HOME情報セキュリティコンピュータウイルス・不正アクセスの届出状況および相談状況 [2015年第1四半期(1月~3月)]

本文を印刷する

情報セキュリティ

コンピュータウイルス・不正アクセスの届出状況および相談状況 [2015年第1四半期(1月~3月)]

第15-07-332号
掲載日:2015年4月24日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター
(PDFはこちら)

1. コンピュータウイルス届出状況

1-1. 四半期総括

2015年第1四半期(以下、今四半期)に寄せられたウイルスの検出数(*1)は8,038個で、2014年第4四半期(以下、前四半期)の19,820個より11,782個(約59%)減少しました(図1-2)。今四半期の不正プログラム(*2)検出数は74,822個で、前四半期の89,772個より14,950個(約17%)減少しました(図1-3)。また今四半期は、ウイルス感染被害の届出はありませんでした。

個別のウイルス、不正プログラムに着目すると、検出数の第1位はパソコン内に裏口を仕掛ける不正プログラムの総称であるBackdoor(バックドア)で、検出数は16,637個(1月:3,839個、2月:11,374個、3月:1,424個)でした。四半期単位では2014年第2四半期から今四半期にいたるまで増加傾向が続いています。

ウイルスと不正プログラムの総検出数82,860個のうち、パソコン利用者のダウンロード行為またはウイルスによってパソコンにダウンロードされた数は68,933個で全体の約83%でした。次に多かったのは受け取ったメールに添付されていたものを検出したもので7,855個、全体の約10%でした(表1-3)。

(*1)
検出数:届出としてIPAに寄せられた届出者の自組織等で発見・検出したウイルスおよび不正プログラムの数(個数)。

(*2)
不正プログラム:IPAに届出られたもののうち、「コンピュータウイルス対策基準」におけるウイルスの定義に該当しない
(「(1)自己伝染機能」、「(2)潜伏機能」、「(3)発病機能」のどの機能も持たない)もの。

 
「コンピュータウイルス対策基準」:

 
http://www.meti.go.jp/policy/netsecurity/CvirusCMG.htm

1-2. 検出数に顕著な変化が見られたウイルス・不正プログラム

今四半期に最も多く検出されたウイルスは、W32/Mydoomでした。W32/Mydoomの検出数は4,571個で、前四半期の4,844個より273個減少しました。前四半期から大きく減少したウイルスは、W32/Mytobでした。W32/Mytobの検出数は557個で、前四半期の9,008個から8,451個(約94%)減少しました。また、前四半期に大きく減少したW32/Netskyの検出数は1,715個で、前四半期の3,193個から更に1,478個(約46%)減少しました。

一方、最も多く検出された不正プログラムは、前述のとおりBackdoorで、次に多く検出された不正プログラムは、Downloader(ダウンローダー)でした。DownloaderもBackdoor同様増加傾向が続いています。

インターネットバンキングのログイン情報を窃取する不正プログラム、“Bancos”の検出数は979個で、前四半期の3,203個より2,224個(約69%)減少しました。


1-3. ウイルス届出件数

下記グラフ(図1-1)は、IPAが受け付けた四半期ごとの届出件数の推移を示したものです。今四半期のウイルス届出件数は937件で、前四半期の1,010件から73件減少しました。また、感染被害があった届出はありませんでした。

図1-1. ウイルス届出件数の四半期別推移
図1-1. ウイルス届出件数の四半期別推移


1-4. ウイルス検出数

今四半期のウイルス検出数(*3)は8,038個と、前四半期の19,820個から11,782個(約59%)減少しました。前四半期に最も多く検出されたW32/Mytobが大きく減少したことが主因です。

図1-2. ウイルス検出数の推移
図1-2. ウイルス検出数の推移

(*3)
ウイルス検出数:届出られた「ウイルス」、「不正プログラム」のうち、「ウイルス」の総数を示したもの。

1-5. 不正プログラム検出数

今四半期の不正プログラム検出数(*4)は74,822個と、前四半期の89,772個から、14,950個(約17%)減少しました。全体的な検出数は前四半期に続いて減少しましたが、BackdoorとDownloaderは前四半期に引き続き増加しました。

