HOME情報セキュリティ情報セキュリティ対策ウイルス対策コンピュータウイルス・不正アクセスの届出状況[2009年5月分]について

本文を印刷する

情報セキュリティ

コンピュータウイルス・不正アクセスの届出状況[2009年5月分]について

第09-20-153号
掲載日:2009年 6月 3日
独立行政法人情報処理推進機構
セキュリティセンター(IPA/ISEC)

 IPA (独立行政法人情報処理推進機構、理事長:西垣 浩司)は、2009年5月のコンピュータウイルス・不正アクセスの届出状況をまとめました。
(届出状況の詳細PDF資料はこちら)

1. 今月の呼びかけ

「 新型インフルエンザの注意喚起に便乗したコンピュータウイルスに注意! 」
― 情報の信憑性を確かめよう ―

 4月の終わり頃から、新型インフルエンザが世界中で猛威を振るっていますが、この新型インフルエンザに関する情報提供を装って、コンピュータウイルスに感染させようとする手口が広まっています。IPA に寄せられた相談の中には、実在する研究機関を騙った偽の注意喚起メールにウイルスを添付し、パソコンに感染させようとする事例もありました。
 今回のように、世界中で注目されているニュース報道の直後や、オリンピックやクリスマス、バレンタインなどの行事の直前には、それに便乗してウイルスを感染させようとする手口が多く発生します。
 このようなウイルスによる感染被害に遭わないためには、自分の身に覚えのないメールの添付ファイルは開かないことが鉄則です。さらに、知り合いから届いたように見えるメールの添付ファイルであっても、不自然さが感じられる場合は念のため相手に確認してから開くようにするなど、より慎重に対応するようにしてください。

(1) 新型インフルエンザの注意喚起に便乗した手口の概要

 今回の手口には、次の2つの事例が確認されています。

(a) SEO ポイズニング(Search Engine Optimization Poisoning)

 SEO とは、検索キーワードを基に、検索結果として選ばれたウェブサイトの表示順位を向上させる工夫のことです。

 この手口は、検索サイトから Swine(豚)と言う検索キーワードを入力して検索を行うと、その検索結果の上位に表示されるウェブサイトの一覧の中に、悪意あるウェブサイトを紛れさせるというものです。(通常は、利用者が興味のある言葉や流行語などが検索キーワードになります。今回の手口は、新型インフルエンザが流行したことにより、Swine(豚)がキーワードとして使われました。) 図1-1:検索サイトから悪意あるウェブサイトに誘導

利用者は、そのリンク先をクリックすることにより、悪意あるウェブサイトに誘導され、ウイルス感染の脅威にさらされてしまいます。これは、"検索結果の上位サイトをクリックしがち"、"検索結果の上位サイトは安全なサイトだと思いがち"という、利用者の心理を突いた手口と言えます。

 

(ご参考)
「情報セキュリティ白書2008 第2部 10大脅威」(IPA)
第7位 検索エンジンからマルウェア配信サイトに誘導
http://www.ipa.go.jp/security/vuln/20080527_10threats.html

 

(b)偽の注意喚起メールからウイルスに感染
 この手口は、冒頭でも説明したとおり、実在する研究機関の名前や架空組織の名前を騙り、新型インフルエンザの注意喚起情報に見せかけたファイル(今回は PDF [Portable Document Format]ファイルを添付ファイルに使用していることを確認しています)を添付したメールを送り、添付ファイルを開かせることによって、アプリケーションソフトの脆弱性(ぜいじゃくせい)を突いてウイルスを感染させようとするものです。実在する研究機関の名を騙って送信している点はとても悪質ですし、何らかの情報を詐取する意図が感じられます。
 このようなメールの中には、添付ファイルを開かせるのではなく、メール本文内に書かれているリンクをクリックさせることによって悪意あるウェブサイトに誘導し、ウイルス感染の被害に遭わせようとするものもあります。

図1-2:偽のメールからウイルスに感染

(ご参考)
「情報セキュリティ白書2009 第2部 10大脅威」(IPA)
総合第3位 巧妙化する標的型攻撃
http://www.ipa.go.jp/security/vuln/10threats2009.html

