HOME情報セキュリティ情報セキュリティ対策ウイルス対策コンピュータウイルス・不正アクセスの届出状況[2011年3月分および第1四半期]について

本文を印刷する

情報セキュリティ

コンピュータウイルス・不正アクセスの届出状況[2011年3月分および第1四半期]について

第11-12-213号
掲載日:2011年 4月 6日
独立行政法人情報処理推進機構
セキュリティセンター(IPA/ISEC)

 IPA (独立行政法人情報処理推進機構、理事長:藤江 一正)は、2011年3月および2011年第1四半期のコンピュータウイルス・不正アクセスの届出状況をまとめました。
(届出状況の詳細PDF資料はこちら)

1. 今月の呼びかけ

「 無線LANを他人に使われないようにしましょう! 」

 近年、一般家庭の無防備な無線LAN環境が悪用されるといった事件が複数報道されています。セキュリティ設定が不十分な無線LAN環境は、悪意ある者に使われてしまう危険性があります。実際に、一般家庭の無防備な無線LAN環境などを含む様々な犯罪インフラが、国内の組織犯罪、詐欺、窃盗、サイバー犯罪等のあらゆる犯罪の分野で着々と構築され、巧妙に張り巡らされてきているという現状があります。警察庁は、2011年3月10日に、犯罪インフラへの対策の指針となる「犯罪インフラ対策プラン」を策定するなど、取り締まりを強化する方針を打ち出しました。
 自宅の無線LANが犯罪インフラとして悪用されないよう、セキュリティ設定を適切に行ってください。

※ 犯罪インフラとは犯罪を助長し、又は容易にする基盤のこと。基盤そのものは合法であっても、犯罪に悪用されている状態にあれば、犯罪インフラとなる。

(ご参考)
 犯罪インフラ対策プラン(警察庁)
 http://www.npa.go.jp/sosikihanzai/kikakubunseki/bunseki/taisakuplan.pdf

(1) 無線LANを取り巻く問題の概要

 無線LANは、電波を使って無線LANアクセスポイント(以下、「親機」)と無線LAN機能を持つパソコン、スマートフォン、一部のゲーム機など(以下、「子機」)との間で通信を行うネットワーク環境のことです。無線LANでは親機と子機の双方に通信のための設定をすることで、電波の届く範囲であれば、壁などの障害物を越えて通信が可能となります。
 無線LANは便利であると同時に、家庭内ネットワークへの侵入や、インターネットでの不正行為のいわゆる「踏み台」など、悪用の対象として狙われやすいものです。電波という目に見えない通信経路を使うということは、侵入されていることさえも気付きにくいため、注意が必要です(図1-1参照)。

図1-1:無線LANを取り巻く脅威のイメージ
図1-1:無線LANを取り巻く脅威のイメージ

(2) 無線LANが関係した事件の実例

 無線LANが関係した事件の実例を、表1-1に示します。

 表1-1:無線LANが関係した事件の実例

時期
内容
2008年6月 インターネットに接続できる携帯ゲーム機を使用して他人の家の無線LANに無断で接続し、インターネットの掲示板に無差別殺人をほのめかす書き込みをしたとして、男が逮捕された。
2008年10月 インターネットオークションで、児童ポルノのDVDを販売したとして逮捕された男が、他人の家の無線LANに無断で接続し、児童ポルノのファイルを入手していた。
2010年2月 他人の家の無線LANに無断で接続し、あらかじめ不正に入手していた他人のクレジットカード情報を使用してインターネットで買い物をしたとして、詐欺グループのメンバー2人が逮捕された。
2010年6月 インターネットの掲示板に銀行口座を販売するなどと書き込み、現金を騙し取ったとして逮捕された男が、身元が特定できないように他人の家の無線LANから無断でインターネットに接続していた。

 これらの実例はいずれも、無線LANのセキュリティ設定が不十分だったために、自宅の無線LAN環境を無断で使用されて、「踏み台」として悪用されてしまったケースです。これ以外にも想定される被害として、以下のようなことが考えられます。
 ・無線LAN環境に侵入され、重要な情報を盗まれる。
 ・通信データを盗聴される。

