コンピュータウイルス・不正アクセスの届出状況[2006年9月分および2006年第3四半期]について

　ウイルスの検出数^(※1)は、 約105万個と、8月の約110万個から4.6％の減少となりました。また、9月の届出件数^(※2)は、3,551件となり、8月の3,434件から3.4％の増加となりました。

　8月に発生した W32/Stration は、9月に亜種が多数出現したため、検出数、届出件数ともに増加しました。

※1 検出数 ： 届出にあたり届出者から寄せられたウイルスの発見数（個数）
※2 届出件数： 同じ届出者から寄せられた届出の内、同一発見日で同一種類のウイルスの検出が複数ある場合は、1日何個検出されても届出1件としてカウントしたもの。
・ 9月は、寄せられたウイルス検出数約105万個を集約した結果、3,551件の届出件数となっています。

　検出数の1位は、W32/Netsky で約84万個 、2位は W32/Stration で約6万個、3位は W32/Mytob で約5万個でした。

　2006年9月、「ワンクリック不正請求」に関する相談が223件も寄せられ、今までで最も多い相談件数となりました。（4月：161件、5月：210件、6月：211件、7月：159件、8月：204件）

～　危ないサイトはアダルトサイトだけではない　～

  このようなワンクリック不正請求の被害は、主にアダルトサイトで発生しています。ところが、アダルトサイト以外の投資関係のサイトでも同様の手口が確認されました。当該サイトでは、確実に利益をあげられる株式情報を提供するという案内を記載し、会員登録をするように促しています。この会員登録という項目をクリックすると、ウイルスなどの悪意のあるプログラムをダウンロードさせる仕組みになっています。

　IPA で受け付けている相談事例にも、芸能人の動画や画像を検索していて、ワンクリック不正請求の被害にあったというものがありました。アダルトサイトを閲覧する目的以外の人も遭遇する危険がありますので、注意が必要です。

　これらの被害に遭わないよう、信頼できないサイトにはアクセスしない、アクセスしてしまっても、安易なダウンロードは避けることを心がけてください。図2-2に示す Windows によるセキュリティの警告画面が表示された場合は、決して「実行」をクリックすることなく、「キャンセル」をクリックして先に進まないようにしてください。

   悪意あるプログラムなどによる被害に遭われた場合は、IPA で相談を受け付けておりますので、ご相談ください。
（相談受付状況を参照）

不正アクセスの届出および相談の受付状況

		4月	5月	6月	7月	8月	9月
届出(a) 計		15	13	22	15	50	46
	被害あり(b)	7	6	20	8	30	21
	被害なし(c)	8	7	2	7	20	25
相談(d) 計		27	23	32	31	24	35
	被害あり(e)	15	11	19	18	13	26
	被害なし(f)	12	12	13	13	11	9
合計(a+d)		42	36	54	46	74	81
	被害あり(b+e)	22	17	39	26	43	47
	被害なし(c+f)	20	19	15	20	31	34

（1）不正アクセス届出状況

　9月の届出件数は46件であり、そのうち被害のあった件数は21件でした。

（2）不正アクセス等の相談受付状況

　不正アクセスに関連した相談件数は35件（うち5件は届出件数としてもカウント）であり、そのうち何らかの被害のあった件数は26件でした。

（3）被害状況

　被害届出の内訳は、侵入7件、ワーム感染8件、アドレス詐称1件などでした。
   侵入届出の被害内容は、Web ページやサーバ内データの改ざんが2件、他サイト攻撃やスパム^(*2)メール発信の踏み台になっていたものが3件、などでした。侵入の原因として、SSH^(*3)で使用するポート^(*4)へのパスワードクラッキング^(*5)攻撃を受けてパスワードが破られた事例が1件ありました。

被害事例

[ 侵入 ]

(i) 他サイト攻撃の踏み台として悪用された

事 例	「あなたの組織が管理している IP アドレスのコンピュータが、外部のサーバに対して SSH(*3)で不正にログイン試行している」と、自身が契約しているプロバイダから連絡が入った。 調査したところ、SSH 経由の辞書攻撃(*6)でパスワードが破られて侵入されていたことが判明。さらに自身のサーバ内に SSH 用の辞書攻撃ツールを埋め込まれ、他サイトを攻撃するための踏み台となっていた。ログ(*7)ファイルは削除されており、詳細は分からなかった。
解 説 ・ 対 策	パスワードクラッキング(*5)の際には自動攻撃ツールが用いられるためか、SSH   で使用するポート(*4)が狙われる機会はなおも多いようです。パケットフィルタリングの実施や IDS(*8)/IPS(*9)の導入なども大事ですが、まずは日々アクセスログをチェックして一刻も早く攻撃の兆候を掴み、必要な対策を講じることが重要です。SSH 運用時には、ログインの際に公開鍵認証(*10)などの強固な認証を採用することを推奨します。 （参考） IPA - 今月の呼びかけ（7月分） 「パスワードを一つ残らず、きちんと管理しましょう！」 http://www.ipa.go.jp/security/txt/2006/07outline.html IPA - 安全なウェブサイトの作り方 http://www.ipa.go.jp/security/vuln/20060131_websecurity.html

