PDF資料はこちら)

1. コンピュータウイルス届出状況  -詳細は別紙1を参照-

4月の届出件数(*1)は、4,440件となり、3月の4,846件から8.4%の減少となりました。また、ウイルスの検出数(*2)は、約338万個と、3月の約262万個から29.0%の増加となりました。

*1 届出件数: 同じ届出者から寄せられた届出の内、同一発見日で同一種類のウイルスの検出が複数ある場合は、1日何通(個)でも届出1件としてカウントしたもの。
*2 検出数 : 届出にあたり届出者から寄せられたウイルスの発見件数(通数)
・ 4月は、寄せられたウイルス検出数約338万個を集約した結果、4,440件の届出件数となっています。

W32/Netsky1,009件となり、14ヶ月連続でトップの届出が寄せられました。続いて、W32/Mydoom 377件、W32/Bagle 330件、W32/Mytob 302件となりました。

(1)W32/Mytobの亜種が大量出現!

3月に初めて届出されたW32/Mytobウイルスは、多数の亜種が短期間に出現し、現在(5/10)までに70種類以上となっています。1日平均1種類が出現している計算になりますが、実際は4月にその多くが出現し、1ヶ月で約50種類となっています。(届出の大多数を占めているW32/Netsky出現時よりも、短い期間に多数の亜種が出現しています。)

その多くの亜種の中で、IPAでは、4月初めに出現したMytob.Xの検出数が最も多くなっています。

IPAでのMytob検知件数

亜種が短期間に出現すると、ウイルス定義ファイル(パターンファイル)が対応する前に、新しいウイルスの亜種を受信する可能性が高くなります。ウイルス対策ソフトで検出されないからといって、添付ファイルを開くと、ウイルスに感染してしまいます。

こまめにウイルス定義ファイルを更新することを心がけ、それでも怪しい添付ファイルは開かない等、予防対策を継続して実施してください。

亜種とは?
亜種とは、最初に発見された元のウイルス(原型)に対して機能の追加や動作を変更するなどの改変がなされ、作り出されたものです。ウイルス定義ファイル(パターンファイル)を更新しないと新しい亜種に対応できず、検出することができないケースがほとんどですので、ウイルス対策ソフトを常に最新の状態に保つことが重要です。

W32/Mytobウイルスは、メールの添付ファイルを介して感染を拡大する機能に加え、Windowsのセキュリティホールを悪用し、コンピュータをネットワークに繋いだだけで感染する機能を持つウイルスです。

感染すると、以下の活動を行います。特にバックドアから侵入された場合は、ファイルの削除や不正プログラムの埋め込みなど、様々な被害が発生する危険性があります。

(i) 大量のウイルスメールを送信する(マスメール型)
(ii) バックドアを仕掛け、外部からパソコンを操作できるようにする
(iii) ワクチンベンダー等のホームページの閲覧を妨害する

W32/Mytobウイルスに感染しないためには、

(i) 不審な添付ファイルは開かない
(ii) ウイルス対策ソフトを最新の状態で使用する
(iii) セキュリティホールを解消する(Windows Updateを実施する)

といった予防対策を実施してください。

もしウイルス対策ソフト等で検査した結果、感染していた場合は、以下のサイトにて無償の駆除ツールが提供されていますので、駆除を実施してください。

なお、W32/Mytobウイルスによりサイトにアクセスできない場合は、感染していないパソコンで駆除ツールをダウンロードし、FDやUSBメモリ等でコピーして、感染したパソコン上で実行してください。

駆除ツールを利用した検査および駆除方法(無償)
( W32/Mytob ウイルスの感染の有無の検査と、感染していた場合の駆除が可能)

(2)W32/Netsky が総検出数の約9割を占める

W32/Netskyの検出数が約308万個と、3月の約230万個から33.9%の増加となりました。また、全体の検出数(約338万個)も29%の増加となりました。

ウイルス検出件数

ウイルス届出件数

2. コンピュータ不正アクセス届出状況  -詳細は別紙2を参照-

4月の総届出件数は48件であり、3月の59件と比較して約19%の減少となりました。そのうち被害のあった件数は24件であり、3月の14件より約71%増加しました。

(1)被害状況

被害届出の内訳は、侵入8件、DoS 8件、アドレス詐称1件、その他7件(成りすまし1件、不正プログラムの埋め込みの疑い4件、不正なネットワークモニタリングの疑い2件)でした。
侵入8件のうち、Webサーバに侵入されWebコンテンツを改ざんされたという被害事例が3件あり、内1件は日中情勢に関連してサイバー攻撃を受けたと思われるものでした。

被害事例
[侵入]

(i) OS(WindowsやLinuxなど)の脆弱性を突かれてサーバに侵入され、不正にファイルを置かれたりレジストリを変更されたりした。
(ii) サーバ内に不正なアカウントを作成され、さらに不正なプログラムファイルを置かれて動作させられていた。
(iii) 管理者権限を不正に奪取されてWebサーバに侵入され、不正にファイルを置かれたりWebページを改ざんされたりした。データベースシステムに対するSQL(*1)インジェクション攻撃(*2)が原因。

[DoS]

(iv) SSH(*3)で使用するポート(*4)への不正なアクセスが多発したため、サーバがダウンした。

[成りすまし]

(v) インターネットオークションでID・パスワードを、本人に成りすまされて使われ、不正に商品を落札された。

[不正プログラム埋め込みの疑い]

(vi) 不正なプログラムがいつの間にか埋め込まれており、意図しないインターネット接続が実行されようとしていた。パソコンの設定を変えられていたり、見覚えの無いフォルダが作成されていたりした。

(2)Webアプリケーションの運用に注意!

