HOME >> 情報セキュリティ >> ウイルス対策 >> ウイルスの発見届出状況 >> 記事
コンピュータウイルス・不正アクセスの届出状況[2月分]について
第09-05-144号
2009年 3月 3日
独立行政法人情報処理推進機構
セキュリティセンター(IPA/ISEC)
IPA (独立行政法人情報処理推進機構、理事長:西垣 浩司)は、2009年2月のコンピュータウイルス・不正アクセスの届出状況をまとめました。
(届出状況の詳細PDF資料はこちら)
1. 今月の呼びかけ
「 ウイルスは進化しています!日々のセキュリティ対策を怠らずに! 」
― ますます進むウイルスの"多機能化" ―
W32/Virut と呼ばれるウイルスの IPA への届出が、2008年末から徐々に増えています。このウイルスが初めて IPA に届出されたのは2006年8月であり、比較的古いウイルスであると言えますが、当初より感染・拡散機能が強化された亜種が活発に活動し、感染が拡大している可能性が考えられます。
お使いのパソコンが W32/Virut に感染した場合、Windows が正常に動作するために必要なシステムファイルが破壊されてしまい、正常な状態に戻す事が困難になります。
このようなウイルス感染の被害に遭わないために、Windows Update などにより、お使いのパソコンの脆弱性(ぜいじゃくせい)を確実に解消しておくとともに、ウイルス対策ソフトなどを使った対策を、しっかりと実施しましょう。また、万が一ウイルス感染の被害に遭った場合に備えて、重要なデータのバックアップを定期的に行いましょう。
(1)W32/Virut の特徴
IPA への W32/Virut ウイルスの届出件数は、最近1年間ではほぼ毎月上位10位以内に位置しています。また、外部機関の報告からも、W32/Virut の亜種が多数検出されていることが分かります。
(ご参考)
「2008年12月度 サイバークリーンセンター活動実績」
https://www.ccc.go.jp/report/200812/0812monthly.html
IPA で W32/Virut の亜種を解析した結果を基に、特徴を説明します。以下の方法で感染と拡散を繰り返し、活動範囲を広げていきます。
図1:W32/Virut の感染活動
(a)まず、利用者が誘導されるなどして、悪意あるウェブサイトより W32/Virut ウイルスをパソコンにダウンロードさせられることによって感染します(図1の@)。感染したウイルスは、パソコン内にある、「exe」(※1)、「scr」(※2)の拡張子を持つファイルに対して感染活動を行います(図1のAの1.)。ただし、ウイルス自身の動作に支障を来たすプログラムファイルには感染しません。
※1 exe:実行形式のプログラムやアプリケーションを示す拡張子
※2 scr:Windows で使われるスクリーンセーバーを示す拡張子
(b)感染したウイルスは、さらにパソコン内にある「php」、「asp」、「htm」、「html」の拡張子を持ったファイルに、W32/Virut が仕込まれているウェブサイトにアクセスさせる命令文を埋め込み、拡散活動を行います(図1のAの3.)。
これらのファイルは、主にホームページを作成する時に使用するため、命令文を埋め込んだままアップロード、公開してしまうことになります。
このウェブサイトにアクセスをすると、その利用者のパソコンに、W32/Virut が感染してしまう可能性があります(図1のB)。
この時、W32/Virut はアクセスをした利用者のパソコンに対して、特定の脆弱性が存在するかを解析し、存在すればその脆弱性を利用して W32/Virut を感染させます(図1のC)。
このようにして、W32/Virut は最初に感染した利用者以外のパソコンに対しても、ウイルス感染の被害に遭わせるということを認識してください。
(2)主な被害内容
今回 IPA で解析した W32/Virut の亜種に感染した場合、次の被害が発生することが確認されています。
(i)パソコンの中にあるプログラムファイルやスクリーンセーバーファイルに感染が広がる。
(ii)Windows ファイル保護(※3)機能の動作が妨害される。
