HOME情報セキュリティコンピュータウイルス・不正アクセス届出状況および相談受付状況[2012年第3四半期(7月~9月)]

本文を印刷する

情報セキュリティ

コンピュータウイルス・不正アクセス届出状況および相談受付状況[2012年第3四半期(7月~9月)]

第12-28-263号
掲載日:2012年 10月 17日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター

(PDFはこちら)

1.コンピュータウイルス届出状況

(1)四半期総括

 2012年第3四半期のウイルス届出件数※1状況は、2012年第2四半期から全体的に減少する傾向でした(図1-1参照)。ウイルス別届出件数では、W32/Mydoomの届出が最も多くありました。また、マクロウイルスの一種であるXM/Larouxは、2012年第2四半期より減少しているものの、2011年第2四半期から比べると少しずつですが増加傾向にあります(図1-2参照)。これは、XM/Larouxの亜種によって感染被害が拡大しているためと思われます。また、W32/Autorunが、2011年第2四半期から比べて1/3まで減少しました。これは、W32/Autorunが感染するために悪用する自動実行機能の設定が、Windowsの更新プログラムによって自動的に無効化※2されるようになったためと考えられます。

 2012年第3四半期のウイルス検出数※3は、W32/Mydoomが全体の半数以上を占め、増加傾向にあります(図1-3参照)。対象的にW32/Netskyは減少傾向にあり、2012年第2四半期以降は届出件数、検出数ともW32/Mydoomに逆転された形となっています。W32/MydoomやW32/Netskyは、自分の複製をメールの添付ファイルに付けてばら撒いて感染拡大していくウイルスなので、このウイルスに感染しているサーバーやパソコンが未だに多く存在していると言えます。
 ウイルス検出数を見ると、かなりのウイルスがパソコンの手前まで届いていることがわかります。しかし、ウイルス対策ソフト等を使用することで感染被害に遭わずに済んでいると言えます。

 2012年第3四半期の不正プログラム検出数は、主に海外の宅配会社等の伝票情報を装って感染を試みるInvo、広告を表示させるプログラムの総称であるAdware、オンラインバンキングのID/パスワードを窃取するBancosが多く検出されました。検出数全体を見ても増加傾向にあります(図1-4参照)。

 これらウイルスや不正プログラムは、そのほとんどがメールを感染経路として送られてくるものです。対策として、ウイルス対策ソフト等を適切に使うことで感染はほぼ確実に防ぐことができます。また、メールの添付ファイルの開封には注意するとともに、身に覚えのないメールは読まずに捨てるべきと言えます。

※1 届出件数 : 同じ届出者から寄せられた届出の内、同一発見日で同一種類のウイルスの検出が複数ある場合は、
          1日何個検出されても届出1件としてカウントしたもの。
※2 IPAセキュリティセンター「USBメモリ等に対する"自動実行(オートラン)"機能を無効化しましょう!~
   Windows Updateすることで対応できます! ~」:
   http://www.ipa.go.jp/security/txt/2011/03outline.html
※3 検出数 : 届出にあたり届出者から寄せられたウイルスの発見数(個数)。

※ここでいう「不正プログラム検出数」とは、IPAに届出られたものの中から「コンピュータウイルス対策基準」における
  ウイルスの定義に当てはまらない不正なプログラムについて集計したものです。
※コンピュータウイルス対策基準:平成12年12月28日(通商産業省告示 第952号)(最終改定)(平成13年1月6日
  より、通商産業省は経済産業省に移行しました。)
  「コンピュータウイルス対策基準」(経済産業省)
  http://www.meti.go.jp/policy/netsecurity/CvirusCMG.htm


(2)ウイルス感染被害届出

 2012年第3四半期のウイルス感染による被害届出はW32/Downadが1件、W32/Fujacksが1件、の合計2件でした。感染経路は、外部からの媒体が1件、不明が1件、でした。感染原因は、対策ソフトのパターンファイルが古かったためが1件、不明が1件、でした。
 発見方法は両方ともウイルス対策ソフトでしたが、それまで使用していたウイルス対策ソフトでは発見されず、他のウイルス対策ソフトに変更した時に発見されたのが1件、ウイルス対策ソフトのパターンファイルが更新されていなかったため更新後に発見されたのが1件、でした。

 これらを踏まえて、ウイルス対策ソフトは最新のバージョン、最新の更新プログラムの使用が必須です。また、他社製品のオンラインスキャンを併用するなど、多角的にチェックすることも有効です。


