ウイルス 不正アクセスの被害状況と対策の動向 ~IPA への届出を踏まえて ~ 2014 年 5 月独立行政法人情報処理推進機構技術本部セキュリティセンター 岡野裕樹 Copyright 2013 独立行政法人情報処理推進機構

ウイルス・不正アクセスの被害状況と対策の動向

～IPAへの届出を踏まえて～

2014年5月

独立行政法人情報処理推進機構

技術本部 セキュリティセンター

岡野 裕樹

アジェンダ

１．届出制度の紹介

２．ウイルス届出状況

３．不正アクセス届出状況

４．セキュリティ対策の実態

アジェンダ

１．届出制度の紹介

２．ウイルス届出状況

３．不正アクセス届出状況

４．セキュリティ対策の実態

ウイルス・不正アクセスの届出制度



IPAは、ウイルス・不正アクセスの届出機関と

して経済産業省告示で指定されています。



被害の予防、発見、復旧、拡大・再発防止の

ため、定期的に届出状況を公表しています。

「コンピュータウイルス対策基準」

平成7年 通商産業省 告示 第950号

平成16年 経済産業省 告示 第2号

「コンピュータ不正アクセス対策基準」

平成8年 通商産業省 告示 第362号

平成16年 経済産業省 告示 第3号

（参考）

経済産業省告示：コンピュータウイルス対策基準

http://www.meti.go.jp/policy/netsecurity/docs/regulations/esecu07j.pdf

経済産業省告示：コンピュータ不正アクセス対策基準

http://www.meti.go.jp/policy/netsecurity/docs/regulations/esecu06j.pdf

アジェンダ

１．届出制度の紹介

２．ウイルス届出状況

３．不正アクセス届出状況

４．セキュリティ対策の実態

ウイルス届出におけるウイルスとは

第三者のプログラムやデータべースに対して意図的に何らかの被害を及ぼす

ように作られたプログラムであり、 次の機能を一つ以上有するもの。

•

自己伝染機能

–

自らの機能によって他のプログラムに自らをコピーし又はシステム機能

を利用して自らを他のシステムにコピーすることにより、他のシステム

に伝染する機能

•

潜伏機能

–

発病するための特定時刻、一定時間、処理回数等の条件を記憶させ

て、条件が満たされるまで症状を出さない機能

•

発病機能

–

プログラムやデータ等のファイルの破壊を行ったり、コンピュータに異

常な動作をさせる等の機能

経済産業省告示：コンピュータウイルス対策基準

http://www.meti.go.jp/policy/netsecurity/docs/regulations/esecu07j.pdf

主なウイルス、不正プログラム

•

ウイルス

–

W32/Mydoom、W32/Netsky、W32/Mytob、

XM/Laroux、W32/Bagle、W32/Downad、

W32/Autorun、W32/Klez、W32/Myparty、

XM/Mailcab

•

不正

プログラム

–

Bancos、Backdoor、Adware、Redirect、

Trojan/Horse、Malscript、Dropper、Fakeav、

Downloader、Invo

「ウイルス」と「不正プログラム」を明確に区別している

17,425

52,151

54,174

44,840

34,334

21,591

16,392

13,912

12,036

10,351

6,596

1,226 637 222 102 80 70 97 72 23 7 4

0

10,000

20,000

30,000

40,000

50,000

60,000

2003

2004

2005

2006

2007

2008

2009

2010

2011

2012

2013

件数

年

ウイルス届出件数の年別推移（2004年－2013年）

独立行政法人情報処理推進機構 技術本部セキュリティセンター(IPA/ISEC)

（注：四角で囲まれている数字はパソコンに感染があった件数）

Mytobが出現し、2ヶ月余りで70種類もの亜種が登場

依然としてNetskyの届出が多数寄せられる

Netskyの亜種が

次々に登場

2006年に引き続き、Netsky、Mytob

の亜種が次々に登場

ウイルス届出件数の年別推移

マスメール型ウイルス

の届出は減少傾向

セキュリティホールを悪用する

MSBlaster、Welchiaが出現し、猛威をふるう

2013年ウイルス別検出数

23,750

15,388

17,072

18,365

22,369

26,596

24,737

11,341

7,600

8,839 8,539

10,954

0 5,000 10,000 15,000 20,000 25,000 30,000

1月

2月

3月

4月

5月

6月

7月

8月

9月

10月 11月 12月

検出数

ウイルス別検出数 （2013年1月～12月）

その他 （4,024個） XM/Mailcab （313個） W32/Myparty （363個） W32/Klez （401個） W32/Autorun （985個） W32/Downad （1,009個） W32/Bagle （1,308個） XM/Laroux （1,760個） W32/Mytob （5,007個） W32/Netsky （33,183個） W32/Mydoom （147,197個） 独立行政法人情報処理推進機構 技術本部セキュリティセンター(IPA/ISEC) （注：（）内の数字は年間検出数）

