HOME情報セキュリティ情報セキュリティ対策ウイルス対策コンピュータウイルス・不正アクセスの届出状況[2011年5月分]について

本文を印刷する

情報セキュリティ

コンピュータウイルス・不正アクセスの届出状況[2011年5月分]について

第11-21-220号
掲載日:2011年 6月 3日
独立行政法人情報処理推進機構
セキュリティセンター(IPA/ISEC)

 IPA (独立行政法人情報処理推進機構、理事長:藤江 一正)は、2011年5月のコンピュータウイルス・不正アクセスの届出状況をまとめました。
(届出状況の詳細PDF資料はこちら)

1. 今月の呼びかけ

「 パスワード ぼくだけ知ってる たからもの*1


 今年4月から5月にかけて、1億件を超えるIDやパスワードを含むアカウント情報漏えい事件などが発生しました。該当するサービスの利用者は、漏えいしたアカウント情報を不正に使用される“なりすまし”(不正アクセス)を防ぐため、パスワードの変更といった対処が求められています。
 今までも“なりすまし”の被害は発生していましたが、今回は漏えいした情報の量が多いため、IDやパスワードを他のサービスでも使い回ししていた利用者の情報が含まれている可能性も高く、その場合、それらのサービスにおいても“なりすまし”をされ、被害が拡大する可能性があります。
 大手のウェブメールサービスのアカウント情報を盗もうとするフィッシング※2の手口も横行しており、IDやパスワードを使い回しをしていると、同様に被害拡大の原因となり得ます。
 オンラインサービスでは、“なりすまし”をされた場合、金銭的な被害等を受ける危険があり、これを防ぐためには、パスワードの作成や管理に十分な注意が必要です。オンラインサービスで利用するIDやパスワードは、それを悪用しようとしている者に常に狙われていることを意識し、適切に管理してください。

※2 フィッシング(Phishing):正規のウェブサービスや金融機関など実在する会社を装ったメールを利用して偽の ウェブページに誘導し、それを見た利用者の ID やパスワードなどを詐取しようとする行為のこと。

(1) IDやパスワードを使い回すことの危険性

 近年は数多くのオンラインサービスが存在しており、利用者は各サービスについてそれぞれIDやパスワードを登録、管理することになります。この際、覚えきれないといった理由で、同じIDやパスワードを登録する“使い回し”が行われがちですが、使い回しをすると、そのうち一つのサービスでアカウント情報が漏えいした場合、連鎖的になりすまし被害が拡大する恐れがあります。
 次に、使い回しにより発生しうる被害拡大の一例を説明します(図1-1 参照)。

図1-1:IDやパスワード使い回しによる危険性
図1-1:IDやパスワード使い回しによる危険性

【1】IDやパスワードを使い回してオンラインサービスに登録
 複数のサービス(図ではA、B、C社)の利用者が、パスワード管理を簡略化するために、各社にログインするためのIDやパスワードを全て同じにしていたとします。
【2】A社のアカウント情報でB社にもログイン成功
 A社で情報漏えい事件が発生してパスワード情報が流出してしまい、悪意ある者が、流出した情報を元にB社のウェブサイトへのログインを試行すると、B社でもログインに成功してしまうケースです。
【3】C社でパスワードを破り、そのアカウント情報でB社にもログイン成功
 悪意ある者が、パスワードを破ろうとする総当たり攻撃※3や辞書攻撃※4への対策が不十分なC社のウェブサイトで、IDやパスワードを入手します。その情報をもとに、B社のウェブサイトでログイン試行すると、B社でもログインに成功してしまうケースです。
※3 何らかの規則にしたがって文字の組み合わせを総当たりで試行する、いわゆる力ずくの攻撃方法。
※4 辞書にある単語などを組み合わせながら試行する攻撃方法。


