HOME情報セキュリティ情報セキュリティ対策ウイルス対策コンピュータウイルス・不正アクセスの届出状況[2011年9月分および第3四半期]について

本文を印刷する

情報セキュリティ

コンピュータウイルス・不正アクセスの届出状況[2011年9月分および第3四半期]について

第11-33-231号
掲載日:2011年 10月 5日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター

 IPA (独立行政法人情報処理推進機構、理事長:藤江 一正)は、2011年9月および2011年第3四半期のコンピュータウイルス・不正アクセスの届出状況をまとめました。
(届出状況の詳細PDF資料はこちら)

1. 今月の呼びかけ

「 ウイルスを使った新しいフィッシング詐欺に注意! 」

 先月の呼びかけでは、SpyEyeウイルスによるインターネットバンキングでの不正利用事件を取り上げました。そのSpyEyeウイルスはキーボードで入力した内容を盗むウイルスでしたが、IPAでは2011年9月、異なる手口でインターネットバンキングのログイン情報を盗む事例を確認しました。
 その手口は、既存のフィッシングの手口にウイルスを組み合わせた新しい手法です。銀行を装った偽のメールにウイルスが添付されており、ウイルスを実行するとログイン情報や乱数表の内容の入力を促す画面が現れ、メールの指示に従って入力してしまうと悪意ある者にその情報が渡ってしまう、というものです。実際にこの手口により銀行口座から総額数百万円を引き出される被害が発生しています。
 IPAでは実際の偽メールを入手しウイルスを解析しました。その解析結果から、ウイルスの概要と、実行されるとどのような動作をするのかを示すとともに、被害に遭わないための対策を紹介します。

(1)フィッシングとは?

 フィッシング(Phishing)とは、金融機関(銀行やクレジットカード会社)などを装ったメールを送り、電子メールの受信者に偽のウェブサイトにアクセスするよう仕向け、住所、氏名、銀行口座番号、クレジットカード番号などの個人情報を詐取する行為のことをいいます。
 以下に、典型的なフィッシング被害の一例を説明します(図1-1 参照)。

図1-1:フィッシング被害の一連の流れのイメージ図
図1-1:フィッシング被害の一連の流れのイメージ図

【1】攻撃者が偽メールを送信
 攻撃者が、正規のウェブサービスや金融機関など実在する会社を装ったメールを無差別に送信します。

【2】利用者がメール本文中のリンクをクリック
 メール受信者が、そのメールを信用してメール本文中のURLをクリックすると、事前に用意された偽のウェブサイトに誘導されます。

【3】攻撃者がログイン情報を入手
 偽のウェブサイトと気付かずにログイン情報(IDやパスワードなど)を入力してしまうと、そのアカウント情報が攻撃者に渡ってしまいます。

【4】攻撃者が実際のウェブサイトにログイン
 攻撃者は、入手したログイン情報を使い、利用者になりすまして本物のウェブサイトにログインします。

(2)ウイルスを使った新しいフィッシング手口の概要

 以下に、IPAで確認したウイルスの挙動と一連の手口を解説します。

【1】きっかけとなるメール(フィッシングメール)
 国内の大手銀行を装った文面で、ウイルスが添付されたメールです(図1-2参照)。
 

図1-2:メール本文例
図1-2:メール本文例

  該当メールの添付ファイルを調査した結果、「Banker」や「Jginko」と呼ばれるウイルスの一種でした。アイコンの見た目が実在する銀行のロゴマークと同じもので、これは受信者がついクリックしてしまう効果を狙っていると思われます(図1-3参照)。

図1-3:ウイルスのアイコンを表示したイメージ
図1-3:ウイルスのアイコンを表示したイメージ

【2】ログイン情報入力画面
 メールの文面に従い、添付ファイルを開くと、送金手続きの際などに必要な契約者番号やパスワード、乱数表の情報全てを入力するように促す画面が現れます(図1-4参照)。通常、このような依頼がメールで来ることはあり得ません

図1-4:情報入力を促す画面のイメージ(表示内容はウイルスによって異なります)
図1-4:情報入力を促す画面のイメージ(表示内容はウイルスによって異なります)

