HOME情報セキュリティコンピュータウイルス・不正アクセス届出状況および相談受付状況[2013年第3四半期(7月~9月)]

本文を印刷する

情報セキュリティ

コンピュータウイルス・不正アクセス届出状況および相談受付状況[2013年第3四半期(7月~9月)]

第13-34-301号
掲載日:2013年10月23日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター
(PDFはこちら)

1. コンピュータウイルス届出状況

1-1. 四半期総括

 2013年第3四半期のウイルス届出件数(*1)状況は、2013年第2四半期から25件減少し(図1-1参照)ました。ウイルス種別ではW32/Netskyが405件(第2四半期421件)、W32/Mydoomが377件(第2四半期355件)、W32/Autorunが109件(第2四半期期122件)の順で多く届出されました。

 本四半期では、4件のウイルス感染による被害届出がありました。感染ウイルス名(*2)W32/MydoomVBS/RedlofW32/SwenW97M/X97M/P97M/Tristateで、各1種類でした。詳細は以下の通りです。

表1-1:ウイルス感染被害届出詳細
届出元 セキュリティソフトの利用 感染経路 発見方法 感染原因 対処
教育
機関
不明 学校内ネットワークに接続した際、ネットワーク侵入検知監視業者が不審な通信を検知 セキュリティソフトを使用していなかったため 新規に購入したセキュリティソフトを使って駆除

 これら4つのウイルスは、全て同じパソコンから検知されました。
 届出者の申告では感染経路は不明、感染原因はセキュリティソフトを使用していなかったため、となっていますが、W32/Mydoom、VBS/Redlof、W32/Swenはメールの添付ファイルを介して感染を拡大するタイプのウイルスで、感染原因はウイルス付き添付ファイルの開封、と考えられます。

 届出のあったこれら4つのウイルスは、2000年代に流行したウイルスです。セキュリティソフトを適切に使用していれば、感染被害には遭わなかったと言えます。
    (*1) 同じ届出者から寄せられた届出の内、同一発見日で同一種類のウイルスの検出が複数ある場合は、1日何個検出されても届出1件としてカウントしたもの。
    (*2) ウイルスに関する詳細は、「IPAに届けられたウイルス」http://www.ipa.go.jp/security/virus/virus_main.htmlを参照してください。

1-2. 検知数に顕著な変化が見られたウイルス・不正プログラム

 2013年第3四半期のW32/Mydoomの検出数は、2013年第2四半期から約33%(今期:31,414件、前期:53,844件)減少しました。この傾向は届出者全てで共通の傾向です。
 W32/Mydoomの検出数は減少していますが、“届出数”はほぼ横ばい(*3)になっています。これはW32/Mydoomに感染したため、このウイルスをばら撒き続けているマシンの数が減少していると考えられます。

 2013年第3四半期のBancosの検出数は、2013年第2四半期から約66%増加しました。これは、インターネットバンキングを狙った不正送金事件の被害額が過去最悪となるといった報道(*4)があるように、いまだ多くの利用者に感染させるため、メールを使って大量にばら撒いていると考えられます。

 これらウイルスなどの不正プログラムは、そのほとんどがメールに添付されて送られてくるものです(表1-3参照)。メールの添付ファイルの開封には十分注意するとともに、身に覚えのないメールは読まずに捨てることが有効な対策です。また、セキュリティソフトを適切に使用すれば、W32/Mydoomなどの古くから存在するウイルスは、亜種であっても検知されてパソコンへの感染を防ぐことができます。そのため普段からパソコン上の脆弱性を解消することとともに、セキュリティソフトを適切に使用することが重要です。
    (*3) 2013年第3四半期のW32/Mydoomの届出数は377件で、同年第2四半期の355件から約6%の増加。
    (*4) 2013年9月の呼びかけ 「インターネットバンキング利用時の勘所を理解しましょう!」
    http://www.ipa.go.jp/security/txt/2013/09outline.html

1-3. 届出件数

 2013年第3四半期[7月~9月]の届出件数は1,709件でした。そのうち被害にあったのは4件でした。下記グラフ(図1-1)は、IPAが受け付けた四半期(3ヶ月)ごとの届出件数の推移を示したものです。
 図1-1で示すように、届出件数は2013年第2四半期の1,734件から25件の減少となりました。

