HOME情報セキュリティ情報セキュリティ対策ウイルス対策コンピュータウイルス・不正アクセスの届出状況[2005年7月分]について

本文を印刷する

情報セキュリティ

コンピュータウイルス・不正アクセスの届出状況[2005年7月分]について

2005年 8月 4日

独立行政法人 情報処理推進機構
セキュリティセンター(IPA/ISEC)

独立行政法人 情報処理推進機構(略称IPA、理事長:藤原 武平太)は、2005年7月のコンピュータウイルス・不正アクセスの届出状況をまとめました。
(届出状況の詳細PDF資料はこちら)

1. コンピュータウイルス届出状況  -詳細は別紙1を参照-

ウイルスの検出数(※1)は、約379万個と、6月の約385万個から1.7%の減少となりました。また、7月の届出件数(※2)は、4,536件となり、6月の4,928件から8.0%の減少となりました。

※1 検出数 : 届出にあたり届出者から寄せられたウイルスの発見数(通数)
※2 届出件数: 同じ届出者から寄せられた届出の内、同一発見日で同一種類のウイルスの検出が複数ある場合は、1日何通(個)でも届出1件としてカウントしたもの。
・ 7月は、寄せられたウイルス検出数約379万個を集約した結果、4,536件の届出件数となっています。

W32/Netsky の検出数は、総検出数の75%を占める約284万個(届出件数1,125件)となり、17ヶ月連続でトップの届出が寄せられました。続いて、W32/Mytob 約80万個(638件)、W32/Bagle 約5万個(284件)、W32/Lovgate 約4万個(249件)となりました。

また、スパイウェアによる被害発生を受け、7月には緊急対策情報を公開しました。

(1)新種ウイルスW32/Reatle(リアトル)出現!

W32/Reatle ウイルスが7月に出現しました。このウイルスは、メールの添付ファイルを介して感染を拡大する経路に加え、Windowsのセキュリティホールを悪用することで、ネットワーク経由でも感染します。

このウイルスに感染すると、以下の活動を行います。

(i)   バックドア(裏口)を設定する
   外部から侵入され、ファイルを削除されたり、情報を盗まれる可能性があります。

(ii)  特定のサイトへDoS(サービス妨害)攻撃を仕掛ける
被害者から加害者へとなってしまいます。

(iii) 他の不正プログラムを勝手にダウンロードする
スパイウェアなどがダウンロードされ、さらに深刻な被害をもたらす可能性があります。

バックドアから侵入

感染被害に遭わないために、ウイルス対策ソフトの活用、セキュリティホールの解消を日頃から継続することが重要です。

感染してしまった場合は、以下のサイトで専用の駆除ツールが提供されていますので、利用して対処してください。

(2)W32/Netsky が総検出数の約75%を占める!

W32/Netsky の検出数が約284万個と、6月の約266万個から約6.8%の増加となりました。また、3月に出現してから毎月増加していた W32/Mytob の検出数は、6月の約94万個から約80万個と、初めて減少に転じました。

W32/Netsky が継続して高い割合を占めている理由として、感染していることに気付かずに、ウイルスメールを撒き散らしている状況が推測されます。自分は大丈夫と思っている方も、念のため駆除ツールで検査することをお勧めします。また、知り合いの方にもこの状況をお知らせしてください。

駆除ツールを利用した検査方法(無償)
( Netsky ウイルスの感染の有無の検査と、感染していた場合の駆除が可能)

ウイルス検出数

ウイルス届出件数

2. スパイウェアについて

ウイルスばかりでなく、パソコン内の情報を収集して外部に送信するスパイウェアが出回っており、金銭的被害も発生しております。誤ってメールの添付ファイルを開いたり、ホームページ上から取り込んでしまわないよう注意が必要です。

例えば IPA に発見・被害報告が寄せられている主なスパイウェアには以下のものがあります。

Trojan/Lineage(リネージュ)
    オンラインゲームへのログインID、パスワードを収集し、外部に送信する
Trojan/Myftu(マイフツ)
    メールアドレスを取得し、外部に送信する

Trojan/Myftu(マイフツ)は、アダルトサイト等で画像をクリックすることでパソコンにダウンロードされ、メールアドレスが収集されます。収集されたアドレスが振り込め詐欺に利用されるケースが確認されています。
(このような被害に遭わないための対策は、本紙5.をご参照ください。)

3. コンピュータ不正アクセス届出状況(相談を含む)  -詳細は別紙2を参照-

(1)不正アクセス届出状況

7月の届出件数は53件であり、そのうち被害のあった件数は10件でした。

  2月 3月 4月 5月 6月 7月
被害あり 9 14 24 11 22 10
被害なし 54 45 24 83 2 43
計(件数) 63 59 48 94 24 53

