HOME情報セキュリティ情報セキュリティ対策ウイルス対策コンピュータウイルス・不正アクセスの届出状況[2009年11月分]について

本文を印刷する

情報セキュリティ

コンピュータウイルス・不正アクセスの届出状況[2009年11月分]について

第09-45-169号
掲載日:2009年12月 3日
独立行政法人情報処理推進機構
セキュリティセンター(IPA/ISEC)

 IPA (独立行政法人情報処理推進機構、理事長:西垣 浩司)は、2009年11月のコンピュータウイルス・不正アクセスの届出状況をまとめました。
(届出状況の詳細PDF資料はこちら)

1. 今月の呼びかけ

「 インターネットは自己責任!!『はい』をクリックしたのはあなたです。 」
― ワンクリック不正請求のワナに気付こう ―

 IPA に寄せられる「ワンクリック不正請求」に関する相談件数は、7ヶ月連続で600件を超える高水準で推移しており、11月には903件と過去最悪となりました(図1-1参照)。相談件数が増加している要因として、「ワンクリック不正請求」を行う新規のウェブサイトが増えていること、そのようなウェブサイトへ利用者を誘導する手口が巧妙になっていることが挙げられます。
 被害に遭わないためには、「ワンクリック不正請求」の手口を知ることが第一です。例えば、契約する意思がないのに、意思確認画面で「はい」をクリックしないようにするなど、ウェブサイト閲覧時には、画面に記載されている注意事項をよく読み、無用なトラブルに巻き込まれないよう判断しなければなりません。併せて、万が一被害に遭った場合の復旧方法も理解しましょう。
 対策情報ページはこちら
  http://www.ipa.go.jp/security/topics/alert20080909.html

(1) 「ワンクリック不正請求」の現状

 「ワンクリック不正請求」とは、アダルトサイトで無料の動画を見ようと画像をクリックして、次へ次へと進んで行った利用者に対し、ウェブサイト運営者が利用者の意思に反して会員登録を行い、料金を請求する手口です。
 このような手口の中には、アダルトサイトをクリックした利用者のパソコンにウイルスを感染させることで、数分おきに料金請求画面を表示させ、利用者を心理的に追い込むケースがあります。

 IPA では、アニメやゲームなど、アダルト以外のジャンルから誘導されることも確認しており、子供から高齢者まで、年齢・性別を問わず非常に多くの相談が寄せられています。

 11月には、競馬予想情報を提供するとうたった、新手のウェブサイトを確認しました。今後、アダルト以外のジャンルでも、同様の手口が広がる危険性があり、より注意が必要な状況となっています。

図1-1:ワンクリック不正請求・相談件数推移
図1-1:ワンクリック不正請求・相談件数推移

 さらに、最近の「ワンクリック不正請求」を行うウェブサイトでは、違法箇所を見つけることが困難な場合も多く、必ずしも不正であるとは言い切れず、クリックした本人の責任を問われかねません

(2) 事例

 「ワンクリック不正請求」を行うウェブサイトへ誘導されて、ウイルスに感染させられるまでの手口の一例を以下に示します。

ステップ1

【a】検索サイトで、「アダルト」や「無料 動画」などのキーワードで検索を実行します。表示された結果のうち、上位に現れたウェブサイトのリンクをクリックしてみます。


ステップ2 【b】検索サイトからジャンプした先で、無料動画の再生をしようとして、画像をクリックします。すると、左図のように、複数のウェブサイトを経由しながら、「ワンクリック不正請求」を行うウェブサイトに誘導されていきます。なお、最終的にたどり着いたウェブサイトには、「無料」の文字はありません
利用者はこのようにして、「無料」をうたったページから「有料」サイトへと、巧みに誘導されます。また、複数のウェブサイトを経由させられることにより、利用者は焦燥感が高まり、注意力が散漫になるものと思われます。

ステップ3

【c】最終的にたどり着いたウェブサイトでは、「年齢確認」、「利用規約に同意するかどうか」や「業務で利用するパソコンではないか」を確認させるチェックボックスがあり、チェックマークを入れて、「はい」ボタンを押すと、動画再生ページへと移動します。(チェックマークを入れないと先に進めません)
この例では、利用規約は「はい」ボタンの下方に記載されており、確認するには画面をスクロールさせる必要があります。

