HOME情報セキュリティ情報セキュリティ対策ウイルス対策コンピュータウイルス・不正アクセスの届出状況[2010年6月分および上半期]について

本文を印刷する

情報セキュリティ

コンピュータウイルス・不正アクセスの届出状況[2010年6月分および上半期]について

第10-27-190号
掲載日:2010年 7月 5日
独立行政法人情報処理推進機構
セキュリティセンター(IPA/ISEC)

 IPA (独立行政法人情報処理推進機構、理事長:藤江 一正)は、2010年6月および2010年上半期のコンピュータウイルス・不正アクセスの届出状況をまとめました。
(届出状況の詳細PDF資料はこちら)

1. 今月の呼びかけ

「 サポートが終了した OS は危険です! 」

 IPA では、2007年5月公開の「今月の呼びかけ」(※1)で、サポートが終了した OS(Operating System)を使うことの危険性を取り上げましたが、IPA に寄せられる相談には、依然として Windows 98/Me 等のサポートが終了した OS の利用者からのものが含まれています。また、これらの OS を使うことの危険性を認識していない、企業のシステム担当者からの相談もありました。
 2010年7月13日(米国時間)には、多数の利用者がいると推測される Windows 2000 や Windows XP Service Pack 2(SP2)のマイクロソフト社によるサポートが終了します(※2)。このため、改めて、サポートが終了した OS を使うことの危険性と、今後の対処方法について説明します。
 (※1)「サポートが終了した OS を搭載した PC の危険性を認識しよう!!」(IPA, 2007年5月の呼びかけ)
 http://www.ipa.go.jp/security/txt/2007/05outline.html#5
 (※2)「Windows Vista RTM / Windows XP Service Pack 2 (SP2) / Windows 2000 (Server / Professional) 製品のサポート終了についてのご案内」(マイクロソフト社)
 http://www.microsoft.com/japan/windows/lifecycle/default.mspx

(1) OS のサポート終了時期とその危険性

 (i)OS 別の利用状況とサポートの終了時期
 直近の1年間(2009年7月1日~2010年6月30日)に IPA に寄せられた相談について、相談者が利用していた OS の種別の分布を表1-1に示します。2006年7月にマイクロソフト社によるサポートが終了して約4年が経過している Windows 98/Me の利用者は94件(1.3%)となっています。これらの利用者は、現在、修正プログラムも提供されない上に、その OS 上で動作するセキュリティ対策ソフトのサポートもない状態で利用しているため、外部からの攻撃に対して無防備であり、非常に危険です。

表1-1:相談者が利用していた OS 種別

OS 種別
Windows
7
Windows
Vista
Windows
XP
Windows
2000
Windows
98/Me
Mac OS
その他
相談件数
313
2,207
4,249
100
94
26
45
割合
4.4%
31.4%
60.4%
1.4%
1.3%
0.4%
0.6%

 注) 全相談中、OS 種別が判別できた事案のみ集計。

 (ii)サポートが終了した OS を利用することの危険性
 サポートが終了した OS を使うことの最大の問題は、その OS に対する修正プログラムが製造元から提供されなくなることです。修正プログラムが提供されないということは、OS の脆弱性が発見されても、それを解消することができなくなることを意味します。
 脆弱性が存在する OS を搭載したパソコンには、次のような危険性があります。

  • インターネットを経由して脆弱性を悪用する攻撃を受けると、パソコンへの侵入などの不正アクセスを許してしまう。
  • 悪意あるウェブサイトを閲覧するだけで、ウイルスに感染させられてしまう。

 上記のような不正アクセスやウイルス感染の被害を受けたパソコンは、第三者を攻撃するための踏み台として利用される可能性があり、その場合、自分以外のインターネット利用者に対して攻撃をしてしまう危険性があるということを認識してください

図1-1:サポート終了OSを家にたとえた場合のイメージ図
図1-1:サポート終了 OS を家にたとえた場合のイメージ図

 また、サポートが終了した OS 上で動作するアプリケーションソフトのサポートも終了していくという問題があります。特に、セキュリティ対策ソフトのサポートが終了すると、製造元から新種のウイルスに対応するためのパターンファイルが提供されなくなり、新たに発生したウイルスに対する防御力が低下してしまいます。

(2) サポート終了 OS の対処方法

 Windows の利用者は、まず、OS のバージョンを以下の手順で確認し、次項で OS 毎の対処方法を参照してください。Mac OS 等の Windows 以外の OS の利用者は、製造元からのサポート情報を参照し、最新の状態にバージョンアップしてください。


