HOME情報セキュリティ情報セキュリティ対策ウイルス対策コンピュータウイルス・不正アクセスの届出状況[2005年10月分]について

本文を印刷する

情報セキュリティ

コンピュータウイルス・不正アクセスの届出状況[2005年10月分]について

2005年 11月 4日

独立行政法人 情報処理推進機構
セキュリティセンター(IPA/ISEC)

独立行政法人 情報処理推進機構(略称IPA、理事長:藤原 武平太)は、2005年10月のコンピュータウイルス・不正アクセスの届出状況をまとめました。
(届出状況の詳細PDF資料はこちら)

1. コンピュータウイルス届出状況  -詳細は別紙1を参照-

ウイルスの検出数(※1)は、約319万個と、9月の約323万個から1.4%の減少となりました。また、10月の届出件数(※2)は、4,071件となり、9月の4,723件から13.8%の減少となりました。

※1 検出数 : 届出にあたり届出者から寄せられたウイルスの発見数(個数)
※2 届出件数: 同じ届出者から寄せられた届出の内、同一発見日で同一種類のウイルスの検出が複数ある場合は、1日何個検出されても届出1件としてカウントしたもの。
・ 10月は、寄せられたウイルス検出数約319万個を集約した結果、4,071件の届出件数となっています。

検出数の1位は、W32/Netsky で総検出数の約8割にあたる約246万個、2位は W32/Mytob で約59万個、3位は W32/Bagle で約4万個となっています。

(1)セキュリティホールを悪用するウイルスに注意!

10月に初めて届出のあった W32/LicumW32/Fanbot は、Windows のセキュリティホールを悪用して感染を拡大します。セキュリティホールの存在するパソコンでは、ネットワークに接続しているだけで感染する可能性があります。

セキュリティホールを悪用することでネットワークを介して感染するイメージ
セキュリティホールを悪用することでネットワークを介して感染するイメージ

また、W32/Fanbot は、ボット(*1)としての機能を有しており、感染すると、外部からの指令を受けて、スパム(*2)メールの発信元として利用されたり、特定のサイトを攻撃するための踏み台にされたりする危険性があります。

ボット対策のしおりの表紙イメージ

IPA では、既に公開しているボット対策のしおりを改訂しました。ボット対策の参考としてご活用ください。

Windows のセキュリティホールは、10月にも複数公開されており、それを悪用した攻撃やウイルスが出現する可能性があります。感染被害に遭わないための予防対策として、セキュリティホールの解消は必ず実施しておきましょう。

IPAの緊急対策情報

(2)W32/Netsky が総検出数の約8割を占める!

W32/Netsky の検出数が約246万個と、9月の約256万個から3.9%の減少となりましたが、依然として総検出数の約8割を占める状況となっています。また、W32/Mytob の検出数は、減少傾向にありましたが、複数の亜種が出現したことにより、9月の約51万個から約59万個と、16.2%の増加に転じました。

ウイルス検出数

ウイルス届出件数

2.スパイウェアについて

アダルトサイト等で画像をクリックしただけでパソコンにダウンロードされ、メールアドレスが収集されてしまうものや、オンラインゲームのID、パスワードを盗もうとするものなど、様々なスパイウェア(*3)が出回っています。

スパイウェアのイメージ

一般に、ウイルスに感染したり、スパイウェアに侵入されたりしても、見た目にわかる症状がないため、気づかないケースがほとんどです。このようなスパイウェアによる被害に遭わないよう、以下の対策を実施してください。

(1) スパイウェア対策ソフトを利用し、定期的な定義ファイルの更新およびスパイウェア検査を行う
(2) コンピュータを常に最新の状態にしておく [ まめに修正プログラムを適用する ]
(3) 怪しいサイトや不審なメールに注意
(4) コンピュータのセキュリティを強化する
(5) 万が一のために、必要なファイルのバックアップを取る

