コンピュータウイルス・不正アクセスの届出状況[2006年8月分]について

　ウイルスの検出数^(※1)は、 約110万個と、7月の約154万個から28.4％の減少となりました。また、8月の届出件数^(※2)は、3,434件となり、7月の3,455件から0.6％の減少となりました。

※1 検出数 ： 届出にあたり届出者から寄せられたウイルスの発見数（個数）
※2 届出件数： 同じ届出者から寄せられた届出の内、同一発見日で同一種類のウイルスの検出が複数ある場合は、1日何個検出されても届出1件としてカウントしたもの。
・ 8月は、寄せられたウイルス検出数約110万個を集約した結果、3,434件の届出件数となっています。

　検出数の1位は、W32/Netsky で約92万個 、2位は W32/Mytob で約6万個、3位は W32/Bagle で約5万個でした。

　依然として、「ワンクリック不正請求」に関する相談が多く寄せられています。これらの相談には、画像をクリックしただけで料金を請求されてしまうものや、パソコンを起動したときや一定時間毎にデスクトップに請求書が表示されてしまうものなどがあります。

　料金を請求する同じような手口として、押し売り行為があります。2006年8月には、新しい押し売り行為の手口が確認されました。

【新しい押し売り行為の手口】

• 動画を見るために必要な専用プレイヤーとしてダウンロードさせる。その後、一定時間毎に請求書が表示されるようになってしまう。

　これらの被害に遭わないよう、信頼できないサイトからの安易なダウンロードは避けるようにしましょう。
被害に遭われた場合は、IPA で相談を受け付けておりますので、ご連絡ください。（相談受付状況を参照）

（参考）

• スパイウェア対策のしおり
  http://www.ipa.go.jp/security/antivirus/shiori.html

不正アクセスの届出および相談の受付状況

		3月	4月	5月	6月	7月	8月
届出(a) 計		38	15	13	22	15	50
	被害あり(b)	10	7	6	20	8	30
	被害なし(c)	28	8	7	2	7	20
相談(d) 計		24	27	23	32	31	24
	被害あり(e)	12	15	11	19	18	13
	被害なし(f)	12	12	12	13	13	11
合計(a+d)		62	42	36	54	46	74
	被害あり(b+e)	22	22	17	39	26	43
	被害なし(c+f)	40	20	19	15	20	31

（1）不正アクセス届出状況

　　8月の届出件数は50件であり、そのうち被害のあった件数は30件でした。

（2）不正アクセス等の相談受付状況

　不正アクセスに関連した相談件数は24件（うち3件は届出件数としてもカウント）であり、そのうち何らかの被害のあった件数は13件でした。

（3）被害状況

　被害届出の内訳は、侵入17件、ワーム感染3件、DoS 攻撃^(*1)2件、アドレス詐称1件などでした。
   侵入届出の被害内容は、Web ページの改ざんが9件、他サイト攻撃やスパム^(*2)メール発信の踏み台になっていたものが6件でした。侵入の原因として、SSH^(*3)で使用するポート^(*4)へのパスワードクラッキング^(*5)攻撃を受けてパスワードが破られた事例が5件ありました。

被害事例

[ 侵入 ]

(i) 踏み台として悪用された？

事 例	通信ログ(*6)をチェックしていたところ、自組織で運用しているセカンダリ DNS(*7)サーバに対して、接続を許可していない IP アドレスからの接続記録があることを発見。 当該サーバを調査したところ、ルートキット(*8)と思われるファイルが置かれ、IRC(*9)サーバ環境が構築されていたことが判明。 サーバマシン更新時に実施した、接続を許可・拒否する IP アドレスのフィルタリング設定が不適切だったために外部からの攻撃をもろに受け、さらにログインパスワードが推測容易だったのが、侵入の原因と思われた。
解 説 ・ 対 策	この事例は、サーバマシンの入れ替え時の設定不備と、推測されやすいパスワードを設定してしまったことの2つのミスが重なったために起きています。IRC サーバ環境を構築されていたということは、ボット(*10)ネットワークの一員の踏み台として使われていた可能性もあります。日常あまり実施しない作業の際には、ミスや抜けの無い適切な設定を行えるように、手順書などをあらかじめ用意しておくと良いでしょう。 （参考） IPA - 情報セキュリティ白書 2006 年版 http://www.ipa.go.jp/security/vuln/20060322_ISwhitepaper.html

