(1) 「ブラウザ・ハイジャッカー」とは

　ブラウザの設定の改変や、不正な機能の追加によって、ユーザーの望まない広告画面を強制的に表示するといった動作を引き起こす悪質なソフトウェアを、「ブラウザ・ハイジャッカー」と言います。
　「ブラウザ・ハイジャッカー」によって乗っ取られたブラウザには、次のような症状が現れます。

• インストールしたつもりのないツールバー^（*1）が追加される
• ブラウザを起動した時、最初に表示されるページが変更される
• 広告や身に覚えの無いウェブサイトのページが勝手に開く（ポップアップする）
• ウェブページの閲覧中に、有害なウェブサイトへ誘導される

　これらの症状に加えて、ユーザーのウェブページの閲覧履歴や、ブラウザ上で入力した ID/パスワードなどの秘密情報を盗み出す「スパイウェア」として活動する「ブラウザ・ハイジャッカー」もあり、注意が必要です（図1を参照）。
　(*1) ブラウザ用の「ツールバー」とは、ブラウザウィンドウ上部に、インターネット検索や各種サービスへのリンクボタンなどを追加する機能で、必ずしも悪意のあるものとは限りません。ユーザーへ利便性を提供するため、Google や Yahoo! 等の事業者が提供しているものもあります。

図1：「ブラウザ・ハイジャッカー」によって乗っ取られたブラウザのイメージ図

(2) 事例

　ここでは具体的に、「動画サイトで日本のアニメを観ようとして、ユーザーのパソコンがブラウザ・ハイジャッカーに感染させられてしまう」という事例を、流れを追って紹介します。

ステップ1． 検索サイトで、目的のアニメに関連したキーワードで検索を実行します。表示された結果のうち、上位に現れた「無料動画」などと書かれた日本語のウェブサイトのリンクを選び、クリックします。

---

ステップ2． リンクでジャンプした先は、目的の動画を観ることができそうなウェブサイトでした。画面をスクロールさせていくと、動画が再生されるようなエリアがあります。 この中央の再生ボタンをクリックしてみます。

---

ステップ3． すると、ディスプレイ全体に、大きな動画再生ウィンドウが開きました。 再度、中央の再生ボタンのような部分をクリックします。 ※実は、これはユーザーをだますために動画再生画面を装った罠の画面で、どの場所をクリックしても「ブラウザ・ハイジャッカー」のダウンロードが始まります。 先ほどのステップ2のウィンドウは、この大きなウィンドウの後ろに隠れてしまっています。

---

ステップ4． 動画は再生されず、「セキュリティの警告」という小さなウィンドウが表示されました。 『動画を再生するために何かを実行しなければならないのかな？』と考え、「実行」ボタンをクリックします。 すると、もう一度同じようなウィンドウが表示されます。よく分からないまま「実行する」ボタンをクリックします。 ※後述しますが、この警告はウェブサイトから何らかのプログラムのダウンロードが行われていることを示す、重要なウィンドウです。 通常、単に動画を再生するだけであれば、この警告が表示されることはありません。

---

ステップ5． ステップ4の操作によって、「ブラウザ・ハイジャッカー」に感染させられました。 見覚えのないツールバーが追加され、ブラウザ起動時に最初に表示されるページが変更されています。 また、ブラウザ使用中に、ゲームのサイトや広告のウィンドウが次々と勝手に開くようになってしまいました。

---

　以上の事例では、ステップ3やステップ4で不自然な動作をしているのですが、注意を払わずに先へ進んでしまい、「ブラウザ・ハイジャッカー」に感染してしまった、ということになります。ここではアニメ動画を例として取り上げましたが、ドラマやアダルト系の動画についても同様の事例が確認されています。

　この事例から、次の点がセキュリティ上の問題として挙げられます。
　●検索結果の順位に対する過度な信頼
　今回の場合、検索結果の上位にあるウェブサイトへの訪問が、被害の発端となっています。「上位に表示されたウェブサイトは安全」という思い込みが、以降の操作において注意を払わない原因となっているかもしれません。

　●リンク先の安全性は分からない
　ステップ2のウェブサイトは、様々な動画投稿サイトへの単なる「リンク集」であり、リンク先の安全性については保証していません。実際、この画面内の海外の動画投稿サイトの動画プレイヤー（赤枠の部分）は、罠の画面を表示するという悪質な動作をしています。