  【Windows のバージョン確認手順】
 (i)「スタートボタン」→「ファイル名を指定して実行」をクリック
 (ii)表示された画面に「winver」と入力して「OK」ボタンをクリック
 (iii)「Windows のバージョン情報」のウィンドウが表示されます
 ※(i)で「ファイル名を指定して実行」メニューがない場合は、「スタートボタン」をクリックして表示される「プログラムとファイルの検索」、または「検索の開始」と表示されている入力欄に「winver」と入力し、Enter キーを押してください。

 (a)Windows XP や Vista の場合
 Windows XP や Vista は一部のバージョンでサポートが終了しますが、OS を最新のバージョンにすれば、マイクロソフト社によるサポートは継続します。以下の表1-2を参考に、OS が最新のバージョンになっているか確認し、最新でない場合は、Microsoft Update または Windows Update を実施し、最新の状態にしてください。

表1-2:各 OS の最新バージョン

製品名 最新のバージョン(2010年7月現在)
Windows XP Service Pack 3
Windows Vista Service Pack 2

(ご参考)
 「Microsoft Updateを使用してコンピューターを最新の状態に保つ」(マイクロソフト社)
 http://www.microsoft.com/japan/protect/computer/updates/mu.mspx

 (b)Windows 98/Me の場合
 Windows 98/Me は2006年7月にマイクロソフト社によるサポートが終了していますので、(1)で示したようにこれらの OS を使い続けることは危険です。
 特に、これらの OS が搭載されたパソコンをインターネットに接続して利用した場合、ウイルス感染などの可能性が高まりますので、インターネットへの接続は控え、できるだけ速やかに、最新の OS が搭載されたパソコンに買い換えることを勧めます。

 (c)Windows 2000 Server / Professional の場合
 Windows 2000(Server / Professional)については、2010年7月13日(米国時間)にサポートが終了しますので、それ以降も使い続けることは、(1)で示した危険を伴うことになります。できるだけ速やかに、サポートが継続している OS に移行することを勧めます。
 特に、Windows 2000 Server でインターネット上にサービスを提供している場合は、脆弱性を解消することができない危険な状態のまま、外部からの攻撃にさらされることになります。もしウイルス感染の被害を受けた場合、サービスの利用者にも被害が拡大してしまう可能性が高いので、最新の OS に移行する等の対応が急務といえます。

 しかしながら、システムの移行作業に時間を要する場合や経済的理由など、サポートが終了しても早期に対応することが困難なケースも想定されます。その場合、一時的な回避策として、脆弱性を悪用する攻撃を防御するツールを利用する方法があります。このようなツールを使い、脆弱性を悪用する攻撃を防御しながら、移行作業の検討・実施を行うようにしてください。
 なお、この回避策を実施しても脆弱性が根本的に解消されるわけではありませんので、あくまでもセキュリティ上のリスクを軽減するための手段であることを認識してください。

(ご参考)
 「サポートが終了するWindowsを利用しているシステム管理者への注意喚起」(IPA)
 http://www.ipa.go.jp/about/press/20100705.html

 最後に、サポートが終了した OS が搭載されたパソコンを利用することの危険性を認識した上で、どうしてもそのパソコンを使い続ける必要がある場合は、ウイルス感染や不正アクセスの被害を予防するために、できる限りインターネットには接続しないこと、また、他のパソコンと USB メモリなどを介するデータのやり取りを行わないことを勧めます。

今月のトピックス

  • コンピュータ不正アクセス被害の主な事例(届出状況及び被害事例の詳細は、「3.コンピュータ不正アクセス届出状況」を参照)
    • "ガンブラー"の手口によるウェブサイト改ざん被害
    • パスワード再発行の仕組みが悪用され、オンラインゲームのアカウントが乗っ取られた
  • 相談の主な事例 (相談受付状況及び相談事例の詳細は、「4.相談受付状況」を参照)
    • 携帯電話をパソコンに接続したら、パソコンがウイルス感染した!?
    • 家族のためを思って有害サイトを調べていたら、自分がワンクリック不正請求の罠に・・
  • インターネット定点観測(詳細は、別紙3を参照)
    IPA で行っているインターネット定点観測について、詳細な解説を行っています。

2. コンピュータウイルス届出状況 -詳細は別紙1を参照-

(1)ウイルス届出状況

 6月のウイルスの検出数(※1)は、約4.1万個と、5月の約5万個から18.8%の減少となりました。また、6月の届出件数(※2)は、1,245件となり、5月の1,084件から14.9%の増加となりました。