図1-1. 届出件数の四半期毎推移
図1-1. 届出件数の四半期毎推移

1-4. ウイルス検出数

 2013年第3四半期のウイルス検出数は43,678個と、2013年第2四半期の67,330個から23,652個の減少となりました(図1-2参照)。

図1-2. ウイルス検出数の推移
図1-2. ウイルス検出数の推移

1-5. 不正プログラム検出数

 2013年第3四半期の不正プログラム上位10個の検出数は23,220個と、2013年第2四半期の23,527個から、307個の減少となりました(図1-3参照)。

図1-3. 不正プログラム検出数の推移
図1-3. 不正プログラム検出数の推移

- コンピュータウイルス届出の詳細はPDFファイルを参照して下さい -



2. コンピュータ不正アクセス届出状況

2-1. 四半期総括

 2013年第3四半期(2013年7月~9月)のコンピュータ不正アクセス届出の総数は61件でした(2013年4月~6月:51件)。そのうち『侵入』の届出が33件(同:35件)、『なりすまし』の届出が15件(同:9件)、『不正プログラムの埋め込み』の届出が0件(同:1件)などでした。

 『侵入』33件のうち、26件は『ウェブ改ざん』に関する届出で、2013年第2四半期と同様にウェブ改ざんに関する届出の件数が顕著でした。月ごとの推移では6月の17件をピークにウェブ改ざんの届出件数は減少しており、急増していたウェブ改ざんの届出は一旦落ち着きました(図2-1参照)。
 また、ウェブ改ざんの被害の原因は、特定の原因に偏ることなく様々な原因が見受けらます(図2-1参照)。そのため、攻撃者は特定の問題があるウェブサイトを探し出して改ざんを行っているのではなく、様々な手口を用いて改ざんを行っていると推測されます。

図2-1. ウェブ改ざん被害原因別推移
図2-1. ウェブ改ざん被害原因別推移

 ウェブ改ざんによる具体的な被害は、ウェブページに国旗や文章を書き込むような目に見える改ざんの割合は少なく、ドライブ・バイ・ダウンロード攻撃(*5)によるウイルス感染を目的とした目に見えない改ざんの割合が多い傾向にあります(図2-2参照)。ドライブ・バイ・ダウンロード攻撃により閲覧者のパソコンが感染するウイルスは様々ですが、ウェブサービス(インターネットバンキング、ネットショップ、ウェブメールなど)の認証情報を盗み取るウイルスや偽セキュリティ対策ソフトなど、感染の結果攻撃者が金銭的な利益を得ることが可能になるウイルスに感染させる傾向があると言えます。
 なお、ドライブ・バイ・ダウンロード攻撃では、閲覧者のパソコンのOSやインストールされているソフトウェアの脆弱性が悪用されるため、それらのアップデートを行うことが一番の対策になります。万が一、改ざんされてしまったウェブページを閲覧してしまっても、ドライブ・バイ・ダウンロード攻撃によるウイルスの感染を防げるように、日ごろからOSやソフトウェアのアップデートを行ってください。

図2-2. ウェブ改ざん被害内訳
図2-2. ウェブ改ざん被害内訳

    (*5) ドライブ・バイ・ダウンロード攻撃:ウェブサイトを閲覧した際に、パソコン利用者にそれとは気がつかせずにウイルスをダウンロードさせて感染させる攻撃。

2-2. 被害事例

(i) 不要なsnmp(*6)サービスを有効状態に設定したために、DoS攻撃の踏み台に悪用された

  • 海外の外部機関より、「御社の特定のサーバーより攻撃を受けている」との連絡があった。
  • 通信ログを確認したところ、連絡のあった海外の外部機関への通信を確認した。
  • 当該サーバーのログイン履歴などを確認したが、不正なログイン、不正なユーザーアカウント及びファイルは確認できなかった。
  • ファイアウォールでは、http(80/tcp)、snmp(161/udp)の通信を許可していた。
  • snmpサービスを有効状態に設定してしまい、そのコミュニティ名がデフォルト設定のままであったため、攻撃を受けてしまった。なお、snmpのログは保存していなかった。




