コンピュータウイルス・不正アクセスの届出状況[2008年7月分]について

(1)プラグインの概要

プラグインとは、ウェブブラウザなどのアプリケーションソフトに組み込むことによって,追加機能を提供するプログラムのことです。（図1-1参照） 　例えばウェブブラウザ上で、Adobe Reader のプラグインを利用すれば、PDF（Portable Document Format）ファイルを閲覧することができ、QuickTime のプラグインを利用すれば、動画ファイルなどを再生することができます。同様に Flash Player のプラグインを利用すれば、Flash コンテンツなどの再生を行うことができます。 　このように、プラグインを利用することで、アプリケーションソフトの機能拡張を実現できます。

(2)Flash Player の問題点

　Flash Player の脆弱性を悪用する Flash コンテンツ（ウイルス）が掲載されたウェブサイトが増えてくると、ウイルスに感染する被害が、広範囲に及ぶ可能性があります。この被害を防ぐためには、最新版の、脆弱性のない Flash Player を使う必要があります。しかし、Flash Player は他のプラグインとは異なり、現状、以下の問題が存在するため、脆弱性が存在する古いバージョンのまま使われがちになります。

(a) パソコンの購入時から既にインストールされている場合もあるなど、ほとんどのウェブブラウザに組み込まれており、ユーザが意識せずに利用していることが多い。

(b) 自動更新の仕組みが不十分^(*)な上に、実際の更新作業手順が複雑である。

(c) 使用しているウェブブラウザ毎に更新を行う必要があることが見落とされがちである。

 

　　　　(*)自動で更新確認が行われる頻度が、初期設定で30日間隔のため。
　　　　　設定は、「Flash Player 設定マネージャ」から変更します。
　　　　　詳細については、以下のサイトを参考にしてください。
　　　　　(ご参考)
　　　　　Flash Player ヘルプ - 設定マネージャ
http://www.macromedia.com/support/documentation/jp/flashplayer/help/settings_manager.html

 

　このような問題を抱えていることを認識し、常に最新版の Flash Player を使うように心がけることが重要です。

(3)Flash Player の脆弱性を悪用するウイルスについて

IPA で解析を行ったウイルスについて説明します。このウイルスは、Flash Player の脆弱性を悪用します。この脆弱性は、悪意のある Flash コンテンツを開くことによって、任意の命令が実行されてしまうというものです(※3)。この脆弱性がある Windows 版 Flash Player で、当該ウイルスが組みこまれた Flash コンテンツが掲載されたウェブサイトを、閲覧しただけで、このウイルスに感染してしまいます（図1-2（1）及び（2））。 　このウイルスが感染すると、ダウンローダ（ダウンロード支援ツール）として動作し（図1-2（3）及び（4））、特定のウェブサイトから、別のウイルスを取り込みます（図1-2（5））。取り込まれたウイルスは、「orz.exe」の名前で保存され、同時に実行されます（図1-2（6））。

　ウイルスが取り込まれてしまったパソコンでは、個人情報が盗まれたり、パソコンが乗っ取られたりするなどの被害を受ける可能性があります。

　ウイルス対策ソフトを最新の状態で使っていたとしても、ウイルスを検知できない場合もあります。そのため、脆弱性を解消することは必須です。以下に示す手順（（4）および（5））を参考に、Flash Player の確認をして下さい。

※3　JVNDB-2008-001284：
　　　 http://jvndb.jvn.jp/contents/ja/2008/JVNDB-2008-001284.html

(4)Flash Player の確認手順

　お使いのウェブブラウザに、Flash Player がインストールされているかの確認を行うため、「Adobe Flash Playerサポートセンター
（http://www.adobe.com/jp/support/flashplayer/）」 のページから「Adobe Flash Player バージョン確認テスト」をクリックして下さい。Internet Explorer (以下、IE とする)を使った場合の表示例を図1-3に示します。この手順はどのウェブブラウザを使っても確認できます。なお、お使いのウェブブラウザ全てについて、この手順を実施して下さい。

