HOME情報セキュリティ情報セキュリティ対策ウイルス対策コンピュータウイルス・不正アクセスの届出状況[2010年2月分]について

本文を印刷する

情報セキュリティ

コンピュータウイルス・不正アクセスの届出状況[2010年2月分]について

第10-11-179号
掲載日:2010年 3月 3日
独立行政法人情報処理推進機構
セキュリティセンター(IPA/ISEC)

 IPA (独立行政法人情報処理推進機構、理事長:西垣 浩司)は、2010年2月のコンピュータウイルス・不正アクセスの届出状況をまとめました。
(届出状況の詳細PDF資料はこちら)

1. 今月の呼びかけ

「 ID とパスワードを適切に管理しましょう 」
~ サイフと同じく大切に! ~

 オンラインサービスにおける ID とパスワードを不正利用されたことが原因と考えられる金銭的な被害が相次いで報道されており、IPA へも相談が寄せられています。ID とパスワードを不正利用されてしまった事例には、単純なパスワードを推測されてしまったものやウイルスに感染したことが原因と考えられるものなどがありますが、中には原因が特定できないケースもあります。
 本人確認のために用いられる ID とパスワードは、オンラインサービスを利用する上で非常に重要なものです。不正利用対策として、パスワードを強化して破られにくくするとともに、適切に管理することが必要です。
 オンラインサービスで利用する ID とパスワードは、それを悪用しようとしている者に常に狙われていることを意識し、適切に管理しましょう。

(1) 不正利用された原因

 報道事例や IPA への相談事例で確認されている、オンラインサービスを不正利用されたケースにおいて、その原因として推測されるものは次のとおりです。

  • 単純なパスワードを設定していたため、悪意ある者に推測されたり、総当り攻撃により破られた。
  • ウイルス感染により、ID とパスワードを盗まれた。
  • フィッシング詐欺(※1)に引っ掛かり、ID とパスワードを盗まれた。
  • ソーシャルエンジニアリング(※2)により、ID とパスワードを盗まれた。

図1-1:ID とパスワードを盗まれるイメージ図
図1-1:ID とパスワードを盗まれるイメージ図

 

 このように、様々な原因が考えられますが、多くは自分自身が注意することで防ぐことができます。以降の項目を確認し、ID とパスワードを適切に管理してください。

※1フィッシング(phishing):巧妙な文面のメールなどを用い、実在する企業(金融機関、信販会社、ネットオークション等)のWebサイトを装った偽のサイトにユーザを誘導し、情報(パスワードなど)を盗みとる不正行為。
※2ソーシャルエンジニアリング(social engineering):ネットワーク技術やコンピュータ技術を用いずに、人間心理や社会の盲点を突いて、情報(パスワードなど)を入手する方法。

(2) パスワード認証の落とし穴

 ID とパスワードのみの本人確認は、完璧な仕組みではなく、破られるリスクがあります。例えば、ID が連番で付与されるケースや、メールアドレスがそのまま ID になっているケースなど、ID は簡単に知られてしまう可能性が高く、その場合、攻撃者はパスワードが一致するかどうかを試すだけでよいことになります。このとき、パスワードを数字だけといった単純な設定にしていたり、管理に問題があったりすると、簡単に認証を突破されてしまう可能性が高くなります。
 次項では、パスワード作成における注意点や運用・管理方法について紹介します。

(3)不正利用対策

 ここでは(1)の不正利用された原因として推測されるものへの対策を紹介します。

  • 破られにくいパスワードを作成する。
     パスワードを作成する場合は、名前や辞書に載っているような単語を避け、英字(大文字、小文字)・数字・記号など使用できる文字種全てを組み合わせて、かつ8文字以上にすることを心掛けましょう。辞書に載っている単語では、辞書攻撃(※3)という方法で簡単に破られてしまう可能性があります。
    よいパスワードの例