 パスワードの使い回しをしないことは、“なりすまし”の被害を拡大させないための重要なポイントの一つです。

 根本的に“なりすまし”の被害に遭わないためには、IDやパスワードを扱う上での基本的な対策が必要です。

(2) なりすまし対策の基本

 “なりすまし”対策の基本は、パスワードの強化・保管・利用の3点に集約できます(図1-2 参照)。 この3点のうち、1点でもおろそかにしてはいけません。

図1-2:なりすまし対策
図1-2:なりすまし対策

 以下のポイントを参考に、IDやパスワードの管理を適切に実施してください。

(a)パスワードを強化する
 破られやすいパスワードを使用していると、総当たり攻撃や辞書攻撃を受けることによりパスワードを破られる危険性が高くなります。次の条件を満たすよう、破られにくいパスワードを使用してください。
 ・英字(大文字、小文字)・数字・記号など使用できる文字種全てを組み合わせる
 ・8文字以上にする
 ・辞書に載っているような単語や名前(人名、地名)を避ける


(b)パスワードを適切に保管する
 破られにくいパスワードを作成したあとは、その保管について以下の項目にも注意してください。  

    パスワードをメモする時は、IDと別々にする
     長く複雑なパスワードを作成すると、記憶するのは大変です。この場合、紙にメモしても構いませんが、IDとパスワードは別々に保管することを勧めます。仮にパスワードが知られたとしても、どのIDに対応するパスワードなのかがわからなければ、なりすましは難しくなります。
    定期的に棚卸しをする
     古いIDを放置していると、時間をかけてパスワードを破られる危険性が高まります。利用サービスを定期的に棚卸しして、利用しないサービスに関しては登録解除することを勧めます。

(c)パスワードを適切に利用する
 サービス利用時にパスワードを入力する際にも注意が必要です。

    ネットカフェなど、不特定多数が利用するパソコンでは、IDやパスワードを入力しない
     破られにくいパスワードを設定していても、ネットカフェ内のパソコンにパスワードを盗むウイルスが仕掛けられていたら簡単に盗まれてしまいます。自分の管理下にないパソコンでは、IDやパスワードを必要とするオンラインサービスの利用は避けるようにしてください。
    ワンタイムパスワードなどのサービス(二要素認証、二段階認証等)を利用する
     オンラインバンキングやオンラインゲームなどでは、その時だけ有効なパスワードを発行する「ワンタイムパスワード」というサービスを提供していることがあります。IDやパスワードを盗むウイルスに感染していても、一度きりのパスワードのため、仮に盗まれてもその後悪用されることはありません。また、フィッシングの手口に引っ掛かり、IDやパスワードを盗まれたとしても、同様に、悪用されることはありません。ただし、ワンタイムパスワードのトークン※5を他人に渡さない、トークンに表示されているパスワードを他人に教えない、信頼できるサイトに対してのみパスワード入力する、などの基本的対策は必須です。
     オンラインサービスによっては、ログインしたタイミングでお知らせメールを送信する機能(ログインアラート機能)を提供している場合があります。身に覚えのないログインアラートメールが届いた場合は、即座にアカウントをロックすることにより、被害を最小限に留めることができます。
    ※5 トークン(Token):利用者の認証をより確実にするために使用する、ハードウェアまたはソフトウェアのこと。ハードウェアの場合には、ポケットに入る程度に小さなものが多く、時刻に基づくワンタイムパスワードを表示したり、暗号鍵や生体認証のための情報を格納しておくなどの機能がある。

 上記のなりすまし対策を行っていても、セキュリティ対策の基本であるウイルス対策ソフトの導入は必須です。オンラインサービスへログインする時に利用者が入力したIDやパスワードを盗み取るウイルス(キーロガー)が確認されています。このようなウイルスに感染して情報を盗まれないために、ウイルス対策ソフトを導入し、ウイルス定義ファイルを最新に保つようにしてください。