(2)偽の注意喚起メールに添付されていたウイルスの概要

 今回、実際に出回っていた偽の注意喚起メールを IPA で入手し、添付ファイルの解析を行い検出したウイルスについて、以下の動作を確認しました。

・Trojan.Pidief.C

 このウイルスは、PDF ファイルを閲覧するためのアプリケーションソフト、Adobe Reader または Adobe Acrobat の脆弱性を突いて、Windows パソコンに感染するウイルスです。ただし、最新版の Adobe Reader、Adobe Acrobat (Reader、Acrobat 共に、2009年5月現在の最新バージョンは9.1.1です)では当該脆弱性が解消されているため感染しません。

 

(ご参考)
「JVNDB-2009-001131 Adobe Reader および Adobe Acrobat における任意のコードが実行される脆弱性」(JVN iPedia 脆弱性対策情報データベース)
http://jvndb.jvn.jp/ja/contents/2009/JVNDB-2009-001131.html

 

 添付された PDF ファイルを開いて Trojan.Pidief.C に感染すると、Trojan-Proxy.Win32.Agent.blp という別のウイルスがインストールされ、それによってダミーの PDF 文書が表示されます(図1-3参照)。こうすることで、ウイルスに感染したことに気付きにくくなっています。さらに、Trojan-Proxy.Win32.Agent.blp は、悪意あるウェブサイトにアクセスし、他のウイルスをダウンロードします。
 なお、今回解析した Trojan.Pidief.C は、脆弱性が解消されていればウイルスには感染せず、ダミーの PDF 文書は表示されませんでした。(図1-4参照)。

 

図1-3:感染した場合 図1-4:感染しなかった場合

(ご参考)
「公的機関になりすましたメールに注意してください!!」(2008年4月の呼びかけ)
http://www.ipa.go.jp/security/txt/2008/05outline.html

 

 その他に、Trojan.Win32.Chifrax.a と称されるウイルスを検出しました。このウイルスは、2007年10月には発見されていますが、今回解析した検体は新たに作り直されたウイルスです。
 このウイルスは、キーロガーとして動作します。キーロガーとは、キーボードから入力した情報を記録するプログラムで、個人情報を詐取しようとします。

(3)対策

(a) 怪しいサイトやメールを見分ける方策

 (1)の(a)SEO ポイズニングの場合、検索結果に表示されるウェブサイトが悪意あるものかどうかは、書かれているリンクを見ただけでは簡単には分かりません。ただ、検索結果に表示されるウェブサイト名やリンクが、入力した検索キーワードとまったく関係のない表示であるなど、少しでも怪しいと思うリンク先であれば、クリックをしてアクセスすることは止めましょう。
 IPA では、このようなウェブサイトの危険性を利用者に代わって判断するサービスを行っていますので、ぜひご利用ください。

 

(ご参考)
「悪意あるサイトの識別情報および対策情報提供システム(TIPS)」を利用したウェブサイト情報提供サービスを開始 (IPA)
http://www.ipa.go.jp/security/isg/tips.html

 

 (1)の(b)偽の注意喚起メールを含めた迷惑メールなどの場合、普段やり取りがない送信者からのメールが届いたら、すぐに開いたり、中に書いてあるリンク先をクリックしたりしないでください。可能であれば送信者と連絡を取り、本当にその送信者が送ったメールなのかを確認しましょう。
 ただし、確認をする際は、メールの中に書かれている連絡先には連絡をせず、出来る限り自分で連絡先を調べて電話で確認することを勧めます。
 添付ファイルがあるメールであれば、普段やり取りのある送信者からのメールでも、送信者と連絡を取って確認しましょう。今回のように、普段やり取りのない相手から、突然に注意喚起の内容でメールが届くことはまずあり得ないことと思います。少しでも怪しいと思うメールであれば、確認を取るか、開かずに削除することが一番の対策です。
 今回の偽の注意喚起メールの場合、添付ファイルを開くことによって、Adobe Reader および Adobe Acrobat の脆弱性を突いてウイルスを感染させる手口でしたので、使用するアプリケーションソフトの脆弱性は可能な限り解消してください。

 

