HOME情報セキュリティ情報セキュリティ対策ウイルス対策コンピュータウイルス・不正アクセスの届出状況[2007年4月分]について

本文を印刷する

情報セキュリティ

コンピュータウイルス・不正アクセスの届出状況[2007年4月分]について

2007年 5月 2日
独立行政法人 情報処理推進機構
セキュリティセンター(IPA/ISEC)

独立行政法人 情報処理推進機構(略称 IPA、理事長:藤原 武平太)は、2007年4月のコンピュータウイルス・不正アクセスの届出状況をまとめました。
(届出状況の詳細PDF資料はこちら)

今月の呼びかけ:

 「 サポートが終了したOSを搭載したPCの危険性を認識しよう!! 」

― ぜい弱性(*1)が解消できず、被害に遭う可能性が極めて高い!! ―

 現在、一般で広く利用されている PC の OS (オペレーティングシステム)として、Windows XP、2000、98/Me、MacOS、Linux 等がありますが、Windows 98/Me は2006年7月に製造元のサポートが終了しています。

 しかし、当機構のウイルス・不正アクセスの相談受付状況を見ますと、Windows 98/Me の製造元によるサポートが終了した後でも、表1のとおり Windows 98/Me 利用者からの相談件数の割合は減少しているものの、まだ1割弱の方から相談を受けています。また、当機構のウイルスの届出受付状況をみますと、Windows 98/Me の製造元によるサポートが終了した後でも、表2のように Windows 98/Me のユーザからの届出が2.5%ある状況です。

表1:2006年度OS種別相談状況
OS 種別 XP/Vista 98/Me 2000 Mac
OS
Linux その他
2006年4~7月 82.5% 12.2% 3.2% 1.4% 0.0% 0.6%
2006年8月~2007年3月末 86.0% 9.0% 3.6% 1.2% 0.2% 0.1%
2006年度通年 85.1% 9.8% 3.5% 1.3% 0.1% 0.3%
表2:2006年度OS種別ウイルス届出状況
OS 種別 XP/Vista 98/Me 2000 Mac
OS
Linux その他
2006年4~7月 72.5% 1.3% 5.0% 2.5% 2.5% 16.3%
2006年8月~2007年3月末 89.3% 2.5% 8.2% 0.0% 0.0% 0.0%
2006年度通年 83.7% 2.1% 7.1% 0.8% 0.8% 5.4%

 一方、インターネット上には OS のぜい弱性(セキュリティホールとも呼ばれる)(*1)を狙った悪意のあるプログラムが数多く存在していますが、それらは Windows 98/Meのサポートが終了した今でも、Windows 98/Me だけを対象としたものではありませんが、Windows 98/Me でも不正行為を行うことができる悪意のあるプログラムが確認されております。

 以上のような状況を踏まえまして、今回 Windows 98/Me といったサポートが終了した OS の利用の問題点等について緊急に呼びかけを行うことといたしました。

参考:

 サポートが終了した OS を搭載したPCを利用し続ける場合、以下のような問題が発生します。

(1)PCに新しいぜい弱性(*1)が発見されても、製造元からは修正プログラムが配布されません。ぜい弱性が発見されるたびに OS のぜい弱な部分が蓄積されていくこととなり、ぜい弱性だらけの PC になってしまいます。

(2)OS のサポート終了とともに、その OS の上で稼動するアプリケーションソフトの製造元もサポートを終了していくこととなります。特にウイルス対策ソフトは、製品自身のサポート終了とともにウイルスのパターン情報の更新もされなくなることが予想されることから、今後新たに出現する新種のウイルスに対応できなくなります。

(3)PC に何かトラブルが起きた場合、OS の製造元に問い合せてもサポート終了とともに「問い合せ対応」も終了することが多いため、OS のサポート終了後のトラブルについては自分で対応しなければならなくなります。

 この様な状態の PC をインターネットに接続して利用した場合、以下のような被害が発生することが推測されます。

(1)「穴だらけの PC」をネットワークに接続した場合、当然ながらどこからでも自由に PC に侵入されてしまい、ウイルス感染、情報の漏えい等、いろいろな被害を受けることになります。しかも、通常はそれらの被害から PC を守るために導入しているウイルス対策ソフトも「ウイルスのパターン情報が更新されない」状態ですので、被害は広がるばかりになってしまいます。

