第11-31-229号
掲載日:2011年 9月 5日
独立行政法人情報処理推進機構
セキュリティセンター(IPA/ISEC)
IPA (独立行政法人情報処理推進機構、理事長:藤江 一正)は、2011年8月のコンピュータウイルス・不正アクセスの届出状況をまとめました。
(届出状況の詳細PDF資料はこちら)
1. 今月の呼びかけ
「 あなたの銀行口座も狙われている!? 」
― SpyEye(スパイアイ)ウイルスに注意! ―
2011年6月から7月にかけて、インターネットバンキングでの不正利用事件が発生しています。警察に約10の金融機関から被害相談や届出が出されていると報道されるなど、事態の深刻さを受け、IPAでも8月に緊急対策情報※1として注意喚起を行いました。
この不正利用事件は、「SpyEye(スパイアイ)」というウイルスの感染被害で起こった可能性が考えられます。それは、SpyEyeウイルスに、日本の銀行を不正利用する機能が含まれていたためです。
IPAでは、SpyEyeの一種(v1.3.45)を入手し、解析を実施中です。今のところ全ての解析を終えていませんが、ここでは、現時点で判明している解析結果を基に、SpyEyeとはどのようなウイルスで、感染するとどのような動作をするのかを示すとともに、被害に遭わないための対策を紹介します。
http://www.ipa.go.jp/security/topics/alert20110803.html
(1)SpyEyeとは?
SpyEyeとは、本来ウイルスを作成するツールの名称ですが、このツールから作成されたウイルスもSpyEyeと呼ばれるため、ここでは、作成されたウイルス自体を指すことにします。
SpyEyeは、こうしたツールから簡単に作成することができ、また、少しずつ機能の異なるSpyEyeを簡単に作成できるため、多くの亜種が存在しています。
図1-1:ウイルス作成者がツールを使ってウイルスを作り出すイメージ図
それまで、インターネットバンキングのIDとパスワードの窃取を目的としたウイルスは、Zeus(ゼウス)と呼ばれるウイルスを作成するツールから作成されたウイルス(Zeus、Zbot)が主立ったものでした。SpyEyeは、このZeusを基に作られたものと考えられています。
※2 アンダーグラウンドサイト:インターネットを通じて、違法行為や犯罪行為の勧誘や依頼を受けるウェブサイト。
【ii】感染後の動作
- 利用者が閲覧中のウェブサイトで入力したIDとパスワードを窃取
- 窃取した情報をインターネット経由でウイルス作成者が管理しているサーバーに送信
ボットネット機能を使えば、ウイルス作成者がインターネットを通じて感染させたSpyEyeを新しいウイルスに置き換えることができます。ウイルス対策ソフトで検知できない新種ウイルスに置き換え続けることで、より見つかりにくく、長い期間感染させて必要な情報を窃取できるため、利用者にとって重大な脅威となるウイルスといえます。
※3 ボット(bot):ボットとはウイルスの一種で、ボットに感染したパソコンは、インターネットを通じて外部から操られてしまいます。
※4 ボットネット(botnet):ボットネットとは、ボット(bot)に感染したパソコンとそれを操作するサーバーからなるネットワークのこと。
(ご参考)
(2)SpyEyeの感染手口
SpyEyeの主な感染手口として、次の2つが考えられます。
【i】ウェブサイトからダウンロードさせる
図1-2:"ドライブ・バイ・ダウンロード"攻撃のイメージ
(ご参考)
- 「ウェブサイトを閲覧しただけでウイルスに感染させられる"ドライブ・バイ・ダウンロード"攻撃に注意しましょう!」(IPA)
http://www.ipa.go.jp/security/txt/2010/12outline.html
【ii】メールで送りつける
最近では、関係機関や関係者を装い、組織や個人を絞ってウイルスが感染している添付ファイルを送りつける「標的型攻撃」メールも多くなっています
(ご参考)
- 災害情報を装った日本語のウイルスメールについて(IPA)
http://www.ipa.go.jp/security/topics/alert20110404.html
(3)対策
【i】OSやアプリケーションソフトの脆弱性を解消する(ご参考)
- MyJVNバージョンチェッカ(IPA)
http://jvndb.jvn.jp/apis/myjvn/vccheck.html - サーバーソフトウェアもチェック可能となった「MyJVN バージョンチェッカ」
~システム管理者は脆弱(ぜいじゃく)性対策がなされたサーバーソフトウェアの使用を~
http://www.ipa.go.jp/about/press/20110818.html
【ii】ウイルス対策ソフトでウイルスの侵入を防止する
【iii】簡単にメールの添付ファイルを開かない
添付ファイルがあるメールであれば、普段やり取りのある送信者からのメールでも用心し、少しでも不自然だと思うメールであれば、相手に確認を取るか、メールそのものを読まずに削除することが最善策です。
【iv】IDやパスワードを使い回さない
