HOME情報セキュリティコンピュータウイルス・不正アクセス届出状況および相談受付状況[2013年年間]

本文を印刷する

情報セキュリティ

コンピュータウイルス・不正アクセス届出状況および相談受付状況[2013年年間]

第14-02-308号
掲載日:2014年 1月23日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター
(PDFはこちら)

1. コンピュータウイルス届出状況

1-1. 2013年総括

 2013年1年間に寄せられたウイルスの検出数は、2012年の249,940個より54,390個(約22%)少ない195,550個でした。また、2013年の年間不正プログラム検出数は2012年の423,226個から189,885個(約45%)少ない233,341個でした。
 同一日、同一種のウイルス報告を1件とカウントするなど、所定の方法で集計した2013年のウイルス届出件数(*1)は6,596件で、2012年の10,351件から3,755件減少しました(図1-1)。

 2013年は、メールの添付ファイルの開封による被害届出がありました。この被害では4種のウイルス感染が確認されています。詳細は以下の通りです。

表1-1:ウイルス感染被害届出詳細
届出元 セキュリティ
ソフトの利用
発見ウイルス名 感染
経路
発見詳細 感染原因 対処 備考
教育機関 W32/Mydoom 不明 私物のパソコンを学校内ネットワークに接続した際、ネットワーク侵入検知監視業者が不審な通信を検知 セキュリティソフトを使用していなかったため 新規に購入したセキュリティソフトを使って駆除 1台のパソコンから4つのウイルスを検出
VBS/Redlof
W32/Swen
W97M/X97M/P97M/Tristate

 その後の聴取により、ウイルスに感染していたのは私物のパソコンで、学校に持ち込み、業務に使用したことで感染を広めてしまったことが判明しています。
 またW32/Mydoom、VBS/Redlof、W32/Swenはメールの添付ファイルを介して感染を拡大するタイプのウイルスで、感染原因はメール受信者によるウイルス付き添付ファイルの開封、と考えられます

 届出のあったこれら4つのウイルスは、2000年代に流行したウイルスです。セキュリティソフトを適切に使用していれば、感染被害には遭わなかったと言えます
    (*1) 届出件数:同じ届出者から寄せられた届出の内、同一発見日で同一種類のウイルスの検出が複数ある場合は、1日何個検出されても届出1件としてカウントし集計したもの。

1-2. 検出数(*2)が多かったウイルス・不正プログラム(*3)

 2013年に寄せられたウイルスの年間検出数の第1位はW32/Mydoom(*4)で、検出数は2012年の131,714件から約12%増加し147,197件(図1-2)でした。検出数第2位のW32/NetskyもW32/Mydoomと同様に、ウイルスが自己増殖し、メールの添付ファイルとして拡散し感染を広げます。よって、こうしたウイルスに感染しているサーバーやパソコンがいまだに多数存在していると言えます。

 2013年に寄せられた不正プログラムの年間検出数の第1位はBancos(*5)で、検出数は30,867個(図1-3)でした。2012年は30,378個で、前年比較では微増でしたが、2011年は15,544個でしたので、直近2年間は高い水準が続いているといえます。
 インターネットバンキングを狙った不正送金の被害額が過去最悪となるといった報道(*6)もあり、利用者に感染させるために、メールを使っていまだ多くの不正プログラムを大量にばら撒いていると考えられます。

 これらのウイルスと不正プログラムは、そのほとんどがメールに添付されて送られてくるものです。メールの添付ファイルの開封には十分注意するとともに、身に覚えのないメールは読まずに捨てることが有効な対策です。また、セキュリティソフトを適切に使用すれば、上述のウイルス感染被害届出にあったような、W32/Mydoomなどの古くから存在する既知のウイルスは、検出されてパソコンへの感染を防ぐことができます。そのためセキュリティソフトを適切に使用することが重要です。またパソコン上のプログラムを最新のバージョンにして脆弱性を解消することも重要です。
    (*2) 検出数:IPAへの届出として寄せられた届出者の自組織等で発見・検出したウイルスおよび不正アクセスの数(個数)。
    (*3) 不正プログラム:IPAに届出られたもののうち、「コンピュータウイルス対策基準」におけるウイルスの定義に該当しない「(1)自己伝染機能」、「(2)潜伏機能」、「(3)発病機能」のどの機能も持たないもの。
    「コンピュータウイルス対策基準」:http://www.meti.go.jp/policy/netsecurity/CvirusCMG.htm
    (*4) W32/Mydoom:自身の複製をメールの添付ファイルとして拡散する、いわゆるマスメール型ウイルス。
    (*5) Bancos:インターネットバンキングのログイン情報を窃取する不正プログラム。
    (*6) 2013年12月12日付 日本経済新聞Web刊 「ネットバンキング不正送金被害11.8億円 1~11月、最悪時の4倍」
    http://www.nikkei.com/article/DGXNASDG1204W_S3A211C1CR8000/

