(1) 「ガンブラー」の仕組みと最近の改ざん事例

　「ガンブラー」とは、特定のウイルスを指すものではなく、攻撃者が複数の攻撃手段を併用し、多数のパソコンに様々なウイルスを感染させようとするために使う、一連の手口のことです。「ガンブラー」の仕組みについては、2010年2月の呼びかけで詳しく解説していますので、そちらを参照ください。

（ご参考）
　「 "ガンブラー" の手口を知り、対策を行いましょう 」（IPA, 2010年2月の呼びかけ）
　http://www.ipa.go.jp/security/txt/2010/02outline.html#5

　最近 IPA の相談窓口に寄せられた、ウェブサイト改ざんに関する事例を次に示します。

【事例1】

相談内容	外部から指摘されたウェブサイトの改ざん箇所を修正したのち、確認のため、再度そのウェブサイトにアクセスしたところ、まだウイルス検知の警告が表示された。
解説	そのウェブサイトを確認したところ、HTML ファイル(※1)には不審な点は見つからなかったが、HTML ファイルから呼び出されるJavaScriptファイル(※2)が改ざんされていた。

【事例2】

相談内容	自分のパソコンで、あるウェブサイトを閲覧したらウイルス検知の警告が表示された。別のウイルス対策ソフトが入ったパソコンでそのウェブサイトを閲覧したらウイルスは検知されなかった。
解説	IPA でそのウェブサイトを確認したところ、改ざんされている箇所が見つかった。そのページの HTML ファイルを、複数社のウイルス対策ソフトでチェックしたところ、その時点ではウイルスを検知するウイルス対策ソフトが少なかった。後日、再度同様のチェックをしたところ、前回より多くのウイルス対策ソフトでウイルスが検知された。

【事例3】

相談内容	HTML ファイルが改ざんされていないかチェックしてくださいと言われても、どこが改ざんされているかよく分からない。
解説	以前は改ざん箇所に「/*GNU GPL*/」や「/*LGPL*/」などといった特定の文字列が含まれていないかチェックする方法を紹介していたが、最近ではそのような特徴的な文字列が含まれていることはあまり見かけず、文字列のチェックで改ざんの有無の確認が困難となってきている。このような場合、改ざんされる前のクリーンなファイルと、ウェブサーバ上のファイルとの差分をチェックする方法が有効である。

(※1) HTML（HyperText Markup Language）ファイル： ウェブページを記述するためのマークアップ言語である HTML で記述されたファイル。
(※2) JavaScript ファイル： ウェブページ上に動きや対話性を付加する目的で使用される JavaScript で記述されたファイル。

　ガンブラーは攻撃者が改ざんの手法を様々に変化させて、ウェブサイト利用者をウイルスに感染させようとするため、これまでの方法では改ざんチェックを正確に実施することが困難になってきています。
　このため、ウェブサイト管理者はガンブラーによる改ざん被害を未然に防ぐために、ウェブサイトをこれまで以上に適切に管理する必要があります。

(2) ウェブサイトの具体的な管理方法

　本項ではウェブサイトの改ざん被害に遭わないための具体的な管理方法を紹介します。

　▼改ざんを防ぐための管理方法

• ウェブサイトの更新等に使用するftp^(※3)のパスワードは、十分な長さと複雑さをもったものにする。また、そのパスワードは、ウェブサイトを更新する人のみが知るようにする。【パスワードの強化】
• ウェブサイトを更新できる場所を組織内のみに限定するよう、ネットワークやサーバの構成を見直す。もし、インターネット経由でウェブサイトを更新する必要がある場合でも、VPN^(※4)を導入するなどして、更新できる場所を限定する。【アクセス制限】
• ウェブサイトを更新するための専用パソコンを導入する。このパソコンでは、ウイルスによる被害を防止するためにウェブの閲覧やメールの確認をせず、ウイルス対策ソフトを最新の状態にし、可能な限り脆弱性を解消しておく。【更新専用パソコンの導入】

