HOME情報セキュリティコンピュータウイルス・不正アクセス届出状況および相談受付状況[2013年第2四半期(4月~6月)]

本文を印刷する

情報セキュリティ

コンピュータウイルス・不正アクセス届出状況および相談受付状況[2013年第2四半期(4月~6月)]

第13-28-296号
掲載日:2013年7月18日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター
(PDFはこちら)

1. コンピュータウイルス届出状況

1-1. 四半期総括

 2013年第2四半期のウイルス届出件数(*1)状況は、2013年第1四半期から減少での推移となりました(図1-1参照)。

 2013年第2四半期のウイルス検出数(*2)は、W32/Mydoomが全体の約80%(53,844個)を占めました(図1-2参照)。また、2013年第1四半期(44,238個)との比較でも、W32/Mydoomは約22%の増加傾向でした。単月の検出数を見るとW32/Mydoomは2013年6月に21,354個と、2006年9月に23,287個を検出して以来、2万個を超過する数でした。増加の理由は不明ですが、4月は14,445個、5月は18,045個と増加しており、しばらくは増加傾向で推移すると予想しています。
 またW32/Mydoomに次いで検出数が多かったW32/Netskyは全体の約15%(9,961個)を占め、2013年第1四半期(7,759個)と比較すると約28%増加しました。

 2013年第2四半期の不正プログラム検出数(*3)は、正規のソフトウェアなどを装って感染を試みるTrojan/Horse、インターネットバンキングのID/パスワードを窃取するBancos(届出名:Zeus、Zbot等)、偽セキュリティソフトの検知名であるFakeav、広告を画面に表示させるAdwareが多く検出されました(図1-3参照)。
 Bancosは、2013年第2四半期の検出数が4,306個と、2013年第1四半期の12,037個から約64%も減少しましたが、2013年4~6月の検出数は1,088個、768個、2,450個と、6月に急増しています。
 またFakeavが多く検出されたのは、2013年5月から6月に「ウェブ改ざん」の被害が多発(*4)し、改ざんされたウェブサイトにFeakeavが仕込まれ、閲覧した利用者が感染させられたためと推測されます。
 その他、2013年6月には日本マイクロソフト社の製品である、Microsoft Officeの脆弱性(ぜいじゃくせい)を悪用する不正プログラム、「Exploit-CVE-2012-0158」が多く検出(917個)されました。これは、Microsoft Officeの脆弱性が解消されていないパソコンに攻撃して侵入し、別のウイルスを感染させるというものでした。「Exploit-CVE-2012-0158」はバックドアなどと組み合わせて、標的型攻撃を行うために使われていると考えられます。

 これらウイルスや不正プログラムは、そのほとんどがメールを感染経路として送られてくるものです(表1-3参照)。メールの添付ファイルの開封には十分注意するとともに、身に覚えのないメールは読まずに捨てるのが標的型攻撃に有効な対策です。しかし、万が一開封してしまっても、セキュリティソフトを適切に使っていればかなりの確率でウイルスを検知し、パソコンへの感染を防ぐことができます。そのため普段からパソコン上の脆弱性を解消することとともに、セキュリティソフトを適切に使用することが重要です。
 また、「ウェブ改ざん」サイトを閲覧した利用者にウイルスを感染させるドライブ・バイ・ダウンロード攻撃は、OSやアプリケーションソフトの脆弱性を悪用します。使用中のソフトウェアは古いバージョンのままにしておかず、常に最新の状態に保つことが一番の対策です。
    (*1) 同じ届出者から寄せられた届出の内、同一発見日で同一種類のウイルスの検出が複数ある場合は、1日何個検出されても届出1件としてカウントしたもの。
    (*2) 届出にあたり届出者から寄せられたウイルスの発見数(個数)。
    (*3) ここでいう「不正プログラム検出数」とは、IPAに届出られたものの中から「コンピュータウイルス対策基準」におけるウイルスの定義に当てはまらない不正なプログラムについて集計したものです。
    コンピュータウイルス対策基準:平成12年12月28日(通商産業省告示 第952号)(最終改定)(平成13年1月6日より、通商産業省は経済産業省に移行しました。)
    「コンピュータウイルス対策基準」(経済産業省)
    http://www.meti.go.jp/policy/netsecurity/CvirusCMG.htm
    (*4) 2013年7月の呼びかけ
    「止まらないウェブ改ざん!」 ~ウェブサイトの管理の再検討を!~
    http://www.ipa.go.jp/security/txt/2013/07outline.html

