コンピュータウイルス・不正アクセスの届出状況[2005年11月分]について

ウイルスの検出数^(※1)は、約510万個と、10月の約319万個から60.1％と大幅な増加となりました。これは、W32/Soberの亜種の検出数が202万個寄せられたためです。また、11月の届出件数^(※2)は、3,816件となり、10月の4,071件から6.3％の減少となりました。

※1 検出数 ： 届出にあたり届出者から寄せられたウイルスの発見数（個数）
※2 届出件数： 同じ届出者から寄せられた届出の内、同一発見日で同一種類のウイルスの検出が複数ある場合は、1日何個検出されても届出1件としてカウントしたもの。
・ 11月は、寄せられたウイルス検出数約510万個を集約した結果、3,816件の届出件数となっています。

検出数の1位は、W32/Netsky で約225万個、2位は W32/Sober で約202万個、3位は W32/Mytob で約72万個となっています。

（1）W32/Soberの亜種が急速に拡大！

11月22日に出現した W32/Sober の亜種は、W32/Netsky を上回るペースで大量のウイルスメールを送信し、わずか1週間でウイルス検出数トップ2になりました。

【図：IPAにおける検知状況】

このウイルスは、メールの添付ファイルとしてユーザに届き、そのファイルを開くと感染します。巧妙な手口として、送信者アドレスに FBI や CIA のアドレスを利用し、受信者に添付ファイルを開くように促している点があります。メールを読んだ方は、FBIから警告が届いたと勘違いし、内容を確認するために添付ファイルを開いて感染してしまうケースがあったようです。

IPA の緊急対策情報

• 「W32/Sober」ウイルスの亜種に関する情報
  http://www.ipa.go.jp/security/topics/newvirus/sober.html
• メールの添付ファイルには、ウイルスなどの不正プログラムが仕掛けられているケースが多いので、添付ファイルの取り扱いには十分注意しましょう。
• IPA - メールの添付ファイルの取り扱い 5つの心得
  http://www.ipa.go.jp/security/antivirus/attach5.html

（2）W32/Soberの検出数が急激に増加！

11月に出現した W32/Sober の亜種が、短期間に大量のウイルスメールを発信したことにより、約202万個もの届出が寄せられました。また、W32/Netsky も約225万個と、10月の約245万個から8.4％の減少となりましたが、依然として高水準で推移しています。

最近、オンラインバンキングで使用する口座情報・パスワードを詐取するために、スパイウェア^(*1)を利用するなど、金銭を目的とした不正行為が見受けられます。以下に掲げる対策を実施すると共に、銀行側が提供している各種セキュリティ対策（ソフトウェアキーボード^(*2)、乱数表 等）を利用するなど、被害に遭わないようご注意ください。

• IPA - スパイウェア対策のしおり
  http://www.ipa.go.jp/security/antivirus/shiori.html

不正アクセスの届出および相談の受付状況

		6月	7月	8月	9月	10月	11月
届出(a) 計		24	53	41	31	22	24
	被害あり(b)	22	10	12	16	15	15
	被害なし(c)	2	43	29	15	7	9
相談(d) 計		37	43	43	30	35	30
	被害あり(e)	22	24	23	16	25	18
	被害なし(f)	15	19	20	14	10	12
合計(a+d)		61	96	84	61	57	54
	被害あり(b+e)	44	34	35	32	40	33
	被害なし(c+f)	17	62	49	29	17	21

（1）不正アクセス届出状況

11月の届出件数は24件であり、そのうち被害のあった件数は15件でした。

（2）不正アクセス等の相談受付状況

不正アクセスに関連した相談件数は30件（うち6件は届出件数としてもカウント）であり、そのうち何らかの被害のあった件数は18件でした。

（3）被害状況

被害届出の内訳は、侵入11件、アドレス詐称1件、その他(被害あり)3件でした。
なお、SSH^(*3)で使用するポート^(*4)への攻撃を受けた結果侵入されたという届出は4件もあり、今後も注意が必要です。

