HOME情報セキュリティ情報セキュリティ対策ウイルス対策コンピュータウイルス・不正アクセスの届出状況[2008年8月分]について

本文を印刷する

情報セキュリティ

コンピュータウイルス・不正アクセスの届出状況[2008年8月分]について

第08-20-131号

2008年 9月 2日

独立行政法人 情報処理推進機構
セキュリティセンター(IPA/ISEC)

 独立行政法人 情報処理推進機構(略称 IPA、理事長:西垣 浩司)は、2008年8月のコンピュータウイルス・不正アクセスの届出状況をまとめました。
(届出状況の詳細PDF資料はこちら)

1. 今月の呼びかけ

「 心当たりのないメールは、興味本位で開かずにすぐ捨てよう! 」
― 迷惑メールから始まる様々な被害が増えています ―

 8月に IPA に寄せられた相談の中に、「海外の有名ニュースサイトからのメールのリンクをクリックしたら、ウイルス対策ソフトが反応した」、「メールで届いた有名映画女優の映像へのリンクをクリックしたら、"パソコンにウイルスが感染している"というメッセージが出続ける」など、メール経由でのウイルス感染に関するものが複数ありました。

 届いたメールについて身に覚えがないのに、時事ニュースや有名人のゴシップなどの記事のリンクを興味本位でクリックすると、ウイルスやスパイウェアに感染するなどの被害にあう可能性が高くなります(図1-1参照)。この様な被害にあわないためにも、どこの誰から届いたかわからない、自分に関係のないと思われる怪しいメールは、本文を開いて見ることをせず、すぐに捨てることが有効な対策となります 図1-1 迷惑メールの例

(1)最近の被害事例

 迷惑メールを、ウイルス感染させるための道具として使う手法は従来からあります。これまではメールに直接ウイルスファイルを添付したり、メール本文にある URL からのリンク先のサイトにウイルスファイルが埋め込まれていたりする手法が主流でした。
 最近の手法は、手口が巧妙になってきており、複数の手口を組み合わせていることもあります。例えば悪意ある者が差出人として実在する企業などを名乗り、メール本文を HTML 形式(Hyper Text Markup Language: ウェブサイトなどに利用されている表示形式)として送ってくるというものです。

 そのメールは実在する企業に関係する内容になっているため信用してしまい、メール本文にある URL リンクをクリックしてしまいがちです。クリックすると、一旦実在の企業サイトに見せ掛けた偽のサイトに誘導されます。そして、そこでニュースの映像を観るためにプレーヤソフトをダウンロードさせられたり、アプリケーションソフトウェアの更新プログラムを実行させられたりします(図1-2参照)。

図1-2アプリケーションの更新に見せかけたウイルス感染例

 しかし、これらのプログラムは、ウイルスです。取り込んでしまったウイルスによっては、それがダウンローダ(ダウンロード支援ツール)として動作し、悪意あるサイトに接続し、さらに他のウイルスやスパイウェアをダウンロードしてくるものもあります。悪意あるサイトに置かれるウイルスは作者自身が自由に変更できるため、利用者の手元に何がダウンロードされるかは、利用者がクリックした時期によって異なる場合があります。最近では金銭詐取を目的として、最終的にセキュリティ対策ソフトと偽ったソフトをダウンロードさせられ、購入代金をクレジットカードで決済するように迫られる事例が出てきています。

(2)迷惑メールの見分け方

 迷惑メールなど、注意が必要なメールはその性質などにより概ね4つの種類に分類されます。以下に4種類それぞれの主な特徴を挙げます。このような特徴を持つメールを見つけたら、本文を開いて見ることをせず、すぐに削除してください。