　●安全性は見た目では判断しにくい
　ステップ3の罠の画面は、一見すると通常の動画プレイヤーと区別がつかず、動画再生のつもりでクリックしてしまうユーザーは少なくないと思われます。

　なお、この「ブラウザ・ハイジャッカー」というウイルス自体は特に新しいものではなく、「CoolWebSearch」「about: blank」（注：2つともウイルスの名称）などが数年前から存在しています。最近、被害の相談件数が増加しているのは、上記のような経緯で感染するユーザーが増えたことが原因だと思われます。

　これらの点に対するユーザー側の対策を、以下(3)と(4)にて示します。

（3）「セキュリティの警告」ウィンドウについて
　先述の事例のステップ4で、「ファイルのダウンロード − セキュリティの警告」というタイトルのウィンドウが表示されていました。このウィンドウは、『今、ウェブサイトからプログラムをパソコンに取り込もうとしている』ことを警告する画面で、「実行」「保存」「キャンセル」という3つのボタンを選択肢として持っています。
　「実行」ボタンをクリックした場合、ウェブサイトからダウンロードしたプログラムが、パソコン上で実行されます。先述の事例のように、これが悪意を持ったプログラムならば、パソコンがウイルスに感染させられてしまうといった被害に遭ってしまいます。
　十分に信頼できると判断したウェブサイトでない限り、この「セキュリティの警告」ウィンドウが表示されたら、「キャンセル」ボタンで中止し、そこから先へ進むべきではありません。このプログラムには問題がないと考えられる場合でも、「実行」ボタンですぐに実行するのではなく、「保存」ボタンでプログラムを一旦パソコン上にダウンロードし、ウイルス対策ソフトで検査してから開く（実行する）方が、より安全です。
　なお、事例では、このプログラムの発行者が不明であったため、更にその警告ウィンドウも表示されています。「実行する」ボタンをクリックする前に、信頼できるプログラムか否か、入手経路などから判断してください。

（4）対策

（i）予防策

　「ブラウザ・ハイジャッカー」はウイルスの一種です。このため、感染の予防策は一般的なウイルス対策と同じです。

• OS やアプリケーションを最新の状態に保つ
• ウイルス対策ソフトを導入し、ウイルス定義ファイルを最新の状態に保つ
• 有害サイト対策機能を持つセキュリティソフトを使用する
  

　その他、一般的なウイルス対策については、次のページを参照してください。

 

（ご参考）

「ウイルス感染を防ぐためのポイント」（IPA）

　http://www.ipa.go.jp/security/personal/know/virus.html

 

　今回事例として挙げた「ブラウザ・ハイジャッカー」は、広告を目的としたソフトウェアである「アドウェア」として分類される場合があります。「アドウェア」は、広告の表示に対してユーザーの同意があるならば、悪意を持ったプログラムだとは言い切れません。このため、ウイルス対策ソフトによってはウイルスとして検出しない可能性があります。
　それでも、(3)で説明した通り、「セキュリティの警告」ウィンドウに注意することで、感染を避けることができる場合があります。警告メッセージは無視しないように心がけてください。

 

　また、これまでの説明の通り、検索サイトで上位に現れたとしても、そのウェブサイトが安全であるとは限りません（そのウェブサイト自体には問題がない場合でも、そこから一回リンクをクリックした先には、危険なウェブサイトが存在しているかもしれません）。
　リンクの文章やウェブページのアドレス（URL）、画面の見た目などから、ユーザーがそのウェブサイトの安全性を判断するのは、難しいのが現状です。

 

　ウェブページの閲覧にあたって慎重を期す場合は、「有害サイト対策機能」^(*2)を持つセキュリティソフトを使う方法があります。これにより、リンク先のウェブページの安全性の評価が画面表示できたり、危険なウェブサイトへのアクセスがブロックできるといった効果があります。この機能は、例えば「統合型のウイルス対策ソフト」と呼ばれる製品の一部として提供されています。
　また、Windows では、Internet Explorer 8から「SmartScreen」という有害サイト対策機能が追加されています。利用方法など詳細については、下記のウェブページを参照してください。

