情報処理推進機構セキュリティセンター(IPA/ISEC)は3日、2月のコンピュータウイルス、不正アクセスの届出状況を発表した。「今月の呼びかけ」では、オンラインサービスで本人確認に使う ID とパスワードの不正利用による金銭的被害が相次いでいるとして、その原因と対策を解説し、ID とパスワードの適切な管理を呼びかけている。
■2月のコンピュータウイルス、不正アクセスの届出状況
2月のウイルス検出数は約5.5万個で、1月の7.2万個から23.8%減少した。届出件数は1436件で、先月の1154件から24.4%の増加となった。検出数の1位は、W32/Netsky(約3.7万個)、2位はW32/Mumu(約7000個)、3位はW32/Mydoom(約5100個)。また、2009年11月中旬以降は減少していた「偽セキュリティ対策ソフト」型ウイルス(FAKEAV)の検知件数が、1月下旬より急増しているとして、メールの添付ファイルに継続して注意を払うよう促している。
不正アクセスの届出件数は27件(1月20件)で、そのうち被害のあったものは17件(1月12件)。被害内容は「侵入」6件、「DoS 攻撃」2件、「なりすまし」7件、「不正プログラム埋め込み」2件。「侵入」被害6件は、Webぺージに不正コードを挿入されたものが3件、Webサーバー内に他サイトを攻撃あるいは探索するための不正プログラムが置かれたものが2件、SQLインジェクション攻撃を受けてWebサーバー内のクレジットカード情報などを盗まれたものが1件。
侵入の原因は、ガンブラーの手口と推測されるものが3件、ID/パスワード管理不備と思われるものが2件、Webアプリケーションの脆弱性を突かれたものが1件。「なりすまし」被害7件は、オンラインサービスのサイトに本人になりすましてログインし、サービスを勝手に利用していたもので、オンラインゲーム3件、ブログサイト2件など。
不正アクセスの「侵入」被害事例として、ガンブラー被害から復旧したが再度被害にあった例、SQLインジェクション攻撃対策は実施していたのに、同攻撃によりクレジットカード情報が1万件以上奪取された例をあげ、解説と対策を示している。
2月の相談総件数は1789件(1月2150件)で、うち「ワンクリック不正請求」関連が637件(1月638件)、「セキュリティ対策ソフトの押し売り」関連が26件(1月37件)、Winny関連が1件(1月1件)などだった。
■今月の呼びかけ:IDとパスワードの適切管理を(サイフと同じく大切に!)
IDとパスワードが盗まれる原因について、報道事例や寄せられた相談事例から、IPAは4つに分類している。「単純なパスワードのため、推測や総当り攻撃で破られた」「ウイルス感染で盗まれた」「フィッシング詐欺で盗まれた」「ソーシャルエンジニアリング(技術を用いず人間心理や社会の盲点を突く方法)で盗まれた」。
これらの多くは自分自身の注意で防ぐことができるとし、「破られにくいパスワードを作成する」「ウイルス対策ソフトを導入し、ウイルス感染を防ぐ」「フィッシング詐欺やソーシャルエンジニアリングに騙されない」方法について解説している。
また、オンラインサービス事業者が提供しているサービスとして「ログイン履歴が確認できるサービス」「不正ログインに、本人が気付くことができるサービス」「ワンタイムパスワードのサービス」を紹介し、活用することを勧めている。
それでも被害にあってしまうこともある。オンラインショップやカード会社から大量に会員情報やカード情報が漏えいした事件は記憶に新しい。購入手続き簡素化のため、クレジットカード情報を保存しているオンラインサービスの場合、IDとパスワードが不正利用されれば、金銭的被害に直結してしまう。クレジットカードの明細書を確認し、身に覚えのない請求があれば、ただちにクレジットカード会社とオンラインサービス事業者に報告し、対応を求めること。併せて消費生活センターに相談することも勧めている。
【関連URL】
・コンピュータウイルス・不正アクセスの届出状況【2010年2月分】(IPA/ISEC)
http://www.ipa.go.jp/about/press/20100303.html
(2010/03/04 ネットセキュリティニュース)