※1 検出数 : 届出にあたり届出者から寄せられたウイルスの発見数(個数)
※2 届出件数: 同じ届出者から寄せられた届出の内、同一発見日で同一種類のウイルスの検出が複数ある場合は、1日何個検出されても届出1件としてカウントしたもの。
 ・6月は、寄せられたウイルス検出数約4.1万個を集約した結果、1,245件の届出件数となっています。

 検出数の1位は、W32/Netsky約3.3万個 、2位は W32/Mydoom約4千個、3位は W32/Autorun約1千個でした。

図2-1:ウイルス検出数

図2-1:ウイルス検出数

図2-2:ウイルス届出件数
図2-2:ウイルス届出件数

(2)不正プログラムの検知状況

 2010年6月の不正プログラムの検知状況では、ADCLICKER の検知数が急増したことが確認されました。(図2-3参照)。
 ADCLICKER とは、一般的に、ホームページ上の広告を自動的にクリックする動作を行うものです。この動作が行われても、パソコンの画面上にホームページが表示されることはありませんので、パソコンの利用者は気付かないと推測されます。ただし、複数の亜種があり、パソコン画面上に広告を表示させるタイプもあります。

 このような不正プログラムは、メールの添付ファイルとして配布されるケースが多いため、感染を防止するために、添付ファイルの取り扱いには常に注意を払う必要があります。また、不正プログラムの配信には、ボット※1に感染したパソコンが悪用されることがあります。
 サイバークリーンセンター※2では、ボットに関する対策や駆除ツールを提供しています。不正プログラムのメール配信に加担することがないよう、ボットに感染していないか確認するとともに、不正プログラムを取り込まないようにするなど、感染防止のための対策実施が必要です。

(ご参考)
 「感染防止のための知識」(サイバークリーンセンター)
  https://www.ccc.go.jp/knowledge/

※1 ボットとは、コンピュータウイルス等と同様な方法でコンピュータに感染し、そのコンピュータをネットワークを通じて、外部から操ることを目的として作成されたプログラムです。
※2 サイバークリーンセンターとは、総務省・経済産業省が連携して実施するボット対策プロジェクトです。
(ご参考)
 サイバークリーンセンターについて
 https://www.ccc.go.jp/ccc/

図2-3:不正プログラムの検知件数推移
図2-3:不正プログラムの検知件数推移

3. コンピュータ不正アクセス届出状況(相談を含む) -詳細は別紙2を参照-

表3-1 不正アクセスの届出および相談の受付状況

  1月 2月 3月 4月 5月 6月
届出(a) 計 20 27 19 11 8 15
  被害あり(b) 12 17 13 10 5 13
被害なし(c) 8 10 6 1 3 2
相談(d) 計 67 47 60 39 52 77
  被害あり(e) 34 28 23 16 22 50
被害なし(f) 33 19 37 23 30 27
合計(a+d) 87 74 79 50 60 92
  被害あり(b+e) 46 45 36 26 27 63
被害なし(c+f) 41 29 43 24 33 29

(1)不正アクセス届出状況

 6月の届出件数は15件であり、そのうち何らかの被害のあったものは13件でした。

(2)不正アクセス等の相談受付状況

 不正アクセスに関連した相談件数は77件(うち8件は届出件数としてもカウント)であり、そのうち何らかの被害のあった件数は50件でした。

(3)被害状況

 被害届出の内訳は、侵入3件、なりすまし9件、その他(被害あり)1件、でした。
 「侵入」の被害は、ウェブページが改ざんされていたものが3件(全て不正なコードの挿入)でした。侵入の原因は、詳細は判明していないが"ガンブラー"の手口だと推測されるものが3件でした。
 「なりすまし」の被害は、オンラインサービスのサイトに本人になりすまして何者かにログインされ、サービスを勝手に利用されていたもの(オンラインゲーム9件)でした。

(4)被害事例

[ 侵入 ]
(i) "ガンブラー"の手口によるウェブサイト改ざん被害

  • レンタルサーバでウェブサイトを運用している。ある日、サイト閲覧者から「サイトを見るとウイルスが検知される」との通報があった。
  • ウェブサイトのコンテンツを調査したところ、HTML ソースに、悪意あるサイトへ誘導するためのスクリプトが挿入されていることが判明。
  • さらなる調査の結果、ウェブページ更新用に使用していたパソコンがウイルスに感染しており、ftp のアカウント情報が盗まれたものと断定。
  • 盗まれた ftp アカウントでウェブサーバに不正アクセスされ、ウェブページ改ざん行為が行われていた。
  • ウイルスに感染していたパソコンは社員自宅にあった、私物だった。