【3】ログイン情報を送信
 情報を入力し「送信」ボタンをクリックすると、外部のサーバーに、情報入力済みの画面を画像データとして送信しようとします。
 外部サーバーへの接続に失敗した場合には、文字化けしたメッセージが表示されます。日本語環境で文字化けするこの文字列は、中国語簡体字として表示すると「」となり、これは「接続の失敗」を意味します。このことから、このウイルスは中国語を理解する人物によって作成された可能性があります。

図1-5:接続失敗時のエラーと思われるメッセージ
図1-5:接続失敗時のエラーと思われるメッセージ

【4】悪意ある者がログイン可能に
 結果的に、契約者番号、複数のパスワード、乱数表に書かれた全ての情報が相手に知られるため、これらのアカウント情報を基に、悪意ある者がインターネットバンキングサイトにログインし、送金手続きなどをすることが可能になります。

(3)対策

 従来のフィッシングの手口では、悪意ある者が偽のウェブサイトを開設し、その上で利用者を偽サイトに誘導する必要がありましたが、今回のケースでは、メールの添付ファイルそのものにアカウント情報を入力させる仕掛けが施されており、仕組みとしては単純といえます。
 単純であるが故に、基本的な対策を確実に実施することが大切です。

【i】フィッシング対策
(1)メールの真偽の確認
 金融機関等から来たと思われるメールでも、内容を慎重に確認してください。そもそもカード番号や暗証番号を入力するような依頼がメールで届くことはありません。もしそのようなメールが金融機関等から届いた場合は、送信元に電話で問い合わせたり、ウェブサイトのお知らせ欄を見たりして、その情報(メール)の真偽を確認してください。電話で問い合わせをする時は、メール本文に記載されている連絡先ではなく、口座開設時に送付された書類を見る等、正しいと確証が持てる連絡先に電話してください。
(2)メール記載のリンクに注意
 メール本文内にあるリンク先に不用意にアクセスしないことも重要です。当該銀行等のウェブサイトを確認する場合は、メール中のリンクからアクセスするのではなく、ブラウザの「お気に入り」や「ブックマーク」に正しいアドレスを登録しておき、常にそちらからアクセスすることを勧めます。
(ご参考)
【ii】ウイルス対策
(1)添付ファイルの取扱い
 メールに添付ファイルがあった場合は、常にウイルスの可能性を疑ってください。普段やり取りのある送信者からのメールでも用心し、少しでも不自然だと思うメールであれば、相手に確認を取るか、メールそのものを読まずに削除してください。
(2)ウイルス対策ソフトの活用
 ウイルス対策ソフトを導入し、ウイルス定義ファイルを最新に保つことで、ウイルスの侵入阻止や、侵入したウイルスの駆除ができます。前述の事例におけるウイルスについても、ウイルス対策ソフトが導入済であればメール受信時や添付ファイル保存時、またはファイルを開く際にウイルスとして検出することができます。
【iii】事後対応

 万一、インターネットバンキングの不正利用の被害に遭ってしまった場合は、当該銀行への問い合わせをしてください。 多くの銀行では、ウェブサイトのトップページから問い合わせができるようになっています。さらに、ウイルスに感染していない、自分自身が管理している安全なパソコンから、インターネットバンキングで使用しているパスワードを変更してください。今回紹介した「Banker」や「Jginko」のように乱数表を入力するタイプのフィッシング詐欺に遭ってしまった場合は、乱数表の内容を既に知られてしまっているので、乱数表カードの交換や、口座を開設し直す、といった対処が必要です。
 なお、IDやパスワードの管理が本質的な対策の一つですので、それに関しては、2011年6月の呼びかけを参照してください。

(ご参考)

今月のトピックス

  • コンピュータ不正アクセス被害の主な事例(届出状況及び被害事例の詳細は、「3.コンピュータ不正アクセス届出状況」を参照)
    • SQLインジェクション攻撃でログイン情報などを盗まれた
    • オンラインゲームのアカウントが乗っ取られた
  • 相談の主な事例 (相談受付状況及び相談事例の詳細は、「4.相談受付状況」を参照)
    • 楽天のサービスで不正アクセスの被害にあった
    • 以前、入れていたファイル共有ソフトによって情報漏えいがあったか心配している
  • インターネット定点観測(詳細は、別紙3を参照)
    IPA で行っているインターネット定点観測について、詳細な解説を行っています。

