HOME >> 情報セキュリティ >> ウイルス対策 >> ウイルスの発見届出状況 >> 記事

コンピュータウイルス・不正アクセスの届出状況[12月分および2006年年間]について

2007年 1月 5日

独立行政法人 情報処理推進機構
セキュリティセンター(IPA/ISEC)

独立行政法人 情報処理推進機構(略称 IPA、理事長:藤原 武平太)は、2006年12月および2006年年間のコンピュータウイルス・不正アクセスの届出状況をまとめました。
(届出状況の詳細PDF資料はこちら)

今月の呼びかけ:

 「 オンラインゲームのパスワードを盗むスパイウェア(*1)に注意!!」

― オンラインゲームを狙ったウイルスが大量に出回っています ―

年末にかけて IPA へオンラインゲームに関するウイルスの届出が大量に寄せられております。
これは、オンラインゲームのパスワードを盗むためのウイルスですので、ウイルス対策ソフトを必ず入れて、定義ファイルを最新のものにしておくことが必須の対策となります。

プログラムのダウンロードによるウイルス感染の例
図:プログラムのダウンロードによるウイルス感染の例

●このウイルスは、W32/Looked (別名W32/Philis)ウイルスの亜種で、2006年9月に発生しています。
   IPA へ寄せられている W32/Looked の検知件数は2006年10月: 505個から11月には約37万個と、急速に感染を広げ、12月も約23万個と依然として多い状況となっています。W32/Looked ウイルスがパソコンに感染すると、「Lineage II」というオンラインゲームのパスワードを盗むスパイウェアをそのパソコンに埋め込みます。感染したパソコンで「Lineage II」にログインすると、このスパイウェアは、ゲームの ID とパスワードを盗み出し、ウェブまたはメールを介してウイルスの仕掛け人に送信します。
   ウイルスの仕掛け人は、このようにして盗んだ ID とパスワードを使用してゲームにアクセスし、手に入りにくいアイテムなどを不当に取得し、ゲームの世界で他人に販売(実社会の金銭でやりとり)したりします。

   W32/Looked ウイルスの感染被害に遭わないように、ウイルス対策ソフトだけに頼ることなく以下の基本的な予防策を実施してください。

  • OS 及びアプリケーションのセキュリティホール(安全上の欠陥)を塞いでおく。
  • 見知らぬところから届いたメールの添付ファイルを開かない。
  • 信頼のおけないサイトから無闇にプログラムをダウンロードしない。

 さて、2006年における IPA への被害相談が年間を通じて最も多かったのはワンクリック不正請求でした。最近では、アダルトサイトだけでなく、さまざまな手口が使われ、依然として被害が多く見受けられ、引き続き相談が IPA に多く寄せられています。

不正請求画面例
図:不正請求画面例

●個人情報を取得済みであるような文言で支払いを迫るケースがほとんどですが、パソコンでネットサーフィン中に偶然アクセスしたのであれば、入会登録処理されたというサイト側で把握出来るのは主にネットワークに関する情報(IP アドレスや利用しているプロバイダ名、使用している OS やウェブブラウザのバージョン情報など)に限られ、個人を特定出来る情報はありません。ワンクリック料金請求業者が、これらの情報を基にプロバイダに対して個人情報を開示するよう求めたとしても、プロバイダが個人情報を開示することは有り得ません。メールアドレスを知られている場合でも同様です。

大事なことは、請求画面が表示されても慌てずにひたすら無視することです。

   決してお金を振り込んだり、画面に記載されている連絡先にメールや電話で問い合わせをしたりしないでください。

●ワンクリック不正請求は、ほとんどの場合、悪意あるプログラムが実行されたように見せかけたアニメを表示させているだけの脅しサイトなので、パソコンの再起動後に請求画面が表示されなくなるのが普通ですが、パソコン再起動直後に料金請求画面が表示されたり、数分毎に料金請求画面が消えたり表示されたりする場合があります。この場合は、お使いのパソコンに不正なプログラムが埋め込まれた可能性が高いので、後述の対応策の「システムの復元機能でシステムの状態を以前の正常な状態に戻す」を行ってください。それでも請求画面がなくならない場合は、お使いのパソコンを初期化する必要があります。

