HOME情報セキュリティ情報セキュリティ対策ウイルス対策コンピュータウイルス・不正アクセスの届出状況[2009年3月分および第1四半期]について

本文を印刷する

情報セキュリティ

コンピュータウイルス・不正アクセスの届出状況[2009年3月分および第1四半期]について

第09-10-146号
2009年 4月 2日
独立行政法人情報処理推進機構
セキュリティセンター(IPA/ISEC)

 IPA (独立行政法人情報処理推進機構、理事長:西垣 浩司)は、2009年3月および第1四半期のコンピュータウイルス・不正アクセスの届出状況をまとめました。
(届出状況の詳細PDF資料はこちら)

1. 今月の呼びかけ

「 "セキュリティの警告"画面を知っていますか? 」
― そこには被害に遭わないためのヒントが書かれています ―

 IPA に寄せられる「ワンクリック不正請求」に関する相談件数は、2008年9月の651件をピークに一時減少しましたが、最近4カ月では再び急激に増加しています(図1-1参照)。3月には、「ワンクリック不正請求」の累計相談件数が10,000件を突破しました。

 増加した要因の1つとして、新たな手口を利用するサイトが複数現われたことが挙げられます。新たな手口では、パソコンの設定が改ざんされてしまうため、完全に元の状態に戻すことが困難になります。
 このような手口を利用するサイトは今後も増加する可能性がありますが、予防対策は従来から変わりません。Windows が表示する"セキュリティの警告"画面やそのメッセージの意味を確認し、被害に遭わないように注意してください。
図1-1:ワンクリック不正請求の相談件数推移


(1) 「ワンクリック不正請求」とは

 「ワンクリック不正請求」とは、アダルトサイトで動画を観ようと画像をクリックして次へ次へと進んで行った利用者に対し、悪意ある者が本人の意思に反して会員登録し料金を請求する手口です。アニメやゲームなど、アダルト以外のサイトから誘導されることも多く、年齢・性別を問わず、多くの相談が寄せられています。

(a)従来の手口

 不正請求を行うサイトにアクセスし、[無料]や[サンプル]といったボタンを押すと、料金の請求画面を表示する、ウイルスなどの悪意のあるプログラム(exe 形式)がダウンロード、インストールされます。その結果、パソコンを起動すると当該プログラムが自動実行され、毎回、請求画面が表示されるようになってしまいます。(パソコンがインターネットに接続されていなくても請求画面が表示されます。)
 この場合の対処方法は、インストールされたプログラムを削除することです。ウイルス感染後であっても、概ね、ウイルス対策ソフトで対応が可能です。

 

(b)新たな手口

   2月頃に現れた新たな手口は、従来のように悪意のあるプログラム(exe 形式)をインストールすることなく、そのプログラムがパソコンの設定を改ざんすることで、パソコンの起動時にウェブブラウザを利用してインターネット上のアダルトサイトに勝手に接続し、請求画面を表示させるというものです。


図1-2:新たな手口で表示された、消せない画面の例

 この手口でウェブブラウザに表示された請求画面は、右上の×ボタンで閉じたり、画面の端に移動したりといった操作ができない仕掛けになっており、表示を止めることができません(図1-2参照)。

 

 この場合、ウイルスがパソコン内に潜んでいる訳ではないため、症状が出てしまうと、現状のウイルス対策ソフトでは対応できません

 

 実際に行う対処方法は、ウェブブラウザでアダルトサイトに勝手に接続するように設定された命令を解除することです。そのためには、「システム構成ユーティリティ」(※1)を利用して、追加されたスタートアップ項目を解除します。こうすることで、パソコン起動時に、アダルトサイトに接続させられることはなくなります。ただし、完全に設定情報を元に戻すためには、システム設定データ(レジストリ)を編集する必要がありますが、このデータに対して誤った編集を行うと、必要なプログラムが起動しなくなる危険があります。

 

