コンピュータウイルス・不正アクセスの届出状況[2007年2月分]について

操作手順：
「スタート」→「設定」→「コントロールパネル」→
「Windows セキュリティ センター」→「Windows ファイアウォール」

「 」→「コントロールパネル」→「セキュリティ」→
「Windows ファイアウォールの有効化または無効化」
※管理者のパスワードまたは確認を求められた場合は、パスワードを入力するか、確認情報を提供します。

1.コンピュータ不正アクセス被害の主な事例

(届出状況及び被害事例の詳細は、「3.コンピュータ不正アクセス届出状況」を参照)

• SSHで使用するポートへの攻撃
• フィッシングサイトを設置された

2.相談の主な事例

(相談受付状況及び相談事例の詳細は、「5.相談受付状況」を参照)

• 芸能人の情報を検索していたのにアダルトサイトの請求書が
• フィッシングメールが届いた

3.インターネット定点観測(詳細は、別紙4を参照)

IPAで行っているインターネット定点観測について、初めて包括的で詳細な解説を行っています。

　ウイルスの検出数^(※1)は、 約69万個と、1月の約102万個から32.3％の減少となりました。また、2月の届出件数^(※2)は、3,098件となり、1月の3,513件から11.8％の減少となりました。

※1 検出数 ： 届出にあたり届出者から寄せられたウイルスの発見数（個数）
※2 届出件数： 同じ届出者から寄せられた届出の内、同一発見日で同一種類のウイルスの検出が複数ある場合は、1日何個検出されても届出1件としてカウントしたもの。
・ 2月は、寄せられたウイルス検出数約69万個を集約した結果、3,098件の届出件数となっています。

　検出数の1位は、W32/Netsky で約51万個 、2位は W32/Nuwar で約6万個、3位は W32/Sality で約4万個でした。

　W32/Nuwar ウイルスは、IPA に初めて届出された2006年12月から2007年1月、2月と継続して高水準の届出となっており、蔓延している状況を示しています。このウイルスは、感染したPC から大量のメールを配信することにより感染を拡げるタイプです。感染したユーザは、PC を乗っ取られたり、個人情報が盗まれるなどの被害に遭っています。

●ウイルスの概要

　W32/Nuwar は、大量のメールを配信することにより感染を拡げるタイプのウイルスで、感染した PC の中に trojan_small という名称の他の不正なプログラムを取り込む機能を持ったファイルを作成します。その後 trojan_small が動作することにより、スパイウェアなどをインターネットから取込み、個人情報が盗まれたり、大事なファイルが削除されたりするなどの被害を起こす可能性があります。

• 「マカフィー株式会社」
  http://www.mcafee.com/japan/security/virN2006.asp?v=W32/Nuwar@MM
• 「株式会社シマンテック」
  http://www.symantec.com/region/jp/avcenter/venc/data/
  jp-w32.mixor@mm.html
• 「トレンドマイクロ株式会社」
  http://www.trendmicro.co.jp/vinfo/virusencyclo/
  default5.asp?VName=WORM%5FNUWAR%2EEL

●対策

　この様なウイルスの被害に遭わないため及び被害を拡大しないために、以下の対策を実施してください。

• セキュリティホール対策(OS や各種アプリのアップデート)の実施
• ウイルス対策ソフトのパターンファイルの更新を行うとともに、定期的なスキャンの実施
• 怪しいメールの添付ファイルは開かない

ウイルス対策関連情報

• 「ワクチンソフトに関する情報」
  http://www.ipa.go.jp/security/antivirus/vacc-info.html
• 「メールの添付ファイルの取り扱い5つの心得」
  http://www.ipa.go.jp/security/antivirus/attach5.html
• 「ウイルス対策7ヶ条」
  http://www.ipa.go.jp/security/antivirus/7kajonew.html

セキュリティホールの解消方法に関する情報

• 「Windows Update利用の手順」（マイクロソフト社）
  http://www.microsoft.com/japan/security/square/guard/a04g11.asp