ガンブラーによるウェブサイト改ざん被害は、今でも多くの発見報告が IPA に寄せられています。今回の事例では、会社のウェブページ更新に私物パソコンが使われていたことが問題であると言えます。今後の対応として、「ftp アクセスの制限」と「ウェブサイト更新専用パソコンの導入」は特に有効でしょう。
(参考)

[なりすまし]
(ii) パスワード再発行の仕組みが悪用され、オンラインゲームのアカウントが乗っ取られた


  • オンラインゲームサイトにログインできなくなったため、パスワードを再発行すべく、あらかじめ登録してあるメールアドレス宛に新しいパスワードを送ってもらった。このメールアドレスは、あるフリーメールサービスのもの。
  • 改めてオンラインゲームにログインしてみたところ、一部アイテムと全てのゲーム内通貨が無くなっていることに気付いた。
  • 調査したところ、フリーメールサービスに、身に覚えのないログイン履歴があったことから、何者かがパスワード再発行手続きのために、フリーメールに不正アクセスしたものと推測。
  • ログイン ID とパスワードは、フリーメールサービスとオンラインゲームとで、全く異なる文字列を使用していた。なぜ破られたのか、全く見当がつかない。




オンラインゲームサイトのパスワード再発行の仕組みが悪用された例です。フリーメールサービスのパスワードがどうやって破られたのかは分かりませんが、ログインしたタイミングでお知らせメールを送信する機能が提供されているフリーメールサービスを利用すれば、自分以外の誰かがログインした際にお知らせメールが届き、被害を未然に防ぐことができます
(参考)

4.相談受付状況

 6月のウイルス・不正アクセス関連相談総件数は1,983件でした。そのうち『ワンクリック不正請求』に関する相談755件(5月:637件)、『セキュリティ対策ソフトの押し売り』行為に関する相談が7件(5月:27件)、Winny に関連する相談2件(5月:5件)、「情報詐取を目的として特定の組織に送られる不審なメール」に関する相談0件(5月:4件)、などでした。

 表4-1 IPA で受け付けた全ての相談件数の推移

  1月 2月 3月 4月 5月 6月
合計 2,150 1,789 2,000 2,110 1,881 1983
  自動応答システム 1,160 977 1,057 1,194 1,091 1,022
電話 910 736 846 835 714 829
電子メール 78 70 92 81 76 129
その他 2 6 5 0 0 3

(備考)
IPA では、コンピュータウイルス・不正アクセス、Winny 関連、その他情報セキュリティ全般についての相談を受け付けています。

メール 相談メールアドレス
(これらのメールアドレスに特定電子メールを送信しないでください)
電話番号 03-5978-7509 (24時間自動応答、ただし IPA セキュリティセンター員による相談受付は休日を除く月~金、10:00~12:00、13:30~17:00のみ)
FAX 03-5978-7518 (24時間受付)

「自動応答システム」 : 電話の自動音声による応対件数
「電話」 : IPA セキュリティセンター員による応対件数
合計件数には、「不正アクセスの届出および相談の受付状況」における『相談(d) 計』件数を内数として含みます。

図4-1ワンクリック不正請求相談件数の推移図4-1:ワンクリック不正請求相談件数の推移

主な相談事例は以下の通りです。

(i) 携帯電話をパソコンに接続したら、パソコンがウイルス感染した!?
相談

パソコンから携帯電話を充電しようとして、USB ケーブルで接続したところ、携帯電話のメモリカードにウイルスが感染していたため、パソコンにもウイルス感染してしまった。同じようにデジタルオーディオ機器やゲーム機からでも、感染する可能性はあるのか。

回答

このメモリカードは、USB 感染型ウイルスに感染していたようです。どのようにして、携帯電話のメモリカードにウイルスが感染したのかは不明ですが、パソコンと USB ケーブルなどで接続され、外部記憶媒体として認識されるものであれば、USB 感染型ウイルスの感染先、もしくは感染元になる可能性はあります。ウイルスに感染したメモリカードなどは、フォーマットを行い、中身を全て消去してから使用してください。
大事なデータが入っているパソコンには、管理されていない USB メモリなどの外部記憶媒体を安易に接続しないことが一番です。接続されるパソコン側では、ウイルス対策ソフトなどの使用や、接続した際にウイルスが勝手に起動しないように Windows の「自動実行機能」を無効にする、などの対策を行ってください。

