HOME >> 情報セキュリティ >> 情報セキュリティに関する届出について

コンピュータウイルス・不正アクセス届出状況および相談受付状況
[2013年第1四半期(1月〜3月)]

第13-22-290号
掲載日:2013年 4月16日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター

(PDFはこちら)


(2.コンピュータ不正アクセス届出状況はこちら)
(3.相談受付状況はこちら)

1.コンピュータウイルス届出状況

(1)四半期総括

 2013年第1四半期のウイルス届出件数※1状況は、2012年第4四半期から減少での推移となりました(図1-1参照)。

2013年第1四半期のウイルス検出数※2は、W32/Mydoomが全体の3/4以上を占めました(図1-2参照)。しかし、2012年第4四半期と比較すると、W32/Mydoom、W32/Netskyともに減少傾向でした。
W32/Mydoomは、IPAへの届出が少ない分減少したと考えられるため、全体的には減少していないと言えます。W32/Netskyの届出を見ると、ウイルスコードが破損して感染活動が行えないものも多く検出されていました。よって、今後大幅に増加する可能性は低いと予想されます。
W32/IRCbotは、2012年第4四半期から大きく減少しました。W32/IRCbotは、Windowsやプログラムの脆弱性を悪用して感染活動を行うもので、標的型攻撃を行うための足掛かりとして使われることが多いですが、このウイルスを使わない攻撃に切り替わった可能性が考えられます。
XM/Mailcabは、メールソフトのアドレス帳を悪用して、自分自身のコピーをばら撒くマスメール型ウイルスでもあります。こうしたメールの添付ファイルを無造作に開いてしまう利用者が多いと、再び増加する恐れがあります。

2013年第1四半期の不正プログラム検出数※3は、主にインターネットバンキングのID/パスワードを窃取するBancos、パソコン内に裏口を仕掛けるBackdoor、悪意あるウェブサイトに誘導して、別のウイルスを感染させようとするWebkitが多く検出されました。しかし、Bancos以外は全て減少傾向でした(図1-3参照)。
Bancosは、2013年第1四半期では主に2013年3月に多く検知されています。3月に多く検知された理由として、期が変わる繁忙の時期を狙い、メールを使って不特定多数に大量にばら撒いたと予想されます。
その他、偽セキュリティソフトの検知名であるFakeavが大幅に減少しました。これは、最近の偽セキュリティソフトを感染させる手口が、メールでの攻撃からウェブサイト閲覧によるドライブ・バイ・ダウンロード攻撃へと変遷しているからと考えられます。また、韓国への大規模サイバー攻撃に使われたとされる不正プログラムTrojan/MBRKill(届出名:Trojan.Jokra[届出件数2件/検知件数3個])の届出が2013年3月に寄せられました。この不正プログラムに感染すると、コンピュータのハードディスクの内容が消去される可能性があります。
韓国での被害発生と同時期に、日本にも同じ不正プログラムが少なからず流通していたと推測されます。


ウイルスや不正プログラムの検出数を見ると、かなりのウイルスや不正プログラムがパソコンの手前まで届いていることがわかります。しかし、ウイルス対策ソフト等を使用することで感染被害に遭わずに済んでいると言えます。
これらウイルスや不正プログラムは、そのほとんどがメールを感染経路として送られてくるものです(表1-2参照)。対策として、ウイルス対策ソフト等を適切に使うことで感染はかなりの確度で防ぐことができます。また、メールの添付ファイルの開封には注意するとともに、身に覚えのないメールは読まずに捨てるべきと言えます。ドライブ・バイ・ダウンロード攻撃については、OSやアプリケーションソフトの脆弱性を悪用するため、古いバージョンのままにしておかず、常に最新の状態に保つことが一番の対策になります。

※1 届出件数 : 同じ届出者から寄せられた届出の内、同一発見日で同一種類のウイルスの検出が複数ある場合は、
          1日何個検出されても届出1件としてカウントしたもの。
※2 検出数 : 届出にあたり届出者から寄せられたウイルスの発見数(個数)。