ウェブブラウザに Flash Player がインストールされていない場合は、図1-3の点線枠部分が図1-4のように表示されます。この場合、更新作業は必要ありません。 　図1-3の点線枠部分が図1-5のようにバージョン情報が表示される場合、ウェブブラウザに Flash Player がインストールされています。この場合、表示されたバージョン情報と、図1-3の画面を下にスクロールすることで表示される「現在の Flash Player バージョン」（図1-6）の該当するウェブブラウザのバージョンとを比較し、最新バージョンかどうかを確認して下さい。 　Flash Player のバージョンが最新（図1-6の該当ウェブブラウザが示すバージョンと一致）の場合は作業終了です。最新でない（図1-6の該当ウェブブラウザが示すバージョンに満たない）場合は「（5）Flash Player の更新手順」に進み、最新版への更新を行って下さい。

(5)Flash Player の更新手順

　まずインストールされている Flash Player をアンインストールします。アンインストールの手順を以下に示します。
＜アンインストール手順＞
　 （i）以下のサイトから「Adobe Flash Player アンインストーラ」をダウンロードします。
　　　http://support.adobe.co.jp/faq/faq/qadoc.sv?230810+002
　 （ii）全てのアプリケーションを終了してから、アンインストーラを実行します。
　 （iii）パソコンを再起動します。　
　
　次に以下の専用サイトから最新版の Flash Player をインストールしますが、ウェブブラウザが IE の場合とそれ以外（Firefox、Opera、Safari など）の場合で手順が異なるので、ここでは分けて説明します。

＜インストール手順＞ 【IE の場合】 （i）図1-7に示す通り、IE のインターネットゾーンのセキュリティレベルが「高」に設定してある場合、インストールができないので、Flash Player 導入に必要なウェブサイトを「信頼済みサイト」に追加する必要があります。手順はインターネットオプション画面（「スタート」→「コントロールパネル」→「インターネットオプション」）からセキュリティタブを指定し、「信頼済みサイト」を指定した状態で「サイト」ボタンをクリックし、表示されたウィンドウから以下のサイトを追加登録して下さい。 　　　 http://*.adobe.com 　　　 http://*.macromedia.com

（ii）次に IE でインストール専用サイト（http://www.adobe.com/go/JP-H-GET-FLASH）を開き、「今すぐインストール」のボタンをクリックします。
このとき、同時にインストールするオプションとして「無償 Google ツールバー」のチェックボックスが有効になっていますが、特に必要なければチェックを外し無効にしておいて下さい。

　　　　
【IE以外の場合】

（i）ウェブブラウザでインストール専用サイト（http://www.adobe.com/go/JP-H-GET-FLASH）を開き、「今すぐインストール」のボタンをクリックします。

（ii）「install_flash_player.exe を開く」というダイアログ・ボックスが表示されるので「ファイルを保存」をクリックし、ファイルをダウンロードします。保存場所は適宜指定して下さい。

（iii）ウェブブラウザを終了し、ダウンロードした「install_flash_player.exe」を実行します。

 

　どちらの場合も、Flash Player のインストール完了後、再度「（4）Flash Player の確認手順」を実施し、Flash Player のバージョンが最新になっているか確認して下さい。

(ご参考）
Webブラウザを使い続けるための"お勧め"設定【プラグイン編】
http://itpro.nikkeibp.co.jp/article/COLUMN/20080605/306754/

　ウイルスの検出数^(※1)は、 約19.1万個と、6月の約23.6万個から19.1%の減少となりました。また、7月の届出件数^(※2)は、1,448件となり、6月の2,002件から27.7%の減少となりました。

※1 検出数 ： 届出にあたり届出者から寄せられたウイルスの発見数（個数）
※2 届出件数： 同じ届出者から寄せられた届出の内、同一発見日で同一種類のウイルスの検出が複数ある場合は、1日何個検出されても届出1件としてカウントしたもの。
　・7月は、寄せられたウイルス検出数約19.1万個を集約した結果、1,448件の届出件数となっています。

