HOME情報セキュリティ情報セキュリティ対策ウイルス対策コンピュータウイルス・不正アクセスの届出状況[2009年8月分]について

本文を印刷する

情報セキュリティ

コンピュータウイルス・不正アクセスの届出状況[2009年8月分]について

第09-39-163号
掲載日:2009年 9月 3日
独立行政法人情報処理推進機構
セキュリティセンター(IPA/ISEC)

 IPA (独立行政法人情報処理推進機構、理事長:西垣 浩司)は、2009年8月のコンピュータウイルス・不正アクセスの届出状況をまとめました。
(届出状況の詳細PDF資料はこちら)

1. 今月の呼びかけ

「 あなたのブラウザ、乗っ取られていませんか? 」
― 見知らぬページが勝手に開くようになったら即対処! ―

 最近、「パソコンを起動した時や、ウェブページを閲覧している時に、身に覚えのないゲームのサイトやアダルトサイトのウィンドウが開く」という相談が IPA に多く寄せられています。
 パソコンにこのような動作を行わせる悪質なソフトウェアは、Internet Explorer などのインターネット閲覧ソフト(以下、ブラウザ)を乗っ取るという意味で、「ブラウザ・ハイジャッカー」と呼ばれます。ここでは、「ブラウザ・ハイジャッカー」に感染してしまう経緯の一例をもとに、注意すべき点について説明します。 

(1) 「ブラウザ・ハイジャッカー」とは

 ブラウザの設定の改変や、不正な機能の追加によって、ユーザーの望まない広告画面を強制的に表示するといった動作を引き起こす悪質なソフトウェアを、「ブラウザ・ハイジャッカー」と言います。
 「ブラウザ・ハイジャッカー」によって乗っ取られたブラウザには、次のような症状が現れます。

  • インストールしたつもりのないツールバー(*1)が追加される
  • ブラウザを起動した時、最初に表示されるページが変更される
  • 広告や身に覚えの無いウェブサイトのページが勝手に開く(ポップアップする)
  • ウェブページの閲覧中に、有害なウェブサイトへ誘導される

 これらの症状に加えて、ユーザーのウェブページの閲覧履歴や、ブラウザ上で入力した ID/パスワードなどの秘密情報を盗み出す「スパイウェア」として活動する「ブラウザ・ハイジャッカー」もあり、注意が必要です(図1を参照)。
 (*1) ブラウザ用の「ツールバー」とは、ブラウザウィンドウ上部に、インターネット検索や各種サービスへのリンクボタンなどを追加する機能で、必ずしも悪意のあるものとは限りません。ユーザーへ利便性を提供するため、Google や Yahoo! 等の事業者が提供しているものもあります。

図1:「ブラウザ・ハイジャッカー」によって乗っ取られたブラウザのイメージ図
図1:「ブラウザ・ハイジャッカー」によって乗っ取られたブラウザのイメージ図

(2) 事例

 ここでは具体的に、「動画サイトで日本のアニメを観ようとして、ユーザーのパソコンがブラウザ・ハイジャッカーに感染させられてしまう」という事例を、流れを追って紹介します。

ステップ1

ステップ1.
検索サイトで、目的のアニメに関連したキーワードで検索を実行します。表示された結果のうち、上位に現れた「無料動画」などと書かれた日本語のウェブサイトのリンクを選び、クリックします。


ステップ2 ステップ2.
リンクでジャンプした先は、目的の動画を観ることができそうなウェブサイトでした。画面をスクロールさせていくと、動画が再生されるようなエリアがあります。
この中央の再生ボタンをクリックしてみます。

ステップ3

ステップ3.
すると、ディスプレイ全体に、大きな動画再生ウィンドウが開きました。
再度、中央の再生ボタンのような部分をクリックします。

※実は、これはユーザーをだますために動画再生画面を装った罠の画面で、どの場所をクリックしても「ブラウザ・ハイジャッカー」のダウンロードが始まります。
先ほどのステップ2のウィンドウは、この大きなウィンドウの後ろに隠れてしまっています。


ステップ4

ステップ4.
動画は再生されず、「セキュリティの警告」という小さなウィンドウが表示されました。
『動画を再生するために何かを実行しなければならないのかな?』と考え、「実行」ボタンをクリックします。
すると、もう一度同じようなウィンドウが表示されます。よく分からないまま「実行する」ボタンをクリックします。

