HOME >> 情報セキュリティ >> ウイルス対策 >> ウイルスの発見届出状況 >> 記事

コンピュータウイルス・不正アクセスの届出状況[4月分]について

第12-09-245号
掲載日:2012年 5月 7日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター

 IPA (独立行政法人情報処理推進機構、理事長:藤江 一正)は、2012年4月のコンピュータウイルス・不正アクセスの届出状況をまとめました。
(届出状況の詳細PDF資料はこちら)

1. 今月の呼びかけ

「 あなたを狙うスマホアプリに要注意! 」
〜不正なアプリをインストールしてしまわないために〜

 2012年4月、スマートフォン(Android OS)のアプリケーションの公式マーケットで、不審な動きをする不正なアプリが多数発見されました。公式マーケットに表示されるダウンロード総数から、おおよそ7万回以上のダウンロードが行われたと考えられます。
 その不正なアプリは「ほかのスマートフォンOSで人気のアプリ」「有名なアプリ名、アイコンが使われている」「興味を持たせるキーワードが含まれている」といった、スマートフォン利用者に対して強い興味を抱かせる「だましのテクニック」が使われています。
 不正なアプリをインストールし実行することで、スマートフォンの端末情報や、アドレス帳の中身が外部に送信されることが確認されています。個人情報やプライバシー情報が流出してしまうため、こうした情報が悪質な行為に利用される可能性があります。
 ここでは、このような手口を明らかにし、被害にあわないための対策を解説します。

図1-1:不正なアプリが情報を流出させるイメージ図
図1-1:不正なアプリが情報を流出させるイメージ図

(1)特徴

 Android OS用アプリの公式マーケットである“Google Play”に、次のような特徴を持つ「動画を表示することを連想させるようなアプリ」が発見されました。これらのアプリは、動画の再生前に勝手に端末の情報やアドレス帳の情報を外部のサーバに送信するようになっていました。また、インストールするとマーケットで説明されている名称と異なった名前で表示されるということも特徴的です。
表1-1:発見された不正なアプリの例
項番
特徴
アプリ配布場所における名称
インストール後の名称
1
有名なアプリ、ほかのスマートフォンOSで人気のアプリ名を含む
 ウォーリーを探せ the Movie
 ユーチューブ動画
 うまい棒をつくろう! the Movie
 youtube動画まとめ
 ギャングハウンド the Movie
 グラビア動画
 スヌーピーストリート the Movie
 笑える動画
 チャリ走-the Movie
 ようつべ動画まとめ
 ぴよ盛り the Movie
 面白動画まとめ
 メガ盛ポテト the Movie
 芸能動画
 空手チョップ! The Movie
 ニコニコ動画まとめ
 大盛モモ太郎 the Movie
 youtube動画
 桃太郎電鉄the Movie
 ようつべ動画
 魔界村騎士列伝 THE MOVIE
 暇つぶし動画
 連打の達人 the Movie
 ユーチューブ動画まとめ
2
個人的嗜好をくすぐる文字列を含む
 FC2動画まとめ the Movie
 怖い動画
 けいおん-K-ON!動画
 アニメ動画
 スク水動画まとめ
 美人動画
3
実用性を感じさせる文字列を含む
 3D視力回復 THE MOVIE
 泣ける動画

 上記アプリ以外にも、複数のセキュリティ関連組織において同種の動きをするアプリが確認されており、おおよそ30種類以上のアプリがAndroid OS用の公式マーケットであるGoogle Playに存在していたことが明らかになっています。なお、その対象アプリ自体は現在Google Playから削除されていますが、以前Google Playに表示されていたダウンロード数からおおよそ7万回以上インストールされている可能性が指摘されています。

 今回、IPAでは不正なアプリの一つを使って検証を実施しました。ここでは、インストールをするときに表示される権限許可の問い合わせ画面や、アンインストール方法を紹介します。さらに、このような不正なアプリを見分けるためのテクニックも紹介します。

