HOME情報セキュリティ情報セキュリティ対策ウイルス対策コンピュータウイルス・不正アクセスの届出状況[2007年9月分および2007年第3四半期]について

本文を印刷する

情報セキュリティ

コンピュータウイルス・不正アクセスの届出状況[2007年9月分および2007年第3四半期]について

第07-16-111号

2007年10月 2日

独立行政法人 情報処理推進機構
セキュリティセンター(IPA/ISEC)

独立行政法人 情報処理推進機構(略称 IPA、理事長:藤原 武平太)は、2007年9月および第3四半期のコンピュータウイルス・不正アクセスの届出状況をまとめました。
(届出状況の詳細PDF資料はこちら)

1. 今月の呼びかけ:

  「 ボットの脅威をご存知ですか? 」

― ウイルスの一種であるボットに注意しましょう! ―

 9月に IPA へ寄せられた届出や相談の中で、「プロバイダから『貴方のパソコンがボットに感染していますので対策をお願いします』と連絡があったのですが」と、ボットに感染したと思われる方からの相談が複数寄せられました。
 ボット感染の脅威及び対策の必要性を認識して、対策を実施することにより、ボット感染の予防、早期発見、駆除を確実に行っていただくようお願いします。

(1)ボットの脅威

 ボットはコンピュータウイルス等と同様な方法でコンピュータに感染し、そのコンピュータをネットワークを通じて、外部から操ることを目的として作成されたプログラムです。
 ボットに感染したコンピュータは、攻撃者が用意した指令サーバなどに自動的に接続され「ボットネットワーク」といわれる数台~数十万台で構成されるネットワークの一部として組込まれてしまいます。
 ボットネットワークに組み込まれたコンピュータは、攻撃者の指令サーバなどから遠隔操作され、スパムメールの大量送信や、特定サイトへのサービス妨害攻撃(DoS:Denial of Services)などに利用されます。
 最近では「ボットネットワーク」を時間貸ししたり、ボットによって窃取した個人情報を販売したりするなど、犯罪に利用して利益を得る行為が確認されています。

(2)ボット感染の特徴

 いままでのボットは、メールの添付ファイルを開くことによる感染や、ぜい弱性を突いた攻撃による感染などが主な感染経路でした。
 しかし最近では、ボットが埋め込まれたウェブページを閲覧することによる感染の被害が多くなり、感染経路が利用者にはわかりにくくなってきています。
 また、ボットに感染しても特別な症状が出ないことが多く、感染前と同じようにコンピュータを使用できるなど、利用者がボットに感染したことに気が付きにくい特徴があります。

(3)一般ユーザ向けボット対策のポイント

ボット対策のしおり
  • (a)ウイルス対策ソフトやスパイウェア対策ソフトの導入と、それらのソフトが使用するパターンファイル等の定期的な更新を行う(ボットは短期間でバージョンアップする機能があるため、パターンファイルの更新は非常に大事である)
  • (b)見知らぬメールの添付ファイルは安易に開かない
  • (c)不審なウェブサイトの閲覧を控える
  • (d)ブラウザ等のセキュリティ設定を高く設定する
  • (e)迷惑(スパム)メールなどに表示されているリンクはクリックしない(見ないで廃棄するのが望ましい)
  • (f)インターネット接続には、ルータやパーソナルファイアウォールを利用する
  • (g)コンピュータ上のOSやアプリケーションを常に最新の状態にする(Microsoft Updateの実行など)

詳細は、「ボット対策のしおり 」をご参照ください。

 コンピュータがボットに感染していた場合、駆除することが唯一の対策となります。また、利用者はボット感染に気付きにくいため、プロバイダなどの第三者からの連絡によって初めて感染が発覚することが多く見受けられます。プロバイダなどからボット感染について注意喚起のメールが送られてきましたら、そのメールは無視しないで、メールの内容に従って駆除を実施する、(5)で紹介するサイバークリーンセンターが提供する駆除ツールでボットを駆除してください。

(4)ウェブ運営者等におけるボット対策のポイント

 最近、MPack と呼ばれる攻撃ツールを利用されウェブサイトが乗っ取られるなどの被害が増加しています。 (http://www.jpcert.or.jp/at/2007/at070016.txt
 ウェブ運営者及びサーバ管理者は、運営しているサーバが、知らないうちにボットなどの感染活動の拠点にならないようにするために以下に示すような対策を行う必要があります。