 本事例では、本来であれば不要であったはずのsnmpサービスを有効にしてしまい、しかもそのコミュニティ名がデフォルトのままになっていました。さらにファイアウォールでsnmpの通信が許可されていたために、DoS攻撃に悪用されてしまいました。snmpのようなUDPサービスは、その特性上、通信の送信元の偽装が容易であり、またTCPに比べて容易に大量の通信を発生させることができるため、DoS攻撃の被害を受けたり、攻撃の踏み台に悪用される可能性があります。
 インターネットへサーバーを公開する際には、不要なサービスは無効にして必要最小限の機能だけを有効にして公開しましょう。また、万が一、サービスが有効になっていても、適切にファイアウォールが設定されていれば今回の被害は防げたと考えられます。事前に定めた運用ルールに従い、ファイアウォールでは必要最小限の通信だけを許可するようにしましょう。その他、snmpのコミュニティ名のような認証機能がサービスに用意されている場合には、デフォルトのパスワードを利用するのではなくて、推測されにくい複雑なものを設定しましょう。
    (*6) snmp(Simple Network Management Protocol):TCP/IPネットワークで、ネットワーク機器やサーバーなど、ネットワークに接続された通信機器をネットワーク経由で監視・制御するためのプロトコル
(ii) 脆弱性が発見されたためアップデート行おうとしたところ、既に当該脆弱性を悪用されサーバーに侵入されていた

  • システム管理者より、Apache Struts 2の脆弱性が発見されたためアップデートを行うように連絡があった。
  • アップデートを行おうとしたところ、同サーバー上で見覚えのないユーザーアカウント及びファイルを発見した。
  • サーバー上で利用していたApache Struts 2の脆弱性が悪用され、OSコマンドインジェクション(*7)により、不正なユーザーアカウント及びファイルが作成されていた。なお、それ以上の被害は確認できていない。




 本事例では、アップデート作業を行うためにサーバーを確認したところ、アップデートにより修正される脆弱性が既に悪用されており、攻撃者にサーバーに侵入されていました。本事例では、不正なユーザーアカウント及びファイルは作成されてしまったものの、すぐにサーバーの侵入に気づけたため、それ以上の被害は発生していませんでした。なお、今回の事例では、サーバー管理者は脆弱性が発見されてから約1週間後にアップデート作業に取り掛かっていました。

 Apache Struts 2に限った話ではありませんが、深刻な脆弱性が新たに発見された場合には、即座にそれらの脆弱性を悪用した攻撃が行われる可能性があります。
 サーバー管理者は、自分が管理しているサーバーにインストールされているソフトウェアのバージョンを把握するとともに、それらのソフトウェアの脆弱性情報を常に収集し、万が一、深刻な脆弱性が発見された場合には、早急に解決策や回避策を講じる必要があります。
 また、アップデートの検証に時間がかかる場合や、他のアプリケーションとの関係でアップデートが容易に行えない場合も考えられますので、早急なアップデートが困難な場合には、サーバーやネットワーク機器などのログの確認を行い、被害の早期発見・対応が行える運用を行う必要があります。
    (*7) OSコマンドインジェクション:攻撃対象サーバー上で任意のOSコマンドの実行を試みる攻撃

2-3. 届出件数

 2013年第3四半期[7月~9月]の届出件数は合計61件(前四半期比120%)であり、そのうち被害があった件数は55件(前四半期比110%)となりました。

図2-3. 不正アクセス届出件数の推移
図2-3. 不正アクセス届出件数の推移

- コンピュータ不正アクセス届出の詳細はPDFファイルを参照して下さい -



3.相談受付状況

3-1. 四半期総括

 2013年第2四半期(2013年7月~9月)のウイルス・不正アクセス関連の相談総件数は3,948件でした(2013年4月~6月:3,800件)。そのうち『ワンクリック請求』に関する相談が804件(同843件)、『偽セキュリティソフト』に関する相談が277件(同230件)、『スマートフォン』に関する相談が154件(同110件)などでした。
 相談総件数を四半期ごとの増加率で見ると、今期と前期では3.9%増、前期、前々期は15.2%増となっており、今期は小幅な増加にとどまりました(図3-1参照)。
『スマートフォン』に関する相談は全体に占める割合は多くないものの、前期から約4割という増加率はスマートフォンの普及と無関係ではないと考えられます。特に『スマートフォンにおけるワンクリック請求』に限定すると前期から約7割も増加しており(3-3項にて後述)、今後もスマートフォン利用者からの相談が増えると考えられます。

