HOME情報セキュリティ情報セキュリティ対策ウイルス対策コンピュータウイルス・不正アクセスの届出状況[2010年10月分]について

本文を印刷する

情報セキュリティ

コンピュータウイルス・不正アクセスの届出状況[2010年10月分]について

第10-40-199号
掲載日:2010年11月 4日
独立行政法人情報処理推進機構
セキュリティセンター(IPA/ISEC)

 IPA (独立行政法人情報処理推進機構、理事長:藤江 一正)は、2010年10月のコンピュータウイルス・不正アクセスの届出状況をまとめました。
(届出状況の詳細PDF資料はこちら)

1. 今月の呼びかけ

「 PDF ファイルに潜む新たなウイルスに注意! 」

 2010年9月、Adobe Reader の脆弱性が公表され、10月にその脆弱性を解消するための修正プログラムが提供されました。9月上旬、この脆弱性を悪用する攻撃が発生しているという情報が IT 系のウェブニュースで報道されました。IPA にもこの脆弱性を悪用してパソコンにウイルスを感染させる悪意のある PDF ファイル※1が、メールの添付ファイルとして届きました。
 このように、PDF のようなドキュメントファイルであっても、ウイルスが潜んでいる可能性があります。PDF ファイルなら安全ということはありませんので、取り扱いには十分注意してください。
 ここでは、今回の Adobe Reader の脆弱性を悪用する攻撃の概要と対策について説明します。
 ※1 PDF(Portable Document Format)ファイル…「Adobe Reader」などのソフトで閲覧できる文書ファイルの一種。

(1) 9月に公表された Adobe Reader の脆弱性について

 9月に公表された Adobe Reader の脆弱性※2は、攻撃者が PDF ファイルに細工することで、そのファイルを開くと Adobe Reader の画面が突然消えてしまったり、攻撃者によってパソコンを制御されたりする可能性があるというものでした。IPA に届いた前述の PDF ファイルを解析したところ、やはりこの脆弱性を悪用するものであることが確認できました。
 Adobe Reader は、PDF 形式のドキュメントファイルを閲覧するアプリケーションソフトとして広く普及しており、最近では、多くの一般利用者向けのパソコンに購入時からインストールされています。
 ※2 Adobe Reader および Acrobat の脆弱性(APSB10-21)について(IPA)
   http://www.ipa.go.jp/security/ciadr/vul/20101006-adobe.html

(2) IPA で解析したウイルスの概要

 IPA にて解析を行った Adobe Reader の脆弱性を悪用するウイルスの一検体について、その挙動を解説します。(図1-1参照)

図1-1:Adobe Readerの脆弱性を悪用するウイルスの動作イメージ
図1-1:Adobe Readerの脆弱性を悪用するウイルスの動作イメージ

 このウイルスは、Adobe Reader の脆弱性を悪用しており、細工された PDF ファイルを開くと不正なコード(命令)が実行されます。その結果、バックドア※3の機能をもつ不正なプログラムがパソコンにインストールされます。
 一方、パソコンの画面上では、問題のないドキュメントが正しく表示されます。これは、この PDF ファイルがウイルスであることに気付かれないための細工と考えられ、今回の場合は、実在の国際会議の開催案内となっていました。
 パソコンに不正にインストールされるバックドアは、攻撃者が指定したファイルのダウンロードと実行を行う機能を有していました。これにより、攻撃者がパソコン内の情報を盗みだすためのスパイウェアなどのウイルスを、更に感染させることができた可能性があります。
 ※3 バックドア…コンピュータへの不正侵入(アクセス)を目的に仕掛けられる仕組み。「裏口」の侵入経路。

 なお、このウイルスは、Adobe Reader の JavaScript(簡易プログラミング言語)の機能によって脆弱性を悪用していたため、当該機能をオフにしておく※4ことで、攻撃を無効化することが可能でした。
 ※4 Adobe Reader を起動し、メニューバーの「編集」→「環境設定」ダイアログから JavaScript の項目を選択し、「Acrobat JavaScriptを使用」のチェックを外す。

(3) 対策

 今回説明した攻撃への対策としては、PDF ファイルといったドキュメントファイルであっても取扱いに注意を払うことと、脆弱性解消のためにアプリケーションソフトを最新版に更新しておくことが挙げられます。これらの対策について次に説明します。