 このように、一度被害に遭ってしまうと、完全に復旧するためには専門的な知識が必要になるなど、対処することは非常に困難です。


※1 Windows のシステム構成の問題を診断、修復するためのソフトウェア。これを用いてシステム構成を変更することで、Windows 起動時に悪意あるプログラムが自動起動される設定を解除することができる。但し、Windows 2000には装備されていない。

(2)対策

(a)予防策

 被害に遭わないための対策は、Windows の機能である"ファイルのダウンロード-セキュリティの警告"画面に表示された内容をよく読み、安易に[実行]ボタンを押さないことです(図1-3参照)。
 この"警告"画面は、画像や動画を再生するときに表示されるものではありません。悪意がある可能性のあるプログラムをパソコンに取り込もうとしていることを警告する画面です。ホームページを閲覧しているとき、この警告画面が表示されたら[キャンセル]ボタンを押して、悪意のあるプログラムを取り込まないようにしてください。

 

 ただし、悪意のあるプログラムではないと判断できた場合でも、ソフトウェアをダウンロードする際は[保存]を選択してダウンロードし、ウイルス対策ソフトで検査してから開く(実行する)ようにしてください。

図1-3:Internet Explorerの"セキュリティ警告"画面の例

※画像のクリックで拡大表示

 

 被害が報告されたウェブサイトの中には、図入りの説明を用意し、言葉巧みに"セキュリティの警告"画面で[実行]ボタンをクリックさせるように仕向けるなど、手口が巧妙になっている事例が確認されました(図1-4参照)。ウェブサイトの説明を鵜呑みにせず、メッセージ等をよく読んで、少しでもおかしいと感じたらそこから先には進まないようにしてください。

 

 例えば、今回の事例とは直接関係ありませんが、IPAに寄せられた相談事例では、「アダルトサイトの入口ページに『利用料金が発生する』旨の案内が記載されているにも関わらず、よく読まなかった」、「『どうせ嘘だろう』と軽く考えてクリックして先に進んで行ったあげく、請求画面が表示されるようになってしまった」というものが大多数を占めていました。ウェブサイトに記載された注意事項などをよく確認していれば被害は未然に防止できますので、利用者はクリックする前に十分注意してください。(図1-5参照)。

図1-4:[実行]をクリックさせるための説明画面 および 図1-5:サイトの入り口にある料金表示例

 

(b)事後対策

 Windows XP や Windows Vista には、システムの復元機能があります。この機能を利用し、料金請求画面が表示される前の状態にシステムを復元することで解決できます。

(ご参考)
  「システムの復元のやり方」(マイクロソフト社)
  http://www.microsoft.com/japan/windowsxp/pro/business/feature/
performance/restore.mspx

 

 システムの復元が正常に完了しない場合は、システム設定データ(レジストリ)を編集する方法もありますが、操作を誤るとパソコンが起動しなくなる危険があります。知識がない(自信がない)場合は、編集しないようにしてください。

 

 なお、対処方法がわからない場合は IPA にご連絡ください。以下の窓口にて電話対応しておりますので、パソコンを操作できる状態でご相談ください。

 

  コンピュータウイルス 110番
 電話番号:03-5978-7509 (24時間自動応答、ただし相談員による
        相談受付は休日を除く月~金の10:00~12:00、13:30~17:00のみ)

 

(ご参考)
 「ワンクリック不正請求に関する注意喚起」(IPA)
  http://www.ipa.go.jp/security/topics/alert20080909.html

今月のトピックス

  • コンピュータ不正アクセス被害の主な事例(届出状況及び被害事例の詳細は、「3.コンピュータ不正アクセス届出状況」を参照)
    • SQL インジェクション攻撃で侵入されたようだが・・
    • 侵入され、ホームページのデータが消去された
  • 相談の主な事例 (相談受付状況及び相談事例の詳細は、「4.相談受付状況」を参照)
    • インターネット上に自分の作ったデータが流出?
    • Windows 98 や Me で使えるウイルス対策ソフトはあるか
  • インターネット定点観測(詳細は、別紙3を参照)
    IPA で行っているインターネット定点観測について、詳細な解説を行っています。

