HOME情報セキュリティコンピュータウイルス・不正アクセスの届出状況および相談状況 [2014年第3四半期(7月~9月)]

本文を印刷する

情報セキュリティ

コンピュータウイルス・不正アクセスの届出状況および相談状況 [2014年第3四半期(7月~9月)]

第14-17-322号
掲載日:2014年10月24日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター
(PDFはこちら)

1. コンピュータウイルスおよび不正プログラムの検出数

1-1. 四半期総括

2014年第3四半期に寄せられたウイルスの検出数(*1)は、2014年第2四半期17,474個より2,174個(約12%)多い19,648個でした(図1-2参照)。また、2014年第3四半期の不正プログラム(*2)検出数は2014年第2四半期73,741個から24,604個(約33%)多い98,345個でした(図1-3参照)。また本四半期は、実際にウイルスに感染してしまった旨の届出はありませんでした。

個別のウイルス、不正プログラムに着目すると、検出数の第1位は不正なウェブサイトにリダイレクト(移動)させる不正プログラムの総称であるRedirect(*3)で11,997個(7月:2,334個、8月:2,270個、9月:7,393個)でした。今期は2014年9月の検出数だけで前四半期の検出数を上回り、前四半期の7,196個から約67%(4,801個)増加しました。急増の理由は不明ですが、Redirectを使って不正なウェブサイトに誘導し、さらに別のウイルスに感染させることが目的と考えられます。

ウイルスと不正プログラムの総検出数117,993個のうちパソコン利用者のダウンロード行為またはウイルスによってパソコンにダウンロードされた数は82,104個で全体の約70%でした。次に多かったのは受け取ったメールに添付されていたものを検出したもので19,581個、全体の約17%でした(表1-3 参照)。

(*1)
検出数: 届出者の自組織等で発見・検出したウイルスの数(個数)

(*2)
不正プログラム: 「コンピュータウイルス対策基準」におけるウイルスの定義「(1)自己伝染機能」、「(2)潜伏機能」、「(3)発病機能」
の、どの機能も持たないもの。

 
「コンピュータウイルス対策基準」:

 
http://www.meti.go.jp/policy/netsecurity/CvirusCMG.htm

(*3)
Redirect: 不正なウェブサイトにリダイレクト(移動)させる不正プログラムの総称。移動先のウェブサイトから、別のウイルスや
不正プログラムをダウンロードして感染させようとする。


1-2. 検出数に顕著な変化が見られたウイルス・不正プログラム

2014年第3四半期に最も多く検出されたウイルスは、W32/Netsky(*4)でした。 検出数は前四半期の8,354個より41個多い、8,395個でした。また、前四半期からの増加率が大きいウイルスは、W32/Bagle(*5)とW32/Mytob(*6)の2種類でした。W32/Bagleの検出数は前四半期から約365%(2014年第3四半期:2,384個、2014年第2四半期:513個)増加、W32/Mytobの検出数は前四半期から約139%(2014年第3四半期:1,796個、2014年第2四半期:752個)増加しました。メールを使って大量にばら撒かれているものと考えられます。

一方、最も多く検出された不正プログラムは、前述のとおりRedirectで、次に多く検出された不正プログラムは、偽セキュリティソフトのFakeav(*7)でした。検出数は前四半期から約291%(2014年第3四半期:6,206個、2014年第2四半期:1,588個)増加しました。

前四半期に最も多く検出されたインターネットバンキングのログイン情報を窃取する不正プログラム、“Bancos”の検出数は前四半期から約66%(2014年第3四半期:5,540個、2014年第2四半期:16,086個)減少しました。


(*4)
W32/Netsky: 自身の複製をメールの添付ファイルとして拡散するマスメール型ウイルス。

(*5)
W32/Bagle: 自身の複製をメールの添付ファイルとして拡散するマスメール型ウイルス。

(*6)
W32/Mytob: パソコン内のアドレス帳からメールアドレスを取得しウイルス自身を添付したメールを送信するウイルス。

(*7)
Fakeav: 金銭を騙し取るオンライン詐欺を目的とした不正プログラム。

1-3. 届出件数

2014年第3四半期(7月~9月)の届出件数は1,298件で、感染被害があった届出はありませんでした。下記図1-1は、四半期ごとの届出件数の推移を示したものです。届出件数は2014年第2四半期の1,292件より6件増えました。