(ご参考)
「緊急対策情報 Adobe Reader およびAcrobat の脆弱性について」(IPA)
http://www.ipa.go.jp/security/ciadr/vul/20090311-adobe.html

 

 IPA では、今回の事例のような情報詐取を狙ったメールに関する相談窓口を設置しています。

 

(ご参考)
情報詐取を目的として特定の組織に送られる不審なメールの相談窓口「不審メール110番」(IPA)
http://www.ipa.go.jp/security/virus/fushin110.html

 

(b)基本的なウイルス対策

 今回の事例からも見てとれるように、最近ではどこのサイトが安全か、どのメールを信用していいのかの判断が非常に難しくなっており、いつどこでウイルスに感染するかわからない状況となっています。このため、ウイルスの感染を防ぐ基本的な対策として、次の3つについては必ず実施しましょう。

 

・OS や、使用しているアプリケーションソフトを常に最新の状態に更新して、脆弱性を可能な限り解消しましょう。
・ウイルス対策ソフトのウイルス定義ファイルを常に最新の状態に更新して、ウイルス検知機能を常時有効にして使用しましょう。
・万が一、ウイルスに感染した場合を考えて、重要なデータは外部記憶媒体(USB メモリや外付け HDD など)にバックアップしておきましょう。

 

(ご参考)
「Microsoft UpdateとWindows Updateの利用の手順」(マイクロソフト社)
http://www.microsoft.com/japan/athome/security/mrt/wu.mspx
「JVN iPedia脆弱性対策情報データベース」(JVN)
http://jvndb.jvn.jp/

 

(c)感染後の対応

 ウイルスの感染被害に遭ってしまった場合、お使いのウイルス対策ソフトより、ウイルス定義ファイルを最新の状態にしてからパソコン内のウイルスチェックを行ってください。
 ウイルスを駆除できたとしても、パソコンが正常に動作していないと思われるのであれば、「システムの復元」を実施してください。これは、Windows XP、Windows Vista に搭載されている機能で、パソコンの情報を過去の状態に戻す機能です。なお、選択した日付から現在までに作成した文書や送受信したメール情報およびホームページへのアクセス履歴やお気に入りは消えません。以下のマイクロソフトのサイトを参考にして、「システムの復元」を行ってください。

 

(ご参考)
「システムの復元 Windows XP」(マイクロソフト社)
http://www.microsoft.com/japan/windowsxp/pro/business/
feature/performance/restore.mspx

「Windows Vista のシステムの復元の解説」(マイクロソフト社「PCとーくの情報」)
http://support.microsoft.com/kb/934854/ja

 

 システムの復元が正常に完了しない場合は、パソコンを購入した時の状態に戻す作業(初期化)を行ってください。
 実際の作業方法は、取扱説明書に記載されている「購入時の状態に戻す」などの手順に沿って作業してください。なお、作業を行う前には、重要なデータのバックアップを忘れずに行ってください。また、バックアップしたデータは、パソコンに戻す前にウイルス対策ソフトでウイルスチェックし、ウイルスが含まれていないことを確認してください。

 

(ご参考)
 「パソコンユーザのためのウイルス対策 7 箇条」
 http://www.ipa.go.jp/security/antivirus/7kajonew.html
 「パソコンユーザのためのスパイウェア対策 5 箇条」
 http://www.ipa.go.jp/security/antivirus/spyware5kajyou.html

今月のトピックス

  • コンピュータ不正アクセス被害の主な事例(届出状況及び被害事例の詳細は、「3.コンピュータ不正アクセス届出状況」を参照)
    • ウェブページ内に不正なスクリプトを埋め込まれた
    • SPAM メール中継の踏み台にされた
  • 相談の主な事例 (相談受付状況及び相談事例の詳細は、「4.相談受付状況」を参照)
    • オンラインゲームのサイトで不正アクセスされたようだ
    • 無料のはずのフリーメールが?
  • インターネット定点観測(詳細は、別紙3を参照)
    IPA で行っているインターネット定点観測について、詳細な解説を行っています。
    • 2967/tcp へのアクセスに注意!