(I)PDF ファイルといったドキュメントファイルにも注意
 今回の攻撃のように、PDF ファイルといった安全と思われているドキュメントファイルにもウイルスが潜んでいることがあります。添付ファイルの取り扱いの基本になりますが、身に覚えのないメールや普段やり取りしているメールの本文とは様子が異なるなど、少しでも怪しい点があれば、添付ファイルは安易に開かないようにしてください。
 なお、PDF ファイル以外に、Word や一太郎のファイルがウイルスに悪用された事例もあります。どのようなファイルであっても、添付ファイルには十分注意してください。

(II)アプリケーションソフトが最新版か確認
 古いアプリケーションソフトには脆弱性が存在していることがあり、それを悪用するウイルスに感染する危険性が高くなります。よって、利用するアプリケーションソフトは、常に最新版に更新して、脆弱性がない状態に保つことが重要になります。
 IPA では、Adobe Reader といったマイクロソフト社製以外の、ウイルスによって狙われることが多いアプリケーションソフトについて、それらがパソコンに導入されているか、および最新版となっているか否かをチェックできる「MyJVN バージョンチェッカ」を公開しています。本ツールで古いバージョンと判定されたアプリケーションソフトについては、手動で更新作業を実施する必要があります。なお、マイクロソフト社の製品であれば、次項の Microsoft Update にて自動更新されます。
 この対策は、いわゆるガンブラー攻撃に対しても有効であり、IPA Forum 2010における講演「終息しない『ガンブラー攻撃』、その対策は?」でも本ツールを活用した事例を紹介しました。
 詳しくは、下記の「MyJVN バージョンチェッカ」のウェブページを参照してください。また、「MyJVN バージョンチェッカ」の使い方や、個々のアプリケーションソフトを最新版にする手順については、下記の「ホームページからの感染を防ぐために」のページを参照してください。

(ご参考)
 MyJVNバージョンチェッカ(IPA)
 http://jvndb.jvn.jp/apis/myjvn/#VCCHECK
 「ホームページからの感染を防ぐために」(CCC)
 https://www.ccc.go.jp/detail/web/

MyJVN バージョンチェッカが Windows 7 に対応しました
 2010年11月4日、MyJVN バージョンチェッカが動作する OS(オペレーティングシステム)について、Windows XP、Windows Vista に加え、Windows 7 にも対応しました。MyJVN バージョンチェッカは月平均で100万件以上のアクセスがあり、既に企業や個人で導入が進んでいる Windows 7 に対応したことで、今後も多くの利用者に本ツールが利用されることを期待します。

図1-2:「MyJVNバージョンチェッカ」の出力結果画面例
図1-2:「MyJVN バージョンチェッカ」の出力結果画面例

(III)Microsoft Update で修正プログラムを適用(最新版に更新)
 Windows など、マイクロソフト社製の OS(オペレーティングシステム)やアプリケーションソフトにも脆弱性は発見されています。こちらも修正プログラムが提供されますので、Microsoft Update を利用して最新版に更新するようにしてください。

(ご参考)
 Microsoft Update利用の手順(マイクロソフト社)
 http://www.microsoft.com/japan/security/bulletins/j_musteps.mspx

(IV)ウイルス対策ソフトでウイルスの侵入を防止
 ウイルス対策ソフトを導入し、ウイルス定義ファイルを最新に保つことで、ウイルスの侵入阻止や、侵入したウイルスの駆除ができます。近年のウイルスは、パソコンの画面の見た目では感染していることが分からないものが多いため、ウイルスの発見と駆除には、ウイルス対策ソフトが必須です。

(4) ゼロデイ攻撃への対策

 今回の Adobe Reader の脆弱性を悪用する攻撃は、「ゼロデイ攻撃」でした。ゼロデイ攻撃とは、「新しい脆弱性が発見されてから、その修正プログラムが公開されるまでの期間」、つまり、脆弱性を解消できない状態を狙う攻撃のことを指します。この攻撃の場合、最新版のアプリケーションソフトを利用していても防御することが非常に難しく、流行した場合はインターネットを利用すること自体が危険となります。 

 ゼロデイ攻撃を受けないためには、情報収集が大切になります。特に、IT 系のニュースやベンダーから公開される脆弱性情報に注意し、適切に対応することが重要です。
 例えばゼロデイ攻撃が確認された場合、IT 系のウェブニュースでは報道されることが多いため、日頃からアクセスして情報収集することを勧めます。もしゼロデイ攻撃の情報があった場合は、攻撃に悪用された製品のベンダーが公開している情報を確認してください。脆弱性を解消するという対策以外に、設定を変更して問題の機能を停止するなどの回避策(具体例は※4を参照)や、修正プログラムの提供時期が公開されていることがあります。
 また、IPA の「緊急対策情報・注意喚起 一覧」のウェブページでは、ゼロデイ攻撃に悪用された脆弱性など、緊急に対処する必要がある情報を発信していますので、随時チェックして情報を入手してください。

