HOME情報セキュリティ情報セキュリティ対策ウイルス対策コンピュータウイルス・不正アクセスの届出状況[2008年9月分および第3四半期]について

本文を印刷する

情報セキュリティ

コンピュータウイルス・不正アクセスの届出状況[2008年9月分および第3四半期]について

第08-23-133号

2008年10月 2日

独立行政法人 情報処理推進機構
セキュリティセンター(IPA/ISEC)

 独立行政法人 情報処理推進機構(略称 IPA、理事長:西垣 浩司)は、2008年9月および第3四半期のコンピュータウイルス・不正アクセスの届出状況をまとめました。
(届出状況の詳細PDF資料はこちら)

1. 今月の呼びかけ

「 今一度、パスワードを点検しましょう! 」
― あなたのパスワード、破られない自信がありますか? ―

 9月に IPA に寄せられた相談・届出の中に、「登録しているオークションサイトに、身に覚えのない商品が自分の ID で出品されている」といった、アカウント*1を不正に利用されたという被害が複数ありました。
 相談の中には、パスワードに数字だけの組み合わせや、簡単な英単語を設定していたために、容易にパスワードが見破られて、アカウントを不正に利用されたと推測されるケースがありました。
 オークションサイト等のサービスでは、アカウントを不正に利用されると金銭的な被害が発生する危険があります。このような被害に遭わないために、パスワードの作成や管理には、十分な注意が必要です。

(1)被害内容と原因

 IPA に寄せられた相談の被害事例は、新聞でも何度か報道されています。それによると、オークションサイトのアカウントが盗まれて、不正に利用されたといった被害が多数確認されています。中には、本人が知らないあいだに大量の商品をオークションに出品されてしまい、その手数料をオークションサイトから請求されるといった金銭に関わる被害が起きています(図1-1参照)。
 今回の被害の多くは、安易なパスワードを設定していたことが原因のひとつとして推測されます。相談事例の中にも、パスワードを「数字だけの組み合わせ」、「簡単な英単語」で設定していたというものがありました。このような安易なパスワードでは、辞書攻撃*2等により短時間にパスワードを解読されてしまい、アカウントの不正利用に繋がる危険性が高くなります。

図1-1:アカウントを不正利用されるイメージ
図1-1:アカウントを不正利用されるイメージ
※画像のクリックで拡大表示

*1:アカウント(account): 情報システム(サービス)を利用する権限のこと。情報システムでは、ID(ユーザID)とパスワードを発行することで、その ID が利用できる範囲(権限)を決めて、パスワードにより本人確認を行う。
*2:辞書攻撃: 辞書にある単語などを片端から試行する攻撃方法のこと。

(2)強いパスワードとは

 オークション等のサービスを提供するウェブサイトでは、パスワードを作成する際、「英字、数字、記号をランダムに組み合わせて、8文字以上にしましょう」という注意事項が記載されているケースがよくあります。これは強い(破られにくい)パスワードを作成するポイントとなります。
 つまり、現在の最新パソコンの処理能力でもパスワードを解読するための計算が何千年もかかるのであれば、それは解読できないことと同一であると考えられます。したがって、一般的にはパスワードに使用する文字の種類を多くしたり、桁数を大きくしたりすれば、強い(破られにくい)パスワードであるということがいえます。
 表1-1はパスワード解析ツールを使用して解読時間を試算した結果です。これによると、英字(大文字、小文字区別有)と数字を組み合わせて8桁のパスワードを作成した場合、解読には最大で約50年(すべての組み合わせを試算した場合)かかります。このように、3種類(62文字数)で8桁のパスワードを作成すれば、パスワードの強度は十分と言えるでしょう。表1-1を参考に、強度の違いを確認して、破られにくいパスワードを作成するようにしてください。

表1-1を表示するには、ここをクリックしてください。
現在の処理能力のパソコンで計測すると異なる結果となる点、ご了承ください。(2015年9月追記)

(3)対策

 以下のポイントを参考に、アカウントの管理を適切に実施してください。

(a)パスワード作成のポイント

 オークション等のサービスの提供元によっては、使える文字の種類や桁数に制限がありますが、(2)の表1-1を参考にして使える文字の種類はできるだけ多く使い、原則8桁以上を設定するようにしてください。

(b)パスワード管理に関するポイント
パスワードの保管について
 長く複雑なパスワードを作成すると、記憶するのは大変です。この場合、紙にメモしても構いませんが、ID とパスワードは別々に保管することをお勧めします。仮にパスワードが知られたとしても、どの ID に対応するパスワードなのかがわからなければ意味がありません。
パスワード保管のイメージ

定期的に変更する

 強い(破られにくい)パスワードであると思っていても、長期間利用していると漏えいする危険がありますので、定期的に(例えば毎月)変更することを強くお勧めします。
なお、定期的に変更する際、2種類のパスワードを交互に使用することは、変更する意味をなくしますので行わないでください。

