HOME >> 情報セキュリティ >> ウイルス対策 >> ウイルスの発見届出状況 >> 記事
コンピュータウイルス・不正アクセスの届出状況[10月分]について
第08-25-135号
2008年11月 5日
独立行政法人 情報処理推進機構
セキュリティセンター(IPA/ISEC)
独立行政法人 情報処理推進機構(略称 IPA、理事長:西垣 浩司)は、2008年10月のコンピュータウイルス・不正アクセスの届出状況をまとめました。
(届出状況の詳細PDF資料はこちら)
1. 今月の呼びかけ
「 偽の警告を見分けよう! 」
― あなたのセキュリティ対策ソフトは本物ですか? ―
「セキュリティ対策ソフトの押し売り」に関する IPA への相談件数が、9月に50件と急増し、10月も31件ありました。「セキュリティ対策ソフトの押し売り」とは、突然画面に「Warning!」や「ウイルスが発見されました」などの偽の警告メッセージを表示させ、セキュリティ対策ソフトを購入させようとする行為です。
偽の警告メッセージは、パソコンに埋め込まれた不正なプログラム(広い意味でウイルスとみなす)によるものです。一旦このようなウイルスを埋め込まれると、パソコンの動作が不安定になる場合があり、最悪の場合、初期化を余儀なくされるなど、被害内容が深刻化しています。
以下の解説を参考にし、自分のパソコンに当てはまる例がないか確認しましょう。
(1)ウイルス感染の仕組み
「セキュリティ対策ソフトの押し売り」に関する IPA への相談は以前からありましたが、ウイルス感染の仕組みが以前とは異なってきています。以前はユーザがバナー広告(ホームページ上にある画像広告)に表示された偽の警告メッセージをクリックして、ウイルス感染してしまう事例が多くありました。 しかし、最近はユーザが、迷惑メールに添付されてきたファイルを不用意に開くことで、このウイルスに感染する事例が多く見受けられます。実際に IPA に届出のあった、ウイルスが添付されていたメールの内容を図1-1に示します。 IPA に届出のあったウイルスの集計結果からも、そのようなウイルスが多く出回っていることが裏付けられます(図1-2参照)。 |
 |
「セキュリティ対策ソフトの押し売り」行為を行うウイルスは、信頼できるセキュリティ対策ソフトを常に最新の状態で使用していれば、メール受信時に検知できるため、ほとんど防ぐことができます。よって、このウイルスへの基本的な対策としては、第一に信頼できるセキュリティ対策ソフトを使用し、そのパターンファイルを常に最新の状態にしておくことが重要となります。しかし、検知をすり抜けてしまうウイルスもあるため、油断は禁物です。ウイルスの特徴を知るなど、日頃からの注意が必要です。
(2)「セキュリティ対策ソフトの押し売り」行為を行うウイルスの特徴
(a)主な症状
お使いのパソコンに「セキュリティ対策ソフトの押し売り」行為を行うウイルスが感染してしまった場合、パソコンに以下のような症状が出るため、これらを基にウイルスに感染しているか判断することができます。
(i)タスクバーに見覚えのないアイコンができていて、そこから「ウイルスに感染しています」などといった警告メッセージが表示される。
例 |
 |
(ii)突然、見覚えのないウイルス対策ソフトがウイルスチェックを始める。
例 |
 |
その他の「セキュリティ対策ソフトの押し売り」行為を行うソフトの起動画面については、以下を参照ください。
「セキュリティ対策ソフトの押し売り」行為を行うソフトの起動画面例
http://www.ipa.go.jp/security/txt/2008/documents/infection_images.html
(iii)デスクトップの壁紙が勝手に変更されている。元に戻せない場合もある。
例 |
 |
(iv)その他
・デスクトップ上に見覚えのないアイコンができている。
・ウェブブラウザの起動時に最初に表示される「スタートページ」が変更されている。 など
(b)「セキュリティ対策ソフトの押し売り」行為を行うソフトの名称
IPA に寄せられた 「セキュリティ対策ソフトの押し売り」に関する相談事例の中で、IPA が認識しているソフトの名称を以下の表1-1に記載しました。ただし、これらは「現状の主なもの」であり、自身のパソコンに入っている怪しいソフトと同じ名称がこの表に記載されていなくとも、それで安全であるという証明にはなりませんので、注意してください。
表1-1:「セキュリティ対策ソフトの押し売り」行為を行う主なソフトの名称
| AdvancedPrivacyGuard | Alphawipe | AntiSpyware |