2. コンピュータウイルス届出状況 -詳細は別紙1を参照-

 ウイルスの検出数(※1)は、 約11.5万個と、4月の約15.6万個から26.1%の減少となりました。また、5月の届出件数(※2)は、1,387件となり、4月の1,438件から3.5%の減少となりました。

※1 検出数 : 届出にあたり届出者から寄せられたウイルスの発見数(個数)
※2 届出件数: 同じ届出者から寄せられた届出の内、同一発見日で同一種類のウイルスの検出が複数ある場合は、1日何個検出されても届出1件としてカウントしたもの。
 ・5月は、寄せられたウイルス検出数約11.5万個を集約した結果、1,387件の届出件数となっています。

 検出数の1位は、W32/Netsky約9.7万個 、2位は W32/Downad約6千個、3位は W32/Mydoom約4千個でした。

図2-1:ウイルス検出数

図2-2:ウイルス届出件数

3. コンピュータ不正アクセス届出状況(相談を含む) -詳細は別紙2を参照-

表3-1 不正アクセスの届出および相談の受付状況

  12月 1月 2月 3月 4月 5月
届出(a) 計 10 10 9 20 9 8
  被害あり(b) 7 7 6 13 6 6
被害なし(c) 3 3 3 7 3 2
相談(d) 計 38 29 35 40 39 45
  被害あり(e) 19 13 14 11 11 16
被害なし(f) 19 16 21 29 28 29
合計(a+d) 48 39 44 60 48 53
  被害あり(b+e) 26 20 20 24 17 22
被害なし(c+f) 22 19 24 36 31 31

(1)不正アクセス届出状況

 5月の届出件数は8件であり、そのうち何らかの被害のあったものは6件でした。

(2)不正アクセス等の相談受付状況

 不正アクセスに関連した相談件数は45件(うち1件は届出件数としてもカウント)であり、そのうち何らかの被害のあった件数は16件でした。

(3)被害状況

 被害届出の内訳は、侵入4件、メール不正中継1件、DoS 攻撃1件、でした。
 「侵入」の被害は、ウェブページ内に不正なスクリプトを埋め込まれていたものが3件、ウェブページ内の個人情報を不正に閲覧・改ざんされていたものが1件、でした。侵入の原因は、ウェブページ更新用パソコンがウイルス感染してFTPアカウント情報を盗まれたと思われるものが2件、ウェブサイトへのパスワードクラッキング攻撃と思われるものが1件、でした(残りの1件は原因不明)。

※パスワードクラッキング (password cracking) : 他人のパスワードを、解析するなどして探り当てること。ブルートフォース攻撃(総当り攻撃)や辞書攻撃といった手法があり、クラッキング用のプログラムも存在する。

(4)被害事例

[ 侵入 ]
(i) ウェブページ内に不正なスクリプトを埋め込まれた

  • 自社サイトにアクセスしたら、ウイルス対策ソフトがウイルス警告を出した。
  • 調査したところ、自社ウェブサイト内の約100個の html ファイルとjsファイルに不正なスクリプトを埋め込まれていたことが判明。自社サイトにアクセスし改ざんされたページを閲覧した一般利用者などのパソコンは、外部のサイトに飛ばされるようになっていた。当該外部サイトには、パソコン内のアプリケーションの脆弱性を突き、ウイルスをダウンロードさせようとする仕掛けが成されていた。
  • スクリプト埋め込みの改ざん行為は、ウェブサーバへの FTP アクセスで行われていたことが、FTP ログによって分かった。FTP アカウントやパスワードが盗まれた原因は不明だが、ウェブページ更新用パソコンがウイルスに感染したためと推測される。
  • FTP ログインパスワードを変更したが、再度改ざんされたため、許可 IP アドレス以外からの FTP アクセスを制限することで対処した。




最近、同じようなことが起きていると思われるサイトが多く見受けられます。最悪の場合、顧客などが自社サイトを閲覧して来た際に、知らぬ間にウイルス感染させられてしまいます。サイト運用側でウイルス対策はもちろんのこと、意図しないウェブページ書き換え検知を実施したり、ウェブサイトへの FTP アクセス制限を施したりすることが有効です。なお、通常の FTP アクセスはパスワードが平文で送られてしまいます。セキュアなファイル転送には、FTPS(File Transfer Protocol over SSL/TLS)、SFTP(SSH File Transfer Protocol)、scp(Secure Copy)、VPN などを使うのが有効でしょう。
[ メール不正中継 ]
(ii) SPAM メール中継の踏み台にされた