「はい」ボタンを押して移動したページには、動画を再生する手順が記載されている場合があり、この例では、【d】で示す警告が表示されたら「実行」ボタンを押すように案内しています。


ステップ4

【d】動画を再生しようとすると、「セキュリティの警告」という小さなウィンドウが表示されます。
前述の案内に従って、「実行」ボタンをクリックします。
すると、もう一度「セキュリティの警告」のウィンドウが表示されます。ここでも「実行する」ボタンをクリックします。

※通常、単に動画を再生するだけであれば、このような操作は発生しません。「セキュリティの警告」画面が表示されるのは、何らかのプログラムがダウンロードされることを意味します。
この操作をすることは非常に危険なため、動画再生サイトで「セキュリティの警告」が表示されたら悪質なウェブサイトと判断し、クリックして先に進まないようにしてください。


ステップ5

【e】【d】の操作によって、パソコン内に登録完了の画面を表示するウイルスが入ってしまいます

その結果、パソコン起動時に登録画面が表示されるようになります。また、パソコンを操作している間、この登録画面が数分間隔で消えたり、出たりするようになってしまいます。



 上記の例を含め、以下のページでは複数の手口を紹介しています。ぜひ参考にしてください。

(ご参考)
IPA -ワンクリック不正請求に関する注意喚起(2009年12月3日更新)
 http://www.ipa.go.jp/security/topics/alert20080909.html

(3) 予防策

 「ワンクリック不正請求」による被害の多くは、アダルトサイトで発生しています。早く動画を見ようとして先を急ぐことなく、ウェブサイトに記載されている内容をよく確認してから進むようにすれば被害を防ぐことができます。

(a)パソコン利用者向け - 意思確認画面で安易に「はい」ボタンをクリックしない

 年齢確認や利用規約の同意を求める「はい」「いいえ」というボタンがあったら、すぐにクリックせず、その「はい」をクリックする意味を考えてください。「ワンクリック不正請求」を行うウェブサイトでは、「はい」ボタンの近くに「利用規約」があることがほとんどです。利用規約内に料金が明示されていれば、有料サイトだということです。「はい」ボタンをクリックして先に進むことは、「利用規約」に同意するという意思表示をしたことになってしまいます。このようなウェブサイトは、不正であるかの判断が難しく、クリックした本人の責任を問われる可能性があります。必ず内容を確認するようにし、契約する意思がなければ、「はい」ボタンをクリックしてはいけません。決してそれ以上進まずに、そのページを閉じるようにしてください。

 

(b)未成年者がいる家庭向け - 有害サイトブロックソフト/サービスを利用する

 小・中学生の児童・生徒が「ワンクリック不正請求」の被害に遭うケースも多数報告されています。パソコンを家族で共有しており、かつ未成年者がいる家庭では、有害サイトをブロックするソフト(ウェブフィルタリングソフト/URL フィルタリングソフトなどと呼ばれます)を導入することを勧めます。このようなソフトを導入することで、アダルトサイトや薬物情報など、未成年者には相応しくないウェブサイトの閲覧を防ぐことが可能となります。結果として、「ワンクリック不正請求」を行うアダルトサイトを閲覧できなくなるので、被害を防ぐことができます。
 なお、プロバイダで、有害サイトをブロックするサービスを提供している場合もあります。自身でソフトを設定することが難しい場合は、ご利用のプロバイダへ相談し、サービスを利用することを推奨します。

(4) 復旧方法

 ウイルスに感染させられてしまい、請求画面が勝手に表示される症状が起きてしまった場合、次に示す「システムの復元」を行ってください。それでも症状が改善されない場合、もしくは、「システムの復元」が失敗する場合は、パソコンの初期化をすることで、確実にウイルスを削除することが可能です。