1-3. 届出件数

 2013年の届出件数は6,596件でした。そのうち被害にあった届出は4件でした。下記グラフ(図1-1)は、IPAが受け付けた年別ごとの届出件数の推移を示したものです。
 図1-1で示すように、届出件数は2012年の10,351件から3,755件減少しました。この背景には特定の企業から“メールを感染経路とするもの”の届出の減少があります。
 また2005年以降の減少傾向は、一般利用者へのセキュリティソフトの普及や、企業でのウイルスゲートウェイ導入など、ウイルスへの対策が進んだためと推測されます。

図1-1:届出件数の年別推移(2004年~2013年)
図1-1:届出件数の年別推移(2004年~2013年)

1-4. ウイルス検出数(*7)

 2013年のウイルス検出数は195,550個と、2012年の249,940個から54,390個の減少となりました。
 2013年年間のウイルス別検出数は以下の通りでした(図1-2)。8月以降のW32/Mydoomの大幅減少、および12月のW32/Mytobの急増は、特定の企業による検出の増減が影響しています。

図1-2:ウイルス検出数の推移(2013年1月~12月)
図1-2:ウイルス検出数の推移(2013年1月~12月)
    (*7) ウイルス検出数:届出られた「ウイルス」、「不正プログラム」のうち、「ウイルス」の総数を示したもの。

1-5. 不正プログラム検出数(*8)

 2013年の不正プログラムの検出数は233,341個と、2012年の423,226個から、189,885個の減少となりました。
 2013年年間の不正プログラム別検出数の推移は以下の通りです(図1-3)。

図1-3:不正プログラム(TOP10)検出数の推移 (2013年1月~12月)
図1-3:不正プログラム(TOP10)検出数の推移 (2013年1月~12月)
    (*8) 不正プログラム検出数:届出られた「ウイルス」、「不正プログラム」のうち「不正プログラム」の総数を示したもの。

1-6. ウイルス届出者構成及び感染経路

 2013年の届出者属性が、ほとんど法人を占めていることや、感染経路の90%程度がメールによるものについても、2012年と同様の傾向です(表1-2)。

表1-2:ウイルス届出者構成及び感染経路
届出元 2013年1月~12月 2012年1月~12月
一般法人 6408 97.1% 9976 96.4%
個人 0 0% 7 0.1%
教育機関 188 2.9% 368 3.6%
合計 6596   10351  

感染経路 2013年1月~12月 2012年1月~12月
メール 5978 90.6% 9391 90.7%
ダウンロードファイル 61 0.9% 92 0.9%
外部からの媒体 8 0.1% 6 0.1%
ネットワーク経由 543 8.2% 859 8.3%
不明・その他 6 0.1% 3 0.02%
合計 6596   10351  

- コンピュータウイルス届出の詳細はPDFファイルを参照して下さい -



2. コンピュータ不正アクセス届出状況

2-1. 2013年総括

 2013年の年間届出件数は168件で、2012年の届出件数121件から47件(約39%)増加しました。168件の年間届出のうち被害があった件数は158件と、全体の約94%を占めました。また2013年は2012年と比較して「侵入」、「なりすまし」の届出数増加が目立ちました。