不正アクセスの届出および相談の受付状況

		9月	10月	11月	12月	1月	2月
届出(a) 計		46	22	24	10	32	23
	被害あり(b)	21	15	8	9	22	14
	被害なし(c)	25	7	16	1	10	9
相談(d) 計		35	53	30	40	52	50
	被害あり(e)	26	37	20	23	25	28
	被害なし(f)	9	16	10	17	27	22
合計(a+d)		81	75	54	50	84	73
	被害あり(b+e)	47	52	28	32	47	42
	被害なし(c+f)	34	23	26	18	37	31

（1）不正アクセス届出状況

　2月の届出件数は23件であり、そのうち被害のあった件数は14件でした。

（2）不正アクセス等の相談受付状況

　不正アクセスに関連した相談件数は50件（うち8件は届出件数としてもカウント）であり、そのうち何らかの被害のあった件数は28件でした。

（3）被害状況

　被害届出の内訳は、侵入6件、DoS 攻撃1件、アドレス詐称1件、その他（被害あり）6件でした。
　侵入届出の被害内容は、外部サイトを攻撃するための踏み台にされていたものが5件、フィッシング^(*1)に悪用するためのコンテンツを設置されていたものが1件でした。侵入の原因は、SSH^(*2)で使用するポート^(*3)への攻撃を受けてパスワードが破られたと思われたこと、OS やサーバソフトのぜい弱性を突かれたことでした。

被害事例

　2月の相談総件数は1,019件でした。そのうち『ワンクリック不正請求』に関する相談が287件（1月：233件）と今までで最悪となり、その他は『セキュリティ対策ソフトの押し売り』行為に関する相談が22件（1月：17件）、Winny に関連する相談が14件（1月：13件）などでした。

IPA で受け付けた全ての相談件数の推移

		9月	10月	11月	12月	1月	2月
合計		933	1,002	711	680	946	1,019
	自動応答システム	575	580	423	394	582	603
	電話	302	326	214	222	324	336
	電子メール	51	93	72	59	39	75
	その他	5	3	2	5	1	5

※IPA では、コンピュータウイルス・不正アクセス、Winny 関連、その他情報セキュリティ全般についての相談を受け付けています。

メール： （ウイルス）、（不正アクセス）

電話番号： 03-5978-7509（24時間自動応答、ただし IPA セキュリティセンター員による相談受付は休日を除く月～金、10:00～12:00、13:30～17:00のみ）
FAX： 03-5978-7518 （24時間受付）

※ 「自動応答システム」　：　電話の自動音声による応対件数
    「電話」　：　IPA セキュリティセンター員による応対件数

※ 合計件数には、「不正アクセスの届出および相談の受付状況」における『相談(d) 計』件数を内数として含みます。

（参考）ワンクリック不正請求相談件数の推移

ワンクリック不正請求についての対策については下記をご参照ください。

• 2006年2月の呼びかけ：　「警告を無視すると不正プログラムがインストールされる？！ 」
  http://www.ipa.go.jp/security/txt/2006/02outline.html
• コンピュータウイルス・不正アクセスの届出状況[9月分および第3四半期]について
  2．ワンクリック不正請求
  http://www.ipa.go.jp/security/txt/2006/10outline.html
• コンピュータウイルス・不正アクセスの届出状況[8月分]について
  2．依然として相談の多いワンクリック不正請求による被害
  http://www.ipa.go.jp/security/txt/2006/09outline.html

（参考）セキュリティ対策ソフトの押し売り・相談件数の推移

セキュリティ対策ソフトの押し売り行為については下記をご参照ください。

• 2006年5月の呼びかけ：「セキュリティ対策ソフトウェアの押し売りに注意！！」
  http://www.ipa.go.jp/security/txt/2006/05outline.html

主な相談事例は以下の通りです。

　インターネット定点観測(TALOT2)によると、2007年2月の期待しない（一方的な）アクセスの総数は、10観測点で330,685件ありました。1観測点で1日あたり345の発信元から1,378件のアクセスがあったことになります。