※後述しますが、この警告はウェブサイトから何らかのプログラムのダウンロードが行われていることを示す、重要なウィンドウです。
通常、単に動画を再生するだけであれば、この警告が表示されることはありません。


ステップ5 ステップ5.
ステップ4の操作によって、「ブラウザ・ハイジャッカー」に感染させられました。
見覚えのないツールバーが追加され、ブラウザ起動時に最初に表示されるページが変更されています。
また、ブラウザ使用中に、ゲームのサイトや広告のウィンドウが次々と勝手に開くようになってしまいました。

 以上の事例では、ステップ3やステップ4で不自然な動作をしているのですが、注意を払わずに先へ進んでしまい、「ブラウザ・ハイジャッカー」に感染してしまった、ということになります。ここではアニメ動画を例として取り上げましたが、ドラマやアダルト系の動画についても同様の事例が確認されています。

 この事例から、次の点がセキュリティ上の問題として挙げられます。
 ●検索結果の順位に対する過度な信頼
 今回の場合、検索結果の上位にあるウェブサイトへの訪問が、被害の発端となっています。「上位に表示されたウェブサイトは安全」という思い込みが、以降の操作において注意を払わない原因となっているかもしれません。

 ●リンク先の安全性は分からない
 ステップ2のウェブサイトは、様々な動画投稿サイトへの単なる「リンク集」であり、リンク先の安全性については保証していません。実際、この画面内の海外の動画投稿サイトの動画プレイヤー(赤枠の部分)は、罠の画面を表示するという悪質な動作をしています。

 ●安全性は見た目では判断しにくい
 ステップ3の罠の画面は、一見すると通常の動画プレイヤーと区別がつかず、動画再生のつもりでクリックしてしまうユーザーは少なくないと思われます。

 なお、この「ブラウザ・ハイジャッカー」というウイルス自体は特に新しいものではなく、「CoolWebSearch」「about: blank」(注:2つともウイルスの名称)などが数年前から存在しています。最近、被害の相談件数が増加しているのは、上記のような経緯で感染するユーザーが増えたことが原因だと思われます。

 これらの点に対するユーザー側の対策を、以下(3)と(4)にて示します。

(3)「セキュリティの警告」ウィンドウについて
 先述の事例のステップ4で、「ファイルのダウンロード - セキュリティの警告」というタイトルのウィンドウが表示されていました。このウィンドウは、『今、ウェブサイトからプログラムをパソコンに取り込もうとしている』ことを警告する画面で、「実行」「保存」「キャンセル」という3つのボタンを選択肢として持っています。
 「実行」ボタンをクリックした場合、ウェブサイトからダウンロードしたプログラムが、パソコン上で実行されます。先述の事例のように、これが悪意を持ったプログラムならば、パソコンがウイルスに感染させられてしまうといった被害に遭ってしまいます。
 十分に信頼できると判断したウェブサイトでない限り、この「セキュリティの警告」ウィンドウが表示されたら、「キャンセル」ボタンで中止し、そこから先へ進むべきではありません。このプログラムには問題がないと考えられる場合でも、「実行」ボタンですぐに実行するのではなく、「保存」ボタンでプログラムを一旦パソコン上にダウンロードし、ウイルス対策ソフトで検査してから開く(実行する)方が、より安全です。
 なお、事例では、このプログラムの発行者が不明であったため、更にその警告ウィンドウも表示されています。「実行する」ボタンをクリックする前に、信頼できるプログラムか否か、入手経路などから判断してください。

(4)対策

(i)予防策

 「ブラウザ・ハイジャッカー」はウイルスの一種です。このため、感染の予防策は一般的なウイルス対策と同じです。

    • OS やアプリケーションを最新の状態に保つ
    • ウイルス対策ソフトを導入し、ウイルス定義ファイルを最新の状態に保つ
    • 有害サイト対策機能を持つセキュリティソフトを使用する

 その他、一般的なウイルス対策については、次のページを参照してください。

 

(ご参考)

「ウイルス感染を防ぐためのポイント」(IPA)

 http://www.ipa.go.jp/security/personal/know/virus.html

 