パスワードは、いつでも悪意ある者に狙われているという意識を持つべきです。また、下記のウェブページを参考にしてパスワードの適切な管理を心がけてください。
インターネットバンキングでは、その時だけ有効なパスワードを発行する「ワンタイムパスワード」というサービスを提供していることがあります。IDやパスワードを盗むウイルスに感染していても、一度きりのパスワードのため、仮に盗まれてもその後悪用されることはありませんので、このサービスの利用をお勧めします。
(ご参考)
- 「パスワード ぼくだけ知ってる たからもの」(IPA)
http://www.ipa.go.jp/security/txt/2011/06outline.html
【v】ウイルスに感染してしまった場合の対策
SpyEyeは、ウイルス作成者がいつでも新しいSpyEyeに置き換えることができるため、ウイルス対策ソフトで発見されない場合があります。ウイルスチェックをしても見つからない、または駆除をしたにもかかわらず正常に動作していないと思われるのであれば、パソコンを購入した時の状態に戻す作業(初期化)を行ってください。
実際の作業方法は、パソコンに付属の取扱説明書に記載されている「購入時の状態に戻す」などの手順に沿って作業してください。なお、作業を行う前には、重要なデータのバックアップを忘れずに行ってください。また、バックアップしたデータは、パソコンに戻す前にウイルス対策ソフトでウイルスチェックし、ウイルスが含まれていないことを確認してください。
もし、インターネットバンキングの不正利用の被害に遭ってしまった場合は、当該銀行への問い合わせをしてください。多くの銀行では、ウェブサイトのトップページから問い合わせができるようになっています。さらに、ウイルスに感染していない、自分自身が管理している安全なパソコンから、インターネットバンキングで使用しているパスワードを変更してください。
今月のトピックス
- コンピュータ不正アクセス被害の主な事例(届出状況及び被害事例の詳細は、「3.コンピュータ不正アクセス届出状況」を参照)
- サーバーに不正にログインされ、ファイルを置かれた
- SQLインジェクション攻撃でクレジットカード情報が盗まれ、不正使用された
- 相談の主な事例 (相談受付状況及び相談事例の詳細は、「4.相談受付状況」を参照)
- 無料だと思い、パソコンの処理速度を向上するソフトをインストールしてみた
- Twitterアカウントをなりすまされている
- インターネット定点観測(詳細は、別紙3を参照)
IPA で行っているインターネット定点観測について、詳細な解説を行っています。
2. コンピュータウイルス届出状況 -詳細は別紙1を参照-
(1) ウイルス届出状況
8月のウイルスの検出数※1は、約2.5万個と、7月の約2.3万個から9.6%の増加となりました。また、8月の届出件数※2は、931件となり、7月の1,064件から12.5%の減少となりました。
※1 検出数 : 届出にあたり届出者から寄せられたウイルスの発見数(個数)
※2 届出件数: 同じ届出者から寄せられた届出の内、同一発見日で同一種類のウイルスの検出が複数ある場合は、1日何個検出されても届出1件としてカウントしたもの。
・8月は、寄せられたウイルス検出数約2.5万個を集約した結果、931件の届出件数となっています。
図2-1:ウイルス検出数
図2-2:ウイルス届出件数
(2) 不正プログラムの検知状況
8月は、別のウイルスを感染させようとするDOWNLOADERといった不正プログラムが増加傾向となりました(図2-3参照)。
図2-3:不正プログラムの検知件数推移
9月から12月の期間は、正規のウイルス対策ソフトの最新版が発表される時期となりますが、これに乗じて、「偽セキュリティ対策ソフト」型ウイルスを筆頭に不正プログラムが増加すると考えられます。
利用者は、以下のウェブページを参考にして、感染被害に遭わないように対策を施してください。
- 「深刻化する偽セキュリティ対策ソフトの被害!」(IPA)
http://www.ipa.go.jp/security/txt/2010/06outline.html
3. コンピュータ不正アクセス届出状況(相談を含む) -詳細は別紙2を参照-
表3-1 不正アクセスの届出および相談の受付状況
| 3月 | 4月 | 5月 | 6月 | 7月 | 8月 | ||
|---|---|---|---|---|---|---|---|
| 届出(a) 計 | 6 | 5 | 7 | 9 | 8 | 10 | |
| 被害あり(b) | 6 | 5 | 6 | 9 | 5 | 8 | |
| 被害なし(c) | 0 | 0 | 1 | 0 | 3 | 2 | |
| 相談(d) 計 | 45 | 38 | 55 | 32 | 47 | 37 | |
| 被害あり(e) | 10 | 10 | 14 | 7 | 15 | 13 | |
| 被害なし(f) | 35 | 28 | 41 | 25 | 32 | 24 | |
| 合計(a+d) | 51 | 43 | 62 | 41 | 55 | 47 | |
| 被害あり(b+e) | 16 | 15 | 20 | 16 | 20 | 21 | |
