HOME情報セキュリティ情報セキュリティ対策ウイルス対策コンピュータウイルス・不正アクセスの届出状況[2010年1月分]について

本文を印刷する

情報セキュリティ

コンピュータウイルス・不正アクセスの届出状況[2010年1月分]について

第10-09-178号
掲載日:2010年 2月 3日
独立行政法人情報処理推進機構
セキュリティセンター(IPA/ISEC)

 IPA (独立行政法人情報処理推進機構、理事長:西垣 浩司)は、2010年1月のコンピュータウイルス・不正アクセスの届出状況をまとめました。
(届出状況の詳細PDF資料はこちら)

1. 今月の呼びかけ

「 "ガンブラー" の手口を知り、対策を行いましょう 」

 「有名企業や公共機関のウェブサイトが改ざんされ、そのサイトを閲覧した利用者がウイルスに感染した可能性がある」という報道が2009年末から相次いでおり、IPA へも多くの相談や問い合わせが寄せられています。一般的に「ガンブラー」と呼ばれているこの一連の攻撃は、「ウェブサイト改ざん」と「ウェブ感染型ウイルス(ウェブサイトを閲覧するだけで感染させられてしまうウイルス)」を組み合わせて、多数のパソコンにウイルスを感染させようとする手口(攻撃手法)の一種を指します。
 ここでは、「ガンブラー」がどのような手口であるのかを説明し、その影響や対策について示します。「ガンブラー」では、近年インターネットで悪用されている様々な攻撃手法が組み合わされているため、これらへの対策を行うことで、「ガンブラー」以外の脅威に対しても有効な防御策となります。インターネットを利用している全ての人に危険が生じていることを認識し、十分な対策を行いましょう。

(1) 「ガンブラー」の概要

 「ガンブラー」とは、特定のウイルスを指すものではなく、悪意のある者(攻撃者)が複数の攻撃手段を併用し、多数のパソコンに様々なウイルスを感染させようとするために使う一連の手口のことです。このため、「ガンブラー」について理解するには、攻撃者、被害者、そしてウイルスといった個々の要素だけでなく、それらがどのように関係しているかを知る必要があります。「ガンブラー」の手口による攻撃の全体図を、図1-1に示します。

図1-1:「ガンブラー」の手口による攻撃の全体図 図1-1:「ガンブラー」の手口による攻撃の全体図

(画像のクリックで拡大表示)

 

 詳しくは後述しますが、この手口によって利用者がさらされる危険は、主に次の3点です。

  • セキュリティ対策が不十分なパソコンでは、ウェブサイトを閲覧するだけでウイルスに感染させられてしまい、かつ、ウイルスに感染したことが見た目には全く分からない場合がある
  • 有名企業のウェブサイトが攻撃に使われる場合があるため、「不審なウェブサイトを閲覧しない」といった回避策が有効とならず、日常的に利用しているウェブサイトが突然危険なウェブサイトとなる可能性もある
  • 感染させられるウイルスは特定のものではなく、攻撃者がコントロールできるため、どのようなウイルスに感染させられるか分からない

 このように、「ガンブラー」による攻撃は、インターネットを利用している全ての人に危険を及ぼしています。以降、この手口について詳しく説明し、利用者として施すべき対策を示します。

(2) 「ガンブラー」の手口の詳細

 本項では、「ガンブラー」の手口を詳しく説明します。なお、この手口は細かく分類すると様々なパターンがあり(*1)、また、現在も巧妙化を続けています。ここでは、2009年末から流行中の典型的な手口を例として紹介します。以降、「【1】」などと表記した場合、図1-1の図中に対応していますので、図を参照しながら読み進めてください。
 (*1) 実際は、この手口のうち2009年3月から5月に流行したものに「ガンブラー(Gumblar)」という名前が付けられ、以降は手口の巧妙化に合わせて別の名前が付けられてきました。最近では、これらの手口を総称して「ガンブラー」や「ガンブラーの亜種」などと呼ばれています。

