HOME情報セキュリティコンピュータウイルス・不正アクセス届出状況および相談受付状況[2014年第1四半期(1月~3月)]

本文を印刷する

情報セキュリティ

コンピュータウイルス・不正アクセス届出状況および相談受付状況[2014年第1四半期(1月~3月)]

第14-08-313号
掲載日:2014年 4月25日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター
(PDFはこちら)

1. コンピュータウイルスおよび不正プログラムの検出数

1-1. 四半期総括

 2014年第1四半期に寄せられたウイルスの検出数(*1)は、2013年第4四半期28,332個より2,246個(約7.9%)少ない26,086個でした(図1-2参照)。また、2014年第1四半期の不正プログラム(*2)検出数は2013年第4四半期69,014個から49,753個(約72%)多い118,767個でした(図1-3参照)。

 個別のウイルス、不正プログラムに着目すると、検出数の増加がもっとも顕著だったのはインターネットバンキングのログイン情報を窃取する不正プログラムのBancosで、約5.5倍に増加しました(2013年第4四半期7,378件、2014年第1四半期41,113件)。2013年は国内のインターネットバンキングを狙った不正送金事件の被害が増加しましたが(*3)、いまだ多くの利用者に感染させるため、メールを使って大量にばら撒かれているものと考えられます。

 ウイルスと不正プログラムの総検出数144,853件のうちパソコン利用者のダウンロード行為またはウイルスによってパソコンにダウンロードされた数は90,861件で全体の約63%でした。次に多かったのは受け取ったメールに添付されていたものを検出したもので25,927件、全体の約18%でした。これらは1件の例外を除いて、感染する前にパソコン上のセキュリティソフトや企業におけるウイルスゲートウェイで駆除されていました。

 下記の表1-1は、「CryptoLocker」というランサムウェア(*4)の感染被害事例です。

表1-1. ウイルス感染被害届出詳細
届出元 一般企業
セキュリティソフトの利用 あり
感染経路 不明
被害状況 ・パソコンの被害:
赤い警告画面がデスクトップ上に表示され、パソコン内のファイルも暗号化されているため、使用できなくなった。
・ファイルサーバーの被害:
業務に必要なファイルが暗号化されてしまったため、会社としての業務影響が発生。
発見方法 ファイルサーバー上の共有フォルダのファイルの暗号化と思われる文字化けを正常なパソコンからの接続で発見、その後、感染パソコンを特定した。
感染原因 クライアントパソコンでのWindows UpdateやJava(JRE)のアップデートの未実施によるものと推察。
対 処 ・感染パソコンの対処:
廃棄。
・ファイルサーバーの対処:
別途バックアップしておいたサーバー内の正常なファイルをサーバーに戻して復旧させた。

 CryptoLockerは、感染したパソコンに保存されたファイルを暗号化した後、デスクトップに赤い警告画面を表示し、暗号化されたファイルの暗号化解除を名目に身代金を要求するウイルスです。このCryptoLockerは本来パソコン内のファイルを暗号化するウイルスですが、本事例ではパソコンが接続するファイルサーバー上のファイルまでもが暗号化されてしまった例です

 本事例では当初、ファイルサーバー上の共有フォルダ内のファイルにおいて異常があることが確認されました。その後ウイルス感染の疑いを持った担当者が、当該ファイルサーバーに接続するパソコンを順次確認する中でCryptoLockerに感染したパソコンを1台発見しました。このCryptoLockerに感染したパソコンは、デスクトップに特徴的な赤い警告画面が出ているので容易に識別できます。

 本事例では、感染したパソコンはWindowsの「ネットワークドライブの割り当て」機能を利用して、ファイルサーバー上の共有フォルダを、CドライブやDドライブなどと同様にパソコン上のドライブの一つとして扱える設定をしていました。このため実際にはファイルサーバー上のデータであってもパソコン内のデータと論理的に同様の扱いとなります。その結果、CryptoLockerにとっては、パソコン上のファイルのみならず、ファイルサーバー上の共有フォルダ内のファイルも暗号化されてしまい、被害が拡大してしまいました。