 

(c)パスワード利用に関するポイント

ログイン履歴を確認する

 利用しているサービスにより異なりますが、ログインすると、過去のログイン履歴を確認できる場合があります。自分がログインした覚えのない記録があるなど、不正利用に早く気がつけば、被害の拡大を防ぐことができます。定期的にログイン履歴を確認し、不審な記録があれば、直ちにサイト管理者に連絡し、アカウントの利用停止の手続きなどを依頼してください。

 

ネットカフェなど、不特定多数が利用するパソコンでは、ID、パスワードを入力しない

 複雑なパスワードを設定していても、そのパソコンにスパイウェアが仕掛けられていたら簡単に盗まれてしまいます。自分が管理しているパソコン以外では、IDとパスワードを必要とするオークション等のサービスの利用は避けるべきです。

 

フィッシング対策

 フィッシングとは、金融機関(銀行やクレジットカード会社)などを装った電子メールを送り、住所、氏名、銀行口座番号、クレジットカード番号などの個人情報を詐取する行為のことをいいます。近年は、金融機関に限らず、オークションサイトなど、ID とパスワードを必要とするサービスを装った事例も確認されています。ログインする際は、接続しているサイトが正しいか確認してください。
 なお、本人確認などの問い合わせがメールで届いた場合、メールに記載されているリンクを安易にクリックせず、送信元に電話するなどの手段で真偽を確認するようにしましょう。

 

(ご参考)
IPA-フィッシング(Phishing)対策
 http://www.ipa.go.jp/security/personal/protect/phishing.html
フィッシング対策協議会
 http://www.antiphishing.jp/

今月のトピックス

  • コンピュータ不正アクセス被害の主な事例(届出状況及び被害事例の詳細は、「3.コンピュータ不正アクセス届出状況」を参照)
    • SSH で使用するポートへの攻撃で侵入された
    • 自組織から発信されたようになりすまされたメールが出回っている
  • 相談の主な事例 (相談受付状況及び相談事例の詳細は、「4.相談受付状況」を参照)
    • オークションサイトへの不正アクセス対策として、サイト側に対処を依頼したい
    • インターネットの儲け話サイトを信じてお金を振り込んでしまった
  • インターネット定点観測(詳細は、別紙3を参照)
    IPA で行っているインターネット定点観測について、詳細な解説を行っています。
    • 設定不備のプロキシサーバを探索していると思われるアクセスに注意!

2. コンピュータウイルス届出状況 -詳細は別紙1を参照-

 ウイルスの検出数(※1)は、 約22万個と、8月の約19万個から15.1%の増加となりました。また、9月の届出件数(※2)は、1,875件となり、8月の1,811件から3.5%の増加となりました。

※1 検出数 : 届出にあたり届出者から寄せられたウイルスの発見数(個数)
※2 届出件数: 同じ届出者から寄せられた届出の内、同一発見日で同一種類のウイルスの検出が複数ある場合は、1日何個検出されても届出1件としてカウントしたもの。
 ・9月は、寄せられたウイルス検出数約22万個を集約した結果、1,875件の届出件数となっています。

 検出数の1位は、W32/Netsky約19万個 、2位は W32/Autorun 約1.2万個、3位は W32/Virut 約9千個でした。

ウイルス検出数
ウイルス届出件数

3. コンピュータ不正アクセス届出状況(相談を含む) -詳細は別紙2を参照-

不正アクセスの届出および相談の受付状況

  4月 5月 6月 7月 8月 9月
届出(a) 計 14 4 13 19 15 14
  被害あり(b) 10 4 11 18 10 12
被害なし(c) 4 0 2 1 5 2
相談(d) 計 56 37 36 49 25 38
  被害あり(e) 31 18 15 26 13 20
被害なし(f) 25 19 21 23 12 18
合計(a+d) 70 41 49 68 40 52
  被害あり(b+e) 41 22 26 44 23 32
被害なし(c+f) 29 19 23 24 17 20

(1)不正アクセス届出状況

 9月の届出件数は14件であり、そのうち何らかの被害のあったものは12件でした。

(2)不正アクセス等の相談受付状況

 不正アクセスに関連した相談件数は38件(うち5件は届出件数としてもカウント)であり、そのうち何らかの被害のあった件数は20件でした。

(3)被害状況

 被害届出の内訳は、侵入6件、DoS 攻撃が1件、アドレス詐称が1件、その他(被害あり)4件でした。
 侵入届出の被害は、他サイト攻撃の踏み台として悪用されたものが4件、データベース内のデータを改ざんされたものが1件、などでした。侵入の原因は、SSHで使用するポートへのパスワードクラッキング攻撃によるものが3件、などでした。
 その他(被害あり)の被害として、オンラインサービスのサイトに本人になりすまして何者かにログインされ、サービスを勝手に利用されていたものが2件(ネットオークション1件、オンラインゲーム1件)、などがありました。

