HOME >> 情報セキュリティ >> 情報セキュリティに関する届出について

コンピュータウイルス・不正アクセス届出状況および相談受付状況
[2012年年間]

第13-07-275号
掲載日:2013年 1月22日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター

(PDFはこちら)

1.コンピュータウイルス届出状況

(1)2012年総括

 2012年のウイルス届出件数※1状況は、2011年から減少での推移となりました(図1-1参照)。ウイルス別届出件数では、W32/Mydoomの届出が最も多くありました。また、マクロウイルスの一種であるXM/Mailcabの届出が、2012年4月の最初の届出から少しずつですが増加傾向にありました(図1-2参照)。2012年12月現在では少し減少傾向になりましたが、しばらくの間は感染活動に注意が必要です。

 2012年のウイルス検出数※2は、W32/Mydoomが全体の半数以上を占め、増加傾向にあります(図1-3参照)。対照的にW32/Netskyは減少傾向にあり、2012年は届出件数、検出数ともW32/Mydoomに逆転された形となりましたが、それでも全体の1/3弱の検出数となりました。W32/MydoomやW32/Netskyは、自分の複製をメールの添付ファイルに付けてばら撒いて感染拡大していくウイルスなので、このウイルスに感染しているサーバーやパソコンが未だに多く存在していると言えます。
 2012年1月はW32/Downadの検出数が非常に多かったですが、これは特定の企業で検出されたものです。W32/DownadはWindowsの脆弱性を悪用して感染活動を行うため、標的型攻撃を行うための足掛かりとして使われることがありますが、ウイルス対策ソフトで検知できていたことがわかっています。
 2012年4月の検出数総数が少ないことが図1-3からわかりますが、これは届出自体が少なかったからです。
 2012年11月はW32/IRCbotの検出数が一時的に増加しました。こちらも同様に特定の企業で検出されたものです。W32/IRCbotもWindowsやプログラムの脆弱性を悪用して感染活動を行うため、1月と同様に標的型攻撃の足掛かりとして使われていた可能性があります。

 2012年の不正プログラム検出数※3は、主に正規のソフトウェアなどを装って感染を試みるTrojan/Horse、インターネットバンキングのID/パスワードを窃取するBancos、偽セキュリティソフトの検知名であるFakeav、が多く検出されました(図1-4参照)。
 2012年4月の検出数総数が少ないことが図1-4からわかりますが、これは届出自体が少なかったからです。
 2012年5月にTrojan/Horseが多いのは、特定の企業からの4月の届出が5月に行われたためです。(検出数は、届出を受理した日で集計しています。)
 2012年7月の検出数総数が多いのは、特定の企業に対してAdwareBancosが送られたためです。
 2012年9月はInvoの数が多くなっています。こちらも特定の企業に対して多く送られたためです。

 ウイルスや不正プログラムの検出数を見ると、かなりのウイルスや不正プログラムがパソコンの手前まで届いていることがわかります。しかし、ウイルス対策ソフト等を使用することで感染被害に遭わずに済んでいると言えます。

※1 届出件数 : 同じ届出者から寄せられた届出の内、同一発見日で同一種類のウイルスの検出が複数ある場合は、
          1日何個検出されても届出1件としてカウントしたもの。
※2 検出数 : 届出にあたり届出者から寄せられたウイルスの発見数(個数)。

※3ここでいう「不正プログラム検出数」とは、IPAに届出られたものの中から「コンピュータウイルス対策基準」における
  ウイルスの定義に当てはまらない不正なプログラムについて集計したものです。
  コンピュータウイルス対策基準:平成12年12月28日(通商産業省告示 第952号)(最終改定)(平成13年1月6日
  より、通商産業省は経済産業省に移行しました。)
  「コンピュータウイルス対策基準」(経済産業省)
  http://www.meti.go.jp/policy/netsecurity/CvirusCMG.htm