    (*1) 検出数: 届出者の自組織等で発見・検出したウイルスの数(個数)
    (*2) 不正プログラム: 「コンピュータウイルス対策基準」におけるウイルスの定義「(1)自己伝染機能」、「(2)潜伏機能」、「(3)発病機能」の、どの機能も持たないもの。
    「コンピュータウイルス対策基準」:http://www.meti.go.jp/policy/netsecurity/CvirusCMG.htm
    (*3) 2014年1月30日付 警察庁広報資料 「平成25年中のインターネットバンキングに係る不正送金事犯の発生状況等について」:http://www.npa.go.jp/cyber/pdf/H260131_banking.pdf
    (*4) ランサムウェア: パソコン内のデータを暗号化し、ファイル等の利用を不可能にし、その暗号化したファイルの暗号解除を名目に身代金を要求するウイルス

1-2. 検出数に顕著な変化が見られたウイルス・不正プログラム

 2014年第1四半期、最も多く検出されたウイルスは、W32/Mydoom(*5)でした。検出数は2013年第4四半期から約17%(2014年第1四半期:14,691件、2013年第4四半期:17,701件)減少しており、2013年第2四半期をピークに減少傾向にあります。(図1-2 参照)。
 一方、最も多く検出された不正プログラムはBancosでした。検出数は2013年第4四半期から約5.5倍に増加(2014年第1四半期:41,113件、2013年第4四半期:7,378件)しました(図1-3 参照)。
    (*5) W32/Mydoom: 自身の複製をメールの添付ファイルとして拡散する、いわゆるマスメール型ウイルス。

1-3. 届出件数

 2014年第1四半期(1月~3月)届出件数は1,414件でした。そのうち被害があったものは1件でした。下記図1-1は、IPAが受け付けた四半期(3ヶ月)ごとの届出件数の推移を示したものです。届出件数は2013年第4四半期の1,350件から64件の増加となりました。

図1-1. 届出件数の四半期別推移
図1-1. 届出件数の四半期別推移

1-4. ウイルス検出数

 2014年第1四半期のウイルス検出数は26,086個と、2013年第4四半期の28,332個から2,246個の減少となりました(図1-2参照)。

図1-2. ウイルス検出数の推移
図1-2. ウイルス検出数の推移

1-5. 不正プログラム検出数

 2014年第1四半期の不正プログラム上位10個の検出数は63,872個と、2013年第4四半期の28,616個から、35,256個の増加となりました(図1-3参照)。
 Bancosが33,735個増加しており、不正プログラム検出数増加の主因です。

図1-3. 不正プログラム検出数の推移
図1-3. 不正プログラム検出数の推移

- コンピュータウイルス届出の詳細はPDFファイルを参照して下さい -



2. コンピュータ不正アクセス届出状況

2-1. 四半期総括

 2014年第1四半期(2014年1月~3月)のコンピュータ不正アクセス届出の総数は28件(2013年10月~12月:29件)でした(図2-1参照)。そのうち『なりすまし』の届出が10件(同:11件)、『DoS』の届出が7件(同:0件)、『侵入』の届出が6件(同:13件)などでした。

 本四半期は『DoS』の届出件数の増加が顕著でした。7件の『DoS』の届出のうち、6件はNTP(*7)という仕組みに関するもので、不正な通信が発生していました。被害の多くは次の2つのケースに大別されます。
  • 大量のNTP通信を受けた結果、サービス低下に陥った。
  • NTPサービスがDoS攻撃の踏み台として悪用されてしまった。
 後者については、攻撃者の目的はあくまでNTPサービスをDoS攻撃の踏み台として悪用することでしたが、通信量が急増した結果、踏み台にされたサーバー自身の動作が遅くなるなどDoS攻撃を受けた場合と同じ状態となっていました。
 NTPを悪用したDoSに関する届出が急増した背景として、2014年1月にNTPに関する脆弱性が公開されたことが挙げられます(*8)。当該脆弱性が存在することで、NTPリクエスト(*9)の数十倍のパケット量のNTPレスポンス(*10)を返してしまうため、DoS攻撃を行う際の攻撃の増幅器として悪用されてしまいました。

 また、前四半期と同様に『なりすまし』の件数が多い状況が続いています。
 具体的な被害内容は、大部分がメールアカウントのなりすましによる大量のスパムメール送信の被害でした。なりすましに遭った実際の原因の大半は不明ですが、原因が特定できたものについては、前四半期から引き続き発生しているActive! Mailの管理者を装ったフィッシングメールを用いてフィッシングサイトに誘導し、IDやパスワードの入力を求めるというものでした(*11)
 (参考)
 「大学などで使用されているWebメール(Active! Mail)アカウントを狙うフィッシング」
 https://www.antiphishing.jp/news/alert/20131212activemail.html