(3)届出件数

 2012年第3四半期[7月~9月]の届出件数は2,595件となりました。下記グラフ(図1-1)は、IPAが受け付けた四半期(3ヶ月)ごとの届出件数の推移を示したものです。
 図1で示すように、届出件数は2012年第2四半期の2,660件から65件の微減での推移となりました。

図1-1:届出件数の四半期毎推移
図1-1:届出件数の四半期毎推移


 2012年第3四半期のウイルス感染による被害届出は2件でした。感染ウイルス名※4は、W32/Downad1件W32/Fujacks1件、でした。詳細は以下の通りです。

表1-1:ウイルス感染被害届出詳細

ウイルス名
届出種別
ウイルス
対策ソフト
感染経路
感染原因
発見方法
対処

W32/Downad

一般
法人
外部からの媒体 ウイルス対策ソフトのパターンファイルが古かったため ウイルス対策ソフトのパターンファイルを更新した時 パソコンの初期化

W32/Fujacks

一般
法人
不明 不明 他のウイルス対策ソフトに変更してウイルススキャンを行った時 ウイルス対策ソフトを変更後に発見・駆除
※4 : ウイルスの詳しい概要は、「IPAに届けられたウイルス」
     http://www.ipa.go.jp/security/virus/virus_main.htmlを参照してください。


(4)ウイルス別届出件数

 2012年第3四半期のウイルス別届出件数は、W32/Mydoom591件W32/Netsky463件W32/Autorun175件、でした(図1-2参照)。

図1-2:ウイルス別届出件数の推移
図1-2:ウイルス別届出件数の推移


(5)ウイルス検出数

 2012年第3四半期のウイルス検出数は69,738個と、2012年第2四半期の52,565個から17,173個の増加での推移となりました(図1-3参照)。

図1-3:ウイルス検出数の推移
図1-3:ウイルス検出数の推移


(6)不正プログラム検出数

2012年第3四半期の不正プログラム上位10個の検出数は77,345個と、2012年第2四半期の67,715個から、9,630個の増加となりました(図1-4参照)。

図1-4:不正プログラム検出数の推移
図1-4:不正プログラム検出数の推移


- コンピュータウイルス届出の詳細はPDFファイルを参照して下さい -


2.コンピュータ不正アクセス届出状況

(1)四半期総括

 本四半期は例年と比較して、ウェブ改ざん被害の届出件数の増加が際立ちました。
 毎年夏季には、歴史上国際的な事件の発生日があるため、近隣国からのサイバー攻撃が発生しやすいとされる時期ですが、従来はこの時期におけるIPAへの届出は多くありませんでした。しかし今年は下記グラフの通り、際立って届出件数が増加しました※1。これは今年特有の、一部島しょの領有権に関する、近隣国からの抗議行動の一環によるものと推測されます※2

図2-1:ウェブ改ざん届出件数の推移
図2-1:ウェブ改ざん届出件数の推移


 ウェブ改ざんに留まらず、DoS攻撃や情報窃取などの複合的被害を受けた団体もありました。特に本四半期はDoS攻撃の届出が4件と目立ちました(表2-1)。近隣国からの攻撃と断定できているケースもあり、ウェブ改ざんと並行して行われていた可能性があります。
 各種報道によれば、今回の一連のウェブ改ざんは政府関係機関において多く発生しているようですが、政治とは無関係と思われる、一般企業や学術機関からの届出もIPAに寄せられています。国内のすべてのサイトが攻撃対象となる可能性がありますので、システム管理者はこの現状を理解していただくとともに、以下の点を確認して総合的な対策実施が必要です。
  • IDやパスワードの厳重な管理及び設定
  • セキュリティホールの解消(パッチ適用不可の場合は、運用による回避策も含む)
  • ルータやファイアウォールなどの設定やアクセス制御設定
  • アクセスログのこまめなチェック

 また、抗議行動以外のウェブ改ざん事案として、別のページに転送してサイト閲覧者のパソコンをウイルスに感染させることを目的とするウェブ改ざんが定常的に発生しています。主に原因不明なケースが多く見受けられますが、サイト閲覧者のパソコンで基本的なセキュリティ対策を実施していれば、被害を免れていたと思われます。サイト側のセキュリティを高めることは当然ですが、パソコン側のセキュリティ対策も疎かにせず、実施することを求めます。
  • Windows UpdateやOffice Updateなど、OSやアプリケーションソフトのアップデート
  • パスワードの設定と管理(複雑化、安易に他人に教えない、使い回しをしない、など)
  • ルータやパーソナルファイアウォールの活用
  • 無線LANの暗号化設定確認(WEPは使用せず、できる限りWPA2を使用する)
※1 2010年の第1四半期における届出件数の増加は、『ドライブバイダウンロードにより閲覧者のパソコンをウイルス
   に感染させ』、『そのウイルスでFTPのアカウントを盗み』、『そのアカウントで更に別のウェブサイトを改ざんし、ドラ
   イブバイダウンロードを仕込むことで感染を拡大させる』という一連の手口が流行したことによるものです。
※2 現在の所、近隣国からの攻撃と特定できているのは3件だけで、他は不明もしくは調査中ですが、他の四半期と比
   較しても急激に件数が増加していることから、そのように推測されます。