(ii) ホームページ改ざん

事 例	「貴方のホームページが改ざんされているのでは？」との通報が、組織外から入った。調査したところ、英文の政治的主張らしきページが、自身のウェブサイトに置かれていたことが判明。 自身のサイトでは、OSS(*11)（オープンソースソフトウェア）の CMS(*12)（コンテンツ管理ツール）である DNN（DotNetNuke）を最新版に更新して使っていた。さらに DNN 向けのサードパーティ(*13)製モジュールを追加して使っていた。 DNN 向けサードパーティ製モジュールに存在していたぜい弱性を突かれたのが原因と思われた。ぜい弱性解消のための修正プログラムは既にリリースされていたので、即対処した。
解 説 ・ 対 策	ぜい弱性解消のための修正プログラムは、OS やアプリケーションソフトウェアのみならず、アプリケーションに組み込んで使うライブラリ(*14)やモジュール(*15)に対しても必要に応じて用意されています。ぜい弱性や修正プログラムに関する情報をこまめにチェックし、対応が遅れないようにしましょう。 （参考） IPA - 今月の呼びかけ（9月分） 「ぜい弱性が公開されたら直ちにアップデートを！」 http://www.ipa.go.jp/security/txt/2006/09outline.html

[ その他 ]

(iii) アカウント^(*16)を勝手に使われた

事 例

大手ポータルサイトで作成した自身のアカウントが、第三者に勝手に使われた。 自身が作成したブログや登録情報を改ざんされるとともに、ネットオークションに勝手に出品されていた。 パスワードを破られたことが原因。

解 説 ・ 対 策

ポータルサイトを利用する際には、ID（Identification）によってユーザを識別します。サイトによっては、ID があらかじめ第三者にも分かるようになっているものもあり、この場合はパスワードだけ分かれば、その人に成りすましてログインされてしまいます。パスワードは推測されにくいものにするとともに、特に用事が無くても定期的にアクセスし、勝手に使われていないかどうか確認すると良いでしょう。定期的にパスワードを変更することも、有効な対策となります。また、スパイウェアによってパソコン内の ID/パスワード情報を盗み出されるケースもありますので、ウイルス/スパイウェア対策ソフトによるチェックも欠かさないようにしましょう。 (参考) IPA - 今月の呼びかけ（7月分） 「パスワードを一つ残らず、きちんと管理しましょう！」 http://www.ipa.go.jp/security/txt/2006/07outline.html

　9月の相談総件数は933件でした。内訳は、『ワンクリック不正請求』に関する相談が223件（8月：204件）と、今までで最悪の件数を記録しました。その他の内訳は、『セキュリティ対策ソフトの押し売り』行為に関する相談が23件（8月：33件）、Winny に関連する相談が9件（3月：196件、4月：83件、5月：28件、6月：15件、7月：12件、8月：14件）などでした。

IPA で受け付けた全ての相談件数の推移

		4月	5月	6月	7月	8月	9月
合計		904	846	773	767	793	933
	自動応答システム	510	484	423	444	460	575
	電話	306	295	283	257	280	302
	電子メール	86	63	64	66	48	51
	その他	2	4	3	0	5	5

※IPA では、コンピュータウイルス・不正アクセス、Winny 関連、その他情報セキュリティ全般についての相談を受け付けています。
メール： （ウイルス）、（不正アクセス）
電話番号： 03-5978-7509（24時間自動応答、ただし IPA セキュリティセンター員による相談受付は休日を除く月～金、10:00～12:00、13:30～17:00のみ）
FAX： 03-5978-7518 （24時間受付）
※ 「自動応答システム」　：　電話の自動音声による応対件数
    「電話」　：　IPA セキュリティセンター員による応対件数
※ 合計件数には、「不正アクセスの届出および相談の受付状況」における『相談(d) 計』件数を内数として含みます。

