2006年 7月 4日
独立行政法人 情報処理推進機構
セキュリティセンター(IPA/ISEC)
独立行政法人 情報処理推進機構(略称 IPA、理事長:藤原 武平太)は、2006年6月および2006年上半期のコンピュータウイルス・不正アクセスの届出状況をまとめました。
(届出状況の詳細PDF資料はこちら)
今月の呼びかけ:
「 パスワードを一つ残らず、きちんと管理しましょう! 」
――― パスワード ともだちにだって ないしょだよ ※ ―――
※(情報セキュリティ標語2006入選作 愛知県・名古屋市立滝ノ水小学校 / 森 明日翔さん)
最近の不正アクセス届出や相談の内容を振り返ると、パスワードを破られたことによる被害が非常に多くなっています。
【不正アクセス届出で被害のあったもののうち、ID やパスワードの不備が原因であったもの】
| 2004年 | 約13% (72件中9件) |
|---|---|
| 2005年 | 約24% (176件中42件) |
| 2006年 | 約34% (71件中24件) ※1月~6月まで |
インターネットに接続したり、メールを受信したり、インターネット上のサービスなどを利用したりする際には、利用者を判別するための ID(Identification)と、利用者本人であることを証明するためのパスワードが必要なことがほとんどです。つまり、ID やパスワードが何らかの原因で盗まれたり他人に知られたりすると、悪意を持った人が正規の利用者になりすますことができてしまうため、様々な被害が発生する恐れがあります。
【IPA に寄せられた直近の相談のうち、パスワードが破られたことが原因の被害事例】
- フリーメール(*1)サービスの自分のアカウント(*2)が、誰かに勝手にログインされて使われた。パスワードを変更しようとしても、既にパスワードが勝手に変更されていてログインできない。
- ネットオークションの自分のアカウントが、誰かに勝手に使われて不正出品に悪用された。
- メールでやり取りしていた秘密の情報が、インターネット上の掲示板に書かれていた。誰かにメールサーバに勝手にアクセスされ、メールを読まれていた気配がある。
この他、過去には次に挙げるような被害なども報告されています。
- 預金を勝手に引き出される
- ホームページやブログなどの内容が書き換えられる
- パソコンが外部から乗っ取られる
パスワードが破られる理由としては、推測が容易な内容だったり他人に教えてしまったりしたというのはもちろんのこと、総当り攻撃や辞書攻撃(後述の参考を参照)といった手法で自動的にパスワードを調査するパスワードクラッキング(*3)ツールの存在が挙げられます。
このような被害を最小限に食い止めるには、まずは自身が持っている ID やパスワードを全て洗い出し、次に挙げたようになっているかどうかチェックするとともに、何か問題が起こった時の連絡先を事前に調べておくことが大切です。
【パスワードの設定・管理方法】
- 安易な語句の選択を避ける(ID と同じ文字列など)
- 語数をできるだけ長く
- できる限りアルファベットの大文字小文字、数字、記号を混ぜる
- 辞書に載っていない語句を選ぶ
- 語列に規則性を持たせない
- 個人情報を含むものを避ける(氏名、誕生日、電話番号など)
- 定期的に変更する(初期パスワードをそのまま使わない)
- 絶対に他人に教えない
- パスワードが書いてある紙などを他人の目に触れさせない
(参考)
*1:総当り攻撃
何らかの規則にしたがって、文字の組み合わせを総当りで試行する攻撃方法です。いわゆる力ずくの攻撃方法のことで、ブルートフォース攻撃ともいいます。
語数を長くする、大文字小文字・数字・記号を混ぜることにより、総当り攻撃に対して強いパスワードとなります。また、パスワードを定期的に変更することは、総当り攻撃に対して非常に有効です。
*2:辞書攻撃
辞書にある単語などを片端から試行する攻撃方法です。
もし、パスワードの文字列に辞書にあるような単語や、人名、商標名といったものを使用している場合、辞書攻撃によってパスワードを解析される可能性が高くなります。一般的な英和辞典が約5万語ですが、辞書攻撃に使われるワードリストは80万語とも100万語とも言われています。
パスワード解析に使用される辞書には、英和辞典などに掲載されている単語だけでなく、人名、地名といったものや、よく使われるユーザ名などが登録されています。さらに、規則性を持たせた文字列も登録されています。たとえば"12345" や"abcde"といったものです。これを順に試していくわけです。
この辞書には、変換規則を考慮したデータもあります。たとえば、"orat"のように"taro"の文字列を逆順にしたり、"tAro"のように一部の文字を大文字にすることや、"taro1"のように先頭や末尾に数字を付けるというものもあります。