(3) 対策

 上記のような被害に遭わないためには、無線LANにおけるセキュリティ設定が重要となりますが、そのポイントは「適切な暗号化方式の選択」と「適切なパスワードの設定」の2点になります。

(i)適切な暗号化方式の選択
 無線LANの暗号化方式には大きく分けて、「WEP」、「WPA」、「WPA2」の3種類があり、最も安全な暗号化方式はこの中で最新の「WPA2」です。

     「WPA2」の中にもいくつか種類がありますので、実際に暗号化方式を選択する場合、WPA2-PSK(Pre-Shared Key)という認証方式を利用したもののうち、最もセキュリティ強度が高い「WPA2-PSK(AES)」を選択してください。
     これが選択できない場合は次善策として「WPA」の中から、WPA-PSK(Pre-Shared Key)という認証方式を利用したもののうち、最もセキュリティ強度が高い「WPA-PSK(AES)」を選択してください。
     それ以外の暗号化方式ではセキュリティ強度が十分でないため、選択しないでください。なお、暗号化方式の詳しい説明については、以下のページに記載しています。

    (ご参考)
     IPA-一般家庭における無線LANのセキュリティに関する注意
     http://www.ipa.go.jp/security/ciadr/wirelesslan.html

     参考として、図1-2に親機の設定画面例を、図1-3に設定状態の確認画面例を示します。無線LANの利用者は、念のため自宅の無線LANの設定を確認してください。なお、画面や確認方法、設定方法は機種によって異なります。操作等については、親機の取扱説明書を参照してください。

    図1-2:親機の設定画面例
    図1-2:親機の設定画面例

    図1-3:親機の設定状態の確認画面例
    図1-3:親機の設定状態の確認画面例

     なお、親機と全ての子機が、選択したい暗号化方式に対応していなければなりません。つまり、親機を「WPA2-PSK(AES)」に設定した場合は、その親機に接続されている全ての子機を 「WPA2-PSK(AES)」に設定する必要があります。

    (ii)適切な暗号化方式の選択
     上記の暗号化方式で使用する暗号鍵を生成するために、パスワードの設定が必要となります。パスワードを設定する際は、容易に推測されることを防ぐため、以下の注意事項に従ってください。

    • 英語の辞書に載っている単語を使用しない
    • 大文字、小文字、数字、記号の全てを含む文字列とする
    • 文字数は最低でも20文字(半角英数字+記号の場合。最大で63文字)とする

今月のトピックス

  • コンピュータ不正アクセス被害の主な事例(届出状況及び被害事例の詳細は、「3.コンピュータ不正アクセス届出状況」を参照)
    • テレビ会議システムが乗っ取られ、外部のコンピュータを攻撃する踏み台となっていた
    • メールアカウントに不正にログインされ、迷惑メール送信の踏み台として使われた
  • 相談の主な事例 (相談受付状況及び相談事例の詳細は、「4.相談受付状況」を参照)
    • ワンクリック請求で業者に個人情報を送ってしまった
    • 知人のメールアドレスから届いたメールが怪しい
  • インターネット定点観測(詳細は、別紙3を参照)
    IPA で行っているインターネット定点観測について、詳細な解説を行っています。

2. コンピュータウイルス届出状況 -詳細は別紙1を参照-

(1) ウイルス届出状況

 3月のウイルスの検出数※1は、2.4万個と、2月の約2.2万個から10.6%の増加となりました。また、3月の届出件数※2は、985件となり、2月の974件から同水準での推移となりました。

※1 検出数 : 届出にあたり届出者から寄せられたウイルスの発見数(個数)
※2 届出件数: 同じ届出者から寄せられた届出の内、同一発見日で同一種類のウイルスの検出が複数ある場合は、1日何個検出されても届出1件としてカウントしたもの。
 ・3月は、寄せられたウイルス検出数約2.4万個を集約した結果、985件の届出件数となっています。

 検出数の1位は、W32/Netsky1.6万個、2位はW32/Mydoom5.8千個、3位はW32/Autorun1.4千個でした。

図2-1:ウイルス検出数

図2-1:ウイルス検出数

図2-2:ウイルス届出件数

図2-2:ウイルス届出件数

(2) 不正プログラムの検知状況

 2011年3月の後半に、偽セキュリティソフトの検知名であるFAKEAVや、パソコン内に裏口を仕掛けるBACKDOORといった不正プログラムの増加が確認されました。
 このような不正プログラムは、メールの添付ファイルとして配布されるケースが多いため、添付ファイルの取り扱いには十分注意する必要があります。