図1-3. 不正プログラム検出数の推移
図1-3. 不正プログラム検出数の推移

(*4)
不正プログラム検出数:届出られた「ウイルス」、「不正プログラム」のうち「不正プログラム」の総数を示したもの。


- コンピュータウイルス届出の詳細はPDFファイルを参照して下さい -



2. コンピュータ不正アクセス届出状況

2-1. 四半期総括

今四半期のコンピュータ不正アクセス届出の総数は34件で、2014年第4四半期(以下、前四半期)の28件と比べて6件増加しました(図2-1)。そのうち『なりすまし』の届出が19件(前四半期:11件)、『侵入』の届出が5件(同:4件)、『不正プログラム埋込』の届出が2件(同:3件)、『DoS』の届出が1件(同:0件)などでした(表2-1)。

今四半期の19件の『なりすまし』の届出は、前四半期と比べ大きく増加しています(表2-1)。なりすましによる具体的な不正アクセスの被害として、メールアカウントの不正利用によってスパムメール送信の踏み台とされてしまった届出が最も多く、8件でした。その他、ショッピングサイトへの不正ログインによって身に覚えのない商品の購入手続きをされてしまった届出が1件、IP-PBX(IP電話)への不正接続によって国外宛に電話発信をされてしまった届出が1件、オンラインゲームのアカウント情報を伝えてしまったために不正にデータ引継操作をされて乗っ取られてしまった届出が1件などでした。これらの届出のうち、ブルートフォースアタック(*5)や辞書攻撃、パスワードリスト攻撃、フィッシングなど、ログ情報やアカウント所有者の行動から不正ログイン(パスワード情報の漏えい)の原因が明らかな被害もありますが、19件のうち11件は原因の特定に至っていません。

一方で、攻撃者による不正アクセスが失敗に終わり、被害に至らなかった『アクセス形跡(未遂)』の届出が2件ありました。1件はフィルタ機能によってメールサーバへログインを試みる不審なアクセスを遮断できたことで被害に至らずに済みました。もう1件は、FTPサーバに対して辞書攻撃と思われる大量のログイン試行をされてしまったものの、試行された情報ではログインができなかったため被害には至らずに済みました。

前四半期に続き、今四半期でもパスワード管理の隙を狙われた被害が散見されています。利用者においては不正ログインによるSNSの乗っ取りやショッピングサイトの不正利用を防ぐため、“推測が容易となるパスワードを設定していないか”、“パスワードの使いまわしをしていないか”など、パスワード管理(*6)における基本的な対策ができているか改めて確認してください。また、システム管理者においては利用者の対策に加え、“初期設定のユーザIDの利用を禁止する”などアカウント情報への取り扱いにも注意が必要です。さらに、ブルートフォースアタックや辞書攻撃を想定した“ログイン試行回数制限を設定する”、“フィルタ機能で不要なアクセスを制限する”といった、システムにおける対策についても検討してください。

今四半期では、前述の『アクセス形跡(未遂)』の届出2件を含め、被害に至らなかった届出が6件ありました。その手口はSQLインジェクション(*7)やbashの脆弱性(*8)の悪用などでした。いずれもセキュアなウェブサイト設計、稼動プログラムのバージョンアップ対応といった基本的な対策を実施していれば被害を防げるものです。システム管理者においては稼動プログラムのバージョンアップ対応をはじめとした、基本的なセキュリティ対策を確実に実施してください。

(*5)
ブルートフォースアタック: 文字の組み合わせを総当たりで試行する攻撃。

(*6)
パスワード-もっと強くキミを守りたい-

 
https://www.ipa.go.jp/security/keihatsu/munekyun-pw/index.html

(*7)
SQLインジェクション攻撃に関する注意喚起

 
https://www.ipa.go.jp/security/vuln/documents/2008/200805_SQLinjection.html

(*8)
bash の脆弱性対策について(CVE-2014-6271等)

 
https://www.ipa.go.jp/security/ciadr/vul/20140926-bash.html

2-2. 被害事例

(i)FTP(*9)アカウントに不正ログインされ詐欺サイトを構築された




  • ウェブサーバに大量のファイルがアップロードされていることを発見した。
  • 調査の結果、FTPアカウントを悪用され、6GBを超えるブランド品の通販サイトと思われるコンテンツをアップロードされていることが確認された。しかし、元々、公開していたコンテンツへの改ざんなどは確認されなかった。
  • FTPアカウントのパスワードが安易な内容だったため、推測により不正ログインされてしまったと考えられる。