(a)「システムの復元」による復旧
 Windows XP / Vista / 7 には、パソコンの動作が不安定になるなど、使用に支障がある状態に陥った場合、以前の状態に戻すことができる「システムの復元」という機能があります。これは Windows が自動で定期的に保存しているシステムの情報を基に、パソコンの状態を元に戻す機能です。
 下記のウェブページを参考にして、「システムの復元」を行ってください。ただし、復元対象として指定した日から現在までに行った、アプリケーションソフトウェアのインストール、アップデートの情報は消えてしまいますので、これらはシステム復元後に再度実施してください。

 

(ご参考)
IPA - Windowsでの「システムの復元」の実施手順
  http://www.ipa.go.jp/security/restore/

 

(b)パソコンの初期化

 パソコンを購入した時の状態に戻す、初期化という作業を実施します。実際の作業方法は、取扱説明書に記載されている「購入時の状態に戻す」などの手順に沿って作業してください。
 作業前に、重要なデータの外部媒体(USB メモリや CD-R、外付け HDD など)へのバックアップを推奨します。

 

 なお、Windows 2000 の場合は、完全に復旧するためにはレジストリの修正が必要となります。レジストリ修正を失敗すると、パソコンが起動しなくなるなどといった不具合が生じる可能性が高くなります。よって、当機構では Windows 2000 で被害に遭った場合は、パソコンを初期化することを勧めます。

今月のトピックス

  • コンピュータ不正アクセス被害の主な事例(届出状況及び被害事例の詳細は、「3.コンピュータ不正アクセス届出状況」を参照)
    • SSH で使用するポートへの攻撃で侵入された
    • オンラインゲームサイトで、アカウントが乗っ取られた
  • 相談の主な事例 (相談受付状況及び相談事例の詳細は、「4.相談受付状況」を参照)
    • YouTube で動画を見ていて、クリックして先に進んで行ったら料金請求された
    • 会社のパソコンでアダルトサイトを見ていたら、請求書が消えなくなった
  • インターネット定点観測(詳細は、別紙3を参照)
    IPA で行っているインターネット定点観測について、詳細な解説を行っています。

2. コンピュータウイルス届出状況 -詳細は別紙1を参照-

(1)ウイルス届出状況

 11月のウイルスの検出数(※1)は、 約7万個と、10月の約7万個から同水準での推移となりました。また、11月の届出件数(※2)は、1,140件となり、10月の1,210件から5.8%の減少となりました。

※1 検出数 : 届出にあたり届出者から寄せられたウイルスの発見数(個数)
※2 届出件数: 同じ届出者から寄せられた届出の内、同一発見日で同一種類のウイルスの検出が複数ある場合は、1日何個検出されても届出1件としてカウントしたもの。
 ・11月は、寄せられたウイルス検出数約7万個を集約した結果、1,140件の届出件数となっています。

 検出数の1位は、W32/Netsky約6.2万個 、2位は W32/Mydoom約3千2百個、3位は W32/Mytob約2千2百個でした。

図2-1:ウイルス検出数

図2-1:ウイルス検出数

図2-2:ウイルス届出件数

図2-2:ウイルス届出件数

(2)不正プログラムの検知状況

 2009年9月に急増した「偽セキュリティ対策ソフト」型ウイルス(FAKEAV)の検知件数は、その後減少傾向にあり、11月には増加する前の水準まで減少しました(図2-3参照)。
 このような不正プログラムは、メールの添付ファイルとして多数出回っており、図2-3からもわかる通り、特定の期間に急増するなど、不自然な傾向が見て取れます。これは、ボット等によりメール配信が行われているためと推測され、いつ急増するかわかりませんので、継続して注意を払う必要があります。

 サイバークリーンセンターでは、ボットに関する対策や駆除ツールを提供しています。メール配信に加担することがないよう、ボットに感染していないか確認するとともに、不正プログラムを取り込まないようにするなど、感染防止のための対策を実施するようにしてください。