 2013年は、過去にウェブサイト改ざんが流行した2010年、2012年の約2倍に上る75件のウェブサイト改ざんに関する被害届出がありました。四半期別に見ると、届出の数が顕著なのは2013年の第2四半期、第3四半期でした(図2-1)。
 2013年のウェブ改ざんの急増の理由には、過去(2010年、2012年)にウェブ改ざんが流行した際のいわゆる「ガンブラー」の手口と、①ウェブサーバー上のソフトウェアなどの脆弱性を悪用する、②簡単なFTPパスワード(*9)などを推測して改ざんを行う、といった複数の手口を組み合わせたことによる手口の巧妙化が挙げられます。
 2013年は2012年と同様に、被害内容別ではウェブサイト改ざんが最多でした(図2-4)。その届出内容を見ると、改ざんされたサイトの多くは、セキュリティ対策の不十分なパソコンで閲覧するとウイルスに感染するように細工されており、閲覧者のパソコンをウイルスに感染させることがウェブ改ざんの主な目的であったと言えます。サイト管理者が対策を行うことはもちろんですが、一般利用者も、万が一改ざんされたページを閲覧してしまってもウイルスに感染しないように、十分なセキュリティ対策を行う必要があります。

図2-1:ウェブ改ざん届出件数
図2-1:ウェブ改ざん届出件数

 手口は巧妙化しているものの、基本的な対策は以下のとおり従来から変わりありません。ウェブサイト管理者は、システム管理者向け対策のみならず、ウェブサイト更新用のパソコン上での対策も必要です。

システム管理者向け対策
  • OS、CMS(*10)などのアップデートを行い、サーバーの脆弱性を解消する
  • 複雑なパスワードにする、アカウントを共有しないなど、アカウント管理を見直す
  • アクセス元IPアドレスによる接続制限などによりウェブサイトを更新できる場所を限定する
  • ウイルス感染を防止するためウェブサイト更新専用パソコンの導入を検討する

パソコン上での対策
  • OS、各種プログラム(Java、Flash Player、Adode Reader)のアップデートを行い、パソコンの脆弱性を解消する
  • セキュリティソフトを使用する

 ウェブ改ざんに関する届出以外には、なりすましによってメールアカウントを不正使用され、スパムメールを送信する踏み台として悪用されたという届出の件数が目立ちました(2-4「届出種別」参照)。メールアカウント不正使用の原因の多くは不明ですが、原因が特定できたものとしては、ウェブメールの管理者を装ったフィッシングメールによりフィッシングサイトに誘導され、ID、パスワードを入力したことにより漏えいしてしまったというのが挙げられます。原因が不明なものについては、①メールアカウントのパスワードが推測され易いものであった、②パソコンがウイルスに感染しパスワードが漏えいした、といったことが考えられます。
    (*9) FTPパスワード:ウェブサイトのコンテンツ(ページ内容)を修正・追加・削除する際の一つの方法にFTPがあるが、FTPでサーバーにログインする際のパスワード。
    (*10) CMS(Content Management System):ウェブサイトのコンテンツ(テキストや画像など)を統合的に管理するためのウェブアプリケーションソフト。

2-2. 被害事例

[侵入]
(i) SSH(*11)でサーバーに侵入され、自社外サーバー侵入の踏み台として悪用された

  • 不正アクセスにより自組織のサーバーに侵入された結果、サーバーが踏み台にされ、外部サーバーへの攻撃に悪用された。
  • 侵入に気づき原因を調査したところ、インターネットに公開していたSSHからなりすましログインされていることを確認した。原因は不明だったがSSHのアカウント情報が漏えいした可能性もあるため、SSHのパスワードを強固なものに変更し、運用を再開した。
  • しかし数日後に再度同一のサーバーに侵入されていることを発見した。
  • 調査したところ、1回目の侵入の際にサーバー上で稼働していたSSHプログラムがバックドア機能を持つように改変されており、それが2回目の侵入を可能にしていた。
  • 侵入されたサーバーでは、OSが出力するログや環境設定ファイルの削除や改変が行われていた。




 SSHをIDとパスワードによる認証方式で使用する場合、インターネットのように不特定多数からアクセス可能なネットワークへの公開は、辞書攻撃などのパスワードクラック攻撃が容易となるため望ましくありません。社内サーバーに対し、社外からSSHで接続する必要がある場合には、接続元IPアドレスによるアクセス制限や公開鍵認証方式を使用するといったセキュリティ対策を実施してください。
 サーバー管理を目的としたサービスに侵入された場合には、今回の様にバックドアを仕掛けられる可能性もあります。被害状況が正確に把握できない場合は、OSを初期化してください。
 また、このケースではログの改ざんや削除を行った形跡が見受けられました。ログの保全のために一歩進んだ対策としてログ管理専用のサーバーを用いた管理も有効です。
    (*11) SSH(Secure SHell):ネットワークを介して、別のコンピューターにログインしたりファイルを転送したりするために用いるプロトコルもしくはプログラムのこと。ネットワーク上を流れるデータは暗号化されるため、安全に操作を行える。
[なりすまし]
(ii) フィッシングメールによりウェブメールアカウントのID、パスワードが窃取された