1-2. ウイルス感染被害届出

 2013年第2四半期のウイルス感染による被害届出は0件でした。
 パソコン利用者は、引き続きウイルス対策ソフトなどによるセキュリティ維持の継続が望まれます。

1-3. 届出件数

 2013年第2四半期[4月~6月]の届出件数は1,734件でした。下記グラフ(図1-1)は、IPAが受け付けた四半期(3ヶ月)ごとの届出件数の推移を示したものです。
 図1-1で示すように、届出件数は2013年第1四半期の1,803件から69件の減少となりました。

図1-1. 届出件数の四半期毎推移
図1-1. 届出件数の四半期毎推移

1-4. ウイルス検出数

 2013年第2四半期のウイルス検出数は67,330個と、2013年第1四半期の56,210個から11,120個の増加となりました(図1-2参照)。

図1-2. ウイルス検出数の推移
図1-2. ウイルス検出数の推移

1-5. 不正プログラム検出数

 2013年第2四半期の不正プログラム上位10個の検出数は23,527個と、2013年第1四半期の28,462個から、4,935個の減少となりました(図1-3参照)。

図1-3. 不正プログラム検出数の推移
図1-3. 不正プログラム検出数の推移

- コンピュータウイルス届出の詳細はPDFファイルを参照して下さい -



2. コンピュータ不正アクセス届出状況

2-1. 四半期総括

 2013年第2四半期(2013年4月~6月)のコンピュータ不正アクセス届出の総数は51件でした(2013年1月~3月:27件)。そのうち『侵入』の届出が35件(同:18件)、『なりすまし』の届出が9件(同:5件)、『不正プログラムの埋め込み』の届出が1件(同:2件)などでした。

 『侵入』35件のうち、その多くは『ウェブ改ざん』の被害を受けたもので、27件の届出がありました。
 過去にも何度かウェブ改ざんの届出の件数が増加した時期がありましたが、今四半期は、それらの時期の1.7倍の届出がありました(図2-1参照)。ウェブ改ざんの届出の増加の背景として、2013年7月の呼びかけ(*5)のとおり、2010年第1四半期に流行したガンブラー(*6)の手口を応用した改ざん被害が拡大していることが考えられます。

図2-1. ウェブ改ざん届出件数の推移
図2-1. ウェブ改ざん届出件数の推移

 2013年第1四半期からIPAに届出られているウェブ改ざんのうち、原因が判明しているものには、脆弱性の悪用やサイト管理用のFTPの盗用がありました。しかし2013年6月には届出の約半数がサイト管理用のFTPアカウント盗用が原因の改ざんでした(図2-2参照)。これは、前述の通り、ここ数か月のウェブ改ざんの手法が、以前に流行したガンブラーと同様の手口によるものと考えられます。また、FTP盗用によるウェブ改ざんの届出の中には、サイト管理用のFTPクライアントに利用していたパソコンがセキュリティ対策ソフトをインストールしていたにも関わらずウイルスを検知できなかったという場合もありました。これは未知のウイルスが用いられていた可能性も考えられます。

 そのため、特にサイト管理にFTPサービスを利用しているシステム管理者の方は、ウイルスに感染しないための対策だけではなく、万が一、未知のウイルスに感染してしまったことも想定した事前の対策が求められます。ウイルスに感染しないために、以下の基本的な対策を行うことはもちろんのこと、サーバーに接続するIPアドレスを組織内などに限定し、それ以外のIPアドレスからの接続を制限する設定を行います。そうすることで、万が一、ウイルス感染などによりサイト管理用のFTPアカウント情報が奪取されても、ウェブサイト改ざんのリスクが軽減できます。