(ご参考)
 「修正プログラム提供前の脆弱性を悪用したゼロデイ攻撃について」(IPA)
 http://www.ipa.go.jp/security/virus/zda.html
 「緊急対策情報・注意喚起 一覧」(IPA)
 http://www.ipa.go.jp/security/announce/alert.html

お知らせ

 情報セキュリティ安心相談窓口を開設

 IPA は、今まで複数あった相談窓口を統合し、情報セキュリティ関連の相談に一元的に対応する、「情報セキュリティ安心相談窓口」を2010年10月19日に開設しました。当窓口では、相談者からの質問に対して速やかに適切な情報を提供することを目的とし、また、時間外でも多くの問題を自己解決できるよう、ウェブサイトの FAQ(よくある質問と回答のリスト)の充実を図っていきます。
 情報セキュリティ安心相談窓口(IPA)
 http://www.ipa.go.jp/security/anshin/

今月のトピックス

  • コンピュータ不正アクセス被害の主な事例(届出状況及び被害事例の詳細は、「3.コンピュータ不正アクセス届出状況」を参照)
    • ウェブサイトのトップページが改ざんされていた
    • 無料ウェブメールのアカウントを使われて、勝手に大量のメールを送信されていた
  • 相談の主な事例 (相談受付状況及び相談事例の詳細は、「4.相談受付状況」を参照)
    • インターネット上に自分の個人情報が晒されている
    • アドレスは違うのに、本物そっくりのサイトがある
  • インターネット定点観測(詳細は、別紙3を参照)
    IPA で行っているインターネット定点観測について、詳細な解説を行っています。

2. コンピュータウイルス届出状況 -詳細は別紙1を参照-

(1)ウイルス届出状況

 10月のウイルスの検出数※1は、約3.4万個と、9月の約3.4万個から同水準での推移となりました。また、10月の届出件数※2は、996件となり、9月の1,082件から7.9%の減少となりました。

※1 検出数 : 届出にあたり届出者から寄せられたウイルスの発見数(個数)
※2 届出件数: 同じ届出者から寄せられた届出の内、同一発見日で同一種類のウイルスの検出が複数ある場合は、1日何個検出されても届出1件としてカウントしたもの。
 ・10月は、寄せられたウイルス検出数約3.4万個を集約した結果、996件の届出件数となっています。

 検出数の1位は、W32/Netsky約2.4万個 、2位は W32/Mydoom約5千個、3位は W32/Waledac約2千個でした。

図2-1:ウイルス検出数

図2-1:ウイルス検出数

図2-2:ウイルス届出件数
図2-2:ウイルス届出件数

(2)不正プログラムの検知状況

 2010年10月の不正プログラムの検知状況は、9月の MALSCRIPT や FAKEAV のように急増した事例はありませんでした(図2-3参照)。
 このような不正プログラムはメールの添付ファイルとして配布されるケースが多く、そのメールの配信にはボット※3に感染したパソコンが悪用されることがあります。
 サイバークリーンセンター※4では、ボットに関する対策や駆除ツールを提供しています。不正プログラムのメール配信に加担することがないよう、ボットに感染していないか確認するとともに、不正プログラムを取り込まないようにするなど、感染防止のための対策実施が必要です。

(ご参考)
 「感染防止のための知識」(サイバークリーンセンター)
 https://www.ccc.go.jp/knowledge/

 ※3 ボットとは、コンピュータウイルス等と同様な方法でコンピュータに感染し、そのコンピュータをネットワークを通じて、外部から操ることを目的として作成されたプログラムです。
 ※4 サイバークリーンセンターとは、総務省・経済産業省が連携して実施するボット対策プロジェクトです。
(ご参考)
 サイバークリーンセンターについて
 https://www.ccc.go.jp/ccc/