(2)被害事例
[ 侵入 ]
(i)サーバーの脆弱性を悪用され、ウェブページを改ざんされた

  • 当校の教員がTwitterにて、当校のウェブページが改ざんされているというツイートを発見した。確認すると、当校サイトのトップページの内容がアラビア語を含む写真に差し替わっていた。
  • 調査したところ、他のサイトを参照して画像を表示するように改ざんされていた。幸い閲覧者にウイルスを感染させるものではなかったため、ウェブ閲覧者に対する被害は発生していない。
  • サーバー管理用にウェブサイト上で使っていたCMS※3のプラグインに脆弱性があり、それを悪用されて改ざんされた。
  • CMSは最新版に更新する予定。




インターネット越しにサーバーを管理できるようにする場合、悪意ある者に狙われて悪用されるかも知れない、ということを念頭に置いた対策が必要です。有名なツールであれば、特に狙われやすいと言えます。脆弱性の解消はもちろんのこと、WAF(Web Application Firewall)を導入してサイト全体のセキュリティを強化することも有効です。
セキュリティ情報収集に関して、最近ではウェブサイトからのみではなく、TwitterやSNSからでも収集できるようになりました。システム管理者は、セキュリティ情報の収集に適宜活用してください。
IPAでもTwitterにてセキュリティ情報を発信しております。是非ご利用ください。
(ご参考)

※3 CMS(Content Management System):ウェブサイトのコンテンツ(テキストや画像など)を統合的に管理
   するためのウェブアプリケーションソフト。


[ 不正プログラム埋め込み ]
(ii)バックドアを仕込まれて別ホストのスキャンに悪用された

  • 当校のあるIPアドレスから不審なアクセス試行が行われている、という通報を外部から受けた。
  • 当該IPアドレスを持つサーバーを複数のウイルス対策ソフトで検査すると、Windowsフォルダ内にバックドア※4が置かれていた。また、システムの隠しフォルダ内にDFind※5という脆弱性スキャンツールが置かれていた。
  • バックドアを設置された経路は不明。当該サーバー上で稼働していたApache、PHP、MySQL、WordPressがいずれも最新ではなかったため、いずれかの脆弱性を悪用された可能性が考えられる。




サーバーに埋め込まれていたプログラムが何だったのか明らかにされた、非常に貴重な例です。発見されたもの以外にも別の不正プログラムを埋め込まれている可能性も否定できないため、サーバーの初期化が必要不可欠です。また当該サーバーを経由して、別のサーバーにも侵入されている恐れがあるので、学内サーバーの総点検を勧めます。

今回の被害では、明らかに悪意ある者が当該サーバーを操作し、他のサーバーをスキャンしようとしていたことが伺えます。このように、弱点のあるサーバーは、他のサーバーへの攻撃やスキャンをするための踏み台として乗っ取られるかも知れないという脅威に常に晒されています。管理や設定の抜けがないか、今一度確認してください。
(ご参考)

※4 バックドア:主に侵入者が侵入したサーバーへ再び侵入するために、サーバー管理者に見つからないように仕掛
   けた裏口のこと。
※5 DFind:他のコンピュータの脆弱性を検査するためのツール。複数のサーバーソフトに関して、その動作の有無
   や脆弱性などを検査することができる。