  • (a)ウェブアプリケーションのぜい弱性が無いかをチェックし、ボットの感染用に改ざん(ウイルスの埋め込みなど)されないように対策する
  • (b)ウェブサーバ上の OS やアプリケーションを常にぜい弱性の無い状態とする
  • (c)サイトを閲覧してウイルス対策ソフトが反応したとの問合せなど、ウェブサイトに異常が見つかったら、即座にウェブサイトを閉鎖するなど被害拡大防止の措置をとる

(5)IPA のボット対策への取り組み

CCC

 IPA は、2006年12月より開始された総務省及び経済産業省の合同プロジェクトである「ボット対策事業」において、「ボット」を撲滅することを目的として設立された、サイバークリーンセンター(Cyber Clean Center, https://www.ccc.go.jp/)の運営に協力しています。
 サイバークリーンセンターでは、インターネットにおける脅威となっているボットの特徴を解析するとともに、ユーザのコンピュータからボットを駆除するためのツール及び必要な情報をユーザに提供する活動を行っています。また、IPA は「ボット感染予防推進グループ」として感染予防対策ベンダに対してボットの検体を提供することにより、感染予防及び再発防止の推進を行っています。

サイバークリーンセンターの活動実績を「2007年8月度 サイバークリーンセンター活動実績」
(https://www.ccc.go.jp/report/200708/
0708monthly.html
)
で公開していますので、参考にして下さい。

2.IPA で行っているウイルス対策の取り組みに関連した情報の紹介

●情報漏えい発生時の対応ポイント集

ポイント集

-情報が漏えいしてしまった時、何をすべきか!! -

 本小冊子は、情報漏えいインシデント対応マニュアルを整備していない中小企業などにおいて、情報漏えい事故が発生した場合、何をする必要があるか、何に気をつけなければいけないかを経営者をはじめとする対応チームの方々が短時間に理解し、速やかに適切な対応ができるように分かりやすく解説しています。

■目次
1 基本的な考え方
2 情報漏えい対応の基本ステップ
3 情報漏えいのタイプ別対応のポイント
3.1 紛失・盗難の場合の対応
3.2 誤送信・Webでの誤公開の場合の対応
3.3 内部犯行の場合の対応
3.4 Winny/Share等への漏えいの場合の対応
3.5 不正プログラム(ウイルス、スパイウェア等)の場合の対応
3.6 不正アクセスの場合の対応
3.7 風評・ブログ掲載の場合の対応
4 発見・報告におけるポイント
5 通知・報告・公表等におけるポイント
6 参考情報

今月のトピックス

  • コンピュータ不正アクセス被害の主な事例(届出状況及び被害事例の詳細は、「4.コンピュータ不正アクセス届出状況」を参照)
    • フィッシングに悪用するためのコンテンツを設置された
    • サーバが不正ログイン試行を受けている
  • 相談の主な事例 (相談受付状況及び相談事例の詳細は、「5.相談受付状況」を参照)
    • メールの本文にあったリンクをクリックしたら、ウイルス警告が!
    • Winnyで情報が漏えいしてしまった・・・
  • インターネット定点観測(詳細は、別紙3を参照)
    IPA で行っているインターネット定点観測について、詳細な解説を行っています。
    • リモートでアクセスするコンピュータを狙ったアクセスに注意!

3. コンピュータウイルス届出状況 -詳細は別紙1を参照-

 ウイルスの検出数(※1)は、 約44万個と、8月の49万個から11.4%の減少となりました。また、9月の届出件数(※2)は、2,426件となり、8月の2,806件から13.5%の減少となりました。

※1 検出数 : 届出にあたり届出者から寄せられたウイルスの発見数(個数)
※2 届出件数: 同じ届出者から寄せられた届出の内、同一発見日で同一種類のウイルスの検出が複数ある場合は、1日何個検出されても届出1件としてカウントしたもの。
・ 9月は、寄せられたウイルス検出数約44万個を集約した結果、2,426件の届出件数となっています。

 検出数の1位は、W32/Netsky約40万個 、2位は W32/Mytob約1.5万個、3位は W32/Bagle約5千個でした。

ウイルス検出数
ウイルス届出件数

4. コンピュータ不正アクセス届出状況(相談を含む) -詳細は別紙2を参照-

不正アクセスの届出および相談の受付状況

  4月 5月 6月 7月 8月 9月
届出(a) 計 15 19 41 10 16 10
  被害あり(b) 12 13 36 8 13 8
被害なし(c) 3 6 5 2 3 2
相談(d) 計 31 37 27 25 23 27
  被害あり(e) 20 21 11 11 15 12
被害なし(f) 11 16 16 14 8 15
合計(a+d) 46 56 68 35 39 37
  被害あり(b+e) 32 34 47 19 28 20
被害なし(c+f) 14 22 21 16 11 17