ユーザ名や固有名詞を使用していても数字や大小文字を使用しているから大丈夫ということはありません。
1. コンピュータウイルス届出状況 -詳細は別紙1を参照-
ウイルスの検出数(※1)は、 約164万個と、5月の約178万個から7.9%の減少となりました。また、6月の届出件数(※2)は、3,547件となり、5月の3,651件から2.8%の減少となりました。
※1 検出数
: 届出にあたり届出者から寄せられたウイルスの発見数(個数)
※2 届出件数: 同じ届出者から寄せられた届出の内、同一発見日で同一種類のウイルスの検出が複数ある場合は、1日何個検出されても届出1件としてカウントしたもの。
・ 6月は、寄せられたウイルス検出数約164万個を集約した結果、3,547件の届出件数となっています。
検出数の1位は、W32/Netsky で約133万個 、2位は W32/Mytob で約14万個、3位は W32/Bagle で約7万個でした。
2.セキュリティ対策ソフトの押し売りについて
「エラーが見つかりました」、「感染している可能性があります」などのメッセージを表示して、「セキュリティ対策ソフトウェア」と称するものを購入させようとする、押し売りに関する相談が2006年4月頃より多く寄せられています。(2006年3月:4件、4月:40件、5月:41件、6月:24件)
これらは、以下のような手順で対策ソフトをダウンロードさせようとするものです。
【事例:エラーが見つかったと表示するケース】
このようなメッセージが表示されても、実際には、ほとんどの場合、パソコンにエラーは発生していません。ユーザを脅して押し売りをするようなものです。このメッセージに従い、対策ソフトウェアをインストールすると、「エラーを修復するためにはソフトを購入する必要があります」となり、クレジットカード決済を求める画面が表示されます。
正規のセキュリティ対策製品の製造・販売者からは、脅しのようなメッセージをユーザに表示して購入を迫るようなことはありません。ましてやいきなりプログラム(対策ソフト)をダウンロードさせるような販売方法はとられていませんので、慌ててダウンロードしないようご注意ください。
「インストールしてしまったかもしれない」、「感染しているかもしれない」と心配な場合は、以下のサイトで無料のオンラインスキャンを利用できますので、検査してください。
オンラインスキャン(ウイルス検査サービス)- シマンテック セキュリティチェック
http://www.symantec.com/region/jp/securitycheck/ - トレンドマイクロ オンラインスキャン
http://www.trendmicro.co.jp/hcall/ - マカフィー フリースキャン
http://www.mcafee.com/japan/mcafee/home/freescan.asp - スパイウェアガイド - オンライン スパイウェア検出
http://www.shareedge.com/spywareguide/txt_onlinescan.php
(ご参考)
今月の呼びかけ:「セキュリティ対策ソフトウェアの押し売りに注意!! 」
― 怪しげな警告を真に受けるな!! ― 【 2006 年 4月分】
http://www.ipa.go.jp/security/txt/2006/05outline.html
スパイウェア対策のしおり
http://www.ipa.go.jp/security/antivirus/shiori.html
3. コンピュータ不正アクセス届出状況(相談を含む) -詳細は別紙2を参照-
不正アクセスの届出および相談の受付状況
| 1月 | 2月 | 3月 | 4月 | 5月 | 6月 | ||
|---|---|---|---|---|---|---|---|
| 届出(a) 計 | 50 | 26 | 38 | 15 | 13 | 22 | |
| 被害あり(b) | 13 | 15 | 10 | 7 | 6 | 20 | |
| 被害なし(c) | 37 | 11 | 28 | 8 | 7 | 2 | |
| 相談(d) 計 | 43 | 42 | 24 | 27 | 23 | 32 | |
| 被害あり(e) | 23 | 24 | 12 | 15 | 11 | 19 | |
| 被害なし(f) | 20 | 18 | 12 | 12 | 12 | 13 | |
| 合計(a+d) | 93 | 68 | 62 | 42 | 36 | 54 | |
| 被害あり(b+e) | 36 | 39 | 22 | 22 | 17 | 39 | |
| 被害なし(c+f) | 57 | 29 | 40 | 20 | 19 | 15 | |
(1)不正アクセス届出状況
