HOME情報セキュリティ情報セキュリティ対策ウイルス対策コンピュータウイルス・不正アクセスの届出状況[2009年7月分]について

本文を印刷する

情報セキュリティ

コンピュータウイルス・不正アクセスの届出状況[2009年7月分]について

第09-32-159号
掲載日:2009年 8月 5日
独立行政法人情報処理推進機構
セキュリティセンター(IPA/ISEC)

 IPA (独立行政法人情報処理推進機構、理事長:西垣 浩司)は、2009年7月のコンピュータウイルス・不正アクセスの届出状況をまとめました。
(届出状況の詳細PDF資料はこちら)

1. 今月の呼びかけ

「 知っていますか?"ゼロデイ攻撃" 」
― 脆弱性対策の基本を理解しましょう ―

 IPA では、ソフトウェアの提供元(ベンダー)から公開される脆弱性情報を分析して、緊急性が高いと判断したものを「緊急対策情報」として発信しています。7月にマイクロソフト社から4件、アドビ社から1件と新たな脆弱性情報が公開され、IPA ではそのうちの3件(※1)を、「緊急対策情報」として発信しました。これらの脆弱性はいずれも、修正プログラムが提供される前に脆弱性を悪用した攻撃が確認されていました。
 脆弱性情報が公開されたら速やかに対応することが脆弱性対策の基本ですが、上述のようにその時点で修正プログラムが提供されていないこともあります。その場合でも、一時的な回避策が用意されていることがありますので、情報を注意深く確認することが重要です。
 脆弱性対策の基本を正しく理解して、脆弱性を悪用した攻撃からパソコンを守りましょう。

※1:「Microsoft DirectShow の脆弱性(MS09-028)について」、「Microsoft Video ActiveX コントロール の脆弱性(MS09-032)について」、および「Adobe Flash Player 、Adobe Reader、Acrobat、Adobe AIRの脆弱性について」。

(1) 「脆弱性」とは?

 Windows や Mac OS などの OS やアプリケーションソフトの、セキュリティ上の弱点のことを脆弱性(vulnerability)と言います。脆弱性が解消されていない状態で、その脆弱性を悪用した攻撃を受けた場合、被害に遭うおそれがあります。脆弱性を悪用した攻撃への基本的な対策は、修正プログラムを適用し、脆弱性を解消することです。
 IPA が従来から推奨している基本的なセキュリティ対策は、脆弱性を解消することと、ウイルス対策ソフトを最新の状態で使用することです。これはどちらか一方ではなく、両方を実施していないと効果がありません。たとえウイルス対策ソフトを最新の状態で使用していたとしても、脆弱性を解消していなければ、思いもよらない方法で外部からの侵入を許すことになる、ということです(図1-1参照)。

図1-1:脆弱性を解消していないパソコンを家に例えた場合のイメージ図
図1-1:脆弱性を解消していないパソコンを家に例えた場合のイメージ図

(2) 「ゼロデイ攻撃」とは?

 「ゼロデイ攻撃」とは、あるソフトウェアに脆弱性が存在することが判明し、ソフトウェアの修正プログラムがベンダーから提供されるより前に、その脆弱性を悪用して行われる攻撃のことを指します(図1-2参照)。

図1-2:「ゼロデイ攻撃」
図1-2:「ゼロデイ攻撃」

 以下に、具体的な事例として、7月に確認された「Microsoft Video ActiveX コントロールの脆弱性」(MS09-032)を例に「ゼロデイ攻撃」を説明します。

<時系列>
[発生日不明]
 今回の脆弱性を悪用した攻撃が発生した(図1-3の(1))。
[2009年7月6日(米国時間)]
 今回の脆弱性を悪用した攻撃の発生が確認され、マイクロソフト社より「Microsoft Video ActiveX コントロールの脆弱性」(MS09-032)に関する脆弱性情報が公開された。この時点で修正プログラムは提供されなかったが、暫定措置として攻撃の回避策が提示された(図1-3の(2))。
[2009年7月14日(米国時間)]
 マイクロソフト社より、MS09-032に関する脆弱性情報の更新と、修正プログラムが提供された(図1-3の(3))。

