(1)被害内容と原因

　IPA に寄せられた相談の被害事例は、新聞でも何度か報道されています。それによると、オークションサイトのアカウントが盗まれて、不正に利用されたといった被害が多数確認されています。中には、本人が知らないあいだに大量の商品をオークションに出品されてしまい、その手数料をオークションサイトから請求されるといった金銭に関わる被害が起きています（図1-1参照）。
　今回の被害の多くは、安易なパスワードを設定していたことが原因のひとつとして推測されます。相談事例の中にも、パスワードを「数字だけの組み合わせ」、「簡単な英単語」で設定していたというものがありました。このような安易なパスワードでは、辞書攻撃^*2等により短時間にパスワードを解読されてしまい、アカウントの不正利用に繋がる危険性が高くなります。

図1-1：アカウントを不正利用されるイメージ
※画像のクリックで拡大表示

＊1：アカウント(account)： 情報システム（サービス）を利用する権限のこと。情報システムでは、ID（ユーザID）とパスワードを発行することで、その ID が利用できる範囲（権限）を決めて、パスワードにより本人確認を行う。
＊2：辞書攻撃： 辞書にある単語などを片端から試行する攻撃方法のこと。

(2)強いパスワードとは

　オークション等のサービスを提供するウェブサイトでは、パスワードを作成する際、「英字、数字、記号をランダムに組み合わせて、8文字以上にしましょう」という注意事項が記載されているケースがよくあります。これは強い（破られにくい）パスワードを作成するポイントとなります。
　つまり、現在の最新パソコンの処理能力でもパスワードを解読するための計算が何千年もかかるのであれば、それは解読できないことと同一であると考えられます。したがって、一般的にはパスワードに使用する文字の種類を多くしたり、桁数を大きくしたりすれば、強い（破られにくい）パスワードであるということがいえます。
　表1-1はパスワード解析ツールを使用して解読時間を試算した結果です。これによると、英字（大文字、小文字区別有）と数字を組み合わせて8桁のパスワードを作成した場合、解読には最大で約50年（すべての組み合わせを試算した場合）かかります。このように、3種類(62文字数)で8桁のパスワードを作成すれば、パスワードの強度は十分と言えるでしょう。表1-1を参考に、強度の違いを確認して、破られにくいパスワードを作成するようにしてください。

表1-1： 使用できる文字数と入力桁数によるパスワードの最大解読時間

※すべての組み合わせを試すために必要な時間を計算。記号は31文字使用できるものとした。使用パソコンOS：Windows Vista Business 32bit版、プロセッサ：Intel Core 2 Duo T7200 2.00GHz、メモリ：3GB

　8桁以上の長いパスワードであっても、推測しやすいもの（ID と同一、数字だけの組み合わせ、辞書に載っている単語の組み合わせなど）は避けるようにしましょう。

(3)対策

　以下のポイントを参考に、アカウントの管理を適切に実施してください。

(a)パスワード作成のポイント

　オークション等のサービスの提供元によっては、使える文字の種類や桁数に制限がありますが、（2）の表1-1を参考にして使える文字の種類はできるだけ多く使い、原則8桁以上を設定するようにしてください。

(b)パスワード管理に関するポイント ・パスワードの保管について 　長く複雑なパスワードを作成すると、記憶するのは大変です。この場合、紙にメモしても構いませんが、ID とパスワードは別々に保管することをお勧めします。仮にパスワードが知られたとしても、どの ID に対応するパスワードなのかがわからなければ意味がありません。

・定期的に変更する

　強い（破られにくい）パスワードであると思っていても、長期間利用していると漏えいする危険がありますので、定期的に（例えば毎月）変更することを強くお勧めします。
なお、定期的に変更する際、2種類のパスワードを交互に使用することは、変更する意味をなくしますので行わないでください。

(c)パスワード利用に関するポイント

・ログイン履歴を確認する

　利用しているサービスにより異なりますが、ログインすると、過去のログイン履歴を確認できる場合があります。自分がログインした覚えのない記録があるなど、不正利用に早く気がつけば、被害の拡大を防ぐことができます。定期的にログイン履歴を確認し、不審な記録があれば、直ちにサイト管理者に連絡し、アカウントの利用停止の手続きなどを依頼してください。