(2)ウイルス感染被害届出

 2012年のウイルス感染による被害届出はW32/Antinnyが1件、W32/Palevoが1件、W32/Downadが1件、W32/Fujacksが1件、W32/Dorkbotが3件、の合計7件でした(表1-1参照)。
 感染経路は、外部からの媒体が2件、メールが3件、ダウンロードファイルが1件、不明が1件、でした。
 感染原因は、Winnyでダウンロートしたファイルを実行したためが1件、対策ソフトのパターンファイルが古かったためが1件、メールに書かれているURLからファイルをダウンロードして実行したためが3件、不明が2件、でした。
 発見方法は、目視が3件、外部からの連絡が2件、他のウイルス対策ソフトに変更した時に発見されたのが1件、ウイルス対策ソフトのパターンファイルが更新されていなかったため更新後に発見されたのが1件、でした。

 W32/Dorkbotの届出は、全てインターネット電話サービスの一つであるSkypeを利用していて感染被害に遭ったものでした。これは、自分の知り合いから届いたメッセージの中に書かれているURLをクリックして、ダウンロードしたファイルを実行すると感染被害に遭ってしまうというものです。感染すると、Skypeの連絡帳に登録している利用者に同じメッセージを送信します。
 このウイルスは、届出された時点ではほとんどのウイルス対策ソフトで検出されないウイルスでした。
 知り合いからのメッセージであっても、怪しいと感じたらクリックをしたり、ダウンロードしたファイルを実行したりせず、送信者である知り合いに確認を取るなどをしてから、クリックや実行することを推奨します。


(3)届出件数

 2012年の届出件数は10,351件となりました。下記グラフ(図1-1)は、IPAが受け付けた1年ごとの届出件数の推移を示したものです。
 図1-1で示すように、届出件数は2011年の12,036件から1,685件の減少での推移となりました。

 2012年に届出されたウイルスの種類は127種類(2011年125種類)で、そのうち2012年に初めて届出されたウイルスは14種類(2011年20種類)でした。なお、その内の5種類は携帯端末のウイルス(2011年7種類)で全てAndroidOSを感染対象としたウイルスでした。

 127種類の内、Windows/DOSウイルス82種類9,038件、スクリプトウイルス及びマクロウイルス36種類1,223件、携帯端末のウイルス8種類89件、Linuxウイルス1種類1件、でした。

図1-1:ウイルス届出件数の年別推移(2003年−2012年)
図1-1:ウイルス届出件数の年別推移(2003年−2012年)


2012年のウイルス感染による被害届出は7件でした。感染ウイルス名※4は、W32/Antinny1件W32/Palevo1件W32/Downad1件W32/Fujacks1件W32/Dorkbot3件、でした。詳細は以下の通りです。

表1-1:ウイルス感染被害届出詳細

ウイルス名
届出種別
ウイルス
対策ソフト
感染経路
感染原因
発見方法
対処

W32/Antinny

一般
法人
不明
ダウンロードファイル 社員が自宅パソコンでWinnyを使い、ダウンロードしたファイルを実行したため 外部からの連絡 パソコンの廃棄

W32/Palevo

教育
機関

(最新)
外部からの媒体 不明 目視 不明

W32/Downad

一般
法人

(最新ではない)
外部からの媒体 ウイルス対策ソフトのパターンファイルが古かったため ウイルス対策ソフトのパターンファイルを更新した時 パソコンの初期化

W32/Fujacks

一般
法人

(最新)
不明 不明 他のウイルス対策ソフトに変更してウイルススキャンを行った時 ウイルス対策ソフトを変更後に発見・駆除

W32/Dorkbot

個人
不明
メール メールに書かれているURLからファイルをダウンロードして実行 目視 システムの復元

W32/Dorkbot

個人

(最新)
メール メールに書かれているURLからファイルをダウンロードして実行 外部からの連絡 実行したファイルの削除

W32/Dorkbot

一般
法人

(最新)
メール メールに書かれているURLからファイルをダウンロードして実行 目視 ウイルス対策ソフトを最新の状態にして駆除
※4 : ウイルスの詳しい概要は、「IPAに届けられたウイルス」
     http://www.ipa.go.jp/security/virus/virus_main.htmlを参照してください。