【1】正規の管理者によるウェブサイトの管理

 この【1】は「ガンブラー」の手口の一部ではありませんが、背景として説明します。
 インターネット上のウェブサイトは、そのウェブサイトの管理者によって管理・運営されており、そこにはウェブページ(画面)のデータが複数格納されています。ウェブサイト管理者は、ウェブページの作成・更新を行う際、ウェブサイト管理用の秘密の ID とパスワードを使うことで、他者が勝手にウェブページを書き換えることが出来ないようにしています。

 

【2】正規のウェブサイトの管理用IDとパスワードの奪取

 【2】~【4】は、「ガンブラー」の手口で行われる、悪意のある攻撃者による下準備です。
 まず、攻撃者は何らかの方法で、正規のウェブサイトの管理用の ID とパスワードを、そのウェブサイトの管理者から盗みます。手段として、情報を盗み出すタイプのウイルス(スパイウェア)等が使われていることが推測されます。

 

【3】悪意のあるウェブサイトへのウイルス配置
 攻撃者が悪意のあるウェブサイトを作成(*2)し、そこに複数のウイルスを配置します。攻撃者は、いつでもこれを任意の(例えば新種の)ウイルスに入れ替えることができると考えられます。
 (*2) 悪意のあるウェブサイトは、追跡されることを難しくするために、様々な工夫がなされた上で構成されています。

 

【4】正規のウェブサイトの改ざん
 下準備の最後として、【2】で入手した「ウェブサイト管理用の ID とパスワード」を使い、攻撃者はウェブサイトの管理者になりすまし、格納されているウェブページのデータを不正に改ざんします。具体的には、攻撃者はウェブページの中に「このページを開いたパソコンを、悪意のあるウェブサイト(【3】で用意したもの)へ誘導する」という悪意のある命令を埋め込み、罠を仕掛けます。

 

【5】改ざんされたウェブサイトの閲覧
 【5】と【6】では、パソコン利用者側が、ウェブサイトを訪問してウイルスに感染させられてしまうまでの動作を説明します。
 まず、利用者がいつものように正規のウェブサイトを開きます。この時、パソコン上のブラウザ(インターネット閲覧ソフト)は、目的のウェブページのデータを取得し、画面を表示します。
 今回の場合、そのウェブページは攻撃者により【4】で改ざんされたものです。たくさんあるウェブページのうち、どのページが改ざんされているかを、利用者が事前に知ることはできません
 パソコンの画面では、見た目には改ざんされる前との違いがないウェブページが表示された状態となりますが、挙動に変化のないまま、【4】でウェブページの中に仕掛けられた悪意のある命令が、ブラウザの中で動作を始めます。

 

【6】悪意のあるウェブサイトへの誘導とウイルス感染
 続いて、悪意のある命令により、利用者への確認なしに、ブラウザは悪意のあるウェブサイトへ誘導(勝手に接続)されます。そして、最初のウイルスのファイルがダウンロードされます。
 この最初のウイルスは、正確には「攻撃コード」と呼ばれるもので、直接パソコンに被害を与えるものではなく、まずパソコンの「ウイルスの侵入を許してしまう弱点」を悪用して侵入することを目的としたものです。ブラウザは、「攻撃コード」を含むファイルを開こうとします。それが動画ファイルであれば動画再生用のソフト、といったように、ブラウザ本体以外の機能が使われることもあります。この時、パソコン内のOS、ブラウザ、その他のアプリケーションソフトに「ウイルスの侵入を許してしまう弱点」が存在すると、そこを突かれて(悪用されて)ウイルスに侵入されてしまいます。
 侵入に成功すると、そのウイルスは、悪意のあるウェブサイトから更に別のウイルスをダウンロードし、パソコンに感染させるという動作をします。【3】で示した通り、攻撃者はウイルスを随時入れ替えることができるため、利用者が最終的にどのようなウイルスに感染させられるかは分かりません。
 ここまでの一連の動作は、多くの場合パソコンの画面への変化がないまま行われるため、利用者が危険に気付くことは難しいと思われます。

 

▼「ウイルスの侵入を許してしまう弱点」について
 改ざんされたウェブサイトを閲覧してしまい、【5】と【6】で示したような動作が行われたとしても、基本的に OS やブラウザをはじめとする様々なソフトウェアは安全性が考慮されており、ウイルスに感染させられることはないように作られています。しかし、ソフトウェアにはセキュリティ上の不具合が後から発見されることがあり、それが「ウイルスの侵入を許してしまう弱点」となる場合があります。この弱点のことを、「脆弱性(ぜいじゃくせい)」と呼びます。