(3)届出件数

 2012年第3四半期[7月~9月]の届出件数は合計38件(前四半期比約181%)であり、そのうち被害があった件数は36件(前四半期比240%)となりました。

図2-2:不正アクセス届出件数の推移
図2-2:不正アクセス届出件数の推移

- コンピュータ不正アクセス届出の詳細はPDFファイルを参照して下さい -


3.相談受付状況

(1)四半期総括

 2012年第3四半期(7月~9月)のウイルス・不正アクセス関連の相談総件数は2,819件でした。そのうち『ワンクリック請求』に関する相談717件(4月~6月:693件)、『偽セキュリティソフト』に関する相談95件(4月~6月:57件)、Winnyに関連する相談19件(4月~6月:13件)、「情報詐取を目的として特定の組織に送られる不審なメール」に関する相談6件(4月~6月:7件)、などでした。
 ウイルス・不正アクセス関連の相談のうち、ワンクリック請求に関する相談は、2012年第1四半期以降横ばいとなっています。最近では、スマートフォンにおけるワンクリック請求に関する相談も増えてきていますが、パソコンにおけるワンクリック請求の相談件数に比べると少ない状況です。
 相談届出の中から、スマートフォンをキーワードとして含む相談推移をみると、相談件数は増えてきているため、今後スマートフォンにおけるワンクリック請求についても注意が必要です。
 また、昨今ソーシャルネットワークに関する相談も増えてきています。いくつかのソーシャルネットワークサービスをキーワードとして含む相談届出の推移をみると、こちらも近年増加していました。

図3-1:ウイルス・不正アクセス関連の相談件数
図3-1:ウイルス・不正アクセス関連の相談件数

表4-1 IPA で受け付けた全ての相談件数の推移

  2011/
7~9
2011/
10~12
2012/
1~3
2012/
4~6
2012/
7~9
合計 4,692 4,228 3,147 2,781 2,819
  自動応答システム 2,783(59%) 2,401(57%) 1,832(58%) 1,496(54%) 1,545(55%)
電話 1,733(37%) 1,576(37%) 1,134(36%) 1,072(39%) 1,144(41%)
電子メール 156(3%) 222
(5%)
160(5%) 207(7%) 126(4%)
FAX・他 20(0%) 29(1%) 21(1%) 6(0%) 4(0%)


(2)相談事例

主な相談事例は以下の通りです。

(i)自分宛に、送信していないはずのメールに関するエラーメールが届きます
相談

昨日から「Mailer Daemon」というエラーメールが100件くらい届いています。 まったく知らないメールアドレスに自分のメールアドレスから送信されたことになっていていました。送信履歴にはそのようなメールはありませんでした。なぜこのようなことが起きるのでしょうか。(関係があるかわかりませんが、最近ウイルスを駆除しました。)

回答

考えられる主な可能性は3つあります。
1.自分のメールアドレスを使った詐称が行われた。(差出人詐称)
2.メールアカウントを不正に利用された。(PW破り等によるなりすまし)
3.パソコンがスパム配信ウイルスに感染した。

ウイルス駆除後も同じ症状なので、3.の可能性は小さいでしょう。
まずは、今すぐにメールのアカウントのPWを変更すべきです。それでエラーメールが止まれば、2.の可能性が大きいです。
それでも収まらない場合、すなわち1.のメールアドレス詐称については止めるのは難しいです。メールアドレスの変更も検討してみてください。 もし実際に2.だった場合、それは不正アクセスにあたるので、お手数ですがIPAに届出をお願いします。

(ご参考)
(ii)メールソフトで「証明書の登録をしようとしています」と表示されます
相談

メールの送受信をしようとすると「セキュリティ例外の追加」というのが出てくるようになりました。
「証明書の登録をしようとしています」という表示の下に、「承認」、「キャンセル」ボタンがありますが、キャンセルを選べばよいのでしょうか?
プロバイダのメールサーバ接続はSSLを使っています。

回答

現時点では、原因がわかりませんので「承認」はやめてください。
そのようなメッセージが表示される原因としては次のような事が考えられます。
・プロバイダのメールサーバが発行する証明書の期限が切れた
・プロバイダのメールサーバのホスト名が変わった
・プロバイダのメールサーバに何らかの不具合が発生した
・パソコンやメールソフトの設定が変更された
まずはパソコンの時刻を確認してください。時刻が大幅にずれていると、証明書の正当性が確認できないため、そのような表示が出ることがあります。時刻に問題が無い場合は、プロバイダへ確認してみてください。同様の症状があるかもしれません。
そのいずれにも当てはまらず、またパソコンやメールソフトの明示的な設定変更がない場合は、再度IPAへ相談してください。

(ご参考)


届出・相談の詳細については以下の PDF ファイルをご参照ください。


お問い合わせ先:

独立行政法人 情報処理推進機構 技術本部 セキュリティセンター
TEL:03-5978-7591 FAX:03-5978-7518
E-mail: 電話番号:03-5978-7591までお問い合わせください。
     (このメールアドレスに特定電子メールを送信しないでください)
URL:http://www.ipa.go.jp/security/

更新履歴:

2012年10月17日 掲載