(※3) ftp（File Transfer Protocol）：ネットワークでファイルを転送するためのプロトコル。
(※4)VPN（Virtual Private Network）：安全性の高い専用回線の代わりに公衆回線を用いて、LAN 同士などを接続するサービスや技術のこと。

図1-1：改ざんされないための管理方法例のイメージ図

　▼改ざんに気付くための管理方法

　改ざんされた状態が長くなればなるほど、利用者に被害が拡大する恐れがあります。もし改ざんされた場合でも、早期に改ざんに気付くことが出来れば、被害の拡大が防げます。一刻も早くウェブサイトの改ざんに気付くための管理方法を以下に示します。

• 最近では、（1）の【事例3】にあるようにウェブサイトの HTML ファイルを見ただけでは改ざんの有無を確認することが困難になっています。この場合、あらかじめクリーンな状態のファイルを保管しておき、これとウェブサーバ上のファイルとを定期的に比較します。差分がないかチェックすることにより改ざんの有無が確認できます。このとき、大量にあるファイルの比較を一括で行えるようなソフトを利用することも有効です。
• ウェブサイトの更新等に使用する ftp のアクセスログを定期的にチェックすることにより、身に覚えのない接続などの不正なアクセスの有無が確認できます。

　その他、費用はかかりますが、改ざんを早期に発見するためのウェブサイト改ざん検知サービスなどを利用することも一つの方法です。
　また、本来はウェブサイト管理者がウェブサイトをチェックし、改ざん箇所を発見することが望まれますが、ウェブサイト利用者から指摘されることで、改ざんが発見される場合があります。このような場合を想定し、ウェブサイト上にメールアドレス等の連絡先を掲載しておくことを勧めます。

（3）ウェブサイト改ざんの被害発生時の対処

　ウェブサイトが改ざんされてしまった場合、ウェブサイト管理者は被害者であると同時に、ウェブサイト利用者に対する加害者となってしまう可能性があります。被害の拡大を防ぐために、次に示すような対応が求められます。

▼まず初めに行うべきこと

　まず初めに行うことは、早急にウェブサイトの公開を停止することです。同時に ftp のパスワードの変更も行ってください。このとき、これまでウェブサイトの管理に利用していたパソコンには、ftp のパスワードを盗聴するウイルスが感染している可能性があるため、別のパソコンから操作することを勧めます。
　同時に、別のウェブサイトを立てるなどして、ウェブサイト利用者に対して調査状況の説明や、問い合わせ用窓口を設けるなど、随時情報提供に努めてください。

▼改ざん箇所の洗い出し等の調査

　上記の対応を行ったのち、保管しておいたクリーンなファイルとウェブサーバ上のファイルの比較などの方法で、全ての改ざん箇所の洗い出しを行ってください。また、同じパソコンで管理しているウェブサイトが複数ある場合、他のウェブサイトにも改ざんが及んでいる可能性があるため、必ず全てのウェブサイトのファイルを確認してください。
　また、改ざん期間等を把握するため、改ざん箇所ごとに ftp のアクセスログの確認などを行なって、被害状況等の調査を行ってください。

▼ウェブサイトを再公開する場合

　上記の対応で全ての改ざん箇所の修正を行った上で、ウェブサイトの公開を再開する場合、必ずウェブサイト利用者への改ざんの事実の告知も掲載してください。ウェブサイト再開の際には、判明した範囲で、次に示す情報を告知することを勧めます。

• 改ざんの事実の説明
• 改ざんされていた箇所
• 改ざんされていた期間
• ウェブサイト利用者が改ざんされていた箇所を閲覧した場合に想定される被害（ウイルス感染など）の説明
• ウイルスのチェック方法の説明（必要に応じてオンラインスキャンサイトの紹介など）
• 問い合わせ用窓口の連絡先