| AntiSpywareExpert | AntiVirus2008 | AntiVirus XP 2008 |
| Doraibuhogo | DriveCleaner | HadodoraiBugado |
| NetTurboPro | SpyDajaba | Spyware Remover |
| SupaShuri | VirusRemover2008 | VirusVanguard |
| WinAntiSpyware | WinAntiVirus | WinAntivirusPro2006 |
| WinAntivirusPro2007 | WinFixer | WinXProtector 2.1 |
| XPAntivirus | XPSecurityCenter |
(c)「セキュリティ対策ソフトの押し売り」行為の事例
参考として、ウイルス感染から「セキュリティ対策ソフト」を購入させるまでの流れの一例を、以下に紹介します。
(d)ウイルス感染以外の注意
今回の呼びかけは、「セキュリティ対策ソフトの押し売り」行為を行うウイルスに関しての注意喚起ですが、ウイルス感染とともにさらに1点注意すべきことがあります。それは、「セキュリティ対策ソフトの押し売り」行為を行うウイルスをばら撒くような悪意のある者の最終的な目的は、ほとんどの場合「信頼できないセキュリティ対策ソフト」を購入させて金銭を得ることであるという点です。
信頼のおけるセキュリティ対策ソフトのベンダーの場合、上記の(c)の事例のように、急に警告メッセージを出したり、突然勝手にウイルスチェックを行うことは通常あり得ません。突然、警告が表示されても、それを鵜呑みにして慌ててお金を支払うようなことはせず、周囲の詳しい人や国民生活センターなどの相談窓口に相談する、などといった対応が重要です。
IPA に寄せられた相談の中には、クレジットカード番号を入力し決済してしまった事例や、本物のセキュリティ対策ソフトと思い込んで、そのまま使い続けていた事例もありました。ウイルス感染の対策とともに十分な注意が必要です。
(3)ウイルス感染時のパソコンの復旧方法
ウイルスに感染してしまった後に、信頼できるセキュリティ対策ソフトでウイルスを駆除したとしても、ウイルスによって変更されてしまったシステムの設定などは元に戻りません。
この場合は、以下の「システムの復元」を実施してください。それでも症状が改善されない場合、もしくは、「システムの復元」が失敗した場合は、パソコンの初期化を実施してください。
(a)システム復元による復旧
Windows XP や Vista には、パソコンの動作が不安定になるなど、使用するのに支障がある場合に、以前の状態に戻すことができる「システムの復元」という機能があります。これは Windows が、任意の日を自動的に選んで保存しているシステムの情報を基に、パソコンの状態を戻すというものです。
以下のマイクロソフトのホームページを参考にして、「システムの復元」を行ってください。
ただし、選択した任意の日から現在までに、アプリケーションソフトウェアのインストール、 アップデートなどをした場合は、それらの情報は消えてしまいますので、システム復元後に再度実施してください。
「システムの復元 Windows XP」(マイクロソフト社)
http://www.microsoft.com/japan/windowsxp/pro/business/feature/
performance/restore.mspx
Windows Vista のシステムの復元の解説(マイクロソフト社の「PCとーく」の情報)
http://support.microsoft.com/kb/934854/ja
(b)パソコンの初期化
パソコンを購入した時の状態に戻す初期化という作業を実施します。
実際の作業方法は、取扱説明書に記載されている「購入時の状態に戻す」などの手順に沿って作業してください。
作業する前に重要なデータを外部媒体(USB メモリや CD-R、外付け HDD など)にバックアップしてから作業を行ってください。
(4)被害を未然に防ぐための対策
今後、このような被害に遭わないために、以下のことを心掛けてください。
(a)迷惑メールへの対処
迷惑メールに添付されてくるファイルを不用意に開かないことが、ウイルス感染を予防する上で最も重要です。
また、迷惑メールを認識して遮断、削除できる迷惑メールフィルタリング機能を利用することも有効です。迷惑メールフィルタリング機能は、メールソフトに備わっている場合や、プロバイダ(*1)のサービスで提供している場合があります。
それでも遮断されない迷惑メールは、開かずに捨てることを心掛けてください。