　TALOT2 での1観測点の環境は、インターネットを利用される一般的な接続環境と同一なので、インターネットを利用される皆さんの環境へも同じくらいの一方的なアクセスがあると考えられます。言い換えれば、あなたのコンピュータは、毎日、平均して、345人の見知らぬ人(発信元)から、発信元一人当たり4件の不正と思われるアクセスを受けていると言うことになります。

　2006年8月～2007年2月までの各月の1観測点での1日あたりの平均アクセス数および、それらのアクセスの平均発信元数を図5.1に示します。この図を見ると、期待しない（一方的な）アクセスは、2007年1月に比べて多少の減少傾向で、ほぼ2006年12月の状況に戻りました。この減少傾向は、Ping(ICMP^※)の安定化およびコンピュータの脆弱性を狙ったアクセスの安定化が原因と思われます。
　全体的なアクセス内容については、定常化していると言え、ボットに感染したコンピュータからのボット感染活動（コンピュータのぜい弱性を狙い、ボットの感染を広げようとしているアクセス）のためのアクセスが主流であると考えられます。

※ Internet Control Message Protocol ： 相手のコンピュータが動作中であるか、調べる為のプロトコル

　2007年2月のアクセス状況は、全体的には2007年1月とほぼ同じ状況ですが、前述したようにPing(ICMP)アクセスの安定化傾向、Symantec 社の Symantec Client Security および Symantec AntiVirus のぜい弱性を狙ったアクセス(2967/tcp ポートへのアクセス)の減少傾向が見られ、ボットの感染活動が頭打ちになってきたと考えられます。
　2007年2月は、月初に TALOT2 システムのメンテナンスのため、2日～5日まで観測データがありませんが、この期間内にアクセスが安定化したようです。

　TALOT2 では、一方的なインターネットからアクセスを観測している関係上、Ping（ICMP）への応答は行っていません。そのため、これらの Ping(ICMP)に応答した場合の、それ以降のアクセスについて観測することができませんが、攻撃対象のコンピュータが動作しているか確認するためのアクセスと考えられます。

　図5.2は、Ping(ICMP)の発信元地域別アクセス数の変化を示していますが、2006年11月以降の増加傾向および中国方面からの一時的な増加を示していますが、2007年1月の中国方面からのアクセス増加が、2月6日以降は無くなりました。他の発信元地域からのアクセスを含めて、増加傾向は安定方向へ移行しつつあるようです。これらのアクセスの原因は不明ですが、脅威は依然として続いています。

以上の情報に関して、詳細はこちらのサイトをご参照ください。

• 別紙3_インターネット定点観測（TALOT2）での観測状況について

「IPAにおけるインターネット定点観測について」の解説は、こちらのサイトでご参照ください。

• http://www.ipa.go.jp/security/txt/2007/documents/TALOT2-0703-kaisetsu.pdf

届出の詳細については以下の PDF ファイルをご参照ください。

• 本紙_コンピュータウイルス・不正アクセスの届出状況[2月分]
• 別紙1_コンピュータウイルスの届出状況について［詳細］
• 別紙2_コンピュータ不正アクセスの届出状況について［詳細］

『他機関・ベンダーの各種統計情報は以下のサイトで公開されています。』

• @police：http://www.cyberpolice.go.jp/
• トレンドマイクロ株式会社：http://www.trendmicro.com/jp/
• マカフィー株式会社：http://www.mcafee.com/japan/

『用語の解説』

• (*1) フィッシング （Phishing）

  正規の金融機関など実在する会社のメールやウェブページを装い、それを見た利用者のIDやパスワードなどを詐取しようとする行為のこと。「釣り」を意味する「fishing」が語源だが、ハッカーの命名規則に則って"f"を"ph"に置き換えたという説、「洗練された」という意味の英語 "sophisticated"と"fish"とを組み合わせた造語という説、"password "の短縮形という説、などがある。