 さらに、OS(オペレーティングシステム)やアプリケーションソフトの脆弱性対策も必須です。

 また、Internet Explorerなどのブラウザには、IDやパスワードを保存する機能がありますが、保存された情報を盗むウイルスも確認されています。盗まれるリスクを減らすため、ブラウザにはIDやパスワードを保存しないようにすることを勧めます。

今月のトピックス

  • コンピュータ不正アクセス被害の主な事例(届出状況及び被害事例の詳細は、「3.コンピュータ不正アクセス届出状況」を参照)
    • ウェブメールサービスに勝手にログインされて、アカウントを削除されてしまった
    • "ガンブラー"によるものと思われる被害
  • 相談の主な事例 (相談受付状況及び相談事例の詳細は、「4.相談受付状況」を参照)
    • FBIから怪しいメールが届いた?
    • オンラインゲームで不正アクセスを受けた
  • インターネット定点観測(詳細は、別紙3を参照)
    IPA で行っているインターネット定点観測について、詳細な解説を行っています。

2. コンピュータウイルス届出状況 -詳細は別紙1を参照-

(1) ウイルス届出状況

 5月のウイルスの検出数※1は、2.3万個と、4月の約2.6万個から11.4%の減少となりました。また、5月の届出件数※2は、1,049件となり、4月の1,138件から7.8%の減少となりました。

※1 検出数 : 届出にあたり届出者から寄せられたウイルスの発見数(個数)
※2 届出件数: 同じ届出者から寄せられた届出の内、同一発見日で同一種類のウイルスの検出が複数ある場合は、1日何個検出されても届出1件としてカウントしたもの。
 ・5月は、寄せられたウイルス検出数約2.3万個を集約した結果、1,049件の届出件数となっています。

 検出数の1位は、W32/Netsky1.5万個、2位はW32/Mydoom5.6千個、3位はW32/Autorun0.7千個でした。

図2-1:ウイルス検出数

図2-1:ウイルス検出数

図2-2:ウイルス届出件数

図2-2:ウイルス届出件数

(2) 不正プログラムの検知状況

 5月は、パソコン内に裏口を仕掛けるBACKDOORや、別のウイルスを感染させようとするDOWNLOADERといった不正プログラムが増加傾向となりました(図2-3参照)。

図2-3:不正プログラムの検知件数推移

図2-3:不正プログラムの検知件数推移

3. コンピュータ不正アクセス届出状況(相談を含む) -詳細は別紙2を参照-

表3-1 不正アクセスの届出および相談の受付状況

  12月 1月 2月 3月 4月 5月
届出(a) 計 22 12 10 6 5 7
  被害あり(b) 7 6 5 6 5 6
被害なし(c) 15 6 5 0 0 1
相談(d) 計 27 41 23 45 38 55
  被害あり(e) 7 11 6 10 10 14
被害なし(f) 20 30 17 35 28 41
合計(a+d) 49 53 33 51 43 62
  被害あり(b+e) 14 17 11 16 15 20
被害なし(c+f) 35 36 22 35 28 42

(1)不正アクセス届出状況

 5月の届出件数は7件であり、そのうち何らかの被害のあったものは6件でした。

(2)不正アクセス等の相談受付状況

 不正アクセスに関連した相談件数は55件であり、そのうち何らかの被害のあった件数は14件でした。

(3)被害状況

 被害届出の内訳は、侵入4件、なりすまし2件でした。
 「侵入」の被害は、サーバの脆弱性を突かれてサーバ内に不審なファイルを置かれて、データベース内の情報を盗まれたものが1件、ウェブページが改ざんされていたものが3件(内、フィッシングに悪用するためのコンテンツ設置1件)でした。侵入の原因は、バージョンが古かったものが1件、脆弱なパスワード設定が1件、アクセス制限の設定ミスが1件でした(他は原因不明)。
 「なりすまし」の被害は、フリーのウェブメールサービスに何者かにログインされてメールを勝手に送信されていたものが1件、オンラインサービスに何者かにログインされてアカウントごと削除されていたものが1件でした。