 紹介にあたっては、Android OSを使用している「GALAXY Tab SC-01C(Android OS 2.2)」を利用し、その画面を元に説明します。OSのバージョンや機種によっては、画面や操作方法が異なる場合があります。なお、現在はAndroid OS用の公式マーケットから同アプリは削除されていますが、別の場所からインストールすることは危険ですので試してはいけません。

 今回紹介する不正なアプリをインストールする際、Google Playからダウンロードを行う前に、アプリが必要とする権限の確認画面が表示されます。権限確認画面で「同意してダウンロード」または「インストール」を行うと、表示された権限の選択に従ってこのアプリが端末内の情報にアクセスしたり、動作したりすることを許可してしまいます。Google Play以外からインストールを行う場合、背景色や文字の色が異なることにも注目してください。

図1-2、1-3、1-4

 図1-2:Google Playの
      場合(例)		  図1-3:Google Play以外の
      場合(例)		  図1-4:アプリに対して権限を許可
      するイメージ図

 なお、今回の不正アプリが必要とする権限は次のとおりでした。

表1-2 今回発見された不正なアプリが必要とする権限
   権限(パーミッション)名  許可した場合にどうなるか(抜粋)
1
  電話発信  アプリが端末に付与されている電話番号や、端末識別番号、
 SIM情報などを読み取ることができます。
  電話の着信状態などの情報も読み取ることができます。
2
  個人情報  アプリがアドレス帳など連絡先データを読み取ることができます。
3
  ネットワーク通信  アプリがインターネットなどにある外部のサーバーと自由に
 通信できます。

 IPAでこのアプリを解析したところ、このアプリはandroid_id(端末の識別子)と端末の電話番号を特定のサーバーへ送信するようになっていました。この送信が成功すると、次にアドレス帳に登録された名前、電話番号、Eメールアドレスを全て送信します。これらの送信が成功後、特定のサーバーから動画を取得、再生する仕組みとなっていました。

図1-5:テストした不正なアプリの簡易解析結果
図1-5:テストした不正なアプリの簡易解析結果


 もし、このようなアプリをインストールしてしまった場合、アプリがどのような権限を持っているかを調べ、アンインストールすることができます。

図1-6:インストール済みアプリの権限(パーミッション)の確認方法とアンインストール方法
図1-6:インストール済みアプリの権限(パーミッション)の確認方法とアンインストール方法

(2)類似事例

 今回発見された不正なアプリは、端末の情報とアドレス帳の情報を勝手に外部のサーバーに送信する動作をするものでしたが、IPAではこれまでにも次のような不正なアプリを確認しています。いずれのアプリも、インストール時に必要以上の権限を取得しようとしています。(図1-7、1-8、1-9参照)

表1-3:その他の不正なアプリ例
 
不正なアプリの種類
主な特徴
1
 ワンクリック請求アプリ※1
 電話番号などの端末情報を外部に送信する。
2
 ボット型ウイルス※2
 外部からの操作指令を受けてアドレス帳データやSMSの送信
 をしたり、地図やWebページを表示したりする。
3
 不正発信アプリ
 勝手に電話を発信する。(特定の国でのみ動作し、日本では
 動かない。)


図1-7、1-8、1-9

図1-7:ワンクリック請求アプリ例 図1-8:ボット型ウイルス例 図1-9:不正発信アプリ例

(※1 )「 スマートフォンでもワンクリック請求に注意! 」
    http://www.ipa.go.jp/security/txt/2012/02outline.html
(※2 )Android OSを標的としたウイルスに関する注意喚起
    http://www.ipa.go.jp/security/topics/alert20110121.html

(3)対策

 IPAでは、これまでもスマートフォンを安全に使うための対策を発表※3、※4してきましたが、特に今回は利用者の増えているAndroid OSを使ったスマートフォンについて、“スマートフォンを安全に使うための六箇条”から抜粋して、具体的な対策を紹介していきます。

表1-4 スマートフォンを安全に使うための六箇条
@
 スマートフォンをアップデートする。
A
 スマートフォンにおける改造行為を行わない。
B
 信頼できる場所からアプリケーション(アプリ)をインストールする。
C
 アンドロイド端末では、アプリをインストールする前に、アクセス許可を確認する。
D
 セキュリティソフトを導入する。
E
 スマートフォンを小さなパソコンと考え、パソコンと同様に管理する。