（参考）ワンクリック不正請求相談件数の推移

（参考）セキュリティ対策ソフトの押し売り・相談件数の推移

主な相談事例は以下の通りです。

(i) ウイルス対策ソフトが"cookie ^(*17)"を検出

相 談	インターネットへの接続ができなくなった。ウイルス対策ソフトでスキャンしたところ、"cookie"というものが多数検出された。何か情報が流出しているのか？
回 答	cookie はウイルスではありません。なおかつ、cookie はプログラムではありませんので、cookie によって不正な命令を実行されたり、パソコンが操られたり、ということはありません。 インターネットに接続出来ない理由は他にあるはずです。プロバイダへの接続設定を見直すとともに、セキュリティ対策ソフトがインターネット接続をロックしていないか、確認してください。

(ii) Winny 以外のファイル共有ソフトなら情報は漏れない？

相 談

Winny はウイルスに感染して情報が漏れる危険があると理解していたので、Winny 以外のファイル共有ソフトなら大丈夫だと思って使っていました。今は使っていませんが、この考え方は正しかったでしょうか。

回 答

情報流出を引き起こすウイルスの多くはパソコンに感染し、Winny の機能を悪用して情報を流出させてしまいます。しかしながら、Winny 以外のファイル共有ソフトの機能を悪用して情報を流出させるウイルスも出現しています。つまり、Winny 以外のファイル共有ソフトなら安全という訳でもありません。 ファイル共有ネットワークに流出してしまったデータの回収は、事実上不可能と言えます。ファイル共有ソフトの利用は、こうした危険と隣り合わせな行動であることを改めて認識しましょう。 さらに、情報流出の際にファイル共有ソフトの仕組みを使わないウイルスも出現しています。つまり、ファイル共有ソフトを使っていないから大丈夫という訳でもありません。ウイルスに感染しないことが最も重要であり、そのためには出所の不明なファイルを安易にダウンロードしたり開いたりしないことが最も基本的な対策となります。 (ご参考) IPA - Winnyによる情報漏えいを防止するために http://www.ipa.go.jp/security/topics/20060310_winny.html IPA - パソコンユーザのためのウイルス対策7箇条 http://www.ipa.go.jp/security/antivirus/7kajonew.html

　2006年8月中旬から始まった139(TCP)ポートへのアクセスは、Windowsのぜい弱性(MS06-040)を狙ったものと考えられます。これらのアクセスの増加は、9月15日前後に終息した模様です(図5.1および図5.2)。

　国内を発信元とする139(TCP)ポートへのアクセスについて、発信元を基準に分析すると、
   A) 139(TCP)ポートのみへのアクセスパターン
   B) 複数のポートへのアクセスを組み合わせて狙ったアクセスパターン
の2つのパターンが存在しました。

　A)の場合は、ワームと呼ばれる特定のぜい弱性を狙ったものである可能性が高いと考えられます。また、B)の場合は、数種類の攻撃コードを装備したボットからのアクセスの可能性が高いと考えられます。

   さらに、これらのアクセスの発信元(発信IPアドレス)を調べると、各ISPから個人利用者に提供されるIPアドレスが多いことが分かりました。これは、個人利用者がボットに感染している可能性が高いことを示していると考えられるので、最近コンピュータの反応が遅い等の症状に不安のある方は、以下の資料を参考にして、ボット対策をお願いします。

• ボット対策のしおり
  http://www.ipa.go.jp/security/antivirus/shiori.html

　8月および9月の平均アクセス数が増加傾向にありますが(図5.3)、この原因は、これらのアクセスによるものと考えられます。

　インターネット定点観測(TALOT2)によると、2006年9月の期待しない（一方的な）アクセスの総数は、10観測点で409,772件ありました。1観測点で1日あたり291の発信元から1,366件のアクセスがあったことになります。

   外部からの不正なアクセスを明確に防御している企業(組織)の場合は、特に問題にはなりませんが、インターネットにモデムなどで直接接続する形態のWindowsコンピュータを利用されている方は、コンピュータのぜい弱性を解消し、ファイアウォール機能の利用など、被害に遭わないように心掛けて下さい。
コンピュータの個人利用者は、以下の資料を参考にして、不正アクセス対策を実施して下さい。

• 不正アクセス対策のしおり
  http://www.ipa.go.jp/security/antivirus/shiori.html

以上の情報に関して、詳細はこちらのサイトをご参照ください。

• 別紙3_インターネット定点観測（TALOT2）での観測状況について

届出の詳細については以下の PDF ファイルをご参照ください。

• 本紙_コンピュータウイルス・不正アクセスの届出状況［9月分］
• 別紙1_コンピュータウイルスの届出状況について［詳細］
• 別紙2_コンピュータ不正アクセスの届出状況について［詳細］