図2-3:不正プログラムの検知件数推移

図2-3:不正プログラムの検知件数推移

3. コンピュータ不正アクセス届出状況(相談を含む) -詳細は別紙2を参照-

表3-1 不正アクセスの届出および相談の受付状況

  10月 11月 12月 1月 2月 3月
届出(a) 計 14 14 22 12 10 6
  被害あり(b) 8 7 7 6 5 6
被害なし(c) 6 7 15 6 5 0
相談(d) 計 40 45 27 41 23 45
  被害あり(e) 15 12 7 11 6 10
被害なし(f) 25 33 20 30 17 35
合計(a+d) 54 59 49 53 33 51
  被害あり(b+e) 23 19 14 17 11 16
被害なし(c+f) 31 40 35 36 22 35

(1)不正アクセス届出状況

 3月の届出件数は6件であり、それら全てが被害のあったものでした。

(2)不正アクセス等の相談受付状況

 不正アクセスに関連した相談件数は45件(うち2件は届出件数としてもカウント)であり、そのうち何らかの被害のあった件数は10件でした。

(3)被害状況

 被害届出の内訳は、侵入1件、なりすまし5件、でした。
 「侵入」の被害は、テレビ会議システムに、外部サイトを攻撃するツールを埋め込まれて踏み台として悪用されていたものが1件、でした。「なりすまし」の被害は、オンラインサービスのサイトに本人になりすまして何者かにログインされ、サービスを勝手に利用されていたもの(メールサーバ2件、オンラインゲーム1件、ショッピングサービス1件、IP電話サービス1件)、でした。
 「侵入」の原因は、ID/パスワードの管理不備が1件、OSの脆弱性を突かれたものが1件、でした(他は原因不明)。

(4)被害事例

[ 侵入 ]
(i) テレビ会議システムが乗っ取られ、外部のコンピュータを攻撃する踏み台となっていた

  • 組織内ネットワークから、外部のサーバに向けて侵入を試みるアクセスを検知。
  • 調査したところ、組織内に設置してあったシスコ社製テレビ会議システムが、外部サーバに侵入するための踏み台として悪用されていたことが判明。
  • シスコ社製テレビ会議システムのファームウェア(OS)の脆弱性を突かれ、SSHを介して管理者権限で侵入され、システムが乗っ取られていた。




パソコンやサーバ以外でも、ネットワークに接続された機器の場合は、脆弱性を狙われて攻撃されるという脅威は存在します。攻撃が成功した場合は、パソコンやサーバと同様に、外部サイトなどを攻撃する踏み台として悪用されてしまいます。テレビ会議システムのような組込機器でも、製造元などからアップデートに関する情報を収集し、適切な対処を実施してください
(参考)
※SSH (Secure Shell) : ネットワークを介して遠隔のコンピュータと通信するためのプロトコルの一つ。

[ なりすまし ]

(ii) メールアカウントに不正にログインされ、迷惑メール送信の踏み台として使われた


  • 自組織で運用しているメールサーバのログが急速に肥大化していた。その後、外部組織より、「そちらからと思われる迷惑メールが大量に届く」との報告が届いた。
  • 調査したところ、メールアカウントの1つに外部から不正にログインされ、迷惑メール送信の踏み台として使われていたことが判明。
  • 短時間に大量のメールを発信していたために、送信先メールサーバから受信を拒否された。それが原因でエラーメールが自組織のメールサーバに大量に届いたため、ハードディスクの空き領域を圧迫し、結果的にサーバが機能停止した。
  • 詳しい原因は不明だったため、全アカウントを一旦削除し、全て新たに作成し直した。




原因は不明ですが、メールアカウントのパスワードが弱かったことが原因の一つとして考えられます。今後の対策としては、パスワードを強化するのはもちろんですが、組織外からメールの送受信を許可すべきか、認証を多重化すべきか、などの検討も必要になってきます。組織外からのメール送受信を許可する場合でも、メールサーバの監視を強化するなどして、何か問題が発生した場合に即対応できるようにしておきましょう。
(参考)