  • 会社のメールサーバに、1日足らずで3000通を超える SPAM メールを受けた。それらの半分以上は SPAM メールとして社内メールサーバでブロックされていた。その後も断続的にアクセスが来る。
  • 調査したところ、宛先が自社内ではなく、不正に中継しようとするメールアクセスであったことが判明。メール不正中継防止設定に不備があり、中継を許していた。
  • 以前はファイアウォールで中継防止設定をしていたが、最近 UTMに入れ替え、中継設定がうまくいっていなかったようだ。




この事例では、初めはメール不正中継に悪用されていることに気付きませんでした。一度は症状が収まったものの、2週間後に再発していました。そこで根気強く調査を進めたところ、最近、ファイアウォールから UTM に機器入れ替えをしたことが原因であることに気が付くことが出来ました。
不正中継を放置すると、ブラックリストに掲載されてしまい、メールの送り先でブロックされたりすることがあるため、注意が必要です。メールサーバの第三者中継の可能性について、簡易的にチェックできるサイトもありますので、定期的にチェックしてみるのも良いでしょう。
(参考)

※UTM(Unified Threat Management):統合脅威管理、またその機器のこと。ファイアウォール・不正侵入防止・アドレスフィルタ・ウイルス検知などの複数機能が1台の機器に統合されている。

4.相談受付状況

 5月の相談総件数は1,765件でした。そのうち『ワンクリック不正請求』に関する相談628件(4月:572件)、『セキュリティ対策ソフトの押し売り』行為に関する相談が2件(4月:3件)、Winny に関連する相談5件(4月:4件)、「情報詐取を目的として特定の組織に送られる不審なメール」に関する相談5件(4月:0件)、などでした。

 表4-1 IPA で受け付けた全ての相談件数の推移

  12月 1月 2月 3月 4月 5月
合計 839 960 1,051 1,406 1,668 1,765
  自動応答システム 458 529 521 758 962 992
電話 331 390 472 597 651 710
電子メール 49 39 57 49 55 58
その他 1 2 1 2 0 5

(備考)
IPA では、コンピュータウイルス・不正アクセス、Winny 関連、その他情報セキュリティ全般についての相談を受け付けています。

メール 相談メールアドレス
(これらのメールアドレスに特定電子メールを送信しないでください)
電話番号 03-5978-7509 (24時間自動応答、ただし IPA セキュリティセンター員による相談受付は休日を除く月~金、10:00~12:00、13:30~17:00のみ)
FAX 03-5978-7518 (24時間受付)

「自動応答システム」 : 電話の自動音声による応対件数
「電話」 : IPA セキュリティセンター員による応対件数
合計件数には、「不正アクセスの届出および相談の受付状況」における『相談(d) 計』件数を内数として含みます。

図4-1 ワンクリック不正請求相談件数の推移  図4-1 ワンクリック不正請求相談件数の推移

主な相談事例は以下の通りです。

(i) オンラインゲームのサイトで不正アクセスされたようだ
相談

あるオンラインゲームサイトで、有料のサービスを利用している。ある日、サイト内で使用する有料のポイントが勝手に使われていることに気付いた。サイト運営者に連絡したら、「警察など公的な機関からの要請があれば、ログなどの調査を開始する」との回答。警察に相談したら、「被害の主体であるサイト運営者からの被害届出が無いと、事件として扱えない」と言われた。消費者センターに相談したら、警察に届出しろと言われた。八方塞がり状態。どうしたらよいか。

回答

この場合、サイト利用者の被害は間接的であり、直接被害を受けているのはサイト運営者だということのようです。よって、サイト運営者側が被害状況調査をしてくれないことには、話が始まりません。サイト運営者が、顧客の訴えに耳を貸してくれないようなら、消費者センターに間に入ってもらい、話を進めましょう。