　参考として、セキュリティ関連の組織や企業が提供している、無料でウイルスチェックができるウェブサイトを紹介します。

（ご参考）
　「ボットの駆除対策手順」（サイバークリーンセンター）
　https://www.ccc.go.jp/flow/
　「オンラインウイルススキャン」（カスペルスキー社）
　http://www.kaspersky.co.jp/virusscanner/
　「Symantec Security Check」（シマンテック社）
　http://security.symantec.com/sscv6/home.asp?langid=jp
　「オンラインスキャン」（トレンドマイクロ社）
　http://www.trendflexsecurity.jp/housecall/
　「マカフィー・フリースキャン」（マカフィー社）
　http://www.mcafee.com/japan/mcafee/home/freescan.asp

　ウェブサイト改ざんの被害に遭った際は、可能な限り IPA への届出を行ってください。届けられた情報は、個人や組織を特定できる情報を除いた上で分析および統計処理し、対策情報の発信のために活用します。

（ご参考）
　「情報セキュリティに関する届出について」（IPA）
　http://www.ipa.go.jp/security/todoke/

（1）ウイルス届出状況

　3月のウイルスの検出数^(※1)は、 約5.8万個と、2月の約5.5万個から5.9%の増加となりました。また、3月の届出件数^(※2)は、1,484件となり、2月の1,436件から3.3%の増加となりました。

※1 検出数 ： 届出にあたり届出者から寄せられたウイルスの発見数（個数）
※2 届出件数： 同じ届出者から寄せられた届出の内、同一発見日で同一種類のウイルスの検出が複数ある場合は、1日何個検出されても届出1件としてカウントしたもの。
　・3月は、寄せられたウイルス検出数約5.8万個を集約した結果、1,484件の届出件数となっています。

　検出数の1位は、W32/Netsky で約3.9万個 、2位は W32/Mumu で約8千個、3位は W32/Mydoom で約5千個でした。

図2-1：ウイルス検出数

図2-2：ウイルス届出件数

（2）不正プログラムの検知状況

　2010年2月は、「偽セキュリティ対策ソフト」型ウイルス（FAKEAV）の検知件数が増加した状況が確認されましたが、3月には大幅に減少しました（図2-3参照）。これらの不正プログラムは、ボットに感染したパソコンからメールの添付ファイルとして配布されるケースがあり、いつ急増するかわかりません。メールの添付ファイルの取り扱いには、継続して注意を払う必要があります。

　サイバークリーンセンターでは、ボットに関する対策や駆除ツールを提供しています。不正プログラムのメール配信に加担することがないよう、ボットに感染していないか確認するとともに、不正プログラムを取り込まないようにするなど、感染防止のための対策を実施するようにしてください。

（ご参考）
　「感染防止のための知識」（サイバークリーンセンター）
　　https://www.ccc.go.jp/knowledge/

図2-3：不正プログラムの検知件数推移

表3-1　不正アクセスの届出および相談の受付状況

		10月	11月	12月	1月	2月	3月
届出(a) 計		21	11	9	20	27	19
	被害あり(b)	14	6	6	12	17	13
	被害なし(c)	7	5	3	8	10	6
相談(d) 計		34	34	22	67	47	60
	被害あり(e)	11	14	14	34	28	23
	被害なし(f)	23	20	8	33	19	37
合計(a+d)		55	45	31	87	74	79
	被害あり(b+e)	25	20	20	46	45	36
	被害なし(c+f)	30	25	11	41	29	43