2006年第3四半期のコンピュータウイルス・不正アクセス届出状況

• 2006年第3四半期[7月～9月]コンピュータウイルス届出状況
• 2006年第3四半期[7月～9月]不正アクセス届出状況

『他機関・ベンダーの各種統計情報は以下のサイトで公開されています。』

• @police：http://www.cyberpolice.go.jp/
• トレンドマイクロ株式会社：http://www.trendmicro.co.jp/home/
• マカフィー株式会社：http://www.mcafee.com/japan/

『用語の解説』

（*1） ルートキット （rootkit）

攻撃者がコンピュータに不正侵入した後に利用するためのソフトウェアをまとめたパッケージのこと。一般的には、ログ改ざんツールやバックドアツール、改ざんされたシステムコマンド群などが含まれる。

（*2） スパム （spam）

ジャンクメール、バルクメール、また単に「迷惑メール」とも呼ばれる。商用目的かどうかによらず、宣伝や嫌がらせなどの目的で不特定多数に大量に送信されるメールのこと。

(*3) SSH (Secure SHell)

ネットワークを介して別のコンピュータにログインしたり、遠隔地のマシンでコマンドを実行したり、他のマシンへファイルを移動したりするために使うプロトコルもしくはプログラムのこと。ネットワーク上を流れるデータは暗号化されるため、インターネット経由でも一連の操作を安全に行なうことができる。

(*4) ポート （port）

コンピュータが外部との情報の受け渡しの際に使う、コンピュータ内の各種サービス窓口のこと。ポートは0から65535までの値が使われるため、ポート番号とも呼ばれる。

(*5) パスワードクラッキング (password cracking)

他人のパスワードを、解析するなどして探り当てること。総当り攻撃や辞書攻撃といった手法があり、クラッキング用のプログラムも存在する。

＊：総当り攻撃

何らかの規則にしたがって、文字の組み合わせを総当りで試行する攻撃方法のこと。いわゆる力ずくの攻撃方法のことで、ブルートフォース攻撃ともいう。

(*6) 辞書攻撃

パスワードを破るために、辞書にある単語などを片端から試行する攻撃方法のこと。

(*7) ログ (log)

コンピュータの利用状況やデータ通信の記録のこと。一般的に、操作を行った者の ID や操作日時、操作内容などが記録される。

(*8) IDS （Intrusion Detection System）

システムに対する侵入／侵害を検出・通知するシステムのこと。システムを監視し、セキュリティポリシーを侵害するような行為を検出した場合に、その行為を可能な限り早く管理者に伝えるとともに、調査分析の作業を支援するために必要な情報を保存・提供することが目的である。

(*9) IPS （Intrusion Prevention System）

システムに対する侵入／侵害を阻止するシステムのこと。異常を検知した際に自動的に通信を停止する機能を有したものであり、一般的には IDS の発展形と言える。

(*10) 公開鍵認証

公開鍵と秘密鍵のペアでユーザ個人の認証を行う方式のこと。公開鍵はサーバ側で管理し、秘密鍵は個人で管理し、これらによりユーザ認証を行う。

(*11) OSS (Open Source Software)

ソフトウェアのソースコードが公開されており、再頒布が自由であるソフトウェアのこと。

(*12) CMS (Contents Management System)

公開したいコンテンツ（テキスト、画像など）を用意できさえすれば、技術的知識をさほど必要とせずにウェブで情報発信を可能とする、サイト構築支援ツールのこと。コンテンツ情報（テキスト、画像、レイアウトなど）などを一元管理できる。広い意味では、デジタルコンテンツの管理に使うソフトウェアやシステムの総称としても使われる。

(*13) サードパーティ (3rd party)

他社製のソフトウェア／ハードウェアに対応する製品を作っているメーカーのこと。

(*14) ライブラリ （library）

汎用性のある複数のプログラムコードを、他のプログラムからでも利用できるように部品化して一つのファイルにまとめたもののこと。ライブラリ単体ではプログラムとして実行させることはできないが、他のプログラムから呼び出され、他のプログラムの機能の一部として動作する。

(*15) モジュール （module）

システムを構成する要素のこと。ソフトウェアの分野では、インターフェースが標準化されていて容易に開発・追加・削除ができるようになっている、一連の機能をひとまとめにしたソフトウェア部品のことを指す。

(*16) アカウント (account)

コンピュータやネットワーク上の資源を利用出来る権利のこと。

(*17) cookie (クッキー)

ウェブサーバとウェブブラウザとの間で、ユーザ情報やアクセス情報などをやり取りする仕組みのこと。

　IPA では、 「自社のセキュリティ対策自己診断テスト（情報セキュリティ対策ベンチマーク）」 を Web サイト上に公開しております。

• 自社のセキュリティ対策自己診断テスト（情報セキュリティ対策ベンチマーク）
  http://www.ipa.go.jp/security/benchmark/