(iii)Windows ファイアウォールの設定が無効にされる。
(iv)パソコン内にある、「php」、「asp」、「htm」、「html」の拡張子を持ったファイルに対して、悪意のある外部のウェブサイトにアクセスさせる命令文が埋め込まれ、ファイルが改ざんされる。
※3 Windows ファイル保護:パソコンが正常に動作するために必要なファイルを、勝手に置き換えられないように保護する、Windows の機能のこと。
(i)の結果、パソコン内に感染ファイルが増えてしまい、駆除が困難になってしまいます。さらに(ii)により、Windows が正常に動作するために必要なシステムファイルへの感染行為を阻止できなくなり、結果としてパソコンの動作が不安定になる可能性があります。また(iii)により、パソコンの防御が薄くなってしまい、危険な状態になります。もし、感染者がホームページを作成し公開していた場合、(iv)により悪意あるサイトへのリンクが含まれたページを公開することになってしまい、そのホームページを閲覧した利用者のパソコンにも被害が及ぶ可能性があります。
このような被害を受けてしまった場合、パソコンが正常に動作する保障はなく修復も困難になるため、パソコンを購入した時の状態に戻すしか、パソコンを正常な状態に戻す方法はありません。
(3)対策
(a)感染予防策
まず、ウイルス対策ソフトのウイルス定義ファイルを常に最新の状態に更新して、ウイルス検知機能を常時有効にして使用してください。また、W32/Virut は、感染しようとするパソコンに脆弱性があるか解析し、あれば感染活動を開始しますので、OS やご使用のアプリケーションソフトを常に最新の状態に更新して、脆弱性を可能な限り解消してください。そのほかに、重要なデータは、ウイルスに感染してしまってもすぐ復旧できるように、ウイルスに感染していない外部記憶媒体(USB メモリや CD-R、外付け HDD など)へバックアップをしておきましょう。
(b)感染後の対応
(2)でも記しましたが、ウイルスの被害を受けてしまった場合、パソコンを正常な状態に復旧させることは非常に困難です。また、たとえウイルスの駆除が成功し、正常に復旧できたとしても、W32/Virut は駆除されると別のウイルスに変化し、利用者の気付かない所で、さらに他のウイルスをダウンロードしようとする機能があることも確認しています。つまり、このウイルスに感染した場合は、影響がどこまで及んでいるか分からない状態になるということです。よって、W32/Virut の感染が確認された場合は、パソコンを購入した時の状態に戻す作業(初期化)を行ってください。
実際の作業方法は、取扱説明書に記載されている「購入時の状態に戻す」などの手順に沿って作業してください。なお、作業を行う前には、重要なデータのバックアップを忘れずに行ってください。また、バックアップしたデータは、パソコンに戻す前にウイルス対策ソフトでウイルスチェックし、ウイルスが含まれていないことを確認してください。
(ご参考)
「パソコンユーザのためのウイルス対策 7 箇条」
http://www.ipa.go.jp/security/antivirus/7kajonew.html
「パソコンユーザのためのスパイウェア対策 5 箇条」
http://www.ipa.go.jp/security/antivirus/spyware5kajyou.html
「ボット対策について」
http://www.ipa.go.jp/security/antivirus/bot.html
今月のトピックス
- コンピュータ不正アクセス被害の主な事例(届出状況及び被害事例の詳細は、「3.コンピュータ不正アクセス届出状況」を参照)
- SQL インジェクション攻撃でデータを改ざんされた
- 相談の主な事例 (相談受付状況及び相談事例の詳細は、「4.相談受付状況」を参照)
- 友人からもらった USB メモリからウイルス感染?
- あるソフトを使い続けたいため、OS を最新の状態にアップデートしたくない
- インターネット定点観測(詳細は、別紙3を参照)
IPA で行っているインターネット定点観測について、詳細な解説を行っています。 - Symantec 製品の脆弱性を狙った 2967/tcp へのアクセスに注意!