 「ガンブラー」の手口では、【2】~【4】の攻撃者による下準備と、【5】と【6】での利用者による改ざんされたウェブサイトの閲覧に加え、「利用者のパソコンに脆弱性がある」ということが前提条件となっており、これら全てが揃ったときに攻撃が成立します。
 最新版でないソフトウェアには脆弱性が残っている可能性があるため、古いものを使い続けるのは危険です。(5)で後述する対策を実施し、ソフトウェアを最新に保ちましょう。

(3)改ざんサイト増加のサイクル

 本項では、「ガンブラー」による攻撃が拡大し、ウェブサイトの改ざんが相次いでいる理由について説明します。
 図1-1の右下の被害者たちの中に「利用者 かつ 他のウェブサイトの管理者」がいます。この被害者は、ウェブサイトを管理するためのパソコンを使って、様々なウェブサイトの閲覧も行っています。攻撃者は、こういった利用者が罠にかかることを想定した上で、「ウェブサイトの管理用の ID とパスワードを盗み出すウイルス」を「悪意のあるウェブサイト」に配置しています。
 【2】では、"何らかの方法で"攻撃者がウェブサイトの管理用の ID とパスワードを盗み出す、と説明しましたが、その方法自体も「ガンブラー」の手口の一部となっていると言えます。これにより、攻撃者は更に別のウェブサイトの管理者になりすますことが可能となるため、次々とウェブサイトを改ざんすることで、攻撃範囲を広げているものと考えられます(図1-2)。

図1-2:「ガンブラー」の手口による攻撃の拡大のサイクル
図1-2:「ガンブラー」の手口による攻撃の拡大のサイクル
(画像のクリックで拡大表示)

 ▼ まとめ
 以上の(2)(3)で示した「ガンブラー」による攻撃の特徴をまとめると、次の3点となります。

  • 攻撃者が、正規のウェブサイトの管理用 ID とパスワードを盗み、正規のウェブサイトを改ざんして罠を仕掛ける
  • セキュリティ対策が不十分なパソコンを狙い、改ざんされたウェブサイトを閲覧するだけで感染させるウイルスを攻撃に使用する
  • 攻撃者はウイルスを使用して更に別のウェブサイトの管理用IDとパスワードを盗み、改ざんサイト(攻撃範囲)を拡大していく

(4)被害の内容

 前述した通り、「ガンブラー」は「ウイルスを感染させるための手口」であり、最終的に利用者のパソコンがどのようなウイルスに感染し、どういった被害が発生するかは分かりません。また、使われるウイルスも時間と共に変化しています。
 現在のところ、次に挙げるウイルスに感染した事例が報告されています。

  • 偽セキュリティ対策ソフト(ウイルスが発見されたという偽の表示を行い、駆除するために偽セキュリティ対策ソフトの「有償版」の購入を迫るウイルス)
  • ウェブサイト管理用の ID とパスワード(ftp のアカウント情報)を盗み出すウイルス

 また、次のような症状がある場合、原因が「ガンブラー」とは限りませんが、ウイルスに感染している疑いがあります。

  • Windows Update、Microsoft Update が実行できない
  • 各種セキュリティソフトのベンダー(開発、販売会社)のウェブサイトへ接続できない
  • ウイルス対策ソフトのウイルス定義ファイル(パターンファイル)を最新のものに更新できない

 近年流行しているウイルスとしては、パソコン内のデータを破壊するタイプだけではなく、個人情報やオンラインバンキング/オンラインゲーム等の ID とパスワードを盗み出すウイルス(スパイウェア)、パソコンを乗っ取って遠隔操作を可能とするウイルス(ボット)などがあります。今後、これらのウイルスの拡散のために「ガンブラー」の手口が使われる可能性があり、注意が必要です。

 ウェブサイトを運営している企業や管理者にとっては、運営しているウェブサイトを閲覧した利用者に対して、ウイルス感染の被害を与える加害者となってしまうことで、信頼を損なうおそれがあります。十分な対策を実施し、被害の拡大防止に努めてください。