(ii) ホームページ改ざん

事 例	ホスティングサービス(*11)を利用してウェブサイトを運用していたが、サイト上のホームページが改ざんされた。 同一サーバに収容されていた他ユーザのウェブサイトに設置されていたウェブアプリケーションのぜい弱性を突かれ、サーバ上のファイルを外部から不正に操作されていたとの連絡が、ホスティングサービス会社から入った。
解 説 ・ 対 策	この事例では、本人に落ち度は無いにもかかわらず、ホームページ改ざんの被害を受けてしまっています。このような場合の補償について、事前に確認しておくと良いでしょう。また、ホスティングサービス業者選定の際には、ウェブアプリケーションのぜい弱性対策などのセキュリティ対策がきちんと実施されているかどうかを確認すると良いでしょう。 （参考） IPA - 情報セキュリティ対策ベンチマーク http://www.ipa.go.jp/security/benchmark/

[ アドレス詐称 ]

(iii) 送信した覚えの無いメールが、エラーとして大量に返送されてくる

事 例

「宛先メールアドレスが存在しない」旨のエラー通知メールが、大量に送られて来た。 エラーが生じたというメールの詳細を見ると、広告・宣伝メールのスパム(*2)メールと思われた。送信元アドレスとして、自身のメールアドレスが設定されていた。しかし、全て自身では送信した覚えが無いもの。 あまりにも大量にエラー通知メールが送られて来るため、メールサーバの応答が遅くなることがある。

解 説 ・ 対 策

この事例のように、自身が送信したメールでない場合でも、エラー通知メールは送信元として書かれているアドレス宛に送られてしまいます。極端に大量のエラー通知メールが送られてくると、メールサーバが過負荷に陥り、障害が起こる可能性もあるため、注意する必要があります。普段よりも多くのメールが届いた場合に、その原因と送信元を特定し、場合によっては送信元のIPアドレスなどでフィルタリングを掛けるなどの対処を準備しておくべきでしょう。 なお、「特定電子メールの送信の適正化等に関する法律の一部を改正する法律 （平成17年法律第46号）」が2005年11月1日に施行されました。これによれば、"送信者情報を偽った送信の禁止"が新たに謳われている（第6条）ため、今回のような違法メールの取締りが強化されると思われます。 (参考) (財)日本データ通信協会 - 迷惑メール相談センター http://www.dekyo.or.jp/soudan/top.htm IPA - 「IPアドレス、メールアドレス等の詐称への対策」 http://www.ipa.go.jp/security/ciadr/cm01.html#spoofing

　8月の相談総件数は793件でした。内訳は、『ワンクリック不正請求』に関する相談が204件（7月：159件）、『セキュリティ対策ソフトの押し売り』行為に関する相談が33件（7月：43件）、Winny に関連する相談が14件（3月：196件、4月：83件、5月：28件、6月：15件、7月：12件）などでした。

IPA で受け付けた全ての相談件数の推移

		3月	4月	5月	6月	7月	8月
合計		1,056	904	846	773	767	793
	自動応答システム	659	510	484	423	444	460
	電話	296	306	295	283	257	280
	電子メール	99	86	63	64	66	48
	その他	2	2	4	3	0	5

※IPA では、コンピュータウイルス・不正アクセス、Winny 関連、その他情報セキュリティ全般についての相談を受け付けています。
メール： （ウイルス）、（不正アクセス）
電話番号： 03-5978-7509（24時間自動応答、ただし IPA セキュリティセンター員による相談受付は休日を除く月～金、10:00～12:00、13:30～17:00のみ）
FAX： 03-5978-7518 （24時間受付）
※ 「自動応答システム」　：　電話の自動音声による応対件数
    「電話」　：　IPA セキュリティセンター員による応対件数
※ 合計件数には、「不正アクセスの届出および相談の受付状況」における『相談(d) 計』件数を内数として含みます。