(a) 無差別広告などのメール

 ・同じところから繰り返し送られてくるメール

(b) 差出人はいろいろ変わっているが本文が同じ内容のメール

 ・差出人は異なっているが、同じ件名で本文が同じ内容のメール

 ・差出人も件名も異なるが本文が同じ内容のメール

(c) 差出人が見知らぬ人で、内容にも覚えがないメール

 ・自分のアドレスを登録した覚えのないところから来る広告などのメール

 ・懸賞に当選したなどの件名で届くメール

(d) 差出人は知り合いであるが、件名が妙なものや普段と何か違うと感じられるメール

 ・普段日本語でしかやりとりをしていない人から届いた本文が外国語のメール

 ・普段添付ファイルを送ってこない人から届いた添付ファイルありのメール

 

 しかし、目視による確認の場合、迷惑メールを見逃してしまう場合があります。そこで、ご自分がお使いのメールソフトに迷惑メールを自動的に認識して遮断、削除することができる迷惑メールフィルタリング機能が備わっていれば、その機能を利用することをお勧めします。また、市販の迷惑メールフィルタリングソフトや、ご自分が加入しているプロバイダ(*1)による迷惑メールフィルタリングサービスもありますので、いずれかの迷惑メール対策を利用されることをお勧めします。

(*1) プロバイダ
 ISP(インターネットサービスプロバイダ)のこと。インターネットに接続するためのサービスなどを提供する事業者。

(3)ウイルス対策

 ウイルスに感染しないための基本的な対策は、ウイルス対策ソフトのパターンファイルを常に最新の状態に更新しておくことです。しかし、最近の特徴として、ウイルスの亜種(*2)の発生頻度が高まるとともに、ウイルス対策ソフトのパターンファイルに登録されるまでの時間の関係で、ウイルスの検知が追いつかない状況も見受けられるようになっています。そこで万が一のため、以下の対策の実施をお勧めします。

(*2) 亜種
 オリジナルのウイルスに機能を追加したり、動作を変更したりするなどの改変を加えたもの。

 

(a)基本的な対策

 ウイルスを感染させる手口として OS やアプリケーションの脆弱性(ぜいじゃくせい)(*3)が利用される場合があります。お使いの OS、アプリケーションを常に最新の状態に更新して、脆弱性を可能な限り無くしてください。

 

(b)メールソフトの設定変更

 使用しているメールソフトの設定を、電子メールの本文がHTML形式の場合でも、テキスト形式でしか表示しないようにすることや、ウイルスの可能性がある添付ファイルを開かないようにする(Outlook Expressなどの機能)ことをお勧めします。

 

(*3)脆弱性(Vulnerability)
  一般にソフトウェア等のセキュリティ上の弱点を指します。セキュリティホール(Security Hole)とも呼ばれます。

 

 さらに、迷惑メールからのウイルス感染を防ぐには、安易にメールの添付ファイルや本文内に記述されているURLリンクをクリックしないことが重要です。
 誤ってリンクをクリックした場合に、図1-3の「ダウンロードの警告画面」が表示される場合があります。これは、利用者に何か悪意のあるプログラムをダウンロードさせようとしていることになりますので、この警告画面が表示された場合には、必ず[キャンセル]をクリックしてください。

図1-3 Windows Vista/Windows XPでのファイルのダウンロードの警告画面
※画像のクリックで拡大表示

(4)セキュリティ対策ソフトの押し売りのような行為への対策

 迷惑メールから誘導される URL のリンクをクリックすると、突然、「あなたのパソコンからウイルスが発見されました」、「あなたのパソコンにはエラーが発生しています」といった内容のメッセージ画面が表示され、それらの問題を解消するために画面に表示されている「セキュリティ対策ソフト」の購入をするように勧められる場合があります。実際には、ほとんどの場合、メッセージを偽って表示して、異常が無くても問題があるように見せかけて、セキュリティ対策ソフトの代金を支払わせようとする悪質な行為です(図1-4参照)。