 これまでと同様に不正アクセスの原因は不明が大半です。“現状復帰を優先させるため、あまり詳細な調査は行わず初期化などによる復旧を行った”、“早期にサービスを再開させることを優先した”というコメントが添えられた届出もありましたが、再発防止のためにも、やはり原因を特定した上で復旧及び対策を行うことが重要です。

 不正アクセスの手口は様々ですが、被害を防止するための基本的な対策は以下のとおりで、従来から変わりありません。

システム管理者向け対策
  • OS、CMS(*12)などのアップデートを行い、サーバープログラムの脆弱性を解消する
  • 複雑なパスワードにする、アカウントを共有しないなど、アカウント管理を見直す
  • アクセス元IPアドレスによる接続制限を行う、不要なサービスは停止するなど、インターネットへは必要最小限のサービスのみを公開する
パソコン上での対策
  • OS、各種プログラム(Java、Flash Player、Adobe Reader)のアップデートを行う
  • セキュリティ対策ソフトを、最新の状態にしながら利用する

    (*7) NTP(Network Time Protocol):ネットワーク機器やサーバーなどの機器の時刻をネットワーク経由で同期するためのプロトコル
    (*8) 「NTPがDDoS攻撃の踏み台として使用される問題」
    http://jvn.jp/vu/JVNVU96176042/index.html
    (*9) NTPリクエスト:NTPサーバーに対して時刻を問い合わせること。またはその問い合わせ内容。
    (*10) NTPレスポンス:NTPリクエストに対して応答すること。またはその応答内容。時刻情報などが含まれる。
    (*11) トランスウエア社「Active! mailのメールアカウント不正使用にご注意ください!」
    http://www.transware.co.jp/news/2014/02/25_1406.html
    (*12) CMS(Content Management System): ウェブサイトのコンテンツ(テキストや画像など)を統合的に管理するためのウェブアプリケーションソフト。

2-2. 被害事例

(i) アプライアンス機器上でNTP用プログラムが動作していることを管理者が把握していなかったため、脆弱性対策が至らず、アプライアンス機器がDoS攻撃の踏み台に悪用された




  • インターネット経由で顧客に提供しているクラウドサービスに動作遅延が発生した。
  • クラウドサービスを提供しているサーバーには異常がなかったが、ネットワークの負荷を確認したところ、ネットワーク機器であるアプライアンス(*13)のトラフィックが急増していることが判明した。
  • トラフィックの詳細を調査したところ、当該アプライアンス機器から大量のNTPパケットが外部へ送信されており、送信パケットと受信パケットの通信量に大きな乖離があったことから、NTPサービスがDoS攻撃の踏み台に悪用されていることが判明した。




 アプライアンス機器にNTP用プログラムが初めから動作していることを管理者が把握していなかったため、必要な脆弱性対策を行っていなかったことが原因です。その結果NTP用プログラムがDoS攻撃に悪用されてしまった事例です。ネットワーク遅延によって自社サービスに悪影響が発生したのみならず、他組織へのDoS攻撃の踏み台として悪用されていました
 「2.1 四半期総括」で紹介したNTPの脆弱性は、一般的なサーバーだけではなく、今回の事例のようにアプライアンス機器にまで影響が及びます。
 本事例のように、攻撃が発生すると自組織への影響のみならず、他組織にも攻撃を仕掛けてしまう場合があります。インターネットに接続している機器についてはサーバー、アプライアンス機器に関わらず動作しているプログラムをすべて把握した上で、必要最小限のプログラムを動作させるようにしてください。
    (*13) アプライアンス:特定の機能に特化した機器のことで、専用のサーバーソフトが初めから組み込まれている。ファイアウォール、ウイルス検知、SSL通信復号、IPv4・Ipv6変換、など様々なアプライアンスが存在する。
(ii) SQLインジェクションによりデータベースに保存していた情報が流出した