(ご参考)
 「感染防止のための知識」(サイバークリーンセンター)
  https://www.ccc.go.jp/knowledge/

図2-3:不正プログラムの検知件数推移
図2-3:不正プログラムの検知件数推移

3. コンピュータ不正アクセス届出状況(相談を含む) -詳細は別紙2を参照-

表3-1 不正アクセスの届出および相談の受付状況

  6月 7月 8月 9月 10月 11月
届出(a) 計 7 14 20 11 21 11
  被害あり(b) 6 6 12 8 14 6
被害なし(c) 1 8 8 3 7 5
相談(d) 計 35 24 39 44 34 34
  被害あり(e) 9 3 17 13 11 14
被害なし(f) 26 21 22 31 23 20
合計(a+d) 42 38 59 55 55 45
  被害あり(b+e) 15 9 29 21 25 20
被害なし(c+f) 27 29 30 34 30 25

(1)不正アクセス届出状況

 11月の届出件数は11件であり、そのうち何らかの被害のあったものは6件でした。

(2)不正アクセス等の相談受付状況

 不正アクセスに関連した相談件数は34件(うち5件は届出件数としてもカウント)であり、そのうち何らかの被害のあった件数は14件でした。

(3)被害状況

 被害届出の内訳は、侵入1件、なりすまし5件、でした。
 「侵入」の被害は、ウェブサーバ内に他サイトを攻撃するための不正プログラムを置かれていたものが1件でした。侵入の原因は、SSH※で使用するポートへのパスワードクラッキング※攻撃でした。
 「なりすまし」の被害は、オンラインサービスのサイトに本人になりすまして何者かにログインされ、サービスを勝手に利用されていたものが5件(オンラインゲーム4件、中古車販売サイト1件)でした。

※SSH (Secure Shell) : ネットワークを介して遠隔のコンピュータと通信するためのプロトコルの一つ。
※パスワードクラッキング (password cracking) : 他人のパスワードを、解析するなどして探り当てること。ブルートフォース攻撃(総当り攻撃)や辞書攻撃といった手法があり、クラッキング用のプログラムも存在する。

(4)被害事例

[ 侵入 ]
(i) SSH で使用するポートへの攻撃で侵入された

  • 学外から、「そちらの大学のサーバから SSH で使うポートに不正アクセス試行を受けている」との通報が入った。
  • 調査したところ、学内のサーバの SSH で使うポートにパスワードクラッキング攻撃を受け、結果として侵入されて管理者権限を奪取されていたことが判明。
  • root のパスワードが推測しやすいものだった。また、root で SSH ログイン出来るようになっていたのも、事態を悪化させる要因だった。




パスワード認証は、時間を掛ければいつかは破られる、という原則を再認識しましょう。ログのチェック、接続許可制限などの対策が有効ですが、SSH 運用時には、ログインの際に公開鍵認証などの強固な認証の採用を推奨します。
(参考)
※公開鍵認証…公開鍵と秘密鍵のペアで利用者個人の認証を行う方式のこと。

[ なりすまし ]

(ii) オンラインゲームサイトで、アカウントが乗っ取られた


  • 有料のオンラインゲームを利用。11月27日に不正アクセスの形跡を見つけたため、翌11月28日にパスワードを変更。英数字を混ぜて12文字のパスワードを設定。
  • 11月29日にログインしようとしたところ、パスワードが違うとのことでログインできないことに気づいた。
  • このゲームはログインしなくても自分のキャラクターの容姿が表示される。その姿は、自分が設定したものとは明らかに異なる風貌であった。このため、何者かにアカウントが乗っ取られたのだと確信。
  • ゲームサイト運営者に連絡したが、まだ回答がない。




パスワード設定に問題はなかったようですので、パスワードを盗み取るウイルスに感染していた可能性もあります。その一方で、ゲームサイト運営側に問題がある可能性も否定できません。
被害内容の復旧については、ゲーム運営業者に問い合わせていただくことになります。場合によっては、警察に被害状況を申告するように指示されることもありますので、まずは最寄りの警察署に電話し対処方法について相談してください。なお、ゲーム運営業者に問い合わせても、あまり良い対応を行ってもらえない場合、最寄りの消費生活センターに相談することをお勧めします。
(参考)