6月の届出件数は22件であり、そのうち被害のあった件数は20件でした。
(2)不正アクセス等の相談受付状況
不正アクセスに関連した相談件数は32件(うち3件は届出件数としてもカウント)であり、そのうち何らかの被害のあった件数は19件でした。
(3)被害状況
被害届出の内訳は、侵入12件、ワーム感染4件、DoS 攻撃1件、その他(被害あり)3件でした。
侵入届出の内訳は、SSH(*4)で使用するポート(*5)への攻撃を受けた結果侵入されたというものが5件、フィッシング(*6)に悪用するための Web コンテンツを設置させられていたというものが1件、ウイルス添付のフィッシングメール送信の踏み台にされたものが1件、などでした。
被害事例
[侵入]
(i) SSH(*4)で使用するポート(*5)への攻撃
| 事 例 |
|
|---|---|
| 解 説 ・ 対 策 |
この事例は、推測容易なパスワードを破られて侵入され、他のマシンへの攻撃の踏み台とされてしまった典型的なものと言えます。日々アクセスログをチェックして一刻も早く攻撃の兆候を掴み、必要な対策を講じることが重要です。自動攻撃ツールが用いられるためか、SSH で使用するポートが狙われる機会はなおも多いようです。SSH 運用時には、ログインの際に公開鍵認証(*9)などの強固な認証を採用することを推奨します。 (参考) |
(ii) ルートキット(*10)の埋め込み
| 事 例 |
|
|---|---|
| 解 説 ・ 対 策 |
この事例は、ウイルス感染マシンを発見したついでに調査範囲を広げたおかげで、他の重大な問題が明るみに出たという幸運な例です。特にルートキットは自分自身を見付かりにくくするため、通常はその存在になかなか気付くことができないものです。ルートキットが仕込まれると、システムファイルそのものが信頼できないものにすり替わっている可能性も高いことが、その理由の一つです(下図参照)。ルートキットを検出するには、Linux 系の OS であれば、chkrootkit や Rootkit Hunter といったツールが有効です。もしルートキットが検出された場合、前述の理由から一般的にはマシンを初期化するのが最善の方法となります。
(参考) |
[ DoS 攻撃(*11)]
(iii) DNS(*12)サーバの設定ミスを利用した攻撃
| 事 例 |
|
|---|---|
| 解 説 ・ 対 策 |
この事例では、ある設定変更の際の誤操作と、普段は使用しない機能を初期設定(この場合は外部からの再帰的問い合わせを許可する)のまま放置しておいたことが、同時に起こったことが原因でした。他サーバへの攻撃の踏み台として悪用されないためにも、DNSサーバの設定や動作状況を再確認して適切な対策をしましょう。
(参考) |
4.相談受付状況
6月の相談総件数は773件でした。そのうち、『ワンクリック不正請求』に関する相談が211件(5月:210件)と、先月に記録した今までの最高件数をさらに更新しました。また、セキュリティ対策ソフトの押し売りのような行為に関する相談は24件(5月:41件)と、なおも高い水準で推移しています。その他は、Winny に関連する相談が15件(3月:196件、4月:83件、5月:28件)などでした。
IPA で受け付けた全ての相談件数の推移
| 1月 | 2月 | 3月 | 4月 | 5月 | 6月 | ||
|---|---|---|---|---|---|---|---|
| 合計 | 748 | 834 | 1,056 | 904 | 846 | 773 | |
| 自動応答システム | 425 | 479 | 659 | 510 | 484 | 423 | |
| 電話 | 228 | 258 | 296 | 306 | 295 | 283 | |
| 電子メール | 87 | 90 | 99 | 86 | 63 | 64 | |
| その他 | 8 | 7 | 2 | 2 | 4 | 3 | |
※IPA では、コンピュータウイルス・不正アクセス、その他情報セキュリティ全般についての相談を受け付けています。
メール: 
(ウイルス)、
(不正アクセス)
電話番号: 03-5978-7509(24時間自動応答、ただし IPA セキュリティセンター員による相談受付は休日を除く月~金、10:00~12:00、13:30~17:00のみ)
FAX: 03-5978-7518 (24時間受付)
※ 「自動応答システム」 : 電話の自動音声による応対件数
「電話」 : IPA セキュリティセンター員による応対件数
※ 合計件数には、「不正アクセスの届出および相談の受付状況」における『相談(d) 計』件数を内数として含みます。
ワンクリック不正請求相談件数の推移
主な相談事例は以下の通りです。
(i) あるサイトの登録 ID とパスワードが知られている?