(b)脆弱性(ぜいじゃくせい)(*2)の解消
脆弱性を突かれてウイルスに感染しないように、お使いの OS、アプリケーションを常に最新の状態に更新して、脆弱性を可能な限り解消してください。
(c)信頼できるセキュリティ対策ソフトの導入
お使いのセキュリティ対策ソフトが信頼できるものかどうか判断がつかない場合は、「(2)『セキュリティ対策ソフトの押し売り』行為を行うウイルスの特徴」を参考にしたり、詳しい人に聞くなどして、必ず確認をしてください。
どのセキュリティ対策ソフトを購入したらいいか判断できない場合は、パソコンショップなどの販売員に確認して、パッケージ版を購入することをお勧めします。
(*1)プロバイダ
ISP(インターネットサービスプロバイダ)のこと。インターネットに接続するためのサービスなどを提供する事業者。
(*2)脆弱性(Vulnerability)
一般にソフトウェアなどのセキュリティ上の弱点を指します。セキュリティホール(Security Hole)とも呼ばれます。
(ご参考)
「パソコンユーザのためのウイルス対策 7 箇条」
http://www.ipa.go.jp/security/antivirus/7kajonew.html
「パソコンユーザのためのスパイウェア対策 5 箇条」
http://www.ipa.go.jp/security/antivirus/spyware5kajyou.html
「メールの添付ファイルの取り扱い5つの心得」
http://www.ipa.go.jp/security/antivirus/attach5.html
「スパイウェアガイド」
http://www.shareedge.com/spywareguide/index.php
「Microsoft UpdateとWindows Updateの利用の手順」(マイクロソフト社)
http://www.microsoft.com/japan/athome/security/mrt/wu.mspx
今月のトピックス
- コンピュータ不正アクセス被害の主な事例(届出状況及び被害事例の詳細は、「3.コンピュータ不正アクセス届出状況」を参照)
- SQL インジェクション攻撃によってデータベースが改ざんされた
- ネットオークションサイトで、誰かが自分になりすまして勝手に出品
- 相談の主な事例 (相談受付状況及び相談事例の詳細は、「4.相談受付状況」を参照)
- ネットでウイルス対策ソフトを購入した後、パソコンの調子が悪い
- ファイル共有ソフトでダウンロードしたファイルを開いたらパソコンの調子が悪い
- インターネット定点観測(詳細は、別紙3を参照)
IPA で行っているインターネット定点観測について、詳細な解説を行っています。 - 135/tcp、139/tcp 及び 445/tcp へのアクセスに注意!
2. コンピュータウイルス届出状況 −詳細は別紙1を参照−
(1)ウイルス届出状況
ウイルスの検出数(※1)は、 約27万個と、9月の約22万個から23.7%の増加となりました。また、10月の届出件数(※2)は、1,839件となり、9月の1,875件から1.9%の減少となりました。
※1 検出数 : 届出にあたり届出者から寄せられたウイルスの発見数(個数)
※2 届出件数: 同じ届出者から寄せられた届出の内、同一発見日で同一種類のウイルスの検出が複数ある場合は、1日何個検出されても届出1件としてカウントしたもの。
・10月は、寄せられたウイルス検出数約27万個を集約した結果、1,839件の届出件数となっています。
(2)不正プログラムの検知状況
バックドア(※3)やスパイウェア(※4)等の不正プログラムの検知件数が2008年9月以降に増加しています(図2-3参照)。10月には、「1.今月の呼びかけ」でも紹介したように、「セキュリティ対策ソフトの押し売り」行為を行う FAKEAV が急増しました。これは、バナー広告により感染に導く従来の手法から、メールの添付ファイルを用いて感染に導く手法に変化していることが原因といえます。FAKEAV に感染すると、ほとんどのケースで復旧には初期化が必要になるなど、深刻な被害が発生していることから、今回、不正プログラムが増加している状況を示し、注意を促すこととしました。
これらの不正プログラムは、メールの添付ファイルとして多数出回っており、図2-3からもわかる通り、特定の期間に急増するなど、不自然な傾向が見て取れます。このことは、ボット(※5)等によりメール配信が行われている可能性があることを示しており、ボットに感染しているか確認するとともに、不正プログラムを取り込まないよう、添付ファイルには十分注意してください。
