ウイルス 不正アクセスの被害状況と対策の動向 ~IPA への届出を踏まえて ~ 04 年 5 月独立行政法人情報処理推進機構技術本部セキュリティセンター 岡野裕樹 Copyright 03 独立行政法人情報処理推進機構
アジェンダ. 届出制度の紹介. ウイルス届出状況 3. 不正アクセス届出状況 4. セキュリティ対策の実態
アジェンダ. 届出制度の紹介. ウイルス届出状況 3. 不正アクセス届出状況 4. セキュリティ対策の実態
ウイルス 不正アクセスの届出制度 IPA は ウイルス 不正アクセスの届出機関として経済産業省告示で指定されています コンピュータウイルス対策基準 平成 7 年通商産業省告示第 950 号平成 6 年経済産業省告示第 号 コンピュータ不正アクセス対策基準 平成 8 年通商産業省告示第 36 号平成 6 年経済産業省告示第 3 号 被害の予防 発見 復旧 拡大 再発防止のため 定期的に届出状況を公表しています ( 参考 ) 経済産業省告示 : コンピュータウイルス対策基準 http://www.meti.go.jp/policy/netsecurity/docs/regulations/esecu07j.pdf 経済産業省告示 : コンピュータ不正アクセス対策基準 http://www.meti.go.jp/policy/netsecurity/docs/regulations/esecu06j.pdf 3
アジェンダ. 届出制度の紹介. ウイルス届出状況 3. 不正アクセス届出状況 4. セキュリティ対策の実態 4
ウイルス届出におけるウイルスとは 第三者のプログラムやデータべースに対して意図的に何らかの被害を及ぼすように作られたプログラムであり 次の機能を一つ以上有するもの 自己伝染機能 自らの機能によって他のプログラムに自らをコピーし又はシステム機能を利用して自らを他のシステムにコピーすることにより 他のシステムに伝染する機能 潜伏機能 発病するための特定時刻 一定時間 処理回数等の条件を記憶させて 条件が満たされるまで症状を出さない機能 発病機能 プログラムやデータ等のファイルの破壊を行ったり コンピュータに異常な動作をさせる等の機能 経済産業省告示 : コンピュータウイルス対策基準 http://www.meti.go.jp/policy/netsecurity/docs/regulations/esecu07j.pdf 5
主なウイルス 不正プログラム ウイルス W3/Mydoom W3/Netsky W3/Mytob XM/Laroux W3/Bagle W3/Downad W3/Autorun W3/Klez W3/Myparty XM/Mailcab 不正プログラム Bancos Backdoor Adware Redirect Trojan/Horse Malscript Dropper Fakeav Downloader Invo ウイルス と 不正プログラム を明確に区別している 6
ウイルス届出件数の年別推移 件数 ウイルス届出件数の年別推移 (004 年 -03 年 ) 60,000 50,000 5,5 54,74 44,840 Mytob が出現し ヶ月余りで 70 種類もの亜種が登場依然として Netsky の届出が多数寄せられる 40,000 34,334 006 年に引き続き Netsky Mytob の亜種が次々に登場 30,000 Netsky の亜種が次々に登場,59 マスメール型ウイルスの届出は減少傾向 0,000 0,000 7,45 セキュリティホールを悪用する MSBlaster Welchia が出現し 猛威をふるう 6,39 3,9,036 0,35 6,596 0,6 637 0 80 70 97 7 3 7 4 003 004 005 006 007 008 009 00 0 0 03 ( 注 : 四角で囲まれている数字はパソコンに感染があった件数 ) 独立行政法人情報処理推進機構技術本部セキュリティセンター (IPA/ISEC) 年 7
03 年ウイルス別検出数 検出数ウイルス別検出数 (03 年 月 ~ 月 ) 30,000 その他 6,596 (4,04 個 ) XM/Mailcab 3,750 4,737 5,000 (33 個 ),369 W3/Myparty (363 個 ) W3/Klez 0,000 7,07 8,365 (40 個 ) W3/Autorun (985 個 ) 5,388 W3/Downad 5,000 (,009 個 ),34 W3/Bagle 0,954 (,308 個 ) 0,000 8,839 XM/Laroux 8,539 7,600 (,760 個 ) W3/Mytob (5,007 個 ) 5,000 W3/Netsky (33,83 個 ) W3/Mydoom (47,97 個 ) 0 月 月 3 月 4 月 5 月 6 月 7 月 8 月 9 月 0 月 月 月 ( 注 :() 内の数字は年間検出数 ) 独立行政法人情報処理推進機構技術本部セキュリティセンター (IPA/ISEC) 8