(5)対策

 「ガンブラー」は、複雑な手口により利用者をウイルスに感染させるものですが、一連の手口の中で使われている個々の攻撃手法は、特に新しいものではありません。従来と変わらず、基本的なウイルス対策を漏らさず実施していくことで、十分防御していくことが可能です。ここでは、その対策を改めて示しますので、確実に実施してください。

(i)脆弱性の解消
 【6】で説明した通り、「ウェブ感染型ウイルス」はパソコン内にある「ウイルスの侵入を許してしまう弱点」、すなわち脆弱性を悪用して侵入してきます。従って、この脆弱性を解消することが、重要な対策の一つです。
 脆弱性は、OS(Windowsなど)、ブラウザ(Internet Explorer など)、その他のアプリケーションソフト、それぞれに存在する可能性があります。パソコンに導入しているソフトウェアについては、できる限り全てを最新版に更新し、脆弱性を解消しましょう。

 

ソフトウェアの更新の方法について、次に補足します。

  • Windows(OS 本体)、Internet Explorer、Microsoft Office(Word や Excel)の更新

パソコンの設定によっては「自動更新」の機能がオンになっており、その場合は自動的に最新版に更新されます。手動で更新を行う場合は、「Windows Update」または「Microsoft Update」を使用します。詳しくは、下記の Microsoft 社のウェブページを参照してください。

(ご参考)「Microsoft Update 利用の手順」(Microsoft社)
http://www.microsoft.com/japan/security/bulletins/j_musteps.mspx

 

  • 「MyJVN バージョンチェッカ」による確認

IPA では、Adobe Flash Player など、ウイルスによって狙われることが多いソフトウェアについて、それらがパソコンに導入されているか、および最新版となっているか否かをチェックできるツールを公開しています。詳しくは、下記の「MyJVN バージョンチェッカ」のウェブページを参照してください。
(ご参考)「MyJVN バージョンチェッカ」(IPA)
http://jvndb.jvn.jp/apis/myjvn/#VCCHECK
※ 2010年2月現在、Windows XP と Vista に対応しています。

 

  • その他のソフトウェア

ソフトウェアの更新の方法は、それぞれ異なります。自分のパソコンに導入されているソフトウェアを把握し、定期的に更新を行うことが理想です。パソコン初心者がすぐに実施するのは難しいのが現状ですが、自己防衛のために身に付けていきましょう。
IPA では、一般利用者の多いソフトウェアに脆弱性が発見された場合、注意喚起を行っています(下記の「緊急対策情報・注意喚起 一覧」のウェブページを参照)。注意喚起が行われた場合は、自分のパソコンに該当するソフトウェアが入っているかを確認し、対応しましょう。
(ご参考)「緊急対策情報・注意喚起 一覧」(IPA)
http://www.ipa.go.jp/security/announce/alert.html

 

(ii)ウイルス対策ソフトの導入

 ウイルス対策ソフトは万能ではありませんが、重要な対策の一つです。ウイルス対策ソフトを導入し、ウイルス定義ファイルを最新に保つことで、ウイルスの侵入阻止や、侵入してしまったウイルスを駆除することができます。近年のウイルスは、パソコンの画面の見た目では感染していることが分からないものが多いため、ウイルスの発見と駆除には、ウイルス対策ソフトが必須です。

 

 一般利用者向けのウイルス対策ソフトとしては、ウイルスの発見と駆除だけでなく、危険なウェブサイトを閲覧しようとした時にブロックを行う機能などを備える、「統合型」と呼ばれるものを推奨します。なお、「ガンブラー」の手口に対して、ウイルス対策ソフトは、次のタイミングで効果を発揮することが期待できます。

 

  • 改ざんされたサイトを開こうとした時(【5】)に、それを阻止する
  • 悪意のあるウェブサイトからダウンロードされる「攻撃コード」(【6】)の侵入を阻止する
  • 「攻撃コード」に続いてダウンロードされるウイルス(【6】)の侵入を阻止する
  • ウイルスに感染してしまった場合でも、後日、発見・駆除する