※3辞書攻撃(dictionary attack):パスワードの割り出しや暗号の解読に使われる攻撃手法の1つで、辞書にある単語を片端から入力して試すという手法。

 また、破られにくいパスワードを作成したあとは、その運用について以下の項目にも注意してください。

    同じパスワードを使い回さない。パスワードは定期的に変更する。
     複数のオンラインサービスを利用している場合、同じパスワードを使い回していると、盗まれたときに被害が拡大するリスクが高まります。被害が複数のサービスに拡大することを防ぐために、それぞれ違うパスワードを設定するようにしましょう。
     また、破られにくいパスワードを使っていても、長期間変更せずにいると漏えいする危険性が高まります。パスワードは、定期的に(例えば月毎)変更するようにしましょう。
    インターネットカフェなど、自分の管理下にない、不特定多数の人が利用するパソコンでは、パスワードを入力しない。
     破られにくいパスワードを設定していても、そのパソコンにパスワードを盗むウイルスが仕掛けられていたら簡単に盗まれてしまいます。自分の管理下にないパソコンでは、ID とパスワードを必要とするオンラインサービスの利用は避けるようにしてください。
  • ウイルス対策ソフトを導入し、ウイルス感染を防ぐ。
     オンラインバンキングやオンラインゲームといった特定のサービスへのログインを監視して、ID とパスワードを盗むウイルスがあります。また、Internet Explorer などのブラウザには、ID とパスワードを保存する機能がありますが、保存された情報を盗むウイルスも確認されています。
     このようなウイルスに感染して情報を盗まれないために、ウイルス対策ソフトを導入し、ウイルス定義ファイルを最新に保つようにしてください。また、盗まれるリスクを減らすため、ブラウザにはパスワードを保存しないようにしましょう。
  • フィッシング詐欺やソーシャルエンジニアリングに騙されない。
     フィッシング詐欺やソーシャルエンジニアリングは、利用者を騙して ID とパスワードを入手しようとする手口です。パスワードは、本人しか知らないという前提のもと、本人確認に利用されるものです。たとえオンラインサービス提供会社やシステム管理者であっても、パスワードを聞いてくることはありません。メールや電話で、「システムに問題が発生したため、パスワードを送ってください」など、もっともらしい口実の問い合わせがあったとしても、パスワードを他人に教えてはいけません。

(4)オンラインサービス事業者が提供しているサービスの活用

 (3)で記載した対策以外にも、ID・パスワードの不正利用対策が、利用しているオンラインサービスで提供されていることがあります。このようなサービスを活用することで、より安心してオンラインサービスを利用することが可能となります。

  • ログイン履歴が確認できるサービスでは、定期的に自分以外の利用がないか確認する。
     利用しているサービスにより異なりますが、ログインすると、過去のログイン履歴を確認できる場合があります。自分がログインした覚えのない記録があるなど、不正利用に早く気がつけば、被害の拡大を防ぐことができます。定期的にログイン履歴を確認し、不審な記録があれば、直ちにオンラインサービスの相談窓口に連絡し、アカウントの利用停止の手続きなどを依頼してください。
  • 不正ログインに、本人が気付くことができるサービスを利用する。
     オンラインサービスの中には、ログインしたタイミングでお知らせメールを送信する機能が提供されていることがあります。自分以外の誰かがログインした際に、お知らせメールが届けば、不正ログインに早く気付くことができ、被害を未然に防ぐことができます。
  • ワンタイムパスワードのサービスを利用する。
     オンラインバンキングなどでは、その時だけ有効なパスワードを発行する「ワンタイムパスワード」というサービスを提供していることがあります。ID やパスワードを盗むウイルスに感染していても、一度きりのパスワードのため、仮に盗まれてもその後悪用されるリスクはありません。

(5)被害に遭ってしまったら

 上述したように、ID・パスワードの不正利用対策は、手間がかかるという側面がありますが、被害が拡大することを防ぐためには、それぞれが有効な手段となりますので、実施するようにしてください。

 なお、これまでに紹介した対策を実施していても、オンラインサービス事業者に問題があり、そこから情報が漏えいするといった、予期せぬ原因で被害に遭う可能性はゼロではありません。さらに、オンラインサービスの中には、クレジットカード情報を保存し、購入手続きを簡素化できる機能を提供しているケースがありますが、ID とパスワードが不正利用された場合、金銭的被害に直結する恐れがあります。

 例えば、オンラインサービスに登録してあるクレジットカードの明細書に身に覚えのない請求があるなど、不正利用の被害に遭ってしまったら、直ちにクレジットカード会社とオンラインサービス事業者に不当な請求であることを報告し、対応を求める事をお勧めします。また、このとき消費生活センターに相談することも有効です。

(ご参考)
全国の消費生活センター等
http://www.kokusen.go.jp/map/

今月のトピックス

  • コンピュータ不正アクセス被害の主な事例(届出状況及び被害事例の詳細は、「3.コンピュータ不正アクセス届出状況」を参照)
    • "ガンブラー"被害から復旧したが、再度被害に遭った
    • SQL インジェクション攻撃でクレジットカード情報などを盗まれた
  • 相談の主な事例 (相談受付状況及び相談事例の詳細は、「4.相談受付状況」を参照)
    • 道で拾った USB メモリをパソコンに挿してしまった
    • ファイル共有ソフトを使っていたら、ウイルス感染?
  • インターネット定点観測(詳細は、別紙3を参照)
    IPA で行っているインターネット定点観測について、詳細な解説を行っています。