(1)不正アクセス届出状況

 9月の届出件数は10件であり、そのうち被害のあった件数は8件でした。

(2)不正アクセス等の相談受付状況

 不正アクセスに関連した相談件数は27件(うち4件は届出件数としてもカウント)であり、そのうち何らかの被害のあった件数は12件でした。

(3)被害状況

 被害届出の内訳は、侵入2件、アドレス詐称1件、その他(被害あり)5件でした。
 侵入届出の被害内容は、フィッシングに悪用するためのコンテンツを設置されていたものが1件、などでした。侵入の原因は、サーバ OS のぜい弱性放置によるものが1件などでした。

※フィッシング (Phishing) … 正規の金融機関など実在する会社を装ったメールを利用して偽のウェブページに誘導し、それを見た利用者のIDやパスワードなどを詐取しようとする行為のこと。

(4)被害事例

[ 侵入 ]
(i) フィッシングに悪用するためのコンテンツを設置された

  • 自社のウェブサイトのコンテンツ作成業者から、「ウイルスファイルが置かれている」との申告があった。
  • 調査したところ、スクリプトファイルや、フィッシングに悪用するための不正なコンテンツファイルが置かれていたことが判明。
  • 原因は不明。




フィッシングで奪取した個人情報を外部に送信するための、スクリプトファイルも同時に設置されていたようです。このスクリプトがウイルスとして検知されていました。フィッシングサイトとして悪用されると、被害者であると同時に加害者にもなってしまいます。サーバの脆弱性対策や、改ざん検知といった対策が有効です。

(参考)

[ アクセス形跡(未遂) ]

(ii) サーバが不正ログイン試行を受けている


  • 外部に公開しているサーバが、海外の IP アドレスから不正ログイン試行を受け続けている。
  • ログインは成功していないが、今後が心配。どうすればよいか。
  • 外部からの接続は、国内からしか許可したくない。




今後も侵入を許さないためには、下記の対策が有効です。
  • 公開サーバの OS やその他ソフトウェアのぜい弱性を常に解消しておく。
  • ファイアウォールを設置する。
  • アクセス制限を施す。(例:特定の IP アドレス範囲やドメインのみ許可する、特定の IP アドレス範囲や国のドメインのみ拒否する、など)
  • アクセスログをこまめにチェックする。
  • 可能であれば、IDS/IPSを設置する。
(参考)

※ログ (log) … コンピュータの利用状況やデータ通信の記録のこと。
※IDS (Intrusion Detection System) … システムに対する侵入/侵害を検出・通知するシステムのこと。
※IPS (Intrusion Prevention System) … システムに対する侵入/侵害を阻止するシステムのこと。

5.相談受付状況

 9月の相談総件数は910でした。そのうち『ワンクリック不正請求』に関する相談270件(8月:330件)でした。その他は、『セキュリティ対策ソフトの押し売り』行為に関する相談が12件(8月:13件)、Winny に関連する相談4件(8月:6件)などでした。

IPA で受け付けた全ての相談件数の推移

  4月 5月 6月 7月 8月 9月
合計 827 814 932 1,162 1,013 910
  自動応答システム 486 484 537 694 593 544
電話 279 254 339 402 374 310
電子メール 58 69 53 65 43 55
その他 4 7 3 1 3 1

※IPA では、コンピュータウイルス・不正アクセス、Winny 関連、その他情報セキュリティ全般についての相談を受け付けています。

メール: 電話番号:03-5978-7501までお問い合わせください。(ウイルス)、電話番号:03-5978-7501までお問い合わせください。(不正アクセス)
     電話番号:03-5978-7501までお問い合わせください。 (Winny緊急相談窓口)、電話番号:03-5978-7501までお問い合わせください。(その他)

電話番号: 03-5978-7509(24時間自動応答、ただし IPA セキュリティセンター員による相談受付は休日を除く月~金、10:00~12:00、13:30~17:00のみ)
FAX: 03-5978-7518 (24時間受付)

※ 「自動応答システム」 : 電話の自動音声による応対件数
    「電話」 : IPA セキュリティセンター員による応対件数

※ 合計件数には、「不正アクセスの届出および相談の受付状況」における『相談(d) 計』件数を内数として含みます。

(参考)ワンクリック不正請求相談件数の推移

ワンクリック不正請求相談件数の推移
図 5-1

主な相談事例は以下の通りです。

(i) メールの本文にあったリンクをクリックしたら、ウイルス警告が!