2. コンピュータウイルス届出状況 -詳細は別紙1を参照-

 ウイルスの検出数(※1)は、 約11.9万個と、2月の約12.8万個から7.7%の減少となりました。また、3月の届出件数(※2)は、1,674件となり、2月の1,463件から14.4%の増加となりました。

※1 検出数 : 届出にあたり届出者から寄せられたウイルスの発見数(個数)
※2 届出件数: 同じ届出者から寄せられた届出の内、同一発見日で同一種類のウイルスの検出が複数ある場合は、1日何個検出されても届出1件としてカウントしたもの。
 ・3月は、寄せられたウイルス検出数約11.9万個を集約した結果、1,674件の届出件数となっています。

 検出数の1位は、W32/Netsky約10.5万個 、2位は W32/Mytob約5千個、3位は W32/Mydoom約3千個でした。

図2-1:ウイルス検出数

図2-2:ウイルス届出件数

3. コンピュータ不正アクセス届出状況(相談を含む) -詳細は別紙2を参照-

表3-1 不正アクセスの届出および相談の受付状況

  10月 11月 12月 1月 2月 3月
届出(a) 計 17 18 10 10 9 20
  被害あり(b) 12 12 7 7 6 13
被害なし(c) 5 6 3 3 3 7
相談(d) 計 58 39 38 29 35 40
  被害あり(e) 22 19 19 13 14 11
被害なし(f) 36 20 19 16 21 29
合計(a+d) 75 57 48 39 44 60
  被害あり(b+e) 34 31 26 20 20 24
被害なし(c+f) 41 26 22 19 24 36

(1)不正アクセス届出状況

 3月の届出件数は20件であり、そのうち何らかの被害のあったものは13件でした。

(2)不正アクセス等の相談受付状況

 不正アクセスに関連した相談件数は40件(うち3件は届出件数としてもカウント)であり、そのうち何らかの被害のあった件数は11件でした。

(3)被害状況

 被害届出の内訳は、侵入4件不正プログラム埋込9件、でした。
 「侵入」の被害は、SQLインジェクション攻撃を受け、サーバ上でコマンドを実行されたものが1件、他サイト攻撃の踏み台として悪用されたものが2件、ウェブサーバ内のコンテンツデータが消去されたものが1件、でした。侵入の原因は、脆弱性を突かれたことによるものが1件、SSHで使用するポートへのパスワードクラッキング攻撃と思われるものが1件、その他のパスワードクラッキング攻撃と思われるものが1件、でした(残りの1件は原因不明)。

※SQL (Structured Query Language) : リレーショナルデータベースマネジメントシステム(RDBMS)において、データの操作や定義を行うための問合せ言語のこと。
※SQL インジェクション : データベースへアクセスするプログラムの不具合を悪用し、正当な方法以外でデータベース内のデータを閲覧したり書き換えしたりする攻撃のこと。
※SSH (Secure Shell) : ネットワークを介して遠隔のコンピュータと通信するためのプロトコルの一つ。
※パスワードクラッキング (password cracking) : 他人のパスワードを、解析するなどして探り当てること。ブルートフォース攻撃(総当り攻撃)や辞書攻撃といった手法があり、クラッキング用のプログラムも存在する。

(4)被害事例

[ 侵入 ]
(i) SQL インジェクション攻撃で侵入されたようだが・・

  • IPA の SQL インジェクション検出ツール「iLogScanner」でログをチェックしたところ、攻撃が成功していたと思われる形跡が数万件検知された。半年も前から、攻撃が続いていたようだ。
  • しかし、組織の幹部はこの事実を公にしない方針らしく、さらなる調査を進めることができない。
  • とりあえず、データベースを使ったコンテンツ公開は停止し、ウェブアプリケーションの見直しを開始した。