　本システムは、企業を対象としたもので、セキュリティ対策状況及び企業情報に関する設問 ( 計 40 問 ) に答えることにより、セキュリティ対策の取組状況を自己採点できるシステムです。

　診断結果は、「貴社のスコア」と「望まれる水準」とが同時に表示され、各社が優先的に取り組むべきセキュリティ対策項目が明らかになります。また、推奨される取り組み事例も提示しますので、今後の対策を強化する上での具体的な改善策がわかります。

　30分程度で自己採点できますので、ぜひ、今後のセキュリティ対策の参考とすべく、ご活用ください。

  情報セキュリティ対策のための「ウイルス対策のしおり」、「ボット対策のしおり」、「スパイウェア対策のしおり」、「不正アクセス対策のしおり」、「情報漏えい対策のしおり」を作成・提供しております。

　本対策のしおりは、一般のご家庭や企業（組織）内でパソコンをご利用する方々を対象に、情報セキュリティ上の様々な脅威への対策を分かりやすく説明したものです。気軽に読んでいただけるよう、挿絵を多用し、それぞれの脅威の概要、仕組み、対策を理解し、把握できるように工夫しております。これらの脅威への対策を実践するために、ぜひご活用ください。

対策のしおりシリーズ
(1)ウイルス対策、(2)スパイウェア対策、(3)ボット対策、(4)不正アクセス対策、および
(5)情報漏えい対策
  http://www.ipa.go.jp/security/antivirus/shiori.html

コンピュータウイルスの感染やコンピュータへの不正な侵入、 ワンクリック詐欺などの被害に遭わないよう、 特に若年層の「情報セキュリティ対策」の意識を高めるために、本年3月より全国の小学生・中学生・高校生から募集していたもので、全国118の小・中・高等学校の中から1,101件の応募があり、以下の10作品が入選しました。

区分	作品	学校 / 受賞者氏名
大賞	ネ ットで繋がる無限の世界　明暗決めるはあなたの手	神奈川・慶應義塾湘南藤沢高等部　 / 清水　優香子 （しみずゆかこ）
高校生の部
金賞	人々の　意識で変わる　セキュリティ	埼玉県・県立越谷北高等学校　 / 浅井　慧 （あさいあきら）
銀賞	ケータイは持って天国　落として地獄	岐阜県・県立可児工業高等学校　 / 田口　史武 （たぐちふみたけ）
銅賞	手軽でも　忘れるなかれ　セキュリティ	埼玉県・立教新座高等学校　 / 松下　成昭 （まつしたしげあき）
中学生の部
金賞	ネットワーク　便利と危険は　紙一重	茨城県・つくば市立吾妻中学校　 / 藤井のど佳 （ふじいのどか）
銀賞	情報は　流れだしたら　止まらない	埼玉県・三郷市立早稲田中学校　 / 増田　恵子 （ますだあやこ）
銅賞	気をつけよう　インターネットの落とし穴	兵庫県・加古川市立中部中学校　 / 遠入　和也 （えんにゅうかずや）
小学生の部
金賞	ぼくだけは　感染しないよ　大間違い	岐阜県・大垣市立墨俣小学校　 / 古澤健太郎 （ふるさわけんたろう）
銀賞	パスワード　ともだちにだって　ないしょだよ	愛知県・名古屋市立滝ノ水小学校　 / 森　明日翔 （もりあすか）
銅賞	セキュリティ　あなたが守る　あなたの身	千葉県・千葉市立若松台小学校　 / 山崎　緑 （やまざきみどり）

　これは、韓国の韓国情報保護振興院（KISA）との共同事業の一環として実施したものです。

　KISAとは、韓国の情報通信部（日本の総務省に相当）の外郭団体で、韓国国内の情報や情報システムを保護するための政策を実施し、インターネット上での事件・事故への対応をするなど、安全なネットワーク環境を提供するために必要な技術の普及及び研究開発を行う韓国政府出資の機関です。
　KISAでは、毎年6月を情報化月間と定め、6月第3週及び第4週をセキュリティ週間として、情報セキュリティを主題とする各種イベントを実施しています。その中に、情報セキュリティ標語・ポスターの公募展があり、2006年6月に実施した公募展の結果、以下の作品の入選が決定しました。

独立行政法人 情報処理推進機構 セキュリティセンター（IPA/ISEC）
（ISEC：Information technology SEcurity Center）
TEL：03-5978-7527　FAX：03-5978-7518
E-mail：
URL：http://www.ipa.go.jp/security/