 

（ご参考）

「Internet Explorer 8 新機能紹介ムービー : SmartScreen」（マイクロソフト社）

　http://www.microsoft.com/japan/windows/products/winfamily/
ie/function/smart/default.mspx

「SmartScreen フィルター : よく寄せられる質問」（マイクロソフト社）

　http://windowshelp.microsoft.com/windows/ja-JP/help/
184c6038-7eb1-4ca3-b50d-7901d81c37851041.mspx

 

(*2) 「有害サイト対策機能」は、製品によって「フィルタリング」「Webレピュテーション」など様々な呼び方があるため、詳しくは各セキュリティソフトのベンダーへ確認してください。

 

　なお、IPA では、ウェブサイトの危険性をユーザーに代わって判断するサービスを行っていますので、ぜひご利用ください。

 

（ご参考）

「『悪意あるサイトの識別情報および対策情報提供システム（TIPS）』を利用したウェブサイト情報提供サービスを開始」（IPA）

　http://www.ipa.go.jp/security/isg/tips.html

 

（ii）事後対策

　「ブラウザ・ハイジャッカー」の中には、感染してしまうとウイルス対策ソフトで駆除できない悪質なものも存在します。Windows XP や Windows Vista には、「システムの復元」機能がありますので、この機能を利用し、感染前の状態にシステムを復元できる場合があります。

 

（ご参考）

Windows XP「システムの復元のやり方」（マイクロソフト社）

　http://www.microsoft.com/japan/windowsxp/pro/business/
feature/performance/restore.mspx

Windows Vistaのシステムの復元の解説（マイクロソフト社「PCとーく」の情報）

　http://support.microsoft.com/kb/934854/ja

 

　システムの復元が正常に完了しなかったり、症状が改善しない場合は、パソコンを購入した時の状態に戻す作業（初期化）を行ってください。
　なお、「ブラウザ・ハイジャッカー」をはじめとして、一旦ウイルスに感染してしまったパソコンは、たとえウイルス対策ソフトや「システムの復元」機能によって復旧したように見えても、完全に正常な状態に戻っていない可能性があります。データのバックアップやアプリケーションの再セットアップという手間はかかりますが、安全性を考慮して、初期化を行うことを勧めます。

　8月のウイルスの検出数^(※1)は、 約7.6万個と、7月の約8万個から4.9%の減少となりました。また、8月の届出件数^(※2)は、1,222件となり、7月の1,256件から2.7%の減少となりました。

※1 検出数 ： 届出にあたり届出者から寄せられたウイルスの発見数（個数）
※2 届出件数： 同じ届出者から寄せられた届出の内、同一発見日で同一種類のウイルスの検出が複数ある場合は、1日何個検出されても届出1件としてカウントしたもの。
　・8月は、寄せられたウイルス検出数約7.6万個を集約した結果、1,222件の届出件数となっています。

　検出数の1位は、W32/Netsky で約6.6万個 、2位は W32/Mydoom で約4千個、3位は W32/Mytob で約2千個でした。

図2-1：ウイルス検出数

図2-2：ウイルス届出件数

表3-1　不正アクセスの届出および相談の受付状況

		3月	4月	5月	6月	7月	8月
届出(a) 計		20	9	8	7	14	20
	被害あり(b)	13	6	6	6	6	12
	被害なし(c)	7	3	2	1	8	8
相談(d) 計		40	39	45	35	24	39
	被害あり(e)	11	11	16	9	3	17
	被害なし(f)	29	28	29	26	21	22
合計(a+d)		60	48	53	42	38	59
	被害あり(b+e)	24	17	22	15	9	29
	被害なし(c+f)	36	31	31	27	29	30

（1）不正アクセス届出状況

　8月の届出件数は20件であり、そのうち何らかの被害のあったものは12件でした。

（2）不正アクセス等の相談受付状況

　不正アクセスに関連した相談件数は39件（うち6件は届出件数としてもカウント）であり、そのうち何らかの被害のあった件数は17件でした。

（3）被害状況

　被害届出の内訳は、侵入5件、なりすまし5件、その他（被害あり）2件、でした。
　「侵入」の被害は、ウェブサーバ内のクレジットカード情報などを盗まれたものが1件、ウェブページの改ざんが3件（内、不正なタグ埋め込み1件）、不正プログラムを置かれていたものが1件、でした。侵入の原因は、設定不備1件、脆弱性を突かれたもの1件、パスワード管理不備1件、などでした（残りの2件は原因不明）。
　「なりすまし」の被害は、オンラインサービスのサイトに本人になりすまして何者かにログインされ、サービスを勝手に利用されていたもの（オンラインゲーム4件、他サービス1件）でした。