被害事例

[侵入]

(i) SSHで使用するポートからの侵入

事 例

外部からの通報を受け調査したところ、ある非管理者権限アカウント(*5)へのログイン試行が成功していたことが判明。その結果、サーバに侵入されてポートスキャンツール(*6)や SSH スキャンツール(*7)を埋め込まれ、外部への攻撃を続けていた。パスワードが推測され易いものだったのが原因だが、さらに侵入後に何らかの原因で管理者権限への昇格を許していた。不正アクセスの試みは侵入の約1ヶ月前から続いていたが、管理者は気付いていなかった。

解 説 ・ 対 策

パスワード管理の不徹底が根本要因でしたが、一般アカウントの権限昇格が行われたことが被害を拡大させてしまっています。セキュリティパッチ(*8)の適用を再確認するとともに、外部から接続可能なアカウントの管理見直しが必要でしょう。また、常日頃からアクセスログ(*9)をチェックして一刻も早く攻撃の兆候を掴み、必要な対策を講じることが重要です。さらに、SSH 運用時には、ログインの際に公開鍵認証(*10)などの強固な認証を採用することを推奨します。 （ご参考） OpenSSH http://www.openssh.com/ja/ IPA - セキュアなWebサーバの構築と運用　～　OpenSSHのインストールと設定 http://www.ipa.go.jp/security/awareness/administrator/secure-web/chap4/4_openssh.html IPA - セキュアなWebサーバの構築と運用　～　ユーザ認証 http://www.ipa.go.jp/security/awareness/administrator/secure-web/chap6/6_userauth-1.html

(ii) 初期状態のマシンへの攻撃

事 例

システムをインストールしたばかりのマシンに管理者権限でログインし、放置しておいたところ、画面にドクロマークが表示されてフリーズ(*11)していた。レスキューディスクを用意していたが全く役に立たず、再度インストールすることになった。

解 説 ・ 対 策

インストールしたばかりの状態や買ったばかりの状態では、最新のセキュリティパッチが適用されていません。そのままインターネットに接続した場合、その脆弱性を突かれて攻撃されると、いとも簡単に侵入を許してしまいます。こうならないためにも、初期化したコンピュータをインターネットに接続する際には、 接続する前に、オフラインで入手したセキュリティパッチを適用する ファイアウォールなどで守られたネットワークに接続する ウイルス対策ソフトやパーソナルファイアウォールソフトを導入する といった対策が有効になります。インターネットに接続したら、まずはセキュリティパッチの適用を最優先に実施しましょう。 （ご参考） マイクロソフトアップデート http://update.microsoft.com/microsoftupdate/ 「日本の Linux 情報」 - バグ・セキュリティ情報 -   http://www.linux.or.jp/

(iii) SQL インジェクションによる攻撃

事 例	オンラインショップシステムを受託運用しており、その利用者から、決済に使用しているクレジットカードが不正利用されている可能性があるとの問い合わせを受けログ解析調査したところ、不正アクセスの形跡を確認した。流出した情報には氏名情報は無かったが、カード番号と有効期限のみで決済可能なオンラインゲームサイトでの不正利用が確認された。その後の調査で、不正アクセスの原因は SQL インジェクションであることが判明。
解 説 ・ 対 策	このケースでは夏にシステム変更を実施していましたが、その際、システムの一部で SQL インジェクションへの対策漏れが生じていたようです。一度対策を実施したとしてもそれで安心せず、日頃からログを注意して監視したり、セキュリティ監査を受けたりすることなどが、対策漏れを防ぐための手立てになります。特に、システム変更の際には、以前と同様のセキュリティ強度が保たれているか、確認が必要となるでしょう。 （ご参考） JPCERT/CC - 管理者のためのセキュリティ推進室（第2回） http://www.jpcert.or.jp/magazine/atmarkit/ 経済産業省 - 情報セキュリティ監査企業台帳   http://www.meti.go.jp/policy/netsecurity/is-kansa/