2013年ウイルス感染経路

感染経路

2013年

％

2012年

％

メール

5978

90.6%

9391

90.7%

ダウンロードファイル

61

0.9%

92

0.9%

外部からの媒体

8

0.1%

6

0.1%

ネットワーク経由

543

8.2%

859

8.3%

不明・その他

6

0.1%

3

0.02%

合計

6596

10351

2013年不正プログラム別検出数

3,332個

7,571個

14,762個

7,444個

6,729個

9,909個

8,814個

6,753個

9,312個

11,484個

14,711個

11,438個

0 2,000 4,000 6,000 8,000 10,000 12,000

1月

2月

3月

4月

5月

6月

7月

8月

9月

10月

11月

12月

不正プログラム別検出数推移Top10（2013年1月～12月）

Bancos （30,867個） Backdoor （14,844個） Adware （13,817個） Redirect （11,975個） Trojan/Horse （9,596個） Malscript （7,428個） Dropper （7,022個） Fakeav （5,925個） Downloader （5,616個） Invo （5,169個） 独立行政法人情報処理推進機構 技術本部セキュリティセンター(IPA/ISEC)

個数

（注：（）内の数値は年間検出数） （注：四角内の数値は月毎の合計検出数）

2013年ウイルス届出の特徴

•

Bancosの検出数（30,867個）が顕著であった

–

2位のBackdoorの検出数（14,844）の2倍に上った

•

メールでの感染経路が9割を占める

–

ウェブページを閲覧しただけでウイルスに感染するDrive-by

Download攻撃にも注意が必要

•

届出られる件数は少ないものの、ランサムウェアも

検出されている

–

被害に遭ったという

相談

が目立つ

アジェンダ

１．届出制度の紹介

２．ウイルス届出状況

３．不正アクセス届出状況

不正アクセス届出件数推移

407 594 515 331 218 155 ₁₄₉ 197 103 121 168

126

72

176

162

162

120

96

123

75

105

158

0 100 200 300 400 500 600 700 2003年 2004年 2005年 2006年 2007年 2008年 2009年 2010年 2011年 2012年 2013年

不正アクセス届出件数推移(2003年-2013年)

件数

（注：四角で囲まれている数字は被害があった件数）

企業は届出を控える傾向にあるため、2011年からはニュースなどで報道された

事件については、IPAから当該企業あてに届出の協力を要請する仕組みを運用中。

2013年不正アクセス届出の内訳

メール不 正中継 1% 不正アカウント の作成 1% ウェブサイト 改ざん 38% サービス低下 11% ファイルの 書き換え 1% 踏み台として 悪用 26% オンラインサー ビスの不正利 用 10% データの窃 取、盗み見 6% その他 7%

2013年不正アクセス被害内容

ID,パスワード 管理の不備 7% 古いバージョ ン、パッチ未 導入など 17% 設定不備 4% 不明 54% その他(DoS など) 18%

2013年不正アクセス被害原因

2013年不正アクセス届出の特徴

•

ウェブ改ざんの被害の件数が目立った

–

ガンブラーの手口（ウェブ感染型ウイルス）

–

脆弱性の悪用（CMS、サーバ管理ツール）

•

メールアカウントが

乗っ取られ、スパムメール

発信の踏み台

_{になる被害が目立つ}

•

DoS攻撃及びその踏み台に悪用される

（DNS、NTPのamp攻撃）

•

パスワードリスト攻撃

不正アクセス届出件数推移

2 5 5 1 16 6 7 ₅ 0 5 2 4 6 6 16 10 15 27 ₂₆ 7 0 5 10 15 20 25 30 2009 1Q 2009 2Q 2009 3Q 2009 4Q 2010 1Q 2010 2Q 2010 3Q 2010 4Q 2011 1Q 2011 2Q 2011 3Q 2011 4Q 2012 1Q 2012 2Q 2012 3Q 2012 4Q 2013 1Q 2013 2Q 2013 3Q 2013 4Q