ワンクリック不正請求相談件数の推移

セキュリティ対策ソフトの押し売り・相談件数の推移

主な相談事例は以下の通りです。

(i) 新手のワンクリック不正請求？

相 談	あるリンクをクリックしたらアダルトサイトにジャンプした。画面をよく確認しないままクリックしていったら、料金を請求された。パソコンを再起動しても、数分おきに請求書画面が表示される。登録したつもりはないのでお金は払いたくないし、請求書画面を消したい。
回 答	連絡のあったサイトにアクセスしてみたところ、「このサイトは有料」である旨トップページに表示がしてあるうえ、複数回、確認画面を経て登録完了画面に到達することが分かりました。お金を払うつもりが全く無いのであれば、トップページから先へは進んではいけません。このようなケースですと、本人が登録をしたつもりは無くても、言い逃れができない可能性もあります。

(ii) 押し売りされたセキュリティ対策ソフトは削除したはずなのに・・・

相 談	「あなたのパソコンはウイルスに感染しています」などという警告画面が出たので、言われるままにセキュリティ対策ソフトをダウンロードしインストール。しかしテレビのニュースで見て、それが信頼できないものだと知った。すぐにコントロールパネルの[プログラムの追加と削除]からアンインストールした。でもタスクバー内にはアイコンがあるし、購入を促す画面が出現する。 ※同様の相談が計10件寄せられました。
回 答	コントロールパネルの[プログラムの追加と削除]からアンインストールしようとすると、リストから無くなるだけで、ソフトウェア自身は残ってしまうようです。プログラムがインストールされたフォルダの中にアンインストーラープログラムがある場合は、そのプログラムファイルを直接実行することでアンインストールできる場合があります。IPA の相談窓口までご連絡ください。

　インターネット定点観測(TALOT2)によると、2006年8月の期待しない（一方的な）アクセスの総数は、10観測点で387,534件ありました。1観測点で1日あたり321の発信元から1,250件のアクセスがあったことになります。

  TALOT2 での1観測点の環境は、インターネットを利用される一般的な接続環境と同一なので、インターネットを利用される皆さんの環境へも同じくらいの一方的なアクセスがあると考えられます。言い換えれば、あなたのコンピュータは、毎日、平均して、321人の見知らぬ人(発信元)から、発信元一人当たり4件の不正と思われるアクセスを受けていると言うことになります。

　2006年1月～2006年8月までの各月の1観測点での1日あたりの平均アクセス数および、それらのアクセスの平均発信元数を図1に示します。この図を見ると、期待しない（一方的な）アクセスは、先月より増加しました。全体的なアクセス内容については、定常化していると言えますが、新しい Windows のぜい弱性を狙ったと思われるアクセスが発生しています。ご注意下さい。

  8月のアクセス状況は、全体的には7月とほぼ同じ状況ですが、新しい Windows のぜい弱性を狙ったと思われる139(TCP)ポートへのアクセスが発生しています。既存の Windows のぜい弱性を狙っていると思われる不正なアクセスもあいかわらず多いようで、これらのアクセスの多くは、ボットに感染したコンピュータから送信されていると思われます。さらに、先月末からのアクセス(数)の増加傾向が続いており、パスワードクラッキングによるコンピュータへの侵入を狙う22(TCP)ポートへのアクセスも増加しています。

  139（TCP）ポートへのアクセスについては、新しい Windows のぜい弱性(MS06-040)を狙ったものと考えられます。このぜい弱性に対する攻撃(検証)コードが公開されており、ぜい弱性を狙った新しいワームや、攻撃コードが仕込まれたボットが広がっている可能性があります。

  図5.2および図5.3に、139(TCP)ポートへの発信元地域別アクセス数と発信元数の遷移を示します。これらの図を見ると、8月18日前後から発信元を国内とするアクセスが増加し、8月23日から韓国方面を発信元とするアクセスが急増しています。実際には、国内からは被害報告や問い合わせがないため、国内での被害状況については分かりませんが、発信元となっている国内のコンピュータにはワームあるいはボットが感染しているものと思われます。国内のアクセス数が増加傾向にあることが危惧されます。韓国方面からのアクセスについては、発信元数から見ると、終息方向にあるようです。アクセスのパターン（同一の観測点に対するアクセス回数）によると、国内からのアクセスと韓国方面からのアクセスは、少し違う様子なので、種類の違う攻撃コード（ワームあるいはボット）と思われます。