FTPアカウントの悪用により不正ログインされ、ウェブサーバに大量の不審なファイルをアップロードされてしまった事例です。
公開していたコンテンツの改ざんはなく、ブランド品の通販サイトと思われるコンテンツを大量にアップロードされたとのことなので、個人情報や金銭を摂取することを目的とした詐欺サイトの構築、公開に悪用されたと考えられます。
脆弱性を突くような攻撃への対策として、OSやソフトウェアのバージョンを最新に保つことも重要ですが、アカウント情報を適切に設定、管理することも同じように重要です。不正ログインされてしまう可能性が高くなるため、特に初期設定のIDや安易なパスワードは、原則として使用しないことを推奨します。
また、万が一、不正なアップロードをされてしまった場合に、早期発見、対応が行えるよう、FTPサーバへのアクセスやウェブサーバ上での操作など、不審なログに対して、アラートを出力するといったような対策も有効となります。
(ii)CMSの脆弱性を突かれて不正なPHP(*10)ファイルを設置された




  • ウェブサーバへアクセスすると不正なページが表示されるようになった。
  • 確認したところ、2種類の不審なPHPファイルが設置されていた。
  • PHPファイルはバックドアとして機能していたようで、PHPファイルを通じて不正なページを表示するファイルを設置されていた。
  • 利用していたCMSは脆弱性が存在するバージョンで修復がされていない状態であったため、脆弱性を突かれてPHPファイルを設置されたと推測される。
  • 表示された不正なページの内容は海外で発生したテロに関するメッセージと思われるもので、ハクティビスト(*11)による犯行の可能性が考えられる。




CMSが適切にバージョン管理されていなかったことで、画像ファイルをアップロードされるというウェブ改ざん被害に遭ってしまった事例です。被害は特定の画像が表示されるように書き換えられただけに留まり、大きな被害には至りませんでした。
なお、届出はありませんでしたが、報道によると2015年3月、「Islamic State (ISIS)」と称する攻撃者により、CMSのプラグインの脆弱性を悪用したと想定されるウェブサイト改ざん被害(*12)が複数発生しました。
ウェブサイト管理を容易にする目的で多用されるCMSですが、CMS自体を適切に管理していないとウェブ改ざん被害の可能性が高まります。利用しているCMSの情報を把握し、常に最新のバージョンで稼動するよう、アップデートの確認からバージョンアップの実施までの具体的な作業フローを事前に確立しておく必要があります。
(*9)
FTP(File Transfer Protocol):ファイル転送を行うためのプロトコル。

(*10)
PHP(PHP: Hypertext Preprocessor):動的にHTMLデータを生成するスクリプト言語。

(*11)
ハクティビスト :社会的・政治的な主張を目的としたハッキング活動を行う者を指す用語。

(*12)
警察庁 :「Islamic State(ISIS)」と称する者によるウェブサイト改ざんに係る注意喚起について

 
http://www.npa.go.jp/cyberpolice/detect/pdf/20150312.pdf


2-3. 届出件数

今四半期の届出件数は34件で、そのうち被害があったのは28件と全体の約82%を占めました。

図2-1. 不正アクセス届出件数の推移
図2-1. 不正アクセス届出件数の推移


- コンピュータ不正アクセス届出の詳細はPDFファイルを参照して下さい -



3. 相談状況

3-1. 四半期総括

今四半期に「情報セキュリティ安心相談窓口」に寄せられた相談件数は3,311件で、2014年第4四半期(以下、前四半期)の3,543件に比べて232件(約7%)減少しました(図3-1)。

相談員による対応件数は1,532件で、その中で最も多かったのが約半数を占める『ワンクリック請求』で733件(前四半期:755件)でした。そのうちスマートフォンにおける『ワンクリック請求』に限ると210件(同:201件)で、ともに件数は前四半期から横這いでした(図3-2)。

『インターネットバンキング』に関する相談は24件(同:7件)でした。そのうち、相談者のパソコンがインターネットバンキングのログイン情報を窃取する不正プログラムに感染していたのは21件(同:2件)でした。(図3-3)。その相談件数は2014年第3四半期(7月~9月)にそれまでの約四分の一(15件)に激減して以来、低水準で推移しています。しかし今四半期は24件と再び増加しました。