ウェブ改ざん届出件数

件数

•

2013年にウェブ改ざんが増加

•

2013年第4四半期以降は例年と同様

ガンブラーの流行

領土問題に関する

近隣諸国からと

思われる攻撃が多発

いわゆるガンブラーの手口

攻撃者

盗難パスワードを

悪用して侵入

ウェブ利用者

_かつ

ウェブサイトの管理者

ID=satou

PASS=abc

一般利用者と

同じ使用方法で

ウイルス感染

ウェブサイト管理

用

_{IDとパスワード}

の盗難

ウェブサイト

改ざん

ウイルス配置

①

④

ウェブサイトの改ざん

＆

_{ウイルスの配置}

②

③

2013年のウェブ改ざんの手口

攻撃者

盗難パスワードを

悪用して侵入

ID=satou

PASS=abc

一般利用者と

同じ使用方法で

ウイルス感染

ウェブサイト管理

用

_{IDとパスワー}

ドの盗難

ウェブサイト

改ざん

ウイルス配置

①

脆弱性を悪用して侵入

③

簡単な

_{FTPパスワードを}

破って侵入

④

⑥

ウェブサイトの改ざん

＆

_{ウイルスの配置}

②

⑤

 アクセス元のIPアドレス

による接続制限を行う

 ウェブ更新用端末でのセキュリ

ティ対策

• Windows Update、各種ソフト

ウェアのアップデート

• ウイルス対策ソフトの導入

 ウェブ更新専用端末の利用

 ウイルス対策ソフト

 改ざん検知

 複雑なパスワード

 アカウントを共有しない

 CMSなどのアップデート

ウェブ改ざん被害内訳

•

ウェブ改ざんの主目的は閲覧者のウイルス感染

2 2 4 3 4 8 10 3 4 9 3 10 19 13 1 3 4 1 3 6 6 16 10 15 27 26

0

10

20

30

2012 1Q 2012 2Q 2012 3Q 2012 4Q 2013 1Q 2013 2Q 2013 3Q

ウェブ改ざん被害内訳

主義主張 ﾄﾞﾗｲﾌﾞ･ﾊﾞｲ･ﾀﾞｳﾝﾛｰﾄﾞ攻撃関連 その他（不明を含む）

件数

ウェブ改ざん被害原因

•

FTPアカウント盗用が多い（漏えい原因不明）

•

脆弱性の悪用（Parallels Plesk Panel、Joomla!、WordPress

、Apache Struts2など）

1 4 2 _{1 1} 6 1 2 1 1 1 2 ₂ 1 1 1 1 1 1 2 2 2 1 4 2 2 1 ₂ 1 2 8 5 1 2 2 8 5 4 6 17 9 8 9 0 5 10 15 20 2013年1月 2013年2月 2013年3月 2013年4月 2013年5月 2013年6月 2013年7月 2013年8月 2013年9月

ウェブ改ざん被害原因別推移

FTPアカウント盗用 脆弱性悪用 ID、PWの管理不備 設定不備 その他 原因不明

amp攻撃の例

パスワードリスト攻撃

•

ウェブサイト側での対策は難しく、利用者にパスワードの使い回しを

行わないように呼びかける必要がある

被害企業

不正ログインの

試行件数（A）

不正ログインの

成立件数（B）

不正ログイン成立

率

※

_（B/A）

A社

約24,000

77

0.32%

B社

約26,000

97

0.37%

C社

約1,110,000

約15,000

1.35%

D社

約240,000

682

0.28%

E社

5,202,002

8,289

0.16%

F社

11,031

126

1.14%

G社

15,457,485

23,926

0.15%

H社

3,945,927

35,252

0.89%

※「不正ログイン成立率」は、企業が公表した数値（AおよびB）を基に、IPAが算出したものです。

アジェンダ

１．届出制度の紹介

２．ウイルス届出状況

３．不正アクセス届出状況

情報セキュリティ対策の実態

Windows Updateの実施：55.9%

セキュリティソフト・サービスの導入・活用：65.6%

実施しているセキュリティ対策

（被害経験のある人）

情報セキュリティ対策の実態

セキュリティパッチの更新をしない理由

（被害経験のある人）

出典： IPA「2013年度 情報セキュリティに対する意識調査」

セキュリティパッチの更新方法がわからない：34.6%

情報セキュリティ対策の実態

セキュリティソフト・サービスを利用しない理由

（被害経験のある人）

MyJVNバージョンチェッカをご活用ください！

IPA ： MyJVN バージョンチェッカ

http://jvndb.jvn.jp/apis/myjvn/vccheck.html

クリックするとチェック結果 の表示順を切り替えること ができます。 チェック結果 詳細情報

IPAからのお願い

Windows XPのサポートが、2014年4月9日に終了しました。

まだ移行していない方は、不正アクセス等を回避するためサポート

の継続する後継OS、または代替OSへの移行が望まれます。

サポート期間中

サポート期間終了後

セキュリティセンター（IPA/ISEC）

http://www.ipa.go.jp/security/

★情報セキュリティ安心相談窓口：

ＴＥＬ：０３（５９７８）７５０９

(平日10:00-12:00、13:30-17:00)

ＦＡＸ ：０３（５９７８）７５１８

E-mail： anshin@ipa.go.jp