※3 ここでいう「不正プログラム検出数」とは、IPAに届出られたものの中から「コンピュータウイルス対策基準」における
   ウイルスの定義に当てはまらない不正なプログラムについて集計したものです。
コンピュータウイルス対策基準:平成12年12月28日(通商産業省告示 第952号)(最終改定)(平成13年1月6
   日より、通商産業省は経済産業省に移行しました。)
「コンピュータウイルス対策基準」(経済産業省)
http://www.meti.go.jp/policy/netsecurity/CvirusCMG.htm


(2)ウイルス感染被害届出

 2013年第1四半期のウイルス感染による被害届出は0件でした。
パソコン利用者には、引き続きウイルス対策などでセキュリティ維持の継続をお願いいたします。


(3)届出件数

 2013年第1四半期[1月〜3月]の届出件数は1,803件となりました。下記グラフ(図1-1)は、IPAが受け付けた四半期(3ヶ月)ごとの届出件数の推移を示したものです。
図1-1で示すように、届出件数は2012年第4四半期の2,456件から653件の減少での推移となりました。

図1-1:届出件数の四半期毎推移
図1-1:届出件数の四半期毎推移



(4)ウイルス検出数

 2013年第1四半期のウイルス検出数は56,210個と、2012年第4四半期の67,533個から11,323個の減少での推移となりました(図1-2参照)。

図1-2:ウイルス検出数の推移
図1-2:ウイルス検出数の推移


(5)不正プログラム検出数

2013年第1四半期の不正プログラム上位10個の検出数は23,617個と、2012年第4四半期の37,480個から、13,863個の減少となりました(図1-3参照)。

図1-3:不正プログラム検出数の推移
図1-3:不正プログラム検出数の推移


− コンピュータウイルス届出の詳細はPDFファイルを参照して下さい −


2.コンピュータ不正アクセス届出状況

(1)四半期総括

 2013年第1四半期(2013年1月〜3月)のコンピュータ不正アクセス届出の総数は27件でした(2012年10月〜12月:36件)。そのうち『侵入』の届出18件(同:14件)、『なりすまし』の届出5件(同:12件)、『不正プログラムの埋め込み』の届出2件(同:3件)などでした。

『侵入』18件のうち、その多くは『ウェブ改ざん』の被害を受けたもので、15件の届出がありました。

2010年第1四半期にはいわゆる「ガンブラー」の流行※1、2012年第3四半期には一部島しょの領有権に関する近隣国からの抗議行動の一環によるものと推測される改ざんが多く、届出件数の増加に繋がりました。本四半期ではその時期と異なり、“特定のウイルスによる感染が流行する”、“ウェブサーバに関する深刻な脆弱性が発見される”といった特徴的な原因は見受けられませんでしたが、これらの時期に迫る件数の届出がありました。

図2-1:ウェブ改ざん届出件数の推移
図2-1:ウェブ改ざん届出件数の推移


ウェブを改ざんされた原因としては「原因不明」が大半を占めていますが(図2-4参照)、原因が特定できたものとしては、管理者権限アカウントに対するブルートフォース攻撃、CMS※2やサーバー管理ツールの脆弱性の悪用など、多岐にわたります。またFTPアカウントを窃取されたことによる改ざん被害もあり、2010年第1四半期に流行した「ガンブラー」と同様の手口がいまだに継続して行われていると推測されます。
またJPCERT/CCが、「Parallels Plesk Panel」というサーバー管理ツールを利用しているウェブサイトへの改ざんに対する注意喚起を発表しております※3。IPAにも、「Parallels Plesk Panel」を利用しているウェブサイトに不正なApacheモジュールを設置された被害の届出や相談が寄せられています。「Parallels Plesk Panel」が原因とは断定できませんが、同ツールの利用サイトは、念のためツールを最新版にバージョンアップするなどの対策を実施することを推奨します。

ウェブを改ざんされた場合については、前四半期までは、近隣国からの抗議行動の一環と推測されるような内容にページが改ざんされるといった内容が届出られていましたが、本四半期はそういった届出は一切なく、“ウイルス配布サイトに改ざんされた”という被害内容の届出が半数を占めており、ウェブ利用者への直接攻撃以外にも、正規のサイトを改ざんすることで間接的にウェブ閲覧者を攻撃する攻撃手法が目立ってきていると言えます。
ウェブ改ざんへの対策として、システム管理者によるサーバー側での対策はもちろんですが、万が一、改ざんされたウェブページを閲覧してしまった場合に備える事前の対策として、パソコン側での対策も忘れずに実施してください。
なお、対策としては、以下に挙げる基本的なセキュリティ対策が効果的であることに変わりありません。各項目についてしっかりと対策が行われているか、改めて対策状況を確認してください。