2. コンピュータウイルス届出状況 -詳細は別紙1を参照-

(1)ウイルス届出状況

 2月のウイルスの検出数(※1)は、 約5.5万個と、1月の約7.2万個から23.8%の減少となりました。また、2月の届出件数(※2)は、1,436件となり、1月の1,154件から24.4%の増加となりました。

※1 検出数 : 届出にあたり届出者から寄せられたウイルスの発見数(個数)
※2 届出件数: 同じ届出者から寄せられた届出の内、同一発見日で同一種類のウイルスの検出が複数ある場合は、1日何個検出されても届出1件としてカウントしたもの。
 ・2月は、寄せられたウイルス検出数約5.5万個を集約した結果、1,436件の届出件数となっています。

 検出数の1位は、W32/Netsky約3.7万個 、2位は W32/Mumu約7千個、3位は W32/Mydoom約5千個でした。

図2-1:ウイルス検出数

図2-1:ウイルス検出数

図2-2:ウイルス届出件数

図2-2:ウイルス届出件数

(2)不正プログラムの検知状況

 「偽セキュリティ対策ソフト」型ウイルス(FAKEAV)の検知件数推移をみると、2009年11月中旬以降は減少していましたが、2010年1月下旬より、急増した様子が確認できます(図2-3参照)。
 今後も、このような不正プログラムの検知件数はいつ急増するかわかりませんので、メールの添付ファイルには継続して注意を払うようにしてください。

 なお、サイバークリーンセンターでは、ボットに関する対策や駆除ツールを提供しています。不正プログラムのメール配信に加担することがないよう、ボットに感染していないか確認するとともに、不正プログラムを取り込まないようにするなど、感染防止のための対策を実施するようにしてください。

(ご参考)
 「感染防止のための知識」(サイバークリーンセンター)
  https://www.ccc.go.jp/knowledge/

図2-3:不正プログラムの検知件数推移
図2-3:不正プログラムの検知件数推移

3. コンピュータ不正アクセス届出状況(相談を含む) -詳細は別紙2を参照-

表3-1 不正アクセスの届出および相談の受付状況

  9月 10月 11月 12月 1月 2月
届出(a) 計 11 21 11 9 20 27
  被害あり(b) 8 14 6 6 12 17
被害なし(c) 3 7 5 3 8 10
相談(d) 計 44 34 34 22 67 47
  被害あり(e) 13 11 14 14 34 28
被害なし(f) 31 23 20 8 33 19
合計(a+d) 55 55 45 31 87 74
  被害あり(b+e) 21 25 20 20 46 45
被害なし(c+f) 34 30 25 11 41 29

(1)不正アクセス届出状況

 2月の届出件数は27件であり、そのうち何らかの被害のあったものは17件でした。

(2)不正アクセス等の相談受付状況

 不正アクセスに関連した相談件数は47件(うち11件は届出件数としてもカウント)であり、そのうち何らかの被害のあった件数は28件でした。

(3)被害状況

 被害届出の内訳は、侵入6件、DoS 攻撃2件、なりすまし7件、不正プログラム埋め込み2件、でした。
 「侵入」の被害は、ウェブページに不正なコードを挿入されたものが3件、ウェブサーバ内に他サイトを攻撃もしくは探索するための不正プログラムを置かれていたものが2件、SQLインジェクション攻撃を受けてウェブサーバ内のクレジットカード情報などを盗まれたものが1件、でした。侵入の原因は、詳細は追い切れていないが"ガンブラー"の手口だと推測されるものが3件、ID/パスワード管理不備と思われるものが2件、ウェブアプリケーションの脆弱性を突かれたものが1件、でした。
 「なりすまし」の被害は、オンラインサービスのサイトに本人になりすまして何者かにログインされ、サービスを勝手に利用されていたもの(オンラインゲーム3件、ブログサイト2件など)でした。

※SQL (Structured Query Language) : リレーショナルデータベースマネジメントシステム(RDBMS)において、データの操作や定義を行うための問合せ言語のこと。
※SQL インジェクション : データベースへアクセスするプログラムの不具合を悪用し、正当な方法以外でデータベース内のデータを閲覧したり書き換えしたりする攻撃のこと。