[その他]

(iv) 不正プログラム埋め込みの疑い

事 例

勝手に知らないホストに接続してメールを送受信しようとしたり、デフラグが勝手に実行されたりした。さらに、何も操作していないのに突然ウイルス実行警告が発せられたりした。色々調べてみると、ファイルが削除されていることに気付いた。ウイルス対策ソフトは導入済み。

解 説 ・ 対 策

日頃からウイルス対策を講じているユーザでも、ウイルスやスパイウェアなどの不正プログラムを埋め込まれてしまうケースが多く報告されています。不正プログラムを実行させようとして、利用者の心理を巧みに利用した手口も横行しているため、単に技術的対策のみでは予防が不十分になりつつあります。怪しいプログラムのファイルを自分で見分けるなどの"心掛け"が重要になります。 （本紙冒頭の『今月の呼びかけ』も参考にしてください） （ご参考） IPA - メールの添付ファイルの取り扱い 5つの心得 http://www.ipa.go.jp/security/antivirus/attach5.html IPA - パソコンユーザのためのウイルス対策 7 箇条 http://www.ipa.go.jp/security/antivirus/7kajonew.html IPA - パソコンユーザのためのスパイウェア対策 5 箇条 http://www.ipa.go.jp/security/antivirus/spyware5kajyou.html

11月の相談件数は、673件でした。そのうち、アダルトサイトを閲覧した後に「振り込め詐欺」のメールを送りつけられるなど、いわゆる『ワンクリック不正請求』に関する相談は、10月の1.5倍以上の165件となり、ますます増加していく傾向にあります。また、ワンクリック不正請求に関する相談のうち8割以上が、スパイウェアなどの不正なプログラムを埋め込まれたケースとなっています。＜ワンクリック不正請求相談件数推移…7月：28件、8月：83件、9月：80件、10月：108件、11月：165件＞。

IPAで受け付けた全ての相談件数の推移

		6月	7月	8月	9月	10月	11月
合計		511	554	629	554	606	673
	自動応答システム	289	337	376	337	357	379
	電話	143	128	179	144	165	220
	電子メール	67	84	67	72	82	66
	FAX・他	12	5	7	1	2	8

※IPA では、コンピュータウイルス・不正アクセス、その他情報セキュリティ全般についての相談を受け付けています。
メール： （ウイルス）、（不正アクセス）
電話番号： 03-5978-7509（24時間自動応答、ただし IPA セキュリティセンター員による相談受付は休日を除く月～金、10:00～12:00、13:30～17:00のみ）
FAX： 03-5978-7518 （24時間受付）
※ 「自動応答システム」　：　電話の自動音声による応対件数
    「電話」　：　IPA セキュリティセンター員による応対件数
※ 合計件数には、「不正アクセスの届出および相談の受付状況」における『相談(d) 計』件数を内数として含みます。

主な相談事例は以下の通りです。

(i) アダルトサイトでワンクリックしたら・・・

相談	ワンクリック不正請求のサイトに引っ掛かり、"請求書"アイコンがデスクトップに貼り付いた。その後、数分ごとに支払い督促の画面が出現する。ウイルス対策ソフトは日々更新しており、手動スキャンしたら何個か検出されたため、削除した。それでも、支払い督促画面が出現し続けます。
回答	ワンクリック不正請求の手口に使われる不正プログラムは、日々新種のものが出現しています。そのため、ウイルス対策ソフトによっては検出できないケースが相次いでいます。この場合、日にちをおいて再度スキャンすると検出されることが多いようです。一刻も早く原因を突き止めたい場合は、他のウイルス対策ソフトの無償オンラインスキャンや製品体験版をダウンロードして利用することで、検出されることもあります。