 このような手口で購入を迫るセキュリティ対策ソフトは信頼できませんから、決して購入してはいけません。
 もし、このような「セキュリティ対策ソフト」をインストールしてしまったり、購入を促す画面が消えなくなってしまったりした場合は、以下の説明にある通り、システムの復元を実施して下さい。それでも症状が改善されない場合は、パソコンの初期化を実施して下さい。
図1-4 セキュリティ対策ソフトの押し売り行為の例

(a)システムの復元機能でシステムの状態を以前の正常な状態に戻す
 "システムの復元機能"とは、Windows を以前の状態に戻す機能です。Windows には、任意の日を自動的に選んで、その日のパソコンのシステム状態を保存しており、パソコンの動作が不安定になったり、使用するのに支障が出たりするなどの状態になった場合に、これらの保存された情報を基にして正常な状態に戻すことが可能です。この正常な状態が保存される任意の日は、ユーザが自分で設定することも可能となっています。新しくソフトウェアをインストールした場合にも、インストール直前の状態が自動的に保存されるようになっています。以下の情報を参考にし、「システムの復元機能」を使用してシステムの状態を、症状が出る前の状態に戻す作業を行ってください。
 ただし、選択した任意の日から現在までに、アプリケーションソフトウェアのインストール、アップデートなどをした場合は、それらの作業は"実施しなかった"ことになってしまいますので、システム復元後に再度実施してください。
 なお、選択した任意の日から現在までに作成した文書や送受信したメール情報ならびにホームページへのアクセス履歴やお気に入りは消えません。

 「システムの復元のやり方」
 http://www.microsoft.com/japan/windowsxp/pro/business/
feature/performance/restore.mspx

(b)パソコンの初期化
 "初期化"とは、パソコンを購入した時の状態に戻す作業のことをいいます。パソコンにウイルスが感染していたとしても、初期化すれば全て削除することができます。
 実際の作業方法は、購入時に添付されている説明書に記載されている「購入時の状態に戻す」などの手順に沿って作業してください。
 作業する前に重要なデータを外部媒体(USB メモリや CD-R、外付け HDD など)にバックアップしてから作業を行って下さい。

(ご参考)
「メールの添付ファイルの取り扱い5つの心得」
 http://www.ipa.go.jp/security/antivirus/attach5.html
「パソコンユーザのためのウイルス対策 7 箇条」
 http://www.ipa.go.jp/security/antivirus/7kajonew.html
「ワクチンソフトに関する情報」
 http://www.ipa.go.jp/security/antivirus/vacc-info.html
「Microsoft UpdateとWindows Updateの利用の手順」(マイクロソフト社)
 http://www.microsoft.com/japan/athome/security/mrt/wu.mspx
「迷惑メール対策」(経済産業省)
 http://www.meti.go.jp/policy/consumer/tokusyuu/meiwakumail-main.htm
「迷惑メール情報提供受付」(財団法人 日本産業協会)
 http://www.nissankyo.or.jp/spam/index.html
「迷惑メール相談センター」(財団法人 日本データ通信協会)
 http://www.dekyo.or.jp/soudan/index.html

今月のトピックス

  • コンピュータ不正アクセス被害の主な事例(届出状況及び被害事例の詳細は、「3.コンピュータ不正アクセス届出状況」を参照)
    • SSH で使用するポートへの攻撃で侵入された
    • オンラインゲームサイトで、自分のアカウントがハッキングされた
  • 相談の主な事例 (相談受付状況及び相談事例の詳細は、「4.相談受付状況」を参照)
    • USB メモリからウイルス感染?
    • ウイルスが検知された後パソコンが正しく起動しないが、データを取り出したい
  • インターネット定点観測(詳細は、別紙3を参照)
    IPA で行っているインターネット定点観測について、詳細な解説を行っています。
    • 135/tcp へのアクセスに注意!