(4)ウイルス別届出件数

 2012年のウイルス別届出件数は、W32/Mydoom2,428件W32/Netsky1,982件W32/Autorun776件、でした(図1-2参照)。

図1-2:ウイルス別届出件数推移(2012年1月〜12月)
図1-2:ウイルス別届出件数推移(2012年1月〜12月)


(5)ウイルス検出数

 2012年のウイルス検出数は249,940個と、2011年の278,935個から28,995個の減少での推移となりました(図1-3参照)。

図1-3:ウイルス別検出数推移(2012年1月〜12月)
図1-3:ウイルス別検出数推移(2012年1月〜12月)


(6)不正プログラム検出数

2012年の不正プログラム上位10個の検出数は230,450個と、2011年の324,056個から、93,606個の減少となりました(図1-4参照)。

図1-4:不正プログラム別検出数推移(2012年1月〜12月)
図1-4:不正プログラム別検出数推移(2012年1月〜12月)


− コンピュータウイルス届出の詳細はPDFファイルを参照して下さい −


2.コンピュータ不正アクセス届出状況

(1)年間総括および対策情報

 2011年はCMS(Content Management System)の脆弱性を悪用したウェブサイト改ざんの届出が増加しましたが、2012年はそれに加えてサーバー管理ツールの脆弱性悪用したウェブサイト改ざんの届出が目立ちました。また、その被害原因の多くが不明なケースだったことから、こうした改ざんを行うための攻撃手口の巧妙化が伺えます。ウェブ改ざんのその他の原因としては、コンテンツファイルのアップロード時に使用するFTPアカウントの情報を窃取されたものが、2011年と同様に多数発生しました。アップロードに使用するパソコンのウイルス感染が原因と考えられます。
 ウェブサイト上で対策を施しても、パソコンからFTPアカウント情報が漏えいしてしまったら意味がありません。ウェブサイト管理者は、システム管理者向け対策のみならず、パソコン上での対策として個人向け対策の実施が必要です。

[システム管理者向け対策]

  • IDやパスワードの厳重な管理及び設定
  • セキュリティホールの解消(パッチ適用不可の場合は、運用による回避策も含む)
  • ルータやファイアウォールなどの設定やアクセス制御設定
  • こまめなログのチェック
[個人向け対策]
  • ウイルス対策ソフトを、常に最新の状態にして利用
  • Windows UpdateやOffice Updateなど、OSやアプリケーションソフトのアップデート
  • パスワードの設定と管理(複雑化、安易に他人に教えない、使い回しをしない、など)
  • ルータやパーソナルファイアウォールの活用の検討
  • 無線LANの暗号化設定確認(WEPは使用せず、できる限りWPA2を使用する)
 ウェブ改ざん以外のケースでは、なりすましによってオンラインゲームなどのサービスを勝手に使われて金銭被害が出たケースや、SSHで使用するポートへの攻撃で侵入(ID、パスワードの設定不備や不明が主な原因)され、他のコンピュータを攻撃するための踏み台に悪用されていた被害も目立っていたことが挙げられます。主に原因不明なケースが多く見受けられますが、基本的なセキュリティ対策が効果的であることに変わりはありません。下記情報を参考にしてください。

[システム管理者向け情報]
[エンドユーザ・ホームユーザ向け情報]


(2)被害事例
[ 侵入 ]
(i)CMSのプラグインの脆弱性を悪用されて、ウェブサイトを改ざんされた

  • 外部から「ウェブサイトが改ざんされている」との連絡を受けた。確認すると、確かに一部のページにて改ざんされていることが判明した。
  • ページの表示画面が、宗教的メッセージと思われる絵と文章に改ざんされていた。改ざん内容を精査したところ表示内容の変更だけであり、幸いサイト閲覧者にウイルス感染など二次被害を及ぼすようなものではなかった。
  • Joomla!というCMS※1の機能拡張用プラグインであるJCE※2の脆弱性を悪用されてサーバーにバックドア を埋め込まれたことが原因であった。そのバックドア経由でサーバーに侵入されて改ざんされてしまった。
  • 被害後はJoomla!を使用を取りやめ、サイト更新時にはHTMLを直接変更する運用に移行した。




