HOME >> 情報セキュリティ >> ウイルス対策 >> ウイルスの発見届出状況 >> 記事
コンピュータウイルス・不正アクセスの届出状況[8月分]について
第12-23-259号
掲載日:2012年 9月 5日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター
IPA (独立行政法人情報処理推進機構、理事長:藤江 一正)は、2012年8月のコンピュータウイルス・不正アクセスの届出状況をまとめました。
(届出状況の詳細PDF資料はこちら)
1. 今月の呼びかけ
「 情報を抜き取るスマートフォンアプリに注意! 」
〜 スマートフォンの中の個人情報が狙われています 〜
2012年8月は、スマートフォン(Android OS)の電話帳の中身を窃取する不正なアプリケーション(以下、アプリ)の情報が多く見受けられました。これは悪意を持った攻撃者が、不正なアプリをダウンロードさせるリンク先が書かれたメールを、不特定多数の利用者にばら撒いていたためです。
この不正なアプリは、ウイルスそのものですが、発見当初、セキュリティ対策ソフトを導入していても検知されないことがあり、インストール後に起動してしまうと情報窃取の被害に遭ってしまうものでした。なお、アプリの名前や送られてきたメールの文章は全て日本語であるため、日本人を狙った攻撃だと考えられます。
IPAでは、この不正なアプリを入手し解析を行いました。ここでは、攻撃者が不正なアプリを利用者のスマートフォンへインストールさせるまでの手口と、解析結果をもとに不正なアプリの動作の一例を解説し、被害に遭わないための対策を紹介します。
図1-1:不正なアプリが情報を流出させるイメージ図
(1)不正なアプリをインストールさせるまでの手口
不正なアプリを利用者のスマートフォンへインストールさせるまでの手口は、次の二種類を確認しています。- メールから不正なアプリのダウンロードを誘導する手口
新しいアプリの紹介と偽ったメール(図1-2、1-3参照)が不特定多数に送りつけられたようです。このメールに記載されたリンク先をクリックすることで不正なアプリがダウンロードされ、利用者にインストールさせようとします。 - SNS(ソーシャルネットワーキングサービス)を悪用した手口
趣味などの情報を共有する目的のSNSコミュニティサイトに、興味を引く内容と共に不正なアプリをダウンロードさせるリンク先が書かれた文章(図1-4参照)が投稿されていました。 コミュニティに参加している利用者は、同じ趣味を持つ人の投稿だと思い、あまり警戒をしないでリンク先をクリックしてしまう可能性があります。
図1-2:メール文例1
図1-3:メール文例2
図1-4:SNSへの投稿文例
(2) 不正なアプリの動作
IPAは、届出を受け付けた不審なメール(図1-2参照)から「電波改善」という不正なアプリがダウンロードされることを確認し、このアプリを解析しました。- 図1-2のメール内に書かれているリンク先をタッチすると、不正なアプリ(.apkファイル)のダウンロードが開始されます。ダウンロードされた.apkファイル名をタッチすると、インストール開始の有無を聞いてきます(図1-5参照)。ここで注意しなければならないことは、このアプリは電波を改善するものと謳っているにもかかわらず、個人情報の読み取り許可を求めていることです。[インストール]をタッチすると、不正なアプリがインストールされてしまいます。
- インストールが完了(図1-6参照)すると、スマートフォンのアプリ一覧画面にアイコンが表示されます(図1-7参照)。このアイコンをタッチするとアプリが起動します。
図1-7:インストールされたアプリのアイコン
- アプリを起動すると、初期設定を行う画面が表示されます(図1-8参照)が、すぐに「この端末では未対応のためご利用できません」というメッセージが表示され(図1-9参照)、アプリが終了してしまいます。このアプリは、実際は「初期設定」のような処理は行わず、必ず「未対応」の画面を表示してアプリが終了するようになっています。さらに、図1-8の画面が表示されている間に、電話帳の内容を窃取し、外部のサーバーへ送信します。
図1-8:初期設定を装った画面 図1-9:未対応を装った画面
図1-10が、不正なアプリが電話帳の内容を外部のサーバーへ送信する際の通信です。図1-10のAを見ると、:(コロン)を区切りにして、[名前:電話番号:メールアドレス]の順となっており、数字と/(スラッシュ)の間で一人分の情報となっていることが分かります。