2. コンピュータウイルス届出状況 -詳細は別紙1を参照-

(1) ウイルス届出状況

 9月のウイルスの検出数※1は、21,291個と、8月の25,143個から15.3%の減少となりました。また、9月の届出件数※2は、906件となり、8月の931件から2.7%の減少となりました。

※1 検出数 : 届出にあたり届出者から寄せられたウイルスの発見数(個数)
※2 届出件数: 同じ届出者から寄せられた届出の内、同一発見日で同一種類のウイルスの検出が複数ある場合は、1日何個検出されても届出1件としてカウントしたもの。
 ・9月は、寄せられたウイルス検出数21,291個を集約した結果、906件の届出件数となっています。

 検出数の1位は、W32/Mydoom9,525個、2位はW32/Netsky9,194個、3位はW32/Autorun553個でした。

図2-1:ウイルス検出数

図2-1:ウイルス検出数

図2-2:ウイルス届出件数

図2-2:ウイルス届出件数

(2) 不正プログラムの検知状況

 9月は、別のウイルスを感染させようとするDOWNLOADERといった不正プログラムが増加傾向となりました。また、RLTRAPという不正プログラムが9月に入ってから大幅に増加しました(図2-3参照)。RLTRAPは、利用者がファイルの拡張子を誤認してしまうように、ファイル名に細工を施された不正プログラムの一般名と思われます。

図2-3:不正プログラムの検知件数推移

図2-3:不正プログラムの検知件数推移

3. コンピュータ不正アクセス届出状況(相談を含む) -詳細は別紙2を参照-

表3-1 不正アクセスの届出および相談の受付状況

  4月 5月 6月 7月 8月 9月
届出(a) 計 5 7 9 8 10 7
  被害あり(b) 5 6 9 5 8 5
被害なし(c) 0 1 0 3 2 2
相談(d) 計 38 55 32 47 37 31
  被害あり(e) 10 14 7 15 13 8
被害なし(f) 28 41 25 32 24 23
合計(a+d) 43 62 41 55 47 38
  被害あり(b+e) 15 20 16 20 21 13
被害なし(c+f) 28 42 25 35 26 25

(1)不正アクセス届出状況

 9月の届出件数は7件であり、そのうち何らかの被害のあったものは5件でした。

(2)不正アクセス等の相談受付状況

 不正アクセスに関連した相談件数は31件であり、そのうち何らかの被害のあった件数は8件でした。

(3)被害状況

 被害届出の内訳は、侵入2件、なりすまし3件でした。
 「侵入」の被害は、ウェブページが改ざんされていたものが1件、データベースからログイン情報等が盗まれたものが1件、でした。侵入の原因は、ウェブアプリケーションの脆弱性を突かれたものが1件でした(他は原因不明)。
 「なりすまし」の被害は、オンラインサービスのサイトに本人になりすまして何者かにログインされ、サービスを勝手に利用されていたもの(オンラインゲーム3件)、でした。

(4)被害事例

[ 侵入 ]
(i)SQLインジェクション攻撃でログイン情報などを盗まれた

  • 公開しているウェブサイトのレスポンスが異常に遅いので調査したところ、不正アクセスの痕跡を見つけた。
  • アクセスログを詳しく解析したところ、不正アクセスの原因はSQLインジェクション攻撃と判明。
  • 攻撃を受けた箇所は2年前に対策済だったが、ページ更新時にソースのデグレードが発生してしまい、結果として該当箇所のみ対策されていない状態となり、そこを突かれて攻撃されてしまった。




対策済であったにも関わらず、ソースのデグレードにより問題が再発してしまった例です。
脆弱性の解消は、出来る限り行うのはもちろんですが、意図しない事故や人為的ミスに備えた多段防御として、WAF(Web Application Firewall)導入によるウェブサイト全体のセキュリティ強化も有効な対策になります。
(ご参考)

デグレード:プログラム修正時に、修正部分以外の箇所が以前の状態に戻ってしまうこと。


[ なりすまし ]
(ii)オンラインゲームのアカウントが乗っ取られた

  • ゲーム内で「ゲームで使えるお金をあげる」と言われたので、その相手にパスワードを教えたところ、後日ログインできなくなった。
  • その相手がログイン後にパスワードを変更したと考えられる。
  • こうしたなりすまし行為は、警察に被害届けを出すと受理してくれるのか?