(ii) 新手のワンクリック詐欺？・・・

相談	「月収○万円確実」という題名の迷惑メールが届いた。その本文中に、「サンプル」と題してURLが紹介されていた。このリンク先にはトロイの木馬型の不正プログラムがあり、クリックすることでダウンロードが開始されるようになっていた。
回答	個人情報を盗み出すためのスパイウェアなどの不正なプログラムを埋め込もうとする手口は、日々新しいものが出て来ています。特に最近は、人間の心理を巧みに突いて来るような手口が多く見受けられるようです。怪しいメールを受信したら、添付ファイルが無いからといって油断せず、さらに題名や本文の内容に惑わされることなく、すぐに削除してしまいましょう。間違っても、安易に本文中のURLをクリックしてはいけません。

(iii) 迷惑メール

相談	出会い系やアダルト系の迷惑メールが届くようになった。よく見ると、差出人も自分のアドレスになっている。もしかすると、自分が差出人に仕立て上げられた同様の迷惑メールが、友人などに届いているかもしれない。
回答	メールが受信される際に、迷惑メールフィルタに引っ掛かりにくくするため、迷惑メール送信者が故意に差出人と宛先とを同じにしていると思われます。よって、他の人宛のメールの差出人が貴方のメールアドレスになっている可能性は低いでしょう。

インターネット定点観測(TALOT2)によると、2005年11月の期待しない（一方的な）アクセスの総数は、10観測点で543,415件ありました。1観測点で1日あたり404の発信元から1,811件のアクセスがあったことになります。

TALOT2での1観測点の環境は、インターネットを利用される一般的な接続環境と同一なので、インターネットを利用される皆さんの環境へも同じくらいの一方的なアクセスがあると考えられます。言い換えれば、あなたのコンピュータは、毎日、平均して、404人の見知らぬ人(発信元)から、発信元一人当たり4～5件の不正と思われるアクセスを受けていると言うことになります。

11月の特徴的なアクセスは10月から引き続き発生している102x(UDP)/103x(UDP)ポート)のアクセスです。11月のアクセス数と発信元数の関係を図1でみると、ここ数ヶ月と比べて、発信元数が減少している割にはアクセス数が多い状況です。この理由として挙げられるのが、これらの102x/103x(UDP)へのアクセスの増加です。

10月のレポートでは1026(UDP)/1027(UDP)ポートへのアクセスが、Windows Messenger機能を利用したポップアップメッセージを送りつけるものと報告しましたが、その後の調査で、他の102x(UDP)/103x(UDP)へのアクセスも同じ内容であることが分かりました。メッセージが表示されるだけであれば、パソコンを操作する上では邪魔な存在ということで、特に害のあるアクセスではありませんが、『メッセンジャ サービスのバッファ オーバーランにより、コードが実行される (828035) (MS03-043) 』のパッチが適用されていない場合は、リモートからコードが実行される危険性があります。

• ポップアップメッセージが頻繁に表示されるようであれば、表示を抑止することができます。
  • Windows XPの場合は、「スタート」の「コントロールパネル」から「パフォーマンスとメンテナンス」を選択し、「管理ツール」の「サービス」を起動する。
  • Windows 2000の場合は、「スタート」の「設定」から「コントロールパネル」を選択し、「管理ツール」の「サービス」を起動する。
  • サービスの画面で Messenger の項目を見つけ、状態が「開始」であれば、この項目を選択し、マウスの右ボタンクリックにより、プロパティを表示する(図5.4を参照下さい)。
  • Messenger はデフォルトの状態で、「スタートアップの種類」が「自動」で「サービスの状態」は「開始」となっています。
  • 「(ローカル コンピュータ) Messenger のプロパティ」画面の「スタートアップの種類」を「無効」に変更する（右端の▼で選択できます）。
  • 「サービスの状態」にある「停止」ボタンを押す。
  • Windows XP の場合は、ファイアウォール機能も有効にして下さい。
  • ただし、企業内 LAN 等で使用しているコンピュータの場合は、システム管理者の指示に従って下さい。