図1-1. 届出件数の四半期別推移
図1-1. 届出件数の四半期別推移


1-4. ウイルス検出数

2014年第3四半期のウイルス検出数は19,648個と、前期の17,474個から2,174個(約12%)の増加となりました(図1-2参照)。

W32/Bagleが1,871個、W32/Mytobが1,044個、検出数が増加したことが主因です。

図1-2. ウイルス検出数の推移
図1-2. ウイルス検出数の推移


1-5. 不正プログラム検出数

2014年第3四半期の不正プログラム検出数は98,345個と、前期の73,741個から、24,604個(約33%)増加しました(図1-3参照)。

検出数増加の主な要因は前四半期の7,196個から4,801個増加し11,997個検出されたRedirectと、検出数が4,618個増加したFakeavです。

図1-3. 不正プログラム検出数の推移
図1-3. 不正プログラム検出数の推移


- コンピュータウイルス届出の詳細はPDFファイルを参照して下さい -



2. コンピュータ不正アクセス届出状況

2-1. 四半期総括

2014年第3四半期(2014年7月~9月)のコンピュータ不正アクセス届出の総数は27件(2014年第2四半期:37件)でした(図2-1)。そのうち『DoS』の届出が6件(同:6件)、『なりすまし』の届出が7件(同:12件)、『侵入』の届出が3件(同:3件)『不正プログラム埋込』の届出が1件(同:5件)などでした(表2-1)。

本四半期の『なりすまし』の届出件数は7件で、前四半期から減少しています(表2-1)。そのうち2件の詳細はオンラインゲームへの不正なログインで、そのうち1件ではゲーム内の課金アイテムを不正購入されていました。前四半期と同様、金銭被害を伴う不正ログインが発生しており、原因はパスワードの使いまわしが考えられます。

オンラインゲームに限らず、パスワードの使いまわしは様々なサービスで不正ログインのリスクが高まります。特にショッピングサイトのようなクレジットカード情報を登録するサイトにおいて、利用者は“パスワードを使いまわさない(*8)”、“二段階認証などのセキュリティオプションを積極的に利用する”ことが推奨されます。一方、事業者においても“二段階認証”のような安全な仕組みを採用することが求められます。

また、本四半期では、スパムメール送信の踏み台とされてしまう被害が5件ありました。内訳はアカウント情報の不正利用による被害が3件(届出『なりすまし』)、メーリングリストやウェブコンテンツの管理システムの脆弱性悪用による被害が2件(届出『その他(被害あり)』)です(表2-1)。

前述のアカウント情報の不正利用による被害では、推測が容易なパスワードの利用またはフィッシングによる情報窃取が原因と考えられます。このようなアカウント情報の不正利用による被害を防ぐためには、パスワードの適切な設定および管理が重要です。例えば、複雑で強固なパスワードを設定した場合でも、ウイルス感染やフィッシングにより、パスワードは強度に関係なく窃取されてしまう可能性があります。

また、事業者の場合、パスワードの適切な管理・設定の他、万が一、アカウント情報が流出した場合でも被害を受けないように、不用意にSMTPサービスを外部に公開しない対応が必要です。外部にSMTPサービスを公開している場合は、外部からのアクセスを一度VPNに経由させ内部ネットワークに接続してからSMTPサービスを利用するなどの代替案の適用可否を検討してください。

その他、基本的な脆弱性対策を含め、システムの構成に応じた多角的な対策の検討、実施が必要です。

その他、ウェブ改ざんの被害やパスワードリスト攻撃の被害についての届出もありましたが、いずれも原因は不正ログインと考えられます。このように、本四半期ではパスワード管理の隙を狙われた被害が散見されています。繰り返しとなりますが、“推測が容易となるパスワードを設定していないか”、“パスワードを使いまわしていないか”など、いま一度パスワードの適切な設定と管理方法を確認することを推奨します。


(*8)
パスワードリスト攻撃による不正ログイン防止に向けた呼びかけ

 
https://www.ipa.go.jp/about/press/20140917.html

2-2. 被害事例

(i)ウェブサーバーの“.bash_history”(*9)ファイルを窃取された




  • 管理しているウェブサーバーに対して、「GET /.bash_history HTTP/1.1」のリクエストを送信され、.bash_historyファイルを窃取された。
  • 当該.bash_historyファイルには、サーバー内の設定やパスワード等、管理上重要な内容に関わる情報は含まれていなかった。