※フィッシング(Phishing):正規のウェブサービスや金融機関など実在する会社を装ったメールを利用して偽のウェブページに誘導し、それを見た利用者の ID やパスワードなどを詐取しようとする行為のこと。

(4)被害事例

[ なりすまし ]
(i) ウェブメールサービスに勝手にログインされて、アカウントを削除されてしまった

  • 普段利用しているウェブメールサービスに突然ログインできなくなった。
  • サービス提供会社に問い合わせたところ、自分以外の第三者がログインして「ID削除」を行ったとのこと。
  • パスワードを盗まれたと思うが、盗まれた原因は分からない。




強固なパスワードを設定するとともに、ID やパスワードの使い回しは避けましょう。オンラインサービスによっては、ログインしたタイミングでお知らせメールを送信する機能(ログインアラート機能)を提供している場合があります。自分以外の誰かがログインした際に、お知らせメールが届けば、不正ログインに早く気付くことができ、被害を最小限に留めることができます。この機能は、フィッシングの手口に引っ掛かり、IDやパスワードを盗まれた場合でも、有効に働きます。

[ 侵入 ]
(ii)"ガンブラー"によるものと思われる被害

  • 自社ホームページを閲覧すると、ウイルス対策ソフトのウイルス警告が出てきた。
  • ウェブサイトのコンテンツを調査したところ、HTMLソースに、悪意あるサイトへ誘導するためのスクリプトが挿入されていることが判明。
  • すぐにftpパスワードを変更した。今後の対策として、ftp接続を許可する接続元IPアドレスに制限を加えた。




減少傾向ではありますが、いまだにガンブラーによるものと思われる被害が続いています。典型的なガンブラーの被害を防ぐための対策として、「ftpアクセスの制限」は有効です。その他、「ftpアカウントのパスワード強化」や「ウェブサイト更新専用パソコンの導入」も有効な対策です。
(参考)

4.相談受付状況

 5月のウイルス・不正アクセス関連相談総件数は1,640件でした。そのうち『ワンクリック請求』に関する相談519件(4月:455件)、『偽セキュリティソフト』に関する相談が3件(4月:6件)、Winny に関連する相談5件(4月:13件)、「情報詐取を目的として特定の組織に送られる不審なメール」に関する相談8件(4月:1件)、などでした。

 表4-1 IPA で受け付けた全ての相談件数の推移

  12月 1月 2月 3月 4月 5月
合計 1,536 1,463 1,521 1,723 1,608 1,640
  自動応答システム 954 892 892 1,106 997 950
電話 531 499 570 551 555 620
電子メール 49 64 53 58 50 62
その他 2 8 6 8 6 8

(備考)
IPA では、「情報セキュリティ安心相談窓口」を開設し、コンピュータウイルス・不正アクセス、Winny 関連、その他情報セキュリティ全般についての相談を受け付けています。

メール 情報セキュリティ安心相談窓口
(これらのメールアドレスに特定電子メールを送信しないでください)
電話番号 03-5978-7509 (24時間自動応答、ただし IPA セキュリティセンター員による相談受付は休日を除く月~金、10:00~12:00、13:30~17:00のみ)
FAX 03-5978-7518 (24時間受付)

「自動応答システム」 : 電話の自動音声による応対件数
「電話」 : IPA セキュリティセンター員による応対件数
合計件数には、「不正アクセスの届出および相談の受付状況」における『相談(d) 計』件数を内数として含みます。


図4-1:ワンクリック請求相談件数の推移

図4-1ワンクリック請求相談件数の推移主な相談事例は以下の通りです。

(i)FBIから怪しいメールが届いた?
相談

FBI(米連邦捜査局)と思われるメールアドレスから、「You visit illegal websites(あなたは違法なウェブサイトを閲覧した)」という件名の、添付ファイル付きのメールが届いた。本文も英語で書かれており、“多数の違法なウェブサイトにあなたのIPアドレスが記録されていたので、添付ファイルの質問に答えてください”といった内容。
心当たりはないが、なぜこのようなメールが届いたのか。