図2-2. ウェブ改ざん被害原因別の推移
図2-2. ウェブ改ざん被害原因別の推移

システム管理者向け対策
  • ウェブサーバーの脆弱性に対する攻撃への対策
    - サーバーの脆弱性対策を実施する
  • ウェブサイトを管理しているクライアントパソコンのウイルス感染によるFTPパスワード漏えい向け対策
    - 管理用パソコンのOSと各種プログラムを常に最新状態にし、パソコンの脆弱性を解消する
    - セキュリティソフトを使用する
    - パーソナルファイアウォールを導入する
    - ウェブサイトを更新する場所を限定する
    - ウェブサイト更新専用パソコンを使用する
  • サイト管理者用FTPのパスワードが漏洩しないための対策
    - 適切なアカウント設定
  • サイト管理者用FTPアカウントの不適切な利用による漏洩への対策
    - アカウントを共有しない
(参考)
    (*5) 2013年7月の呼びかけ
    「止まらないウェブ改ざん!」 ~ウェブサイトの管理の再検討を!~
    http://www.ipa.go.jp/security/txt/2013/07outline.html
    (*6) 『ドライブ・バイ・ダウンロード攻撃により閲覧者のパソコンをウイルスに感染させ』、『そのウイルスでFTPのアカウントを盗み』、『そのアカウントで更に別のウェブサイトを改ざんし、ドライブ・バイ・ダウンロード攻撃により感染を拡大させる』という一連の手口。

2-2. 被害事例

(i) ウェブサイトが改ざんされてしまったが、レンタルサーバーのサービス仕様により原因が特定できない

  • ウェブサイト閲覧者より、「ウェブ閲覧時にウイルス対策ソフトがトロイの木馬を検出した」との連絡を受けた。
  • サイト管理用のFTPサービスでサーバーにログインしたところ、複数のHTMLファイルに隠しフレームが埋め込まれており、閲覧者がウェブサイトにアクセスすることでウイルスに感染する恐れのあるサイトへと誘導されるように改ざんされていた。
  • レンタルサーバー会社へ確認したところ、サービス仕様によりサイト管理用のFTPサービスのログを保存しておらず、原因を特定することができなかった。
  • また、サービス仕様では、サイト管理用のFTPのパスワード設定が英数字8文字までで、強いパスワード設定が不可能であることや、アクセス元による接続制限もできず、セキュリティ強化の対策がとれない条件下であった。




 本事例のように、レンタルサーバーのサービス仕様によっては、サイト管理用のFTPサービスなどのログが一切残っていない場合もあります。今回の様なウェブ改ざんの被害に遭ってしまった場合や障害発生時には、各種ログが問題解決の手がかりとなります。ウェブ改ざんの場合には、改ざんされたHTMLを修正しただけでウェブサイトを再開してしまった場合、再度、同様の改ざんが行われる可能性があり、ウェブサイトの再開にあたっては、改ざんの原因究明は必須であると言えます。

 今回の様に、レンタルサーバーを利用する際は、価格面だけでサービスを決定するのではなく、ログの取得状況や各種セキュリティ面での設定などにどこまで対応しているのかを含めた検討を行い、サービスを選定するようにしましょう。
(ii) オンラインゲームでなりすましログインされ、ゲーム内の通貨、アイテムなどを奪われ、さらにアカウント情報の連絡先に身に覚えのないメールアドレスが追加されていた

  • オンラインゲームのアカウントになりすましログインされ、ゲーム内の通貨、アイテムなどを奪われた。
  • また、そのオンライゲームで登録していたウェブメールのアクセス履歴を確認したところ、不正にアクセスされた履歴が残っていた。
  • さらに、オンラインゲームとウェブメールのアカウントの連絡先に、まったく身に覚えのないメールアドレスが追加されていた。




