HOME情報セキュリティ情報セキュリティ対策ウイルス対策コンピュータウイルス・不正アクセスの届出状況[2008年1月分]について

本文を印刷する

情報セキュリティ

コンピュータウイルス・不正アクセスの届出状況[2008年1月分]について

第08-02-117号

2008年 2月 4日

独立行政法人 情報処理推進機構
セキュリティセンター(IPA/ISEC)

独立行政法人 情報処理推進機構(略称 IPA、理事長:藤原 武平太)は、2008年1月のコンピュータウイルス・不正アクセスの届出状況をまとめました。
(届出状況の詳細PDF資料はこちら)

1. 今月の呼びかけ

「 気をつけよう 小さな油断 大きな被害 ※ 」

――― 破壊型ウイルスと呼ばれる、原田ウイルスに注意!! ―――

標語

 1月末に、「原田ウイルス」を作成した容疑者が逮捕されたとのニュースが大きく取り上げられ、IPA にも多数の相談、問合わせが寄せられました。「原田ウイルス」とは、主に Winny 等のファイル共有ソフトを利用したネットワークを介して流通するウイルスの一つです。このウイルスはファイルの削除等を行う破壊型であり、情報漏えい等を行う暴露型の Antinny 同様に悪質なものです。ファイル共有ソフトのネットワークに流通するファイルの危険性を再認識してください。

(1)原田ウイルスの特徴

 原田ウイルスは、ファイル名に有名なアニメーションのタイトルやキャラクターの名前を含む映像ファイルに見せかけていることが確認されています。ファイル共有ソフトのネットワークを利用して、それら映像ファイルを求めている人を感染ターゲットにする目的であると考えられます。

図1-1:実行画面例

 このウイルスに感染すると図1-1の画面が表示されます。亜種の中には、人物の代わりにアニメキャラクターの画面が表示される場合もあります。 表示されると同時に、パソコン内にある静止画ファイルや動画ファイルや実行ファイルなどを図1-1のような画像ファイルに置き換え、破壊してしまいます。

 このような動作の特徴などから「破壊型ウイルス」とも呼ばれています。

(2)被害にあわないためには

 原田ウイルスは、映像ファイルに見せかけるため、ファイルの見た目を偽装しています。このような場合、下記の方法でファイルの拡張子を確認することで、偽装されたファイルを見分けることが出来ます。拡張子とは、そのファイルが記録しているデータの種類を示すものです。

(a)拡張子の表示

 Windows の初期設定では、ファイルの拡張子が表示されない設定になっています。下記の手順で拡張子を表示するように変更してください。

(i)Windows XP の場合

マイコンピュータもしくはエクスプローラのメニューバーから[ツール]-[フォルダオプション] -[表示]タブを選択し、[登録されている拡張子は表示しない]のチェックを外す

(ii)Windows Vista の場合
スタートボタンから[コントロールパネル]-[デスクトップのカスタマイズ]-[フォルダオプション]-[表示]タブを選択し、[登録されている拡張子は表示しない]のチェックを外す

(b)拡張子の確認方法

 正しいファイルの例として、図1-2(i)と図1-2(ii)を示します。図1-2(i)のファイルの拡張子は「avi」であり、動画であることを示しています。ところが図1-2(ii)ではファイル名の末尾に「…」が表示され、拡張子が見えていません。これはファイル名が長すぎるため全てを表示できていないことを示しています。Windows ではファイル名がある一定の長さを超えると全部を表示せず、「…」で省略して表示することになっているためです。図1-2(ii)の本当のファイル名は、「2007年10月長男運動会(小学校運動場).avi」で、正しい動画ファイルです。

図1-2:拡張子の見分け方例

 図1-2(iii)と図1-2(i)のファイルは一見すると同じように見えますが、図1-2(iii)を良く見ると少し離れたところに「…」が表示されています。つまり、図1-2(iii)のファイル名は長すぎるために全てが表示されていないということになります。図1-2(iii)の本当のファイル名は「動画.avi               .exe」であり、拡張子は「exe」、つまりアプリケーションプログラムです。ファイル名の途中にある大量のスペースのためにファイル名の全てが表示されず、拡張子が「exe」ではなく「avi」であると見誤ってしまいがちです。もし、図1-2(iii)のようなファイルがウイルスだった場合、見た目で「動画」と判断してダブルクリックするとすぐにウイルス感染してしまいます。このようなファイルが見つかった場合には、安易にクリックして開かずに、(c)の方法によりこのファイルの種類が何かを確認してください