●対応策

1. システムの復元機能でシステムの状態を以前の正常な状態に戻す

Windows には、任意の日を自動的に選んで、その日のパソコンのシステム状態を保存しており、パソコンの動作が不安定になったり、使用するのに支障が出る等の状態になった場合に、これらの保存された情報を基にして正常な状態に戻すことができる「システムの復元機能」があります。
この正常な状態が保存される任意の日は、Windows の初期設定で自動的に設定されているもののほかに、ユーザが自分で設定することが可能となっています。

以下のマイクロソフトのホームページを参考にして、「システムの復元機能」を使用してシステムの状態を調子が良かった状態に戻すことを行ってください。
ただし、選択した任意の日から現在までに、OS やソフトウェアのインストール、アップデート等をした場合は、それらの情報は消えてしまいますので、システム復元後に再度実施してください。
なお、選択した任意の日から現在までに作成した文書や送受信したメール情報並びにホームページへのアクセス履歴やお気に入りは消えません。

2. パソコンの初期化

パソコンを購入した時の状態に戻す作業を実施します。
実際の作業方法は、購入時に添付されている説明書に記載されている「購入時の状態に戻す」等の手順に沿って作業してください。
作業する前に重要なデータを外部媒体等に必ずバックアップしてから作業を行って下さい。

3. その他

パソコンの操作方法が分からない等ご自身で対処できない場合には、パソコンの使用はあきらめて、IPA に相談してください。

(備考)上記1.及び2.の対応策によって生じたトラブル・損失・損害には、当機構では一切責任を負いかねます。あくまでも自己責任の下、自己判断で作業をしてください。

その他詳細を知りたい方は、以下の関連リンクをご参照ください。

ページトップへ

1. コンピュータウイルス届出状況 −詳細は別紙1を参照−

 ウイルスの検出数(※1)は、 約131万個と、11月の約158万個から17.3%の減少となりました。また、12月の届出件数(※2)は、3,212件となり、11月の3,664件から12.3%の減少となりました。

※1 検出数 : 届出にあたり届出者から寄せられたウイルスの発見数(個数)
※2 届出件数: 同じ届出者から寄せられた届出の内、同一発見日で同一種類のウイルスの検出が複数ある場合は、1日何個検出されても届出1件としてカウントしたもの。
・ 12月は、寄せられたウイルス検出数約131万個を集約した結果、3,212件の届出件数となっています。

 検出数の1位は、W32/Netsky約67万個 、2位は W32/Looked約23万個、3位は W32/Nuwar約17万個でした。
 W32/Nuwar は、2006年12月末に出現したウイルスで、「Happy New Year!」といった件名で届くケースが確認されています。新年の挨拶に見せかけたメールの添付ファイルがウイルスですので、添付ファイルを安易に開かないようご注意ください。

ウイルス検出数
ウイルス届出件数

2.ボット対策の奨め

 ボットとは、コンピュータウイルスの一種であり、悪意を持った第三者が外部からコンピュータを操ることを目的として作成されたプログラムです。感染しても気付きにくいこともあり、感染が広ってボットネットワークを構築してからでは、インターネット全体に危害が及ぶなど、さらに被害が拡大する恐れがあります。
 また、ボットは非常に多くの亜種が存在するため、従来のコンピュータウイルスの駆除手法による対応が難しくなっています。
   このような状況において、安全なインターネット環境を実現するため、経済産業省と総務省が共同で、ポータルサイト「サイバークリーンセンター」を立ち上げて、ボット対策事業を開始し、対策情報等の提供を行っています。
   IPA はこの事業に参画し、広く一般ユーザにおけるボット感染予防策の強化及び再発防止を図るべく、セキュリティベンダと連携して取り組んでいます。詳細は、以下のウェブページをご覧下さい。

サイバークリーンセンター

 また、IPA では、ボット対策のしおりを以下のサイトで公開していますので参照してください。

3. コンピュータ不正アクセス届出状況(相談を含む) −詳細は別紙2を参照−

不正アクセスの届出および相談の受付状況

  7月 8月 9月 10月 11月 12月
届出(a) 計 15 50 46 22 24 10
  被害あり(b) 8 30 21 15 8 9
被害なし(c) 7 20 25 7 16 1
相談(d) 計 31 24 35 53 30 40
  被害あり(e) 18 13 26 37 20 23
被害なし(f) 13 11 9 16 10 17
合計(a+d) 46 74 81 75 54 50
  被害あり(b+e) 26 43 47 52 28 32
被害なし(c+f) 20 31 34 23 26 18