4.相談受付状況

 11月のウイルス・不正アクセス関連相談総件数は2,315件となり、過去最多となりました。そのうち『ワンクリック不正請求』に関する相談903件(10月:793件)と、先月に引き続き過去最悪の記録を大幅に塗り替えました(図4-1参照)。その他は、『セキュリティ対策ソフトの押し売り』行為に関する相談が6件(10月:6件)、Winny に関連する相談0件(10月:3件)、「情報詐取を目的として特定の組織に送られる不審なメール」に関する相談0件(10月:0件)、などでした。

 表4-1 IPA で受け付けた全ての相談件数の推移

  6月 7月 8月 9月 10月 11月
合計 1,898 1,708 1,792 1,653 2,049 2,315
  自動応答システム 1,081 923 1,015 915 1,157 1,340
電話 777 736 702 676 843 918
電子メール 37 47 68 60 45 53
その他 3 2 7 2 4 4

(備考)
IPA では、コンピュータウイルス・不正アクセス、Winny 関連、その他情報セキュリティ全般についての相談を受け付けています。

メール 相談メールアドレス
(これらのメールアドレスに特定電子メールを送信しないでください)
電話番号 03-5978-7509 (24時間自動応答、ただし IPA セキュリティセンター員による相談受付は休日を除く月~金、10:00~12:00、13:30~17:00のみ)
FAX 03-5978-7518 (24時間受付)

「自動応答システム」 : 電話の自動音声による応対件数
「電話」 : IPA セキュリティセンター員による応対件数
合計件数には、「不正アクセスの届出および相談の受付状況」における『相談(d) 計』件数を内数として含みます。

図4-1ワンクリック不正請求相談件数の推移
図4-1:ワンクリック不正請求相談件数の推移

主な相談事例は以下の通りです。

(i) YouTube で動画を見ていて、クリックして先に進んで行ったら料金請求された
相談

YouTube(動画投稿サイト)で、投稿者のコメント欄にある URL リンクをクリックしたら、アダルトサイトに行き着いた。YouTube は無料だし、そこからジャンプした先のサイトも無料だと思って、アダルトムービーを見ようとして見本画像をクリックして先に進んで行った。その結果、いつの間にか利用登録されており、5万円の料金を請求された。パソコンを再起動しても、数分おきに料金請求画面が出て来る。
この相談の他、YouTube から誘導されたトラブルが20件弱あり

回答

パソコン利用者をワンクリック不正請求サイトに誘導するための罠を仕掛けた動画が、YouTube に投稿されていることを確認しています。有名なサイトからクリックした場合でも、ジャンプした先のサイトが安全である保証は一切ありません。ジャンプした先には、サイトの利用意思確認ページがあり、[はい]ボタンの近くには有料サイトである旨の表示がある場合がほとんどです。その場その場で画面に表示されているメッセージを良く読むことが、被害を未然に防ぐ唯一の方法です。誘惑に負けることなく、正しい判断をしましょう。

(ご参考)
(ii) 会社のパソコンでアダルトサイトを見ていたら、請求書が消えなくなった
相談

会社のパソコンでアダルトサイトを見ていた。無料の動画サイトだと思っていたが、気が付くと料金請求画面が出ており、パソコンを再起動しても数分おきにその画面が出現するようになってしまった。IPA に相談したら、ワンクリック不正請求サイトの罠に引っ掛かり、ウイルスに感染しているということだったので、駆除作業をした。反省の意味を込め、社内で同じ被害が起きないように同僚らに注意を喚起したが、2週間後、再びパソコンに請求画面が出現するようになった。以前とは違う画像。誰がやったのか分からない。

回答

問題の本質を全く理解していないために、被害に遭った教訓が生かされていないようです。ワンクリック不正請求の問題の本質は、サイトの利用意思確認ページで、自分にはその意思が無いにもかかわらず、[はい]ボタンをクリックしてしまっていることです。アダルトサイトやウイルスの問題は、本質的ではありません。自分自身のクリック操作には責任が伴うという自覚を持ちましょう。「[はい]をクリックしたが、契約の意思は無い」という言い訳が、どんな場面でも通用するとは限りません。画面に表示されているメッセージを良く読んで、正しく行動すれば、無用のトラブルを未然に防止できるでしょう。

(ご参考)