(2)不正アクセス等の相談受付状況

不正アクセスに関連した相談件数は42件(うち9件は届出件数としてもカウント)であり、そのうち何らかの被害のあった件数は23件でした。

(3)被害状況

被害届出の内訳は、侵入3件メール不正中継1件DoS 2件アドレス詐称1件その他(被害あり)3件でした。また、相談の中には、パソコンに不正なプログラムを仕込まれた上にメールアドレスを盗まれて、振り込め詐欺のメールを送りつけられた、という事例がありました。<被害事例(vi)参照>

被害事例
[侵入]

(i) サーバ監視システムがメールサーバの高負荷状態を検知したため調査したところ、spam(*1)メールが大量に送信されていたことが、サーバのログから判明。その後の調査で、侵入者がSSH(*2)に使用するポート(*3)からサーバに侵入し、システム内部からspamメールを送信していたことが分かった。このポートは、保守作業のために開けており、かつ管理者権限ユーザアカウント(*4)のパスワードが容易に推測可能であったことが原因と思われる。(解説、対策については3. (4)参照)

(ii) インターネットとLANとの境界に設置したサーバの動作が遅くなっていた。数日後、アクセスログを調査したところ、数日間に渡って管理者権限ユーザのアカウントに対してパスワードアタックを仕掛けられていたことが判明。結果としてパスワードが奪取されてサーバへの侵入を許してしまい、さらにはフィッシングに悪用するためのWebコンテンツを勝手に設置させられてしまっていた。(解説、対策については3. (4)参照)

[DoS]

(iii) Webサーバの80番ポートに、不正なものと思われる大量のアクセスが集中したため、数時間の間、外部からWebコンテンツが閲覧不能になった。特定のIPアドレスからのアクセスを制限することで復旧した。

[メール不正中継]

(iv) 送信した覚えの無いメールが、宛先不明のエラーで返送されて来た。メールヘッダを調査したところ、自ドメイン内のメールサーバから送信されているらしいことが判明。原因は不明だが、メールサーバが不正中継に利用されている可能性があり、メールサーバの設定を再確認した。

[その他]

(v) 銀行のオンライン取引に必要なIDやパスワードが不正に奪取されたらしく、預金が勝手に他の口座へ送金されてしまった。その後の調査で、キーロガー(*5)と呼ばれるタイプのスパイウェアを埋め込まれたものと判明。さらに、Webブラウザの設定が勝手に変更されたり、保存していたファイルが破壊されていたりしており、キーロガー以外にも、何らかの不正なプログラムを埋め込まれていたと思われる。最終的にはパソコンを初期化して対応した。(解説、対策については3. (5)参照)

(vi) 不審なメールが届き、本文中にあったURLをクリックしたところ、アダルトサイトにジャンプした。画像をクリックしたらファイルダウンロードの確認画面が出たため、[OK]ボタンを押した。ダウンロードしたファイルをダブルクリックしたら、デスクトップ上に「請求書」アイコンが貼り付いていた。中身を見ると、「□□サイトへの入会ありがとうございます。○日以内に、△△円お振込みください」などと書かれていた。メールアドレスは知らせていないはずなのに、数分後から料金支払いの督促メールが届き始め、その後も毎週のように督促メールが届く。その後、ウイルスチェックしたところ、メールソフトに設定していた自分のメールアドレス情報を盗み出すタイプのスパイウェアが検出された。(解説、対策については3. (5)参照)

(4)解説と対策:サーバへの侵入防止対策を再度確認!

被害事例(i)、(ii)では、侵入の原因がパスワードクラックとなっています。推測されにくいパスワードを設定するのは当然ですが、不用意にポートを開けていると時間は掛かるものの比較的容易にパスワードが破られてしまいます。また、外部からアクセス可能なユーザアカウントに管理者権限を付与してあると、万が一侵入された場合のリスクが高くなってしまいます。今回のケースではさらに、侵入後に外部にspamメールを撒き散らしたりフィッシングサイトを設置されていたりと、加害者とみなされてしまいかねない状況になっていました。外部からアクセス可能にするユーザや経路は最小限に抑えると共に、アクセス権限が適切に付与されているか、確認しましょう

(ご参考)

(5)解説と対策:スパイウェアが引き金となって不正アクセス?!

