(1) 「ワンクリック不正請求」とは

　「ワンクリック不正請求」とは、アダルトサイトで動画を観ようと画像をクリックして次へ次へと進んで行った利用者に対し、悪意ある者が本人の意思に反して会員登録し料金を請求する手口です。アニメやゲームなど、アダルト以外のサイトから誘導されることも多く、年齢・性別を問わず、多くの相談が寄せられています。

(a)従来の手口

　不正請求を行うサイトにアクセスし、[無料]や[サンプル]といったボタンを押すと、料金の請求画面を表示する、ウイルスなどの悪意のあるプログラム(exe 形式)がダウンロード、インストールされます。その結果、パソコンを起動すると当該プログラムが自動実行され、毎回、請求画面が表示されるようになってしまいます。(パソコンがインターネットに接続されていなくても請求画面が表示されます。)
　この場合の対処方法は、インストールされたプログラムを削除することです。ウイルス感染後であっても、概ね、ウイルス対策ソフトで対応が可能です。

 

(b)新たな手口

2月頃に現れた新たな手口は、従来のように悪意のあるプログラム(exe 形式)をインストールすることなく、そのプログラムがパソコンの設定を改ざんすることで、パソコンの起動時にウェブブラウザを利用してインターネット上のアダルトサイトに勝手に接続し、請求画面を表示させるというものです。

　この手口でウェブブラウザに表示された請求画面は、右上の×ボタンで閉じたり、画面の端に移動したりといった操作ができない仕掛けになっており、表示を止めることができません(図1-2参照)。

 

　この場合、ウイルスがパソコン内に潜んでいる訳ではないため、症状が出てしまうと、現状のウイルス対策ソフトでは対応できません。

 

　実際に行う対処方法は、ウェブブラウザでアダルトサイトに勝手に接続するように設定された命令を解除することです。そのためには、「システム構成ユーティリティ」(※1)を利用して、追加されたスタートアップ項目を解除します。こうすることで、パソコン起動時に、アダルトサイトに接続させられることはなくなります。ただし、完全に設定情報を元に戻すためには、システム設定データ(レジストリ)を編集する必要がありますが、このデータに対して誤った編集を行うと、必要なプログラムが起動しなくなる危険があります。

 

　このように、一度被害に遭ってしまうと、完全に復旧するためには専門的な知識が必要になるなど、対処することは非常に困難です。

※1 Windows のシステム構成の問題を診断、修復するためのソフトウェア。これを用いてシステム構成を変更することで、Windows 起動時に悪意あるプログラムが自動起動される設定を解除することができる。但し、Windows 2000には装備されていない。

(2)対策

(a)予防策

　被害に遭わないための対策は、Windows の機能である"ファイルのダウンロード-セキュリティの警告"画面に表示された内容をよく読み、安易に[実行]ボタンを押さないことです(図1-3参照)。
　この"警告"画面は、画像や動画を再生するときに表示されるものではありません。悪意がある可能性のあるプログラムをパソコンに取り込もうとしていることを警告する画面です。ホームページを閲覧しているとき、この警告画面が表示されたら[キャンセル]ボタンを押して、悪意のあるプログラムを取り込まないようにしてください。

 

　ただし、悪意のあるプログラムではないと判断できた場合でも、ソフトウェアをダウンロードする際は[保存]を選択してダウンロードし、ウイルス対策ソフトで検査してから開く(実行する)ようにしてください。

※画像のクリックで拡大表示

 

　被害が報告されたウェブサイトの中には、図入りの説明を用意し、言葉巧みに"セキュリティの警告"画面で[実行]ボタンをクリックさせるように仕向けるなど、手口が巧妙になっている事例が確認されました(図1-4参照)。ウェブサイトの説明を鵜呑みにせず、メッセージ等をよく読んで、少しでもおかしいと感じたらそこから先には進まないようにしてください。

 