Joomla!に限らず、各種CMSには機能拡張用のプラグインが提供されている場合が多いですが、そのプラグインにも脆弱性が発見される場合があります。そうしたプラグインを導入した際には、CMS本体に加えて、導入したプラグインすべてに対して、最新バージョンを使用するなどの脆弱性対策を実施する必要があります。
CMSもしくはそのプラグインの脆弱性を悪用されてしまった場合、最新版にバージョンアップすることが基本ですが、ユーザーサポートが期待できる商用製品への移行や、場合によっては本事例のようにCMSの使用を取りやめることも選択肢の一つです。
(ご参考)

※1 CMS(Content Management System):ウェブページのコンテンツ(テキストや画像など)を統合的に管理
   するためのウェブアプリケーションソフト。

※2 JCE:Joomla!のウェブページを編集するための編集ソフト。

[ DoS ]
(ii)複数のIPアドレスから大量のアクセスを受けて、インターネット回線が麻痺した

  • 自宅のインターネット回線を使ってゲームサーバーを公開※3しており、不特定多数の利用者が遊べるようにしていたが、ある日突然、自宅のパソコンからインターネットに接続できなくなった。
  • 自宅のルータのログを確認すると、ある特定のIPアドレスから大量のパケットを送信されていた。DoS攻撃により、自宅のインターネット回線の帯域を使い果たされたと考えられる。
  • ファイアウォールで当該IPアドレスを拒否しても、次の日にはIPアドレスを変えてアクセスしてくるため、対策してもキリがない。
  • このようなDoS攻撃に対する効果的な対策がわからず、困っている。




オンラインゲームに限らず、サーバーを外部に公開するとIPアドレスが外部に知られるため、常に攻撃を受ける可能性があります。特に一般家庭のインターネット回線の場合、回線の帯域が貧弱な場合が多く、DoS攻撃に対して弱いと言えます。 一般に自宅でサーバーを運用したい場合、回線の帯域を増強するか、大容量のインターネット回線を利用できるデータセンターへ移設する、といったことが考えられますが、DoS攻撃よりも怖いのはサーバーへの侵入です。
サーバーに侵入されてしまうと、そのサーバーを踏み台にして、さらに自宅の他のパソコンにまで侵入される恐れや、外部の別のサーバーに対する不正アクセスに悪用されてしまう恐れがあります。
自宅のサーバーを公開する場合、まずはしっかりセキュリティ対策を実施する必要があります。その上でDoS攻撃への対策を講じてください。
(ご参考)

※3 ゲームサーバーを公開:ゲームによっては、ゲームサーバーを許可なく公開することを禁じているものもある
   ので、公開する際には事前に確認する必要がある。


(3)届出件数

 2012年の年間届出件数は121件となり、2011年の届出件数103件から18件(約17%)増加しました。なお、下記グラフは、過去10年間にIPAセキュリティセンターが受け付けた届出件数の推移を示したものです。

図2-1:不正アクセス届出件数推移(2003年−2012年)


(4)届出種別

 2012年は2011年と比べて、「侵入」「なりすまし」などの届出数が増加し、結果として被害のあった総件数が増加しました。

図2-2:不正アクセス届出種別


(5)被害内容

 届出のうち実際に被害があったケースにおける被害内容の分類です。被害件数は前年から30件(40%)増加しました。特に「ウェブサイト改ざん」の届出件数が大きく増加しています。

図2-3:不正アクセス被害内容


(6)届出者の分類

 届出者別の内訳は、「法人」からの届出割合が前年から増加しました。一般企業のウェブサイトの改ざん被害が増加したことが一因です。

図2-4:不正アクセス届出者推移


(7)被害原因

 実際に被害があった届出を原因別分類に見ますと、ID・パスワード管理・設定の不備が18件(17%)、古いバージョン使用・パッチ未導入などが15件(14%)、設定不備が7件(7%)、となっています。原因が不明なケースは56件(53%)と、2011年と同様に全体の半数近くを占めていることから、不正アクセスの原因究明が困難な事例が多くなっているということが推測されます。