データベースをウェブサイトのコンテンツとしてそのまま利用している場合、SQL インジェクション攻撃によってデータベース内データを改ざんされると、サイトを閲覧しに来た一般のパソコンユーザが被害に遭う場合があります。まずは不正アクセス被害の全貌を調査し、影響範囲を明らかにすることが最優先です。被害状況の把握や復旧には専門的な知識や技術が必要になりますので、自組織での対応が無理な場合は、情報セキュリティの専門企業へ調査を依頼しましょう。万が一、不正アクセスの影響が組織の外部にまで及んでいる恐れがある場合は、その事実内容や対応方法を告知することが望まれます。
組織の幹部には、脆弱性の内容や、脆弱性が原因となって起こる問題点を説明し、二次被害が生じないような対策をとるべく、協力を求めると良いでしょう。次の資料を参考にしてください。
(参考)
(ii) 侵入され、ホームページのデータが消去された

  • 自社のウェブサイトのページが表示されなくなったため調査したところ、サーバ上のホームページ用のディレクトリが消去されていたことが判明。
  • ログをチェックしたところ、管理用以外の IP アドレス(海外)からのアクセス痕跡が認められた。
  • セキュリティ対策のため、システム設定の変更や IDSの導入作業の途中であった。




システム設定変更などの作業中に、一時的にセキュリティが弱くなる状態があったのかもしれません。作業は、一旦全てのサービスを停止し、オフライン状態で実施するのが理想です。もしくは作業中だけでも、外部からのログインを禁止するなどの措置が有効でしょう。
(参考)

 ※IDS (Intrusion Detection System): システムに対する侵入/侵害を検出・通知するシステムのこと。

4.相談受付状況

 3月の相談総件数は1,406件でした。そのうち『ワンクリック不正請求』に関する相談503件(2月:355件)、『セキュリティ対策ソフトの押し売り』行為に関する相談が3件(2月:17件)、Winny に関連する相談6件(2月:7件 )、「情報詐取を目的として特定の組織に送られる不審なメール」に関する相談1件(2月:5件 )、などでした。

 表4-1 IPA で受け付けた全ての相談件数の推移

  10月 11月 12月 1月 2月 3月
合計 1,171 713 839 960 1,051 1,406
  自動応答システム 677 363 458 529 521 758
電話 441 288 331 390 472 597
電子メール 47 62 49 39 57 49
その他 6 0 1 2 1 2

(備考)
IPA では、コンピュータウイルス・不正アクセス、Winny 関連、その他情報セキュリティ全般についての相談を受け付けています。

メール 相談メールアドレス
(これらのメールアドレスに特定電子メールを送信しないでください)
電話番号 03-5978-7509 (24時間自動応答、ただし IPA セキュリティセンター員による相談受付は休日を除く月~金、10:00~12:00、13:30~17:00のみ)
FAX 03-5978-7518 (24時間受付)

「自動応答システム」 : 電話の自動音声による応対件数
「電話」 : IPA セキュリティセンター員による応対件数
合計件数には、「不正アクセスの届出および相談の受付状況」における『相談(d) 計』件数を内数として含みます。

図4-1 ワンクリック不正請求相談件数の推移 
図4-1 ワンクリック不正請求相談件数の推移

主な相談事例は以下の通りです。

(i) インターネット上に自分の作ったデータが流出?
相談

Google で情報を検索していたら、自分が作成したと思われる名簿ファイルや日記ファイルがヒットした。ウイルスに感染して、パソコンからデータが流出したのか?

