HOME情報セキュリティ情報セキュリティ対策ウイルス対策コンピュータウイルス・不正アクセスの届出状況[2007年11月分]について

本文を印刷する

情報セキュリティ

コンピュータウイルス・不正アクセスの届出状況[2007年11月分]について

第07-19-114号

2007年12月 4日

独立行政法人 情報処理推進機構
セキュリティセンター(IPA/ISEC)

独立行政法人 情報処理推進機構(略称 IPA、理事長:藤原 武平太)は、2007年11月のコンピュータウイルス・不正アクセスの届出状況をまとめました。
(届出状況の詳細PDF資料はこちら)

1. 今月の呼びかけ:その壱

「 ファイル共有ソフト、それでもまだ使い続けますか? 」

― 一向に無くならない情報漏えい ―

 IPA には毎月、「Winny 経由で会社の情報が漏れてしまったが、どうしたらいいですか?」とファイル共有ソフトを介した情報漏えいに関する相談が相当数寄せられています。これらのほとんどが Winny を利用して感染を拡大する W32/Antinny というウイルスに感染することにより発生しています。
 企業の機密情報や個人情報などが漏えいする事故が相次いでいるなか、それでも一向にファイル共有ソフト利用者が減っていません。それは、ファイル共有ソフトや情報を漏えいさせるウイルスが持つ危険性が正しく理解されていないためです。ユーザ自身の興味本位による行動がこのような被害を招いていることを認識して、自身の行動に注意していただくようお願いします。

(1)ファイル共有ソフトとは?

 ファイル共有ソフトには代表的なものとして、(i)Winny、(ii)Share、(iii)Cabos、(iv)LimeWire などがあります。ある調査によると、Winny 利用端末は、2007年8月末の時点で約34万台、Share 利用端末は約15万台とのことです。これら多数のユーザ間で、ファイルが共有されるのです。

Winnyネットワーク例

 これら多くのファイル共有ソフトでは、公開したいファイルを置くフォルダは、自分で設定します【図1-1】。つまり、利用者の操作ミスや設定の誤り一つで公開したくないファイルを公開してしまい、情報が漏えいする可能性があります。「公開」フォルダに置かれたファイルは、ファイル共有ソフトを利用している不特定多数のユーザ同士で共有されるため、その行き先が分からなくなってしまいます。その上、ファイルが多くの利用者にダウンロードされてしまうと、回収が事実上不可能になってしまいます。

 このように、ファイル共有ソフトの利用には多くの危険を伴います。よって、単なる興味本位で利用することは絶対に慎まなくてはなりません

(2)情報を漏えいさせるウイルスとは?

 ファイル共有ソフトを利用して情報を漏えいさせるウイルスの多くは、「お宝画像」、「個人情報」のような多数の人が興味をもつ単語を含むファイル名で出回っています。ユーザがファイル共有ソフトを利用してそれらのファイルをダウンロードし、ファイルを開くことにより、情報を漏えいさせるウイルスがユーザのパソコンに感染してしまいます

ファイル共有ソフトによる情報漏えいの例

 パソコンに感染したウイルスは、パソコン内の送受信メール、ワープロ、表計算の文書、画像や動画ファイル等の各種の情報を一つのファイルとしてまとめ、公開フォルダにコピーしてしまいます。また、この過程でウイルス(自分自身)を紛れ込ませます。
 こうして、ウイルスがパソコンの中から各種の情報をファイル共有ネットワークに流出させて情報漏えいが起きることになるとともに、情報を漏えいさせるウイルスもファイル共有ネットワークに広がって行きます

(3)ファイル共有ソフトによる情報漏えい事故に至る想定事例

  • (a)会社のルールを破って仕事のデータを自宅に持ち帰り、ファイル共有ソフトを利用している私用パソコンに仕事のデータをコピーして仕事をしたために、会社のデータが漏えいしまった
  • (b)ファイル共有ソフトを利用しているが、USBメモリや、ポータブルハードディスクなどの外部記憶メディアの中の情報は大丈夫だろうと思い、パソコンに接続して情報が漏えいしてしまった
  • (c)家族で共用しているパソコンでは、ファイル共有ソフトを使用していないので安心だと思っていた。しかし、自分以外の家族がこっそりファイル共有ソフトを使っているのを知らずに、そこで仕事を行い、重要ファイルを残したままにして、情報が漏えいしてしまった。
  • (d)重要情報を保存したパソコンを譲渡する時、その情報が入ったファイルは全て消したつもりだった。しかし、そのファイルが一時保存領域などに残っていたため、その後そのパソコンを入手した人がファイル共有ソフトを使用して、消したはずの重要ファイルの情報が漏えいしてしまった。
  • (e)中古パソコンを入手して利用していたが、以前の利用者がファイル共有ソフトを削除せずに残っていた事を知らず、重要な情報が漏えいしてしまった。