  外部からの不正なアクセスを明確に防御している企業(組織)の場合は、特に問題にはなりませんが、インターネットにモデムなどで直接接続する形態の Windows コンピュータを利用されている方は、8月10日に Microsoft から発信されている Windows のぜい弱性を解消するパッチを適用し、さらにファイアウォール機能の利用など、被害に遭わないように心掛けて下さい。

   コンピュータの個人利用者は、以下の資料を参考にして、不正アクセス対策を実施して下さい。

• 不正アクセス対策のしおり
  http://www.ipa.go.jp/security/antivirus/shiori.html

以上の情報に関して、 詳細はこちらのサイトをご参照ください。

• 別紙3_インターネット定点観測（TALOT2）での観測状況について

届出の詳細については以下の PDF ファイルをご参照ください。

• 本紙_コンピュータウイルス・不正アクセスの届出状況［8月分］
• 別紙1_コンピュータウイルスの届出状況について［詳細］
• 別紙2_コンピュータ不正アクセスの届出状況について［詳細］

『他機関・ベンダーの各種統計情報は以下のサイトで公開されています。』

• @police：http://www.cyberpolice.go.jp/
• トレンドマイクロ株式会社：http://www.trendmicro.co.jp/home/
• マカフィー株式会社：http://www.mcafee.com/japan/

『用語の解説』

（*1） DoS 攻撃 （Denial of Services attack）

サーバに大量のデータを送って過大な負荷をかけ、サーバのパフォーマンスを極端に低下させたり、サーバを機能停止に追い込んだりする攻撃のこと。

（*2） スパム （spam）

ジャンクメール、バルクメール、また単に「迷惑メール」とも呼ばれる。商用目的かどうかによらず、宣伝や嫌がらせなどの目的で不特定多数に大量に送信されるメールのこと。

（*3） SSH (Secure SHell)

ネットワークを介して別のコンピュータにログインしたり、遠隔地のマシンでコマンドを実行したり、他のマシンへファイルを移動したりするために使うプロトコルもしくはプログラムのこと。ネットワーク上を流れるデータは暗号化されるため、インターネット経由でも一連の操作を安全に行なうことができる。

（*4） ポート （port）

コンピュータが外部との情報の受け渡しの際に使う、コンピュータ内の各種サービス窓口のこと。ポートは0から65535までの値が使われるため、ポート番号とも呼ばれる。

（*5） パスワードクラッキング (password cracking)

他人のパスワードを、解析するなどして探り当てること。総当り攻撃や辞書攻撃といった手法があり、クラッキング用のプログラムも存在する。

（*6） ログ (log)

コンピュータの利用状況やデータ通信の記録のこと。一般的に、操作を行った者の ID や操作日時、操作内容などが記録される。

（*7） DNS （Domain Name System）

インターネットにおけるホスト名とIPアドレスとを対応させるシステムのこと。インターネット上にある全世界の DNS サーバが協調して動作する、階層的な分散型データベースシステムである。

（*8） ルートキット （rootkit）

攻撃者がコンピュータに不正侵入した後に利用するためのソフトウェアをまとめたパッケージのこと。一般的には、ログ改ざんツールやバックドアツール、改ざんされたシステムコマンド群などが含まれる。

（*9） IRC （Internet Relay Chat）

チャット（接続者同士のリアルタイムな会話）システムのこと。インターネット上の IRC サーバに、専用のソフトウェアを利用してアクセスすることで、複数のユーザとの間でメッセージの交換が出来る。ファイル通信にも対応する。

（*10） ボット （bot）

コンピュータウイルスの一種で、コンピュータに感染し、そのコンピュータを、ネットワーク(インターネット)を通じて外部から操ることを目的として作成されたプログラムのことである。