2. コンピュータウイルス届出状況 −詳細は別紙1を参照−
ウイルスの検出数(※1)は、 約12.8万個と、1月の約15.9万個から19.1%の減少となりました。また、2月の届出件数(※2)は、1,463件となり、1月の1,860件から21.3%の減少となりました。
※1 検出数 : 届出にあたり届出者から寄せられたウイルスの発見数(個数)
※2 届出件数: 同じ届出者から寄せられた届出の内、同一発見日で同一種類のウイルスの検出が複数ある場合は、1日何個検出されても届出1件としてカウントしたもの。
・2月は、寄せられたウイルス検出数約12.8万個を集約した結果、1,463件の届出件数となっています。
3. コンピュータ不正アクセス届出状況(相談を含む) −詳細は別紙2を参照−
表3-1 不正アクセスの届出および相談の受付状況
| 9月 | 10月 | 11月 | 12月 | 1月 | 2月 | ||
|---|---|---|---|---|---|---|---|
| 届出(a) 計 | 14 | 17 | 18 | 10 | 10 | 9 | |
| 被害あり(b) | 12 | 12 | 12 | 7 | 7 | 6 | |
| 被害なし(c) | 2 | 5 | 6 | 3 | 3 | 3 | |
| 相談(d) 計 | 38 | 58 | 39 | 38 | 29 | 35 | |
| 被害あり(e) | 20 | 22 | 19 | 19 | 13 | 14 | |
| 被害なし(f) | 18 | 36 | 20 | 19 | 16 | 21 | |
| 合計(a+d) | 52 | 75 | 57 | 48 | 39 | 44 | |
| 被害あり(b+e) | 32 | 34 | 31 | 26 | 20 | 20 | |
| 被害なし(c+f) | 20 | 41 | 26 | 22 | 19 | 24 | |
(1)不正アクセス届出状況
2月の届出件数は9件であり、そのうち何らかの被害のあったものは6件でした。
(2)不正アクセス等の相談受付状況
不正アクセスに関連した相談件数は35件(うち2件は届出件数としてもカウント)であり、そのうち何らかの被害のあった件数は14件でした。
(3)被害状況
被害届出の内訳は、侵入1件、DoS 攻撃1件、なりすまし3件、不正プログラム埋込1件、でした。
「侵入」の被害は、SQL※インジェクション※攻撃を受け、結果としてデータベース内のデータを改ざんされたものでした。侵入の原因は、脆弱性を突かれたことによるものでした。「なりすまし」の被害は、オンラインサービスのサイトに本人になりすまして何者かにログインされ、サービスを勝手に利用されていたもの(オンラインゲーム2件、オンラインのコミュニケーションサイト1件)でした。
※SQL (Structured Query Language) : リレーショナルデータベースマネジメントシステム(RDBMS)において、データの操作や定義を行うための問合せ言語のこと。
※SQLインジェクション : データベースへアクセスするプログラムの不具合を悪用し、正当な方法以外でデータベース内のデータを閲覧したり書き換えしたりする攻撃のこと。
(4)被害事例
[ 侵入 ]
(i) SQL インジェクション攻撃でデータを改ざんされた| 事 例 |
|
|---|---|
| 解 説 ・ 対 策 |
問題のあったサイトは、ウェブサイトにアクセスして来た顧客のリクエストに応じて、データベースで管理している商品情報を、カタログとして随時ピックアップして見せる、という仕組みになっていました。カタログデータが改ざんされたため、カタログを閲覧した顧客にまで被害がおよぶ可能性があることを忘れてはいけません。 顧客がサイトを閲覧したことによってウイルス感染するなどの二次被害を防ぐため、いち早くウェブサイトなどで事実関係を公表するとともに、対策方法についても告知することが、ウェブサイトを公開している企業としての義務と言えます。 なお、改ざん被害への最大の対策は、脆弱性を作り込まないこと、です。次の資料を参考にしてください。 (参考)
|
4.相談受付状況
2月の相談総件数は1,051件でした。そのうち『ワンクリック不正請求』に関する相談が355件(1月:243件)、『セキュリティ対策ソフトの押し売り』行為に関する相談が17件(1月:11件)、Winny に関連する相談が7件(1月:8件 )、「情報詐取を目的として特定の組織に送られる不審なメール」に関する相談は5件、などでした。
表4-1 IPA で受け付けた全ての相談件数の推移