以上の情報に関して、詳細はこちらをご参照ください。

• 別紙3_インターネット定点観測（TALOT2）での観測状況について

届出の詳細については以下の PDF ファイルをご参照ください。

• 本紙_コンピュータウイルス・不正アクセスの届出状況［11月分］
• 別紙1_コンピュータウイルスの届出状況について［詳細］
• 別紙2_コンピュータ不正アクセスの届出状況について［詳細］
• 別紙3_インターネット定点観測（TALOT2）での観測状況について

『他機関・ベンダーの各種統計情報は以下のサイトで公開されています。』

• @police：http://www.cyberpolice.go.jp/
• トレンドマイクロ株式会社：http://www.trendmicro.co.jp/home/
• マカフィー株式会社：http://www.mcafee.com/jp/default.asp

『用語の解説』

(*1) スパイウェア (spyware)

利用者の個人情報やアクセス履歴などの情報を詐取し、利用者以外のものに自動的に送信するソフトウェア。

(*2) ソフトウェアキーボード （software keyboard）

キーボードを使わずに、マウスでクリックすることで文字入力を可能にするソフトウェアのこと。「仮想キーボード」や「スクリーンキーボード」、「キーボードエミュレータ」などと呼ばれることもある。

(*3) SSH (Secure SHell)

ネットワークを介して別のコンピュータにログインしたり、遠隔地のマシンでコマンドを実行したり、他のマシンへファイルを移動したりするために使うプロトコルもしくはプログラムのこと。ネットワーク上を流れるデータは暗号化されるため、インターネット経由でも一連の操作を安全に行なうことができる。

(*4) ポート （port）

コンピュータが外部との情報の受け渡しの際に使う、コンピュータ内の各種サービス窓口のこと。ポートは0から65535までの値が使われるため、ポート番号とも呼ばれる。

(*5) アカウント (account)

コンピュータやネットワーク上の資源を利用出来る権利のこと、または利用する際に必要なIDのこと。

(*6) ポートスキャンツール

サーバ内で動作しているアプリケーションや、OSの種類の情報などから、セキュリティホールを探すためのツール。侵入の準備行為に利用されることが多い。

(*7) SSHスキャンツール

サーバでSSHサービスが動作しているかを調べるためのツール。パスワードを破るための機能を持ったものもある。

(*8) パッチ　（patch）

脆弱性などを解消するための、修正プログラムのこと。

(*9) ログ (log)

コンピュータの利用状況やデータ通信の記録のこと。一般的に、操作を行った者のIDや操作日時、操作内容などが記録される。

(*10) 公開鍵認証

公開鍵と秘密鍵のペアでユーザ個人の認証を行う方式のこと。公開鍵はサーバ側で管理し、秘密鍵は個人で管理し、これらによりユーザ認証を行う。

(*11) フリーズ (freeze)

コンピュータの動作が停止し、キーボード入力やマウス操作が受け付けられなくなってしまうこと。

IPAでは、「情報セキュリティ対策ベンチマークシステム」を Web サイト上に公開しております。

• 情報セキュリティ対策ベンチマーク
  http://www.ipa.go.jp/security/benchmark/

本システムは、企業を対象としたもので、セキュリティ対策状況及び企業情報に関する設問(計40問)に答えることにより、セキュリティ対策の取組状況を自己採点できるシステムです。

診断結果は、「貴社のスコア」と「望まれる水準」とが同時に表示され、各社が優先的に取り組むべきセキュリティ対策項目が明らかになります。また、推奨される取り組み事例も提示しますので、今後の対策を強化する上での具体的な改善策がわかります。

30分程度で自己採点できますので、ぜひ、今後のセキュリティ対策の参考とすべく、ご活用ください。

お問い合わせ先：

独立行政法人 情報処理推進機構 セキュリティセンター（IPA/ISEC）
（ISEC：Information technology SEcurity Center）
TEL：03-5978-7527　FAX：03-5978-7518
E-mail：
URL：http://www.ipa.go.jp/security/