HOME情報セキュリティコンピュータウイルス・不正アクセス届出状況および相談受付状況[2014年第2四半期(4月~6月)]

本文を印刷する

情報セキュリティ

コンピュータウイルス・不正アクセス届出状況および相談受付状況[2014年第2四半期(4月~6月)]

第14-12-317号
掲載日:2014年 7月25日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター
(PDFはこちら)

1. コンピュータウイルスおよび不正プログラムの検出数

1-1. 四半期総括

2014年第2四半期に寄せられたウイルスの検出数(*1)は、2014年第1四半期26,086個より8,612個(約33%)少ない17,474個でした(図1-2参照)。 また、2014年第2四半期の不正プログラム(*2)検出数は2014年第1四半期118,767個から45,026個(約38%)少ない73,741個でした(図1-3参照)。

個別のウイルス、不正プログラムに着目すると、検出数の第1位はインターネットバンキングのログイン情報を窃取する不正プログラムのBancosで16,086個でした。しかし同時に検出数の減少も顕著で前四半期の41,113個から約6割減少しました。これは前四半期の検出が突出して多かったためで、依然多く検出されています。

ウイルスと不正プログラムの総検出数91,215個のうちパソコン利用者のダウンロード行為またはウイルスによってパソコンにダウンロードされた数は59,201個で全体の約65%でした。 次に多かったのは受け取ったメールに添付されていたものを検出したもので17,396個、全体の約19%でした。

また本四半期は、実際にウイルスに感染してしまった旨の届出が1件寄せられました。 下記の表1-1は、その時に感染した「W32/Burnwoo(バーンウー)」というウイルスの被害の詳細です。

表1-1. ウイルス感染被害届出詳細
届出元 一般企業
被害感染対象 3台の社内パソコン
セキュリティソフトの利用 あり(パターンファイルを最新にしながら利用)
感染経路 外部記憶媒体(デジカメ用SDメモリカード)
被害状況 感染パソコンからは、ファイルの改ざんや破壊、情報漏えい等の実被害は確認されなかった。(感染パソコンから不審なウェブサイトへの接続痕跡があったが、感染当時は既に当該ウェブサイトが閉鎖していたため、実害発生に至らなかった。
発見方法 インターネット接続ログの解析により社内の3台のパソコンが、不審なウェブサイトにアクセスしている痕跡が発見された。
その3台のパソコンを調査した所、いずれのパソコンでも、特定のデジカメ用SDメモリカードを使用していたことが判明した。
そのためSDメモリカードを調査した所、W32/Burnwooに感染していたことが判明した。
感染原因 ウイルスに感染していることに気が付かないままデジカメ用SDメモリカードをパソコンに接続し、SDメモリカード内にある画像フォルダにあったファイルを実行したため感染。このファイルはアイコンがフォルダに偽装されていたため、開封してしまったと考えられる。このSDメモリカードへの感染は、自社で管理していない第三者のパソコンと写真のやりとりを行った際にSDメモリカードを使用したためと考えられる。
また、感染パソコンにインストールされていたセキュリティソフトは、最新の状態であったにもかかわらず、W32/Burnwooを検知しなかった。
対 処 インターネット接続ログから感染パソコンを割り出し、当該パソコンを即座にネットワークから切り離した。その後、パソコンを初期化しウイルスの駆除を実施。
感染したSDメモリカードも、初期化しウイルスの駆除を実施。

W32/Burnwooは、主にUSBメモリ等の外部記憶媒体に自分自身をコピーすることで感染を拡大するウイルスです。本事例では、W32/Burnwooに感染していたSDメモリカード内のファイルがフォルダに偽装されており、それを開封したことでパソコンにウイルスを感染させてしまいました。

また、感染パソコンではセキュリティソフトを最新の状態で使用していましたが、感染当時(2014年3月頃)W32/Burnwooは出現したばかりだったため(*3)、セキュリティソフトで検出されませんでした。

セキュリティソフトであってもウイルス検出用の定義ファイル(パターンファイル)が新種のウイルスに対応していないと検出できません。本事例は定義ファイルのアップデートよりもウイルスの侵入が早かったために感染してしまった事例です。

W32/Burnwooに感染したパソコンは、不審なウェブサイトへのアクセスを試みて、アクセスが成功すればさらに他のウイルスや不正プログラムを、パソコン利用者に気づかれないようにダウンロードします。しかし本届出では、接続先ウェブサイトが既に何らかの理由で接続不可になっていたため、更なるウイルスの感染被害には遭わずに済みました。

外部記憶媒体を経由したパソコンのウイルス感染には、“接続しただけで”感染する場合と、“接続後、パソコン利用者が外部記憶媒体内のファイルを実行して”感染する場合があります。前者は