(c)ファイルのプロパティでの確認方法

 図1-2(iii)のファイルの拡張子は何かということを見るには、まず図1-3(i)のようにファイルのアイコンの上で、マウスの右ボタンをクリックしてください。

 次に、図1-3(ii)のようなメニューが表示されますので、メニューの一番下にある「プロパティ」を選択します。そうすると、図1-3(iii)のような画面が表示され、「全般」タブの一番上に全体のファイル名が表示されます。この場合は、「avi」の後に多数のスペースがあり、最後にこのファイルの本当の拡張子である実行形式ファイルの「exe」が表示されています。また、「ファイルの種類」も「アプリケーション」(正しい動画ファイルの場合は「ビデオクリップ」となる)となっていますので、このファイルは動画ファイルではなく実行形式ファイルであることがわかります。これが、ファイルの見た目を偽装するウイルスの典型的な例です

図1-3:プロパティの確認例

(d)感染を防ぐためには

 ウイルスの中には、この原田ウイルスのように、ファイルの見た目を偽装するようなウイルスがあることを認識してください。そして、利用しようとするファイルが「何か怪しいファイルだな」と感じたときは、上記の方法でそのファイルが何かということを確認してください。
 このような確認を行うことで、原田ウイルスのようなウイルスから、少しでも感染を防ぐことができます。もし、原田ウイルスのような特徴を持つファイルが見つかったら、何もしないで直ぐに削除してください。さらに Windows の場合はファイルの削除等を行うと「ゴミ箱」にファイルが移動しますが、念のためファイルを移動した後、ゴミ箱を空にすることをお勧めします

(3)感染した場合

 原田ウイルスに感染した場合は、「(1)原田ウイルスの特徴」で記述したようにパソコン内のアプリケーションプログラム、映像データやデジカメで撮影した写真など個人の重要な情報が破壊されてしまい、残念ながら通常では復元する方法はありません。
 破壊された情報を復元する方法は、外部のハードディスクや DVD、CD 等の記録媒体に保存した情報からの復旧しかありません。いつ被害に遭うかわかりませんので、常日頃から定期的に「バックアップ」をとることをお勧めします。

(ご参考)

今月のトピックス

  • コンピュータ不正アクセス被害の主な事例(届出状況及び被害事例の詳細は、「3.コンピュータ不正アクセス届出状況」を参照)
    • SSH で使用するポートへの攻撃で侵入された
    • オンラインゲーム上で使うアイテムや通貨が消失した
  • 相談の主な事例 (相談受付状況及び相談事例の詳細は、「4.相談受付状況」を参照)
    • Winny でダウンロードしたファイルで、原田ウイルスに感染
    • Cabos でダウンロードしたファイルでウイルス感染?
  • インターネット定点観測(詳細は、別紙3を参照)
    IPA で行っているインターネット定点観測について、詳細な解説を行っています。
    • 135/tcpを狙ったアクセスに注意!!

2. コンピュータウイルス届出状況 -詳細は別紙1を参照-

 ウイルスの検出数(※1)は、 約31万個と、12月の約34万個から8.5%の減少となりました。また、1月の届出件数(※2)は、2,046件となり、12月の2,239件から8.7%の減少となりました。

※1 検出数 : 届出にあたり届出者から寄せられたウイルスの発見数(個数)
※2 届出件数: 同じ届出者から寄せられた届出の内、同一発見日で同一種類のウイルスの検出が複数ある場合は、1日何個検出されても届出1件としてカウントしたもの。

  • 1月は、寄せられたウイルス検出数約31万個を集約した結果、2,046件の届出件数となっています。
  • 検出数の1位は、W32/Netsky約29万個 、2位は W32/Mytob約1万個、3位は W32/Mydoom約2千5百個でした。

ウイルス検出数
ウイルス届出件数

3. コンピュータ不正アクセス届出状況(相談を含む) -詳細は別紙2を参照-

不正アクセスの届出および相談の受付状況

  8月 9月 10月 11月 12月 1月
届出(a) 計 16 10 10 15 14 8
  被害あり(b) 13 8 9 11 7 7
被害なし(c) 3 2 1 4 7 1
相談(d) 計 23 27 37 31 21 24
  被害あり(e) 15 12 22 17 16 15
被害なし(f) 8 15 15 14 5 9
合計(a+d) 39 37 47 46 35 32
  被害あり(b+e) 28 20 31 28 23 22
被害なし(c+f) 11 17 16 18 12 10