回答

送信元を偽装し、不特定多数を狙った罠メールと思われます。類似したメールが出回っているという注意喚起が、2011年5月上旬に海外のセキュリティ企業から発信されています。添付ファイルを開くとウイルスに感染するようです
悪意ある者は言葉巧みにターゲットにウイルスを感染させようとするので、身に覚えのないメールが届いたら、不用意に反応しないようにしましょう。

(ご参考)
(ii)オンラインゲームで不正アクセスを受けた
相談

いつも使っているオンラインゲームサイトにログインしたら、昨日まであったはずのアイテムとゲーム内通貨が盗まれたらしく、なくなっていた。
実はこのことが起きる数日前に、ゲームにログイン中に誰かに上書きログイン(二重ログイン)されて、接続が切れたことがあった。それで念のため、パスワードを変更したが、それでも不正アクセスされてしまったということになる。
相手はどのようにして不正アクセスが行えたのか。

回答

パスワードを破る手段として、総当り攻撃などのように、ある程度時間のかかる方法の場合、一旦パスワードを変更してしまえば、再度破るにしばらく時間がかかるはずです。
今回のケースはパスワードを変更したにも関わらず、あまり時間を置かずに再度破られたということなので、よほど安易なパスワードを設定していたか、パソコン自体にパスワード情報を盗むウイルスが感染していた可能性が高いと思われます。
ウイルス感染が原因の場合、ウイルス対策ソフトでウイルスを駆除する必要がありますが、ウイルスチェックで何も見つからなかった場合でも安心はできませんので、念のためパソコンを一度初期化することをお勧めします。

(ご参考)

※総当り攻撃:何らかの規則にしたがって文字の組み合わせを総当りで試行する、いわゆる力ずくの攻撃方法。

5.インターネット定点観測での5月のアクセス状況

 インターネット定点観測(TALOT2)によると、2011年5月の期待しない(一方的な)アクセスの総数は10観測点で189,497件、延べ発信元数78,227箇所ありました。平均すると、1観測点につき1日あたり252の発信元から611件のアクセスがあったことになります(図5-1参照)。

※延べ発信元数:TALOT2の各観測点にアクセスしてきた発信元を単純に足した数のことを、便宜上、延べ発信元数とする。ただし、同一発信元から同一の観測日・観測点・ポートに複数アクセスがあった場合は、発信元数を1としてカウントする。

 TALOT2 における各観測点の環境は、インターネットを利用される一般的な接続環境と同一なので、インターネットを利用される皆さんの環境へも同じくらいの一方的なアクセスがあると考えられます。

図5-1: 1観測点・1日あたりの期待しない(一方的な)平均アクセス数と発信元数 図5-1:1観測点・1日あたりの期待しない(一方的な)平均アクセス数と発信元数

 2010年12月~2011年5月までの各月の1観測点・1日あたりの平均アクセス数とそれらのアクセスの平均発信元数を図5-1に示します。5月の期待しない(一方的な)アクセスは、4月と比べて減少しました。

 4月と5月の宛先(ポート種類)別アクセス数の比較を図5-2に示します。4月に比べ、増加が観測されたのは10394/udp 、10394/tcp、その他へのアクセスでした。

図5-2:宛先(ポート種類)別アクセス数の比較(4月/5月)
図5-2:宛先(ポート種類)別アクセス数の比較(4月/5月)

 10394/udpと10394/tcpについては、5月22日の周辺に、増加が観測されていました(図5-3参照)。これらのポートはいずれも、特定のアプリケーションで使用されるポートというわけではなく、このアクセスが何を目的としたものだったかは不明です。これらのアクセスは、特定の1観測点でしか観測されていませんでしたが、1つの発信元からというわけではなく、複数の発信元からのアクセスが観測されていました。