(参考)
(ii) 家族のためを思って有害サイトを調べていたら、自分がワンクリック不正請求の罠に・・
相談

【例1】学生の孫がいるので有害なサイトは見せたくない。だが有害サイトとはどのようなものなのか判らない。自分で調べていると、アダルトサイトの入会手続き完了となってしまい、請求画面が表示されるようになり、消去できない。
【例2】息子が怪しいサイトを見ていないか、インターネットの閲覧履歴を調べていたら、間違ってアダルトサイトに登録してしまい、請求画面が表示されるようになった。

回答

どちらも家族を思っての行動ですが、結局はアダルトサイトに誘導され、ページに書かれている内容を自分でキチンと確認しないまま、ワンクリック不正請求サイトで「はい」ボタンを複数回クリックして先に進み、ワンクリック不正請求の被害に遭っています。サイトの検証をされる場合、まずは好奇心を抑えた上で、画面上にでてくる確認メッセージなどはよく読み、先に進むかの判断をしてください。
なお、未成年者がいる家庭では、有害サイトのブロックが有効です。具体的には、ウェブフィルタリングソフト/URL フィルタリングソフトの利用や、有害サイトをブロックする機能を持つ統合型セキュリティ対策ソフトの使用、プロバイダによる有害サイトブロックサービスの利用、が該当します

(参考)

5.インターネット定点観測での6月のアクセス状況

 インターネット定点観測(TALOT2)によると、2010年6月の期待しない(一方的な)アクセスの総数は10観測点で117,157件、延べ発信元数(※)46,800箇所ありました。平均すると、1観測点につき1日あたり173の発信元から434件のアクセスがあったことになります(図5-1参照)。

※延べ発信元数:TALOT2 の各観測点にアクセスしてきた発信元を単純に足した数のことを、便宜上、延べ発信元数とする。ただし、同一発信元から同一の観測日・観測点・ポートに複数アクセスがあった場合は、発信元数を1としてカウントする。

 TALOT2 における各観測点の環境は、インターネットを利用される一般的な接続環境と同一なので、インターネットを利用される皆さんの環境へも同じくらいの一方的なアクセスがあると考えられます。

※6月18日~20日は、保守作業のため、システムを停止しています。そのため、6月の観測データは、この3日間を除外して統計情報を作成しています。なお、通常は常時稼働しています。

図5-1 1観測点・1日あたりの期待しない(一方的な)平均アクセス数と発信元数 【図5-1:1観測点・1日あたりの期待しない(一方的な)平均アクセス数と発信元数】

 2010年1月~2010年6月までの各月の1観測点・1日あたりの平均アクセス数とそれらのアクセスの平均発信元数を図5-1に示します。6月の期待しない(一方的な)アクセスは、5月と比べて増加しました。

 5月と6月の宛先(ポート種類)別アクセス数の比較を図5-2に示します。これをみると、5月に比べ特に増加が観測されたのは23/tcpへのアクセスでした。
 このアクセスは5月下旬から TALOT2 の複数の観測点で増加しており、発信元はペルー、アメリカ等海外の多数の箇所でした(図5-3参照)。23/tcp は一般的に telnet で使用されるポートですが、今回アクセスが増加していた原因は不明です。また、定点観測を行っている他の組織においても同様の増加傾向が見られていたことから、広い範囲でこの現象が発生していたと思われます。

図5-2:宛先(ポート種類)別アクセス数の比較(5月/6月)
【図5-2:宛先(ポート種類)別アクセス数の比較(5月/6月)】

図5-3:23/tcp 発信元地域別アクセス数の変化(10観測点の合計)
【図5-3:23/tcp 発信元地域別アクセス数の変化(10観測点の合計)】

以上の情報に関して、詳細はこちらのサイトをご参照ください。

届出の詳細については以下の PDF ファイルをご参照ください。

2010年上半期のコンピュータウイルス・不正アクセス届出状況

『他機関・ベンダーの各種統計情報は以下のサイトで公開されています。』

一般社団法人JPCERTコーディネーションセンター:http://www.jpcert.or.jp/
@police:http://www.cyberpolice.go.jp/
フィッシング対策協議会:http://www.antiphishing.jp/
株式会社シマンテック:http://www.symantec.com/ja/jp/
トレンドマイクロ株式会社:http://jp.trendmicro.com/jp/home/
マカフィー株式会社:http://www.mcafee.com/japan/

お問い合わせ先:

独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC)
(ISEC:Information technology SEcurity Center)
TEL:03-5978-7527 FAX:03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。
     (このメールアドレスに特定電子メールを送信しないでください)
URL:http://www.ipa.go.jp/security/