スパイウェア対策のしおり

IPA では、既に公開しているスパイウェア対策のしおりを改訂しました。

上述の各対策について、詳細に解説しておりますので、スパイウェア対策の参考としてご活用ください。

スパイウェア対策のしおり

3. コンピュータ不正アクセス届出状況(相談を含む)  -詳細は別紙2を参照-

不正アクセスの届出および相談の受付状況

  5月 6月 7月 8月 9月 10月
届出(a) 計 94 24 53 41 31 22
  被害あり(b) 11 22 10 12 16 15
被害なし(c) 83 2 43 29 15 7
相談(d) 計 47 37 43 43 30 35
  被害あり(e) 25 22 24 23 16 25
被害なし(f) 22 15 19 20 14 10
合計(a+d) 141 61 96 84 61 57
  被害あり(b+e) 36 44 34 35 32 40
被害なし(c+f) 105 17 62 49 29 17

(1)不正アクセス届出状況

10月の届出件数は22件であり、そのうち被害のあった件数は15件でした。

(2)不正アクセス等の相談受付状況

不正アクセスに関連した相談件数は35件(うち5件は届出件数としてもカウント)であり、そのうち何らかの被害のあった件数は25件でした。

(3)被害状況

被害届出の内訳は、侵入10件、メール不正中継1件、その他(被害あり)4件でした。
なお、被害はありませんでしたが、SSH(*4)で使用するポート(*5) への攻撃および侵入未遂は4件もあり、今後も注意が必要です。

被害事例

[侵入]
(i) ユーザ用ではないアカウントの悪用

UPS(無停電電源装置)管理用のアカウント(*6)から侵入されたことが判明し調査したところ、バックドアらしきプログラムを発見。さらに、ルートキット(*7)の存在が疑われたが、巧みにログ(*8)を操作されて証拠を消されていたため、詳細は不明。しかし、侵入者が管理者権限を利用可能になっていたことが分かった。UPS 管理用アカウントとパスワードが初期設定から変更されていなかったことが原因。




機器管理用のアカウントやパスワードは、メーカによって似通っているため、パスワードクラッキング(*9)ツールに最初から組み込まれていることが多いと言われています。何か機器を導入した場合、管理用パスワードはもちろん、出来ればアカウント名も変更しておいた方が良いでしょう。アカウントを管理する際は、人間に付与したものだけではなく、このように機器管理用に割り振ったアカウントも忘れずに管理するようにしましょう


(ii)  既知の脆弱性を突かれての侵入


ログをチェックしていたところ、自身のサーバに接続している不審なプロセスを発見。その後の調査で、自身のウェブサーバ上で運用しているブログシステムの「XML-RPC のライブラリ(PHP インプリメンテーション)の脆弱性」を突かれて侵入され、Perl のスクリプトを設置されていたことが判明。ブログシステムを、脆弱性が回避できる版までバージョンアップすることで対応。




普段から、お使いのプログラムについての脆弱性について、情報収集および適切な対応を怠り無く実施しましょう。今回のように、広く使われるモジュールに脆弱性が存在する場合、影響を受けるプログラムは多くなります。自身が運用しているプログラムが該当するかどうかを、注意深くチェックしましょう

(ご参考)
(iii) SSHで使用するポートへの攻撃(侵入未遂)

SSH で使用するポートに国内外から非常に多くのパスワードクラッキング攻撃を受けていたが、SSH のログインには公開鍵認証(*10)をすることを義務付けてあるため、侵入は一切許していない。




SSH で使用するポートへの攻撃を、ログイン時の認証を強化することによって容易に防御できている、良い例です。RSA 公開鍵式暗号を利用してユーザ個人の認証を行う方式である RSA ユーザ認証は、SSH を利用した暗号化認証では最もセキュアなものです。SSH 運用時には、ログインの際に強固な認証を採用することを推奨します

(ご参考)
[メール不正中継]
(iv) メール不正中継ブラックリストに掲載されたためメール送信不可

メールが相手に届かないようだとの連絡があった。調査の結果、自身が運用しているメールサーバが不正中継を許してしまっていたため、送信先メールサーバから全てのメールを受信拒否されていたことが判明。




自身の運営するメールサーバがスパムメールの不正中継に利用されていたりすると、今回のケースのように通常業務に支障が出ることもあります。それは、「メール不正中継可能なサイトのリスト」に掲載されているサイトからのメールを受信拒否するように設定されているメールサーバが存在するためです。もし、リストに掲載されてしまった場合は、そのリストを掲載しているサイト宛に削除を依頼することになります。