（1）不正アクセス届出状況

　3月の届出件数は19件であり、そのうち何らかの被害のあったものは13件でした。

（2）不正アクセス等の相談受付状況

　不正アクセスに関連した相談件数は60件（うち7件は届出件数としてもカウント）であり、そのうち何らかの被害のあった件数は23件でした。

（3）被害状況

　被害届出の内訳は、侵入8件、アドレス詐称1件、なりすまし3件、その他被害あり1件、でした。
　「侵入」の被害は、ウェブページに不正なコードを挿入されたものが2件、ウェブサーバ内に他サイトを攻撃するための不正プログラムを置かれ踏み台として悪用されていたものが3件、ウェブサーバ上に運営者が意図しないコンテンツを設置されていたものが2件（内1件はフィッシング^※に悪用するためのコンテンツ）、メールアカウントを外部から勝手に使われて迷惑メール送信に悪用されていたものが1件、でした。侵入の原因は、詳細は追い切れていないが"ガンブラー"の手口だと推測されるものが2件、ID/パスワード管理不備と思われるものが1件、ウェブアプリケーション（phpMyAdmin）の脆弱性を突かれたと思われるものが1件、設定不備が1件、などでした。
　「なりすまし」の被害は、オンラインサービスのサイトに本人になりすまして何者かにログインされ、サービスを勝手に利用されていたもの（オンラインゲーム2件、無料ウェブメール1件）でした。

※フィッシング（Phishing） : 正規の金融機関など実在する会社のメールやウェブページを装い、それを見た利用者の ID やパスワードなどを詐取しようとする行為のこと。

（4）被害事例

　3月のウイルス・不正アクセス関連相談総件数は2,000件でした。そのうち『ワンクリック不正請求』に関する相談が725件（2月：637件）、『セキュリティ対策ソフトの押し売り』行為に関する相談が12件（2月：26件）、Winny に関連する相談が8件（2月：1件）、「情報詐取を目的として特定の組織に送られる不審なメール」に関する相談が1件（2月：0件）、などでした。

　表4-1　IPA で受け付けた全ての相談件数の推移

		10月	11月	12月	1月	2月	3月
合計		2,049	2,315	1,794	2,150	1,789	2,000
	自動応答システム	1,157	1,340	1,138	1,160	977	1,057
	電話	843	918	602	910	736	846
	電子メール	45	53	52	78	70	92
	その他	4	4	2	2	6	5

（備考）
IPA では、コンピュータウイルス・不正アクセス、Winny 関連、その他情報セキュリティ全般についての相談を受け付けています。

メール	（これらのメールアドレスに特定電子メールを送信しないでください）
電話番号	03-5978-7509 （24時間自動応答、ただし IPA セキュリティセンター員による相談受付は休日を除く月〜金、10:00〜12:00、13:30〜17:00のみ）
FAX	03-5978-7518 （24時間受付）

「自動応答システム」　：　電話の自動音声による応対件数
「電話」　：　IPA セキュリティセンター員による応対件数
合計件数には、「不正アクセスの届出および相談の受付状況」における『相談(d) 計』件数を内数として含みます。

図4-1：ワンクリック不正請求相談件数の推移

主な相談事例は以下の通りです。

(i) ワンクリック不正請求に二度も引っ掛かってしまった

相談	以前、アダルトサイトを見たことで請求書が定期的に出現するようになったため、IPA に相談して元の状態に復旧してもらった。 最近、別のアダルトサイトを見ていて、また請求書が定期的に出て来るようになった。今度は、以前と違う画面。また教えてもらえますか。
回答	請求書が出現するのは、ウイルスに感染しているためです。ウイルスは勝手に入って来た訳ではなく、アダルトサイトを見ている際に、自分でダウンロードして自分で開いているのです。業者の手口を理解しない限り、いつまで経っても再度同じ被害に遭うでしょう。次のページを参考にして、同じ手に何度も騙されないようにしましょう。 （ご参考） IPA - 【注意喚起】ワンクリック不正請求に関する相談急増！ パソコン利用者にとっての対策は、まずは手口を知ることから！ http://www.ipa.go.jp/security/topics/alert20080909.html