| 相 談 |
あるサイトで、サービスを利用するために ID とパスワードを登録した。ある日、自分は何も利用していなかったはずなのに、明らかに誰かが利用したと思われるような形跡があった。このサイトでは、パスワードを忘れてしまった場合には、あらかじめ登録してあるメールアドレス宛にパスワード情報を送信してくれるようになっている。しかし、そのメールアドレス宛に届いているメールも読まれている可能性がある。どうすればよいか。 |
|---|---|
| 回 答 |
この事例では、サイトに登録したパスワードそのものが知られていたか、そのサイトに登録したメールアドレスとメール受信のパスワードが知られていたか、この両方が心配です。念のため両方のパスワードを変更しましょう。何らかの二次被害が発生した場合は、それぞれのサイト管理者に相談しましょう。状況に応じて、警察機関に相談するのも良いでしょう。 (ご参考) |
(ii) フリーメール用のパスワードが変更されてしまった?
| 相 談 |
自分が登録していたフリーメールサービスアカウントのパスワードが何者かによって変更されたらしく、ログインできなくなった。さらに、自分の名を騙られて嘘の情報が発信されてしまっている。アカウントを削除してもらおうと思ったが、フリーメールサービスの登録時に自身を証明できる情報を記入しなかったために、取り合ってもらえない。 |
|---|---|
| 回 答 |
フリーだからといって、ユーザ登録時に嘘の情報や個人を特定できる情報を記入しなかった場合、最初に登録したのが自分自身であることを証明できませんので、取り返しの付かないことになりかねません。とは言え、個人情報をやみくもに相手に知らせるのも危険ですから、登録先サイトが信頼できるのかを十分確認するとともに、必要最低限の情報しか書き込まないようにしましょう。 |
(iii) アダルトサイトでワンクリックしたら・・・
| 相 談 |
アダルトサイトで画像をクリックしたら料金請求書が表示された。その後もパソコン上に数分おきに請求書が表示される。複数のウイルス対策ソフトでスキャンしても、何も検出されない。パソコンを初期化するしかないのでしょうか。 |
|---|---|
| 回 答 |
ウイルス対策ソフトで何も検出できなくても、請求書に書かれている「サイト名」「サービス名」「連絡先」などの情報が分かれば、ほとんどの場合は不正プログラムを特定し削除できます。あきらめずに、IPA
セキュリティセンターに相談してください。また、Windows XP や Me であれば、「システムの復元」機能を使うと、当該アダルトサイトを訪れる以前の状態に戻すことができる場合があります。Windows
XP であれば、 |
5.インターネット定点観測での6月のアクセス状況
インターネット定点観測(TALOT2)によると、2006年6月の期待しない(一方的な)アクセスの総数は、10観測点で297,445件ありました。1観測点で1日あたり273の発信元から991件のアクセスがあったことになります。
TALOT2 での1観測点の環境は、インターネットを利用される一般的な接続環境と同一なので、インターネットを利用される皆さんの環境へも同じくらいの一方的なアクセスがあると考えられます。言い換えれば、あなたのコンピュータは、毎日、平均して、273人の見知らぬ人(発信元)から、発信元一人当たり4件の不正と思われるアクセスを受けていると言うことになります。
2006年1月~2006年6月までの各月の1観測点での1日あたりの平均アクセス数および、それらのアクセスの平均発信元数を図1に示します。この図を見ると、期待しない(一方的な)アクセスは、緩やかに減少傾向にあるようです。アクセス内容については、定常化していると言えます。
6月のアクセス状況は、5月とほぼ同じ状況です。Windows の脆弱性を狙っていると思われる不正なアクセスが多いようで、これらのアクセスの多くは、ボット(*11)に感染したコンピュータから送信されていると思われます。
特にアクセス数の多い135(TCP)ポート,445(TCP)ポートへのアクセスは、Windows の脆弱性を狙っています。また、Windows