(1)不正アクセス届出状況

 12月の届出件数は10件であり、そのうち被害のあった件数は9件でした。

(2)不正アクセス等の相談受付状況

 不正アクセスに関連した相談件数は40件(うち1件は届出件数としてもカウント)であり、そのうち何らかの被害のあった件数は23件でした。

(3)被害状況

 被害届出の内訳は、侵入6件、DoS 攻撃1件、その他(被害あり)2件でした。
   侵入届出の被害内容は、ファイルの改ざんが5件、不正ログインが1件でした。侵入の原因として、SSH(*2)で使用するポート(*3)への攻撃を受けてパスワードが破られたと思われた事例が1件ありました。

被害事例

[ 侵入 ]
(i) SSH(*2)で使用するポート(*3)への攻撃
  • ネットワーク管理者がファイアウォールのログ(*4)をチェックしたところ、サーバへの不正アクセスの痕跡を発見。
  • サーバを調査したところ、不正なログインの痕跡があり、さらに不正なプログラムを埋め込まれた上に、基本コマンドが不正なものに置き換えられていたことが判明。
  • SSH で外部から管理者権限によるログインが可能になっており、かつパスワードが容易に推測可能なものだったのが原因と思われた。SSH による接続許可ドメインの制限はされていなかった。




ごく一般的な名前の管理者用 ID を使い、かつ容易に推測されてしまうパスワードであり、さらに外部からの接続許可制限も無かったことが、侵入を容易にしてしまっていました。このような場合は、ツールによる辞書攻撃などのパスワードクラッキング(*5)攻撃を受けると一瞬でパスワードが破られてしまいます。上記の問題点を改善することはもちろんですが、SSH 運用時には、ログインの際に公開鍵認証(*6)などの強固な認証の採用を推奨します。

この例では、サーバの基本コマンドファイルが不正なものに置き換えられるなど、悪質なものとなっています。調査の際には、あらかじめ別途 CD-ROM などで準備しておいた正しいコマンドファイルを使うことが重要です。

(参考)
(ii) cgi(*7)の脆弱性を突いた攻撃
  • ネットワーク管理者から「ウェブページ改ざんを検知した」との通知を受け調査したところ、自身が管理するサーバに設置してあったウェブアプリケーションである「postmail」(Web からメールを送信するメールフォームの cgi プログラム)のディレクトリに不審なファイルが置かれていたことが判明。
  • 勝手に置かれたファイルへのリンクを含んだスパムメール(*8)を発信するための踏み台になっていた可能性が高い。
  • 脆弱性のあるバージョンの postmail を使っていたことが原因と思われた。
  • OS(Mac OS)のバージョンも古かったので、すぐに最新版にアップデートした。




脆弱性のある古いバージョンのメールフォームを使っていたために、攻撃者は侵入とスパムメール送信を余分な手間を掛けずに実行することが可能となっていました。このように脆弱性を放置してしまうと、被害者であると同時に加害者にもなってしまいます。ウェブアプリケーションの場合は、社会的影響も大きくなるため、特に注意が必要です。

(参考)
[ DoS 攻撃 ]
(iii) メールサーバへのパスワードクラッキング(*5)攻撃
  • 社内でメール受信時、メールサーバへのアクセスがエラーとなる現象が多発したため調査したところ、メールサーバに不正にログインしようとするアクセスがあることが判明。
  • 特定の IP アドレスから、パスワードクラッキング攻撃(辞書攻撃)を受けていた。
  • ファイアウォールで、IP アドレスとポート番号とでフィルタリングを掛けて対処。




幸い、パスワードは破られておらず、最悪の状況は回避できているようです。が、異常に気付くのが遅れていたとすると、パスワードが破られるのは時間の問題だったと思われます。個々のメールアカウント(*9)のパスワードを推測困難なものとするよう管理し、かつ攻撃の兆候を一刻も早く掴み、必要な対策を講じることが重要です。

(参考)

4.相談受付状況

 12月の相談総件数は680件でした。そのうち『ワンクリック不正請求』に関する相談130件(11月:155件)、『セキュリティ対策ソフトの押し売り』行為に関する相談が31件(11月:18件)、Winny に関連する相談15件(11月:12件)などでした。