(iii)「ゼロデイ攻撃」への対策

 脆弱性の解消について(i)で説明しましたが、「脆弱性が発見されてから、その修正プログラムが公開されるまでの期間」は、脆弱性を解消できない状態となります。この期間を狙う攻撃を「ゼロデイ攻撃」と呼びます。「ゼロデイ攻撃」に対しては、脆弱性を解消できないため、できる限りの「回避策」を取ることで対応します(「回避策」は、問題となっているソフトウェアによって様々です)。

 「ガンブラー」の手口でも、一部で「ゼロデイ攻撃」が行われたことが確認されています。「ゼロデイ攻撃」についての詳細は、下記のウェブページを参照してください。

 

(ご参考)
「修正プログラム提供前の脆弱性を悪用したゼロデイ攻撃について」(IPA)
http://www.ipa.go.jp/security/virus/zda.html

 

(iv)ウイルスに感染してしまった、あるいは感染しているか不安な場合

 既にウイルスに感染してしまったか、感染しているかどうか分からないといった場合、取りうる手段は、ウイルス対策ソフトによる検査と駆除です。ウイルス対策ソフトが発見できない、未知のウイルスに感染している場合もありますが、数日後にはウイルス対策ソフト側が対応し、発見できるようになる可能性があります。
 明らかに動作がおかしく、またウイルス対策ソフトによるウイルスの発見や駆除ができないような場合、確実にウイルスを除去する最終的な手段としては、パソコンの初期化(購入時の状態に戻す)を行うしかありません。
 ウイルスに対しては、感染してからの対処ではなく、感染を予防する(i)~(iii)の対策が重要です。

 

(v)ウェブサイト管理者としての対策

 ウェブサイト管理者については、上記以外にも講じるべき対策があります。詳しくは、下記のウェブページを参照してください。

 

(ご参考)
「ウェブサイト管理者へ:ウェブサイト改ざんに関する注意喚起
一般利用者へ:改ざんされたウェブサイトからのウイルス感染に関する注意喚起」(IPA)
http://www.ipa.go.jp/security/topics/20091224.html

今月のトピックス

  • コンピュータ不正アクセス被害の主な事例(届出状況及び被害事例の詳細は、「3.コンピュータ不正アクセス届出状況」を参照)
    • "ガンブラー"攻撃でウェブサイトに不正なコードを挿入された
    • 他サイト探索のための踏み台として悪用された
  • 相談の主な事例 (相談受付状況及び相談事例の詳細は、「4.相談受付状況」を参照)
    • 「ウイルスに感染しています!」という警告が英語で出て来る
    • 自分のウェブサイトが改ざんされていないかチェックしたい
  • インターネット定点観測(詳細は、別紙3を参照)
    IPA で行っているインターネット定点観測について、詳細な解説を行っています。

2. コンピュータウイルス届出状況 -詳細は別紙1を参照-

(1)ウイルス届出状況

 1月のウイルスの検出数(※1)は、 約7.2万個と、12月の約6.6万個から9%の増加となりました。また、1月の届出件数(※2)は、1,154件となり、12月の981件から17.6%の増加となりました。

※1 検出数 : 届出にあたり届出者から寄せられたウイルスの発見数(個数)
※2 届出件数: 同じ届出者から寄せられた届出の内、同一発見日で同一種類のウイルスの検出が複数ある場合は、1日何個検出されても届出1件としてカウントしたもの。
 ・1月は、寄せられたウイルス検出数約7.2万個を集約した結果、1,154件の届出件数となっています。

 検出数の1位は、W32/Netsky約4.6万個 、2位は W32/Waledac約8千4百個、3位は W32/Mumu約7千5百個でした。

図2-1:ウイルス検出数

図2-1:ウイルス検出数

図2-2:ウイルス届出件数

図2-2:ウイルス届出件数

(2)不正プログラムの検知状況

 一時期急増した「偽セキュリティ対策ソフト」型ウイルス(FAKEAV)などの不正プログラムの検知件数は、全体的に減少傾向にあります(図2-3参照)。
 このような不正プログラムは、メールの添付ファイルとして多数出回っており、図2-3からもわかる通り、特定の期間に急増するなど、不自然な傾向が見て取れます。これは、ボット等によりメール配信が行われているためと推測され、いつ急増するかわかりませんので、継続して注意を払う必要があります。1月にも複数回、検知件数が増加した日が見受けられました。