図1-3:脆弱性MS09-032への対応状況<時系列推移>
図1-3:脆弱性MS09-032への対応状況<時系列推移>

 今回の事例は、実際に脆弱性情報が公開される前に攻撃が発生していました(図1-3の(1))。パソコン利用者は7月6日の脆弱性情報の公開時(図1-3の(2))に提示された回避策を知ってすぐに実施し、その後の7月14日の脆弱性情報の更新時(図1-3の(3))に提供された修正プログラムをすぐに適用していれば、攻撃を防御できました。
 しかし、脆弱性情報が公開されたことを知らなかったために、脆弱性対策を実施出来なかったパソコン利用者は、攻撃を受けていた可能性があります。
 次項で説明する注意点を参考に「ゼロデイ攻撃」への対策を実施してください。

(ご参考)
「Microsoft Video ActiveX コントロールの脆弱性により、リモートでコードが実行される」(マイクロソフト社)
 http://www.microsoft.com/japan/technet/security/advisory/972890.mspx

「マイクロソフト セキュリティ情報 MS09-032 - 緊急」(マイクロソフト社)
 http://www.microsoft.com/japan/technet/security/bulletin/MS09-032.mspx

「Microsoft Video ActiveX コントロール の脆弱性(MS09-032)について」(IPA)
 http://www.ipa.go.jp/security/ciadr/vul/20090707-ms-activex.html

 

(3)「ゼロデイ攻撃」を受けないための注意点
 「ゼロデイ攻撃」を受けないためには、ベンダーから公開される脆弱性情報を十分理解し、適切に対応することが重要です。IPA などが発信する「緊急対策情報」や JVN などの脆弱性情報ポータルサイトも参考にしてください。(2)の事例のように、脆弱性情報の公開時には修正プログラムが提供されていない場合でも、一時的な回避策が提示されていることがあります。ただし、実施することで特定のサービスが利用できなくなるなどの影響が出る場合がありますので、実施する際は十分注意が必要です。万が一具体的な回避策が提示されない場合は、当該ソフトウェアを一時的に使用しないなどの対応が有効です。その後、正式な修正プログラムが提供された際には、直ちに適用することも忘れないでください。
 以上のように、脆弱性に適切に対応するためには、日頃から脆弱性情報を収集することが重要です。また、併せてウイルス対策ソフトを最新の状態で使用し、攻撃を防御することも重要です。
 以下に有効な情報収集の方法を示します。

(i)メールマガジンを利用した情報収集

 パソコン利用者が使用している OS やアプリケーションソフト・セキュリティ対策ソフトのベンダー、パソコンメーカーなどがメールマガジンのサービスを提供している場合、それを利用することで、負担なく脆弱性に関する情報を得ることができます。マイクロソフト社の場合は、以下の URL からメールマガジンの購読申し込みが行えます。
 また、IPA では、ベンダーから公開される脆弱性情報を分析して、緊急性が高いと判断されたものを「緊急対策情報」としてウェブサイトから発信するとともに、メールマガジンでその情報を配信しています。

 

(ご参考)

「セキュリティ ニュースレター」(マイクロソフト社)

 http://technet.microsoft.com/ja-jp/security/cc307424.aspx

「情報処理推進機構 新着情報メール配信」(IPA)

 http://www.ipa.go.jp/about/mail/

 

(ii)ウェブサイトからの情報収集

 パソコン利用者が使用している OS やアプリケーションソフト・セキュリティ対策ソフトのベンダー、パソコンメーカーなどのウェブサイトで、脆弱性に関する情報が得られる場合がありますので、定期的に参照することをお勧めします。マイクロソフト社の場合は、以下の URL が参考になります。
 また IPA では、ベンダーから公開される脆弱性情報を分析して、緊急性が高いと判断されたものを「緊急対策情報」としてウェブサイトから発信しています。日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供している JVN などの脆弱性情報ポータルサイトも参考になります。

 

(ご参考)

「セキュリティ TechCenter」ITプロフェッショナル向け(マイクロソフト社)

 http://technet.microsoft.com/ja-jp/security/default.aspx

「セキュリティ At Home」一般家庭向け(マイクロソフト社)

 http://www.microsoft.com/japan/protect/default.mspx

「緊急対策情報・注意喚起 一覧」(IPA)

 http://www.ipa.go.jp/security/announce/alert.html

「JVN(Japan Vulnerability Notes)」(脆弱性情報ポータルサイト)

 http://jvn.jp/

 