(※3 )スマートフォンを安全に使おう!〜スマートフォンを安全に使用するための6箇条〜
    http://www.ipa.go.jp/security/txt/2011/08outline.html
(※4 )スマートフォンのセキュリティ<危険回避>対策のしおり
    http://www.ipa.go.jp/security/antivirus/documents/08_smartphone.pdf

その1 )信頼できる場所からアプリを入手しよう(六箇条 B)
 Android OSを使用したスマートフォンは、アプリを入手する方法が複数ありますが、中には不正なアプリも存在します。信頼のおけるアプリを選んで紹介するページなどを利用することで、不正なアプリをインストールしてしまう危険性が低減できます。なお、Androidの設定画面に「提供元不明のアプリ」という項目があります。この項目のチェックを外しておくことで、Google Playからのみアプリをインストールできるようになります。
 操作を誤るなどして不正なアプリをインストールしてしまわないよう、普段はこの項目のチェックを外した状態にしておくことを勧めます。
 なお、信頼できる第三者のマーケットであっても、Google Play以外で入手したアプリケーションをインストールする際は、一時的にこの設定を変更する(チェックを入れる)必要があります。その場合、インストール終了後、再度チェックを外してください。

図1-10:「提供元不明のアプリ」のインストール許可設定画面
図1-10:「提供元不明のアプリ」のインストール許可設定画面


その2 )アプリをインストールする際に必要とされる権限(パーミッション)を確認しよう
     (六箇条 C)
 アプリをインストールするときに表示される権限(パーミッション)をよく確認してください。例えば、動画再生や画像表示アプリなのに、電話を発信する権限を求めてくる、カメラ機能が必要なさそうなアプリなのに、写真を撮る権限を求めてくるような場合は、怪しいアプリと言えます。

図1-11:権限(パーミッション)の確認画面
図1-11:権限(パーミッション)の確認画面

 なお、上記例の権限(パーミッション)を正当に必要とするアプリもあります。一見必要なさそうな権限の許可を求めていても、確実に不正なアプリであると判断することは難しいのが実情です。次項のセキュリティソフト(アプリ)での検知や、(4)一歩踏み込んだおすすめの対策での情報収集を行うことで、総合的に判断をしてください。

その3 )セキュリティソフト(アプリ)を利用しよう(六箇条 D)
 アプリはインストールしただけでは動いていないことがほとんどです。通常は「インストール終了」をきっかけにセキュリティソフト(アプリ)によるスキャンが始まることが多いので、セキュリティソフト(アプリ)による診断結果をよく確認してください。場合によっては、ウイルス検知された当該アプリを自分でアンインストールすることが必要となります。

図1-12:アプリのダウンロードからインストールまでの流れ
図1-12:アプリのダウンロードからインストールまでの流れ


その4)アプリを最新の状態に保とう(六箇条 @・E)
 アプリの更新があった場合は最新の状態にしてください。アプリの自動更新を設定することで、自動的に最新の状態にすることも可能です。
 近年、スマートフォンの利用者数は増加傾向にあり、利用者数に比例するようにスマートフォンに関する脆弱性も多数報告されています※5。脆弱性を解消したアプリをいち早く利用するようにしてください。

(※5 )脆弱性対策情報データベースJVN iPediaの登録状況[2012年第1四半期
    (1月〜3月)]
    http://www.ipa.go.jp/security/vuln/report/JVNiPedia2012q1.html

図1-13:アプリの自動更新許可方法
図1-13:アプリの自動更新許可方法


 アプリの更新有無は、Google Playで確認できます。また、アプリ更新前と必要とする権限が異なる場合、確認画面が表示されますのでよく内容を確認してください。

図1-14:アプリの更新例
図1-14:アプリの更新例


(4)一歩踏み込んだおすすめの対策

 アプリは安心な配布場所から入手するようにして、ダウンロードの前にアプリが必要とする権限を確認し、インストール後にセキュリティアプリのスキャン結果を確認することを紹介しましたが、これ以外にも、一歩踏み込んだおすすめの対策として、「アプリをインストールする際の情報収集のコツ」を紹介します。