被害事例(v)、(vi)では、情報を盗み出すタイプのスパイウェアが埋め込まれてしまったために、銀行口座情報やメールアドレスが外部に漏れてしまいました。このことが原因となって、銀行口座に不正にアクセスされて預金を引き出されてしまったり、「振り込め詐欺」メールが届き始めたりといった被害に遭ってしまいました。身に覚えの無いメールの添付ファイルを安易に開くことや出所の不明な怪しいファイルをダウンロードして開くことは避けるとともに、セキュリティソフトを導入するなどして被害予防対策をとりましょう。万が一、情報が漏れてしまっても、銀行口座の引出限度額設定などのサービスを利用していたり、「振り込め詐欺」メールに対して安易に反応したりしなければ、被害を最小限に食い止めることが出来ます
(スパイウェア対策については、本紙5.も参照してください。)

(ご参考)

4. インターネット定点観測での7月のアクセス状況  -詳細は別紙3を参照-

インターネット定点観測(TALOT2)によると、2005年7月の期待しない(一方的な)アクセスの総数は、10観測点で448,232件ありました。1観測点で1日あたり約500の発信元から約1,450件のアクセスがあったことになります。

TALOT2での1観測点の環境は、インターネットを利用される一般的な接続環境と同一なので、インターネットを利用される皆さんの環境へも同じくらいの一方的なアクセスがあると考えられます。言い換えれば、あなたのコンピュータは、毎日、平均して、500人の見知らぬ人から、3件ずつの不正と思われるアクセスを受けていると言うことになります。

定点観測のグラフ

今月の注意ポイント

  • SQL サーバを狙っていると思われる不正なアクセスが急増しています。システムの管理者は、サーバに脆弱性がないか確認し、常に最新の状態に保つことに心掛けて下さい。ただし、SQL サーバをインターネットに直接公開する必要はないと考えられます。明に公開しているシステムの管理者は、システムの見直しをお勧めします。
  • コンピュータの画面に、セキュリティ強化を促し、特定のWebサイトへ勧誘するメッセージ(以下に例)を表示させるアクセスが増加しています。このメッセージには操作指示が書かれていますが、従う必要はなく、表示された画面は×ボタン(矢印部分)で終了して下さい。ちなみに、Windows XPユーザの場合は、OSにより提供されるファイアウォール機能を有効にすると、これらのメッセージは表示されなくなります。

メッセンジャーサービスの例

  • ファイル共有を狙っていると思われるアクセスも、あいかわらず多いようです。インターネットに対してファイル共有を公開する理由はありませんが、パスワードの強化や脆弱性などを解消した、強固な環境で対応して下さい。

以上の問題に対して、詳細はこちらのサイトをご参照ください。

5. 今月の呼びかけ:「スパイウェアの脅威!」
――― 気付かぬうちに侵入されていませんか? ―――

インターネットバンキングの利用者をターゲットとしたスパイウェアが原因で不正送金を行われたり、メールアドレスを盗み出すスパイウェアが原因で勝手にアダルトサイトに登録されて利用料金請求のメールが送りつけられたりといった被害事例がありました。
この他にもオンラインゲームのログインパスワードを収集したり、パソコンの設定を勝手に変更してしまうなど、多数のスパイウェアが出回っています。

これらの被害に遭わないよう、以下のスパイウェア対策 5 箇条を参考に、対策を実施してください。

  1. スパイウェア対策ソフトを利用し、定期的な定義ファイルの更新およびスパイウェア検査を行う
  2. コンピュータを常に最新の状態にしておく
  3. 怪しいサイトや不審なメールに注意
  4. コンピュータのセキュリティを強化する
  5. 万が一のために、必要なファイルのバックアップを取る
詳細はこちらのサイトをご参照ください。 (ご参考)

~夏休み(長期休暇)における対策のお願い~

お盆休みや夏休みで、長期の一斉休暇を行う組織においては、長期休暇中にトラブルが発生した場合、対処が遅れて大きな被害になる可能性があります。

下記の「夏休み前に対策を」を参照して、休暇に入る前にセキュリティの設定を再確認することを推奨します。

届出の詳細については以下の PDF ファイルをご参照ください。 『他機関・ベンダーの各種統計情報は以下のサイトで公開されています。』

『用語の解説』

(*1) spam
ジャンクメール、バルクメール、また単に「迷惑メール」とも呼ばれる。商用目的かどうかによらず、宣伝や嫌がらせなどの目的で不特定多数に大量に送信されるメールのこと。
(*2) SSH (Secure SHell)
ネットワークを介して別のコンピュータにログインしたり、遠隔地のマシンでコマンドを実行したり、他のマシンへファイルを移動したりするために使うプロトコルもしくはプログラムのこと。ネットワーク上を流れるデータは暗号化されるため、インターネット経由でも一連の操作を安全に行なうことができる。
(*3) ポート(port)
コンピュータが外部との情報の受け渡しの際に使う、コンピュータ内の各種サービス窓口のこと。ポートは0から65535までの値が使われるため、ポート番号とも呼ばれる。
(*4)アカウント(account)
コンピュータやネットワーク上の資源を利用出来る権利のこと、または利用する際に必要なIDのこと。
(*5) キーロガー(key logger)
キーボードから入力された情報を記録するプログラムのこと。

お問い合わせ先:

独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC)
(ISEC:Information technology SEcurity Center)

TEL:03-5978-7527 FAX:03-5978-7518
E-mail: 電話番号:03-5978-7501までお問い合わせください。
URL:http://www.ipa.go.jp/security/