4.相談受付状況

 3月のウイルス・不正アクセス関連相談総件数は1,723件でした。そのうち『ワンクリック請求』に関する相談466件(2月:473件)、『偽セキュリティソフト』に関する相談が7件(2月:9件)、Winny に関連する相談22件(2月:6件)、「情報詐取を目的として特定の組織に送られる不審なメール」に関する相談2件(2月:0件)、などでした。

 表4-1 IPA で受け付けた全ての相談件数の推移

  10月 11月 12月 1月 2月 3月
合計 1,813 1,692 1,536 1,463 1,521 1,723
  自動応答システム 1,065 1,036 954 892 892 1,106
電話 675 580 531 499 570 551
電子メール 69 72 49 64 53 58
その他 4 4 2 8 6 8

(備考)
IPA では、「情報セキュリティ安心相談窓口」を開設し、コンピュータウイルス・不正アクセス、Winny 関連、その他情報セキュリティ全般についての相談を受け付けています。

メール 情報セキュリティ安心相談窓口
(これらのメールアドレスに特定電子メールを送信しないでください)
電話番号 03-5978-7509 (24時間自動応答、ただし IPA セキュリティセンター員による相談受付は休日を除く月~金、10:00~12:00、13:30~17:00のみ)
FAX 03-5978-7518 (24時間受付)

「自動応答システム」 : 電話の自動音声による応対件数
「電話」 : IPA セキュリティセンター員による応対件数
合計件数には、「不正アクセスの届出および相談の受付状況」における『相談(d) 計』件数を内数として含みます。

図4-1ワンクリック請求相談件数の推移
図4-1:ワンクリック請求相談件数の推移

主な相談事例は以下の通りです。

(i) ワンクリック請求で業者に個人情報を送ってしまった。
相談

未成年の子供がアダルトサイトを閲覧していて、請求画面が出るようになり、慌てて業者に電話で連絡をとった。子供の名前と生年月日を証明するものを見せてくれれば画面を消すといわれたので、子供の保険証を写真にとってメールで送ったら、画面を消してくれた。この対応でよかったのか。

回答

相手のことをよく知らずに、保険証の写しといった重要な情報を送ることは危険です。この場合、クリックした人が未成年であったかどうかに関わらず、この契約が成立しているか否かを含め、まず消費生活センター等へ相談するといった対応が望ましかったと言えます。

(ご参考)
(ii) 知人のメールアドレスから届いたメールが怪しい。
相談

知人のメールアドレスから届いたメールが見るからに怪しい。件名がなく、本文には怪しいURLの表記があるのみ。このURLをクリックするとどうなるのか。これは本当に知人が送ったメールなのか。

回答

当該URLを調べた結果、そのウェブサイトには、閲覧するだけでパソコンがウイルスに感染してしまう仕掛けが施されていました
知人のメールアドレスからこのようなメールが届いた原因としては、メールアドレスが詐称されていたか、もしくは知人のパソコンがウイルスに感染し、ウイルスによって今回のようなメールが送られた、ということが考えられます。
少しでも怪しいと思ったら、メールに書かれたURLは開かずに、疑ってかかることを心がけましょう。

(ご参考)

5.インターネット定点観測での3月のアクセス状況

 インターネット定点観測(TALOT2)によると、2011年3月の期待しない(一方的な)アクセスの総数は10観測点で246,123件、延べ発信元数83,923箇所ありました。平均すると、1観測点につき1日あたり271の発信元から794件のアクセスがあったことになります(図5-1参照)。
※延べ発信元数:TALOT2の各観測点にアクセスしてきた発信元を単純に足した数のことを、便宜上、延べ発信元数とする。ただし、同一発信元から同一の観測日・観測点・ポートに複数アクセスがあった場合は、発信元数を1としてカウントする。

 TALOT2 における各観測点の環境は、インターネットを利用される一般的な接続環境と同一なので、インターネットを利用される皆さんの環境へも同じくらいの一方的なアクセスがあると考えられます。