| 9月 | 10月 | 11月 | 12月 | 1月 | 2月 | ||
|---|---|---|---|---|---|---|---|
| 合計 | 2,154 | 1,171 | 713 | 839 | 960 | 1,051 | |
| 自動応答システム | 1,302 | 677 | 363 | 458 | 529 | 521 | |
| 電話 | 755 | 441 | 288 | 331 | 390 | 472 | |
| 電子メール | 93 | 47 | 62 | 49 | 39 | 57 | |
| その他 | 4 | 6 | 0 | 1 | 2 | 1 | |
(備考)
IPA では、コンピュータウイルス・不正アクセス、Winny 関連、その他情報セキュリティ全般についての相談を受け付けています。
| メール |  (これらのメールアドレスに特定電子メールを送信しないでください) |
| 電話番号 | 03-5978-7509 (24時間自動応答、ただし IPA セキュリティセンター員による相談受付は休日を除く月〜金、10:00〜12:00、13:30〜17:00のみ) |
| FAX | 03-5978-7518 (24時間受付) |
「自動応答システム」 : 電話の自動音声による応対件数
「電話」 : IPA セキュリティセンター員による応対件数
合計件数には、「不正アクセスの届出および相談の受付状況」における『相談(d) 計』件数を内数として含みます。
図4-1 ワンクリック不正請求相談件数の推移
主な相談事例は以下の通りです。
(i) 友人からもらった USB メモリからウイルス感染?
| 相談 | USB メモリを友人からもらった。その USB メモリを自分のパソコンに挿してからというもの、パソコンの調子が悪い。今思えば、USB メモリをパソコンに挿した際、デスクトップに見慣れないアイコンが出来ていた。ウイルス対策ソフトは入れていなかった。オンラインスキャンができるサイトでウイルスチェックしたら、ウイルスがたくさん検知された。パソコンは初期化した。今後、どうすれば良いのか。 |
|---|---|
| 回答 | もらった USB メモリ内に、USB メモリ感染型ウイルスが入っていた可能性が高いと言えます。ご友人も知らないうちに USB メモリにウイルスが感染していたとすれば、ご友人のパソコンもウイルス感染している可能性が高いといえます。まずはご友人に、ウイルスチェックするよう知らせましょう。
|
(ii) あるソフトを使い続けたいため、OS を最新の状態にアップデートしたくない
| 相談 | Windows XP SP1 を使っている。XP の最新版は SP3 であることは知っているが、自分が愛用しているソフトが使えなくなると聞いているため、SP3 へのアップデートに踏み切れない。ルータを使用し、メールの送受信はテキスト形式で行い、怪しいメールは一切開いていないので、セキュリティ対策していると言えるのではないか。なお、メールソフトの送信済みフォルダを見ても、怪しいメールは入っていないため、ウイルス感染によるメール発信は無いと信じている。 |
|---|---|
| 回答 | Windows XP SP1 は、既にマイクロソフトによるサポートが終了しており、脆弱性が発見されても修正プログラムは提供されません。脆弱性の種類によっては、パソコンをインターネットにつないでいるだけで、ウイルスに感染してしまう場合があります。悪意のあるサイトを閲覧しただけで、ウイルスに感染してしまう場合もあります。セキュリティ対策の基本は、脆弱性の解消です。逆に言えば、脆弱性を解消していなければ、他にどんな対策をしていても片手落ちになるということです。
|
5.インターネット定点観測での2月のアクセス状況
インターネット定点観測(TALOT2)によると、2009年2月の期待しない(一方的な)アクセスの総数は10観測点で138,944件、総発信元(※)は48,671箇所ありました。平均すると、1観測点につき1日あたり203の発信元から579件のアクセスがあったことになります(図5-1)。
※総発信元:TALOT2 にアクセスしてきた発信元の総数。同一発信元から同一の観測日・観測点・ポートに複数アクセスがあった場合でも、発信元数は1としてカウント。
TALOT2 における各観測点の環境は、インターネットを利用される一般的な接続環境と同一なので、インターネットを利用される皆さんの環境へも同じくらいの一方的なアクセスがあると考えられます。