(4)被害事例

[ 侵入 ]
(i) "ガンブラー"被害から復旧したが、再度被害に遭った

  • 外部の顧客から、「そちらのウェブサイトを閲覧したらウイルス検知した」との連絡を受けた。
  • 調査したところ、ウェブページ内に、悪意あるサイトへ誘導するためのスクリプトが埋め込まれているのを発見。"ガンブラー"による被害と思われた。
  • ftp アカウントのパスワードを変更するとともに、ウェブサイト上の全データを一旦削除し、手元にあるクリーンなデータをアップロードして復旧。
  • 数日後、外部の顧客から、再びウェブサイト閲覧時にウイルス検知するとの連絡を受けたので、ウェブサイトを一時閉鎖。
  • 原因となったマシンが特定できず、さらに社内でウイルスは見つかっておらず、原因が分からないまま、ウェブサイトを再開できないでいる。




ウェブページ更新用パソコンに、ftp アカウント情報を盗むウイルスが感染していたため、変更したパスワードもすぐにバレてしまっていた可能性が高いです。原因が分からない場合は、ウェブページ更新用パソコンは一度初期化した方が良いでしょう。さらに、ウェブページ更新用のパソコンでは、ウイルス感染のリスクを減らすために、ウェブ閲覧やメール確認をしないというルールを定めるのも、有効です。
(参考)

(ii) SQL インジェクション攻撃でクレジットカード情報などを盗まれた


  • オンラインショッピングサイトを運営。クレジットカード会社から、カード情報漏えいの可能性を指摘されたため、セキュリティ業者に調査を依頼。
  • 調査の結果、SQL インジェクション攻撃によりクレジットカード情報が1万件以上奪取されていたことが判明。
  • SQL インジェクション攻撃対策は実施していたが、実際は対策漏れがあったことが分かった。




攻撃手法は、日々進化しています。ウェブサイトの脆弱性検査は、定期的に実施することをお勧めします。
ウェブサイトを保護する運用面での方策の一つとして、WAF(Web Application Firewall)の導入も検討してみてはいかがでしょうか。
(参考)

4.相談受付状況

 2月のウイルス・不正アクセス関連相談総件数は1,789件でした。そのうち『ワンクリック不正請求』に関する相談637件(1月:638件)、『セキュリティ対策ソフトの押し売り』行為に関する相談が26件(1月:37件)、Winny に関連する相談1件(1月:1件)、「情報詐取を目的として特定の組織に送られる不審なメール」に関する相談0件(1月:0件)、などでした。

 表4-1 IPA で受け付けた全ての相談件数の推移

  9月 10月 11月 12月 1月 2月
合計 1,653 2,049 2,315 1,794 2,150 1,789
  自動応答システム 915 1,157 1,340 1,138 1,160 977
電話 676 843 918 602 910 736
電子メール 60 45 53 52 78 70
その他 2 4 4 2 2 6

(備考)
IPA では、コンピュータウイルス・不正アクセス、Winny 関連、その他情報セキュリティ全般についての相談を受け付けています。

メール 相談メールアドレス
(これらのメールアドレスに特定電子メールを送信しないでください)
電話番号 03-5978-7509 (24時間自動応答、ただし IPA セキュリティセンター員による相談受付は休日を除く月~金、10:00~12:00、13:30~17:00のみ)
FAX 03-5978-7518 (24時間受付)

「自動応答システム」 : 電話の自動音声による応対件数
「電話」 : IPA セキュリティセンター員による応対件数
合計件数には、「不正アクセスの届出および相談の受付状況」における『相談(d) 計』件数を内数として含みます。

図4-1ワンクリック不正請求相談件数の推移
図4-1:ワンクリック不正請求相談件数の推移

主な相談事例は以下の通りです。

(i) 道で拾った USB メモリをパソコンに挿してしまった
相談

道を歩いていて、USB メモリを拾った。帰宅して、自分のパソコンに挿してみたが、中身が何も見えなかった。その後もパソコンには目に見える変化は無いが、ウイルスに感染していないだろうかと、心配。ウイルス対策ソフトは古いものを更新せず使っていた。USB メモリは、後日、交番に届けた。