  • 1名の職員からシステム管理部門へ「ウェブメール管理者を装った偽のメールを受信した」との報告があった。システム管理部門で調査を行ったところ、組織内の数十名に同様の偽のメールが送信されていたことを確認した。
  • 更に調査したところ、メールを受信した職員のうち、複数名の職員がメール本文に書かれていた偽のサイトにアクセスし、自分のメールアカウントのID、パスワードを入力していたことが発覚した。
  • 直ちにメールサーバーのログを確認したところ、外部からの不正なアクセスは確認できず、実質的な被害は発生していないと思われる。




 管理者が利用者にパスワードの確認を求めることは通常ありませんので、絶対にパスワードを入力しないでください。万が一、その様なメールを受信した場合には、まずは管理者に確認することが重要です。
 今回の事例では、1名の職員のシステム管理部門への報告が事態の早期発見につながったため、攻撃者にメールアカウントのIDとパスワードが窃取されてしまったものの、メールアカウントが悪用されスパムメールが送信されるといった被害は未然に防ぐことができました。
 届出いただいた組織では、情報セキュリティに関する啓発や教育を行っており、日々の利用者へのセキュリティ教育があったからこそ、今回の様な事態の早期発見につながったと言えます。一人ひとりが不審なメールを開かないように教育を行うことが一番と言えますが、絶対にミスが起こらないとは言い切れません。今回の様に不審なメールが送られてきたという事実をシステム管理部門が早期に発見、把握できるように、不審なメールを受信した場合などの報告の手順や、システム管理部門での情報の集約や展開の体制を整えておく必要があります。

2-3. 届出件数

 2013年の年間届出件数は168件となり、2012年の届出件数121件から47件(約39%)増加しました。なお、下記グラフは、過去10年間にIPAセキュリティセンターが受け付けた届出件数の推移を示したものです(図2-2)。

図2-2:不正アクセス届出件数推移(2004年~2013年)
図2-2:不正アクセス届出件数推移(2004年~2013年)

2-4. 届出種別

 2013年は2012年と比較して「侵入」、「なりすまし」の届出数増加が目立ちました(図2-3)。それぞれの主だった被害内容は次の通りです。
  • 「侵入」99件のうち、75件は「ウェブサイト改ざん」
  • 「なりすまし」40件のうち、27件は「踏み台として悪用(スパムメールの送信に悪用)」
図2-3:2013年不正アクセス届出種別
図2-3:2013年不正アクセス届出種別

2-5. 被害内容

 届出のうち実際に被害があったケースにおける被害内容の分類です。のべ被害件数は前年から78件(約67%)増加しました(図2-4)。特に「ウェブサイト改ざん」、「踏み台として悪用」の届出件数が大きく増加しています。

図2-4:2013年不正アクセス被害内容
図2-4:2013年不正アクセス被害内容

2-6. 届出者構成

 届出者別の内訳は、「法人」及び「教育・研究・公的機関」からの届出件数が前年より増加しました。2013年は一般的にウェブ改ざんが多発したため、ウェブサイトを所有している割合が高い法人や教育・研究・公的機関からの届出が増加したと考えられます(図2-5)。

図2-5:不正アクセス届出者別推移
図2-5:不正アクセス届出者別推移

2-7. 被害原因

 実際に被害があった届出の被害原因の内訳は、「ID・パスワード管理の不備」が12件(7%)、「古いバージョン使用・パッチ未導入などが」27件(17%)、「設定不備」が6件(4%)、「不明」が85件(54%)でした(図2-6)。