図5-3:10394/tcp・10394/udpアクセス数の変化(特定の1観測点の合計)
図5-3:10394/tcp・10394/udpアクセス数の変化(特定の1観測点の合計)

 その他へのアクセスの増加について、解析した結果、TALOT2の特定の観測点に対し、5月20日から23日の間に、アメリカ合衆国の特定のIPアドレスの80/tcpからのアクセスが観測されました(図5-4参照)。これらのアクセスは、全てSYN/ACKパケットだったことから、TALOT2で使用しているアドレスが、DoS 攻撃(SYN Flood 攻撃)(*1)の攻撃者が発信元詐称に利用したアドレスと一致したために、標的となった組織からのSYN/ACKパケット(跳ね返りパケット(*3))が大量に届いていた可能性があるということです。

図5-4:アメリカのIPアドレスからのSYN Flood攻撃の跳ね返りパケット数の変化(観測点毎)
図5-4:アメリカのIPアドレスからのSYN Flood攻撃の跳ね返りパケット数の変化(観測点毎)

 なお、5月26日にも、中国の特定のIPアドレスの7001/tcpからのアクセスが観測されていました(図5-5参照)。これらのアクセスも、全てSYN/ACKパケットだったことから、TALOT2で使用しているアドレスが、攻撃者が発信元詐称に利用したアドレスと一致したために、標的となった組織からのSYN/ACKパケットが大量に届いていた可能性があるということです。

図5-5:中国のIPアドレスからのSYN Flood攻撃の跳ね返りパケット数の変化(観測点毎)
図5-5:中国のIPアドレスからのSYN Flood攻撃の跳ね返りパケット数の変化(観測点毎)

(*1):DoS 攻撃(SYN Flood 攻撃)
「サービス妨害攻撃」Denial of Service の略からDoS攻撃と呼ばれ、標的マシンにおけるサービス機能を停止または低下させる攻撃のこと。このDoS攻撃の1つに、標的マシンに「過負荷を与える攻撃」 としてSYN Flood 攻撃があります。これは、標的マシンに対して発信元アドレスを詐称したSYN パケット(3 ウェイ・ハンドシェーク(*2)での接続確立の最初に送られるパケット)を大量に送りつけ、確立途中状態の接続を大量作成するものです。

(*2):3 ウェイ・ハンドシェーク
TCP で通信を行う際に、最初に行われる通信確立のための手順を、3 ウェイ・ハンドシェークと言います。この手順により、 通信を行う相手同士が通信の準備ができたことを確認できるわけです。 以下にA とB の通信確立の手順を示します。
(1)A からB へSYN パケットの送信
(2)B からA へACK+SYN パケットの送信
(3)A からB へACK パケットの送信
これで、AB 双方の通信が確立されます。

(*3):跳ね返りパケット
DoS 攻撃(SYN Flood 攻撃)において攻撃者が詐称した発信元アドレスに、標的マシンから大量のSYN+ACK パケットが返信されてくることです。

以上の情報に関して、詳細はこちらのPDFファイルをご参照ください。

届出の詳細については以下の PDF ファイルをご参照ください。

『他機関・ベンダーの各種統計情報は以下のサイトで公開されています。』

一般社団法人JPCERTコーディネーションセンター:http://www.jpcert.or.jp/
@police:http://www.cyberpolice.go.jp/
フィッシング対策協議会:http://www.antiphishing.jp/
株式会社シマンテック:http://www.symantec.com/ja/jp/
トレンドマイクロ株式会社:http://jp.trendmicro.com/jp/home/
マカフィー株式会社:http://www.mcafee.com/japan/

お問い合わせ先:

独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC)
(ISEC:Information technology SEcurity Center)
TEL:03-5978-7591 FAX:03-5978-7518
E-mail: 電話番号:03-5978-7591までお問い合わせください。
     (このメールアドレスに特定電子メールを送信しないでください)
URL:http://www.ipa.go.jp/security/