※SSH(Secure SHell)…ネットワークを介して遠隔のコンピュータと通信するためのプロトコルの一つ。
※パスワードクラッキング(password cracking)…他人のパスワードを、解析するなどして探り当てること。ブルートフォース攻撃(総当り攻撃)や辞書攻撃といった手法があり、クラッキング用のプログラムも存在する。

(4)被害事例

[ 侵入 ]
(i) SSH で使用するポートへの攻撃で侵入された

  • 社内のサーバをチェックしたところ、SSH で使用するポート経由でパスワードクラッキング攻撃を受け、一般アカウントが不正にログインされていたことが判明。
  • root 権限は奪われていなかったが、4種の不正プログラムを埋め込まれ、外部サイト攻撃の踏み台として使われてしまっていた。
  • 埋め込まれていた不正プログラムは、1.外部サイトへの DoS 攻撃ツール、2.バックドアツール(サーバ/クライアント)、3.SSH 脆弱性の攻撃ツール、4.侵入後、サーバ内でカーネルの脆弱性を突いて root 権限を奪うツール、であった。
  • 社内サーバは本来、厳格な規定に則り管理・運用されているが、本サーバの管理者はそれらのルールを知らず、勝手にサーバを設置していた。さらに、パスワード設定が、推測容易なものになっていた。




事象としてはありがちですが、サーバに埋め込まれていた不正プログラムが何だったのか明らかにされた、貴重な例です。明らかに、悪意ある者が当該サーバを操作し、他のサーバを攻撃しようとしていたことが伺えます。このように、セキュリティの弱いサーバは、他のサイトを攻撃するための踏み台として乗っ取られるかも知れないという脅威に常に晒されています。管理や設定の抜けが無いか、今一度、確認しましょう

(参考)
[ アドレス詐称 ]
(ii) 自組織から発信されたようになりすまされたメールが出回っている

  • 自組織の広報用メールアドレスが差出人となっている不審なメールが、自組織の関係者宛に送られていることが判明。当該メールは、自組織からは発信されていないことを確認。
  • 内容は、自組織から過去に実際にアナウンスした注意喚起文を引用し、「なりすましメールに注意すること」などが書かれていた。"対策を強化するためと称して、添付ファイルを開け"との文面も。おそらく、何らかのウイルスであると思われる
  • 当該メールのヘッダを調査したところ、真の発信元は海外の模様。




このように、特定の範囲の利用者宛に、彼らに関係があると思わせる文面で偽のメールを送り付ける、いわゆる"標的型攻撃"が最近増加しています。この攻撃の特徴や、対処方法については、以下のページを参照してください

(参考)

4.相談受付状況

 9月の相談総件数は2,154件であり、過去最多だった先月をさらに大幅に上回る件数となりました。そのうち『ワンクリック不正請求』に関する相談651件(8月:545件)と4カ月連続で過去最悪記録を更新し、危機的状況が続いています。その他は、『セキュリティ対策ソフトの押し売り』行為に関する相談が過去最悪の50件(8月:18件)、Winny に関連する相談4件(8月:5件)などでした。

 表4-1 IPA で受け付けた全ての相談件数の推移

  4月 5月 6月 7月 8月 9月
合計 938 1,080 1,211 1,387 1,616 2,154
  自動応答システム 514 649 693 817 994 1,302
電話 335 379 456 500 548 755
電子メール 87 48 60 70 69 93
その他 2 4 2 0 5 4

(備考)
IPA では、コンピュータウイルス・不正アクセス、Winny 関連、その他情報セキュリティ全般についての相談を受け付けています。
メール: 電話番号:03-5978-7501までお問い合わせください。(ウイルス)、電話番号:03-5978-7501までお問い合わせください。(不正アクセス)

             電話番号:03-5978-7501までお問い合わせください。 (Winny緊急相談窓口)、電話番号:03-5978-7501までお問い合わせください。(その他)
電話番号: 03-5978-7509(24時間自動応答、ただし IPA セキュリティセンター員による相談受付は休日を除く月~金、10:00~12:00、13:30~17:00のみ)
FAX: 03-5978-7518 (24時間受付)
「自動応答システム」 : 電話の自動音声による応対件数
「電話」 : IPA セキュリティセンター員による応対件数
合計件数には、「不正アクセスの届出および相談の受付状況」における『相談(d) 計』件数を内数として含みます。