 今回事例として挙げた「ブラウザ・ハイジャッカー」は、広告を目的としたソフトウェアである「アドウェア」として分類される場合があります。「アドウェア」は、広告の表示に対してユーザーの同意があるならば、悪意を持ったプログラムだとは言い切れません。このため、ウイルス対策ソフトによってはウイルスとして検出しない可能性があります。
 それでも、(3)で説明した通り、「セキュリティの警告」ウィンドウに注意することで、感染を避けることができる場合があります。警告メッセージは無視しないように心がけてください。

 

 また、これまでの説明の通り、検索サイトで上位に現れたとしても、そのウェブサイトが安全であるとは限りません(そのウェブサイト自体には問題がない場合でも、そこから一回リンクをクリックした先には、危険なウェブサイトが存在しているかもしれません)。
 リンクの文章やウェブページのアドレス(URL)、画面の見た目などから、ユーザーがそのウェブサイトの安全性を判断するのは、難しいのが現状です。

 

 ウェブページの閲覧にあたって慎重を期す場合は、「有害サイト対策機能」(*2)を持つセキュリティソフトを使う方法があります。これにより、リンク先のウェブページの安全性の評価が画面表示できたり、危険なウェブサイトへのアクセスがブロックできるといった効果があります。この機能は、例えば「統合型のウイルス対策ソフト」と呼ばれる製品の一部として提供されています。
 また、Windows では、Internet Explorer 8から「SmartScreen」という有害サイト対策機能が追加されています。利用方法など詳細については、下記のウェブページを参照してください。

 

(ご参考)

「Internet Explorer 8 新機能紹介ムービー : SmartScreen」(マイクロソフト社)

 http://www.microsoft.com/japan/windows/products/winfamily/
ie/function/smart/default.mspx

「SmartScreen フィルター : よく寄せられる質問」(マイクロソフト社)

 http://windowshelp.microsoft.com/windows/ja-JP/help/
184c6038-7eb1-4ca3-b50d-7901d81c37851041.mspx

 

(*2) 「有害サイト対策機能」は、製品によって「フィルタリング」「Webレピュテーション」など様々な呼び方があるため、詳しくは各セキュリティソフトのベンダーへ確認してください。

 

 なお、IPA では、ウェブサイトの危険性をユーザーに代わって判断するサービスを行っていますので、ぜひご利用ください。

 

(ご参考)

「『悪意あるサイトの識別情報および対策情報提供システム(TIPS)』を利用したウェブサイト情報提供サービスを開始」(IPA)

 http://www.ipa.go.jp/security/isg/tips.html

 

(ii)事後対策

 「ブラウザ・ハイジャッカー」の中には、感染してしまうとウイルス対策ソフトで駆除できない悪質なものも存在します。Windows XP や Windows Vista には、「システムの復元」機能がありますので、この機能を利用し、感染前の状態にシステムを復元できる場合があります。

 

(ご参考)

Windows XP「システムの復元のやり方」(マイクロソフト社)

 http://www.microsoft.com/japan/windowsxp/pro/business/
feature/performance/restore.mspx

Windows Vistaのシステムの復元の解説(マイクロソフト社「PCとーく」の情報)

 http://support.microsoft.com/kb/934854/ja

 

 システムの復元が正常に完了しなかったり、症状が改善しない場合は、パソコンを購入した時の状態に戻す作業(初期化)を行ってください。
 なお、「ブラウザ・ハイジャッカー」をはじめとして、一旦ウイルスに感染してしまったパソコンは、たとえウイルス対策ソフトや「システムの復元」機能によって復旧したように見えても、完全に正常な状態に戻っていない可能性があります。データのバックアップやアプリケーションの再セットアップという手間はかかりますが、安全性を考慮して、初期化を行うことを勧めます。

今月のトピックス

  • コンピュータ不正アクセス被害の主な事例(届出状況及び被害事例の詳細は、「3.コンピュータ不正アクセス届出状況」を参照)
    • サーバの設定不備を突かれて侵入され、ウェブページを改ざんされた
    • 有料動画配信サイトで、サービスを勝手に使われた
  • 相談の主な事例 (相談受付状況及び相談事例の詳細は、「4.相談受付状況」を参照)
    • 企業内パソコン・ネットワークのウイルス対策って必要ですか?
    • 芸能人情報を探していたらワンクリック不正請求の被害に遭った
  • インターネット定点観測(詳細は、別紙3を参照)
    IPA で行っているインターネット定点観測について、詳細な解説を行っています。