(ご参考)

4.相談受付状況

今月も、アダルトサイトを閲覧した後に「振り込め詐欺」のメールを送りつけられるなど、いわゆる『ワンクリック不正請求』に関する相談が、9月に引き続き多数ありました。ここ数ヶ月の間で急増しています<7月:28件、8月:83件、9月:80件、10月:108件>。

IPAで受け付けた全ての相談件数の推移

  5月 6月 7月 8月 9月 10月
合計 461 511 554 629 554 606
  自動応答システム 242 289 337 376 337 357
電話 118 143 128 179 144 165
電子メール 92 67 84 67 72 82
FAX・他 9 12 5 7 1 2

※IPA では、コンピュータウイルス・不正アクセス、その他情報セキュリティ全般についての相談を受け付けています。
メール: 電話番号:03-5978-7501までお問い合わせください。(ウイルス)、電話番号:03-5978-7501までお問い合わせください。(不正アクセス)
電話番号: 03-5978-7509(24時間自動応答、ただし IPA セキュリティセンター員による相談受付は休日を除く月~金、10:00~12:00、13:30~17:00のみ)
FAX: 03-5978-7518 (24時間受付)
※ 「自動応答システム」 : 電話の自動音声による応対件数
    「電話」 : IPA セキュリティセンター員による応対件数
※ 合計件数には、「不正アクセスの届出および相談の受付状況」における『相談(d) 計』件数を内数として含みます。

主な相談事例は以下の通りです。

(i) アダルトサイトでワンクリックしたら・・ Part 1

相談 アダルトサイトで画像をクリックしたとたん、「登録ありがとうございます」と表示され、"請求書"アイコンがデスクトップに貼り付いた。その後、数分ごとに支払い督促の画面が出現し、他の操作が妨げられる。ウイルスでしょうか。
回答 ウイルスもしくはスパイウェアなどの不正プログラムが埋め込まれています。ウイルス対策ソフトの定義ファイルを更新してパソコン内をスキャン、もしくは無償のオンラインスキャンで、パソコン内をウイルスチェックしましょう。もし何か検出されたら、削除してください。

(ii) アダルトサイトでワンクリックしたら・・ Part 2

相談 ネットサーフィン中、アダルトサイトで画像をクリックしたとたん、「登録ありがとうございます」と表示されたが、登録した覚えは無いため無視していた。その後、自分のメールアドレス宛に料金請求の内容のメールが届いた。相手には、メールアドレスを知らせた覚えは無いので、不正アクセスされて情報を盗まれたのでしょうか。
回答 クリックした際、お使いのパソコンからメールソフトに設定されたメールアドレス情報を盗み出すタイプのウイルスもしくはスパイウェアなどの不正プログラムが埋め込まれたためと思われます。不正アクセスではありません。まずは、ウイルスチェックやスパイウェアチェックを行ってみてください。


(iii) ウイルスが削除できない

相談 ウイルス対策ソフトを利用していて、ウイルスを検出した。当該ファイルを削除しようとしても「使用中のため削除できません」といった内容のエラーが表示され、削除できない。どのように対処すればよいでしょうか。
回答 削除できないのは、ウイルスが動作中のためです。タスクマネージャなどでウイルスの動作を止めるか、セーフモードで再起動してから、再度削除処理を行ってみてください。

(iv) ウイルスは検出されないけど・・

相談 パソコンを立ち上げるたびに、身に覚えの無い英文の警告ウインドウが出て来たり、ウェブブラウザに入れた覚えの無いツールバーがあったりして、明らかに動作がおかしい。ウイルス対策ソフトを最新の状態に更新しても、何も検出されません。どのように対処すればよいでしょうか。
回答 Windows XP や Me であれば、「システムの復元」機能を使うと、動作がおかしくなる以前の状態に戻すことができる場合があります。Windows XP であれば、
[スタート]-[すべてのプログラム]-[アクセサリ]-[システムツール]-[システムの復元]で、実行できます。