5.インターネット定点観測での11月のアクセス状況

 インターネット定点観測(TALOT2)によると、2009年11月の期待しない(一方的な)アクセスの総数は10観測点で172,802件、延べ発信元数(※)71,136箇所ありました。平均すると、1観測点につき1日あたり237の発信元から576件のアクセスがあったことになります(図5-1参照)。

※延べ発信元数:TALOT2 の各観測点にアクセスしてきた発信元を単純に足した数のことを、便宜上、延べ発信元数とする。ただし、同一発信元から同一の観測日・観測点・ポートに複数アクセスがあった場合は、発信元数を1としてカウントする。

 TALOT2 における各観測点の環境は、インターネットを利用される一般的な接続環境と同一なので、インターネットを利用される皆さんの環境へも同じくらいの一方的なアクセスがあると考えられます。

図5-1 1観測点・1日あたりの期待しない(一方的な)平均アクセス数と発信元数
【図5-11観測点・1日あたりの期待しない(一方的な)平均アクセス数と発信元数】

 2009年6月~2009年11月までの各月の1観測点・1日あたりの平均アクセス数とそれらのアクセスの平均発信元数を図5-1に示します。11月の期待しない(一方的な)アクセスは、10月と比べて増加しました。

 10月と11月の宛先(ポート種類)別アクセス数の比較を図5-2に示します。
 11月は10月に全く観測されなかった60304/udpへのアクセスが多く観測されたことと、2967/tcpや139/tcp、1521/tcpなど複数のポートへのアクセスが10月より増加したことで全体数の増加につながっていました。

 60304/udpへのアクセスは、11月の下旬に数日間だけ一つの観測点で観測されていたものであり、発信元はオーストラリアの1ヶ所のみでした。このアクセスが何を目的に送られていたかは不明です。
 また、10月と比較して増加の度合いが最も大きかったのは1521/tcpへのアクセスです。1521/tcp は Oracle データベースがデフォルトで使用するポートです。TALOT2 では2009年7月上旬あたりからこのポートへのアクセスの増加を観測しており、10月下旬頃からも若干増加していました(図5-3参照)。

 このような傾向は定点観測を行っている他の組織でも観測されています。アクセスが増加し始めた7月上旬に、1521/tcpに対してスキャンを行うためのツールの配布サイトが中国で発見されたという情報も確認していることから、このツールが使われて脆弱な Oracle データベースを探索しようとするアクセスが継続的に発生していた可能性があります。
 このような行為への考えられる対策としては、以下の手段が挙げられます。

  • ファイアウォールによる、外部からのアクセスの制限や接続可能な IP アドレスの制限
  • Oracle データベースで使用するポートをデフォルトの1521番から別の番号に変更する
  • Oracle データベースのユーザーのパスワードを推測されにくいものに設定し直す
  • OS やその他のアプリケーションソフトなどの脆弱性の解消

図5-2 宛先(ポート種類)別アクセス数の比較(10月/11月)
【図5-2:宛先(ポート種類)別アクセス数の比較(10月/11月)】

図5-3 1521/tcp 発信元地域別アクセス数の変化(10観測点の合計)
【図5-3:1521/tcp 発信元地域別アクセス数の変化(10観測点の合計)】

以上の情報に関して、詳細はこちらのサイトをご参照ください。

届出の詳細については以下の PDF ファイルをご参照ください。

『他機関・ベンダーの各種統計情報は以下のサイトで公開されています。』

一般社団法人JPCERTコーディネーションセンター:http://www.jpcert.or.jp/
@police:http://www.cyberpolice.go.jp/
フィッシング対策協議会:http://www.antiphishing.jp/
株式会社シマンテック:http://www.symantec.com/ja/jp/
トレンドマイクロ株式会社:http://jp.trendmicro.com/jp/home/
マカフィー株式会社:http://www.mcafee.com/japan/

お問い合わせ先:

独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC)
(ISEC:Information technology SEcurity Center)
TEL:03-5978-7527 FAX:03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。
     (このメールアドレスに特定電子メールを送信しないでください)
URL:http://www.ipa.go.jp/security/