（4）被害事例

　8月のウイルス・不正アクセス関連相談総件数は1,792件でした。そのうち『ワンクリック不正請求』に関する相談が654件（7月：657件）となり、過去3番目に多い件数となりました。その他は、『セキュリティ対策ソフトの押し売り』行為に関する相談が1件（7月：6件）、Winny に関連する相談が3件（7月：6件）、「情報詐取を目的として特定の組織に送られる不審なメール」に関する相談が2件（7月：1件）、などでした。

　表4-1　IPA で受け付けた全ての相談件数の推移

		3月	4月	5月	6月	7月	8月
合計		1,406	1,668	1,765	1,898	1,708	1,792
	自動応答システム	758	962	992	1,081	923	1,015
	電話	597	651	710	777	736	702
	電子メール	49	55	58	37	47	68
	その他	2	0	5	3	2	7

（備考）
IPA では、コンピュータウイルス・不正アクセス、Winny 関連、その他情報セキュリティ全般についての相談を受け付けています。

メール	（これらのメールアドレスに特定電子メールを送信しないでください）
電話番号	03-5978-7509 （24時間自動応答、ただし IPA セキュリティセンター員による相談受付は休日を除く月〜金、10:00〜12:00、13:30〜17:00のみ）
FAX	03-5978-7518 （24時間受付）

「自動応答システム」　：　電話の自動音声による応対件数
「電話」　：　IPA セキュリティセンター員による応対件数
合計件数には、「不正アクセスの届出および相談の受付状況」における『相談(d) 計』件数を内数として含みます。

図4-1：ワンクリック不正請求相談件数の推移

主な相談事例は以下の通りです。

(i) 企業内パソコン・ネットワークのウイルス対策って必要ですか？

相談	弊社のパソコンには、ウイルス対策ソフトを入れていません。今まで、ウイルス感染などの事故には遭遇したことがないので、セキュリティ対策には必要性を感じません。それに、ウイルス対策ソフトを入れると、パソコンの動作が遅くなると聞いたので、ますます導入したくありません。本当に必要なものでしょうか。
回答	ウイルス感染などによって顧客情報を漏らす事故が発生した場合、企業の社会的信頼が大きく失墜することになります。企業経営に直撃する問題となるのです。被害に遭ってからでは遅い、ということを認識して普段からセキュリティ対策を実施しましょう。 なお、ウイルス対策ソフトについては、各社の最新版であれば数年前のものと比べて動作が軽くなりつつあります。必要な機能以外は無効にすることでも、多少は効果が得られるかも知れません。 （ご参考） IPA - 中小企業の情報セキュリティ対策ガイドライン http://www.ipa.go.jp/security/fy20/reports/sme-guide/press.html

(ii) 芸能人情報を探していたらワンクリック不正請求の被害に遭った

相談

ある芸能人が逮捕された事件で、真相を知りたくて、名前をキーワードとして検索サイトで情報を検索していた。一般の人が作ったらしいブログを見ていて、「盗撮動画はこちら」という文句に誘導され、クリックしたら有名な動画投稿サイトに似たページに飛ばされた。再生ボタンをクリックしたら、「入会ありがとうございます」などと表示され、その後、数分おきにパソコン画面上に料金請求画面が現れるようになった。

回答

典型的な、ワンクリック不正請求の罠に引っ掛かったと言えます。ワンクリック不正請求の業者は、誰もが検索するだろう、最新の事件のキーワードを散りばめた、ダミーのサイトを用意し、検索サイトの検索結果の上位に表示されるよう、様々な仕掛けを施しています。そのため、アダルトサイト閲覧が目的でなくても、巧みに誘導されてしまいます。数分おきに現れる画面は、パソコンに感染したウイルスによるものです。パソコン利用者は動画だと思ってクリックしますが、実はウイルスそのものをクリックし、自分でウイルスをダウンロードしているのです。ウイルスはプログラムであるため、ダウンロードの際は Windows が「セキュリティの警告」を表示します。警告内容を良く読み、不用意に「実行」ボタンをクリックしないようにしましょう。 （ご参考） IPA - 2009年4月の呼びかけ「 "セキュリティの警告"画面を知っていますか？ 」 http://www.ipa.go.jp/security/txt/2009/04outline.html