(iii)補足・解説記事

 その他の方法として、ニュースサイト(特に IT 系)やポータルサイトに掲載される記事を参考にすることが挙げられます。脆弱性に関する情報が掲載されることがありますので、そこから有益な情報が得られる場合もあります。

今月のトピックス

  • コンピュータ不正アクセス被害の主な事例(届出状況及び被害事例の詳細は、「3.コンピュータ不正アクセス届出状況」を参照)
    • cgi の脆弱性を突かれて侵入され、バックドアを設置された
    • オンラインゲームサイトで、ゲーム内で使うアイテムや所持金を盗まれた
  • 相談の主な事例 (相談受付状況及び相談事例の詳細は、「4.相談受付状況」を参照)
    • 外部公開サーバや企業内パソコン・ネットワークのセキュリティ対策はどうすれば?
    • ウイルス対策をやりたがらない知り合いがいる
  • インターネット定点観測(詳細は、別紙3を参照)
    IPA で行っているインターネット定点観測について、詳細な解説を行っています。
    • 4899/tcp へのアクセスに注意!

2. コンピュータウイルス届出状況 -詳細は別紙1を参照-

 ウイルスの検出数(※1)は、 約8万個と、6月の約8.7万個から14%の減少となりました。また、7月の届出件数(※2)は、1,256件となり、6月の1,460件から8%の減少となりました。

※1 検出数 : 届出にあたり届出者から寄せられたウイルスの発見数(個数)
※2 届出件数: 同じ届出者から寄せられた届出の内、同一発見日で同一種類のウイルスの検出が複数ある場合は、1日何個検出されても届出1件としてカウントしたもの。
 ・7月は、寄せられたウイルス検出数約8万個を集約した結果、1,256件の届出件数となっています。

 検出数の1位は、W32/Netsky約7万個 、2位は W32/Mydoom約4千個、3位は W32/Mytob約3千個でした。

図2-1:ウイルス検出数

図2-1:ウイルス検出数

図2-2:ウイルス届出件数

図2-2:ウイルス届出件数

3. コンピュータ不正アクセス届出状況(相談を含む) -詳細は別紙2を参照-

表3-1 不正アクセスの届出および相談の受付状況

  2月 3月 4月 5月 6月 7月
届出(a) 計 9 20 9 8 7 14
  被害あり(b) 6 13 6 6 6 6
被害なし(c) 3 7 3 2 1 8
相談(d) 計 35 40 39 45 35 24
  被害あり(e) 14 11 11 16 9 3
被害なし(f) 21 29 28 29 26 21
合計(a+d) 44 60 48 53 42 38
  被害あり(b+e) 20 24 17 22 15 9
被害なし(c+f) 24 36 31 31 27 29

(1)不正アクセス届出状況

 7月の届出件数は14件であり、そのうち何らかの被害のあったものは6件でした。

(2)不正アクセス等の相談受付状況

 不正アクセスに関連した相談件数は24件(うち2件は届出件数としてもカウント)であり、そのうち何らかの被害のあった件数は3件でした。

(3)被害状況

 被害届出の内訳は、侵入2件、アドレス詐称1件、なりすまし3件、でした。
 「侵入」の被害は、バックドアプログラムを埋め込まれたものが1件、ウェブページ内に不正なスクリプトを埋め込まれていたものが1件、でした。侵入の原因は、cgiの脆弱性を突かれたことによるものでした(残りの1件は原因不明)。「なりすまし」の被害は、オンラインサービスのサイトに本人になりすまして何者かにログインされ、サービスを勝手に利用されていたもの(オンラインゲーム3件)でした。

※バックドア(backdoor): コンピュータシステムへの侵入者が侵入後、そのシステムに再侵入するために準備する仕掛けのこと。
※cgi(Common Gateway Interface): ウェブサーバが、クライアントからのリクエストに応じてウェブサーバ上でプログラムを動作させ、その処理結果をクライアントに送信するための仕組みのこと。

(4)被害事例

[ 侵入 ]
(i) cgi の脆弱性を突かれて侵入され、バックドアを設置された

  • IDS(侵入検知システム)が、OS コマンドインジェクションと思われる攻撃アクセスを検知した。
  • 調査したところ、ウェブサーバ上で利用していた cgi プログラムの脆弱性を突かれ侵入され、madshell と呼ばれる、バックドア機能を持つ php のシェルプログラムを埋め込まれ、実行されていたことが判明。
  • 当該サーバは、再構築することにした。