2. コンピュータウイルス届出状況 -詳細は別紙1を参照-

 8月のウイルスの検出数(※1)は、 約7.6万個と、7月の約8万個から4.9%の減少となりました。また、8月の届出件数(※2)は、1,222件となり、7月の1,256件から2.7%の減少となりました。

※1 検出数 : 届出にあたり届出者から寄せられたウイルスの発見数(個数)
※2 届出件数: 同じ届出者から寄せられた届出の内、同一発見日で同一種類のウイルスの検出が複数ある場合は、1日何個検出されても届出1件としてカウントしたもの。
 ・8月は、寄せられたウイルス検出数約7.6万個を集約した結果、1,222件の届出件数となっています。

 検出数の1位は、W32/Netsky約6.6万個 、2位は W32/Mydoom約4千個、3位は W32/Mytob約2千個でした。

図2-1:ウイルス検出数

図2-1:ウイルス検出数

図2-2:ウイルス届出件数

図2-2:ウイルス届出件数

3. コンピュータ不正アクセス届出状況(相談を含む) -詳細は別紙2を参照-

表3-1 不正アクセスの届出および相談の受付状況

  3月 4月 5月 6月 7月 8月
届出(a) 計 20 9 8 7 14 20
  被害あり(b) 13 6 6 6 6 12
被害なし(c) 7 3 2 1 8 8
相談(d) 計 40 39 45 35 24 39
  被害あり(e) 11 11 16 9 3 17
被害なし(f) 29 28 29 26 21 22
合計(a+d) 60 48 53 42 38 59
  被害あり(b+e) 24 17 22 15 9 29
被害なし(c+f) 36 31 31 27 29 30

(1)不正アクセス届出状況

 8月の届出件数は20件であり、そのうち何らかの被害のあったものは12件でした。

(2)不正アクセス等の相談受付状況

 不正アクセスに関連した相談件数は39件(うち6件は届出件数としてもカウント)であり、そのうち何らかの被害のあった件数は17件でした。

(3)被害状況

 被害届出の内訳は、侵入5件、なりすまし5件、その他(被害あり)2件、でした。
 「侵入」の被害は、ウェブサーバ内のクレジットカード情報などを盗まれたものが1件、ウェブページの改ざんが3件(内、不正なタグ埋め込み1件)、不正プログラムを置かれていたものが1件、でした。侵入の原因は、設定不備1件、脆弱性を突かれたもの1件、パスワード管理不備1件、などでした(残りの2件は原因不明)。
 「なりすまし」の被害は、オンラインサービスのサイトに本人になりすまして何者かにログインされ、サービスを勝手に利用されていたもの(オンラインゲーム4件、他サービス1件)でした。

(4)被害事例

[ 侵入 ]
(i) サーバの設定不備を突かれて侵入され、ウェブページを改ざんされた

  • ウェブサーバのログをチェックしていたところ、不審なアクセスを発見。
  • 調査したところ、ウェブサイトのトップページが改ざんされていたことが判明。
  • 原因は、FrontPage Server Extensions機能を悪用されたこと、であった。
  • FrontPage Server Extensions は必要の無いものだったので、削除した。




使われていない機能が設定不備のまま放置されていたことが原因でした。使われていない機能やサービスは、管理や監視の対象から外れることになるため、セキュリティ対策漏れにつながります。当初は必要だった機能でも、現在は不要になっているかもしれません。サーバで動作させる機能やサービスの棚卸しを、定期的に実施することをお勧めします
(参考)

※FrontPage Server Extensions: Microsoft 製のウェブサイト構築ツール FrontPage の機能を拡張するために、ウェブサーバ側に組み込むツールのこと。

[ なりすまし ]
(ii) 有料動画配信サイトで、サービスを勝手に使われた

  • 有料動画配信サイトに入会したが、最近は利用せず放置していた。利用料金は、あらかじめ登録しておいたクレジットカードで精算するシステム。
  • ある日届いたクレジットカード明細を見て、自分の身に覚えの無い、当該動画配信サイトの利用代金が請求されていることに気付いた。
  • 当該動画配信サイトに問い合わせたところ、サービスを利用していたパソコンの IP アドレスは、少なくても自分が使っているプロバイダのものではないこと判明。
  • 原因は不明。