(2)最近のインターネット上における攻撃は、ぜい弱性(*1)のある PC を狙ってくるのはもちろんですが、ぜい弱性のある PC に不正なプログラムを埋め込み、その PC を悪用してインターネットに接続している他の数多くの PC に迷惑メールを送りつけるなどの手口が増えてきています。このため、自分の PC のぜい弱性は自分自身の問題だけではすまなくなってきており、このような PC をインターネットに接続することは他の人にも迷惑をかけるということを認識してください。

サポートされていないOSに存在するぜい弱性を突く攻撃による感染例

サポートされていないOSに存在するぜい弱性を突く攻撃による感染例

 したがって、サポートが終了した OS を搭載した PC を利用するということは、上述したように非常に危険な行為であるということをよく理解していただき、できることなら使用しないことが望ましいです。どうしてもお使いになりたい場合は、インターネットはもとより社内や家庭のネットワークにも接続しない状態で利用することをお勧めします。

(ご参考)
当機構のオープンソースソフトウェアセンター(OSS)では、現在お使いのOS等をLinux等のオープンソースに移行したいと考えている利用者に対して、注意事項や導入方法等を提言するための調査を行っています。

【JVN iPedia の公開】

 「情報セキュリティ早期警戒パートナーシップ」において取り扱われた脆弱性、および国内で利用されているソフトウェア等の製品に関する脆弱性を対象として、その概要や対策情報を収集・蓄積する「脆弱性対策情報データベース(JVN iPedia)」を2007年4月25日に公開しました。
 JVN iPedia は、1998年に発見された脆弱性から収集を行い、2007年4月公表時点で約3,500件の脆弱性対策情報を蓄積しています。目的の脆弱性対策情報を容易に探すために検索機能 (キーワード、製品別、ID、日付、CVSS による深刻度) を備え、日々の情報収集を支援します。

今月のトピックス

1. コンピュータ不正アクセス被害の主な事例(届出状況及び被害事例の詳細は、「2.コンピュータ不正アクセス届出状況」を参照)

  • SQL インジェクション攻撃を受け侵入、ウェブページ改ざん
  • フィッシングサイトを設置された

2. 相談の主な事例 (相談受付状況及び相談事例の詳細は、「3.相談受付状況」を参照)

  • ウイルス対策ソフトで検知できない何かに感染?!
  • Winny でダウンロードしたファイルからウイルス感染

3. インターネット定点観測(詳細は、別紙3を参照)

IPA で行っているインターネット定点観測について、詳細な解説を行っています。
・ボットに感染したパソコンが多数存在! ボット駆除ツールで検査を!

1. コンピュータウイルス届出状況 -詳細は別紙1を参照-

 ウイルスの検出数(※1)は、 約62万個と、3月の約66万個から5.4%の減少となりました。また、4月の届出件数(※2)は、3,199件となり、3月の2,933件から9.1%の増加となりました。

※1 検出数 : 届出にあたり届出者から寄せられたウイルスの発見数(個数)
※2 届出件数: 同じ届出者から寄せられた届出の内、同一発見日で同一種類のウイルスの検出が複数ある場合は、1日何個検出されても届出1件としてカウントしたもの。
・ 4月は、寄せられたウイルス検出数約62万個を集約した結果、3,199件の届出件数となっています。

 検出数の1位は、W32/Netsky約46万個 、2位は W32/Looked約6万個、3位は W32/Sality約2万個でした。

ウイルス検出数
ウイルス届出件数

2 . コンピュータ不正アクセス届出状況(相談を含む) -詳細は別紙2を参照-

不正アクセスの届出および相談の受付状況

  11月 12月 1月 2月 3月 4月
届出(a) 計 24 10 32 23 13 15
  被害あり(b) 8 9 22 14 9 12
被害なし(c) 16 1 10 9 4 3
相談(d) 計 30 40 52 50 43 31
  被害あり(e) 20 23 25 28 20 20
被害なし(f) 10 17 27 22 23 11
合計(a+d) 54 50 84 73 56 46
  被害あり(b+e) 28 32 47 42 29 32
被害なし(c+f) 26 18 37 31 27 14