図2-6:2013年不正アクセス被害原因
図2-6:2013年不正アクセス被害原因

- コンピュータ不正アクセス届出の詳細はPDFファイルを参照して下さい -



3.相談受付状況

3-1. 2013年総括

 2013年1月~12月のウイルス・不正アクセス関連の相談総件数は、15,227件と2012年(2012年1月~12月:11,950件)と比べて約27%の増加となりました(図3-1)。月毎の件数で見ると、2013年2月以降は常に1,000件を越す相談がありました(図3-2、表3-1)。

 そのうち『ワンクリック請求』に関する相談が3,287件(同2,755件)、『偽セキュリティソフト等』に関する相談が889件(同354件)、『スマートフォン』に関する相談が559件(同297件)などでした。
 また全体に占める件数は少ないものの、2012年と比べて著しく増加している相談は『インターネットバンキング』148件(2012年:39件)と『ランサムウェア(*12)』22件(2012年:3件)で、今後も増加すると考えられます。

図3-1:相談受付件数推移(2005年~2013年)
図3-1:相談受付件数推移(2005年~2013年)

図3-2:2013年ウイルス・不正アクセス関連の相談総件数推移
図3-2:2013年ウイルス・不正アクセス関連の相談総件数推移

表3-1:ウイルス・不正アクセス関連の相談件数(前掲 図3-2.の詳細)
  2013年
  1月 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月
合計 15,227
    938 1,165 1,197 1,209 1,381 1,210 1,204 1,359 1,385 1,535 1,425 1,219
  自動応答
システム
475 613 691 641 748 644 655 765 763 815 815 676
電話 373 481 448 503 553 472 460 538 543 642 512 465
電子メール 85 66 54 61 66 87 79 53 76 70 94 70
FAX・他 5 5 4 4 14 7 10 3 3 8 4 8
    (*12) ランサムウェア:パソコン内のデータを暗号化し、パソコン自体を使えない状態にし、環境を復元することを条件に金銭を要求するウイルス。

3-2. 相談事例

(i) ランサムウェアに感染してしまった

  • インターネット上のいろいろなウェブサイトを閲覧している最中、突然ロンドン警察のような画面が表示されてパソコンが一切操作できなくなった。
  • メッセージはすべて英語で、よく読むと罰金の支払いを要求されているようだ。

 いわゆる、ランサムウェアというウイルスに感染してしまったと思われます。ランサムウェアは、海外では特に新しい手口のウイルスではありませんが、2013年8月以降、IPAにも徐々に相談が多く寄せられるようになりました。ランサムウェアは、海外の公的機関を装いパソコン内のデータを暗号化してパソコンを使えなくします。そしてパソコンの復旧を条件に、身代金(または罰金)の名目で金銭を要求します。身代金を支払ったとしても直る保証はなく、たとえウイルスを駆除できたとしても、データが暗号化されたまま解除できず、「パソコンの初期化」でしか修復できない場合があります。感染した場合を想定して、重要なデータを定期的にバックアップすることをお勧めします。また、感染被害に遭わないよう、セキュリティソフトの利用は当然ですが、OS(Windows、Mac OS など)やJava、Flash Player、Adobe Reader など、よく使用するパソコン上のプログラムは常に最新のバージョンにしてください。
(ご参考)
 MyJVNバージョンチェッカ
 http://jvndb.jvn.jp/apis/myjvn/vccheck.html

(ii) インターネットバンキングで不審なポップアップ画面が表示された

  • お気に入りに登録しているインターネットバンキングのページからログインしたら、ポップアップ画面が開き、ログインパスワードや合言葉の入力を求められた。
  • 入力もしないですぐに画面は閉じたが、不思議に思い使っている銀行に問い合わせた所、「ウイルスに感染しているので駆除して下さい」と言われた。
  • それ以外は特に問題なくパソコンは使えるが、本当にウイルス感染しているのか。

 インターネットバンキングにおいて、ログインパスワードと合言葉を同時に入力させるポップアップ画面が表示された場合、インターネットバンキングのログイン情報や送金時に必要な情報を窃取しようとするウイルスに感染しています。まずは、ご利用のセキュリティソフトを最新の状態にしてパソコン全体をスキャンして下さい。ウイルスが見つかった場合、セキュリティソフトで削除可能ですが、当該ウイルス以外の別のウイルスに感染している恐れもあるため、可能であれば「システムの復元」や「パソコンの初期化」を行ってください。その後、ログインパスワードや合言葉の変更を正規のログイン画面から行ってください。また、今後このような被害を防ぐために、使用しているオペレーションシステム、アプリケーションソフト、セキュリティソフトは常に最新の状態に保つようにしてください。
(参考)
 「ネット銀行を狙った不正なポップアップに注意!」
 http://www.ipa.go.jp/security/txt/2012/12outline.html