 サイバークリーンセンターでは、ボットに関する対策や駆除ツールを提供しています。不正プログラムのメール配信に加担することがないよう、ボットに感染していないか確認するとともに、不正プログラムを取り込まないようにするなど、感染防止のための対策を実施するようにしてください。

(ご参考)
 「感染防止のための知識」(サイバークリーンセンター)
  https://www.ccc.go.jp/knowledge/

図2-3:不正プログラムの検知件数推移
図2-3:不正プログラムの検知件数推移

3. コンピュータ不正アクセス届出状況(相談を含む) -詳細は別紙2を参照-

表3-1 不正アクセスの届出および相談の受付状況

  8月 9月 10月 11月 12月 1月
届出(a) 計 20 11 21 11 9 20
  被害あり(b) 12 8 14 6 6 12
被害なし(c) 8 3 7 5 3 8
相談(d) 計 39 44 34 34 22 67
  被害あり(e) 17 13 11 14 14 34
被害なし(f) 22 31 23 20 8 33
合計(a+d) 59 55 55 45 31 87
  被害あり(b+e) 29 21 25 20 20 46
被害なし(c+f) 30 34 30 25 11 41

(1)不正アクセス届出状況

 1月の届出件数は20件であり、そのうち何らかの被害のあったものは12件でした。

(2)不正アクセス等の相談受付状況

 不正アクセスに関連した相談件数は67件(うち8件は届出件数としてもカウント)であり、そのうち何らかの被害のあった件数は34件でした。

(3)被害状況

 被害届出の内訳は、侵入11件、なりすまし1件、でした。
 「侵入」の被害は、ウェブページに不正なコードを挿入されたものが9件、ウェブサーバ内に他サイトを攻撃もしくは探索するための不正プログラムを置かれていたものが2件、でした。侵入の原因は、"ガンブラー"の手口でウェブページ更新者のパソコンがウイルス感染してサイト更新用 ftp アクセスのアカウント情報を盗まれたことによるものが1件、詳細は追い切れていないが"ガンブラー"の手口だと推測されるものが8件、ID/パスワード管理不備と思われるものが1件、でした(残りの1件は原因不明)。
 「なりすまし」の被害は、オンラインゲームのサイトに本人になりすまして何者かにログインされ、サービスを勝手に利用されていたものが1件でした。

(4)被害事例

[ 侵入 ]
(i) "ガンブラー"攻撃でウェブサイトに不正なコードを挿入された

  • 外部レンタルサーバに置いてある、自社のウェブサイトを閲覧したところ、ウイルス警告が出た。別のレンタルサーバに置いてある、自社ブログサイトを閲覧しても、ウイルス警告が出た。これらは、同一のホームページ制作会社に管理を任せていたもの。
  • 調査したところ、ウェブページ内に、悪意あるサイトへ誘導するためのスクリプトが埋め込まれているのを発見。改ざんされたのは、ファイル名に"index"という文字が含まれるもの(index.html や index.php など)や、JavaScript 外部ファイル(例:xxx.js)であった。
  • 自社内で管理運用していた別のウェブサーバは、サイト更新のアクセスを IP アドレスで制限していたためか、改ざん被害は無かった。
  • ホームページ制作会社のパソコンがウイルス感染しており、ftp アカウント情報が盗まれたものと推測されるが、原因となったマシンやウイルスの特定はできていない。




ウェブサイトの運用方法の違いが、明暗を分けた例です。外部に設置してあるウェブサーバでも、ページ更新や管理のためのアクセスにはできる限りのアクセス制限を加えましょう。また、ウェブページ更新用のパソコンでは、ウイルス感染のリスクを減らすために、ウェブ閲覧やメール確認をしないというルールを定めるのも、有効です。
(参考)

(ii) 他サイト探索のための踏み台として悪用された


  • 自社が契約している ISP より、「そちらから、外部サーバに対して ftp コマンドで不正と思われるアクセスが発信されている」と連絡が入った。
  • 当該サーバを調査したところ、「FTP Scanner」を埋め込まれ、ftp アクセスが可能なサイトの IP アドレス情報を収集する踏み台として悪用されていたことが判明。
  • 当該サーバは実験用として運用されており、アクセス制限を設けていなかったことが原因の一つと考えられる。