(1)不正アクセス届出状況

 4月の届出件数は15件であり、そのうち被害のあった件数は12件でした。

(2)不正アクセス等の相談受付状況

 不正アクセスに関連した相談件数は31件(うち4件は届出件数としてもカウント)であり、そのうち何らかの被害のあった件数は20件でした。

(3)被害状況

 被害届出の内訳は、侵入7件、アドレス詐称2件、その他(被害あり)3件でした。
 侵入届出の被害内容は、フィッシング(*2)に悪用するためのコンテンツを設置されていたものが3件、サイト内データの改ざんが2件、外部サイトを攻撃するための踏み台にされそうになっていたものが2件でした。侵入の原因で、プログラムのぜい弱性(*1)を突かれたものが5件ありました(OS 1件、SQL インジェクション(*3) 1件、FTPサーバ 1件、コンピュータの遠隔操作ソフト 2件)。

被害事例

[ 侵入 ]
(i) SQL インジェクション(*3)攻撃を受け侵入、ウェブページ改ざん

  • 「お宅のウェブサイトにアクセスするとウイルス警告が出る」との通報を受けた。
  • 調査の結果、ウェブアプリケーションが SQL インジェクション攻撃を受け侵入を許し、ウェブページが改ざんされていたことが判明。改ざん内容は、ウイルスが置かれている悪質なサイトへのリンクを追加する、というもの。Windows のアニメーションカーソル処理のぜい弱性(*1)を突くタイプのウイルスだった。
  • 侵入者は侵入成功後、外部サイト攻撃ツールをダウンロードしルートキット(*4)を実行。その後、ウェブページを改ざんしたものと思われた。
  • 事後対策として OS インストールから再構築し、データベースを扱う権限の最小化を図るとともに、不要なストアドプロシージャ(*5)を削除した。




攻撃ツールを埋め込まれ、外部攻撃のための踏み台サーバとして悪用されてしまった例です。特に、"Windows のアニメーションカーソル処理のぜい弱性"を突くゼロデイ攻撃(*6)の踏み台となっていた点は深刻な問題と言えます。
ウェブアプリケーションのぜい弱性を解消するのはもちろんのこと、ログ監視やウェブページ改ざん監視の強化を図る必要があるでしょう。

(参考)
[ フィッシング ]
(ii) フィッシング(*2)サイトを設置された

  • 外部機関から「あなたのサイトには某銀行に似せたフィッシングサイトが設置されている」との通報を受けた。
  • 調査の結果、その事実が確認されたため、即当該ファイルを削除。ログ(*7)によれば、最初の侵入痕跡から3週間以上経ってから当該ファイルを設置されていたことが判明。
  • さらに異なる外部機関から同様の通報を受けたため調査したところ、再度フィッシングコンテンツが設置されていた。しかし今度は管理者権限でもディレクトリを削除できなかった。とりあえずディレクトリごと移動した。
  • 使っていないはずの、FTP サーバが動いていたことが原因。古いバージョンであり、ぜい弱性を突かれて任意のコードを実行され、侵入を許していた。




侵入を許してしまった場合、原因が分からなければ何度でも同じ手口で侵入されてしまいます。この事例では、使っていないと思っていた、ぜい弱性を含んでいたプログラムが動いていたのが原因でした。不要なプログラムは削除し、不要なサービスは停止するとともに、ログのチェックを密にし、侵入の兆候に一刻も早く気付くことが大切です。

(参考)

3.相談受付状況

 4月の相談総件数は827件でした。そのうち『ワンクリック不正請求』に関する相談205件(3月:316件)、『セキュリティ対策ソフトの押し売り』行為に関する相談が17件(3月:23件)、Winny に関連する相談7件(3月:5件)などでした。

IPA で受け付けた全ての相談件数の推移

  11月 12月 1月 2月 3月 4月
合計 711 680 946 1,019 1,127 827
  自動応答システム 423 394 582 603 697 486
電話 214 222 324 336 376 279
電子メール 72 59 39 75 54 58
その他 2 5 1 5 0 4