 アプリを選ぶとき、画面にはたくさんの重要な情報が記載されています。その情報をできる限り読み取ってください。悪い評判や噂がある場合、ひとまず、インストールを控えることをお勧めします。
        〜インストール前に行う情報収集の例〜
         ○レビュー記事に悪い評判は書かれていないか
         ○アプリ開発者が他に公開しているアプリの評判に、悪いものがないか
         ○開発者やアプリ名をインターネットで検索して、悪い評判や噂などはないか

図1-15:アプリに関する情報収集の例
図1-15:アプリに関する情報収集の例

今月のトピックス

  • コンピュータ不正アクセス被害の主な事例(届出状況及び被害事例の詳細は、「3.コンピュータ不正アクセス届出状況」を参照)
    • 古いメールアカウントを不正使用され、大量のスパムメールを送信された
    • ブルートフォース攻撃によって侵入され、ウェブサイトを改ざんされた
  • 相談の主な事例 (相談受付状況及び相談事例の詳細は、「4.相談受付状況」を参照)
    • Internet Explorer のブラウザ画面が次から次へと出てきて止まらなくなった
    • 自分が管理しているブログを見ると、偽セキュリティ対策ソフト型ウイルスに感染する?

    • 2. コンピュータウイルス届出状況 −詳細は別紙1を参照−

    (1) ウイルス届出状況

     4月のウイルスの検出数※1は、10,339個と、3月の15,841個から34.7%の減少となりました。また、4月の届出件数※2は、732件となり、3月の866件から15.5%の減少となりました。

    ※1 検出数 : 届出にあたり届出者から寄せられたウイルスの発見数(個数)
    ※2 届出件数: 同じ届出者から寄せられた届出の内、同一発見日で同一種類のウイルスの検出が複数ある場合は、1日何個検出されても届出1件としてカウントしたもの。
     ・4月は、寄せられたウイルス検出数10,339個を集約した結果、732件の届出件数となっています。


     検出数の1位は、W32/Mydoom5,150個、2位はW32/Netsky3,646個、3位はW32/Downad622個でした。

    図2-1:ウイルス検出数
    図2-1:ウイルス検出数

    図2-2:ウイルス届出件数
    図2-2:ウイルス届出件数

    (2) 不正プログラムの検知状況

     4月は、別のウイルスを感染させようとするDOWNLOADER、オンラインバンキングのID/パスワードを詐取するBANCOSといった不正プログラムが増加傾向となりました。(図2-3参照)。

    ※ ここでいう「不正プログラムの検知状況」とは、IPAに届出られたものの中から「コンピュータウイルス対策基準」におけるウイルスの定義に当てはまらない不正なプログラムについて集計したものです。

    ※ コンピュータウイルス対策基準:平成12年12月28日(通商産業省告示 第952号)(最終改定)(平成13年1月6日より、通商産業省は経済産業省に移行しました。)
    「コンピュータウイルス対策基準」(経済産業省)
    http://www.meti.go.jp/policy/netsecurity/CvirusCMG.htm


    図2-3:不正プログラムの検知件数推移 図2-3:不正プログラムの検知件数推移

    3. コンピュータ不正アクセス届出状況(相談を含む) −詳細は別紙2を参照−

    表3-1 不正アクセスの届出および相談の受付状況

      11月 12月 1月 2月 3月 4月
    届出(a) 計 7 7 8 13 5 9
      被害あり(b) 5 7 7 9 4 7
    被害なし(c) 2 0 1 4 1 2
    相談(d) 計 69 42 35 37 54 46
      被害あり(e) 14 13 9 14 10 9
    被害なし(f) 55 29 26 23 44 37
    合計(a+d) 76 49 43 50 59 55
      被害あり(b+e) 19 20 16 23 14 16
    被害なし(c+f) 57 29 27 27 45 39

