IPAは、毎月発表するコンピュータウイルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、企業や個人が運営しているWebサイトを改ざんされる事例が多発していることを受け、注意を喚起している。

改ざんされたWebサイトは、閲覧したユーザーのパソコンをウイルスに感染させる仕掛けが組み込まれている可能性がある。改ざんされたWebサイトのユーザーから、「ウイルスを検知した」、「ウイルスに感染した」といった届出や相談がIPAに寄せられているとのことである。

改ざんされたWebサイトの運営者は、被害者にどころか、Webサイトの利用者のパソコンにウイルスを感染させてしまう加害者となる点にも注意してほしい。最悪の場合、ウイルスの「ばらまきサイト」に仕立て上げられてしまう危険性もある。

Webサイト改ざんの原因と対策

IPAでは、Webサイトの改ざんがどのような手口で行われるかを分析している。基本的には、そのWebサイトの更新を行うために使われるftpアカウント(IDやパスワード)を盗み出され、正規のユーザーになりすまされるというものが多い。さらに、アカウントを盗み出すために、悪意を持った攻撃者は、スパイウェアを使用しているとのことである。

改ざんされたWebページには、不正なスクリプトが埋め込まれ、そのページを閲覧した一般ユーザーを、ウイルスが仕掛けられた悪意あるWebサイトにアクセスさせる。一般ユーザーが悪意あるWebサイトを閲覧した場合、ユーザーのPCに脆弱性があると、脆弱性を悪用しウイルスに感染させられてしまう。

このようなWebサイトの改ざんを防ぐにどのようにすればよいのか?IPAではいくつかの具体的な対策をあげている。まずは、Webサイト上の全ページのソースの確認である。改ざんの手口として、不正なスクリプトが埋めこまれる。そこで、Webページのソースに不審な記述がないかを確認することである。ここで注意すべきなのは、Webブラウザではその違いに気がつくことはない。必ずソースコードを表示させることだ。<script>タグの中に難読化された不正なスクリプトが混入されている。

不正なスクリプトのサンプル(IPAのWebサイトより)

また、アカウントの不正利用では、ftpアカウントが使われることがある。そこで、自分がアクセスしていない日時に、ftpのアクセスが行われていないかを確認することだ。さらには、企業の場合では、ftpのアクセスログを定期的にチェックすることも効果的である。

また、予防策として、ftpのアクセス制限(アクセスできるIPアドレスを制限する、VPNで接続するなど)、改ざん検知システムやサービスを導入する、といった対策も有効となる。IPAでは、改ざんされた状態が長くなればなるほど、ユーザーに被害が拡大する恐れがあり、早期の対応が重要としている。

改ざんされた場合の対処方法

Webサイトが改ざんされた場合、被害の拡大を防ぐために何よりも早急な対応が求められる。まずは、Webサイトを公開停止したうえで、原因究明および修正作業に着手することである。もし、ftpのログに不審なアクセスログがあるならば、Webページの公開に利用しているftpアカウントを乗っ取られて、悪意あるページをアップロードされている可能性が推測される。ただちに、ftpアカウントのパスワードを変更し、その後、正規のページに不正なスクリプトが含まれていないことを確認したうえで、改ざんされたページと置き換えて、再公開を行う。

パスワードの変更後も同様の手口で再度Webページが改ざんされた場合は、パスワードなどの情報漏えいが発生している可能性がある。上述のように、スパイウェアなどに感染し、パスワードなどの情報が盗み出されている可能性がある。該当するPCを一度、クリーンな状態に初期化を行い、再度、パスワードを変更するなどの対策を講じてほしい。 さらにIPAでは、原因を排除し、改ざんページの修正、再公開を完了させた後、Webサイトのユーザーに向けた、改ざんの事実とウイルスに感染する危険性があった旨の注意喚起、および謝罪文を掲載することを推奨している。場合によっては、ユーザーからの問い合わせ対応を行う窓口を用意することも望ましい対応となる。

また、IPAでは、Webサイト改ざん、ウイルス感染などの被害に遭った際は、届出を可能な限り行ってほしいとしている。届け出られた情報を統計的に分析し、個人や組織を特定できる情報を除いたうえで、毎月公開している。また、対策情報を発信する際にも活用しているとのことだ。

ユーザー側の対策

ユーザーが、改ざんされたWebページを閲覧しウイルスに感染する場合、画面上に何も表示されず、見た目ではウイルスの感染に気づけないことがほとんどである。さらに最近のウイルスは、感染しても目立った動きをしないものが多い(ステルス化が進んでいる)。そして、ユーザーに気づかれないように、個人情報などを狙うウイルスが多い。このようなウイルス感染を防ぐためには、以下の点に注意すべきである。

WindowsやMac OSなどのOS、Microsoft OfficeやAdobe Readerなどのアプリケーションソフトで、脆弱性が発見された場合には、すみやかにその対策を行うこと。最新版への更新や修正プログラムを適用し、脆弱性を速やかに解消することである。

さらに、ウイルス対策として、ウイルス対策ソフトの定義ファイルを常に最新の状態に保つこと、ウイルス検知機能を常時有効にすることである。また、市販のウイルス対策ソフトでは、危険なWebサイトを事前に警告する機能を持つものがある。これを利用して、危険なWebサイトを決して閲覧しないようにすることも対策として有効となる。

2009年上半期(1月~6月)コンピュータウイルスと不正アクセスの届出状況

今月の呼びかけと同時に、2009年上半期のコンピュータウイルスと不正アクセスの届出状況も発表された。詳細についてはこちらを参照いただきたい。ここでは、その概略を紹介しよう。

まずは、コンピュータウイルスである。届出件数は9,282件となり、ここ数年は減少傾向となっている。2006年上半期と比較すると、23,828件から9,282件と約4割も減少している。これは、大量メール配信型のウイルスなどがほとんど発生していないことによる。ウイルス検出数の推移も同様に、減少傾向が見られる。これは、最も多数の報告が寄せられているW32/Netskyの検出数が減少していることが原因とのことだ。一方、2008年の10月、11月にはW32/Autorun、2009年4月にはW32/Downadといったウイルスが猛威をふるったことは記憶に新しい。

W32/Autorunは、USBメモリ経由で感染を拡げるもので、その被害は広範囲に及んだ。同様に、W32/DownadにもUSBメモリ経由で感染する機能を持つ亜種が出現している。IPAでは、新たな感染経路をもつウイルスが急速に拡大する危険性を指摘し、ウイルス対策を怠らないようにとしている。

不正アクセスについては、2009年上半期の届出件数は合計63件であり、30件の減少(先期比約68%)となった。具体的な被害があった件数も27件減少(先期比約62%)となった。これらの被害は、「侵入」、「メール不正中継」、「ワーム感染」、「DoS」、「アドレス詐称」、「なりすまし」、「不正プログラム埋込」、「その他(被害あり)」などである。そして、被害の原因は、ID・パスワード管理不備が7件、古いバージョン使用・パッチ未導入が9件、設定不備が2件などとなっている。