  • 自動実行(オートラン)無効化
  • パソコン内の脆弱性の解消
によってほとんど防止できますが、後者はいくらパソコン上で対策をしていても、パソコン利用者が自身で実行してしまうことでウイルスに感染してしまう恐れがあります。

(*1)
検出数: 届出者の自組織等で発見・検出したウイルスの数(個数)

(*2)
不正プログラム: 「コンピュータウイルス対策基準」におけるウイルスの定義「(1)自己伝染機能」、「(2)潜伏機能」、「(3)発病機能」
の、どの機能も持たないもの。

 
「コンピュータウイルス対策基準」:

 
http://www.meti.go.jp/policy/netsecurity/CvirusCMG.htm

(*3)
トレンドマイクロ:

 
http://about-threats.trendmicro.com/malware.aspx?language=jp&name=WORM_BURNWOO.A

 
SOPHOS:

 
http://www.sophos.com/ja-jp/threat-center/threat-analyses/viruses-and-spyware/W32~Burnwoo-A.aspx

 
マイクロソフト:

 
http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=Worm:Win32/Burnwoo.A#tab=2

1-2. 検出数に顕著な変化が見られたウイルス・不正プログラム

2014年第2四半期に最も多く検出されたウイルスは、W32/Netsky(*4)でした。 検出数は2014年第1四半期から約29%(2014年第2四半期:8,354件、2014年第1四半期:6,452件)増加しました。 反対にW32/Mydoom(*5)の検出数は、2014年第1四半期から約45%(2014年第2四半期:6,203件、2014年第1四半期:14,691件)の減少となりました。(図1-2 参照)。

一方最も多く検出された不正プログラムは、インターネットバンキングのログイン情報を窃取するBancosでした。 しかしその検出数は2014年第1四半期から約6割も減少(2014年第2四半期:16,086件、2014年第1四半期:41,113件)しました(図1-3 参照)。

これは前四半期の検出数が突出して多かったためで、依然多くが検出されています。

(*4)
W32/Netsky: 自身の複製をメールの添付ファイルとして拡散する、いわゆるマスメール型ウイルス。

(*5)
W32/Mydoom: W32/Netskyと同様、自身の複製をメールの添付ファイルとして拡散するマスメール型ウイルス。

1-3. 届出件数

2014年第2四半期(4月~6月)の届出件数は1,292件でした。そのうち被害があったものは1件でした。 下記図1-1は、四半期ごとの届出件数の推移を示したものです。 届出件数は2014年第1四半期の1,414件から122件の減少となりました。

図1-1. 届出件数の四半期別推移
図1-1. 届出件数の四半期別推移


1-4. ウイルス検出数

2014年第2四半期のウイルス検出数は17,474個と、2014年第1四半期の26,086個から8,612個(約33%)の減少となりました(図1-2参照)。

図1-2. ウイルス検出数の推移
図1-2. ウイルス検出数の推移


1-5. 不正プログラム検出数

2014年第2四半期の不正プログラム上位10個の検出数は41,021個と、2014年第1四半期の73,112個から、32,091個(約44%)の減少となりました(図1-3参照)。

Bancosの検出が25,027個減少したことが主因です。

図1-3. 不正プログラム検出数の推移
図1-3. 不正プログラム検出数の推移


- コンピュータウイルス届出の詳細はPDFファイルを参照して下さい -



2. コンピュータ不正アクセス届出状況

2-1. 四半期総括

2014年第2四半期(2014年4月~6月)のコンピュータ不正アクセス届出の総数は37件(2014年1月~3月:28件)でした(図2-1)。そのうち『なりすまし』の届出が12件(同:10件)、『DoS』の届出が6件(同:7件)、『不正プログラム埋め込み』の届出が5件(同:2件)などでした。

前四半期ではDoSの届出に、NTPの脆弱性を悪用したものが複数ありましたが、本四半期ではchargen(*6)サービスを悪用したDoS攻撃の届出が2件ありました。 いずれもchargenサービスが外部から接続され、他組織への踏み台として悪用されてしまったものでした。

chargenサービスは外部から不正に接続されると、サーバーのCPUやメモリを消費し、サーバー機能が低下します。 更に、“IPスプーフィング(*7)によって送信元IPアドレスを偽装” した上で、“特定のサーバーに大量のパケットを送りつけ”、その結果“受信サーバーは偽装されたIPアドレスに大量のパケットを返信” してしまう、いわゆる「リフレクター攻撃」(*8)の踏み台として悪用されてしまいます。

chargenサービスの主な用途は通信試験や通信用プログラムの動作確認であるため、通常、運用中のシステム上でchargenサービスを有効にする必要はありません。 前述の2件の届出の原因は、chargenサービスが有効な状態のままとなっていたこと、通信フィルターの設定不備によるものでした。 リフレクター攻撃の踏み台にならないために、“不要なサービスは無効にする”、“不特定多数への公開が不要なサービスについてはアクセスを制限する”などの適切な設定が必要です。