パスワードを他人に教えてしまったことで、アカウントを奪われ、さらにパスワード等の登録情報までもが変更されてしまいました。たとえ親しい友人であっても、パスワードは絶対に教えてはいけません。パスワードを自分から教えてしまうと、不正アクセス禁止法の適用外となる可能性もあります。
パスワードを自分から教えなくても、SNS(ソーシャルネットワーキングサービス)などのアカウント情報と同じものを使っていると、そうしたサービスの自己紹介などから推測される可能性があります。面倒でも、サービスごとに異なるパスワードを設定することを勧めます。
被害届けの提出は、ゲーム運営業者側で行うことになりますので、まずはゲーム運営業者に問い合わせをしてください。場合によっては、警察に被害状況を申告するようにゲーム運営業者から指示されることもありますので、その際には最寄りの警察署に対処方法について相談してください。なお、ゲーム運営業者に問い合わせても、あまり良い対応を行ってもらえない場合、最寄りの消費生活センターに相談することをお勧めします。
(ご参考)

4.相談受付状況

 9月のウイルス・不正アクセス関連相談総件数は1,551件でした。そのうち『ワンクリック請求』に関する相談477件(8月:535件)、『偽セキュリティソフト』に関する相談が2件(8月:7件)、Winny に関連する相談19件(8月:7件)、「情報詐取を目的として特定の組織に送られる不審なメール」に関する相談2件(8月:0件)、などでした。

 表4-1 IPA で受け付けた全ての相談件数の推移

  4月 5月 6月 7月 8月 9月
合計 1,608 1,640 1,692 1,490 1,651 1,551
  自動応答システム 997 950 999 889 958 936
電話 555 620 639 540 639 554
電子メール 50 62 50 54 50 52
その他 6 8 4 7 4 9

(備考)
IPA では、「情報セキュリティ安心相談窓口」を開設し、コンピュータウイルス・不正アクセス、Winny 関連、その他情報セキュリティ全般についての相談を受け付けています。

メール 情報セキュリティ安心相談窓口
(これらのメールアドレスに特定電子メールを送信しないでください)
電話番号 03-5978-7509 (24時間自動応答、ただし IPA セキュリティセンター員による相談受付は休日を除く月~金、10:00~12:00、13:30~17:00のみ)
FAX 03-5978-7518 (24時間受付)

「自動応答システム」 : 電話の自動音声による応対件数
「電話」 : IPA セキュリティセンター員による応対件数
合計件数には、「不正アクセスの届出および相談の受付状況」における『相談(d) 計』件数を内数として含みます。

図4-1:ワンクリック請求相談件数の推移

図4-1:ワンクリック請求相談件数の推移

主な相談事例は以下の通りです。

(i)楽天のサービスで不正アクセスの被害にあった
相談

楽天のサービスを利用しているが、心当たりのない決済がされていることに気付いた。ログインの際のパスワードを破られて不正アクセスされた可能性が高い。このような被害に遭った場合、どういった行動をとればいいか分からない。
(このほか、同様の事例が3件)

回答

まずは早急に今回の件を楽天側に連絡してください。以下に紹介した楽天のページに、サービス毎の連絡先情報が書かれています。
また、今後同じような被害に遭わないために、パスワードのセキュリティ対策を見直すことをお勧めします。

(ご参考)
(ii)以前、入れていたファイル共有ソフトによって情報漏えいがあったか心配している
相談

以前、ファイル共有ソフトを使ってみようとパソコンに入れたことがある。しかし、設定がうまくいかず、結局使用するには至らなかった。この状況でパソコンから情報漏えいが起こりえたか心配している。また、パソコンにファイル共有ソフトが残っていないかも心配している。確認する方法はないか。

回答

ファイル共有ソフトを使用するには至らなかったということは、ファイル共有ソフトのネットワークに接続できていないので、情報漏えいの心配はありません
また、IPAが提供している「情報漏えい対策ツール」を活用することで、パソコンにファイル共有ソフトが残っていないか確認することができます。ご利用を希望される場合は、以下のページから申し込みを行ってください。

(ご参考)

5.インターネット定点観測での9月のアクセス状況

 インターネット定点観測(TALOT2)によると、2011年9月の期待しない(一方的な)アクセスの総数は10観測点で108,576件、延べ発信元数45,285箇所ありました。平均すると、1観測点につき1日あたり150の発信元から361件のアクセスがあったことになります(図5-1参照)。