回答

USB メモリ内に"USB メモリ感染型ウイルス"が入っていた場合、パソコンに挿すだけでウイルス感染してしまうかもしれません。目に見える症状が無くても、ウイルスに感染している可能性はあるので、本当に心配であれば初期化した方が良いかもしれません。
今後は、ウイルス対策ソフトを常に最新の状態にしておくことと、出所の不明なファイルは自分のパソコンには入れないことは、ウイルス対策の基本として遵守しましょう。

(ご参考)
(ii) ファイル共有ソフトを使っていたら、ウイルス感染?
相談

Cabos というファイル共有ソフトで音楽データをダウンロードしている。ある日パソコンを起動すると、「Control Center」というソフトが立ちあがった。英語で「ウイルスに感染している。駆除するためには有償版製品が必要」という主旨のことが書いてあり、クレジットカード番号を入れるよう促された。
※この他にも、Cabos利用者で同様の症状になったという相談が3件あり。

回答 「Control Center」は、「偽セキュリティ対策ソフト」型のウイルスです。感染後は復旧作業を邪魔されることもあり、初期化するしかない場合もあるようです。
Cabos でダウンロードしたファイルの中に、ウイルスが混ざっていた可能性が高いと言えます。Cabos でダウンロードできるファイルは出所の不明なファイルですから、ウイルスに感染したくなければ、Cabos のようなファイル共有ソフトを使わないに越したことはありません。

5.インターネット定点観測での2月のアクセス状況

 インターネット定点観測(TALOT2)によると、2010年2月の期待しない(一方的な)アクセスの総数は10観測点で121,167件、延べ発信元数(※)49,130箇所ありました。平均すると、1観測点につき1日あたり205の発信元から505件のアクセスがあったことになります(図5-1参照)。

※延べ発信元数:TALOT2 の各観測点にアクセスしてきた発信元を単純に足した数のことを、便宜上、延べ発信元数とする。ただし、同一発信元から同一の観測日・観測点・ポートに複数アクセスがあった場合は、発信元数を1としてカウントする。

 TALOT2 における各観測点の環境は、インターネットを利用される一般的な接続環境と同一なので、インターネットを利用される皆さんの環境へも同じくらいの一方的なアクセスがあると考えられます。

※2月5日~8日は保守作業のため、システムを停止しています。そのため、2月の観測データは、この4日間を除外して統計情報を作成しています。なお、通常は常時稼働しています。

図5-1 1観測点・1日あたりの期待しない(一方的な)平均アクセス数と発信元数 【図5-11観測点・1日あたりの期待しない(一方的な)平均アクセス数と発信元数】

 2009年9月~2010年2月までの各月の1観測点・1日あたりの平均アクセス数とそれらのアクセスの平均発信元数を図5-1に示します。2月の期待しない(一方的な)アクセスは、1月と比べて大幅に減少しました。

 1月と2月の宛先(ポート種類)別アクセス数の比較を図5-2に示します。これをみると、445/tcp へのアクセスが1月比の約58%に減少しており、このことがアクセス数全体の減少につながったと思われます。
 445/tcp へのアクセスについて詳しく見てみると、2月5日~8日のシステム停止からの復旧後に全ての観測点の IP アドレスが変更されたタイミングで、各観測点のアクセスの傾向が変化していました。今回は総合的にみて減少分が増加分を大きく上回っていたため、445/tcp へのアクセスが大幅に減少しました。参考までに、減少の度合いが比較的顕著だった観測点(1ヶ所)のアクセス数の変化を図5-3に示します。

図5-2:宛先(ポート種類)別アクセス数の比較(1月/2月)
【図5-2:宛先(ポート種類)別アクセス数の比較(1月/2月)】

図5-3:445/tcp へのアクセス数の変化(1観測点)
【図5-3:445/tcp へのアクセス数の変化(1観測点)】

以上の情報に関して、詳細はこちらのサイトをご参照ください。

届出の詳細については以下の PDF ファイルをご参照ください。

『他機関・ベンダーの各種統計情報は以下のサイトで公開されています。』

一般社団法人JPCERTコーディネーションセンター:http://www.jpcert.or.jp/
@police:http://www.cyberpolice.go.jp/
フィッシング対策協議会:http://www.antiphishing.jp/
株式会社シマンテック:http://www.symantec.com/ja/jp/
トレンドマイクロ株式会社:http://jp.trendmicro.com/jp/home/
マカフィー株式会社:http://www.mcafee.com/japan/

お問い合わせ先:

独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC)
(ISEC:Information technology SEcurity Center)
TEL:03-5978-7527 FAX:03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。
     (このメールアドレスに特定電子メールを送信しないでください)
URL:http://www.ipa.go.jp/security/