• （*2） SSH （Secure Shell）

  ネットワークを介して別のコンピュータにログインしたり、遠隔地のマシンでコマンドを実行したり、他のマシンへファイルを移動したりするために使うプロトコルもしくはプログラムのこと。ネットワーク上を流れるデータは暗号化されるため、インターネット経由でも一連の操作を安全に行なうことができる。

• （*3） ポート （port）

  コンピュータが外部との情報の受け渡しの際に使う、コンピュータ内の各種サービス窓口のこと。ポートは0から65535までの値が使われるため、ポート番号とも呼ばれる。

• （*4） パスワードクラッキング (password cracking)

  他人のパスワードを、解析するなどして探り当てること。総当り攻撃や辞書攻撃といった手法があり、クラッキング用のプログラムも存在する。

  • ＊：総当り攻撃

    何らかの規則にしたがって、文字の組み合わせを総当りで試行する攻撃方法のこと。いわゆる力ずくの攻撃方法のことで、ブルートフォース攻撃ともいう。

  • ＊：辞書攻撃

    パスワードを破るために、辞書にある単語などを片端から試行する攻撃方法のこと。

• （*5） 公開鍵認証

  公開鍵と秘密鍵のペアでユーザ個人の認証を行う方式のこと。公開鍵はサーバ側で管理し、秘密鍵は個人で管理し、これらによりユーザ認証を行う。

• （*6） ログ (log)

  コンピュータの利用状況やデータ通信の記録のこと。一般的に、操作を行った者の ID や操作日時、操作内容などが記録される。

　コンピュータウイルスやコンピュータへの不正な侵入などの被害にあわないために、「情報セキュリティ対策」の意識を高めるための標語及びポスターを、全国の小学生・中学生・高校生から募集します。入選作品は、報道発表し、IPAのホームページにも掲載します。

募集期間：2006年12月1日(金)～2007年3月31日(土)
応募方法：電子メール
　　　　　　　FAX　03-5978-7518
　　　　　　　郵送　〒113-6591
　　　　　　　　　　　東京都文京区本駒込2-28-8　文京グリーンコート16階
　　　　　　　　　　　　　情報処理推進機構（IPA）　セキュリティセンター
　　　　　　　　　　　　　情報セキュリティ標語・ポスター2007事務局　宛

詳しくは、下記のホームページをご参照下さい。

• http://www.ipa.go.jp/security/event/hyogo/2007/boshu.html

表彰：大賞（10万円）、金賞（7万円）、銀賞（5万円）、銅賞（3万円）
　　　　韓国情報保護振興院(KISA)賞（賞品）、その他、参加企業賞あり

お問い合わせ先
標語・ポスター募集に関するお問い合わせ先はこちらです。
独立行政法人 情報処理推進機構　セキュリティセンター　山田／中山／甲斐田
Tel: 03-5978-7508
Fax: 03-5978-7518
E-mail:

　IPA では、 「自社のセキュリティ対策自己診断テスト（情報セキュリティ対策ベンチマーク）」 を Web サイト上に公開しております。

• 自社のセキュリティ対策自己診断テスト（情報セキュリティ対策ベンチマーク）
  http://www.ipa.go.jp/security/benchmark/

　本システムは、企業を対象としたもので、セキュリティ対策状況及び企業情報に関する設問 ( 計 40 問 ) に答えることにより、セキュリティ対策の取組状況を自己採点できるシステムです。

　診断結果は、「貴社のスコア」と「望まれる水準」とが同時に表示され、各社が優先的に取り組むべきセキュリティ対策項目が明らかになります。また、推奨される取り組み事例も提示しますので、今後の対策を強化する上での具体的な改善策がわかります。

　30分程度で自己採点できますので、ぜひ、今後のセキュリティ対策の参考とすべく、ご活用ください。

お問い合わせ先：
独立行政法人 情報処理推進機構 セキュリティセンター（IPA/ISEC）
（ISEC：Information technology SEcurity Center）
TEL：03-5978-7527　FAX：03-5978-7518
E-mail：
URL：http://www.ipa.go.jp/security/