図1-10:不正なアプリが電話帳の内容を外部のサーバーへ送信する際の通信
このように、このアプリは実際には電波を改善する機能は持っておらず、単純に電話帳の内容を窃取するための不正なアプリだと言えます。2012年9月現在、この不正なアプリはAckpostsの名称で、ほとんどのウイルス対策ソフトにより検知されます。
図1-5:インストール開始画面 図1-6:インストール完了画面
(3)不正なアプリの被害に遭わないための対策
今回解析した不正なアプリは、Android OS用アプリの公式マーケットサイトではない、不正なサイトに置かれていました。このようなウイルスに感染しないためには、以下に示す対策が有効です。- 信頼できる場所からアプリをインストールする。
スマートフォンで使用するアプリは、Android端末であればアプリの審査や不正アプリの排除を実施しているAndroid OS用アプリの公式マーケット「Google play」、iPhoneであれば米Apple社の「App Store」、あるいは通信事業者等が公式に運営するマーケットなど、信頼できる場所からインストールしましょう。
- Android端末では、アプリをインストールする前に、アクセス許可を確認する。
Android端末の場合、アプリをインストールする際に表示される「アクセス許可」(アプリがAndroid端末のどの情報/機能にアクセスするか定義したもの)の一覧には必ず目を通しましょう(図1-11参照)。過去発見されたAndroid端末を狙ったウイルスには、個人情報などを不正に盗み取るため、アプリの種類から考えると不自然なアクセス許可をユーザーに求めるものがありました。今回解析した不正なアプリも、名前はスマートフォンの電波の改善を連想させるものですが、電話帳の内容へアクセスするための「連絡先データを読み取り」の許可を求めていました。Android端末にアプリをインストールする際に、不自然なアクセス許可や疑問に思うアクセス許可を求められた場合には、そのアプリのインストールを中止しましょう。
図1-11:「アクセス許可」の表示画面の例
- セキュリティソフトを導入する。
スマートフォンにセキュリティアプリを入れて最新の状態に保っておくことで、このようなウイルスの感染を事前に食い止めてくれる場合があります。ウイルス感染の可能性をより低減するためにセキュリティソフトを導入してください。
(ご参考)
「スマートフォンを安全に使おう!」(IPA)
http://www.ipa.go.jp/security/keihatsu/pr2012/general/03_smartphone.html
(4)こんなときは…
図1-1、図1-2のようなリンク先が書かれている怪しいメールやDM(ダイレクトメール)が届いた、怪しいリンク先が書かれているSNSやブログなどの投稿文を見つけた、などがありましたら、IPA安心相談窓口までご連絡をいただければと思います。
今月のトピックス
- コンピュータ不正アクセス被害の主な事例(届出状況及び被害事例の詳細は、「3.コンピュータ不正アクセス届出状況」を参照)
- 遠隔操作ツールを埋め込まれ、結果としてフィッシングに悪用するページを設置された
- 特定のIPアドレスから大量のアクセスを受けた
- 相談の主な事例 (相談受付状況及び相談事例の詳細は、「4.相談受付状況」を参照)
- Booking.comから、心当たりのないメールが届いた
- USBメモリの中にウイルスが入っていないか確認したい
2. コンピュータウイルス届出状況 −詳細は別紙1を参照−
(1) ウイルス届出状況
8月のウイルスの検出数※1は、24,189個と、7月の25,487個から5.1%の減少となりました。また、8月の届出件数※2は、961件となり、7月の877件から9.6%の増加となりました。
※1 検出数 : 届出にあたり届出者から寄せられたウイルスの発見数(個数)
※2 届出件数: 同じ届出者から寄せられた届出の内、同一発見日で同一種類のウイルスの検出が複数ある場合は、1日何個検出されても届出1件としてカウントしたもの。
検出数の1位は、W32/Mydoomで15,441個、2位はW32/Netskyで5,888個、3位はW32/Mytobで966個でした。
図2-1:ウイルス検出数
図2-2:ウイルス届出件数
(2) 不正プログラムの検知状況
8月の不正プログラムの検出数※1は、21,437個と、7月の100,367個から78.6%の減少となりました。