幸い、検知が早かったため、被害を最小限に食い止めることができた事例です。脆弱性の解消は、最も基本的なセキュリティ対策です。外部にサービスを提供するサーバであれば、一通りの対策が済んだ時点で、第三者による脆弱性検査を受けることをお勧めします
(参考)
[ なりすまし ]
(ii) オンラインゲームサイトで、ゲーム内で使うアイテムや所持金を盗まれた

  • 自分が登録しているオンラインゲームのサイトにログインした際、自分のキャラクターが所持していたアイテムやお金が全て無くなっていることに気付いた。
  • 履歴などを調査したところ、誰かが自分になりすましてログインし、他のキャラクターへアイテムなどを勝手に譲渡していたらしいことが判明。
  • 原因は不明。




何らかの理由により、パスワードが破られてしまったようです。簡単に破られないように、複雑なパスワードを設定することが重要です。また、パスワードを盗み取るウイルスに感染したことによる被害も発生しているようです。IPAや、ゲーム運営会社のサイトからの注意喚起情報などを参考にして、ウイルス対策を確実に実施しましょう。
被害に遭ってしまったら、サイト運営者や警察機関に相談しましょう。
(参考)

4.相談受付状況

 7月のウイルス・不正アクセス関連相談総件数は1,708件でした。そのうち『ワンクリック不正請求』に関する相談657件(6月:694件)となり、過去2番目に多い件数となりました。その他は、『セキュリティ対策ソフトの押し売り』行為に関する相談が6件(6月:6件)、Winny に関連する相談6件(6月:13件)、「情報詐取を目的として特定の組織に送られる不審なメール」に関する相談1件(6月:0件)、などでした。

 表4-1 IPA で受け付けた全ての相談件数の推移

  2月 3月 4月 5月 6月 7月
合計 1,051 1,406 1,668 1,765 1,898 1,708
  自動応答システム 521 758 962 992 1,081 923
電話 472 597 651 710 777 736
電子メール 57 49 55 58 37 47
その他 1 2 0 5 3 2

(備考)
IPA では、コンピュータウイルス・不正アクセス、Winny 関連、その他情報セキュリティ全般についての相談を受け付けています。

メール 相談メールアドレス
(これらのメールアドレスに特定電子メールを送信しないでください)
電話番号 03-5978-7509 (24時間自動応答、ただし IPA セキュリティセンター員による相談受付は休日を除く月~金、10:00~12:00、13:30~17:00のみ)
FAX 03-5978-7518 (24時間受付)

「自動応答システム」 : 電話の自動音声による応対件数
「電話」 : IPA セキュリティセンター員による応対件数
合計件数には、「不正アクセスの届出および相談の受付状況」における『相談(d) 計』件数を内数として含みます。

図4-1ワンクリック不正請求相談件数の推移  図4-1:ワンクリック不正請求相談件数の推移

主な相談事例は以下の通りです。

(i) 外部公開サーバや企業内パソコン・ネットワークのセキュリティ対策はどうすれば?
相談

社外に公開するサーバや、社内のパソコンやネットワークのセキュリティ対策を検討しています。一般的には、どのようなセキュリティ対策をどの程度実施すればいいのでしょうか。

回答

それぞれの企業・組織に適するセキュリティ対策の内容は様々ですので、一概には言えません。まずは現状把握から始め、その結果を踏まえ、自社に最適な対策方法を検討するのが良いでしょう。当機構から、ガイドラインを公開しておりますので、参考にしてください。

(ご参考)
(ii) ウイルス対策をやりたがらない知り合いがいる
相談

知り合いに、パソコンのウイルス対策を実施するように勧めているが、
  ・ウイルス対策ソフトを入れると動作が重くなるからイヤ
  ・お金が掛かるからイヤ
  ・ウイルス感染したって、パソコン内に重要なデータは無いから問題ない
と言って、ウイルス対策ソフトすら導入しようとしない。知り合いをどうやって説得したら良いでしょうか。