回答

パソコン内のデータが、検索結果に表示されている可能性があります。「Google デスクトップ」というアプリケーションがインストールされているのではないでしょうか。このアプリケーションが入っていると、情報検索の際、パソコン内も検索範囲になります。最近では、購入時からプリインストールされていることもあります。コントロールパネルから、パソコン内にインストールされているプログラム一覧を確認することができます。

(ii) Windows 98 や Me で使えるウイルス対策ソフトはあるか
相談

メールを送受信したり、ちょっとホームページを見るくらいしかパソコンを使わないので、今でも Windows 98 を使い続けている。ウイルスが心配なのでウイルス対策ソフトを入れようと思うが、ソフト販売店には売っていなかった。どうすれば良いか。

回答

Windows 98 や Me は、セキュリティ上の問題が解決されませんので、今後の利用はお勧めしません。既にマイクロソフトによるサポートが終了しており、脆弱性が発見されても修正プログラムは提供されないためです。脆弱性の種類によっては、パソコンをインターネットにつないでいるだけで、ウイルスに感染してしまう場合があります。悪意のあるサイトを閲覧しただけで、ウイルスに感染してしまう場合もあります。セキュリティ対策の基本は、脆弱性の解消です。逆に言えば、脆弱性を解消していなければ、他にどんな対策をしていても片手落ちになるということです。
「インターネットにつながないから問題無いでしょう」という意見もありますが、安全とは言えません。最近は USB メモリを介してデータ交換をする機会が多くなっており、USB メモリを媒介として感染を広げるウイルスが多く出回っているためです。

(ご参考)

5.インターネット定点観測での3月のアクセス状況

 インターネット定点観測(TALOT2)によると、2009年3月の期待しない(一方的な)アクセスの総数は10観測点で136,437件、総発信元(※)は44,646箇所ありました。平均すると、1観測点につき1日あたり144の発信元から444件のアクセスがあったことになります(図5-1)。
※総発信元:TALOT2 にアクセスしてきた発信元の総数。同一発信元から同一の観測日・観測点・ポートに複数アクセスがあった場合でも、発信元数は1としてカウント。

 TALOT2 における各観測点の環境は、インターネットを利用される一般的な接続環境と同一なので、インターネットを利用される皆さんの環境へも同じくらいの一方的なアクセスがあると考えられます。

図5-1 1観測点・1日あたりの期待しない(一方的な)平均アクセス数と発信元数
【図5-1 1観測点・1日あたりの期待しない(一方的な)平均アクセス数と発信元数】

 2008年10月~2009年3月までの各月の1観測点・1日あたりの平均アクセス数とそれらのアクセスの平均発信元数を図5-1に示します。3月の期待しない(一方的な)アクセスは2月と比べて大幅に減少しました。

(1) 445/tcp へのアクセス

 2月と比較して3月は 445/tcp へのアクセスが大幅に減少しましたが、過去1年間を通してみると、2月はアクセス数が特別多かったに過ぎず、3月は2月より前の水準に戻ったと言えます (図5-2参照)。
 445/tcp へのアクセスが2月に増加したタイミングはメンテナンスによるシステムの停止がきっかけでしたが、3月に減少したタイミングも不定期に行っている TALOT2 の観測点の変更がきっかけでした。それぞれのタイミングで 445/tcp へのアクセス数が大きく変化したことについて、本質的な要因は特定できておりません。

図5-2 445/tcp発信元地域別アクセス数の変化
【図5-2 445/tcp発信元地域別アクセス数の変化】

以上の情報に関して、詳細はこちらのサイトをご参照ください。

届出の詳細については以下の PDF ファイルをご参照ください。 2009年第1四半期のコンピュータウイルス・不正アクセス届出状況

『他機関・ベンダーの各種統計情報は以下のサイトで公開されています。』

@police:http://www.cyberpolice.go.jp/
トレンドマイクロ株式会社:http://jp.trendmicro.com/jp/home/
マカフィー株式会社:http://www.mcafee.com/japan/

お問い合わせ先:

独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC)
(ISEC:Information technology SEcurity Center)
TEL:03-5978-7527 FAX:03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。
     (このメールアドレスに特定電子メールを送信しないでください)
URL:http://www.ipa.go.jp/security/