 本事例では、オンラインゲームになりすましログインされただけではなく、そのオンラインゲームで登録していたウェブメールサービスへのなりすましログインにまで被害が及んでいます。恐らく今回の場合では、オンラインゲームのパスワードが推測されやすいものであったため不正にログインされ、さらにウェブメールのアカウントでも同一のパスワードを使い回していたため、複数のサービスでのなりすましログインの被害に発展してしまったものと考えられます。加えて、それぞれのアカウントの連絡先に攻撃者が用意したメールアドレスが登録されており、今後利用者がパスワードの変更などの設定変更を行った場合でも、それらの情報が攻撃者に届くような設定に変更されていたと考えられます。
 一般的にウェブサービスでなりすましログインの被害に遭った際は、パスワードの変更を行っただけで安心してしまいがちです。しかし、昨今のウェブサービスでは様々な設定が存在するため、サービスを利用する際には、そのサービスにどういった設定項目が存在するのかを一通り確認することが望ましいと言えます。

 なりすましログインの被害に遭わないために、パスワードは複雑なものに設定し、使い回さないことはもちろんですが、万が一、なりすましログインされアカウントの設定が変更された場合でも、そのことに気づけるように、現在利用しているウェブサービスにはどのような設定項目があるのか一通り確認してください。
 また、ウェブサービスによっては、ログインなどの際にパスワードに加えてさらに認証が求められる多要素認証が利用できる場合があります。多要素認証を利用することで、なりすましログインの被害に遭うリスクを低減することができますので、利用しているサービスで多要素認証が提供されているか、合わせて確認してください。

(参考)
・オンラインゲームを楽しむ前にチェックしておきたい3つのセキュリティポイント
 http://www.ipa.go.jp/security/personal/onlinegame/
・よくある相談と回答(FAQ):オンラインゲーム
 http://www.ipa.go.jp/security/anshin/faq/faq-6.html

2-3. 届出件数

 2013年第2四半期[4月~6月]の届出件数は合計51件(前四半期比189%)であり、そのうち被害があった件数は50件(前四半期比185%)となりました。

図2-3. 不正アクセス届出件数の推移
図2-3. 不正アクセス届出件数の推移

- コンピュータ不正アクセス届出の詳細はPDFファイルを参照して下さい -



3.相談受付状況

3-1. 四半期総括

 2013年第2四半期(2013年4月~6月)のウイルス・不正アクセス関連の相談総件数は3,800件でした(2013年1月~3月:3,300件)。そのうち『ワンクリック請求』に関する相談が843件(同721件)、『偽セキュリティソフト』に関する相談が230件(同179件)、『スマートフォン』に関する相談が110件(同85件)などでした。
 四半期ごとの相談件数全体の増加率を見ると、直近の増加が15.2%となっており、昨年同期以降の増加割合(それぞれ1.4%、13.6%、3.0%)と比較して、その割合が高まっています。
 『電話』(図3-1内の黄色部分)による相談内容の内訳を見ると、『ワンクリック請求』が16.9%(122件)の増加、『偽セキュリティソフト』が28.5%(51件)の増加、『スマートフォン』が29.4%(25件)の増加と(表3-1)、いずれも2013年第1四半期と比較して増加していることが分かります。
 特に『スマートフォン』に関する相談は全体に占める割合は多くないものの、約3割という増加率はスマートフォンの普及と無関係ではなく、今後もスマートフォン利用者からの相談が増えると見ています。

図3-1. ウイルス・不正アクセス関連の相談件数、表3-1. 『電話』増加分の内訳(重複含む)

表3-2. ウイルス・不正アクセス関連の相談件数(前掲 図3-1. の詳細)
  2012/
4~6
2012/
7~9
2012/
10~12
2013/
1~3
2013/
4~6
合計 2,781 2,819 3,203 3,300 3,800
  自動応答
システム
1,496
(53.8%)
1,545
(54.8%)
1,552
(48.5%)
1,779
(53.9%)
2,033
(53.5%)
電話 1,072
(38.5%)
1,144
(40.6%)
1,363
(42.6%)
1,302
(39.5%)
1,528
(40.2%)
電子メール 207
(7.4%)
126
(4.5%)
274
(8.6%)
205
(6.2%)
214
(5.6%)
FAX・他 6
(0.2%)
4
(0.1%)
14
(0.4%)
14
(0.4%)
25
(0.7%)