    (1)不正アクセス届出状況

     4月の届出件数は9件であり、そのうち何らかの被害のあったものは7でした。

    (2)不正アクセス等の相談受付状況

     不正アクセスに関連した相談件数は46件であり、そのうち何らかの被害のあった件数は9件でした。

    (3)被害状況

     被害届出の内訳は、侵入4件、なりすまし3件でした。
     「侵入」の被害は、ウェブページが改ざんされていたものが4件(内、ウイルスをダウンロードさせるように改ざんされていたものが2件)でした。侵入の原因は、CMSの脆弱性を悪用されたものが1件、ネットワーク経由のブルートフォース攻撃により管理者権限を奪われたものが1件、サーバーの設定不備が1件でした(他は原因不明)。
     「なりすまし」の被害は、オンラインサービスに本人になりすまして何者かにログインされ、サービスを勝手に利用されていたものが2件、メールアカウント悪用されてスパムメールを送信されたものが1件、でした。

    (4)被害事例

    [ なりすまし ]
    (i)古いメールアカウントを不正使用され、大量のスパムメールを送信された

    • 社内のあるメールアカウントから、大量のスパムメールが送信されていることに気付いた。
    • 当該メールアカウントの持ち主は既に退社していた。また単純なパスワードを設定していたので、アカウントハックによるなりすましの可能性が高い。
    • 当該アカウントを削除するとともに、安易なパスワードを設定しないよう改めて社内に周知した。




    退職者のメールアカウントを廃棄せず放置しているうちに、第三者に乗っ取られて悪用されてしまった例です。
    古いアカウントが残っていると、退職者にそのまま使われ続けたり、今回のケースのように第三者に乗っ取られたりする恐れがあります。メールアカウントに限らず、ユーザーアカウントの棚卸しを定期的に実施することをお勧めします。特に異動や退職が多数発生する年度の変わり目の時期には、可能な限り棚卸しを実施してください。

    [ 侵入 ]
    (ii)ブルートフォース攻撃によって侵入され、ウェブサイトを改ざんされた

    • 商用サイトを運営しているが、ある日、ウェブサイト閲覧者から「ページを見ただけでウイルスをダウンロードさせられた」との連絡が入った。
    • すぐに状況を確認すると、確かにウェブサイトは改ざんされており、ページを閲覧するだけで「Security Shield」という偽セキュリティ対策ソフトをダウンロードさせるように改ざんされていた。
    • 原因調査の結果、サーバーに対する、ネットワーク経由でのブルートフォース(力ずく)攻撃により管理者権限アカウントのパスワードを破られて、サーバーに侵入されたことが分かった。
    • 対策として、パスワードを20文字以上にするとともに、改ざん検知システムを導入した。




    		ウェブサイト改ざん被害に留まらず、ウイルス配布サイトとして悪用されてしまった例です。
    ブルートフォース攻撃への対策は、パスワードを強固なものにすることが基本ですが、アカウントロック機能(ログインの試行回数を超えたアカウントへのアクセスを一時停止させる機能)を使用することも有効です。この機能を使用することで、攻撃者のログイン試行回数が減少し、結果として侵入される可能性が小さくなります。 サーバーOSの機能で、パスワードの複雑性や有効期間を強制できる場合は、その機能を使用することも検討してください。

    4.相談受付状況

     4月のウイルス・不正アクセス関連相談総件数は750件でした。そのうち『ワンクリック請求』に関する相談が131件(3月:130件)、『偽セキュリティソフト』に関する相談が26件(3月:44件)、Winny に関連する相談7件(3月:6件)、「情報詐取を目的として特定の組織に送られる不審なメール」に関する相談3件(3月:3件)、などでした。

     表4-1 IPA で受け付けた全ての相談件数の推移

      11月 12月 1月 2月 3月 4月
    合計 1,420 1,312 1,302 1,073 772 750
      自動応答システム 746 790 760 645 427 428
    電話 561 451 485 362 287 270
    電子メール 102 65 49 62 49 50
    その他 11 6 8 4 9 2