"ガンブラー"攻撃では、ウイルスによって ftp アカウントが盗まれ、ウェブサイトが改ざんされる手口が確認されています。しかし今回の事例は、ウイルスの手を借りることなくウェブページを改ざんできる可能性があることを示唆しています。
より多くのウェブサイトを改ざんし、"ガンブラー"による被害を拡大しようとしているのかもしれません。今後も、ウェブサイト管理者はログをこまめにチェックするなど、細心の注意を払う必要があります。
(参考)

4.相談受付状況

 1月のウイルス・不正アクセス関連相談総件数は2,150件でした。そのうち『ワンクリック不正請求』に関する相談638件(12月:576件)、『セキュリティ対策ソフトの押し売り』行為に関する相談が37件(12月:7件)、Winny に関連する相談1件(12月:6件)、「情報詐取を目的として特定の組織に送られる不審なメール」に関する相談0件(12月:1件)、などでした。

 表4-1 IPA で受け付けた全ての相談件数の推移

  8月 9月 10月 11月 12月 1月
合計 1,792 1,653 2,049 2,315 1,794 2,150
  自動応答システム 1,015 915 1,157 1,340 1,138 1,160
電話 702 676 843 918 602 910
電子メール 68 60 45 53 52 78
その他 7 2 4 4 2 2

(備考)
IPA では、コンピュータウイルス・不正アクセス、Winny 関連、その他情報セキュリティ全般についての相談を受け付けています。

メール 相談メールアドレス
(これらのメールアドレスに特定電子メールを送信しないでください)
電話番号 03-5978-7509 (24時間自動応答、ただし IPA セキュリティセンター員による相談受付は休日を除く月~金、10:00~12:00、13:30~17:00のみ)
FAX 03-5978-7518 (24時間受付)

「自動応答システム」 : 電話の自動音声による応対件数
「電話」 : IPA セキュリティセンター員による応対件数
合計件数には、「不正アクセスの届出および相談の受付状況」における『相談(d) 計』件数を内数として含みます。

図4-1ワンクリック不正請求相談件数の推移
図4-1:ワンクリック不正請求相談件数の推移

主な相談事例は以下の通りです。

(i) 「ウイルスに感染しています!」という警告が英語で出て来る
相談

ある日パソコンを起動すると、「Security Tool」というソフトが立ちあがった。英語で「ウイルスに感染している。駆除するためには有償版製品が必要」という主旨のことが書いてあるようだ。クレジットカード番号を入れるよう促されたが、怪しいと思ったので、無視している。しかし、ウェブサイト閲覧時に突然接続が途切れたり、ウイルス対策ソフトを買って来て導入したがうまく動作しなかったり、システム復元しようとしても Security Tool によって「ウイルス感染しているので開けません」と表示され、邪魔されたりする。普段、怪しいサイトは見ずに、ニュースや占いのサイトくらいしか見てないのに、ウイルス感染するのか。

回答

「Security Tool」は、「偽セキュリティ対策ソフト」型のウイルスです。最近の"ガンブラー"の手口では、この事例のように偽のセキュリティ対策ソフトが勝手に入れ込まれる場合もあります。感染後は復旧作業を邪魔されることもあり、初期化するしかない場合もあるようです。
最悪の状況を避けるためにも、ウイルス対策ソフトを導入し最新の状態に維持することは必須です。また、Windows Update などの脆弱性対策も重要です。ウイルスに狙われ易い主要なアプリケーションについては、自動でバージョンチェックができるツールを、IPA が提供していますので、活用してください。

(ご参考)
(ii) 自分のウェブサイトが改ざんされていないかチェックしたい
相談

個人のホームページを運営している。最近、話題の"ガンブラー"によって有名企業などのウェブサイトが改ざんされたニュースを見聞きして、自分も不安になった。全ページのチェックが必要だというが、ページ数が多くて大変だし、HTML ファイルの中身を見ても何が何だかさっぱり分からない。簡単に調べられる方法は無いか。