  • ネットワーク監視部門から攻撃を検知したとの連絡が入った。
  • アクセスログを確認したところ、自社で運営しているウェブサイトの会員情報を管理しているデータベースへの不正なアクセスが確認された。
  • 詳細な調査を行ったところ、SQLインジェクションによりウェブサイトの登録情報として自社で管理していた会員のメールアドレスとパスワードが漏えいしたことが判明した。




 SQLインジェクションにより、情報漏えいが発生してしまった事例です。漏えいした情報にパスワードが含まれていましたが、ハッシュ値(*14)で保存されていたため、データベースから漏えいした情報をそのまま他の攻撃に悪用することは難しいと言えます。
 IPAでは、安全なウェブサイトの作り方の指南書として以下を公開しています。SQLインジェクションなどの脆弱性の技術的解説と解決策を解説していますので、活用してください。
・安全なウェブサイトの作り方
 http://www.ipa.go.jp/security/vuln/websecurity.html
    (*14) ハッシュ値:あるデータから、ハッシュ関数という特定の計算式を用いて得られた数値のこと。逆にハッシュ値から元データを得ることは極めて困難であるため、パスワードのハッシュ値を窃取された場合、パスワードそのものを窃取された場合よりも、悪用される危険性が低い。

2-3. 届出件数

 2014年第1四半期(1月~3月)の届出件数は合計28件(前四半期比97%)であり、そのうち被害があった件数は25件(前四半期比96%)となりました。

図2-1. 不正アクセス届出件数の推移
図2-1. 不正アクセス届出件数の推移

- コンピュータ不正アクセス届出の詳細はPDFファイルを参照して下さい -



3.相談受付状況

3-1. 四半期総括

 2014年第1四半期(2014年1月~3月)のウイルス・不正アクセス関連の相談総件数は3,585件でした(2013年10月~12月:4,179件)。そのうち『ワンクリック請求』に関する相談が706件(同916件)、『偽セキュリティソフト等』に関する相談が177件(同209件)、『スマートフォン』に関する相談が217件(同210件)などでした。
 相談総件数を四半期ごとの推移で見ると、今期は前期と比べて14.2%減となりました(図3-1参照)。
 2013年に国内過去最悪の不正送金被害をもたらした『インターネットバンキング』に関する相談は69件と、前期の76件よりは減少したものの、いまだに感染被害は続いていると考えられます。また、グラフに記載はありませんが身代金型ウイルス『ランサムウェア』は、今期13件と前期の8件から増加しました。こちらも感染被害は続いていると言えます。

図3-1. ウイルス・不正アクセス関連の相談件数
図3-1. ウイルス・不正アクセス関連の相談件数

表3-1. ウイルス・不正アクセス関連の相談件数(前掲 図3-1. の詳細)
  2013/
1~3
2013/
4~6
2013/
7~9
2013/
10~12
2014/
1~3
合計 3,300 3,800 3,948 4,179 3,585
  自動応答
システム
1,779
(53.9%)
2,033
(53.5%)
2,183
(55.3%)
2,306
(55.2%)
1,901
(53.0%)
電話 1,302
(39.5%)
1,528
(40.2%)
1,541
(39.0%)
1,619
(38.7%)
1,457
(40.6%)
電子メール 205
(6.2%)
214
(5.6%)
208
(5.3%)
234
(5.6%)
213
(6.0%)
その他 14
(0.4%)
25
(0.7%)
16
(0.4%)
20
(0.5%)
14
(0.4%)

3-2. 相談事例

(i) ブラウザのスタートページが”Sweet Page”になってしまって元に戻らない

  • 無料のソフトウェアをダウンロードし、インストールした。それ以降ブラウザを起動すると、”Sweet Page”というページが表示されるようになった。
  • [コントロールパネル-プログラムのアンインストール]から、その時にインストールしたソフトウェアをアンインストールしたが、相変わらず表示される。
  • ブラウザの設定でスタートページを変更したが、ブラウザ起動直後に表示されるのは”Sweet Page”で変わらない。
  • セキュリティソフトでパソコンをスキャンしても何も見つからない。元に戻すにはどうしたらよいか。