Messenger サービスを悪用したポップアップスパムメッセージの1026(UDP)/1027(UDP)ポートへのアクセスは、継続しています。
- @police:http://www.cyberpolice.go.jp/
- トレンドマイクロ株式会社:http://www.trendmicro.co.jp/home/
- マカフィー株式会社:http://www.mcafee.com/japan/
『用語の解説』
- (*1) フリーメール (free mail)
- インターネットを利用して、無料で電子メールをやり取りできるサービスのこと。
- (*2) アカウント (account)
- コンピュータやネットワーク上の資源を利用出来る権利のこと。
- (*3) パスワードクラッキング (password cracking)
- 他人のパスワードを、解析するなどして探り当てること。総当り攻撃や辞書攻撃といった手法があり、クラッキング用のプログラムも存在する。
- (*4) SSH (Secure SHell)
- ネットワークを介して別のコンピュータにログインしたり、遠隔地のマシンでコマンドを実行したり、他のマシンへファイルを移動したりするために使うプロトコルもしくはプログラムのこと。ネットワーク上を流れるデータは暗号化されるため、インターネット経由でも一連の操作を安全に行なうことができる。
- (*5) ポート (port)
- コンピュータが外部との情報の受け渡しの際に使う、コンピュータ内の各種サービス窓口のこと。ポートは0から65535までの値が使われるため、ポート番号とも呼ばれる。
- (*6) フィッシング (Phishing)
- 正規の金融機関など実在する会社のメールやWebページを装い、それを見た利用者のIDやパスワードなどを詐取しようとする行為のこと。「釣り」を意味する「fishing」が語源だが、ハッカーの命名規則に則って"f"を"ph"に置き換えたという説、「洗練された」という意味の英語 "sophisticated"と"fish"とを組み合わせた造語という説、"password harvesting fishing"の短縮形という説、などがある。
- (*7) SSHスキャン
- サーバでSSHサービスが動作しているかを調べるための操作。パスワードを破るための操作を同時に行う場合もある。
- (*8) ログ (log)
- コンピュータの利用状況やデータ通信の記録のこと。一般的に、操作を行った者のIDや操作日時、操作内容などが記録される。
- (*9) 公開鍵認証
- 公開鍵と秘密鍵のペアでユーザ個人の認証を行う方式のこと。公開鍵はサーバ側で管理し、秘密鍵は個人で管理し、これらによりユーザ認証を行う。
- (*10) ルートキット (rootkit)
- 攻撃者がコンピュータに不正侵入した後に利用するためのソフトウェアをまとめたパッケージのこと。一般的には、ログ改ざんツールやバックドアツール、改ざんされたシステムコマンド群などが含まれる。
- (*11) DoS攻撃 (Denial of Services)
- サーバに大量のデータを送って過大な負荷をかけ、サーバのパフォーマンスを極端に低下させたり、サーバを機能停止に追い込んだりする攻撃のこと。
- (*12) DNS (Domain Name System)
- インターネットにおけるホスト名とIPアドレスとを対応させるシステムのこと。インターネット上にある全世界のDNSサーバが協調して動作する、階層的な分散型データベースシステムである。
- (*13) DNSの再帰的問い合わせ (Recursive DNS Query)
- DNSにおける再帰的問い合わせとは、DNSクライアントからの問い合わせのことを指す。組織外部にあるクライアントからの問い合わせには応答しない設定にするのが一般的。DNSサーバはその機能から、キャッシュサーバ(Recursive Server)とコンテンツサーバ(Authoritative Server)の2つに分類されるが、再帰的問い合わせを処理するのはキャッシュサーバである。
『 自社のセキュリティ対策自己診断テスト 』の紹介
~ 情報セキュリティ対策ベンチマーク ~