図4-1 ワンクリック不正請求相談件数の推移

主な相談事例は以下の通りです。

(i) オークションサイトへの不正アクセス対策として、サイト側に対処を依頼したい
相談

自分が利用しているネットオークションサイトでは、自分のアカウント(ID)のログイン履歴を確認できる。それによれば、数ヶ月間、国内の特定の IP アドレスから継続して自分の ID に対してログインを試みていることが分かった(全てログイン失敗)。このままでは、パスワードを破られるのは時間の問題であり、オークションサイト側にアクセス制限などを依頼したが、全て断られた。被害を未然に防ぐためにサイト側へ何か要請をしようと思うが、どんな内容が効果的か教えてほしい。また、差し当たって個人でできる対策は何か。

回答

サイト側への要請としては、少なくてもパスワード総当たり攻撃だけは排除してもらうことを主張してはどうでしょうか。例えば、連続して3回パスワードを間違った場合はアカウントを一時的にロックしてもらうなど。
個人でできる対策としては、強固なパスワードを設定するとともに、その保管に注意し、かつ定期的にパスワードを変更すること、となります。
※本紙の「1.今月の呼びかけ」を参考にしてください。

(ご参考)
(ii) インターネットの儲け話サイトを信じてお金を振り込んでしまった
相談

インターネットで、お金儲け話が書かれているサイトを見付けた。儲けるための情報を入手するためにお金を振り込んだが、結局、お金は儲からなかった。どうすれば良いか。

回答

根拠の無い架空の儲け話を売る、詐欺の可能性が高いです。お金を取り戻せる可能性は低いでしょう。
世の中、そんな都合の良い話が転がっている訳がありません。騙されないように、用心が必要です。ネット上では、詐欺師があの手この手であなたを狙っています。ネットの世界も"現実"であることを忘れずに、慎重に行動しましょう。

(ご参考)

5.インターネット定点観測での9月のアクセス状況

 インターネット定点観測(TALOT2)によると、2008年9月の期待しない(一方的な)アクセスの総数は10観測点で119,926件、総発信元数(※)は47,248箇所ありました。1観測点で見ると、1日あたり157の発信元から400件のアクセスがあったことになります。
総発信元数():TALOT2 にアクセスしてきた発信元の総数。なお、同一発信元から同一観測日・観測点・ポートにアクセスがあった場合は1つの発信元としてカウント。

 TALOT2 での1観測点の環境は、インターネットを利用される一般的な接続環境と同一なので、インターネットを利用される皆さんの環境へも同じくらいの一方的なアクセスがあると考えられます。言い換えれば、あなたのコンピュータは、毎日、平均して、157人の見知らぬ人(発信元)から、それぞれ約3件ずつの不正と思われるアクセスを受けていると言うことになります。

図5-1: 1観測点での1日あたりの期待しない(一方的な)アクセス数および発信元数

 2008年4月~2008年9月までの各月の1観測点での1日あたりの平均アクセス数および、それらのアクセスの平均発信元数を図5-1に示します。この図を見ると、9月の期待しない(一方的な)アクセスは8月と比べて若干減少しており、過去6ヶ月間を通してみても、減少傾向を示していると言えます。

(1)設定不備のプロキシサーバ(※1)を探索していると思われるアクセス
 9月13日から17日にかけて、TALOT2 の7観測点において、8080/tcp および 6588/tcp へのアクセス急増が観測されました(図5-2参照)。
 発信元は全て中華人民共和国の特定の IP アドレスでした。
 8080/tcp および 6588/tcp はプロキシサービスで利用されることの多いポートです。
 これらのアクセスは、外部から迷惑メールの送信などに利用できるプロキシサーバ(オープンプロキシという)がないかを探索している可能性があります。また、短期間におなじ観測点に数百回もアクセスしているので、探索のためのツールをテストしている可能性もあります。
 これらのアクセスにより、攻撃者にオープンプロキシであると判断されたプロキシサーバは、迷惑メールの送信などの踏み台として利用されることがあります。
 プロキシサーバを運用しているシステム管理者は、お使いのプロキシサーバが外部から利用されないように、サーバ設定を再度確認して下さい。

図5-2: 8080/tcpと6588/tcpへのアクセス数の変化

※1:プロキシサーバ:通信を代理で行うサーバのことを言います。主に企業などの組織で、内部ネットワークとインターネットの接続地点で、通信のセキュリティ確保と高速アクセスを実現させるために利用されることが多い。

以上の情報に関して、詳細はこちらのサイトをご参照ください。

届出の詳細については以下の PDF ファイルをご参照ください。

2008年第3四半期のコンピュータウイルス・不正アクセス届出状況

『他機関・ベンダーの各種統計情報は以下のサイトで公開されています。』

@police:http://www.cyberpolice.go.jp/
トレンドマイクロ株式会社:http://jp.trendmicro.com/jp/home/
マカフィー株式会社:http://www.mcafee.com/japan/

お問い合わせ先:

独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC)
(ISEC:Information technology SEcurity Center)
TEL:03-5978-7527 FAX:03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。
URL:http://www.ipa.go.jp/security/