検出数の1位は、偽セキュリティソフトの検知名であるFakeavで2,504個、2位は、パソコン内に裏口を仕掛けるBackdoorで1,850個、3位は、宅配会社の伝票情報を装って感染を試みるInvoで1,710個でした。以下、正規のソフトウェアなどを装って感染を試みるTrojan/Horse、広告を表示させるプログラムの総称であるAdware、偽の警告画面から偽セキュリティソフトのサイトに誘導するKatusha、の順でした。
※1 検出数 : 届出にあたり届出者から寄せられたウイルスの発見数(個数)
∴ ここでいう「不正プログラムの検知状況」とは、IPAに届出られたものの中から「コンピュータウイルス対策基準」におけるウイルスの定義に当てはまらない不正なプログラムについて集計したものです。
∴ コンピュータウイルス対策基準:平成12年12月28日(通商産業省告示 第952号)(最終改定)(平成13年1月6日より、通商産業省は経済産業省に移行しました。)
「コンピュータウイルス対策基準」(経済産業省)
http://www.meti.go.jp/policy/netsecurity/CvirusCMG.htm
図2-3:不正プログラムの検知件数推移
3. コンピュータ不正アクセス届出状況(相談を含む) −詳細は別紙2を参照−
表3-1 不正アクセスの届出および相談の受付状況
| 3月 | 4月 | 5月 | 6月 | 7月 | 8月 | ||
|---|---|---|---|---|---|---|---|
| 届出(a) 計 | 5 | 9 | 10 | 2 | 19 | 9 | |
| 被害あり(b) | 4 | 7 | 6 | 2 | 18 | 9 | |
| 被害なし(c) | 1 | 2 | 4 | 0 | 1 | 0 | |
| 相談(d) 計 | 54 | 46 | 50 | 38 | 54 | 44 | |
| 被害あり(e) | 10 | 9 | 17 | 12 | 26 | 13 | |
| 被害なし(f) | 44 | 37 | 33 | 26 | 28 | 31 | |
| 合計(a+d) | 59 | 55 | 60 | 40 | 73 | 53 | |
| 被害あり(b+e) | 14 | 16 | 23 | 14 | 44 | 22 | |
| 被害なし(c+f) | 45 | 39 | 37 | 26 | 29 | 31 | |
(1)不正アクセス届出状況
8月の届出件数は9件であり、それら全てが被害のあったものでした。
(2)不正アクセス等の相談受付状況
不正アクセスに関連した相談件数は44件であり、そのうち何らかの被害のあった件数は13件でした。
(3)被害状況
被害届出の内訳は、侵入6件、なりすまし2件、DoS攻撃1件、でした。
「侵入」の被害は、ウェブページが改ざんされていたものが4件(内、フィッシングに悪用するためのコンテンツ設置1件)、SQLインジェクション攻撃を受けてデータを参照されたものが1件、SSHリモートログインに成功していたものが1件、でした。侵入の原因は、脆弱なパスワード設定が1件、ファイルへのアクセス権限の不備が1件でした(他は原因不明)。
「なりすまし」の被害は、メールアカウント悪用されてスパムメールを送信されたものが2件でした。
(4)被害事例
[ 侵入 ]
(i)遠隔操作ツールを埋め込まれ、結果としてフィッシングに悪用するページを設置された
| 事 例 |
|
|---|---|
解 説 ・ 対 策 |
開発中でURLを公開していなくても、インターネットからアクセス可能な場合は、
悪意ある者に狙われて悪用されるかもしれない、と念頭に置く必要があります。
|
[ DoS ]
(ii)特定のIPアドレスから大量のアクセスを受けた| 事 例 |
|
|---|---|
解 説 ・ 対 策 |
第三者のパソコンを踏み台にして攻撃している可能性も考えられますので、特定のIP アドレスからのアクセスであれば、該当 IP アドレスを管理しているプロバイダに相談することをお勧めします。また大量のアクセスが受けつつもシステムの停止は許されないといった場合には、上位のプロバイダでの対処が有効になる場合があります。 (ご参考)
|
4.相談受付状況
8月のウイルス・不正アクセス関連相談総件数は980件でした。そのうち『ワンクリック請求』に関する相談が255件(7月:216件)、『偽セキュリティソフト』に関する相談が41件(7月:23件)、Winny に関連する相談が9件(7月:4件)、「情報詐取を目的として特定の組織に送られる不審なメール」に関する相談が3件(7月:3件)、などでした。