また、本四半期はOpenSSLやApache Struts2などサーバー用プログラム等の脆弱性公表が目立ちました。 IPAにも、OpenSSLの脆弱性を狙った通信(被害なし)の届出が4件寄せられました。

前四半期と同様、引き続き『なりすまし』の届出件数が多い状況が続いています。 その内訳は、『オンラインショッピング』が4件、『ウェブメール』が4件、『自組織が運用するメール』が3件、『動画サイト』が1件でした。

そのうち、『動画サイト』のなりすましは初めて届出されたものです。 その内容は、登録したパスワードで動画サイトにログインができないというものでした。 届出当時、当該サイトは不正アクセスを受け、ID・パスワードの漏えい被害が発生したとの報道がありました。 このことから、第三者がID・パスワードを不正に入手し、本人になりすましてログインし、パスワードを変更したと考えられます。

(*6)
chargen: 接続すると任意の文字を送信する、試験やデバッグを目的としたプロトコル。

(*7)
IPスプーフィング: 任意のIPアドレスを送信元として設定することで、実際の送信元とは異なるIPアドレスに詐称して身元を詐称する手法。

(*8)
リフレクター攻撃: UDPを利用するプロトコルを悪用する各種リフレクター攻撃に対する注意喚起について(警察庁)

 
http://www.npa.go.jp/cyberpolice/detect/pdf/20140711.pdf

2-2. 被害事例

(i)不正ログインにより身に覚えのない購入手続きが行われていた




  • 普段利用しているショッピングサイトから突然、身に覚えのない決済連絡メールが届いた。
  • 初めはスパムメールかと思ったが、記載されたクレジットカード番号の一部が一致していたため、ショッピングサイトにログインして履歴を確認した。
  • 確認の結果、見覚えのないアプリが勝手に購入され、決済が完了していることが判明した。またログイン履歴を確認すると、自分のものではないIPアドレスから複数回のアクセスがあったことも判明した。
  • すぐに購入のキャンセル手続きを行い、パスワードも変更した。




知らない間に第三者にショッピングサイトにログインされ、購入手続きが行われてしまった事例です。幸い、決済連絡メールによりすぐに異変に気付き、適切な対応ができたことで、金銭的被害には遭わずに済みました。
アクセスの履歴情報からも、第三者によるアクセスは確認できましたが、ログイン成功の手口は判明していません。パスワード管理の基本として、“強固なパスワードにする”、“他のサイトとは異なるパスワードにする(使い回しをしない)”を守ってください。
また、万が一、同様の被害に遭ってしまった場合には、すぐに購入元およびクレジットカード会社へ問い合わせる、パスワードを変更するなど、被害の拡大を防止するための対策を実施してください。
(ii)古いバージョンのプログラムの脆弱性を悪用されて、バックドアを埋め込まれた




  • ウェブサーバーのログ内に異常を発見したため、調べたところ、管理者が認識していないプログラムファイルが存在することを確認した。
  • 被害状況把握および対策のため、当該ウェブサーバーを即座に停止して調査を開始した。
  • 調査の結果、WordPressの脆弱性を悪用してウェブサーバーに不正ログインされ、バックドアが埋め込まれていたことが判明した。




WordPressのバージョンアップ作業を先延ばしし、脆弱性が残ったままになっていたことで、被害に遭ってしまった事例です。
バージョンアップ作業は、サービス停止や他のサービスへの影響などを考慮する余り早急な対応を敬遠しがちです。しかし、脆弱性対策の遅れは、本来、防げたはずの被害に遭う可能性を高めることを意味します。
サーバー管理者は、自分が管理しているサーバーにインストールされているソフトウェアのバージョンを把握するとともに、それらのソフトウェアの脆弱性情報を常に収集し、万が一、深刻な脆弱性が発見された場合には、早急に解決策や回避策を講じる必要があります。

2-3. 届出件数

2014年第2四半期(4月~6月)の届出件数は合計37件(前四半期比132%)であり、そのうち被害があった件数は29件(前四半期比137%)となりました。

図2-1. 不正アクセス届出件数の推移
図2-1. 不正アクセス届出件数の推移


- コンピュータ不正アクセス届出の詳細はPDFファイルを参照して下さい -



3.相談受付状況

3-1. 四半期総括

2014年第1四半期(2014年4月~6月)のウイルス・不正アクセス関連の相談総件数は4,426件でした(2014年1月~3月:3,585件)。相談員による対応の中で最も多かったのが『ワンクリック請求』に関する相談で937件(同706件)でした。そのほか主だったものは『ソフトウェア購入を促し、クレジットカード番号を入力させる手口』に関する相談が182件(同177件)、『スマートフォン』に関する相談が298件(同217件)などでした。