何らかの理由により、パスワードが破られてしまったようです。簡単に破られないように、複雑なパスワードを設定することが重要です。原因は不明ですが、パソコンへのウイルス感染や不正アクセスによって、ユーザー ID とパスワードが盗まれたという可能性も否定できません。被害が続くようなら、パソコンを一旦初期化して様子を見ることをお勧めします。
クレジットカード情報を登録するようなサービスを利用している場合、常日頃から利用明細に目を通すことを心がけ、不審な点があれば、すぐにクレジットカード会社に相談しましょう。被害に遭ったと感じたら、サービス事業者や警察機関に相談しましょう。
(参考)

4.相談受付状況

 8月のウイルス・不正アクセス関連相談総件数は1,792件でした。そのうち『ワンクリック不正請求』に関する相談654件(7月:657件)となり、過去3番目に多い件数となりました。その他は、『セキュリティ対策ソフトの押し売り』行為に関する相談が1件(7月:6件)、Winny に関連する相談3件(7月:6件)、「情報詐取を目的として特定の組織に送られる不審なメール」に関する相談2件(7月:1件)、などでした。

 表4-1 IPA で受け付けた全ての相談件数の推移

  3月 4月 5月 6月 7月 8月
合計 1,406 1,668 1,765 1,898 1,708 1,792
  自動応答システム 758 962 992 1,081 923 1,015
電話 597 651 710 777 736 702
電子メール 49 55 58 37 47 68
その他 2 0 5 3 2 7

(備考)
IPA では、コンピュータウイルス・不正アクセス、Winny 関連、その他情報セキュリティ全般についての相談を受け付けています。

メール 相談メールアドレス
(これらのメールアドレスに特定電子メールを送信しないでください)
電話番号 03-5978-7509 (24時間自動応答、ただし IPA セキュリティセンター員による相談受付は休日を除く月~金、10:00~12:00、13:30~17:00のみ)
FAX 03-5978-7518 (24時間受付)

「自動応答システム」 : 電話の自動音声による応対件数
「電話」 : IPA セキュリティセンター員による応対件数
合計件数には、「不正アクセスの届出および相談の受付状況」における『相談(d) 計』件数を内数として含みます。

図4-1ワンクリック不正請求相談件数の推移
図4-1:ワンクリック不正請求相談件数の推移

主な相談事例は以下の通りです。

(i) 企業内パソコン・ネットワークのウイルス対策って必要ですか?
相談

弊社のパソコンには、ウイルス対策ソフトを入れていません。今まで、ウイルス感染などの事故には遭遇したことがないので、セキュリティ対策には必要性を感じません。それに、ウイルス対策ソフトを入れると、パソコンの動作が遅くなると聞いたので、ますます導入したくありません。本当に必要なものでしょうか。

回答

ウイルス感染などによって顧客情報を漏らす事故が発生した場合、企業の社会的信頼が大きく失墜することになります。企業経営に直撃する問題となるのです。被害に遭ってからでは遅い、ということを認識して普段からセキュリティ対策を実施しましょう。 なお、ウイルス対策ソフトについては、各社の最新版であれば数年前のものと比べて動作が軽くなりつつあります。必要な機能以外は無効にすることでも、多少は効果が得られるかも知れません。

(ご参考)
(ii) 芸能人情報を探していたらワンクリック不正請求の被害に遭った
相談

ある芸能人が逮捕された事件で、真相を知りたくて、名前をキーワードとして検索サイトで情報を検索していた。一般の人が作ったらしいブログを見ていて、「盗撮動画はこちら」という文句に誘導され、クリックしたら有名な動画投稿サイトに似たページに飛ばされた。再生ボタンをクリックしたら、「入会ありがとうございます」などと表示され、その後、数分おきにパソコン画面上に料金請求画面が現れるようになった。