表4-1 IPA で受け付けた全ての相談件数の推移
| 3月 | 4月 | 5月 | 6月 | 7月 | 8月 | ||
|---|---|---|---|---|---|---|---|
| 合計 | 772 | 750 | 934 | 1,097 | 921 | 980 | |
| 自動応答システム | 427 | 428 | 490 | 578 | 530 | 515 | |
| 電話 | 287 | 270 | 363 | 439 | 342 | 417 | |
| 電子メール | 49 | 50 | 78 | 79 | 46 | 48 | |
| その他 | 9 | 2 | 3 | 1 | 3 | 0 | |
(備考)
IPA では、「情報セキュリティ安心相談窓口」を開設し、コンピュータウイルス・不正アクセス、Winny 関連、その他情報セキュリティ全般についての相談を受け付けています。
| メール |  (これらのメールアドレスに特定電子メールを送信しないでください) |
| 電話番号 | 03-5978-7509 (24時間自動応答、ただし IPA セキュリティセンター員による相談受付は休日を除く月〜金、10:00〜12:00、13:30〜17:00のみ) |
| FAX | 03-5978-7518 (24時間受付) |
「自動応答システム」 : 電話の自動音声による応対件数
「電話」 : IPA セキュリティセンター員による応対件数
合計件数には、「不正アクセスの届出および相談の受付状況」における『相談(d) 計』件数を内数として含みます。
図4-1:ワンクリック請求相談件数の推移
主な相談事例は以下の通りです。
(i)Booking.comから、心当たりのないメールが届いた
| 相談 | 先日、ホテル予約サイトのBooking.comを名乗る、心当たりのない予約確認メールが届きました。そのメールにはexeファイルをzip圧縮したファイルが添付されていました。セキュリティ対策ソフトがトロイの木馬を検知したため、そのソフトの指示に従いウイルスの駆除を行いましたが、ウイルスに感染していないでしょうか。 |
|---|---|
| 回答 | セキュリティ対策ソフトの指示に従い、不審な添付ファイルを開かずに駆除したとのことで、ウイルスに感染していないと考えられます。不安な場合は、ご利用のセキュリティ対策ソフトを最新の状態にして全体をスキャンして下さい。また他社製品のオンラインスキャンを併用するなど多角的にスキャンをしてください。
|
(ii)USBメモリの中にウイルスが入っていないか確認したい
| 相談 | WindowsパソコンからUSBメモリの中にデータを保管したのですが、ウイルスが含まれていないか心配です。確認する方法を教えてください。 |
|---|---|
| 回答 | お使いのパソコンがWindowsの場合は「USBメモリ感染型ウイルス」が感染しないように、自動実行機能を無効化してください。次にOSのアップデートやご利用されているアプリケーションを最新の状態にして、インターネットなど外部のネットワークから隔離した環境で、USBメモリ内をチェックしてください。この時点でウイルスを検知していない場合は、インターネットや外部のネットワークに接続しなおして、他社製品のオンラインスキャンを併用するなど多角的にスキャンしてください。 (ご参考)
|
『他機関・ベンダーの各種統計情報は以下のサイトで公開されています。』
一般社団法人JPCERTコーディネーションセンター:http://www.jpcert.or.jp/
@police:http://www.cyberpolice.go.jp/
フィッシング対策協議会:http://www.antiphishing.jp/
株式会社シマンテック:http://www.symantec.com/ja/jp/
トレンドマイクロ株式会社:http://jp.trendmicro.com/jp/home/
マカフィー株式会社:http://www.mcafee.com/japan/
株式会社カスペルスキー:http://www.viruslistjp.com/analysis/
お問い合わせ先:
独立行政法人 情報処理推進機構 技術本部 セキュリティセンター
TEL:03-5978-7591 FAX:03-5978-7518
E-mail: 
(このメールアドレスに特定電子メールを送信しないでください)
URL:http://www.ipa.go.jp/security/
更新履歴:
| 2012年 9月 5日 | 掲載 |
|---|