図2-3:不正プログラムの検知件数推移
図2-3:不正プログラムの検知件数推移

3. コンピュータ不正アクセス届出状況(相談を含む) -詳細は別紙2を参照-

表3-1 不正アクセスの届出および相談の受付状況

  5月 6月 7月 8月 9月 10月
届出(a) 計 8 15 14 18 15 14
  被害あり(b) 5 13 9 12 10 8
被害なし(c) 3 2 5 6 5 6
相談(d) 計 52 77 44 56 47 40
  被害あり(e) 22 50 23 16 8 15
被害なし(f) 30 27 21 40 39 25
合計(a+d) 60 92 58 74 62 54
  被害あり(b+e) 27 63 32 28 18 23
被害なし(c+f) 33 29 26 46 44 31

(1)不正アクセス届出状況

 10月の届出件数は14件であり、そのうち何らかの被害のあったものは8件でした。

(2)不正アクセス等の相談受付状況

 不正アクセスに関連した相談件数は40件(うち3件は届出件数としてもカウント)であり、そのうち何らかの被害のあった件数は15件でした。

(3)被害状況

 被害届出の内訳は、侵入5件、アドレス詐称1件、なりすまし2件でした。
 「侵入」の被害は、ウェブページが改ざんされていたものが3件、外部サイトを攻撃するツールを埋め込まれて踏み台として悪用されていたものが1件、などでした。侵入の原因は、脆弱なパスワード設定が2件、ウェブアプリケーションの脆弱性を突かれたものが1件、OS の脆弱性を突かれたものが1件、でした(他は原因不明)。

(4)被害事例

[ 侵入 ]
(i) ウェブサイトのトップページが改ざんされていた

  • 公開しているウェブサイトのトップページにある「お知らせ一覧」に、管理者以外からの不正な更新があると外部からの連絡で発覚。
  • この箇所は、管理者 ID とパスワードでのみ更新ができる。
  • 原因として SQL インジェクション攻撃が考えられる。




その他の改ざん原因として、ブルートフォース攻撃(総当り攻撃)や辞書攻撃を受けた可能性もあります。定期的な ID/パスワードの変更や、ウェブサイトのチェックを行うことをお勧めします。また IPA では、ウェブサイト攻撃を検出するツールとして「iLogScanner」を提供していますので、活用されることをお勧めします。
(参考)
[なりすまし]
(ii) 無料ウェブメールのアカウントを使われて、勝手に大量のメールを送信されていた

  • 無料ウェブメールのアカウントに不正アクセスされ、大勢の人へ不信なメールを配信されていた。
  • 内容は英文で宣伝のようなもの。
  • 不正アクセスにより個人の情報がどこかに漏れているのか?被害がどう及んでいるのかがわからない。
  • 当面、使用時以外はインターネットへの接続をオフにするようにしている。




アカウントが他人に知られてしまう原因として、アカウントやパスワードを盗むウイルスの感染や、自分が管理していないパソコン(例えばネットカフェ)からのアカウントやパスワードの入力、知り合いなどに教えてしまった、などが考えられます
また最近では、知り合いから SNS(ソーシャルネットワーキングサービス)サイトに招待する内容のメールが届き、そのサイトにアクセスして、自分のウェブメールのアカウントとパスワードを入力して登録してしまうと、SNS サイトがそのアカウントとパスワードを使ってウェブメールサイトに勝手にアクセスし、アドレス帳に登録しているユーザに招待メールを送信してしまうという相談もありました。こうしたサイトの登録は、利用規約を読むなどしてから、ご自身で判断してください。また、たとえ知り合いからのメールでも、その中に書かれているリンクを簡単にクリックしないことを心がけましょう。
(参考)

4.相談受付状況

 10月のウイルス・不正アクセス関連相談総件数は1,813件でした。そのうち『ワンクリック請求』に関する相談603件(9月:820件)、『セキュリティ対策ソフトの押し売り』行為に関する相談が13件(9月:13件)、Winny に関連する相談7件(9月:3件)、「情報詐取を目的として特定の組織に送られる不審なメール」に関する相談1件(9月:2件)、などでした。

 表4-1 IPA で受け付けた全ての相談件数の推移

  5月 6月 7月 8月 9月 10月
合計 1,881 1,983 2,133 2,432 2,102 1,813
  自動応答システム 1,091 1,022 1,142 1,298 1,142 1,065
電話 714 829 924 1,053 872 675
電子メール 76 129 66 75 85 69
その他 0 3 1 6 3 4

(備考)
IPA では、「情報セキュリティ安心相談窓口」を開設し、コンピュータウイルス・不正アクセス、Winny 関連、その他情報セキュリティ全般についての相談を受け付けています。