・ネットカフェなど、不特定多数が利用するパソコンでは、ID、パスワードを入力しない

　複雑なパスワードを設定していても、そのパソコンにスパイウェアが仕掛けられていたら簡単に盗まれてしまいます。自分が管理しているパソコン以外では、IDとパスワードを必要とするオークション等のサービスの利用は避けるべきです。

・フィッシング対策

　フィッシングとは、金融機関（銀行やクレジットカード会社）などを装った電子メールを送り、住所、氏名、銀行口座番号、クレジットカード番号などの個人情報を詐取する行為のことをいいます。近年は、金融機関に限らず、オークションサイトなど、ID とパスワードを必要とするサービスを装った事例も確認されています。ログインする際は、接続しているサイトが正しいか確認してください。
　なお、本人確認などの問い合わせがメールで届いた場合、メールに記載されているリンクを安易にクリックせず、送信元に電話するなどの手段で真偽を確認するようにしましょう。

(ご参考）
IPA-フィッシング(Phishing)対策
　http://www.ipa.go.jp/security/personal/protect/phishing.html
フィッシング対策協議会
　http://www.antiphishing.jp/

　ウイルスの検出数^(※1)は、 約22万個と、8月の約19万個から15.1%の増加となりました。また、9月の届出件数^(※2)は、1,875件となり、8月の1,811件から3.5%の増加となりました。

※1 検出数 ： 届出にあたり届出者から寄せられたウイルスの発見数（個数）
※2 届出件数： 同じ届出者から寄せられた届出の内、同一発見日で同一種類のウイルスの検出が複数ある場合は、1日何個検出されても届出1件としてカウントしたもの。
　・9月は、寄せられたウイルス検出数約22万個を集約した結果、1,875件の届出件数となっています。

不正アクセスの届出および相談の受付状況

（1）不正アクセス届出状況

　9月の届出件数は14件であり、そのうち何らかの被害のあったものは12件でした。

（2）不正アクセス等の相談受付状況

　不正アクセスに関連した相談件数は38件（うち5件は届出件数としてもカウント）であり、そのうち何らかの被害のあった件数は20件でした。

（3）被害状況

　被害届出の内訳は、侵入6件、DoS 攻撃が1件、アドレス詐称が1件、その他（被害あり）4件でした。
　侵入届出の被害は、他サイト攻撃の踏み台として悪用されたものが4件、データベース内のデータを改ざんされたものが1件、などでした。侵入の原因は、SSH^※で使用するポートへのパスワードクラッキング攻撃^※によるものが3件、などでした。
　その他（被害あり）の被害として、オンラインサービスのサイトに本人になりすまして何者かにログインされ、サービスを勝手に利用されていたものが2件（ネットオークション1件、オンラインゲーム1件）、などがありました。

※SSH（Secure SHell）…ネットワークを介して遠隔のコンピュータと通信するためのプロトコルの一つ。
※パスワードクラッキング（password cracking）…他人のパスワードを、解析するなどして探り当てること。ブルートフォース攻撃（総当り攻撃）や辞書攻撃といった手法があり、クラッキング用のプログラムも存在する。

（4）被害事例

　9月の相談総件数は2,154件であり、過去最多だった先月をさらに大幅に上回る件数となりました。そのうち『ワンクリック不正請求』に関する相談が651件（8月：545件）と4カ月連続で過去最悪記録を更新し、危機的状況が続いています。その他は、『セキュリティ対策ソフトの押し売り』行為に関する相談が過去最悪の50件（8月：18件）、Winny に関連する相談が4件（8月：5件）などでした。

　表4-1　IPA で受け付けた全ての相談件数の推移

（備考）
IPA では、コンピュータウイルス・不正アクセス、Winny 関連、その他情報セキュリティ全般についての相談を受け付けています。
メール： （ウイルス）、（不正アクセス）