相談 組織内のほとんどのメールアドレス宛に、ウイルスが添付されたメールが送りつけられた。差出人は、組織内の人間を装っているが、実在しないもの。メール本文や添付ファイル名は、業務に関連があるように見えるものであった。添付ファイルを開いてしまったパソコンからは、外部のある特定の IP アドレスに向けて何やら怪しいアクセスをしている。
回答

特定の組織を狙った、スピア型攻撃と思われます。通常のウイルス対策はもちろんのこと、この場合は"こんなメールが届いたら注意!"といった組織内への注意喚起が最も重要です。また、ウイルスは実行形式の他に、ワープロなど文書ファイル内に仕込まれている場合もありますので、特に注意が必要です。

(ご参考)

※スピア型攻撃 … 特定の組織や個人を狙って行われる攻撃のこと。

(ii) Winny で情報が漏えいしてしまった・・・

相談 外部の人間から、「御社の内部情報が Winny ネットワーク上に流れていますよ」と通報を受けた。内部調査したところ、社内の Winny ユーザが私用パソコンで仕事のデータを扱っており、パソコンに暴露型ウイルスが感染して流出したらしい。今後、どうすればよいのか。
回答

情報漏えい事件が起こってしまった場合は、「情報漏えいによる直接的・間接的被害を最小限に抑える」ことが最優先です。誤った対応は、かえって被害を拡大してしまいます。下記ポイント集を参考にして、適切な対処を実施してください。

(ご参考)

6.インターネット定点観測での9月のアクセス状況

 インターネット定点観測(TALOT2)によると、2007年9月の期待しない(一方的な)アクセスの総数は、10観測点で242,378件ありました。1観測点で1日あたり243の発信元から808件のアクセスがあったことになります。

 TALOT2 での1観測点の環境は、インターネットを利用される一般的な接続環境と同一なので、インターネットを利用される皆さんの環境へも同じくらいの一方的なアクセスがあると考えられます。言い換えれば、あなたのコンピュータは、毎日、平均して、243人の見知らぬ人(発信元)から、発信元一人当たり約3件の不正と思われるアクセスを受けていると言うことになります。

1観測点での1日あたりの期待しない(一方的な)アクセス数および発信元数

 2007年4月~2007年9月までの各月の1観測点での1日あたりの平均アクセス数および、それらのアクセスの平均発信元数を図6-1に示します。この図を見ると、期待しない(一方的な)アクセスは、3ヶ月連続で1000を切り、緩やかな減少傾向にあります。

 2007年9月のアクセス状況は、7月、8月と同じ様な感じで減少傾向にありますが、2007年1月~9月と、ほとんど変わらない状況です。そうした中において、リモートでアクセスするコンピュータを狙ったアクセスが多く見受けられました。

(1) SSH を利用しているサーバを狙ったアクセス

 SSH(Secure Shell:遠隔地にあるコンピュータに、リモートでアクセスする為に、通信路を暗号化することで安全性を高めたコマンド実行ツール)を利用しているコンピュータへのアクセスは、安易なパスワードで設定されているコンピュータを狙ったアクセスと思われます。

 図 6-2は、TALOT2 のメンテナンス用にSSHを利用している観測点の、22/tcp ポートへのアクセス数を示したものです。

2007年9月の22/tcpポートへの発信元地域別アクセス数の変化(SSH利用の1観測点)

 この様に、1日に数万~数十万回のアクセス※1がくる場合があります。こうしたアクセスに応答するコンピュータに対しては、パスワードを破るための攻撃(ブルートフォース攻撃※2)を行なってきます。

※1 これらのアクセスは、特定観測点に対するものなので、統計情報にそぐわないため除外 してあります。この他に、P2P ファイル交換ソフトが使用するアクセスも同様です。
全体的なアクセス数は減少していますが、この様な特定観測点のアクセスを含めて見てみると、決して期待しないアクセスが減少している訳ではありません。

※2 ブルートフォース攻撃とは、総当り攻撃とも呼ばれ、パスワードを破るためにありとあらゆる解読方法を使用して攻撃する手法です。

 IPA に届けられた不正アクセスの情報では、ID やパスワードの不備が原因であった事例が年々増加しています。
 システム管理者は、利用するアプリケーションの ID やパスワードの再確認や、接続認証の強化を実施して下さい。また、サーバに脆弱性がないかの確認も行って下さい。


以上の情報に関して、詳細はこちらのサイトをご参照ください。 届出の詳細については以下の PDF ファイルをご参照ください。 2007年第3四半期のコンピュータウイルス・不正アクセス届出状況
『他機関・ベンダーの各種統計情報は以下のサイトで公開されています。』

お問い合わせ先:
独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC)
(ISEC:Information technology SEcurity Center)
TEL:03-5978-7527 FAX:03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。
URL:http://www.ipa.go.jp/security/