 以上のようにファイル共有ソフトによる情報漏えいは、思いがけないことで起きることが想定されますので、いくら注意をしてもファイル共有ソフトを利用し続ける限りは、情報漏えい事故はなくなりません
 このため IPA では従来から「ファイル共有ソフトを使用しないで下さい」と呼びかけておりますが、再度注意喚起をします。

参考:

今月の呼びかけ:その弐

「 ウイルスの見分け方を再確認しよう! 」

――― 騙されないための対策例 ―――

 ウイルス感染への予防策として、「セキュリティホール対策(OS や各種アプリケーションのアップデート)の実施」、「ウイルス対策ソフトの利用と定期的なパターンファイルの更新」を行うのは当たり前です。最近のウイルスは亜種が多く、日々新しいウイルスが作られています。
 インターネットなどから入手したファイルをウイルス対策ソフトでスキャンして、"ウイルスが検知されなかったから安全"とは限りません

(1)ウイルスの見分け方

 ファイルの見た目に巧妙な仕掛けがされている場合があります。一見すると、アイコンはフォルダに見えますが、実はウイルスであるというように、ファイルの見た目を偽装しているのです。偽装を見抜くには、ファイルの拡張子を確認する必要があります。

 【図1-3】は、ウイルスに感染していない正常な状態の例です。【図1-3】の②は種類が「ファイルフォルダ」で、フォルダには拡張子は付きません。③のファイルは、名前の欄に表示されているファイル名の拡張子が、「.doc」で、種類が「Microsoft Word文書」となっています。

正常なファイルの例

 【図1-4】はウイルスに感染した状態の例です。【図1-4】の①のファイルは、【図1-3】の①と同じなので、正常なファイルです。
 しかし、②と③の名前の欄に表示されているファイル名の拡張子が「.exe」となっており、種類が「アプリケーション」となっています。

ウイルスファイルの例

 この二つのファイルが、アイコンをフォルダや Word 文書に見せかけたウイルスの典型的な例です。
 ファイルの種類を正しく見分ける知識を身につけないと、ウイルスと知らずに開いてしまい、感染してしまいます。しかし Windows の初期設定では拡張子が表示されないようになっています。拡張子を確認するためには、以下の手順で設定を変更して下さい。

(a)Windows XP の場合

 マイコンピュータもしくはエクスプローラのメニューバーから[ツール]-[フォルダオプション] -[表示]タブを選択し、[登録されている拡張子は表示しない]のチェックを外す

(b)Windows Vista の場合

 スタートボタンから[コントロールパネル]-[デスクトップのカスタマイズ]-[フォルダオプション]-[表示]タブを選択し、[登録されている拡張子は表示しない]のチェックを外す

 設定を変更した後、再度ファイル名を確認して【図1-4】の②や③の特徴を持つファイルが見つかったら、直ぐに削除してください(ゴミ箱に移動した後、ゴミ箱を空にする)

今月のトピックス

  • コンピュータ不正アクセス被害の主な事例(届出状況及び被害事例の詳細は、「3.コンピュータ不正アクセス届出状況」を参照)
    • SQL インジェクション攻撃でデータが改ざんされた
  • 相談の主な事例 (相談受付状況及び相談事例の詳細は、「4.相談受付状況」を参照)
    • Antinny ウイルスが検出された
    • 出会い系サイトに登録したら一方的にメールを送られ続けている
  • インターネット定点観測(詳細は、別紙3を参照)
    IPA で行っているインターネット定点観測について、詳細な解説を行っています。
    • Windows Messenger サービスを悪用したアクセスに注意!

2. コンピュータウイルス届出状況 -詳細は別紙1を参照-

 ウイルスの検出数(※1)は、 約60万個と、10月の50万個から18.5%の増加となりました。また、11月の届出件数(※2)は、2,351件となり、10月の2,419件から同水準での推移となりました。

※1 検出数 : 届出にあたり届出者から寄せられたウイルスの発見数(個数)
※2 届出件数: 同じ届出者から寄せられた届出の内、同一発見日で同一種類のウイルスの検出が複数ある場合は、1日何個検出されても届出1件としてカウントしたもの。
・ 11月は、寄せられたウイルス検出数約60万個を集約した結果、2,351件の届出件数となっています。