図5-1 1観測点・1日あたりの期待しない(一方的な)平均アクセス数と発信元数 図5-11観測点・1日あたりの期待しない(一方的な)平均アクセス数と発信元数

 2010年10月~2011年3月までの各月の1観測点・1日あたりの平均アクセス数とそれらのアクセスの平均発信元数を図5-1に示します。3月の期待しない(一方的な)アクセスは、2月と比べて大幅に増加しました。
 2月と3月の宛先(ポート種類)別アクセス数の比較を図5-2に示します。2月に比べ、特に増加が観測されたのは445/tcp、17500/udp、16753/udpへのアクセスでした。

図5-2:宛先(ポート種類)別アクセス数の比較(2月/3月)
図5-2:宛先(ポート種類)別アクセス数の比較(2月/3月)

445/tcpは、Windowsの脆弱性を狙った攻撃を行う際に狙われる可能性が高いポートで、先月に引き続き増加していました。これは主に、アメリカとトップ10以外の国からのアクセスが増えたことによるものでした(図5-3参照) 。

図5-3:445/tcp発信元地域別アクセス数の変化(10観測点の合計)
図5-3:445/tcp発信元地域別アクセス数の変化(10観測点の合計)

17500/udpについては、先月と同様に TALOT2 の特定の1観測点に対して同一セグメント内の複数の IP アドレスから規則的な間隔で送られていたという特徴がありました。このポートに対してブロードキャストを送信する一般利用者向けのソフトウェアの存在が確認されていることから、このソフトウェアを使用しているパソコン利用者による通信であった可能性があります。複数の IP アドレスから送られていたのは、当該パソコンがネットワークに接続する度に IP アドレスが変化していたためと思われます。なお、他の観測点ではブロードキャストが到達しない仕様のようなので、当該アクセスは観測されていません。

16753/udpについては、3月後半に、TALOT2 の特定の1観測点に対して複数の IP アドレスから送られていたという特徴がありました(図5-4参照)。このポートは特定のアプリケーションで使用されるポートというわけではなく、このアクセスが何を目的としたものだったかは不明です。

図5-4:16753/udp発信元地域別アクセス数の変化(特定の1観測点の合計)
図5-4:16753/udp発信元地域別アクセス数の変化(特定の1観測点の合計)

また、2月21日以降にミャンマーのIPアドレスからのアクセスがTALOT2の複数の観測点で増加したことを2月に報告しましたが、80/tcp、443/tcp、25/tcp、21/tcp、22/tcp、1/tcpのポートへのミャンマーのIPアドレスからのアクセスが3月も観測されています(図5-5参照)。定点観測を行っている他の組織の中にも類似した傾向を観測しているところもあり、何らかの攻撃が行われている可能性もありますので、引き続きこれらのポートへのアクセスに注意していきます。

図5-5:ミャンマーのIPアドレスからの21/tcp、22/tcp、25/tcp、80/tcp、443/tcp、1/tcpへの
アクセス数の変化(10観測点の合計)
図5-5:ミャンマーのIPアドレスからの21/tcp、22/tcp、25/tcp、80/tcp、443/tcp、1/tcpへの アクセス数の変化(10観測点の合計)

以上の情報に関して、詳細はこちらのサイトをご参照ください。

届出の詳細については以下の PDF ファイルをご参照ください。 2011年第1四半期のコンピュータウイルス・不正アクセス届出状況

『他機関・ベンダーの各種統計情報は以下のサイトで公開されています。』

一般社団法人JPCERTコーディネーションセンター:http://www.jpcert.or.jp/
@police:http://www.cyberpolice.go.jp/
フィッシング対策協議会:http://www.antiphishing.jp/
株式会社シマンテック:http://www.symantec.com/ja/jp/
トレンドマイクロ株式会社:http://jp.trendmicro.com/jp/home/
マカフィー株式会社:http://www.mcafee.com/japan/

お問い合わせ先:

独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC)
(ISEC:Information technology SEcurity Center)
TEL:03-5978-7591 FAX:03-5978-7518
E-mail: 電話番号:03-5978-7591までお問い合わせください。
     (このメールアドレスに特定電子メールを送信しないでください)
URL:http://www.ipa.go.jp/security/