ファイルに対するアクセス権限の設定不備が原因の情報窃取の事例です。(2014年9月24日にUS-CERTが発表(*10)したBashの脆弱性の影響によるものではありません)
幸いにして今回窃取されてしまったファイルには、悪用される恐れがあるパスワードのような情報は含まれていませんでした。
.bash_historyファイルには、入力されたコマンドの履歴が記録されます。そのため、例えば、疎通確認のためにpingコマンドを実行していた場合には、疎通対象となった端末のIPアドレスが知られてしまいます。また、サービスの設定を実行していた場合には、稼働しているサービスや設定内容などを知られてしまい、次の攻撃に悪用される恐れがあります。
まずは機密性を確保するためにも、それぞれのファイルに対するアクセス権限をしっかりと見極め、適切に設定することが重要です。また、ユーザーのログアウト時に.bash_historyファイルを削除する設定を追加するなど、不用意に重要な情報が流出しないような対策も併用すると、より効果的と言えます。
(ii)アンケート入力フォームに大量の不正入力が行われた




  • アンケート入力ページの運用テスト実施中に、アンケートに入力された情報を通知する1,700通あまりのメールを受信した。
  • 受信したメールの内容(攻撃者が入力した情報)には、コマンド・インジェクションを試行したと思われる記述があった。
  • 運用テスト実施中の事象であること、およびコマンド・インジェクションへの対策もできていたことから、業務上の実被害は特になかった。




REFERER(*11)チェック機能およびコマンド・インジェクション対策の有効性や重要性が確認できる事例です。
今回の被害では運用テスト実施のため、という突発的かつ短時間の状況にも関わらず、REFERERチェック機能が無効となっていることを悪用され、コマンド・インジェクションを試行されてしまいましたが、その他のセキュリティ対策がしっかりなされていたために二次被害もなく、業務上の影響は生じませんでした。
このように現在管理しているシステムが、いつ、どのような攻撃の対象となるかはわかりません。そのため、セキュリティレベルの高いシステム設計、構築はもちろん、日頃からセキュリティを意識した多層的な運用、管理が重要と言えます。
(*9)
.bash_history: 入力したコマンドの履歴(ヒストリーリスト)が保存されるファイル。

(*10)
US-CERT: Bourne-Again Shell (Bash) Remote Code Execution Vulnerability

 
https://www.us-cert.gov/ncas/current-activity/2014/09/24/Bourne-Again-Shell-Bash-Remote-Code-Execution-Vulnerability

(*11)
REFERER: 特定のウェブページを参照している、元のURL情報。REFERERの情報をチェックすることで、リンク元を条件とした
アクセス制限が可能となるため、CSRFの対策として利用される。



2-3. 届出件数

2014年第3四半期(7月~9月)の届出件数は合計27件(前四半期比73%)であり、そのうち被害があった件数は23件(前四半期比79%)となりました。

図2-1. 不正アクセス届出件数の推移
図2-1. 不正アクセス届出件数の推移


- コンピュータ不正アクセス届出の詳細はPDFファイルを参照して下さい -



3.相談状況

3-1. 四半期総括

2014年第3四半期(2014年7月~9月)の相談件数は4,044件でした(2014年第2四半期:4,426件)。前四半期の相談総件数と比べて、今四半期は約9%減となりました(図3-1参照)。

そのうち相談員による対応件数は1,637件で、その中で最も多かったのが『ワンクリック請求』903件(同937件)でした。そのほか主だったものは『ソフトウェア購入を促し、クレジットカード番号等を入力させる手口』に関する相談が122件(同182件)、『スマートフォン』に関する相談が272件(同298件)などでした。(図3-2、図3-3、図3-4参照)。

『インターネットバンキング』に関する相談は15件と、前四半期の67件から大幅に減少しました(図3-5参照)。グラフは掲出していませんが、そのうち暗証番号や乱数表の入力を求める不正画面を表示するウイルス感染に関する相談は9件で、前四半期の44件から約80%減少しました。また、身代金型ウイルス『ランサムウェア』は今四半期3件で、前四半期の14件から減少しました。

図3-1. ウイルス・不正アクセス関連の相談件数
図3-1. ウイルス・不正アクセス関連の相談件数


表3-1. ウイルス・不正アクセス関連の相談件数(前掲 図3-1. の詳細)
  2013/
7~9
2013/
10~12
2014/
1~3
2014/
4~6
2014/
7~9
合計 3,948 4,179 3,585 4,426 4,044
  自動応答
システム
2,183
(55.3%)
2,306
(55.2%)
1,901
(53.0%)
2,423
(54.7%)
2,407
(59.5%)
電話 1,541
(39.0%)
1,619
(38.7%)
1,457
(40.6%)
1,735
(39.2%)
1,441
(35.6%)
電子メール 208
(5.3%)
234
(5.6%)
213
(6.0%)
243
(5.5%)
178
(4.4%)
その他 16
(0.4%)
20
(0.5%)
14
(0.4%)
25
(0.6%)
18
(0.4%)
注)
割合の数値は小数点第二位を四捨五入しており、合計が100%にならない場合があります。