（*11） ホスティングサービス （hosting service）

事業者がインターネットに接続し公開しているウェブサーバ内のディスク容量の一部を、顧客に間貸しするサービスのこと。レンタルサーバとも呼ばれることがある。

　IPA では、 「自社のセキュリティ対策自己診断テスト（情報セキュリティ対策ベンチマーク）」 を Web サイト上に公開しております。

• 自社のセキュリティ対策自己診断テスト（情報セキュリティ対策ベンチマーク）
  http://www.ipa.go.jp/security/benchmark/

　本システムは、企業を対象としたもので、セキュリティ対策状況及び企業情報に関する設問 ( 計 40 問 ) に答えることにより、セキュリティ対策の取組状況を自己採点できるシステムです。

　診断結果は、「貴社のスコア」と「望まれる水準」とが同時に表示され、各社が優先的に取り組むべきセキュリティ対策項目が明らかになります。また、推奨される取り組み事例も提示しますので、今後の対策を強化する上での具体的な改善策がわかります。

　30分程度で自己採点できますので、ぜひ、今後のセキュリティ対策の参考とすべく、ご活用ください。

コンピュータウイルスの感染やコンピュータへの不正な侵入、 ワンクリック詐欺などの被害に遭わないよう、 特に若年層の「情報セキュリティ対策」の意識を高めるために、本年3月より全国の小学生・中学生・高校生から募集していたもので、全国118の小・中・高等学校の中から1,101件の応募があり、以下の10作品が入選しました。

区分	作品	学校 / 受賞者氏名
大賞	ネ ットで繋がる無限の世界　明暗決めるはあなたの手	神奈川・慶應義塾湘南藤沢高等部　 / 清水　優香子 （しみずゆかこ）
高校生の部
金賞	人々の　意識で変わる　セキュリティ	埼玉県・県立越谷北高等学校　 / 浅井　慧 （あさいあきら）
銀賞	ケータイは持って天国　落として地獄	岐阜県・県立可児工業高等学校　 / 田口　史武 （たぐちふみたけ）
銅賞	手軽でも　忘れるなかれ　セキュリティ	埼玉県・立教新座高等学校　 / 松下　成昭 （まつしたしげあき）
中学生の部
金賞	ネットワーク　便利と危険は　紙一重	茨城県・つくば市立吾妻中学校　 / 藤井のど佳 （ふじいのどか）
銀賞	情報は　流れだしたら　止まらない	埼玉県・三郷市立早稲田中学校　 / 増田　恵子 （ますだあやこ）
銅賞	気をつけよう　インターネットの落とし穴	兵庫県・加古川市立中部中学校　 / 遠入　和也 （えんにゅうかずや）
小学生の部
金賞	ぼくだけは　感染しないよ　大間違い	岐阜県・大垣市立墨俣小学校　 / 古澤健太郎 （ふるさわけんたろう）
銀賞	パスワード　ともだちにだって　ないしょだよ	愛知県・名古屋市立滝ノ水小学校　 / 森　明日翔 （もりあすか）
銅賞	セキュリティ　あなたが守る　あなたの身	千葉県・千葉市立若松台小学校　 / 山崎　緑 （やまざきみどり）

　これは、韓国の韓国情報保護振興院（KISA）との共同事業の一環として実施したものです。

　KISAとは、韓国の情報通信部（日本の総務省に相当）の外郭団体で、韓国国内の情報や情報システムを保護するための政策を実施し、インターネット上での事件・事故への対応をするなど、安全なネットワーク環境を提供するために必要な技術の普及及び研究開発を行う韓国政府出資の機関です。
　 KISAでは、毎年6月を情報化月間と定め、6月第3週及び第4週をセキュリティ週間として、情報セキュリティを主題とする各種イベントを実施しています。その中に、情報セキュリティ標語・ポスターの公募展があり、2006年6月に実施した公募展の結果、以下の作品の入選が決定しました。

独立行政法人 情報処理推進機構 セキュリティセンター（IPA/ISEC）
（ISEC：Information technology SEcurity Center）
TEL：03-5978-7527　FAX：03-5978-7518
E-mail：
URL：http://www.ipa.go.jp/security/