前期の相談総件数と比べて、今期はと23.5%増となりました(図3-1参照)。

『インターネットバンキング』に関する相談は67件と、前期の69件とほぼ変らず横ばいでした。 そのうち暗証番号や乱数表の入力を求める不正画面を表示するウイルス感染に関する相談は44件で、前四半期の49件から約10%減少しました。また、グラフはありませんが身代金型ウイルス『ランサムウェア』は今四半期14件で、前四半期の13件とほぼ同等でした。

図3-1. ウイルス・不正アクセス関連の相談件数
図3-1. ウイルス・不正アクセス関連の相談件数


表3-1. ウイルス・不正アクセス関連の相談件数(前掲 図3-1. の詳細)
  2013/
4~6
2013/
7~9
2013/
10~12
2014/
1~3
2014/
4~6
合計 3,800 3,948 4,179 3,585 4,426
  自動応答
システム
2,033
(53.5%)
2,183
(55.3%)
2,306
(55.2%)
1,901
(53.0%)
2,423
(54.7%)
電話 1,528
(40.2%)
1,541
(39.0%)
1,619
(38.7%)
1,457
(40.6%)
1,735
(39.2%)
電子メール 214
(5.6%)
208
(5.3%)
234
(5.6%)
213
(6.0%)
243
(5.5%)
その他 25
(0.7%)
16
(0.4%)
20
(0.5%)
14
(0.4%)
25
(0.6%)

3-2. 相談事例

(i)LINEのアカウントが乗っ取られた。


  • LINEのアカウントを第三者に使用されて、見覚えのない内容のメッセージを友人へ次々と送信しているようだ。友人から連絡を受け、気づいた。
  • メッセージ送信を止めたいが、アカウントにログインできないために自分ではどうにもできず、友人へのメッセージの送信を止めることができない。
  • Apple IDとmixiのアカウントも同じIDとパスワードにしている。

他のサービスのパスワードを使い回していたために、ID・パスワードリスト型攻撃に遭ってしまったと考えられます。
LINEにおけるアカウント乗っ取り被害が多発しており、金銭被害に遭ったとの報道もあります。
被害発生を受けて事業者が2014年7月7日にシステム上での対処を行いました(*9)。しかしパスワードの使い回しを続けていると、他のサービスで乗っ取り被害を受ける可能性があります。
利用しているネットサービスすべてで異なるパスワードを設定することが必要です。
(ii)yahooメールアドレスを不正利用にされた。


  • 銀行になりすました内容のメールが自分のyahooのメールアドレスから勝手に発信されている。
  • 2、3分間隔で送信され、今まで100件以上送信されている。
  • 宛先不明のメールに関しては、自分のメールアドレス宛に送信エラーが返ってくる。
  • yahooメールアドレスのパスワードを変更したら、その後送信されなくなった。
  • 他に何か対策はした方がよいですか。

自身のメールアカウントが不正ログインに遭った後、パスワードを変更したことにより、銀行になりすましたメールを勝手に送信される事象は収まりました。これで問題が解決したように思われますが、まだ対策が不足しています。
もしパソコンのウイルス感染が原因でパスワードを窃取されてしまった場合、パスワードを変更しても、パソコン内のウイルスによって変更後のパスワードが再度窃取されて、メールアカウントに再度不正ログインされる恐れがあります。そのためパソコン内のウイルスチェックをする必要があります。
フリーメールのアドレスに不正ログインされて、銀行を騙ったフィッシングメールを自分のアドレス帳の知り合い宛に勝手に送信される被害相談が複数寄せられています。メールアドレスが不正ログインに遭って乗っ取られると、自分が被害を受けるだけでなく、アドレス帳内の知り合いにも被害を及ぼす可能性があります。自分のパソコンやアカウントが攻撃に悪用されないためにも、パソコンのセキュリティ対策をしっかり行ってください。
(*9)
PC版LINEのセキュリティ強化のため「認証番号」の入力が必要になりました

 
http://official-blog.line.me/ja/archives/1005593400.html

届出・相談の詳細については以下のPDFファイルをご参照ください。

お問い合わせ先

本件に関するお問い合わせ先

独立行政法人 情報処理推進機構 技術本部 セキュリティセンター
Tel: 03-5978-7591 Fax: 03-5978-7518
E-mail: 電話番号:03-5978-7591までお問い合わせください。
(このメールアドレスに特定電子メールを送信しないでください)
URL:http://www.ipa.go.jp/security/

更新履歴

2014年 7月 25日 掲載

Adobe ReaderPDFファイルをご覧いただくためには、Adobe Reader(無償)が必要です。
Adobe ReaderはAdobe Readerのダウンロードページよりダウンロードできます。