2. コンピュータウイルス届出状況 -詳細は別紙1を参照-

 ウイルスの検出数(※1)は、 約19万個と、7月の約19万個から同水準での推移となりました。また、8月の届出件数(※2)は、1,811件となり、7月の1,448件から25.1%の増加となりました。

※1 検出数 : 届出にあたり届出者から寄せられたウイルスの発見数(個数)
※2 届出件数: 同じ届出者から寄せられた届出の内、同一発見日で同一種類のウイルスの検出が複数ある場合は、1日何個検出されても届出1件としてカウントしたもの。
 ・8月は、寄せられたウイルス検出数約19万個を集約した結果、1,811件の届出件数となっています。

 検出数の1位は、W32/Netsky約18万個 、2位は W32/Mytob約3.5千個、3位は W32/Mydoom約3.4千個でした。

ウイルス検出数
ウイルス届出件数

3. コンピュータ不正アクセス届出状況(相談を含む) -詳細は別紙2を参照-

不正アクセスの届出および相談の受付状況

  3月 4月 5月 6月 7月 8月
届出(a) 計 19 14 4 13 19 15
  被害あり(b) 13 10 4 11 18 10
被害なし(c) 6 4 0 2 1 5
相談(d) 計 35 56 37 36 49 25
  被害あり(e) 15 31 18 15 26 13
被害なし(f) 20 25 19 21 23 12
合計(a+d) 54 70 41 49 68 40
  被害あり(b+e) 28 41 22 26 44 23
被害なし(c+f) 26 29 19 23 24 17

(1)不正アクセス届出状況

 8月の届出件数は15件であり、そのうち何らかの被害のあったものは10件でした。

(2)不正アクセス等の相談受付状況

 不正アクセスに関連した相談件数は25件(うち4件は届出件数としてもカウント)であり、そのうち何らかの被害のあった件数は13件でした。

(3)被害状況

 被害届出の内訳は、侵入4件、DoS 攻撃が1件、アドレス詐称が1件、その他(被害あり)4件でした。
 侵入届出の被害は、他サイト攻撃の踏み台として悪用されたものが3件、レンタルサーバ上に設置してあるウェブページコンテンツを改ざんされたものが1件、でした。侵入の原因は、SSHで使用するポートへのパスワードクラッキング攻撃によるものが3件、などでした。
 その他(被害あり)の被害として、オンラインサービスのサイトに本人になりすまして何者かにログインされ、サービスを勝手に利用されていたものが2件(オンラインゲーム1件、ウェブメール1件)、などがありました。

※SSH(Secure SHell)…ネットワークを介して遠隔のコンピュータと通信するためのプロトコルの一つ。
※パスワードクラッキング(password cracking)…他人のパスワードを、解析するなどして探り当てること。ブルートフォース攻撃(総当り攻撃)や辞書攻撃といった手法があり、クラッキング用のプログラムも存在する。

(4)被害事例

[ 侵入 ]
(i) SSH で使用するポートへの攻撃で侵入された

  • システムログをチェックしたところ、外部ネットワークに対して攻撃を試みているらしいとの警告を発見。
  • 調査したところ、あるサーバが、SSH で使用するポートにパスワードクラッキング攻撃を受け、パスワードを破られて侵入を許してしまっていたことが判明。
  • さらに、サイト攻撃ツールを埋め込まれ、外部サイト攻撃の踏み台として使われてしまっていた。
  • 破られたのはデータベースサーバアカウント「postgres」で、パスワードは推測容易なものにしてしまっていた。
  • 通常、パスワード設定は推測困難な複雑なものにするようにしていたが、たまたま推測容易なものにしてしまっていた。




ありがちなアカウント名だったので、真っ先にパスワードクラッキングの標的として狙われてしまったのではないかと思われます。さらに不運なことに、たまたまぜい弱なパスワードであったため、容易に推測されてしまったようです。このように、攻撃者はセキュリティの弱い部分を狙って来ますので、対策は抜かりなく実施する必要があります