※2月6日〜9日は、TALOT2のメンテナンスのため、システムを停止しています。そのため、2月の観測データは、この4日間を除外して統計情報を作成しています。
【図5-1 1観測点・1日あたりの期待しない(一方的な)平均アクセス数と発信元数】
2008年9月〜2009年2月までの各月の1観測点・1日あたりの平均アクセス数とそれらのアクセスの平均発信元数を図5-1に示します。2月の期待しない(一方的な)アクセスは1月と比べて大幅に増加しました。
(1) 2967/tcp へのアクセス
2967/tcp へのアクセスが1月に入ったあたりから増加し、2月に入りさらに増加していました(図5-2参照)。
【図5-2 2967/tcp アクセス数の変化(10観測点の合計)】
2967/tcp は Symantec 製品がデフォルトで使用するポートです。過去に『Symantec Client Security および Symantec AntiVirus に特権昇格の脆弱性(SYM06-010)』が公開されています。
この脆弱性は、影響を受ける製品(Symantec Client Security や Symantec AntiVirus など)において、攻撃者によってファイルの取得または削除が可能となり、システムが破壊される可能性がある、というものです。
(ご参考)
「Symantec Client Security および Symantec AntiVirus に特権昇格の脆弱性(SYM06-010)」
2006年5月25日発表
http://www.symantec.com/region/jp/avcenter/
security/content/2006.05.25.html
今でもこの脆弱性を狙った攻撃が行われている可能性があります。Symantec Client Security や Symantec AntiVirus の利用者は、Live Update によりプログラムを最新にすることで脆弱性を解消することができます。利用者は、利用しているプログラムが最新であるか確認してください。特に、利用期限が終了していて最新のプログラムに更新できない方は、最新版を購入して使用してください。
日頃から JVN などの脆弱性対策情報ポータルサイトを確認して、お使いの製品の脆弱性対策を迅速に行えるようにしてください。
(ご参考)
「JVN (Japan Vulnerability Notes)」(脆弱性対策情報ポータルサイト)
http://jvn.jp/
「JVN iPedia脆弱性対策情報データベース」
http://jvndb.jvn.jp/
(2) 445/tcp へのアクセス
445/tcp へのアクセスは、1月に既に多くのアクセスが観測されていましたが、2月にはさらに多くのアクセスが観測されました(図5-3参照)。1月の報告で解説した状況が続いているものと思われます。
(ご参考)
2009年1月のインターネット定点観測(TALOT2)での観測状況について
http://www.ipa.go.jp/security/txt/2009/documents/TALOT2-0902.pdf
ところで、2月6日〜9日のシステム停止期間の前後でこのポートへのアクセス状況を比較しところ、国内からのアクセスが減少していたにもかかわらず、国外からのアクセスが大幅に増加していたことが分かりました(図2-3参照)。
システム停止期間の前後で、IPアドレスのネットワークセグメントが変わっていたことも要因の一つとして考えられるでしょう。
【図5-3 445/tcp 発信元地域別アクセス数の変化】
【図5-4 445/tcp へのアクセス数の変化(国内/国外)】
『他機関・ベンダーの各種統計情報は以下のサイトで公開されています。』
@police:http://www.cyberpolice.go.jp/
トレンドマイクロ株式会社:http://jp.trendmicro.com/jp/home/
マカフィー株式会社:http://www.mcafee.com/japan/
お問い合わせ先:
独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC)
(ISEC:Information technology SEcurity Center)
TEL:03-5978-7527 FAX:03-5978-7518
E-mail: 
(このメールアドレスに特定電子メールを送信しないでください)
URL:http://www.ipa.go.jp/security/