サーバ側での対策(システム管理者向け対策)
  • IDやパスワードの厳重な管理及び設定
  • セキュリティホールの解消(パッチ適用不可の場合は、運用による回避策も含む)
  • ルータやファイアウォールなどの設定やアクセス制御設定
  • アクセスログのこまめなチェック

パソコン側での対策(個人向け対策)
  • Windows UpdateやOffice Updateなど、OSやアプリケーションソフトのアップデート
  • パスワードの設定と管理(複雑化、安易に他人に教えない、使い回しをしない、など)
  • ルータやパーソナルファイアウォールの活用
  • 無線LANの暗号化設定確認(WEPは使用せず、できる限りWPA2を使用する)
※1 『ドライブ・バイ・ダウンロード攻撃により閲覧者のパソコンをウイルスに感染させ』、『そのウイルスでFTPのアカウ
   ントを盗み』、『そのアカウントで更に別のウェブサイトを改ざんし、ドライブ・バイ・ダウンロード攻撃により感染を拡
   大させる』という一連の手口。
※2 CMS(Content Management System):ウェブサイトのコンテンツ(テキストや画像など)を統合的に管理
   するためのウェブアプリケーションソフト。
※3 JPCERT/CC「旧バージョンの Parallels Plesk Panel の利用に関する注意喚起」
https://www.jpcert.or.jp/at/2013/at130018.html


(2)被害事例
(i)サーバーから大量の通信が発生しており、他組織に迷惑をかけている

  • 当社が利用しているホスティングサービス会社から、「内部向け、外部向け両方において大量の通信が発生している。特に外部向けの通信量が異常に多い」との連絡を受けた。
  • その外部向け通信の内容は、当社のDNSサーバーから出ているもので、宛先もDNSが通常使用するUDP53番ポートを宛先ポートとする通信であった。
  • それらの通信は、当然ながら当社が意図する通信ではない。
  • ホスティングサービス会社に調査を依頼したが、原因不明との調査結果であった。




本事例のような「自社のDNSサーバーがDoS攻撃並みの通信を受けると同時に、他の組織に対しても意図しないDoS攻撃が発生している」といった相談や届出がIPAに複数寄せられています。
これは「DNS Amp攻撃※4という攻撃を受けた時の典型的症状です。 不適切な設定で、かつ脆弱性を抱えているDNSキャッシュサーバー※5は、本事例のように知らぬ間に他組織へのDoS攻撃に加担してしまう恐れがあります。

  • DNS問い合わせを受け付ける範囲を限定する
  • IPアドレスなりすまし(IPスプーフィング)対策を行う
  • DNSキャッシュポイズニング対策を行う
DNSキャッシュサーバーにおいては上記3点の対策を行うことを推奨します。

(ご参考)

※4 「DNS Amplification 攻撃」「DNS増幅攻撃」などと呼ばれることもある。
※5 DNSキャッシュサーバー:自組織内のクライアント(パソコンなど)に代わって、外部のDNSサーバーに
    DNS問い合わせを行うDNSサーバー。


(3)届出件数

 2013年第1四半期[1月〜3月]の届出件数は合計27件(前四半期比約75%)であり、そのうち被害があった件数は27件(前四半期比79%)となりました。

図2-2:不正アクセス届出件数の推移
図2-2:不正アクセス届出件数の推移

− コンピュータ不正アクセス届出の詳細はPDFファイルを参照して下さい −


3.相談受付状況

(1)四半期総括

 2013年第1四半期(1月〜3月)のウイルス・不正アクセス関連の相談総件数は3,300件でした(2012年10月〜12月:3,203件)。そのうち『ワンクリック請求』に関する相談721件(同:659件)、『偽セキュリティソフト』に関する相談179件(同:116件)、Winnyに関連する相談22件(同:51件)、「情報詐取を目的として特定の組織に送られる不審なメール」に関する相談18件(同:18件)、などでした。
2013年第1四半期の傾向としては、ワンクリック請求相談件数は、多少の上下変動はありましたがほぼ横ばい傾向でした(図3-2参照)。それに対し、偽セキュリティソフトに関する相談の件数が明確な増加傾向を示しています(図3-3参照)。スマートフォン関連の相談件数も増加しており、スマートフォンの利用が広がっていることがうかがえます。
また、前年同期(2012年第1四半期:2012年1月〜3月)の相談件数と比較した場合、相談件数はほぼ同数という結果でしたが、2012年第2四半期(2012年4月〜6月)から2013第1四半期までを比較した場合、継続的な微増傾向を示すものでした(図3-1、表3-1参照)。