※IPA では、コンピュータウイルス・不正アクセス、Winny 関連、その他情報セキュリティ全般についての相談を受け付けています。

メール: 電話番号:03-5978-7501までお問い合わせください。(ウイルス)、電話番号:03-5978-7501までお問い合わせください。(不正アクセス)
     電話番号:03-5978-7501までお問い合わせください。 (Winny緊急相談窓口)、電話番号:03-5978-7501までお問い合わせください。(その他)

電話番号: 03-5978-7509(24時間自動応答、ただし IPA セキュリティセンター員による相談受付は休日を除く月~金、10:00~12:00、13:30~17:00のみ)
FAX: 03-5978-7518 (24時間受付)

※ 「自動応答システム」 : 電話の自動音声による応対件数
    「電話」 : IPA セキュリティセンター員による応対件数

※ 合計件数には、「不正アクセスの届出および相談の受付状況」における『相談(d) 計』件数を内数として含みます。

(参考)ワンクリック不正請求相談件数の推移

ワンクリック不正請求相談件数の推移

ワンクリック不正請求についての対策については下記をご参照ください。

(参考)セキュリティ対策ソフトの押し売り・相談件数の推移

セキュリティ対策ソフトの押し売り・相談件数の推移

セキュリティ対策ソフトの押し売り行為については下記をご参照ください。

主な相談事例は以下の通りです。

(i) ウイルス対策ソフトで検知できない何かに感染?!

相談 見覚えの無いファイルやフォルダがあるなど、いつも状況が違うのに気が付きました。ウイルス対策ソフトのウイルス定義ファイルを最新にしようとしても、途中で止まってしまい、更新できません。どうすれば良いのでしょうか。
回答

既に、新種のウイルスに感染している可能性があります。無償のオンラインウイルススキャンや、スパイウェア(*8)検知サービス、ボット(*9)駆除ツールを利用してみましょう。しかし、ウイルス対策ソフトの動作を邪魔するような悪質なウイルスに感染していると、パソコンを初期化するしかない場合もあります。

(ご参考)

(ii) Winny でダウンロードしたファイルからウイルス感染

相談 4月の始めに、以前から興味のあった Winny を、よく分からないまま使用。その後、ウイルスチェックしたら数種の Antinny ウイルスが検出された。アップロードフォルダを指定するための情報ファイルが存在していないので、情報流出はありませんよね?
回答

この時点で情報流出が無いと決め付けるのは早計です。Winny を動かしていたパソコン内に、漏れては困るデータがあったのであれば、それらが漏れたかも知れないという前提で行動すべきです。まずは検出されたウイルスの名前から、その動作を調べるとともに、影響が及ぶと思われる範囲に連絡を入れ、適切な対処をしましょう。
そもそも、ファイル交換ソフトの原理を理解せずに興味本位で使うことは非常に危険な行為であることを、改めて認識しなければなりません。何か問題が発生してからでは、取り返しがつきません。

(ご参考)

4.インターネット定点観測での4月のアクセス状況

 インターネット定点観測(TALOT2)によると、2007年4月の期待しない(一方的な)アクセスの総数は、10観測点で431,643件ありました。1観測点で1日あたり350の発信元から1,439件のアクセスがあったことになります。

 TALOT2 での1観測点の環境は、インターネットを利用される一般的な接続環境と同一なので、インターネットを利用される皆さんの環境へも同じくらいの一方的なアクセスがあると考えられます。言い換えれば、あなたのコンピュータは、毎日、平均して、350人の見知らぬ人(発信元)から、発信元一人当たり4件の不正と思われるアクセスを受けていると言うことになります。

1観測点での1日あたりの期待しない(一方的な)アクセス数および発信元数

 2006年11月~2007年4月までの各月の1観測点での1日あたりの平均アクセス数および、それらのアクセスの平均発信元数を図1.1に示します。この図を見ると、期待しない(一方的な)アクセスは、2007年3月に比べて多少の増加傾向ですが、全体的なアクセス内容については、定常化していると言えます。

 2007年4月13日に、Windows 2000 Server やWindows Server 2003 が備えている、DNS(Domain Name System)サーバーサービスのぜい弱性がマイクロソフトから発表されました。このぜい弱性に対する攻撃(検証)コードが公開されており、ぜい弱性を狙った新しいワームや、攻撃コードが仕込まれたボットが広がっている可能性があります。