 ”Sweet Page”はいわゆる検索サイトで、他の検索サイトと同様にインターネット検索を利用できます。しかし「ディスクの空き容量低下」「エラー修正が必要」などという広告が表示されることがあり、最終的に何らかの製品を購入させることが目的と考えられます。
 ”Sweet Page”に関する相談は、今四半期30件(1月18件、2月10件、3月2件)あり、相談者全員が上述の被害に遭いました。
 相談者が、インターネットから何かしらフリーのソフトウェアをインストールした際、”Sweet Page”をブラウザのスタートページに表示するという設定に気がつかずインストールしてしまったものと考えられます。
 ”Sweet Page”は、ブラウザの起動ショートカットのリンク先に”http://www.sweet-page.com”を追加(図3-2)することで、ブラウザを起動する度に、”Sweet Page”のサイトページを最初に表示させます。
 そのため、ブラウザの「ホ―ムページ」の設定を変更しても、”Sweet Page”が最初のページとして表示されてしまいます。
 このようになってしまった場合、起動ショートカットのリンク先に追加されてしまった箇所を削除すれば、”Sweet Page”が最初に表示されることはなくなります。
 起動ショートカットの修正がわからない場合は、起動ショートカットそのものを削除して、再度作り直して下さい。
 方法がわからない時は、パソコンが操作できる状態で安心相談窓口までご連絡下さい(安心相談窓口:03-5978-7509)。
図3-2. IEのショートカットプロパティ画面
図3-2. IEのショートカットプロパティ画面

(ii) Windows XPに関する相談について

Q1.  Windows XPのサポートが4月9日で終了すると聞いたが、終了してからもWindows XPを使い続けるとどうなりますか?
Q2.  セキュリティソフトが入っているので使い続けても大丈夫ですか?
Q3.  インターネットをしなければ大丈夫ですか?
Q4.  盗まれたり壊されたりして困る情報をパソコンに保存していないので、このままWindows XPを使い続けたい。
Q5.  4月9日以降、急にWindows XPパソコンが危険になるのでしょうか?

A1.  サポート終了後もWindows XPを使い続けると、ウイルス感染や不正アクセスを受ける可能性が高くなります。

A2.  たとえセキュリティソフトを最新の状態で使用してもその脅威は拭えません。
パソコンのセキュリティ対策は、以下2点の両方が必要です。
  1. OSと各種プログラムの脆弱性の解消
  2. セキュリティソフトを常に最新の状態で使うこと
Windows XPのサポート終了後は上記1.を実施できないため、セキュリティ対策として不十分です

A3.  インターネットに接続しなければ大丈夫とは言えません。インターネットのみならず、LANなどのネットワークにも接続しないことが必要です。具体的には“他のパソコンとは接続をしない”、“USBメモリなどの外部記憶媒体にも接続しない”といったことを守る必要があります。他のパソコンやUSBメモリからウイルスに感染する場合があるからです。

A4.  盗まれて困るようなデータがパソコンに保存されていなくても、ウイルスに感染すると迷惑メールの発信元として悪用されたり、他のパソコンへの攻撃に悪用される恐れがあります。その状態でWindows XPを使い続けていると、プロバイダーから警告のメールが届くことがあり、それも無視し続けるとプロバイダーから一方的に接続を止められてしまう場合があります。
また遠隔操作ウイルスに感染すると、自分のパソコンを拠点として、犯罪予告などを掲示板に書き込む行為に加担させられる恐れもあります。

A5.  4月9日から急にパソコンが危険になる、ということではありません。しかし2014年5月にマイクロソフト社からWindows 8、Windows 7などの月例パッチが公表されると、その修正に関する脆弱性情報がWindows XPパソコンへの攻撃のヒントになる可能性があります。

 (参考)
  「あなたのパソコンは4月9日以降、大丈夫?」
  ~使用中パソコンの判別方法、乗り換えプランを紹介~
  http://www.ipa.go.jp/security/txt/2014/04outline.html

届出・相談の詳細については以下のPDFファイルをご参照ください。

お問い合わせ先

本件に関するお問い合わせ先

独立行政法人 情報処理推進機構 技術本部 セキュリティセンター
Tel: 03-5978-7591 Fax: 03-5978-7518
E-mail: 電話番号:03-5978-7591までお問い合わせください。
(このメールアドレスに特定電子メールを送信しないでください)
URL:http://www.ipa.go.jp/security/

更新履歴

2014年 4月 25日 掲載

Adobe ReaderPDFファイルをご覧いただくためには、Adobe Reader(無償)が必要です。
Adobe ReaderはAdobe Readerのダウンロードページよりダウンロードできます。