03 年ウイルス感染経路 感染経路 03 年 % 0 年 % メール 5978 90.6% 939 90.7% ダウンロードファイル 6 0.9% 9 0.9% 外部からの媒体 8 0.% 6 0.% ネットワーク経由 543 8.% 859 8.3% 不明 その他 6 0.% 3 0.0% 合計 6596 035 9
03 年不正プログラム別検出数,000 0,000 8,000 6,000 4,000,000 個数 0 3,33 個 不正プログラム別検出数推移 Top0(03 年 月 ~ 月 ) 7,57 個 4,76 個 7,444 個 ( 注 : 四角内の数値は月毎の合計検出数 ) 6,79 個 9,909 個 8,84 個 6,753 個 9,3 個,484 個 4,7 個,438 個 月 月 3 月 4 月 5 月 6 月 7 月 8 月 9 月 0 月 月 月 Bancos (30,867 個 ) Backdoor (4,844 個 ) Adware (3,87 個 ) Redirect (,975 個 ) Trojan/Horse (9,596 個 ) Malscript (7,48 個 ) Dropper (7,0 個 ) Fakeav (5,95 個 ) Downloader (5,66 個 ) Invo (5,69 個 ) ( 注 :() 内の数値は年間検出数 ) 独立行政法人情報処理推進機構技術本部セキュリティセンター (IPA/ISEC) 0
03 年ウイルス届出の特徴 Bancos の検出数 (30,867 個 ) が顕著であった 位の Backdoor の検出数 (4,844) の 倍に上った メールでの感染経路が 9 割を占める ウェブページを閲覧しただけでウイルスに感染する Drive-by Download 攻撃にも注意が必要 届出られる件数は少ないものの ランサムウェアも検出されている 被害に遭ったという相談が目立つ
アジェンダ. 届出制度の紹介. ウイルス届出状況 3. 不正アクセス届出状況 4. セキュリティ対策の実態
不正アクセス届出件数推移 700 件数 不正アクセス届出件数推移 (003 年 -03 年 ) 600 500 400 407 594 55 33 300 00 00 0 8 97 55 68 49 03 6 7 76 6 6 0 96 3 75 05 58 003 年 004 年 005 年 006 年 007 年 008 年 009 年 00 年 0 年 0 年 03 年 ( 注 : 四角で囲まれている数字は被害があった件数 ) 企業は届出を控える傾向にあるため 0 年からはニュースなどで報道された事件については IPA から当該企業あてに届出の協力を要請する仕組みを運用中 3
03 年不正アクセス届出の内訳 03 年不正アクセス被害内容 03 年不正アクセス被害原因 オンラインサービスの不正利用 0% データの窃取 盗み見 6% メール不正中継 % その他 7% 不正アカウントの作成 % ウェブサイト改ざん 38% その他 (DoS など ) 8% ID, パスワード管理の不備 7% 古いバージョン パッチ未導入など 7% 踏み台として悪用 6% 設定不備 4% ファイルの書き換え % サービス低下 % 不明 54% 4
03 年不正アクセス届出の特徴 ウェブ改ざんの被害の件数が目立った ガンブラーの手口 ( ウェブ感染型ウイルス ) 脆弱性の悪用 (CMS サーバ管理ツール ) メールアカウントが乗っ取られ スパムメール発信の踏み台になる被害が目立つ DoS 攻撃及びその踏み台に悪用される (DNS NTP の amp 攻撃 ) パスワードリスト攻撃 5
不正アクセス届出件数推移 件数 ウェブ改ざん届出件数 30 5 0 5 ガンブラーの流行 6 領土問題に関する近隣諸国からと思われる攻撃が多発 6 5 7 6 0 5 0 009 Q 5 5 009 Q 009 3Q 009 4Q 00 Q 6 00 Q 7 00 3Q 5 00 4Q 0 0 Q 5 0 Q 0 3Q 4 0 4Q 6 6 0 Q 0 Q 0 3Q 0 0 4Q 03 Q 03 Q 03 3Q 7 03 4Q 03 年にウェブ改ざんが増加 03 年第 4 四半期以降は例年と同様 6
いわゆるガンブラーの手口 盗難パスワードを悪用して侵入 攻撃者 ウェブサイト 改ざんウイルス配置 3 ウェブサイトの改ざん & ウイルスの配置 ウェブサイト管理用 ID とパスワードの盗難 ID=satou PASS=abc 4 一般利用者と同じ使用方法でウイルス感染 ウェブ利用者かつウェブサイトの管理者 7