    (備考)
    IPA では、「情報セキュリティ安心相談窓口」を開設し、コンピュータウイルス・不正アクセス、Winny 関連、その他情報セキュリティ全般についての相談を受け付けています。

    メール 情報セキュリティ安心相談窓口
    (これらのメールアドレスに特定電子メールを送信しないでください)
    電話番号 03-5978-7509 (24時間自動応答、ただし IPA セキュリティセンター員による相談受付は休日を除く月〜金、10:00〜12:00、13:30〜17:00のみ)
    FAX 03-5978-7518 (24時間受付)

    「自動応答システム」 : 電話の自動音声による応対件数
    「電話」 : IPA セキュリティセンター員による応対件数
    合計件数には、「不正アクセスの届出および相談の受付状況」における『相談(d) 計』件数を内数として含みます。

    図4-1:ワンクリック請求相談件数の推移
    図4-1:ワンクリック請求相談件数の推移


    主な相談事例は以下の通りです。

    (i)Internet Explorer のブラウザ画面が次から次へと出てきて止まらなくなった
    相談

    インターネットに接続し、いろいろなサイトを見ていたのだが、変なサイト(アダルトサイトだと思う)を表示してしまったようでブラウザ画面が次々と表示されて、止まらなくなってしまった。その後、セキュリティソフトでは何も検出されなかった。パソコン再起動後、今は正常に使えている。
    何が起きたのか?

    回答

    Internet Explorerのブラウザ画面が次々と出てきて、止まらなくなる現象という事ですが、これは「ブラウザクラッシャー」による症状と思われます。対処方法としてはブラウザのキャッシュをクリアし、再起動後、同様な症状が出ないか少し様子を見て下さい。今後の対策としては、不用意に変なサイトへアクセスしないことが最も大切です。またURLフィルタリング機能や有害サイトブロック機能付きの統合型セキュリティソフトを利用することが有効策となります。
    (ii)自分が管理しているブログを見ると、偽セキュリティ対策ソフト型ウイルスに感染
      する?
    相談

    自分が所属している団体のブログ(WordPressを使用)がウイルスに感染しているのではないかと思っている。そのブログを見るとSystem Checkという偽セキュリティ対策ソフトに感染してしまうという報告が何件も届いている。ブログを正常に戻す方法を教えてもらえないか。ブログは、今も停止していない。
    回答

    現在レンタルサーバを利用し、簡単にブログを開設しているとの事ですが、そのブログで使われているシステムの脆弱性を突くことでSystem Checkという偽セキュリティ対策ソフト型ウイルスを感染させる仕掛けが仕込まれている可能性が高いです。まず、サイト内のページに身に覚えのないHTMLタグやスクリプト文が追加されていないか確認してください。また、ブログシステムのバージョンを確認し、必要に応じてWordPressや利用中のテーマ、プラグインのアップデートを必ず実施して下さい。

    (ご参考)

    届出の詳細については以下の PDF ファイルをご参照ください。


    『他機関・ベンダーの各種統計情報は以下のサイトで公開されています。』

    一般社団法人JPCERTコーディネーションセンター:http://www.jpcert.or.jp/
    @police:http://www.cyberpolice.go.jp/
    フィッシング対策協議会:http://www.antiphishing.jp/
    株式会社シマンテック:http://www.symantec.com/ja/jp/
    トレンドマイクロ株式会社:http://jp.trendmicro.com/jp/home/
    マカフィー株式会社:http://www.mcafee.com/japan/
    株式会社カスペルスキー:http://www.viruslistjp.com/analysis/

    お問い合わせ先:

    独立行政法人 情報処理推進機構 技術本部 セキュリティセンター
    TEL:03-5978-7591 FAX:03-5978-7518
    E-mail: 電話番号:03-5978-7591までお問い合わせください。
         (このメールアドレスに特定電子メールを送信しないでください)
    URL:http://www.ipa.go.jp/security/

    更新履歴:

    2012年 5月 7日 掲載
    ページトップへ