※3 バックドア(裏口): コンピュータへの不正侵入 ( アクセス ) を目的に仕掛けられる仕組みで、特定のポートを開き、そのポートを利用するサービスとしてプログラムを起動させること。このサービスにより、外部からインターネットを通じて、コンピュータへ侵入することができます。
※4 スパイウェア: 利用者や管理者の意図に反してインストールされ、利用者の個人情報やアクセス履歴などの情報を収集するプログラム等のこと。
※5 ボット: コンピュータウイルスの一種で、コンピュータに感染し、そのコンピュータを、ネットワーク (インターネット)を通じて外部から操ることを目的として作成されたプログラムのこと。感染すると、外部からの指示を待ち、与えられた指示に従って内蔵された処理を実行します。この動作がロボットに似ているところから、ボットと呼ばれています。
(ご参考)
「感染防止のための知識」(サイバークリーンセンター)
https://www.ccc.go.jp/knowledge/index.html
3. コンピュータ不正アクセス届出状況(相談を含む) −詳細は別紙2を参照−
表3-1 不正アクセスの届出および相談の受付状況
| 5月 | 6月 | 7月 | 8月 | 9月 | 10月 | ||
|---|---|---|---|---|---|---|---|
| 届出(a) 計 | 4 | 13 | 19 | 15 | 14 | 17 | |
| 被害あり(b) | 4 | 11 | 18 | 10 | 12 | 12 | |
| 被害なし(c) | 0 | 2 | 1 | 5 | 2 | 5 | |
| 相談(d) 計 | 37 | 36 | 49 | 25 | 38 | 58 | |
| 被害あり(e) | 18 | 15 | 26 | 13 | 20 | 22 | |
| 被害なし(f) | 19 | 21 | 23 | 12 | 18 | 36 | |
| 合計(a+d) | 41 | 49 | 68 | 40 | 52 | 75 | |
| 被害あり(b+e) | 22 | 26 | 44 | 23 | 32 | 34 | |
| 被害なし(c+f) | 19 | 23 | 24 | 17 | 20 | 41 | |
(1)不正アクセス届出状況
10月の届出件数は17件であり、そのうち何らかの被害のあったものは12件でした。
(2)不正アクセス等の相談受付状況
不正アクセスに関連した相談件数は58件(うち7件は届出件数としてもカウント)であり、そのうち何らかの被害のあった件数は22件でした。
(3)被害状況
被害届出の内訳は、侵入4件、アドレス詐称が1件、その他(被害あり)7件でした。
侵入届出の被害は、他サイト攻撃の踏み台として悪用されたものが3件、SQL※インジェクション※攻撃を受けて結果としてデータベース内のデータを改ざんされたものが1件でした。侵入の原因は、SSH※で使用するポートへのパスワードクラッキング※攻撃によるものが2件、脆弱性を突かれたことによるものが2件でした。
その他(被害あり)の被害として、オンラインサービスのサイトに本人になりすまして何者かにログインされ、サービスを勝手に利用されていたものが5件(ネットオークション2件、オンラインゲーム1件、ウェブメール1件、その他1件)、などがありました。
※SQL (Structured Query Language) … リレーショナルデータベースマネジメントシステム(RDBMS)において、データの操作や定義を行うための問合せ言語のこと。
※SQLインジェクション … データベースへアクセスするプログラムの不具合を悪用し、正当な方法以外でデータベース内のデータを閲覧したり書き換えしたりする攻撃のこと。
※SSH (Secure Shell) … ネットワークを介して遠隔のコンピュータと通信するためのプロトコルの一つ。
※パスワードクラッキング (password cracking) … 他人のパスワードを、解析するなどして探り当てること。ブルートフォース攻撃(総当り攻撃)や辞書攻撃といった手法があり、クラッキング用のプログラムも存在する。
(4)被害事例
[ 侵入 ]
(i) SQL インジェクション攻撃によってデータベースが改ざんされた| 事 例 |
|
|---|---|
| 解 説 ・ 対 策 |