回答

ウイルス感染したままパソコンを使っていると、ウイルスが迷惑メールを勝手に送信したり、他のサイトを攻撃したりするなど、加害者になってしまう可能性があります。その場合、プロバイダから警告が届くことや、一方的に接続を拒否されることがあります。ネット社会の秩序を正常に保つためには、パソコン利用者一人一人がセキュリティ意識を持ち、適切な対策を実施する必要がある、ということを説得材料にしてみてはいかがでしょうか。IPA では、対策実施の際に役立つ資料を用意していますので、活用してください。

(ご参考)

5.インターネット定点観測での7月のアクセス状況

 インターネット定点観測(TALOT2)によると、2009年7月の期待しない(一方的な)アクセスの総数は10観測点で148,935件、総発信元(※)は57,687箇所ありました。平均すると、1観測点につき1日あたり186の発信元から480件のアクセスがあったことになります(図5-1)。
※総発信元:TALOT2 にアクセスしてきた発信元の総数。同一発信元から同一の観測日・観測点・ポートに複数アクセスがあった場合でも、発信元数は1としてカウント。

 TALOT2 における各観測点の環境は、インターネットを利用される一般的な接続環境と同一なので、インターネットを利用される皆さんの環境へも同じくらいの一方的なアクセスがあると考えられます。

図5-1 1観測点・1日あたりの期待しない(一方的な)平均アクセス数と発信元数
【図5-11観測点・1日あたりの期待しない(一方的な)平均アクセス数と発信元数】

 2009年2月~2009年7月までの各月の1観測点・1日あたりの平均アクセス数とそれらのアクセスの平均発信元数を図5-1に示します。7月の期待しない(一方的な)アクセスは、6月と比べて増加しました。

 6月と7月の宛先(ポート種類)別アクセス数の比較を図5-2に示します。
 7月は6月に増加した 445/tcp へのアクセスがさらに増加していました。6月にアクセス数が増加したのは国外からのアクセスが増加したためでしたが、7月も継続して国外からのアクセスが増加していました(図5-3参照)。その原因については特定できておりませんが、6月同様、特定の発信元からのアクセス回数が増加したわけではなく、国外からの発信元数自体がさらに増加したことでアクセス数の増加につながっていました。
 また、6月は全く観測されなかったポートへのアクセスが、複数のポート(22862/tcp、12370/udp、7259/udpなど)で観測されました。これらのポートへのアクセスが何を目的としたものだったかは不明ですが、いずれも特定の1観測点のみで観測されたアクセスでした。

図5-2 宛先(ポート種類)別アクセス数の比較(6月/7月)
【図5-2宛先(ポート種類)別アクセス数の比較(6月/7月)】

図5-3 445/tcpアクセス数の変化(国内/国外)
【図5-3445/tcpアクセス数の変化(国内/国外)】

(1)4899/tcp へのアクセス

 7月の中頃に、一時的に 4899/tcp へのアクセスが増加した期間がありました。これは、韓国の1つの発信元からのアクセスと、アルゼンチン、ベネズエラ、コロンビアなどの南米地域の多数の発信元からのアクセスが増加したためです(図5-4参照)。

図5-4 4899/tcp 発信元地域別アクセス数の変化(10観測点の合計)
【図5-44899/tcp 発信元地域別アクセス数の変化(10観測点の合計)】

 南米地域の発信元からの 4899/tcp へのアクセスの増加は、定点観測を行っている他の組織でも観測されており、広い範囲で同様の事象が発生している可能性があります。
 4899/tcp は、Famatech 社のリモートコントロールソフトウェア Radmin が使用するポートとして知られています。

 Radmin の利用者は、4899/tcp に対して、接続を許可していない発信元からのアクセスが来ていないかを確認し、状況に応じてアクセス制限(接続を許可する IP アドレスの範囲を絞るなど)や、接続認証の強化を行ってください。

以上の情報に関して、詳細はこちらのサイトをご参照ください。

届出の詳細については以下の PDF ファイルをご参照ください。

『他機関・ベンダーの各種統計情報は以下のサイトで公開されています。』

@police:http://www.cyberpolice.go.jp/
トレンドマイクロ株式会社:http://jp.trendmicro.com/jp/home/
マカフィー株式会社:http://www.mcafee.com/japan/

お問い合わせ先:

独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC)
(ISEC:Information technology SEcurity Center)
TEL:03-5978-7527 FAX:03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。
     (このメールアドレスに特定電子メールを送信しないでください)
URL:http://www.ipa.go.jp/security/