IPA で受け付けた全ての相談件数の推移

  7月 8月 9月 10月 11月 12月
合計 767 793 933 1,002 711 680
  自動応答システム 444 460 575 580 423 394
電話 257 280 302 326 214 222
電子メール 66 48 51 93 72 59
その他 0 5 5 3 2 5

※IPA では、コンピュータウイルス・不正アクセス、Winny 関連、その他情報セキュリティ全般についての相談を受け付けています。

メール: 電話番号:03-5978-7501までお問い合わせください。(ウイルス)、電話番号:03-5978-7501までお問い合わせください。(不正アクセス)

電話番号: 03-5978-7509(24時間自動応答、ただし IPA セキュリティセンター員による相談受付は休日を除く月〜金、10:00〜12:00、13:30〜17:00のみ)
FAX: 03-5978-7518 (24時間受付)

※ 「自動応答システム」 : 電話の自動音声による応対件数
    「電話」 : IPA セキュリティセンター員による応対件数

※ 合計件数には、「不正アクセスの届出および相談の受付状況」における『相談(d) 計』件数を内数として含みます。

(参考)ワンクリック不正請求相談件数の推移

ワンクリック不正請求相談件数の推移

ワンクリック不正請求についての対策については下記をご参照ください。

(参考)セキュリティ対策ソフトの押し売り・相談件数の推移

セキュリティ対策ソフトの押し売り・相談件数の推移

セキュリティ対策ソフトの押し売り行為については下記をご参照ください。

主な相談事例は以下の通りです。

(i) 自分のパソコンが誰かに狙われて攻撃されている?

相談

インターネットに接続していたら、セキュリティ対策ソフトが「アクセスを遮断しました」という警告を発した。そのアクセス元だという IP アドレスが表示されていたが、何度も同じことが起こるし、いつもそのアドレスは違う。自分のパソコンが、何者かに特定されて狙われているのでしょうか。
回答

インターネットに接続しますと、悪意のある無しに関わらず何らかのアクセスが必ずやってきます。通常、アクセスはツール(プログラム)を利用して自動的に行われますので、個人、法人などに関係なく無差別に頻繁に行われます。インターネットに接続している限り、このようなアクセスを受ける可能性があります。特に、最近はウイルスによる、脆弱性を狙ったアクセスが多くなっています。不必要なポートは閉じ、お使いのセキュリティ対策ソフトウェアおよび OS(Windows など)をこまめにアップデートして対処していただければ特に心配はいりません。セキュリティ対策ソフトの通信ログに「遮断」などの表記があれば、ファイアウォールで防御されているということになります。

なお、ルータ(*10)を設置することにより、外部からの不要なアクセスの多くを遮断出来ます。

(ご参考)

(ii) ファイル交換(共有)ソフトで入手したファイルでウイルス感染

相談
  • 例1:Winny でダウンロードした音楽データの ZIP ファイルの中に、「○▽□.txt    .scr」 というテキストファイルアイコンの姿をしたファイルがあり、それをクリックしたところパソコンが勝手に終了し、その後も再起動を繰り返す。
  • 例2:先週の金曜からパソコンを起動すると、ドクロマークが表示されてその後も正しく動作しない。家族が Limewire を使っている。
  • 例3:某所から入手したファイルから、Antinny が検出された。ファイル共有ソフトは使っていませんが、そのファイルは、WinMX でダウンロードしてきたもの。
  • 例4: Winny を使っていてウイルスに感染した。エクセルやワードのファイルを開くと、すべて猫のマークに"ぬるぽ"と表示される。エクセルやワードの元のデータは無くなっている。
  • 例5:Windows 98 で Winny を利用していた。ダウンロードした exe ファイルを開いた時、Antinny が検知されて削除された。しかし、その後アップロードファイル用フォルダが増えていった。アップロードフォルダ無しで使っていたのに、なぜ?
回答

ウイルスに感染したくないのであれば、出所の分からないファイルをダウンロードしたり開いたりしてはいけません。不特定多数の人間が参加するファイル交換ネットワークからダウンロードしたファイルは、100%出所が分かりません。つまり、ウイルス予防のためには、ファイル交換ソフトは使わないことが効果的対策となります。ひとたびウイルス感染すると、パソコン内のデータが破壊されたり情報が流出して回収不能になったりと、取り返しのつかない事態に陥ってしまうことを改めて認識しましょう。