IPA では、 「自社のセキュリティ対策自己診断テスト(情報セキュリティ対策ベンチマーク)」 を Web サイト上に公開しております。
- 自社のセキュリティ対策自己診断テスト(情報セキュリティ対策ベンチマーク)
http://www.ipa.go.jp/security/benchmark/
本システムは、企業を対象としたもので、セキュリティ対策状況及び企業情報に関する設問 ( 計 40 問 ) に答えることにより、セキュリティ対策の取組状況を自己採点できるシステムです。
診断結果は、「貴社のスコア」と「望まれる水準」とが同時に表示され、各社が優先的に取り組むべきセキュリティ対策項目が明らかになります。また、推奨される取り組み事例も提示しますので、今後の対策を強化する上での具体的な改善策がわかります。
30分程度で自己採点できますので、ぜひ、今後のセキュリティ対策の参考とすべく、ご活用ください。
「情報セキュリティ標語2006」の入選作品
コンピュータウイルスの感染やコンピュータへの不正な侵入、 ワンクリック詐欺などの被害に遭わないよう、 特に若年層の「情報セキュリティ対策」の意識を高めるために、本年3月より全国の小学生・中学生・高校生から募集していたもので、全国118の小・中・高等学校の中から1,101件の応募があり、以下の10作品が入選しました。
| 区分 | 作品 | 学校 / 受賞者氏名 |
|---|---|---|
| 大賞 | ネ  ットで繋がる無限の世界 明暗決めるはあなたの手 |
神奈川・慶應義塾湘南藤沢高等部
/ 清水 優香子 (しみずゆかこ) |
| 高校生の部 | ||
| 金賞 | 人々の 意識で変わる セキュリティ | 埼玉県・県立越谷北高等学校
/ 浅井 慧 (あさいあきら) |
| 銀賞 | ケータイは持って天国 落として地獄 | 岐阜県・県立可児工業高等学校
/ 田口 史武 (たぐちふみたけ) |
| 銅賞 | 手軽でも 忘れるなかれ セキュリティ | 埼玉県・立教新座高等学校
/ 松下 成昭 (まつしたしげあき) |
| 中学生の部 | ||
| 金賞 | ネットワーク 便利と危険は 紙一重 | 茨城県・つくば市立吾妻中学校
/ 藤井のど佳 (ふじいのどか) |
| 銀賞 | 情報は 流れだしたら 止まらない | 埼玉県・三郷市立早稲田中学校
/ 増田 恵子 (ますだあやこ) |
| 銅賞 | 気をつけよう インターネットの落とし穴 | 兵庫県・加古川市立中部中学校
/ 遠入 和也 (えんにゅうかずや) |
| 小学生の部 | ||
| 金賞 | ぼくだけは 感染しないよ 大間違い | 岐阜県・大垣市立墨俣小学校
/ 古澤健太郎 (ふるさわけんたろう) |
| 銀賞 | パスワード ともだちにだって ないしょだよ | 愛知県・名古屋市立滝ノ水小学校
/ 森 明日翔 (もりあすか) |
| 銅賞 | セキュリティ あなたが守る あなたの身 | 千葉県・千葉市立若松台小学校
/ 山崎 緑 (やまざきみどり) |
これは、韓国の韓国情報保護振興院(KISA)との共同事業の一環として実施したものです。
KISAとは、韓国の情報通信部(日本の総務省に相当)の外郭団体で、韓国国内の情報や情報システムを保護するための政策を実施し、インターネット上での事件・事故への対応をするなど、安全なネットワーク環境を提供するために必要な技術の普及及び研究開発を行う韓国政府出資の機関です。
KISAでは、毎年6月を情報化月間と定め、6月第3週及び第4週をセキュリティ週間として、情報セキュリティを主題とする各種イベントを実施しています。その中に、情報セキュリティ標語・ポスターの公募展があり、2006年6月に実施した公募展の結果、以下の作品の入選が決定しました。
お問い合わせ先:
独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC)
(ISEC:Information technology SEcurity Center)
TEL:03-5978-7527 FAX:03-5978-7518
E-mail: 
URL:http://www.ipa.go.jp/security/