 検出数の1位は、W32/Netsky約51万個 、2位は W32/Looked約2万個、3位は W32/Mytob約1.8万個でした。

ウイルス検出数
ウイルス届出件数

3. コンピュータ不正アクセス届出状況(相談を含む) -詳細は別紙2を参照-

不正アクセスの届出および相談の受付状況

  6月 7月 8月 9月 10月 11月
届出(a) 計 41 10 16 10 10 15
  被害あり(b) 36 8 13 8 9 11
被害なし(c) 5 2 3 2 1 4
相談(d) 計 27 25 23 27 37 31
  被害あり(e) 11 11 15 12 22 17
被害なし(f) 16 14 8 15 15 14
合計(a+d) 68 35 39 37 47 46
  被害あり(b+e) 47 19 28 20 31 28
被害なし(c+f) 21 16 11 17 16 18

(1)不正アクセス届出状況

 11月の届出件数は15件であり、そのうち被害のあった件数は11件でした。

(2)不正アクセス等の相談受付状況

 不正アクセスに関連した相談件数は31件(うち1件は届出件数としてもカウント)であり、そのうち何らかの被害のあった件数は17件でした。

(3)被害状況

 被害届出の内訳は、侵入6件、DoS 攻撃1件、アドレス詐称1件、その他(被害あり)3件でした。
 侵入届出の被害内容は、外部サイトを攻撃するための踏み台になっていたものが2件、フィッシングに悪用するためのコンテンツを設置されていたものが1件、などでした。侵入の原因は、パスワードクラッキング攻撃によるものが3件、サーバ OS その他アプリケーションのぜい弱性放置によるものが3件、などでした。

※フィッシング(Phishing)…正規の金融機関など実在する会社を装ったメールを利用して偽のウェブページに誘導し、それを見た利用者のIDやパスワードなどを詐取しようとする行為のこと。
※パスワードクラッキング(password cracking)…他人のパスワードを、解析するなどして探り当てること。ブルートフォース攻撃(総当り攻撃)や辞書攻撃といった手法があり、クラッキング用のプログラムも存在する。

(4)被害事例

[ 侵入 ]
(i) SQL インジェクション攻撃でデータが改ざんされた

  • データベース内データのウェブ表示でエラーが発生。
  • データベース内のデータ1000箇所以上に、見覚えのない文字列
    【<script src="http://(省略).net/0.js"></script>】が追記されていることを発見。
  • 正規の手続きを踏んでデータ書き込みした場合に更新される情報が、更新されていなかった。他の何らかの方法で書き込まれていたということ。
  • データベースサーバは、外部(インターネット)からは直接アクセス出来ないところに配置してある。通常はウェブサーバ上のウェブアプリケーションを介してアクセスする。
  • SQL インジェクション対策が一部で未対応であったことが原因と思われた。




ウェブサーバ上のウェブアプリケーションにぜい弱性があったため、SQL インジェクション攻撃の被害を受け、結果的にデータベース内のデータが機械的に改ざんされてしまった例です。このサイト以外にも同様の被害事例が多数見受けられましたので、攻撃者はぜい弱性があるサイトを無差別的に攻撃している模様です。
ぜい弱性を攻撃されると、改ざん・消去のみならず、閲覧も可能ですから、情報漏えいにつながる恐れがあります。SQL インジェクション対策に漏れがないか、再度確認をしましょう。

(参考)

※SQL インジェクション…データベースへアクセスするプログラムの不具合を悪用し、正当な方法以外でデータベース内のデータを閲覧したり書き換えしたりする攻撃のこと。

4.相談受付状況

 11月の相談総件数は91件でした。そのうち『ワンクリック不正請求』に関する相談264件(10月:369件)、『セキュリティ対策ソフトの押し売り』行為に関する相談が14件(10月:16件)、Winny に関連する相談31件(10月:11件)などでした。

IPA で受け付けた全ての相談件数の推移

  6月 7月 8月 9月 10月 11月
合計 932 1,162 1,013 910 1,128 911
  自動応答システム 537 694 593 544 669 520
電話 339 402 374 310 397 337
電子メール 53 65 43 55 57 52
その他 3 1 3 1 5 2

(備考)
IPA では、コンピュータウイルス・不正アクセス、Winny 関連、その他情報セキュリティ全般についての相談を受け付けています。

メール: 電話番号:03-5978-7501までお問い合わせください。(ウイルス)、電話番号:03-5978-7501までお問い合わせください。(不正アクセス)
     電話番号:03-5978-7501までお問い合わせください。 (Winny緊急相談窓口)、電話番号:03-5978-7501までお問い合わせください。(その他)

電話番号: 03-5978-7509(24時間自動応答、ただし IPA セキュリティセンター員による相談受付は休日を除く月~金、10:00~12:00、13:30~17:00のみ)
FAX: 03-5978-7518 (24時間受付)

「自動応答システム」 : 電話の自動音声による応対件数
「電話」 : IPA セキュリティセンター員による応対件数
合計件数には、「不正アクセスの届出および相談の受付状況」における『相談(d) 計』件数を内数として含みます。