(1)不正アクセス届出状況

 1月の届出件数は8件であり、そのうち被害のあった件数は7件でした。

(2)不正アクセス等の相談受付状況

 不正アクセスに関連した相談件数は24件(うち3件は届出件数としてもカウント)であり、そのうち何らかの被害のあった件数は15件でした。

(3)被害状況

 被害届出の内訳は、侵入3件、その他(被害あり)4件でした。
侵入届出の被害は、3件全てが他サイト攻撃の踏み台として悪用されたものでした。侵入の原因としては、SSHで使用するポートへのパスワードクラッキング攻撃によるものが2件、ftpd(ftp サーバのプログラム)のぜい弱性への攻撃によるものが1件、でした。
 その他(被害あり)の被害として、オンライン RPG(ロールプレイングゲーム)上で自分のキャラクターのアイテムやゲーム内の通貨が消失していたものが1件ありました。

※SSH(Secure SHell)…ネットワークを介して遠隔のコンピュータと通信するためのプロトコルの一つ。
※パスワードクラッキング(password cracking)…他人のパスワードを、解析するなどして探り当てること。ブルートフォース攻撃(総当り攻撃)や辞書攻撃といった手法があり、クラッキング用のプログラムも存在する。

(4)被害事例

[ 侵入 ]
(i) SSH で使用するポートへの攻撃で侵入された

  • 外部より、「貴方の管理しているサーバから攻撃を受けている」と連絡があった。
  • 当該サーバを調査したところ、SSH で使用するポートにパスワードクラッキング攻撃を受け、結果的に侵入を許していたことが判明。
  • さらに、外部サイト攻撃のためのツールが埋め込まれ、実行されていたことも確認できた。
  • 組織のルールとして、SSH 運用時は公開鍵認証※とするポリシーになっていたが、これに違反し、パスワード認証で運用されていた




組織のポリシーを遵守していれば、被害を免れていたと思われる事例です。ポリシーを守る意識を醸成するとともに、改めて、組織のポリシーの内容の意味を理解する必要があるでしょう。管理する側としても、定期的にチェックする機会を設けられると良いでしょう。

(参考)
※公開鍵認証…公開鍵と秘密鍵のペアでユーザ個人の認証を行う方式のこと。
[ その他(被害あり) ]
(ii) オンラインゲーム上で使うアイテムや通貨が消失した

  • オンライン RPG(ロールプレイングゲーム)の会員である。
  • ある日、帰宅してパソコンを起動したところ、「回線が切断された」とのログが表示された。
  • 不審に思い調査したところ、ゲーム内のキャラクターが持っていたアイテムやゲーム内通貨が消失していることを確認。原因は不明。




このような事例では、一般的にはログイン時のパスワードが破られたのが原因であることがほとんどです。パスワードは推測されにくいもの(可能な限り多くの文字種使用、辞書に無い文字列、長い文字列)とし、定期的に変更することが有効な対策となります。
原因究明にはアクセスログの解析が不可欠です。ゲーム運営会社に相談するとともに、警察機関への被害届出を検討すべきでしょう。

(参考)

4.相談受付状況

 1月の相談総件数は408件でした。そのうち『ワンクリック不正請求』に関する相談28件(12月:43件)、Winny に関連する相談17件(12月:19件)、『セキュリティ対策ソフトの押し売り』行為に関する相談10件(12月:11件)などでした。

IPA で受け付けた全ての相談件数の推移

  8月 9月 10月 11月 12月 1月
合計 1,013 910 1,128 911 389 408
  自動応答システム 593 544 669 520 222 219
電話 374 310 397 337 109 151
電子メール 43 55 57 52 56 38
その他 3 1 5 2 2 0

(備考)
IPA では、コンピュータウイルス・不正アクセス、Winny 関連、その他情報セキュリティ全般についての相談を受け付けています。
メール: 電話番号:03-5978-7501までお問い合わせください。(ウイルス)、電話番号:03-5978-7501までお問い合わせください。(不正アクセス)

             電話番号:03-5978-7501までお問い合わせください。 (Winny緊急相談窓口)、電話番号:03-5978-7501までお問い合わせください。(その他)
電話番号: 03-5978-7509(24時間自動応答、ただし IPA セキュリティセンター員による相談受付は休日を除く月~金、10:00~12:00、13:30~17:00のみ)
FAX: 03-5978-7518 (24時間受付)
「自動応答システム」 : 電話の自動音声による応対件数
「電話」 : IPA セキュリティセンター員による応対件数
合計件数には、「不正アクセスの届出および相談の受付状況」における『相談(d) 計』件数を内数として含みます。