(ii) 公共施設での個人パソコン利用について

相談	当施設では、利用者サービスの一環としてパソコンを設置し、利用者自身でインターネット検索ができるようなコーナーを設けています。最近、利用者が、自分で持ち込んだ個人パソコンを施設の許可なく LAN に接続して、ネットサーフィンなどをしているようです。このような行為は想定外であって、どう扱えばよいか、悩んでいます。
回答	利用者が持ち込んだパソコンは、当然、施設の管理が行き届かないものです。ウイルスに感染していたとしても、把握し切れません。仮に、利用者が持ち込んだパソコンにウイルスが感染していた場合、勝手に施設の LAN に接続されると、LAN に接続されている他のパソコンもウイルスに感染してしまう可能性があります。さらに、外部から LAN 内に潜伏したウイルスを介して侵入されたりする可能性があります。このような脅威があるため、もし外部からの持ち込みパソコンの接続を許可するのであれば、他のネットワークに影響が無い、独立したネットワークを用意することが望ましいと考えます。

　インターネット定点観測(TALOT2)によると、2010年3月の期待しない(一方的な)アクセスの総数は10観測点で144,590件、延べ発信元数^(※)は57,950箇所ありました。平均すると、1観測点につき1日あたり187の発信元から466件のアクセスがあったことになります(図5-1参照)。

※延べ発信元数：TALOT2 の各観測点にアクセスしてきた発信元を単純に足した数のことを、便宜上、延べ発信元数とする。ただし、同一発信元から同一の観測日・観測点・ポートに複数アクセスがあった場合は、発信元数を1としてカウントする。

　TALOT2 における各観測点の環境は、インターネットを利用される一般的な接続環境と同一なので、インターネットを利用される皆さんの環境へも同じくらいの一方的なアクセスがあると考えられます。

【図5-1：1観測点・1日あたりの期待しない(一方的な)平均アクセス数と発信元数】

　2009年10月〜2010年3月までの各月の1観測点・1日あたりの平均アクセス数とそれらのアクセスの平均発信元数を図5-1に示します。3月の期待しない（一方的な）アクセスは、2月と比べて減少しました。

　2月と3月の宛先（ポート種類）別アクセス数の比較を図5-2に示します。これをみると、3月はこれまであまり観測されていなかった 17500/udp、64862/tcp、27518/tcp といったポートへのアクセスが上位にランクされました。これらのポートはいずれも、特定のアプリケーションで使用されるポートというわけではなく、このアクセスが何を目的としたものだったかは不明です。これらのアクセスはいずれも、特定の1観測点でしか観測されていませんでしたが、１つの発信元からというわけではなく、例えば 27518/tcp の場合、3月だけで350箇所以上の発信元からのアクセスが観測されていました。

【図5-2：宛先（ポート種類）別アクセス数の比較（2月/3月）】

以上の情報に関して、詳細はこちらのサイトをご参照ください。

• 別紙3_インターネット定点観測（TALOT2）での観測状況について

届出の詳細については以下の PDF ファイルをご参照ください。

• 本紙_コンピュータウイルス・不正アクセスの届出状況[3月分]
• 別紙1_コンピュータウイルスの届出状況について［詳細］
• 別紙2_コンピュータ不正アクセスの届出状況について［詳細］

2010年第1四半期のコンピュータウイルス・不正アクセス届出状況

• 2010年第1四半期[1月〜3月]コンピュータウイルス届出状況
• 2010年第1四半期[1月〜3月]コンピュータ不正アクセス届出状況

一般社団法人JPCERTコーディネーションセンター：http://www.jpcert.or.jp/
@police：http://www.cyberpolice.go.jp/
フィッシング対策協議会：http://www.antiphishing.jp/
株式会社シマンテック：http://www.symantec.com/ja/jp/
トレンドマイクロ株式会社：http://jp.trendmicro.com/jp/home/
マカフィー株式会社：http://www.mcafee.com/japan/

独立行政法人 情報処理推進機構 セキュリティセンター（IPA/ISEC）
（ISEC：Information technology SEcurity Center）
TEL：03-5978-7527　FAX：03-5978-7518
E-mail：
　　　　　（このメールアドレスに特定電子メールを送信しないでください）
URL：http://www.ipa.go.jp/security/