回答 あくまでも簡易的手法ですが、以下の方法があります。
  • 「/*GNU GPL*/」や「/*LGPL*/」「/*Exception*/」「/g, '8080'」などという文字列が、HTML ファイル内に含まれるかチェックする(今後も新たなキーワードが出て来る可能性あり)
  • ウェブサイトに置いてある全ページのファイルを手元のパソコンにコピーし、最新のウイルス定義ファイルでウイルススキャンする(できれば複数ソフトで)
    ※無料のオンラインスキャンでも OK
当該文字列が見つかったり、ウイルスが検知されたりしたら、改ざんされている可能性が高いと言えます。すぐにホームページ公開を停止し、対処しましょう。
一度、安全を確認できたファイルは手元に置き、いざという時にはすぐにウェブサイト上のファイルを差し替えられるようにしておくと良いでしょう。 (ご参考)
  • IPA - ウェブサイト管理者へ:ウェブサイト改ざんに関する注意喚起
    一般利用者へ:改ざんされたウェブサイトからのウイルス感染に関する注意喚起
    http://www.ipa.go.jp/security/topics/20091224.html

5.インターネット定点観測での1月のアクセス状況

 インターネット定点観測(TALOT2)によると、2010年1月の期待しない(一方的な)アクセスの総数は10観測点で185,488件、延べ発信元数(※)78,209箇所ありました。平均すると、1観測点につき1日あたり252の発信元から598件のアクセスがあったことになります(図5-1参照)。

※延べ発信元数:TALOT2 の各観測点にアクセスしてきた発信元を単純に足した数のことを、便宜上、延べ発信元数とする。ただし、同一発信元から同一の観測日・観測点・ポートに複数アクセスがあった場合は、発信元数を1としてカウントする。

 TALOT2 における各観測点の環境は、インターネットを利用される一般的な接続環境と同一なので、インターネットを利用される皆さんの環境へも同じくらいの一方的なアクセスがあると考えられます。

図5-1 1観測点・1日あたりの期待しない(一方的な)平均アクセス数と発信元数
【図5-11観測点・1日あたりの期待しない(一方的な)平均アクセス数と発信元数】

 2009年8月~2010年1月までの各月の1観測点・1日あたりの平均アクセス数とそれらのアクセスの平均発信元数を図5-1に示します。1月の期待しない(一方的な)アクセスは、2009年12月と比べて増加しました。

 2009年12月と2010年1月の宛先(ポート種類)別アクセス数の比較を図5-2に示します。これをみると、445/tcp へのアクセスは12月より増加しているものの、それ以外のポートではアクセス数に大きな変化は見られませんでした。
 TALOT2 の観測状況では、445/tcp へのアクセスが他のポートに比べて突出して多く、依然としてこのポートが悪意ある者に狙われやすい状況であることに変わりはありませんので、引き続き注意する必要があります。

図5-2:宛先(ポート種類)別アクセス数の比較(12月/1月)
【図5-2:宛先(ポート種類)別アクセス数の比較(12月/1月)】

以上の情報に関して、詳細はこちらのサイトをご参照ください。

届出の詳細については以下の PDF ファイルをご参照ください。

 

 なお、内閣官房をはじめとして、関係省庁及び政府関係機関では2月を「情報セキュリティ月間」として、情報セキュリティに関する普及啓発活動を官民連携の下に行っています。IPA はこの活動に協力しています。
 http://www.ipa.go.jp/security/event/2009/security-month.html

『他機関・ベンダーの各種統計情報は以下のサイトで公開されています。』

一般社団法人JPCERTコーディネーションセンター:http://www.jpcert.or.jp/
@police:http://www.cyberpolice.go.jp/
フィッシング対策協議会:http://www.antiphishing.jp/
株式会社シマンテック:http://www.symantec.com/ja/jp/
トレンドマイクロ株式会社:http://jp.trendmicro.com/jp/home/
マカフィー株式会社:http://www.mcafee.com/japan/

お問い合わせ先:

独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC)
(ISEC:Information technology SEcurity Center)
TEL:03-5978-7527 FAX:03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。
     (このメールアドレスに特定電子メールを送信しないでください)
URL:http://www.ipa.go.jp/security/