なお、自分がファイル交換ソフトを使っていなくても、パソコンを共有している他の人が使っているかもしれません。また、他人からもらったファイルはファイル交換ソフトでダウンロードされたものかもしれません。つまり、ファイル交換ソフトを使っていない人でも油断は禁物です。

ファイル交換ソフトの機能を悪用するウイルスの中には、ファイルアップロード設定を勝手に変更してしまうものもあります。中途半端な知識だけで安易に使うと非常に危険です。

ファイル交換ソフトの使用には、その特性上、たとえウイルスに感染していなくても自分の操作ミスなどで誤って意図しないファイルを公開してしまうリスクがあります。メリットだけに注目してしまい、リスクについてもきちんと認識できないのであれば、ファイル交換ソフトは使うべきではありません

(ご参考)
  • IPA - 今月の呼びかけ(3月分)
    「知っていますか? ファイル交換ソフトを使うと、不特定多数の利用者間であなたのパソコンのデータも共有されているということを!」
    http://www.ipa.go.jp/security/txt/2006/04outline.html

5.インターネット定点観測での12月のアクセス状況

 インターネット定点観測(TALOT2)によると、2006年12月の期待しない(一方的な)アクセスの総数は、10観測点で441,658件ありました。1観測点で1日あたり344の発信元から1,425件のアクセスがあったことになります。

 TALOT2 での1観測点の環境は、インターネットを利用される一般的な接続環境と同一なので、インターネットを利用される皆さんの環境へも同じくらいの一方的なアクセスがあると考えられます。言い換えれば、あなたのコンピュータは、毎日、平均して、344人の見知らぬ人(発信元)から、発信元一人当たり4件の不正と思われるアクセスを受けていると言うことになります。

1観測点での1日あたりの期待しない(一方的な)アクセス数および発信元数

 2006年1月〜2006年12月までの各月の1観測点での1日あたりの平均アクセス数および、それらのアクセスの平均発信元数を図5.1に示します。この図を見ると、期待しない(一方的な)アクセスは、11月に比べて多少の増加傾向です。この増加傾向は、Ping(ICMP)の増加が原因です。
   ただし、全体的なアクセス内容については定常化していると言え、主に、ボットに感染したコンピュータからのボット感染活動(コンピュータのぜい弱性を狙い、ボットの感染を広げようとしているアクセス)のためのアクセスであると考えられます。

2967/tcp ポートへのアクセス

 2967/tcp ポートは,Symantec Client Security や Symantec AntiVirus がデフォルトで使用するポートです。2006年5月25日発表の『Symantec 社のSymantec Client Security および Symantec AntiVirus に特権昇格の脆弱性(SYM06-010) 』が狙われている可能性が高いようです。実際にワームを捕らえて、解析しているセキュリティベンダもあるようです。
   このぜい弱性を狙った攻撃手法が、ボットに使用されている可能性があります。Symantec Client Security や Symantec AntiVirus の利用者は、早急に Symantec 社が提供する対応策や緩和策を参考に、ぜい弱性対応を実施して下さい。
   TALOT2 の観測によれば、国内企業からのアクセスも発生しています。ご注意下さい。

Symantec社製品のぜい弱性を狙っている思われるアクセス

以上の情報に関して、詳細はこちらのサイトをご参照ください。 届出の詳細については以下の PDF ファイルをご参照ください。 2006年年間のコンピュータウイルス・不正アクセス届出状況 『他機関・ベンダーの各種統計情報は以下のサイトで公開されています。』