図2-5:不正アクセス被害原因


− コンピュータ不正アクセス届出の詳細はPDFファイルを参照して下さい −


3.相談受付状況

(1)2012年総括

 2012年1月〜12月のウイルス・不正アクセス関連の相談総件数は11,950件でした。そのうち『ワンクリック請求』に関する相談2,755件『偽セキュリティソフト』に関する相談354件Winnyに関連する相談125件「情報詐取を目的として特定の組織に送られる不審なメール」に関する相談40件、などでした。
 2012年のウイルス・不正アクセス関連の全体相談件数の推移を図3-1及び表3-1に示します。3月及び4月の相談件数の一時的な落ち込みは、”2012年度第3四半期の総括”でも言及しましたが、2011年12月に起きた”ワンクリック詐欺逮捕”の影響、10月の相談件数の一時的な増加は、昨年マスコミに大きく取り上げられた”遠隔操作ウイルス”の影響と推定され、届出月によって多少の増減が見うけられましたが、全体的には、ほぼ横ばいとなっています。
 またワンクリック請求、偽セキュリティソフト、Winny、不審メールなどの相談項目ごとに集計した場合、ワンクリック請求及びWinnyに関する相談件数は、ほぼ横ばいで推移、偽セキュリティソフトに関する相談は増加傾向にありました。
 さらに、近年話題の多い「スマートフォン」のキーワードを含む相談推移をみた場合、”2012年第3四半期の総括”でも示したように、件数はまだ少ないものの、明確に増加傾向を示しており、今後ますます増加していくものと考えられます。

図3-1:2012年ウイルス・不正アクセス関連の相談総件数推移
図3-1:2012年ウイルス・不正アクセス関連の相談総件数推移

表3-1 ウイルス・不正アクセス関連の相談件数

  2012年
  1
2
3
4
5
6
7
8
9
10
11
12
合計
11,950
 
1,302
1,073
772
750
934
1,097
921
980
918
1,281
988
934
  自動応答
システム
760 645 427 428 490 578 530 515 500 596 470 486
電話 485 362 287 270 363 439 342 417 385 571 414 378
電子メール 49 62 49 50 78 79 46 48 32 110 97 67
FAX・他 8 4 9 2 3 1 3 0 1 4 7 3


(2)相談事例

主な相談事例は以下の通りです。

(i)不審なソフトウェアをダウンロードしてしまいインターネットへのアクセスができません。
相談

あるWebサイトを訪問した時、ポップアップ画面が立ち上がり、この画面を閉じようとクリックしていたら、知らない間に不審なソフトウェアをダウンロードし、インストールさせられたようです。インターネットにアクセスしようとすると、このソフトウェアが”不審なWebサイトにアクセスしようとしています”と警告画面を表示して妨害し、インターネットへのアクセスができません。対策を教えてください。

回答

ご相談者様はいわゆる”偽セキュリティソフト”言われるウイルスソフトウェアに感染してしまったものと考えられます。この部類のソフトウェアは、”パソコンのスピードを速くするソフト”とか、”ウイルスを発見するソフト”など、一見、有益そうなソフトウェアに見えますが、実際は偽の警告を発して製品の購入を迫るソフトウェアですので、ポップアップ画面で購入をせまられてもクレジットカード番号などを入力しないで下さい。もし、既にクレジットカード番号などを入力してしまった場合は、消費クレジットカード会社及び消費生活センターなどに相談し、念のためカード番号を変えるなどの検討を行って下さい。また感染したパソコンの対策ですが、このようなウイルスソフトウェアに感染した場合、IPAでは感染前の状態にパソコンを戻す、「システムの復元」を推奨しております。それでも不具合が解消されない場合は、「パソコンの初期化」を行って頂きますようお願いいたします。また、今後このような被害を防ぐために、使用しているオペレーションシステム、アプリケーションソフト、ウイルス対策ソフトは常に最新の状態に保つようにしてください。

(ご参考)
(ii)インターネットバンキングで不審なポップアップ画面に認証番号などを入力してしまいました。
相談

ログインしたら、ポップアップ画面が開き、ログインパスワードや合言葉の入力を求められたため、これに入力してしまいました。後になってニュースなどで知ったのですが、インターネットバンキングのログイン画面を装う手口の犯行が多発しているとのこと、どのようにすれば良いでしょうか?