5.インターネット定点観測での10月のアクセス状況  -詳細は別紙3を参照-

インターネット定点観測(TALOT2)によると、2005年10月の期待しない(一方的な)アクセスの総数は、10観測点で544,645件ありました。1観測点で1日あたり402の発信元から1,757件のアクセスがあったことになります。

TALOT2での1観測点の環境は、インターネットを利用される一般的な接続環境と同一なので、インターネットを利用される皆さんの環境へも同じくらいの一方的なアクセスがあると考えられます。言い換えれば、あなたのコンピュータは、毎日、平均して、402人の見知らぬ人(発信元)から、発信元一人当たり4~5件の不正と思われるアクセスを受けていると言うことになります。これは、2005年9月に比べて、アクセス数で増加、発信元数で減少という状況です。

定点観測システムのグラフ

今月の注意ポイント

  • あいかわらず、Windows の脆弱性を狙っていると思われる不正なアクセスが多いようです。これらのアクセスの多くは、ボットに感染したコンピュータから送信されていると思われます。特にアクセス数の多い135(TCP)ポート,445(TCP)ポートへのアクセスは、Windows の脆弱性を狙っています。
  • システムの管理者は、サーバに脆弱性がないか確認し、常に最新の状態に保つことに心掛けて下さい。
  • 一般のコンピュータ利用者は、これらのボットに感染しないために、自分のコンピュータを最新の状態に保ち、ウイルス対策ソフト等を有効利用することをお勧めします。
  • 特に被害は出ないと考えられますが、スパム的なポップアップメッセージをコンピュータの画面に強制表示するアクセスが増加しています。ルータ設定やファイアウォール(パーソナルファイアウォール)で防ぐことができますので、メッセージが表示される場合は、ネットワーク接続環境を見直して下さい。
以上の情報に関して、詳細はこちらをご参照ください。

6.今月の呼びかけ:「巧妙化するワンクリック不正請求の手口!!」
――― そのクリック、本当に大丈夫ですか?! ―――

アダルトサイトで画像をクリックしただけで料金を請求されてしまうという、いわゆる『ワンクリック不正請求』の被害ですが、ここ数ヶ月の間で激増しています。IPA に寄せられた『ワンクリック不正請求』に関する相談は、ついに

月間100件を超えました。 <7月:28件、8月:83件、9月:80件、10月:108件

内容的には、以下の2つに大別されます。

  1. 「登録ありがとうございます。料金は△△円です。あなたのIPアドレスはx.x.x.x、プロバイダは○○です。」などと、単に脅しの画面を表示されるだけのケース
  2. 不正なプログラムを埋め込まれ、パソコンのデスクトップに数分ごとに料金請求書画面が表示されるなどしてしまうケース

特に最近は上記 B)の中でも、ウイルス対策ソフトやスパイウェア対策ソフトで検出できないケースが目に付きます。この場合は不正なプログラムを探して削除するのが非常に困難であり、最悪の場合にはパソコンを初期化するしかない、ということになります。

では、このようなプログラムの侵入は、防ぐことはできないのでしょうか?

実は不正なプログラムは、あなた自身がダウンロードを許可している場合がほとんどなのです。特に、次のような画面が出て来た時には要注意です。

警告メッセージ

このような問い合わせ画面が出て来た時は、安易に[OK]や[実行する]をクリックしてはいけませんクリックした次の瞬間に、"請求書"があなたのパソコンに出現しているかも知れません。落とし穴にハマる前に、画面に書かれていることを良く読み、少しでも"あやしい"と感じたら、その先には進まない方が賢明です。右上のX印をクリックし、ウインドウを閉じましょう。