(参考)ワンクリック不正請求相談件数の推移

ワンクリック不正請求相談件数の推移
図 4-1

主な相談事例は以下の通りです。

(i) Winny でダウンロードしたファイルで、原田ウイルスに感染
相談 Winny でダウンロードしたファイルを、動画だと思って開いたら、「原田ウイルスOO(ダブルオー)」などという画面が表示された。見た目のアイコンは動画、ファイルの拡張子はスクリーンセーバである scr に見えたが、その後ろに大量のスペースが続き、その先に本当の拡張子 exe が付いていた。パソコン内のプログラムや画像のファイルが、「原田ウイルスOO」と書かれた画像で上書きされ、破壊されてしまった。ウイルス対策ソフトを購入して使っていたが、何も検知してくれなかった。幸い、データのバックアップを取っていたので、1時間ほどで復旧できた。
回答 ウイルスによって破壊されたデータは、元に戻すことが困難です。日頃、重要なデータのバックアップを取っておくことが、有効な対策となります。
なお、Winny などのファイル共有ネットワークには、原田ウイルスのような"破壊型"の他に、Antinny のような"暴露型"など、凶悪なウイルスが多数流通しています。不特定多数が参加するファイル共有ネットワークは危険だという認識を持つべきです。ウイルスに感染したくなければ、ファイル共有ソフトを使わないに越したことはありません。

(ご参考)
(ii) Cabos でダウンロードしたファイルでウイルス感染?
相談

ファイル共有ソフト Cabos でダウンロードしたファイルを開いたら、突然パソコンの電源が OFF になった。再度電源を入れると、画面に "In God We Trust" などと英語の文章が出て、その後は全く操作ができない。ウイルスに感染したのか?ウイルス対策ソフトは、何も検知しなかった。どうすれば良いのか。

回答 ウイルス対策ソフトで検知できない、新しいウイルスに感染した可能性が高いです。しかし、パソコンが正常に起動しないことにはウイルス駆除作業は困難です。Windows XP であれば、「回復オプション」で起動すると復旧できることがあります。もしダメだった場合は、パソコンを初期化することになります。
なお、ウイルス対策の観点で見れば、出所の不明なファイルを開くことは最も危険な行為です。そのようなファイルばかり流通しているファイル共有ネットワークの危険性を、改めて認識すべきです。

(ご参考)

5.インターネット定点観測での1月のアクセス状況

 インターネット定点観測(TALOT2)によると、2008年1月の期待しない(一方的な)アクセスの総数は、10観測点で244,657件ありました。1観測点で1日あたり227の発信元から789件のアクセスがあったことになります。

 TALOT2 での1観測点の環境は、インターネットを利用される一般的な接続環境と同一なので、インターネットを利用される皆さんの環境へも同じくらいの一方的なアクセスがあると考えられます。言い換えれば、あなたのコンピュータは、毎日、平均して、227人の見知らぬ人(発信元)から、発信元一人当たり約3件の不正と思われるアクセスを受けていると言うことになります。

1観測点での1日あたりの期待しない(一方的な)アクセス数および発信元数

 2007年8月~2008年1月までの各月の1観測点での1日あたりの平均アクセス数および、それらのアクセスの平均発信元数を図5-1に示します。この図を見ると、1月の期待しない(一方的な)アクセスは昨年12月よりも若干ですが増加しましたが、全体的なアクセスの内容としては、定常化していると言えます。

 2008年1月のアクセス状況は、昨年12月よりも、若干ですが増加しました。これは、Windows のぜい弱性を狙っていると思われる、135/tcp のアクセスが増加したのが原因です。また、昨年12月にアクセスが多かった、Windows Messenger サービスを悪用してポップアップメッセージを送信するアクセスの内、1028/udp のアクセス(主な発信元地域はカナダ)が減少しました。

(1)135/tcp を狙ったアクセス

 1月は135/tcp へのアクセスが増加しました。これは、Windows のぜい弱性を狙っていると思われるアクセスで、最近では、2007年10月に Microsoft 社から MS07-058 のセキュリティ情報が公開されてから、主に日本を発信元地域とした、135/tcp へのアクセスが増加傾向にありました。

(参考情報)

 11月、12月は、135/tcp のアクセスは減少していましたが、1月に入り、中華人民共和国を発信元地域としたアクセスが、少しずつですが増加しています(図5-2参照)。

中華人民共和国から発信された135/tcp への1日あたりアクセス数の遷移

 この様なアクセスは、主にボットウイルスからと思われます。今後増える可能性は十分ありますので、以下の資料を参考にしてもらい、ボット対策および不正アクセス対策を実施して下さい。

(参考情報) 以上の情報に関して、詳細はこちらのサイトをご参照ください。 届出の詳細については以下の PDF ファイルをご参照ください。

『他機関・ベンダーの各種統計情報は以下のサイトで公開されています。』

@police:http://www.cyberpolice.go.jp/
トレンドマイクロ株式会社:http://www.trendmicro.com/jp/
マカフィー株式会社:http://www.mcafee.com/japan/

お問い合わせ先:

独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC)
(ISEC:Information technology SEcurity Center)
TEL:03-5978-7527 FAX:03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。
URL:http://www.ipa.go.jp/security/