回答

典型的な、ワンクリック不正請求の罠に引っ掛かったと言えます。ワンクリック不正請求の業者は、誰もが検索するだろう、最新の事件のキーワードを散りばめた、ダミーのサイトを用意し、検索サイトの検索結果の上位に表示されるよう、様々な仕掛けを施しています。そのため、アダルトサイト閲覧が目的でなくても、巧みに誘導されてしまいます。数分おきに現れる画面は、パソコンに感染したウイルスによるものです。パソコン利用者は動画だと思ってクリックしますが、実はウイルスそのものをクリックし、自分でウイルスをダウンロードしているのです。ウイルスはプログラムであるため、ダウンロードの際は Windows が「セキュリティの警告」を表示します。警告内容を良く読み、不用意に「実行」ボタンをクリックしないようにしましょう

(ご参考)

5.インターネット定点観測での8月のアクセス状況

 インターネット定点観測(TALOT2)によると、2009年8月の期待しない(一方的な)アクセスの総数は10観測点で171,271件、延べ発信元数(※)65,738箇所ありました。平均すると、1観測点につき1日あたり212の発信元から552件のアクセスがあったことになります(図5-1)。
※延べ発信元数:TALOT2 の各観測点にアクセスしてきた発信元を単純に足した数のことを、便宜上、延べ発信元数とする。なお、同一発信元から同一の観測日・観測点・ポートに複数アクセスがあった場合でも、発信元数は1としてカウントしている。

 TALOT2 における各観測点の環境は、インターネットを利用される一般的な接続環境と同一なので、インターネットを利用される皆さんの環境へも同じくらいの一方的なアクセスがあると考えられます。

図5-1 1観測点・1日あたりの期待しない(一方的な)平均アクセス数と発信元数
【図5-11観測点・1日あたりの期待しない(一方的な)平均アクセス数と発信元数】

 2009年3月~2009年8月までの各月の1観測点・1日あたりの平均アクセス数とそれらのアクセスの平均発信元数を図5-1に示します。8月の期待しない(一方的な)アクセスは、7月と比べて増加しました。

 7月と8月の宛先(ポート種類)別アクセス数の比較を図5-2に示します。
 8月に大きく増加したのは、445/tcp へのアクセスでした。これは特定の発信元からのアクセス回数が増加したわけではなく、発信元数自体が増加したことがアクセス数の増加につながっていました。
 また、7月は全く観測されなかった39023/tcp へのアクセスが多く観測されました。このアクセスが何を目的としたものだったかは不明ですが、特定の1観測点のみで観測されたアクセスでした。

図5-2 宛先(ポート種類)別アクセス数の比較(7月/8月)
【図5-2宛先(ポート種類)別アクセス数の比較(7月/8月)】

 なお、図5-1からも分かるとおり、1観測点・1日あたりの平均アクセス数が4ヶ月前あたりから徐々に増加傾向を示しています。過去4ヶ月間のアクセス数が多いポート(TOP10)へのアクセスにおける、アクセス数の変化を図5-3に示します。

図5-3 宛先(ポート種類)別アクセス数の変化(4ヶ月)
【図5-3宛先(ポート種類)別アクセス数の変化(4ヶ月)】

 これによると、多くの種類のポートへのアクセスが4ヶ月間、大きく変動することなくほぼ一定の推移を保っている中で、445/tcp へのアクセスだけは徐々に増加していることから、このポートへのアクセスが、全体の平均アクセス数の増加に大きく影響していることが分かります。

 445/tcp は Windows の脆弱性を狙った攻撃が行われる際に悪用されるポートとして知られていますが、TALOT2 において長期的に増加傾向が続いている要因については特定できておりません。

以上の情報に関して、詳細はこちらのサイトをご参照ください。

届出の詳細については以下の PDF ファイルをご参照ください。

『他機関・ベンダーの各種統計情報は以下のサイトで公開されています。』

一般社団法人JPCERTコーディネーションセンター:http://www.jpcert.or.jp/
@police:http://www.cyberpolice.go.jp/
フィッシング対策協議会:http://www.antiphishing.jp/
株式会社シマンテック:http://www.symantec.com/ja/jp/
トレンドマイクロ株式会社:http://jp.trendmicro.com/jp/home/
マカフィー株式会社:http://www.mcafee.com/japan/

お問い合わせ先:

独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC)
(ISEC:Information technology SEcurity Center)
TEL:03-5978-7527 FAX:03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。
     (このメールアドレスに特定電子メールを送信しないでください)
URL:http://www.ipa.go.jp/security/