3-3. 各トピックにおける相談状況

(i)『ワンクリック請求』に関する相談
 2013年は、パソコンとスマートフォンを合わせた『ワンクリック請求』に関する相談が3,287件寄せられ、2012年の2,755件から約19%(532件)増加しました。一方、『ワンクリック請求』に関する相談のうち、スマートフォンからのワンクリック請求に関する相談は393件で、2012年の149件から244件増加し、前年比約164%となりました。
 スマートフォンにおけるワンクリック請求の増加は、スマートフォンやタブレット端末を身近に利用する人が増えており、そうした利用者が興味本位でアダルトサイトなどを閲覧した結果、ワンクリック請求の被害に遭ってしまうと考えられます。今後一層のスマートフォンやタブレット端末の普及に伴い、そうした利用者からのワンクリック請求に関する相談が増加することが懸念されます。

図3-3:『ワンクリック請求』相談件数推移、および『スマートフォン』における『ワンクリック請求』相談件数推移
図3-3:『ワンクリック請求』相談件数推移、および
『スマートフォン』における『ワンクリック請求』相談件数推移

(ii)『偽セキュリティソフト等』に関する相談
 『偽セキュリティソフト等』の相談は、2013年は889件寄せられました。相談件数はこの1年間で急増し(図3-4)、2012年の354件から約151%の増加(535件)でした。

 『偽セキュリティソフト等』の相談においては、“パソコンの状態を突然検査し始め、最終的には「偽セキュリティソフト」等の購入を促す”という共通した症状が見られますが、複数の手口(*13)が存在します。
 特に「偽セキュリティソフト」型ウイルスに感染すると、あたかもウイルスチェックをしているような偽の画面と、“多くのウイルスを検出した”という偽の警告画面が表示されます。その後“解決するためには有償版の購入が必要”という表示とともに、クレジットカード番号の入力を求められ、実際に入力してしまうと第三者にクレジットカード番号が渡ってしまいます。
 このようなソフトの被害に遭わないためには、以下の基本的な対策が有効です。
  • Javaなどの各種プログラムとOSを常に最新状態にすること(プログラムの脆弱性を解消する)
  • ウイルス対策ソフトなどのセキュリティソフトを最新に保ちながら使用すること

図3-4:『偽セキュリティソフト等』相談件数推移
図3-4:『偽セキュリティソフト等』相談件数推移
    (*13) パソコンの脆弱性を悪用して利用者の知らない間に勝手にインストールされる「偽セキュリティソフト」型ウイルスの場合と、自分でインストールしてしまう場合がある。後者の例としては、フリーソフトに同梱されていたり、ウェブサイト上の“あなたのパソコンは危険です”という広告を見て自分でインストールしてしまうケース等がある。
(iii)『インターネットバンキング』に関する相談
 『インターネットバンキング』に関する相談は、2013年は148件寄せられました。相談件数はこの1年間で大幅に増加しており(図3-5)、2012年の39件から109件増加し前年比約279%となりました。
 “2013年6月以降に被害件数が急増”という報道(*14)がありましたが、IPAへの相談も2013年後半に増加しています。

図3-5:『インターネットバンキング』相談件数推移
図3-5:『インターネットバンキング』相談件数推移
届出・相談の詳細については以下のPDFファイルをご参照ください。

お問い合わせ先

本件に関するお問い合わせ先

独立行政法人 情報処理推進機構 技術本部 セキュリティセンター
Tel: 03-5978-7591 Fax: 03-5978-7518
E-mail: 電話番号:03-5978-7591までお問い合わせください。
(このメールアドレスに特定電子メールを送信しないでください)
URL:http://www.ipa.go.jp/security/

更新履歴

2014年 1月23日 掲載

Adobe ReaderPDFファイルをご覧いただくためには、Adobe Reader(無償)が必要です。
Adobe ReaderはAdobe Readerのダウンロードページよりダウンロードできます。