(参考)
[ その他(被害あり) ]
(ii) オンラインゲームサイトで、自分のアカウントがハッキングされた

  • 自分が会員であるオンラインゲームサイトで、1週間ぶりにログインしたところ、自分が最後にログアウトした位置とは違う所にキャラクタが居り、かつキャラクタが装備していたアイテムやゲーム内通貨が無くなっていたことに気付いた。
  • ゲーム内での知り合いに聞いたところ、自分が仕事をしていた時間帯に、自分のキャラクタがログインして活動していたのを見掛けた、とのこと。
  • Windows Update やウイルス対策、ウイルス定義ファイル更新はきちんと実施していた。




原因として考えられるのは、「比較的安易なパスワードだったため、推測されてしまった」「パスワード入力を盗み取るウイルスに感染していた」ということです。パスワードは、使える文字種(英数字、大文字小文字、記号)は全て使い、かつ出来るだけ長くしましょう(少なくても8文字以上)。もしこれでもアカウントが他人に使われてしまうようだと、ウイルスが原因である可能性が高いと言えます。ウイルス対策ソフトが何も検知しなくても、実は感染しているということもあります。不安であれば、パソコンを一旦初期化するというのも、一つの手です。もし被害に遭ってしまったら、すぐにサイト管理者に通報するとともに、警察機関に被害届を出しましょう。

(参考)

4.相談受付状況

 8月の相談総件数は1,616件であり、過去最多の件数となりました。そのうち『ワンクリック不正請求』に関する相談545件(7月:457件)と激増し、過去最悪となりました。その他は、『セキュリティ対策ソフトの押し売り』行為に関する相談18件(7月:14件)、Winny に関連する相談5件(7月:4件)などでした。

 表4-1 IPA で受け付けた全ての相談件数の推移

  3月 4月 5月 6月 7月 8月
合計 654 938 1,080 1,211 1,387 1,616
  自動応答システム 373 514 649 693 817 994
電話 214 335 379 456 500 548
電子メール 66 87 48 60 70 69
その他 1 2 4 2 0 5

(備考)
IPA では、コンピュータウイルス・不正アクセス、Winny 関連、その他情報セキュリティ全般についての相談を受け付けています。
メール: 電話番号:03-5978-7501までお問い合わせください。(ウイルス)、電話番号:03-5978-7501までお問い合わせください。(不正アクセス)

             電話番号:03-5978-7501までお問い合わせください。 (Winny緊急相談窓口)、電話番号:03-5978-7501までお問い合わせください。(その他)
電話番号: 03-5978-7509(24時間自動応答、ただし IPA セキュリティセンター員による相談受付は休日を除く月~金、10:00~12:00、13:30~17:00のみ)
FAX: 03-5978-7518 (24時間受付)
「自動応答システム」 : 電話の自動音声による応対件数
「電話」 : IPA セキュリティセンター員による応対件数
合計件数には、「不正アクセスの届出および相談の受付状況」における『相談(d) 計』件数を内数として含みます。

図4-1 ワンクリック不正請求相談件数の推移

主な相談事例は以下の通りです。

(i) USB メモリからウイルス感染?
相談

社内のパソコンのほとんどが、USB メモリから感染するウイルスに侵されている可能性がある。症状は以下。どうすれば良いか。

  • 社内パソコン単体で使っている場合は、何の動作不良も起こらない
  • USB メモリから社内パソコンに取り込んだデータが、謎の exe ファイルになる
  • 社内で使用した USB メモリを社外のパソコンに接続すると、社外のパソコンが 動かなくなることがある
  • 最新の状態にしたウイルス対策ソフトでスキャンしても何も検知されない
回答