問題のあったサイトは、ウェブサイトにアクセスして来た顧客のリクエストに応じて、データベースで管理している商品情報を、随時ピックアップして見せる、という仕組みになっていました。 ショッピングサイトでは個人情報や金融情報を扱うことが多いため、特に問題が大きくなりがちです。ウェブサイト上で商品を販売するようなサイトがこのような改ざん被害を受けると、次のような影響が出る可能性があります。 ・サイトにアクセスして来た顧客のパソコンが、ウイルスに感染する。 ・復旧のためサイトを一時的に閉鎖するなど、ビジネス上の損失が出る。 ・ショッピングサイトとしての信用に傷が付く。 最大の対策は、脆弱性を作り込まないこと、です。次の資料を参考にしてください。 (参考)
|
[ なりすまし ]
(ii) ネットオークションサイトで、誰かが自分になりすまして勝手に出品| 事 例 |
|
|---|---|
| 解 説 ・ 対 策 |
何者かが、パスワードを推測してログインに成功したものと思われます。対策として、複雑なパスワードを設定することが重要ですが、他のサイトのサービスと全く同じパスワードを使用していると、それらが手掛かりとなり、芋づる式にパスワードが破られてしまうこともあるようですので、注意が必要です。 オークションサイトやオンラインバンキングサイトでは、サイトに登録された情報が変更された場合に確認通知メールを送れるようになっていることが多いようです。普段から、携帯電話のメールアドレスを登録しておくと、万が一の不正が行われた際の変更通知にも早く気付けるため、有効な策の一つと言えます。 不正に気付いたら、すぐにサイト運営元と、警察に連絡しましょう。 (参考)
|
4.相談受付状況
10月の相談総件数は1,171件でした。そのうち『ワンクリック不正請求』に関する相談が305件(9月:651件)、『セキュリティ対策ソフトの押し売り』行為に関する相談が31件(9月:50件)、Winny に関連する相談が5件(9月:4件)、「情報詐取を目的として特定の組織に送られる不審なメール」に関する相談が3件、などでした。
表4-1 IPA で受け付けた全ての相談件数の推移
| 5月 | 6月 | 7月 | 8月 | 9月 | 10月 | ||
|---|---|---|---|---|---|---|---|
| 合計 | 1,080 | 1,211 | 1,387 | 1,616 | 2,154 | 1,171 | |
| 自動応答システム | 649 | 693 | 817 | 994 | 1,302 | 677 | |
| 電話 | 379 | 456 | 500 | 548 | 755 | 441 | |
| 電子メール | 48 | 60 | 70 | 69 | 93 | 47 | |
| その他 | 4 | 2 | 0 | 5 | 4 | 6 | |
(備考)
IPA では、コンピュータウイルス・不正アクセス、Winny 関連、その他情報セキュリティ全般についての相談を受け付けています。
| メール |  |
| 電話番号 | 03-5978-7509 (24時間自動応答、ただし IPA セキュリティセンター員による相談受付は休日を除く月〜金、10:00〜12:00、13:30〜17:00のみ) |
| FAX | 03-5978-7518 (24時間受付) |
「自動応答システム」 : 電話の自動音声による応対件数
「電話」 : IPA セキュリティセンター員による応対件数
合計件数には、「不正アクセスの届出および相談の受付状況」における『相談(d) 計』件数を内数として含みます。
主な相談事例は以下の通りです。
(i) ネットでウイルス対策ソフトを購入した後、パソコンの調子が悪い
| 相談 | ウイルス対策ソフトを新たに購入しようとして、ネットで検索。良さそうなものを見付けてダウンロード、インストールした。その際、クレジットカードで決済をおこなった。その後、パソコン起動時に【warning! spyware detected on your computer...】などと表示されたり、起動に時間が掛かるようになったり、時々パソコンが不安定になって使えなくなったりする。 |
|---|---|
| 回答 | 信頼できないウイルス対策ソフトを誤って購入してしまったものと思われます。ウイルス対策ソフトのような名前に見えても、不正なプログラムであることがありますので、注意が必要です(「1.今月の呼びかけ」参照)。 |
(ii) ファイル共有ソフトでダウンロードしたファイルを開いたらパソコンの調子が悪い
| 相談 | Cabos というファイル共有ソフトで音楽データを複数ダウンロードした。そのうちの一つをダブルクリックしたら、何やら英語のメッセージウィンドウが出て来た。そのウィンドウは、閉じようとしても閉じられない。さらに、壁紙が勝手に変更されていた。パソコンを再起動したら、Windows が起動し切らないうちに、再起動を繰り返してしまう。パソコンの操作が全くできなくなってしまった。 |