| 被害なし(c+f) | 35 | 28 | 42 | 25 | 35 | 26 | |
(1)不正アクセス届出状況
8月の届出件数は10件であり、そのうち何らかの被害のあったものは8件でした。
(2)不正アクセス等の相談受付状況
不正アクセスに関連した相談件数は37件であり、そのうち何らかの被害のあった件数は13件でした。
(3)被害状況
被害届出の内訳は、侵入7件、DoS攻撃1件でした。
「侵入」の被害は、メールアカウントを外部から勝手に使われて迷惑メール送信に悪用されていたものが1件、ウェブページが改ざんされていたものが1件、データベースからクレジットカード情報が盗まれたものが1件、外部サイトを攻撃するツールを埋め込まれ、踏み台として悪用されていたものが3件、でした(他は詳細不明)。侵入の原因は、ファイアウォールの設定不備が1件、IDやパスワード管理不備と思われるものが1件、ウェブアプリケーションの脆弱性を突かれたものが1件でした(他は原因不明)。
(4)被害事例
[ 侵入 ]
(i)サーバーに不正にログインされ、ファイルを置かれた| 事 例 |
|
|---|---|
解 説 ・ 対 策 |
サーバーに埋め込まれていた不正プログラムが何だったのか明らかにされた、貴重な例です。明らかに、悪意ある者が当該サーバーを操作し、他のサーバーを攻撃しようとしていたことが伺えます。このように、セキュリティの弱いサーバーは、他のサイトを攻撃するための踏み台として乗っ取られるかも知れないという脅威に常に晒されています。管理や設定の抜けが無いか、今一度、確認してください。 (ご参考)
|
(ii)SQLインジェクション攻撃でクレジットカード情報が盗まれ、不正使用された
| 事 例 |
|
|---|---|
解 説 ・ 対 策 |
不要なデータが残ったままになっていたことが、情報漏えいにつながってしまった残念な例です。不要なテーブルやデータを定期的に削除することは、データベースの肥大化やパフォーマンス低下を抑えるために有効ですが、情報漏えい防止の観点からも実施することを勧めます。 金銭の決済をするサイトでは、一度事故が発生するとその被害は甚大となります。サイト運用の際には、侵入検知システム(IDS/IPS など)やWAFを導入し常に監視の目を光らせるとともに、定期的に、専門業者にウェブサイトの脆弱性検査を依頼することを勧めます。本事例のように、決済業務を外部委託することも有効です。 (ご参考)
|
4.相談受付状況
8月のウイルス・不正アクセス関連相談総件数は1,651件でした。そのうち『ワンクリック請求』に関する相談が535件(7月:461件)、『偽セキュリティソフト』に関する相談が7件(7月:8件)、Winny に関連する相談が7件(7月:7件)、「情報詐取を目的として特定の組織に送られる不審なメール」に関する相談が0件(7月:2件)、などでした。
表4-1 IPA で受け付けた全ての相談件数の推移
| 3月 | 4月 | 5月 | 6月 | 7月 | 8月 | ||
|---|---|---|---|---|---|---|---|
| 合計 | 1,723 | 1,608 | 1,640 | 1,692 | 1,490 | 1,651 | |
| 自動応答システム | 1,106 | 997 | 950 | 999 | 889 | 958 | |
| 電話 | 551 | 555 | 620 | 639 | 540 | 639 | |
| 電子メール | 58 | 50 | 62 | 50 | 54 | 50 | |
| その他 | 8 | 6 | 8 | 4 | 7 | 4 | |
(備考)
IPA では、「情報セキュリティ安心相談窓口」を開設し、コンピュータウイルス・不正アクセス、Winny 関連、その他情報セキュリティ全般についての相談を受け付けています。
| メール |  (これらのメールアドレスに特定電子メールを送信しないでください) |
| 電話番号 | 03-5978-7509 (24時間自動応答、ただし IPA セキュリティセンター員による相談受付は休日を除く月~金、10:00~12:00、13:30~17:00のみ) |
| FAX | 03-5978-7518 (24時間受付) |
「自動応答システム」 : 電話の自動音声による応対件数
「電話」 : IPA セキュリティセンター員による応対件数
合計件数には、「不正アクセスの届出および相談の受付状況」における『相談(d) 計』件数を内数として含みます。
図4-1:ワンクリック請求相談件数の推移
(i)無料だと思い、パソコンの処理速度を向上するソフトをインストールしてみた
| 相談 | 何気なくウェブサイトを見ていた時に、「パソコンの処理速度を向上。まずは無料ソフトでエラーチェックを。」といった広告を見つけた。特に警戒もせずにクリックして先に進み、ソフトをインストールして実行したところ、たちまち大量のエラーが検出され、修復するためには有料版ソフトの購入が必要だと警告してきた。 |
|---|---|