3-2. 相談事例

 主な相談事例は以下の通りです。
(i) 動画サイトで、スマートフォンのオンラインゲームに関する動画を閲覧していたら、偽セキュリティソフトに感染した。

  • パソコンで、ある人気ゲームに関する動画を閲覧中、急に「Internet Security Pro」という、セキュリティソフトのようなプログラムが画面に表示された。それはウイルスチェックをしているかのような画面で、最後に有償版をクレジットカードで購入を促すような画面になった。
  • パソコンを再起動しても、何をしても消えず、困っている。

 基本的に動画サイトにアクセスしただけでは、パソコンはウイルスに感染しません。しかし、動画のコメント欄にURL を貼りつけることが可能な動画サイトでは、そのURL が有害サイトへのリンクである可能性があるため、安易なクリックは禁物です。
 十分注意しているつもりでも、うっかりクリックしてしまう場合もあるので、パソコン上での対策として、セキュリティソフトの利用は当然ですが、OS(Windows、Mac OS など)を常に最新にしてください。またJava、Flash Player、Adobe Player など、パソコン上のプログラムを全て最新にしてください。
 IPA では、狙われやすい主なプログラムが最新かどうかを簡単な操作で確認することができるツール「MyJVN バージョンチェッカ」を無償で提供していますので活用してください。
(参考)
 MyJVNバージョンチェッカ
 http://jvndb.jvn.jp/apis/myjvn/vccheck.html
(ii) 検索サイトで自社を検索すると、「このウェブサイトにアクセスすると、コンピュータに損害が生じる可能性があります」と表示される。

  • 自社サイトをGoogleで検索すると、「このウェブサイトにアクセスすると、コンピュータに損害が生じる可能性があります」と表示される。他の検索サイトではそのようなメッセージは表示されない。
  • これは当社に対する営業妨害ではないか。
  • Google でこの警告表示が出ないようにして欲しい。

(相談窓口で当該サイトを確認すると、その時点で改ざんが確認された。)
 現在、御社サイトは改ざんされており、サイト閲覧者が別のページに転送される仕掛けが施されています。サイト閲覧者のパソコンのウイルス感染を狙ったものと思われます。
 実際にウイルスに感染するかは未確認ですが、少なくとも御社サイトが改ざんされていることは確実ですので、今すぐサイトを閉鎖してください。その後、再発防止のために原因究明を行うと共に、顧客に説明するために必要となる、改ざんされていた箇所と期間など、被害状況の把握を行ってください。
(参考)
 2013年7月の呼びかけ
 「止まらないウェブ改ざん!」~ウェブサイトの管理の再検討を!~
 http://www.ipa.go.jp/security/txt/2013/07outline.html

 Google 社による警告表示を消すためには、改ざん箇所を修正した後、通常はGoogleウェブマスターから「サイトの再審査」を実施していただく必要がありますが、詳細はGoogle社のウェブサイトのヘルプを参照してください。
届出・相談の詳細については以下のPDFファイルをご参照ください。

お問い合わせ先

本件に関するお問い合わせ先

独立行政法人 情報処理推進機構 技術本部 セキュリティセンター
Tel: 03-5978-7591 Fax: 03-5978-7518
E-mail: 電話番号:03-5978-7591までお問い合わせください。
(このメールアドレスに特定電子メールを送信しないでください)
URL:http://www.ipa.go.jp/security/

更新履歴

2013年 7月 18日 掲載

Adobe ReaderPDFファイルをご覧いただくためには、Adobe Reader(無償)が必要です。
Adobe ReaderはAdobe Readerのダウンロードページよりダウンロードできます。