(参考)ワンクリック不正請求相談件数の推移

ワンクリック不正請求相談件数の推移
図 4-1

主な相談事例は以下の通りです。

(i) Antinny ウイルスが検出された

相談 つい先日までファイル共有ソフト share を使っていた。ダウンロードしたファイルは、必ずウイルス対策ソフトでチェックしてから開いていた。ある日、これまでと異なるウイルス対策ソフトでチェックしたら Antinny ウイルスが数種類検出された。ウイルスはすぐ削除してしまった。ファイル共有ソフトも、今では削除してしまっている。情報漏えいしているのか?
回答

検出されたウイルスは Winny の動作を悪用して情報漏えいさせるものでした。しかし、現時点では検出できないウイルスに感染していたことも考えられるため、安心はできません。ファイル共有ソフト share を削除していなければ、share の動作を悪用されての情報漏えいの有無は確認できましたが、今となってはどうすることもできません。二次被害を想定した対策が望まれます

(ご参考)

(ii) 出会い系サイトに登録したら一方的にメールを送られ続けている

相談 インターネットの出会い系サイトに登録した。後で考え直し、登録を解除しようと申し出たが、業者側が対応してくれない。そのサイトから、毎日大量の案内メールが送られてくる。どうすれば良いか。
回答 悪質な業者だと、素直に話を聞き入れてくれる可能性は低いでしょう。まずは、メールをフィルタで振り分けて無視しましょう。恒久的対策としては、メールアドレスを変更することになります。
今後は、信頼できるか分からない業者には、不用意にアドレスを教えないことが一番の予防策となります。どうしても相手にアドレスを教えなくてはならない場合は、念のため、変更もしくは削除しても良いアドレスを教えるのが良いでしょう。

5.インターネット定点観測での11月のアクセス状況

 インターネット定点観測(TALOT2)によると、2007年11月の期待しない(一方的な)アクセスの総数は、10観測点で263,077件ありました。1観測点で1日あたり241の発信元から877件のアクセスがあったことになります。

 TALOT2 での1観測点の環境は、インターネットを利用される一般的な接続環境と同一なので、インターネットを利用される皆さんの環境へも同じくらいの一方的なアクセスがあると考えられます。言い換えれば、あなたのコンピュータは、毎日、平均して、241人の見知らぬ人(発信元)から、発信元一人当たり約4件の不正と思われるアクセスを受けていると言うことになります。

1観測点での1日あたりの期待しない(一方的な)アクセス数および発信元数

 2007年6月~2007年11月までの各月の1観測点での1日あたりの平均アクセス数および、それらのアクセスの平均発信元数を図5-1に示します。この図を見ると、期待しない(一方的な)アクセスは、10月とほとんど同じ傾向にあります。

 2007年11月のアクセス状況は、10月と比べても変わりなくほとんど同じ状況でした。その中で、Windows Messenger サービスを悪用してポップアップメッセージを送信するアクセスの内、1028/udpが増加しました。

(1) Windows Messenger サービスを悪用したアクセスの発信元状況

 Windows Messenger サービスを悪用してポップアップメッセージを送信するアクセスは、1026/udp、1027/udp、1028/udp に対して行なわれますが、11月は1028/udp に対するアクセスが多く見受けられました。

 これらの発信元は、そのほとんどがカナダからで、1026/udp、1027/udp に対するアクセスも、アクセス数1位の中国(中華人民共和国)に次いで、多く見受けられます。(図5-2参照)

カナダから発信された102x/udpへのアクセス状況

1028/udp 発信元地域別アクセス数の変化 (10観測点)

 これらのアクセスは、迷惑メールと似ていて、Windows Messenger サービスを悪用してポップアップメッセージを送りつけてくるもので、"コンピュータに重度の障害が発生しました"旨の嘘の内容で脅し、特定の URL をクリックさせようとします。
 ほとんどがスパムメッセージと思われますので、無視をしていればよいのですが、迷惑メールの様に増加していく可能性もあります。

 この様なアクセスへの対策としては、Windows Messenger サービスを停止することを勧めます。ただし、企業内 LAN 等で使用しているコンピュータの場合は、システム管理者の指示に従って下さい。

(参考情報)

 また、Windows Messenger サービスのぜい弱性のセキュリティパッチも発表されていますので、適用されているか確認を行なうこともお勧めます。

(参考情報) 以上の情報に関して、詳細はこちらのサイトをご参照ください。 届出の詳細については以下の PDF ファイルをご参照ください。

『他機関・ベンダーの各種統計情報は以下のサイトで公開されています。』

お問い合わせ先:
独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC)
(ISEC:Information technology SEcurity Center)
TEL:03-5978-7527 FAX:03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。
URL:http://www.ipa.go.jp/security/