03 年のウェブ改ざんの手口 3 脆弱性を悪用して侵入 アクセス元の IP アドレスによる接続制限を行う 盗難パスワードを悪用して侵入 攻撃者 ウェブサイト CMS などのアップデート 簡単な FTP パスワードを 4 破って侵入 複雑なパスワード アカウントを共有しない 改ざんウイルス配置 5 ウェブサイトの改ざん & ウイルスの配置 ウイルス対策ソフト 改ざん検知 ウェブサイト管理用 ID とパスワードの盗難 ID=satou PASS=abc 6 一般利用者と同じ使用方法でウイルス感染 ウェブ更新用端末でのセキュリティ対策 Windows Update 各種ソフトウェアのアップデート ウイルス対策ソフトの導入 ウェブ更新専用端末の利用 ウェブ利用者かつ ウェブサイトの管理者 8
ウェブ改ざん被害内訳 件数 ウェブ改ざん被害内訳 30 主義主張 7 6 ト ライフ ハ イ タ ウンロート 攻撃関連 3 0 その他 ( 不明を含む ) 6 3 5 9 3 0 0 6 6 3 4 0 Q 0 Q 9 0 4 3 0 4 3 4 0 3Q 0 4Q 03 Q 8 03 Q 0 03 3Q ウェブ改ざんの主目的は閲覧者のウイルス感染 9
ウェブ改ざん被害原因 0 ウェブ改ざん被害原因別推移 FTP アカウント盗用 脆弱性悪用 7 5 ID PW の管理不備 設定不備 その他 原因不明 8 0 5 0 9 9 8 8 6 5 5 4 4 6 4 03 年 月 03 年 月 03 年 3 月 03 年 4 月 03 年 5 月 03 年 6 月 03 年 7 月 03 年 8 月 03 年 9 月 FTP アカウント盗用が多い ( 漏えい原因不明 ) 脆弱性の悪用 (Parallels Plesk Panel Joomla! WordPress Apache Struts など ) 0
amp 攻撃の例 DNS だけではなく NTP が悪用される事案も発生した
パスワードリスト攻撃 被害企業 不正ログインの試行件数 (A) 不正ログインの成立件数 (B) 不正ログイン成立率 (B/A) A 社 約 4,000 77 0.3% B 社 約 6,000 97 0.37% C 社 約,0,000 約 5,000.35% D 社 約 40,000 68 0.8% E 社 5,0,00 8,89 0.6% F 社,03 6.4% G 社 5,457,485 3,96 0.5% H 社 3,945,97 35,5 0.89% 不正ログイン成立率 は 企業が公表した数値 (A および B) を基に IPA が算出したものです ウェブサイト側での対策は難しく 利用者にパスワードの使い回しを行わないように呼びかける必要がある
アジェンダ. 届出制度の紹介. ウイルス届出状況 3. 不正アクセス届出状況 4. セキュリティ対策の実態 3
情報セキュリティ対策の実態 実施しているセキュリティ対策 ( 被害経験のある人 ) Windows Update の実施 :55.9% セキュリティソフト サービスの導入 活用 :65.6% 出典 : IPA 03 年度情報セキュリティに対する意識調査 http://www.ipa.go.jp/about/press/039.html 4
情報セキュリティ対策の実態 セキュリティパッチの更新をしない理由 ( 被害経験のある人 ) セキュリティパッチの更新方法がわからない :34.6% 出典 : IPA 03 年度情報セキュリティに対する意識調査 http://www.ipa.go.jp/about/press/039.html 5
情報セキュリティ対策の実態 セキュリティソフト サービスを利用しない理由 ( 被害経験のある人 ) 費用がかかる :34.6% 出典 : IPA 03 年度情報セキュリティに対する意識調査 http://www.ipa.go.jp/about/press/039.html 6
MyJVN バージョンチェッカをご活用ください! IPA : MyJVN バージョンチェッカ http://jvndb.jvn.jp/apis/myjvn/vccheck.html クリックするとチェック結果の表示順を切り替えることができます チェック結果 詳細情報 7
IPA からのお願い Windows XP のサポートが 04 年 4 月 9 日に終了しました まだ移行していない方は 不正アクセス等を回避するためサポートの継続する後継 OS または代替 OS への移行が望まれます サポート期間中 サポート期間終了後 IPA XP 移行 検索 8
https://www3.jitec.ipa.go.jp/jitescbt/ 9
セキュリティセンター (IPA/ISEC) http://www.ipa.go.jp/security/ 情報セキュリティ安心相談窓口 : TEL:03(5978)7509 ( 平日 0:00-:00 3:30-7:00) FAX :03(5978)758 E-mail: anshin@ipa.go.jp 30