USB メモリを介してデータをやり取りした際に異常なことが起こるため、社内パソコンは既に何らかのウイルスに感染している可能性が高いでしょう。さらに、社内で使用した USB メモリを挿してしまった社外のパソコンにもウイルスを感染させてしまった可能性もあります。ウイルス駆除のためには、ウイルスであると思われるファイルを特定する必要があります。ある程度ファイルを特定したら、できるだけ多くのウイルス対策ソフトで検査してみることをお勧めします。「VIRUS TOTAL」は、オンラインで疑わしいファイルを解析してくれるサービスです。無償で、同時に30種類以上のウイルス対策ソフトによるチェックが可能です。
しかしながら、業務用の多数のパソコンがウイルス感染しているようですと、セキュリティ専門の業者に対処を依頼するのが解決への近道かもしれません

(ご参考)
(ii) ウイルスが検知された後パソコンが正しく起動しないが、データを取り出したい
相談

WindowsXP を利用している。ある時、ウイルス対策ソフトがウイルスを検知し、その後パソコンがフリーズした。電源ボタンを長押しして強制終了させたが、以降、Windows が起動完了する直前でシャットダウンしてしまう。パソコンを初期化するのはいいが、その前にどうしても取り出しておきたいファイルがある。どうすれば?

回答 Windows が正常に起動しない際の対処方法には以下のようなものがあります。
1.セーフモードで起動し、「Windows 拡張オプションメニュー」から、「前回正常起動時の構成」を選択すると、正しく起動できる場合があります。
2.Windows XP 回復コンソールでデータを取り出せる場合があります。
(ご参考)Windows XP 回復コンソールについて
   http://support.microsoft.com/kb/314058/ja
3.正しく起動しない場合、パソコンからHDDを取り外して他のパソコンに接続し、データを吸い上げます。

5.インターネット定点観測での8月のアクセス状況

 インターネット定点観測(TALOT2)によると、2008年8月の期待しない(一方的な)アクセスの総数は10観測点で139,174件、総発信元数(※)は53,451箇所ありました。1観測点で見ると、1日あたり172の発信元から449件のアクセスがあったことになります。
総発信元数():TALOT2 にアクセスしてきた発信元の総数。なお、同一発信元から同一観測日・観測点・ポートにアクセスがあった場合は1つの発信元としてカウント。

 TALOT2 での1観測点の環境は、インターネットを利用される一般的な接続環境と同一なので、インターネットを利用される皆さんの環境へも同じくらいの一方的なアクセスがあると考えられます。言い換えれば、あなたのコンピュータは、毎日、平均して、172人の見知らぬ人(発信元)から、それぞれ約3件ずつの不正と思われるアクセスを受けていると言うことになります。

図5-1: 1観測点での1日あたりの期待しない(一方的な)アクセス数および発信元数

 2008年3月~2008年8月までの各月の1観測点での1日あたりの平均アクセス数および、それらのアクセスの平均発信元数を図5-1に示します。この図を見ると、8月の期待しない(一方的な)アクセスは7月と比べて若干減少しており、過去6ヶ月間を通してみても、減少傾向を示していると言えます。

(1)135/tcpへのアクセス
 8月27日に一時的にアクセスの増加を観測しました。これは、Windows の脆弱性を狙った135/tcp へのアクセスが増加したためです。この日の135/tcp へのアクセスの発信元数の約6割が日本、約3割が中華人民共和国でした。この日は、135/tcp 以外のポートへのアクセスも8月の他の日に比べ若干増加していました。これらのアクセスが一時的に増加した原因は不明です。(図5-2参照)

図5-2: 2008年8月のポート別アクセス状況

以上の情報に関して、詳細はこちらのサイトをご参照ください。

届出の詳細については以下の PDF ファイルをご参照ください。

『他機関・ベンダーの各種統計情報は以下のサイトで公開されています。』

@police:http://www.cyberpolice.go.jp/
トレンドマイクロ株式会社:http://jp.trendmicro.com/jp/home/
マカフィー株式会社:http://www.mcafee.com/japan/

お問い合わせ先:

独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC)
(ISEC:Information technology SEcurity Center)
TEL:03-5978-7527 FAX:03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。
URL:http://www.ipa.go.jp/security/