データベースシステムに対するSQLインジェクション攻撃によって管理者権限を奪取され、Webページを改ざんされた被害では、Webアプリケーションによる、利用者からの問合せデータ(クエリ)内容チェックが不完全であるという脆弱性があったことが根本的な原因となりました。攻撃者がその脆弱性を突くために、問合せデータ中に、管理者用ユーザIDのパスワードを変更するような不正なSQL文を意図的に混ぜ込んでいたものと思われます。この例に限らず、利用者からの入力を受け付けるWebアプリケーションでは、利用者の入力内容に対するチェックが妥当かどうか、再確認しましょう。

(ご参考)

(3)IDやパスワードを盗まれないように!

インターネットオークションで使うID・パスワードを不正に使われた被害では、住所、氏名やネット決済情報などの個人情報も同時に入手されていたと推測され、さらに被害が拡大する恐れがありました。原因として、ID・パスワードの設定不備や管理不備といった理由の他に、最近では不正なプログラムによってキー操作が読み取られてしまうこともあります。
こうしたリスクを少しでも回避するために、自分が普段使っていないパソコンでの、個人情報の入力やID・パスワードの入力が必要なページの閲覧は、控えるべきでしょう。特に、インターネットカフェなど、公共の場に設置されているパソコンでの、そのようなページの閲覧は、避けましょう

(4)Webサーバの管理を怠りなく!

Webサーバに侵入され、Webコンテンツを改ざんされたり不正なプログラムを埋め込まれたりする被害が相次いでいます。フィッシングに悪用するための偽コンテンツを設置されて二次被害が生じる可能性もあります。特に最近は、政治的な理由から無差別にサイバー攻撃を受ける可能性も高まっているようです。
しかし、これらの被害は、管理者のIDやパスワードの管理、OSやWebアプリケーションのセキュリティパッチ適用など、基本的な対策で防げることがほとんどです。被害の拡大を防ぐためにも、改めてサーバ管理を再確認しましょう。

(ご参考)

3. インターネット定点観測での4月のアクセス状況  -詳細は別紙3を参照-

インターネット定点観測(TALOT2)では、2005年4月の期待しない(一方的な)アクセスの総数は、10観測点で476,320件ありました。これは、1観測点で1日あたり約1,600件のアクセスがあったことになります。
TALOT2での1観測点の環境は、インターネットを利用される一般的な接続環境と同一なので、インターネットを利用される皆さんの環境へも同じくらいの一方的なアクセスがあると考えられます。

インターネットを利用される皆さんのネットワーク環境において、以下に示す対策をお勧めします。

  • ルータやファイアウォールでの継続的な防御
  • コンピュータの状態を最新なものにしておくためのパッチの適用(WindowsUpdate等)や、使用するアプリケーションのバージョンアップ
  • ウイルス対策ソフトやウイルス対策ベンダーが提供するオンラインウイルス検査による、定期的なウイルスチェックの実施
  • サーバ等を利用されている方は、不要なサービスの停止
    (詳細は「SOHO・家庭向けの情報セキュリティ対策マニュアル(Ver1.20)」
    http://www.ipa.go.jp/security/fy14/contents/soho/mokuji.html
    を参照下さい)

4. 今月の呼びかけ:「セキュリティホールを解消しよう!」
――― 被害を未然に防ぐために ―――

近年の傾向として、セキュリティホール(安全上の欠陥)が公開されてから、その欠陥を悪用する手法が登場するまでの期間が短縮されてきています。2001年頃は、半年~数年かかっていたのが、2003年頃には、10日間~数週間という期間になってきています。

4月13日に公開されたWindowsのセキュリティホール(Microsoft WindowsのTCP/IPの脆弱性 (MS05-019))を悪用する手法も4月28日には現れており、修正プログラムを適用する等の対策を実施していないと、いつ被害にあってもおかしくない状況です。

セキュリティホールが公開されたら、早急に修正プログラムの適用、もしくは、回避策を実施することが被害を未然に防ぐための重要な対策になります。下記サイトなどを参考に、お使いのパソコンを最新の状態に保つようにしてください。

(ご参考) 届出の詳細については以下のPDFファイルをご参照ください。

『用語の解説』

(*1) SQL (Structured Query Language)
リレーショナルデータベースマネジメントシステム(RDBMS)において、データの操作や定義を行うための問合せ言語のこと。構造化問い合わせ言語とも言う。元々はIBM社が作った言語であるが、現在ではアメリカ規格協会(ANSI)やJISで標準化されている、世界標準規格。
(*2) SQLインジェクション攻撃
データベースに対する問合せのデータ中に、攻撃者が意図的にSQL文を混ぜ込んでおき、SQLサーバ内部でそのSQLコマンドを不正に実行させてしまう攻撃手法のこと。
(*3) SSH (Secure SHell)
ネットワークを介して別のコンピュータにログインしたり、遠隔地のマシンでコマンドを実行したり、他のマシンへファイルを移動したりするために使うプロトコルもしくはプログラムのこと。ネットワーク上を流れるデータは暗号化されるため、インターネット経由でも一連の操作を安全に行なうことができる。
(*4) ポート
コンピュータが外部との情報の受け渡しの際に使う、コンピュータ内の各種サービス窓口のこと。ポートは0から65535までの値が使われるため、ポート番号とも呼ばれる。

お問い合わせ先:

独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC)
(ISEC:Information technology SEcurity Center)

TEL:03-5978-7527 FAX:03-5978-7518
E-mail: 電話番号:03-5978-7501までお問い合わせください。
URL:http://www.ipa.go.jp/security/