(ご参考) 届出の詳細については以下の PDF ファイルをご参照ください。 『他機関・ベンダーの各種統計情報は以下のサイトで公開されています。』

『用語の解説』

(*1) ボット (bot)
コンピュータウイルスの一種で、コンピュータに感染し、そのコンピュータを、ネットワーク(インターネット)を通じて外部から操ることを目的として作成されたプログラム。
(*2) スパム (spam)
ジャンクメール、バルクメール、また単に「迷惑メール」とも呼ばれる。商用目的かどうかによらず、宣伝や嫌がらせなどの目的で不特定多数に大量に送信されるメールのこと。
(*3) スパイウェア (spyware)
利用者の個人情報やアクセス履歴などの情報を詐取し、利用者以外のものに自動的に送信するソフトウェア。
(*4) SSH (Secure SHell)
ネットワークを介して別のコンピュータにログインしたり、遠隔地のマシンでコマンドを実行したり、他のマシンへファイルを移動したりするために使うプロトコルもしくはプログラムのこと。ネットワーク上を流れるデータは暗号化されるため、インターネット経由でも一連の操作を安全に行なうことができる。
(*5) ポート (port)
コンピュータが外部との情報の受け渡しの際に使う、コンピュータ内の各種サービス窓口のこと。ポートは0から65535までの値が使われるため、ポート番号とも呼ばれる。
(*6) アカウント (account)
コンピュータやネットワーク上の資源を利用出来る権利のこと、または利用する際に必要なIDのこと。
(*7) ルートキット (rootkit)
攻撃者が、コンピュータへの侵入後に利用するツール群をパッケージ化したもののこと。侵入後にインストールされる。ログの消去・バックドア設置・パスワードクラックツール・パケット盗聴ツール・DoS攻撃プログラムなどが含まれることが多い。
(*8) ログ (log)
コンピュータの利用状況やデータ通信の記録のこと。一般的に、操作を行った者のIDや操作日時、操作内容などが記録される。
(*9) パスワードクラッキング (password cracking)
他人のパスワードを、解析するなどして探り当てること。総当り攻撃や辞書攻撃といった手法があり、クラッキング用のプログラムも存在する。
(*10) 公開鍵認証
公開鍵と秘密鍵のペアでユーザ個人の認証を行う方式のこと。公開鍵はサーバ側で管理し、秘密鍵は個人で管理し、これらによりユーザ認証を行う。

お知らせ

『情報セキュリティ対策ベンチマークシステム』の紹介

いぱくん

IPAでは、「情報セキュリティ対策ベンチマークシステム」を Web サイト上に公開しております。

本システムは、企業を対象としたもので、セキュリティ対策状況及び企業情報に関する設問(計40問)に答えることにより、セキュリティ対策の取組状況を自己採点できるシステムです。

診断結果は、「貴社のスコア」と「望まれる水準」とが同時に表示され、各社が優先的に取り組むべきセキュリティ対策項目が明らかになります。また、推奨される取り組み事例も提示しますので、今後の対策を強化する上での具体的な改善策がわかります。

30分程度で自己採点できますので、ぜひ、今後のセキュリティ対策の参考とすべく、ご活用ください。

IPA債務保証制度の紹介

いぱくん

IPA債務保証制度では、セキュリティソフトウェアの開発等に係る必要資金に対して、無担保の保証を行うことにより、資金調達の支援をしております。本制度については、IPAホームページ又は下記の連絡先までお問い合わせください。

  • 保証額:融資額の95%以内
  • 保証融資限度額:1件あたり150百万円以内
  • 保証期間:3年以内(一般債務保証制度)、5年以内(新技術債務保証制度)
  • 保証料率:年0.75%(連帯保証人2名以上の場合等は年0.5%)
  • 連絡先:IPA 金融推進部 TEL:03-5978-7505
    URL:http://www.ipa.go.jp/software/hosyo/

【活用事例紹介】

製造業であるA社は、個人情報保護への対応や業務の効率化を図ることを目的に、新たなセキュリティソフトウェアを外注で開発するため、30百万円の資金調達が必要であった。このため、IPA債務保証制度(一般債務保証制度)を利用して、金融機関から融資(融資額30百万円、融資期間3年)を受け、セキュリティソフトウェアを開発、導入した。

※セキュリティソフトウェアを外注で開発する場合は、新たな開発行為があるので債務保証制度の対象になります。一方、パッケージソフトウェアを購入する場合は、新たな開発行為がないので対象になりません。

情報セキュリティ試験 創設

お問い合わせ先:

独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC)
(ISEC:Information technology SEcurity Center)
TEL:03-5978-7527 FAX:03-5978-7518
E-mail: 電話番号:03-5978-7501までお問い合わせください。
URL:http://www.ipa.go.jp/security/