※延べ発信元数:TALOT2の各観測点にアクセスしてきた発信元を単純に足した数のことを、便宜上、延べ発信元数とする。ただし、同一発信元から同一の観測日・観測点・ポートに複数アクセスがあった場合は、発信元数を1としてカウントする。

 TALOT2 における各観測点の環境は、インターネットを利用される一般的な接続環境と同一なので、インターネットを利用される皆さんの環境へも同じくらいの一方的なアクセスがあると考えられます。

図5-1: 1観測点・1日あたりの期待しない(一方的な)平均アクセス数と発信元数

図5-1:1観測点・1日あたりの期待しない(一方的な)平均アクセス数と発信元数

 上記グラフは2011年4月~2011年9月までの各月の1観測点・1日あたりの平均アクセス数とそれらのアクセスの平均発信元数を示しています。9月の期待しない(一方的な)アクセスは、8月と比べてやや増加しました。

 8月と9月の宛先(ポート種類)別アクセス数の比較を図5-2に示します。これを見ると各ポートへのアクセス数において、8月と比べてそれほど目立った変化はありませんでしたが、2011年9月のレポートで8月の後半に増加が観測されたと報告しました3389/tcpへのアクセスは、その後一時的に減少したのち、再び増加傾向を示しました(図5-3参照)。

 22936/udp、および10394/udpはいずれも、特定のアプリケーションで使用されるポートというわけではなく、これらのアクセスが何を目的としたものだったかは不明ですが、どちらも特定の1観測点のみで観測されていました。

 3389/tcpは、主にRDP※1で使用されるポートであり、このポートを悪用してWindows端末に感染を広げる「Morto※2」と呼ばれるウイルスが2011年8月に見つかっているため、このアクセスがウイルスの感染活動によるものだった可能性があります。

 IPAへのウイルス届出状況において、現時点で「Morto」に関する届出はありませんが、Windows上でリモートデスクトップなどの機能を使用している方は、ウイルスの感染被害に遭わないために、ウイルス対策を再確認するとともに、ログインの際のパスワードを強化するなどの対策を行うことをお勧めします。

※1 RDP(Remote Desktop Protocol):遠隔でWindows端末の操作ができるリモートデスクトップ機能などで使われるプロトコルのこと。

※2 Morto:RDPを悪用してWindows端末に感染するウイルスの一種。感染すると3389/tcpにポートスキャンを行いリモートデスクトップ機能が有効な端末を探索し、発見した端末に対してパスワードクラッキングを試みる。

図5-2:宛先(ポート種類)別アクセス数の比較(8月/9月)

図5-2:宛先(ポート種類)別アクセス数の比較(8月/9月)

図5-3:3389/tcp発信元地域別アクセス数の変化(10観測点の合計)

図5-3:3389/tcp発信元地域別アクセス数の変化(10観測点の合計)

以上の情報に関して、詳細はこちらのPDFファイルをご参照ください。

届出の詳細については以下の PDF ファイルをご参照ください。 2011年第3四半期のコンピュータウイルス・不正アクセス届出状況

『他機関・ベンダーの各種統計情報は以下のサイトで公開されています。』

一般社団法人JPCERTコーディネーションセンター:http://www.jpcert.or.jp/
@police:http://www.cyberpolice.go.jp/
フィッシング対策協議会:http://www.antiphishing.jp/
株式会社シマンテック:http://www.symantec.com/ja/jp/
トレンドマイクロ株式会社:http://jp.trendmicro.com/jp/home/
マカフィー株式会社:http://www.mcafee.com/japan/
株式会社カスペルスキー:http://www.viruslistjp.com/analysis/

お問い合わせ先:

独立行政法人 情報処理推進機構 技術本部 セキュリティセンター
TEL:03-5978-7591 FAX:03-5978-7518
E-mail: 電話番号:03-5978-7591までお問い合わせください。
     (このメールアドレスに特定電子メールを送信しないでください)
URL:http://www.ipa.go.jp/security/

更新履歴:

2012年 4月 9日 2011年第3四半期[7月~9月]コンピュータ不正アクセス届出状況 文章修正
2011年10月 5日 掲載