　インターネット定点観測(TALOT2)によると、2009年8月の期待しない(一方的な)アクセスの総数は10観測点で171,271件、延べ発信元数^(※)は65,738箇所ありました。平均すると、1観測点につき1日あたり212の発信元から552件のアクセスがあったことになります(図5-1)。
※延べ発信元数：TALOT2 の各観測点にアクセスしてきた発信元を単純に足した数のことを、便宜上、延べ発信元数とする。なお、同一発信元から同一の観測日・観測点・ポートに複数アクセスがあった場合でも、発信元数は1としてカウントしている。

　TALOT2 における各観測点の環境は、インターネットを利用される一般的な接続環境と同一なので、インターネットを利用される皆さんの環境へも同じくらいの一方的なアクセスがあると考えられます。

【図5-1：1観測点・1日あたりの期待しない(一方的な)平均アクセス数と発信元数】

　2009年3月〜2009年8月までの各月の1観測点・1日あたりの平均アクセス数とそれらのアクセスの平均発信元数を図5-1に示します。8月の期待しない（一方的な）アクセスは、7月と比べて増加しました。

　7月と8月の宛先（ポート種類）別アクセス数の比較を図5-2に示します。
　8月に大きく増加したのは、445/tcp へのアクセスでした。これは特定の発信元からのアクセス回数が増加したわけではなく、発信元数自体が増加したことがアクセス数の増加につながっていました。
　また、7月は全く観測されなかった39023/tcp へのアクセスが多く観測されました。このアクセスが何を目的としたものだったかは不明ですが、特定の1観測点のみで観測されたアクセスでした。

【図5-2：宛先(ポート種類)別アクセス数の比較(7月/8月)】

　なお、図5-1からも分かるとおり、1観測点・1日あたりの平均アクセス数が4ヶ月前あたりから徐々に増加傾向を示しています。過去4ヶ月間のアクセス数が多いポート（TOP10）へのアクセスにおける、アクセス数の変化を図5-3に示します。

【図5-3：宛先（ポート種類）別アクセス数の変化（4ヶ月）】

　これによると、多くの種類のポートへのアクセスが4ヶ月間、大きく変動することなくほぼ一定の推移を保っている中で、445/tcp へのアクセスだけは徐々に増加していることから、このポートへのアクセスが、全体の平均アクセス数の増加に大きく影響していることが分かります。

　445/tcp は Windows の脆弱性を狙った攻撃が行われる際に悪用されるポートとして知られていますが、TALOT2 において長期的に増加傾向が続いている要因については特定できておりません。

以上の情報に関して、詳細はこちらのサイトをご参照ください。

• 別紙3_インターネット定点観測（TALOT2）での観測状況について

届出の詳細については以下の PDF ファイルをご参照ください。

• 本紙_コンピュータウイルス・不正アクセスの届出状況[8月分]
• 別紙1_コンピュータウイルスの届出状況について［詳細］
• 別紙2_コンピュータ不正アクセスの届出状況について［詳細］

一般社団法人JPCERTコーディネーションセンター：http://www.jpcert.or.jp/
@police：http://www.cyberpolice.go.jp/
フィッシング対策協議会：http://www.antiphishing.jp/
株式会社シマンテック：http://www.symantec.com/ja/jp/
トレンドマイクロ株式会社：http://jp.trendmicro.com/jp/home/
マカフィー株式会社：http://www.mcafee.com/japan/

独立行政法人 情報処理推進機構 セキュリティセンター（IPA/ISEC）
（ISEC：Information technology SEcurity Center）
TEL：03-5978-7527　FAX：03-5978-7518
E-mail：
　　　　　（このメールアドレスに特定電子メールを送信しないでください）
URL：http://www.ipa.go.jp/security/