『用語の解説』

  • (*1) スパイウェア (spyware)
    利用者や管理者の意図に反してインストールされ、利用者の個人情報やアクセス履歴などの情報を収集するプログラム等。
  • (*2) SSH (Secure Shell)
    ネットワークを介して別のコンピュータにログインしたり、遠隔地のマシンでコマンドを実行したり、他のマシンへファイルを移動したりするために使うプロトコルもしくはプログラムのこと。ネットワーク上を流れるデータは暗号化されるため、インターネット経由でも一連の操作を安全に行なうことができる。
  • (*3) ポート (port)
    コンピュータが外部との情報の受け渡しの際に使う、コンピュータ内の各種サービス窓口のこと。ポートは0から65535までの値が使われるため、ポート番号とも呼ばれる。
  • (*4) ログ (log)
    コンピュータの利用状況やデータ通信の記録のこと。一般的に、操作を行った者の ID や操作日時、操作内容などが記録される。
  • (*5) パスワードクラッキング (password cracking)
    他人のパスワードを、解析するなどして探り当てること。総当り攻撃や辞書攻撃といった手法があり、クラッキング用のプログラムも存在する。
    • *:総当り攻撃
      何らかの規則にしたがって、文字の組み合わせを総当りで試行する攻撃方法のこと。いわゆる力ずくの攻撃方法のことで、ブルートフォース攻撃ともいう。
    • *:辞書攻撃
      パスワードを破るために、辞書にある単語などを片端から試行する攻撃方法のこと。
  • (*6) 公開鍵認証
    公開鍵と秘密鍵のペアでユーザ個人の認証を行う方式のこと。公開鍵はサーバ側で管理し、秘密鍵は個人で管理し、これらによりユーザ認証を行う。
  • (*7) cgi (Common Gateway Interface)
    ウェブサーバが、クライアントからのリクエストに応じてウェブサーバ上で外部プログラムを動作させ、その処理結果をクライアントに送信するための仕組みのこと。
  • (*8) スパムメール (spam mail)
    ジャンクメール、バルクメール、また単に「迷惑メール」とも呼ばれる。商用目的かどうかによらず、宣伝や嫌がらせなどの目的で不特定多数に大量に送信されるメールのこと。
  • (*9) アカウント (account)
    コンピュータやネットワーク上の資源を利用出来る権利のこと。
  • (*10) ルータ (router)
    異なるネットワークを接続したり中継したりする通信機器のこと。
ページトップへ

お知らせ

「情報セキュリティ標語・ポスター2007」募集のお知らせ

 コンピュータウイルスやコンピュータへの不正な侵入などの被害にあわないために、「情報セキュリティ対策」の意識を高めるための標語及びポスターを、全国の小学生・中学生・高校生から募集します。入選作品は、報道発表し、IPAのホームページにも掲載します。

募集期間:2006年12月1日(金)〜2007年3月31日(土)
応募方法:電子メール メールアドレス
       FAX 03-5978-7518
       郵送 〒113-6591
           東京都文京区本駒込2-28-8 文京グリーンコート16階
             情報処理推進機構(IPA) セキュリティセンター
             情報セキュリティ標語・ポスター2007事務局 宛

表彰:大賞(10万円)、金賞(7万円)、銀賞(5万円)、銅賞(3万円)
    韓国情報保護振興院(KISA)賞(賞品)、その他、参加企業賞あり

お問い合わせ先
標語・ポスター募集に関するお問い合わせ先はこちらです。
独立行政法人 情報処理推進機構 セキュリティセンター 山田/中山/甲斐田
Tel: 03-5978-7508
Fax: 03-5978-7518
E-mail: 電話番号:03-5978-7501までお問い合わせください。

ページトップへ

お知らせ

『 自社のセキュリティ対策自己診断テスト 』の紹介
〜 情報セキュリティ対策ベンチマーク 〜

いぱくん

 IPA では、 「自社のセキュリティ対策自己診断テスト(情報セキュリティ対策ベンチマーク)」 を Web サイト上に公開しております。

 本システムは、企業を対象としたもので、セキュリティ対策状況及び企業情報に関する設問 ( 計 40 問 ) に答えることにより、セキュリティ対策の取組状況を自己採点できるシステムです。

 診断結果は、「貴社のスコア」と「望まれる水準」とが同時に表示され、各社が優先的に取り組むべきセキュリティ対策項目が明らかになります。また、推奨される取り組み事例も提示しますので、今後の対策を強化する上での具体的な改善策がわかります。

 30分程度で自己採点できますので、ぜひ、今後のセキュリティ対策の参考とすべく、ご活用ください。

お問い合わせ先:
独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC)
(ISEC:Information technology SEcurity Center)
TEL:03-5978-7527 FAX:03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。
URL:http://www.ipa.go.jp/security/

ページトップへ