図3-1:ウイルス・不正アクセス関連の相談件数
図3-1:ウイルス・不正アクセス関連の相談件数

表3-1 ウイルス・不正アクセス関連の相談件数

  2012/
1〜3
2012/
4〜6
2012/
7〜9
2012/
10〜12
2013/
1〜3
合計 3,147 2,781 2,819 3,203 3,300
  自動応答システム 1,832(58%) 1,496(54%) 1,545(55%) 1,552(48%) 1,779(54%)
電話 1,134(36%) 1,072(39%) 1,144(41%) 1,363(43%) 1,302(39%)
電子メール 160(5%) 207(7%) 126(4%) 274(9%) 205(6%)
FAX・他 21(1%) 6(0%) 4(0%) 14(0%) 14(0%)


(2)相談事例

主な相談事例は以下の通りです。

・不審なソフトをダウンロードした結果、パソコンが正常に動作しなくなった
相談1 インターネットへのアクセスができない
  • パソコンを起動したらポップアップ画面が立ち上がり、見覚えのないソフトがパソコンのスキャンを開始し“大量のウイルスが検出された”というメッセージが表示される。
  • インターネットにアクセスしようとすると、このソフトが“不審なWebサイトにアクセスしようとしています”という警告画面を表示して妨害し、インターネットへのアクセスができない。
相談2 ファイルが消えてしまって、何もできない
  • パソコンを起動させたら、見知らぬポップアップ画面が立ち上がり、デスクトップ上のアイコン、インストールしたプログラム、作成したファイル等がほとんど消えてしまった。
  • IPAのサイトに掲載されている「システムの復元」を行おうとしたが、「スタートメニュー」や「すべてのプログラム」を開いても、中がほとんど空の状態でどうしようもない。
相談3 パソコンが使えなくなり、症状改善のための金銭を要求される
  • ドイツ在住。今使っているパソコンがウイルスに感染したらしく、立ち上げようとすると、ドイツ警察を名乗るポップアップ画面が立ち上がる。“いかがわしいサイトを閲覧したため、罰金として100ユーロを支払え”という表示内容。
  • そこから先の操作ができない状況に陥っている。
  • IPAのウェブサイトを参考にして「システムの復元」を試したが、セーフモードで起動しても上記画面が開かれてしまいその先に進めず対処ができない。
回答

いわゆる“偽セキュリティソフト”と言われるウイルスに感染してしまったものと考えられます。
この部類のソフトは、セキュリティソフトと思われるような画面構成になっているため有益そうなソフトに見えますが、実際には偽の警告を発して製品の購入を迫るウイルスです。
購入を促す画面が表示されてもクレジットカード番号などを入力しないでください。 もし既にクレジットカード番号などを入力してしまった場合は、クレジットカード会社及び消費生活センターなどに相談し、念のためクレジットカード番号を変えるなどの検討を行ってください。
また感染したパソコンの対策ですが、このようなウイルスに感染した場合、一番確実な方法はパソコンの初期化です。しかし、どうしても初期化したくないという場合、IPAでは感染前の状態にパソコンを戻す「システムの復元」を推奨しております。また、今後このような被害を防ぐために、使用しているオペレーションシステム、アプリケーションソフト、ウイルス対策ソフトは常に最新の状態に保つようにしてください。

(ご参考)


届出・相談の詳細については以下の PDF ファイルをご参照ください。


お問い合わせ先:

独立行政法人 情報処理推進機構 技術本部 セキュリティセンター
TEL:03-5978-7591 FAX:03-5978-7518
E-mail: 電話番号:03-5978-7591までお問い合わせください。
(このメールアドレスに特定電子メールを送信しないでください)
URL:http://www.ipa.go.jp/security/

更新履歴:

2013年 4月16日 掲載