|---|---|
| 回答 | このような状況になった場合、影響範囲が不明確なため、パソコンを初期化することをお勧めします。音楽データに見えたファイルが、実はウイルスであった可能性が高いです。特に、映画・音楽・書籍をコピーしたような、違法に流通しているデータと思わせるような名前のファイル内に、ウイルスが含まれている傾向がありますので、注意が必要です。
|
5.インターネット定点観測での10月のアクセス状況
インターネット定点観測(TALOT2)によると、2008年10月の期待しない(一方的な)アクセスの総数は10観測点で128,667件、総発信元(※)は34,926箇所ありました。1観測点で見ると、1日あたり113の発信元から415件のアクセスがあったことになります。
総発信元(※):TALOT2 にアクセスしてきた発信元の総数。なお、同一発信元から同一観測日・観測点・ポートにアクセスがあった場合は1つの発信元としてカウント。
TALOT2 での1観測点の環境は、インターネットを利用される一般的な接続環境と同一なので、インターネットを利用される皆さんの環境へも同じくらいの一方的なアクセスがあると考えられます。
2008年5月〜2008年10月までの各月の1観測点での1日あたりの平均アクセス数および、それらのアクセスの平均発信元数を図5-1に示します。この図を見ると、10月の期待しない(一方的な)アクセスは9月と比べて若干増加しました。過去6ヶ月を通してみると、これまでの減少傾向が一段落した格好です。
(1)135/tcp、139/tcp及び445/tcpへのアクセス
10月14日から22日にかけて全体的にアクセス数が増加しました。このうち 135/tcp、139/tcp 及び 445/tcp へのアクセスに関しては、10月15日に発表されたマイクロソフトの脆弱性(ぜいじゃくせい)情報の中の、Windows の脆弱性を狙った攻撃が含まれていた可能性があります。
図5-2に 135/tcp、139/tcp 及び 445/tcp へのアクセス数の遷移を示します。
OS やアプリケーションの脆弱性を解消し、常に最新の状態で使うことは、セキュリティ対策の基本です。
Windows には、更新情報を通知させる設定(自動更新機能)があります。この機能を利用している方は、更新情報が通知されたら、すぐに更新作業を行うように心掛けてください。
この機能を利用していない方は、以下のマイクロソフトのホームページを参考にして、利用するようにしてください。
また、業務サーバなどのように停止が困難なサーバであっても、メンテナンスのための時間を確保するなどして、確実に脆弱性を修正するようにしてください。
<参考情報>
■「自動更新機能で常に最新のWindows XPを使おう」(マイクロソフト社)
http://www.microsoft.com/japan/windowsxp/security/au.mspx
■ Windows Vistaの自動更新機能の解説(マイクロソフト社のWindows Vistaまるわかりガイドの情報)
http://www.microsoft.com/japan/windows/using/windowsvista/guide/
security/update.mspx
また、更新情報の通知が行われないアプリケーションなどについても、専用サイトなどで脆弱性情報をこまめに確認し、更新作業が手遅れにならないように十分注意ください。
<参考情報>
■「Microsoft UpdateとWindows Updateの利用の手順」(マイクロソフト社)
http://www.microsoft.com/japan/athome/security/mrt/wu.mspx
■「JVN iPedia脆弱性対策情報データベース」
http://jvndb.jvn.jp/
『他機関・ベンダーの各種統計情報は以下のサイトで公開されています。』
@police:http://www.cyberpolice.go.jp/
トレンドマイクロ株式会社:http://jp.trendmicro.com/jp/home/
マカフィー株式会社:http://www.mcafee.com/japan/
お問い合わせ先:
独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC)
(ISEC:Information technology SEcurity Center)
TEL:03-5978-7527 FAX:03-5978-7518
E-mail: 
URL:http://www.ipa.go.jp/security/