図3-1. ウイルス・不正アクセス関連の相談件数
図3-1. ウイルス・不正アクセス関連の相談件数

表3-1. ウイルス・不正アクセス関連の相談件数(前掲 図3-1. の詳細)
  2012/
7~9
2012/
10~12
2013/
1~3
2013/
4~6
2013/
7~9
合計 2,819 3,203 3,300 3,800 3,948
  自動応答
システム
1,545
(54.8%)
1,552
(48.5%)
1,779
(53.9%)
2,033
(53.5%)
2,183
(55.3%)
電話 1,144
(40.6%)
1,363
(42.6%)
1,302
(39.5%)
1,528
(40.2%)
1,541
(39.0%)
電子メール 126
(4.5%)
274
(8.6%)
205
(6.2%)
214
(5.6%)
208
(5.3%)
FAX・他 4
(0.1%)
14
(0.4%)
14
(0.4%)
25
(0.7%)
16
(0.4%)

3-2. 相談事例

(i) 偽物のインターネットバンキングの入力画面に個人情報を入力してしまった。

  • インターネットバンキングの偽物の画面に個人情報を入力してしまった。
  • 具体的には、ユーザーIDとパスワードの他に、通常なら入力するはずのない「暗証番号」と「秘密の合言葉」と「生年月日」を入力してしまった。
  • 不審に思って銀行の問い合わせ窓口に確認したところ、ウイルス感染が原因とのこと。また、即座に全額出金して、パスワードも変更した。
  • セキュリティソフトが最新ではなかったので、パターンファイルを最新にした。その後にウイルスチェックした所、「Zbot」という名前のウイルスを検知し、自動的に削除してくれた。「Zbot」とはどのようなウイルスか。また、入力してしまった個人情報についてどうすれば良いか。

 Zbotは、インターネットバンキングの口座に関する機密情報を収集するウイルスです。今回のウイルス感染被害は、セキュリティソフトを常に最新に保つことで防止できた可能性があります。せっかくセキュリティソフトがパソコンに入っていても、最新にしていないと効果がありません。最新版への更新は、手動だと忘れてしまうことがあるので、自動更新に設定することを勧めます。
 一度入力して相手に伝わってしまった情報は、回収も消去もできません。そのため、今後の対策として、もし今回入力してしまったパスワードを他のサービスでも使っている場合は、連鎖的な被害を防ぐためにパスワードを変更してください。また今回入力してしまった「暗証番号」、「秘密の合言葉」は今後一切使用しないでください。
(ii) SNS運営会社から招待メールが届いたが、招待主の友人には身に覚えがない。

  • SNS運営会社から招待メールが届いた。
  • 「貴方の友人○○さんが、当社のSNSを通じて近況や写真を共有しています。貴方も登録して楽しく交流しませんか?」という内容。友人は「そのSNSはいつも使っているが、そのような招待メールを送った覚えはない」と言っている。
  • 自分や友人のパソコンがウイルスに感染しているのか。それとも不正アクセスに遭っているのか。

 次のような状況が考えられます。
  • 当該SNSにおいて、友人が「サービス連携」を用いている。
  • その「サービス連携」により、友人のアドレス帳の内容が当該SNS側に伝わった。
  • そのアドレス帳に貴方のメールアドレスが含まれていたために、貴方に招待メールが送信された。
 現在多くのネットサービスでは「サービス連携」機能により、多くの便利なサービスが行われていますが、利用者本人が機能をきちんと理解しないまま「サービス連携」を有効にしていると、この相談のような現象が起こることがあります。
 IPAでは、各種SNSにおける「サービス連携」の設定確認方法を記載した資料を公表しています。下記を参考に、意図しない現象が起こらないようきちんと理解して「サービス連携」を有効にするよう、確認することを勧めます。
(参考)
 「SNSにおけるサービス連携に注意!」
 ~あなたの名前で勝手に使われてしまいます~
 http://www.ipa.go.jp/security/txt/2012/10outline.html
届出・相談の詳細については以下のPDFファイルをご参照ください。

お問い合わせ先

本件に関するお問い合わせ先

独立行政法人 情報処理推進機構 技術本部 セキュリティセンター
Tel: 03-5978-7591 Fax: 03-5978-7518
E-mail: 電話番号:03-5978-7591までお問い合わせください。
(このメールアドレスに特定電子メールを送信しないでください)
URL:http://www.ipa.go.jp/security/

更新履歴

2013年 10月 23日 掲載

Adobe ReaderPDFファイルをご覧いただくためには、Adobe Reader(無償)が必要です。
Adobe ReaderはAdobe Readerのダウンロードページよりダウンロードできます。