(ご参考)
(ii) 無料のはずのフリーメールが?
相談

ある有名なフリーメールを使用している。しばらく使っていなかったが、最近、また使い始めた。そのフリーメールの運営者からメールが来た。「メールの振り分けが悪くてサーバの障害が起きている。無償で復旧できる範疇を超えているので、料金が発生する恐れがある」と書かれていた。こんなことはあるのか。

回答

フリーメール事業者を装った、架空請求メールである可能性があります。送られて来たメールの内容に疑問があれば、送り主であるサービス運営者に問い合わせることをお勧めします。その際は、送られて来たメール本文にある連絡先ではなく、サービス運営者の公式ウェブサイトなどに掲載されている、信頼できる連絡先に問い合わせるようにしましょう。
もし「お金を振り込んでしまった」、「しつこく請求されている」ということがありましたら、警察機関に相談することをお勧めします。

(ご参考)

5.インターネット定点観測での5月のアクセス状況

 インターネット定点観測(TALOT2)によると、2009年5月の期待しない(一方的な)アクセスの総数は10観測点で115,336件、総発信元(※)は36,779箇所ありました。平均すると、1観測点につき1日あたり119の発信元から372件のアクセスがあったことになります(図5-1)。
※総発信元:TALOT2 にアクセスしてきた発信元の総数。同一発信元から同一の観測日・観測点・ポートに複数アクセスがあった場合でも、発信元数は1としてカウント。

 TALOT2 における各観測点の環境は、インターネットを利用される一般的な接続環境と同一なので、インターネットを利用される皆さんの環境へも同じくらいの一方的なアクセスがあると考えられます。

図5-1 1観測点・1日あたりの期待しない(一方的な)平均アクセス数と発信元数
【図5-1 1観測点・1日あたりの期待しない(一方的な)平均アクセス数と発信元数】

(1)2967/tcp へのアクセス
 2967/tcp へのアクセスが、5月に入ったあたりから増加傾向を示していました(図5-2参照)。

図5-2図5-2 2967/tcp 発信元地域別アクセス数の変化
【図5-2 2967/tcp アクセス数の変化(10観測点の合計) 】

 2967/tcp は Symantec 製品がデフォルトで使用するポートです。このポートが攻撃に利用される脆弱性としては、過去に『Symantec Client Security および Symantec AntiVirus に特権昇格の脆弱性(SYM06-010)』が公開されています。
 この脆弱性は、影響を受ける製品(Symantec Client Security や Symantec AntiVirus など)において、攻撃者によってファイルの取得または削除が可能となり、システムが破壊される可能性がある、というものです。

(ご参考)
 「Symantec Client Security および Symantec AntiVirus に特権昇格の脆弱性(SYM06-010)」
 http://www.symantec.com/region/jp/avcenter/security/
content/2006.05.25.html

 製品の脆弱性が解消されていないと、その脆弱性を突いた攻撃を受ける可能性があります。そのような被害に遭わないためには、常に脆弱性情報に注意し、お使いの製品の脆弱性が公開されたら、できるだけ早くその脆弱性を解消することが重要です。
 日頃からお使いの製品のベンダーのホームページや、JVN などの脆弱性対策情報ポータルサイトを確認して、製品の脆弱性対策を迅速に行えるようにしてください。

(ご参考)
「JVN (Japan Vulnerability Notes)」(脆弱性対策情報ポータルサイト)
 http://jvn.jp/
「JVN iPedia脆弱性対策情報データベース」
 http://jvndb.jvn.jp/

以上の情報に関して、詳細はこちらのサイトをご参照ください。

届出の詳細については以下の PDF ファイルをご参照ください。

『他機関・ベンダーの各種統計情報は以下のサイトで公開されています。』

@police:http://www.cyberpolice.go.jp/
トレンドマイクロ株式会社:http://jp.trendmicro.com/jp/home/
マカフィー株式会社:http://www.mcafee.com/japan/

お問い合わせ先:

独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC)
(ISEC:Information technology SEcurity Center)
TEL:03-5978-7527 FAX:03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。
     (このメールアドレスに特定電子メールを送信しないでください)
URL:http://www.ipa.go.jp/security/