| 回答 | 一般的なアプリケーション(プログラム)であれば、Windows Vista/7の場合は、「コントロールパネル」の「プログラムのアンインストール」から、Windows XPの場合は、「コントロールパネル」の「プログラムの追加と削除」から、該当すると思われるプログラム名を「アンインストール」または「削除」することで削除できるはずです。 |
(ii)Twitterアカウントをなりすまされている
| 相談 | 自分で登録したTwitterアカウントが、第三者にパスワードを破られて、乗っ取られてしまった。そのアカウントから、本人(私)になりすまして、自らの評判を落とすような内容のツイートを書き込むといった悪質な行為が行われている。 |
|---|---|
| 回答 | Twitterのアカウントを乗っ取られると、本人が書いたように見せかけて、第三者が自由に書き込みを行えるため、非常に厄介です。
|
5.インターネット定点観測での8月のアクセス状況
インターネット定点観測(TALOT2)によると、2011年8月の期待しない(一方的な)アクセスの総数は10観測点で106,910件、延べ発信元数※は46,101箇所ありました。平均すると、1観測点につき1日あたり149の発信元から345件のアクセスがあったことになります(図5-1参照)。
※延べ発信元数:TALOT2の各観測点にアクセスしてきた発信元を単純に足した数のことを、便宜上、延べ発信元数とする。ただし、同一発信元から同一の観測日・観測点・ポートに複数アクセスがあった場合は、発信元数を1としてカウントする。
TALOT2 における各観測点の環境は、インターネットを利用される一般的な接続環境と同一なので、インターネットを利用される皆さんの環境へも同じくらいの一方的なアクセスがあると考えられます。
図5-1:1観測点・1日あたりの期待しない(一方的な)平均アクセス数と発信元数
上記グラフは2011年3月~2011年8月までの各月の1観測点・1日あたりの平均アクセス数とそれらのアクセスの平均発信元数を示しています。8月の期待しない(一方的な)アクセスは、7月と比べてほぼ同程度でした。
7月と8月の宛先(ポート種類)別アクセス数の比較を図5-2に示します。7月に比べ、増加が観測されたのは、22936/udp、10394/udp、および3389/tcpへのアクセスでした。
22936/udp、および10394/udpはいずれも、特定のアプリケーションで使用されるポートというわけではなく、これらのアクセスが何を目的としたものだったかは不明ですが、どちらも特定の1観測点のみで観測されていました。
3389/tcpは、8月の後半に増加が観測されており(図5-3参照)、国内で定点観測を行っている他の組織でもほぼ同様の傾向が観測されていたとのことです。このポートは、主にRDP※1で使用されるポートであり、このポートを悪用してWindows端末に感染を広げる「Morto※2」と呼ばれるウイルスが見つかっているため、このアクセスがウイルスの感染活動によるものだった可能性があります。
Windows上でリモートデスクトップなどの機能を使用している方は、ウイルスの感染被害に遭わないために、ウイルス対策を再確認するとともに、ログインの際のパスワードを強化するなどの対策を行ってください。
※1 RDP(Remote Desktop Protocol):遠隔でWindows端末の操作ができるリモートデスクトップ機能などで使われるプロトコルのこと。
※2 Morto:RDPを悪用してWindows端末に感染するウイルスの一種。感染すると3389/tcpにポートスキャンを行いリモートデスクトップ機能が有効な端末を探索し、発見した端末に対してパスワードクラッキングを試みる。
図5-2:宛先(ポート種類)別アクセス数の比較(7月/8月)
図5-3:3389/tcp発信元地域別アクセス数の変化(10観測点の合計)
※7/2は保守作業のため、システムを停止しています。
届出の詳細については以下の PDF ファイルをご参照ください。
『他機関・ベンダーの各種統計情報は以下のサイトで公開されています。』
一般社団法人JPCERTコーディネーションセンター:http://www.jpcert.or.jp/
@police:http://www.cyberpolice.go.jp/
フィッシング対策協議会:http://www.antiphishing.jp/
株式会社シマンテック:http://www.symantec.com/ja/jp/
トレンドマイクロ株式会社:http://jp.trendmicro.com/jp/home/
マカフィー株式会社:http://www.mcafee.com/japan/
株式会社カスペルスキー:http://www.viruslistjp.com/analysis/
お問い合わせ先:
独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC)
(ISEC:Information technology SEcurity Center)
TEL:03-5978-7591 FAX:03-5978-7518
E-mail: 
(このメールアドレスに特定電子メールを送信しないでください)
URL:http://www.ipa.go.jp/security/