<参考情報>

 図4.2、図4.3に、445/tcp、139/tcpポートへの発信元地域別アクセス数の変化を示します。これらの図を見ると、マイクロソフトから発表のあった4月13日以降に、国内を発信元とするアクセスが増加しているのがわかります。

2007年4月の445/tcpポートへの発信元地域別アクセス数の変化

2007年4月の139/tcpポートへの発信元地域別アクセス数の変化

 2007年4月25日に、総務省と経済産業省の連携プロジェクト、「ボット対策プロジェクト」の取り組み対策における中間発表があり、2006年12月から2007年3月末までに、ISP(インターネットサービスプロバイダ)を通じて、約6000名のユーザーに対しボット感染の注意喚起メールを送った所、約3割のユーザーが駆除ツールをダウンロードしたとの発表がありました。
 これを見てもわかる様に、わかっているだけで約7割のユーザーが、いまだにボット感染しているコンピュータを起動していると言うことになります。

以上の情報に関して、詳細はこちらのサイトをご参照ください。 届出の詳細については以下の PDF ファイルをご参照ください。 『他機関・ベンダーの各種統計情報は以下のサイトで公開されています。』

『用語の解説』

  • (*1) ぜい弱性 (vulnerability)
    情報セキュリティ分野においては、通常、システム・ネットワーク・アプリケーションまたは関連するプロトコルのセキュリティを損なうような、予定外の、望まないイベントにつながる可能性がある弱点の存在や、設計もしくは実装のエラーのことを言う。セキュリティ上の設定が不備である状態を指す場合もある。一般に、セキュリティホール(security hole)と呼ばれることもある。
  • (*2) フィッシング (Phishing)
    正規の金融機関など実在する会社のメールやウェブページを装い、それを見た利用者のIDやパスワードなどを詐取しようとする行為のこと。「釣り」を意味する「fishing」が語源だが、ハッカーの命名規則に則って"f"を"ph"に置き換えたという説、「洗練された」という意味の英語 "sophisticated"と"fish"とを組み合わせた造語という説、"password harvesting fishing"の短縮形という説、などがある。
  • (*3) SQLインジェクション (SQL injection)
    データベースアクセスのためにSQL文を用いるプログラムにおいては、SQL文を構成する際、プログラム中の式の値をSQL文に埋め込む場合には、引用符で括られる文字列について、引用符が含まれているならばそれをエスケープ処理しなければならない。これを怠ると、正当なデータに対してSQL文の実行がエラーとなる不具合が生じる。このバグが悪意ある者によって与えられ得る文字列を扱う箇所に存在すると、それはセキュリティ上のぜい弱性となる。攻撃者が悪意あるコマンドを与えると、データベースの内容を改ざんや情報を盗み出されるなどの被害が生じる。このような攻撃をSQLインジェクション攻撃と呼び、その原因箇所を同ぜい弱性と呼ぶ。
  • (*4) ルートキット (rootkit)
    攻撃者がコンピュータに侵入した後に利用するためのソフトウェアをまとめたパッケージのこと。一般的には、ログ改ざんツールやバックドアツール、改ざんされたシステムコマンド群などが含まれる。
  • (*5) ストアドプロシージャ (stored procedure)
    データベースに対する一連の処理手順を手続きとしてまとめ、データベース管理システムに保存したもの。
  • (*6) ゼロデイ攻撃 (zero-day attack)
    製品開発者が製品のぜい弱性に関する修正を行う前に、そのぜい弱性に対して行われる攻撃のこと。
  • (*7) ログ (log)
    コンピュータの利用状況やデータ通信の記録のこと。一般的に、操作を行った者のIDや操作日時、操作内容などが記録される。
  • (*8) スパイウェア (spyware)
    利用者や管理者の意図に反してインストールされ、利用者の個人情報やアクセス履歴などの情報を収集するプログラム等のこと。
  • (*9) ボット (bot)
    コンピュータウイルスの一種で、コンピュータに感染し、そのコンピュータを、ネットワーク(インターネット)を通じて外部から操ることを目的として作成されたプログラムのこと

お問い合わせ先:

独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC)
(ISEC:Information technology SEcurity Center)
TEL:03-5978-7527 FAX:03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。
URL:http://www.ipa.go.jp/security/