回答

通常と異なる環境からログインした場合などに、パスワードとは別に合言葉をいれる画面に移る(リスクベース認証を求められる)こともあるかもしれませんが、インターネットバンキングで、ログインパスワードと合言葉を同時に入力させる不審なポップアップ画面に入力されたということで、まずは、至急ご利用のインターネットバンクの相談窓口に正しい入力画面かどうか確認し、不審な入力画面であったなら、当該口座からの払い出しなどが行われないように相談して下さい。その後、ご利用のウイルス対策ソフトを最新の状態にしてパソコン全体をスキャンして下さい。また他社製品のオンラインスキャンを併用するなど、多角的なスキャンも実施することをお奨めします。ウイルスが見つかった場合、ウイルス対策ソフトで削除可能と考えますが、万一を考え「システムの復元」や「パソコンの初期化」を行い、その後に正規のログイン画面からログインパスワードや合言葉を変更するようお奨め致します。また、今後このような被害を防ぐために、使用しているオペレーションシステム、アプリケーションソフト、ウイルス対策ソフトは常に最新の状態に保つようにしてください。

(ご参考)


(3)相談内容の詳細分析

 表3-2に2011年と2012年の相談件数を比較したものを示します。これに示すよう、2012年の全体相談件数は2011年に比べ、減少する傾向にありました。これは、”2012年度第3四半期の総括”で分析したとおり、相談内容に大きな割合を占めるワンクリック請求に関するよくある質問に対しての回答を準備したためであることが、2012年のワンクリック請求に関する注意喚起ページの参照件数(約18万9千回/年 = 1万5750回/月)からも伺えます。
 偽セキュリティソフトの相談件数は、これまで2〜3年周期で増減を繰り返す傾向がみられ、2010年から2011年前半にかけて相談件数が減少する傾向がみられましたが、2011年後半から2012年にかけては増加する傾向を示しました。これは新種の偽セキュリティソフトが市場に出現しはじめたことを示すものと考えられます(図3-3参照)。また、これに関する2012年の特記事項として、偽セキュリティソフトの「凶悪化」があげられます。偽セキュリティソフトは以前から存在し、これまでに多くの相談がよせられていますが、昨年末に現れた偽セキュリティソフトは、「インターネットへのアクセスを完全にできなくする」、「システムの復原を実施しようとした場合、その操作を妨害する」など、一度感染してしまった場合、パソコンを初期化せざるを得ない状況まで追い込む偽セキュリティソフトの相談が寄せられました。

表3-2. 2011年と2012年の相談件数の比較表

年及び件数等
相談件数
全体
ワンクリック
請求
偽セキュリティソフト
Winny
不審メール
スマート
フォン
2012年
件数
11,950
2,755
354
125
40
273
2011年
件数
18,567
5,509
96
151
38
126
増減値
件数
-6,617
-2,754
258
-26
2
147
増減値
(%)
-36%
-50%
269%
-17%
5%
117%


図3-2:2011年〜2012年全体相談件数推移
図3-2:2011年〜2012年全体相談件数推移


図3-3:偽セキュリティソフトの相談件数推移
図3-3:偽セキュリティソフトの相談件数推移


 図3-4は、今後着目すべき相談項目の例として、スマートフォン関連の相談について、キーワードで集計を行ったものを示します。この結果から、近年のスマートフォンの普及に関連して相談が増えていることが確認でき、これに関する相談は、今後ますます増加するものと予想しています。

図3-4:スマートフォン関連の相談件数推移
図3-4:スマートフォン関連の相談件数推移


届出・相談の詳細については以下の PDF ファイルをご参照ください。


お問い合わせ先:

独立行政法人 情報処理推進機構 技術本部 セキュリティセンター
TEL:03-5978-7591 FAX:03-5978-7518
E-mail: 電話番号:03-5978-7591までお問い合わせください。
(このメールアドレスに特定電子メールを送信しないでください)
URL:http://www.ipa.go.jp/security/

更新履歴:

2013年 1月22日 掲載