　検出数の1位は、W32/Netsky で約18万個 、2位は W32/Mytob で約3千個、3位は W32/Mydoom で約2千個でした。

不正アクセスの届出および相談の受付状況

		2月	3月	4月	5月	6月	7月
届出(a) 計		4	19	14	4	13	19
	被害あり(b)	4	13	10	4	11	18
	被害なし(c)	0	6	4	0	2	1
相談(d) 計		29	35	56	37	36	49
	被害あり(e)	10	15	31	18	15	26
	被害なし(f)	19	20	25	19	21	23
合計(a+d)		33	54	70	41	49	68
	被害あり(b+e)	14	28	41	22	26	44
	被害なし(c+f)	19	26	29	19	23	24

（1）不正アクセス届出状況

　7月の届出件数は19件であり、そのうち何らかの被害のあったものは18件でした。

（2）不正アクセス等の相談受付状況

　不正アクセスに関連した相談件数は49件（うち6件は届出件数としてもカウント）であり、そのうち何らかの被害のあった件数は26件でした。

（3）被害状況

　被害届出の内訳は、侵入6件、DoS 攻撃が2件、アドレス詐称が2件、その他（被害あり）8件でした。
　侵入届出の被害は、SQL^※インジェクション^※攻撃を受けて結果としてウェブページコンテンツを改ざんされたものが2件、他サイト攻撃の踏み台として悪用されたものが3件、ftp サーバ経由で侵入され、ウェブページコンテンツを改ざんされたものが1件、でした。侵入の原因は、脆弱性によるものが2件、推測され易いパスワードが破られたものが2件、サーバのネットワーク設定の不備が1件、ftp アカウント情報の悪用によるものが1件、でした。
その他（被害あり）の被害として、オンラインサービスのサイトに本人になりすまして何者かにログインされ、サービスを勝手に利用されていたものが5件（ネットオークション3件、オンラインゲーム2件）、などがありました。

※SQL（Structured Query Language）…リレーショナルデータベースマネジメントシステム（RDBMS）において、データの操作や定義を行うための問合せ言語のこと。
※SQL インジェクション…データベースへアクセスするプログラムの不具合を悪用し、正当な方法以外でデータベース内のデータを閲覧したり書き換えしたりする攻撃のこと。

（4）被害事例

　7月の相談総件数は1,387件であり、過去最多の件数となりました。そのうち『ワンクリック不正請求』に関する相談が457件（6月：372件）と大幅に増加し、過去最悪となりました。その他は、『セキュリティ対策ソフトの押し売り』行為に関する相談が14件（6月：14件）、Winny に関連する相談が4件（6月：4件）などでした。

　表4-1　IPA で受け付けた全ての相談件数の推移

		2月	3月	4月	5月	6月	7月
合計		350	654	938	1,080	1,211	1,387
	自動応答システム	192	373	514	649	693	817
	電話	110	214	335	379	456	500
	電子メール	47	66	87	48	60	70
	その他	1	1	2	4	2	0

（備考）
IPA では、コンピュータウイルス・不正アクセス、Winny 関連、その他情報セキュリティ全般についての相談を受け付けています。
メール： （ウイルス）、（不正アクセス）

             （Winny緊急相談窓口）、（その他）
電話番号： 03-5978-7509（24時間自動応答、ただし IPA セキュリティセンター員による相談受付は休日を除く月～金、10:00～12:00、13:30～17:00のみ）
FAX： 03-5978-7518 （24時間受付）
「自動応答システム」　：　電話の自動音声による応対件数
「電話」　：　IPA セキュリティセンター員による応対件数
合計件数には、「不正アクセスの届出および相談の受付状況」における『相談(d) 計』件数を内数として含みます。