3-2. 相談事例

(i)プロバイダー変更を勧められ、業者に言われるまま、遠隔操作ツールをパソコンにインストールしてしまって不安。


  • 利用中のプロバイダーとは異なる事業者から、プロバイダー変更を勧誘する電話があった。
  • 事業者に電話越しで言われるまま、よく理解せずにパソコンを操作していたら、いつの間にか遠隔操作ツールのようなソフトウェアをダウンロードし、パソコンに入ってしまったようだ。その事業者は自分のパソコンを遠隔操作して、勝手にプロバイダー変更を設定してしまった。
  • その後プロバイダーは元に戻したが、事業者が引き続き遠隔操作していないか心配。
  • こういったソフトは、セキュリティソフトが入っていれば検出してくれるのか。

■第三者に遠隔操作させることの危険性について
遠隔操作によるサポートは、パソコン初心者にとっては便利なサービスです。しかし、自分のパソコンを第三者に自由に操作させることになるため、もし相手に悪意があるとパソコンに何をされるか分かりません。例えばパソコンに格納された情報を盗み見されたり、迷惑メール送信の踏み台にされたりする恐れがあります。そのためパソコンを遠隔操作させる時は、信頼できる相手に限定してください。

また、自分で理解せずに第三者の言われるままにファイルをダウンロードすることは、出所不明なファイルをダウンロードすることと同じで危険です。必ずしも全てが悪質とは限りませんが、もし悪質な場合、パソコンがウイルスに感染するなどの被害を受けてしまいます。
 (ご参考)
   IPA 2012年11月の呼びかけ
  「濡れ衣を着せられないよう自己防衛を!」~踏み台として悪用されないために~
  https://www.ipa.go.jp/security/txt/2012/11outline.html

■遠隔操作ツールのセキュリティソフトでの検知について
遠隔操作ツールの中には市販されている正規の製品もあり、必ずしもウイルスとして検知されるわけではありません。
しかしウイルスではない正規の遠隔操作ツールであっても、遠隔操作者に悪意があれば、自分のパソコンに何をされるか分からず危険と言えます。繰り返しとなりますがパソコンを遠隔操作させる時は、信頼できる相手に限定してください。
(ii)クレジットカード会社の偽画面に、カード情報を入力してしまった。今後が心配。


  • クレジットカード会社のサイトにアクセスした際、身元確認と称した入力画面が現れて、カード番号とセキュリティコードを入力してしまった。
  • それが偽の入力画面であることは、事後にカード会社から連絡が来て判明した。クレジットカードもその時停止してもらった。
  • 当時、パソコンにはセキュリティソフトをインストールしていなかった。
  • 今後はどうしたら良いか。

パソコンがウイルスに感染し、そのウイルスによって偽画面が表示され、その画面を偽物と気付かずに情報を入力してしまった事例です。
もしセキュリティソフトを導入していれば、パソコンのウイルス感染を防止できた可能性があります。現在はインターネットバンキングやクレジットカードの情報を盗み取るウイルスが多く、セキュリティソフトを導入していないパソコンでインターネットを利用することは非常に危険です。セキュリティソフトをパソコンに導入し、常にパターンファイル(ウイルス定義ファイル)を最新の状態に保って利用してください。
クレジットカード会社の会員専用サイトでは、クレジットカード番号・有効期限等利用者情報の入力を求めることは通常ありません。
通常利用する時と異なる入力の要求があった場合は、入力せずに、サービス提供元に確認をしてください。

届出・相談の詳細については以下のPDFファイルをご参照ください。

お問い合わせ先

本件に関するお問い合わせ先

独立行政法人 情報処理推進機構 技術本部 セキュリティセンター
Tel: 03-5978-7591 Fax: 03-5978-7518
E-mail: 電話番号:03-5978-7591までお問い合わせください。
(このメールアドレスに特定電子メールを送信しないでください)
URL:http://www.ipa.go.jp/security/

更新履歴

2014年 10月 24日 掲載

Adobe ReaderPDFファイルをご覧いただくためには、Adobe Reader(無償)が必要です。
Adobe ReaderはAdobe Readerのダウンロードページよりダウンロードできます。