グラフは掲出していませんが、今期の身代金型ウイルス『ランサムウェア』に関する相談は6件(同:5件)でした。2014年12月に、日本語の脅迫文が表示されるランサムウェアの存在が指摘されましたが(*13)、今四半期はIPAに相談がありませんでした(*14)。また『ソフトウェア購入を促し、クレジットカード番号等を入力させる手口』に関する相談は96件(同:143件)でした。

図3-1. ウイルス・不正アクセス関連の相談件数
図3-1. ウイルス・不正アクセス関連の相談件数

表3-1. ウイルス・不正アクセス関連の相談件数(前掲 図3-1. の詳細)
表3-1. ウイルス・不正アクセス関連の相談件数(前掲 図3-1. の詳細)
注) 割合の数値は小数点第二位を四捨五入しており、合計が100%にならない場合があります。

(*13)
シマンテック:日本のユーザーを狙って設計されたTorLockerランサムウェアの亜種

 
http://www.symantec.com/connect/blogs/torlocker

(*14)
海外の捜査機関(FBI Cybercrime Division、Interpolなど)を騙ったランサムウェアの感染被害が4件、ランサムウェアの種類が
不明の感染被害が2件。


3-2. 相談事例

(i)Android端末で、突然画面下部にウイルス感染の警告文が出た。この警告文は信用して良いのか。


  • Android端末で色々なサイトを見て回っている最中に、画面下に警告文が出てきた。
  • 「この端末はウイルスに感染しました。感染を解除するには以下のアプリをインストールしてください。」という内容。
  • その警告文をタップすると、あるセキュリティアプリのGoogle Playページが出てきたので、表示に従ってアプリをインストールした。
  • その後、誘導のされ方に不安を覚えたので、そのセキュリティアプリはアンインストールした。
  • 最初に出た画面下部の警告文は信用して良いのか。

IPAでも、画面下部に警告文が出るスマートフォン用サイトを複数確認していますが、そのような警告文は広告表示に過ぎません。また、スマートフォンはパソコンと比較して画面が小さいため、それが単なる広告表示なのか、それとも端末自体やアプリの機能によって表示されている警告なのかの区別がつきにくいのが特徴です。
この場合は不正アプリの可能性は低いと考えられますが、必ずしも全てがそうとは限りません。もし悪質な場合、端末内の情報が窃取されるなどの被害を受ける可能性があります。アプリをインストールする際には、利用者の評判やインストール時に表示されるアクセス権限(パーミッション)を確認する等、安全性について確認した上でインストールしてください。
(ii)Android端末でLINEを使おうとしたら、突然「誰かがLINEに侵入しようとしました」という通知が現れ、カメラのシャッター音が鳴った。


  • Android端末でLINEを使おうとしたら、突然「誰かがLINEに侵入しようとしました」という通知が出てきた。それとともにカメラのシャッター音が鳴った。
  • スマートフォンが誰かに乗っ取られているのではないか。
  • なお端末上では無料のセキュリティアプリを使用している。

公式サイトによれば、その通知はご利用中のセキュリティアプリの仕様によるものと考えられます。LINEへのログイン回数が規定回数以上失敗すると、「誰かがLINEに侵入しようとしました」という、警告メッセージが発せられます。シャッター音もそのセキュリティアプリが実際にカメラで撮影したことによるものです。この機能は正規の利用者以外の第三者が不正にログインしようとした際のアラート機能のようなものです。 規定回数以上失敗すると、写真が撮られ、画像が端末内に保存されます。これにより正規の利用者は不正にログインしようとした人物の特定が容易になると考えられます。
何かあっても慌てずに済むよう、ご利用中のアプリ、特に“セキュリティアプリ”と“頻繁に利用するアプリ”については、事前に機能を把握しておくことを勧めます。

届出・相談の詳細については以下のPDFファイルをご参照ください。

本件に関するお問い合わせ先

独立行政法人 情報処理推進機構 技術本部 セキュリティセンター
Tel: 03-5978-7591 Fax: 03-5978-7518
E-mail:
URL:https://www.ipa.go.jp/security/

更新履歴

2015年 4月 24日 掲載

Adobe ReaderPDFファイルをご覧いただくためには、Adobe Reader(無償)が必要です。
Adobe ReaderはAdobe Readerのダウンロードページよりダウンロードできます。