主な相談事例は以下の通りです。

(i) いつも見ていたサイトにアクセスしたらウイルス検知

相談	ある有名な企業のサイトにアクセスしたら、ウイルス対策ソフトがウイルスを検知した。このサイトは毎日見ているもの。前日も見ていたが、何も反応は無かった。これはどういうことか。
回答	企業のサイトが、悪意ある者によって改ざんされていたようです。改ざんの結果、その企業サイトにアクセスするだけで、ウイルスをダウンロードさせられてしまう仕掛け（スクリプト）が埋め込まれていました。この仕掛けは、OS やアプリケーションの脆弱性を攻撃するものですので、脆弱性を解消しておけば、ウイルスをダウンロードさせられることはありません。Microsoft Update や、使っているアプリケーションの更新作業を実施することで、OS やアプリケーションを常に最新の状態にしておきましょう。 （ご参考） IPA - 呼びかけ：「いつも見ていたウェブサイトなのにウイルス検知？」 http://www.ipa.go.jp/security/txt/2008/03outline.html

(ii) 個人でサーバを立てて運用しているサイトが攻撃を受けた？

相談	突然、ウェブサーバに対して大量のリクエストが殺到し、サーバがダウンした。攻撃元と思われる IP アドレスは、様々であった。数時間経って、ようやく落ち着いた。
回答	攻撃されたというサイトの URL で検索を掛けたところ、相談者のサイトに書かれていた記事が某有名ニュースサイトに紹介されていたことが分かりました。そのニュースサイトを見た人々が、リンクをクリックして一斉に当該サイトにアクセスしたために、一時的に DoS 攻撃を受けたような状況になってしまっていたようです。 （ウェブサーバのアクセスログを確認してもらったところ、相談者のサイトへのリンク元ページの情報である「Referer 情報」は、正に当該ニュースサイトの URL でした）

　インターネット定点観測(TALOT2)によると、2008年7月の期待しない（一方的な）アクセスの総数は10観測点で148,028件、総発信元数(^※)は63,407箇所ありました。1観測点で見ると、1日あたり205の発信元から478件のアクセスがあったことになります。
総発信元数（^※）：TALOT2 にアクセスしてきた発信元の総数。なお、同一発信元から同一観測日・観測点・ポートにアクセスがあった場合は1つの発信元としてカウント。

　TALOT2 での1観測点の環境は、インターネットを利用される一般的な接続環境と同一なので、インターネットを利用される皆さんの環境へも同じくらいの一方的なアクセスがあると考えられます。言い換えれば、あなたのコンピュータは、毎日、平均して、205人の見知らぬ人(発信元)から、発信元一人当たり約2件の不正と思われるアクセスを受けていると言うことになります。

　2008年2月～2008年7月までの各月の1観測点での1日あたりの平均アクセス数および、それらのアクセスの平均発信元数を図5-1に示します。この図を見ると、7月の期待しない（一方的な）アクセスは6月と比べて減少しており、過去6ヶ月間を通してみても、減少傾向を示していると言えます。

　2008年7月のアクセス状況が、6月と比べて減少した原因は、主に Windows のファイル共有やプリンタ共有の脆弱性を狙った不正アクセスと思われる 445/tcp へのアクセスと、Windows Messenger サービスを利用したポップアップ(スパム)メッセージを送信するアクセスである 1028/udp へのアクセスが減少したためです。その他のポートへのアクセス数については大きな変化はありませんでした。

以上の情報に関して、詳細はこちらのサイトをご参照ください。

• 別紙3_インターネット定点観測（TALOT2）での観測状況について

届出の詳細については以下の PDF ファイルをご参照ください。

• 本紙_コンピュータウイルス・不正アクセスの届出状況[7月分]
• 別紙1_コンピュータウイルスの届出状況について［詳細］
• 別紙2_コンピュータ不正アクセスの届出状況について［詳細］

@police：http://www.cyberpolice.go.jp/
トレンドマイクロ株式会社：http://jp.trendmicro.com/jp/home/
マカフィー株式会社：http://www.mcafee.com/japan/

独立行政法人 情報処理推進機構 セキュリティセンター（IPA/ISEC）
（ISEC：Information technology SEcurity Center）
TEL：03-5978-7527　FAX：03-5978-7518
E-mail：
URL：http://www.ipa.go.jp/security/