             （Winny緊急相談窓口）、（その他）
電話番号： 03-5978-7509（24時間自動応答、ただし IPA セキュリティセンター員による相談受付は休日を除く月〜金、10:00〜12:00、13:30〜17:00のみ）
FAX： 03-5978-7518 （24時間受付）
「自動応答システム」　：　電話の自動音声による応対件数
「電話」　：　IPA セキュリティセンター員による応対件数
合計件数には、「不正アクセスの届出および相談の受付状況」における『相談(d) 計』件数を内数として含みます。

主な相談事例は以下の通りです。

(i) オークションサイトへの不正アクセス対策として、サイト側に対処を依頼したい

(ii) インターネットの儲け話サイトを信じてお金を振り込んでしまった

　インターネット定点観測(TALOT2)によると、2008年9月の期待しない（一方的な）アクセスの総数は10観測点で119,926件、総発信元数(※)は47,248箇所ありました。1観測点で見ると、1日あたり157の発信元から400件のアクセスがあったことになります。
総発信元数（^※）：TALOT2 にアクセスしてきた発信元の総数。なお、同一発信元から同一観測日・観測点・ポートにアクセスがあった場合は1つの発信元としてカウント。

　TALOT2 での１観測点の環境は、インターネットを利用される一般的な接続環境と同一なので、インターネットを利用される皆さんの環境へも同じくらいの一方的なアクセスがあると考えられます。言い換えれば、あなたのコンピュータは、毎日、平均して、157人の見知らぬ人(発信元)から、それぞれ約3件ずつの不正と思われるアクセスを受けていると言うことになります。

　2008年4月〜2008年9月までの各月の1観測点での1日あたりの平均アクセス数および、それらのアクセスの平均発信元数を図5-1に示します。この図を見ると、9月の期待しない（一方的な）アクセスは8月と比べて若干減少しており、過去6ヶ月間を通してみても、減少傾向を示していると言えます。

（１）設定不備のプロキシサーバ^（※1）を探索していると思われるアクセス
　9月13日から17日にかけて、TALOT2 の7観測点において、8080/tcp および 6588/tcp へのアクセス急増が観測されました（図5-2参照）。
　発信元は全て中華人民共和国の特定の IP アドレスでした。
　8080/tcp および 6588/tcp はプロキシサービスで利用されることの多いポートです。
　これらのアクセスは、外部から迷惑メールの送信などに利用できるプロキシサーバ（オープンプロキシという）がないかを探索している可能性があります。また、短期間におなじ観測点に数百回もアクセスしているので、探索のためのツールをテストしている可能性もあります。
　これらのアクセスにより、攻撃者にオープンプロキシであると判断されたプロキシサーバは、迷惑メールの送信などの踏み台として利用されることがあります。
　プロキシサーバを運用しているシステム管理者は、お使いのプロキシサーバが外部から利用されないように、サーバ設定を再度確認して下さい。

※1：プロキシサーバ：通信を代理で行うサーバのことを言います。主に企業などの組織で、内部ネットワークとインターネットの接続地点で、通信のセキュリティ確保と高速アクセスを実現させるために利用されることが多い。

以上の情報に関して、詳細はこちらのサイトをご参照ください。

• 別紙3_インターネット定点観測（TALOT2）での観測状況について

• 本紙_コンピュータウイルス・不正アクセスの届出状況[9月分]
• 別紙1_コンピュータウイルスの届出状況について［詳細］
• 別紙2_コンピュータ不正アクセスの届出状況について［詳細］

2008年第3四半期のコンピュータウイルス・不正アクセス届出状況

• 2008年第3四半期[7月〜9月]コンピュータウイルス届出状況
• 2008年第3四半期[7月〜9月]不正アクセス届出状況

@police：http://www.cyberpolice.go.jp/
トレンドマイクロ株式会社：http://jp.trendmicro.com/jp/home/
マカフィー株式会社：http://www.mcafee.com/japan/

独立行政法人 情報処理推進機構 セキュリティセンター（IPA/ISEC）
（ISEC：Information technology SEcurity Center）
TEL：03-5978-7527　FAX：03-5978-7518
E-mail：
URL：http://www.ipa.go.jp/security/