メール 情報セキュリティ安心相談窓口
(このメールアドレスに特定電子メールを送信しないでください)
電話番号 03-5978-7509 (24時間自動応答、ただし IPA セキュリティセンター員による相談受付は休日を除く月~金、10:00~12:00、13:30~17:00のみ)
FAX 03-5978-7518 (24時間受付)

「自動応答システム」 : 電話の自動音声による応対件数
「電話」 : IPA セキュリティセンター員による応対件数
合計件数には、「不正アクセスの届出および相談の受付状況」における『相談(d) 計』件数を内数として含みます。

図4-1:ワンクリック請求相談件数の推移図4-1:ワンクリック請求相談件数の推移

主な相談事例は以下の通りです。

(i) インターネット上に自分の個人情報が晒されている
相談

インターネット上で自分の名前を検索すると、自分の住所と名前が表示される。自分が書いたものではない。これを削除するにはどうしたらいいか。

回答

自分の意図に反して個人情報が公開されているということですので、人権侵害として処理できる可能性があります。法務省人権擁護局に相談することをお勧めします。また、インターネット上の違法・有害情報の受付窓口である「インターネット・ホットラインセンター」に相談するというのも一つの方法です。

(参考)
(ii) アドレスは違うのに、本物そっくりのサイトがある
相談 検索でヒットしたサイトのアドレス欄を良く見たら、正規のウェブサイトとアドレスが違うことに気付いた。正規のアドレスの後ろに、.proxy.******.com という文字列が付加されていた。でも、表示されている内容は、正規サイトと全く同じように見える。これは、偽のサイトではないのか。
回答

他の正規サイトのアドレスの後ろに.proxy.******.com を付加しても、同じ現象が見られました。よって、これはプロキシサーバを経由した表示であると推察され、偽サイトではないと思われます。
このプロキシサーバが何を目的としたものかは不明ですが、誰が運営しているか判らないプロキシサーバを経由したアクセスでは、その内容が全て読み取られていると言っても過言ではありません。不用意に使うことは避けることが賢明です

5.インターネット定点観測での10月のアクセス状況

 インターネット定点観測(TALOT2)によると、2010年10月の期待しない(一方的な)アクセスの総数は10観測点で93,749件、延べ発信元数38,826箇所ありました。平均すると、1観測点につき1日あたり125の発信元から302件のアクセスがあったことになります(図5-1参照)。

※延べ発信元数:TALOT2 の各観測点にアクセスしてきた発信元を単純に足した数のことを、便宜上、延べ発信元数とする。ただし、同一発信元から同一の観測日・観測点・ポートに複数アクセスがあった場合は、発信元数を1としてカウントする。

 TALOT2 における各観測点の環境は、インターネットを利用される一般的な接続環境と同一なので、インターネットを利用される皆さんの環境へも同じくらいの一方的なアクセスがあると考えられます。

図5-1:1観測点・1日あたりの期待しない(一方的な)平均アクセス数と発信元数
図5-1:1観測点・1日あたりの期待しない(一方的な)平均アクセス数と発信元数

 2010年5月~2010年10月までの各月の1観測点・1日あたりの平均アクセス数とそれらのアクセスの平均発信元数を図5-1に示します。10月の期待しない(一方的な)アクセスは、9月と比べて大幅に減少しました。
 9月と10月の宛先(ポート種類)別アクセス数の比較を図5-2に示します。これをみると、445/tcp へのアクセスが9月比の約71%に減少しており、このことがアクセス数全体の減少につながったと思われます。

図5-2:宛先(ポート種類)別アクセス数の比較(9月/10月)
図5-2:宛先(ポート種類)別アクセス数の比較(9月/10月)

以上の情報に関して、詳細はこちらのサイトをご参照ください。

届出の詳細については以下の PDF ファイルをご参照ください。

『他機関・ベンダーの各種統計情報は以下のサイトで公開されています。』

一般社団法人JPCERTコーディネーションセンター:http://www.jpcert.or.jp/
@police:http://www.cyberpolice.go.jp/
フィッシング対策協議会:http://www.antiphishing.jp/
株式会社シマンテック:http://www.symantec.com/ja/jp/
トレンドマイクロ株式会社:http://jp.trendmicro.com/jp/home/
マカフィー株式会社:http://www.mcafee.com/japan/

お問い合わせ先:

独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC)
(ISEC:Information technology SEcurity Center)
TEL:03-5978-7527 FAX:03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。
     (このメールアドレスに特定電子メールを送信しないでください)
URL:http://www.ipa.go.jp/security/