　例えば、今回の事例とは直接関係ありませんが、IPAに寄せられた相談事例では、「アダルトサイトの入口ページに『利用料金が発生する』旨の案内が記載されているにも関わらず、よく読まなかった」、「『どうせ嘘だろう』と軽く考えてクリックして先に進んで行ったあげく、請求画面が表示されるようになってしまった」というものが大多数を占めていました。ウェブサイトに記載された注意事項などをよく確認していれば被害は未然に防止できますので、利用者はクリックする前に十分注意してください。(図1-5参照)。

 

(b)事後対策

　Windows XP や Windows Vista には、システムの復元機能があります。この機能を利用し、料金請求画面が表示される前の状態にシステムを復元することで解決できます。

（ご参考）
　 「システムの復元のやり方」（マイクロソフト社）
　 http://www.microsoft.com/japan/windowsxp/pro/business/feature/
performance/restore.mspx

 

　システムの復元が正常に完了しない場合は、システム設定データ(レジストリ)を編集する方法もありますが、操作を誤るとパソコンが起動しなくなる危険があります。知識がない(自信がない)場合は、編集しないようにしてください。

 

　なお、対処方法がわからない場合は IPA にご連絡ください。以下の窓口にて電話対応しておりますので、パソコンを操作できる状態でご相談ください。

 

コンピュータウイルス 110番 　電話番号：03-5978-7509 (24時間自動応答、ただし相談員による 　　　　　　　 相談受付は休日を除く月〜金の10:00〜12:00、13:30〜17:00のみ)

 

（ご参考）
　「ワンクリック不正請求に関する注意喚起」(IPA)
　　http://www.ipa.go.jp/security/topics/alert20080909.html

　ウイルスの検出数^(※1)は、 約11.9万個と、2月の約12.8万個から7.7%の減少となりました。また、3月の届出件数^(※2)は、1,674件となり、2月の1,463件から14.4%の増加となりました。

※1 検出数 ： 届出にあたり届出者から寄せられたウイルスの発見数（個数）
※2 届出件数： 同じ届出者から寄せられた届出の内、同一発見日で同一種類のウイルスの検出が複数ある場合は、1日何個検出されても届出1件としてカウントしたもの。
　・3月は、寄せられたウイルス検出数約11.9万個を集約した結果、1,674件の届出件数となっています。

　検出数の1位は、W32/Netsky で約10.5万個 、2位は W32/Mytob で約5千個、3位は W32/Mydoom で約3千個でした。

表3-1　不正アクセスの届出および相談の受付状況

		10月	11月	12月	1月	2月	3月
届出(a) 計		17	18	10	10	9	20
	被害あり(b)	12	12	7	7	6	13
	被害なし(c)	5	6	3	3	3	7
相談(d) 計		58	39	38	29	35	40
	被害あり(e)	22	19	19	13	14	11
	被害なし(f)	36	20	19	16	21	29
合計(a+d)		75	57	48	39	44	60
	被害あり(b+e)	34	31	26	20	20	24
	被害なし(c+f)	41	26	22	19	24	36

（1）不正アクセス届出状況

　3月の届出件数は20件であり、そのうち何らかの被害のあったものは13件でした。

（2）不正アクセス等の相談受付状況

　不正アクセスに関連した相談件数は40件(うち3件は届出件数としてもカウント)であり、そのうち何らかの被害のあった件数は11件でした。

（3）被害状況

　被害届出の内訳は、侵入4件、不正プログラム埋込9件、でした。
　「侵入」の被害は、SQL^※インジェクション^※攻撃を受け、サーバ上でコマンドを実行されたものが1件、他サイト攻撃の踏み台として悪用されたものが2件、ウェブサーバ内のコンテンツデータが消去されたものが1件、でした。侵入の原因は、脆弱性を突かれたことによるものが1件、SSH^※で使用するポートへのパスワードクラッキング^※攻撃と思われるものが1件、その他のパスワードクラッキング攻撃と思われるものが1件、でした(残りの1件は原因不明)。

※SQL (Structured Query Language) : リレーショナルデータベースマネジメントシステム(RDBMS)において、データの操作や定義を行うための問合せ言語のこと。
※SQL インジェクション : データベースへアクセスするプログラムの不具合を悪用し、正当な方法以外でデータベース内のデータを閲覧したり書き換えしたりする攻撃のこと。
※SSH (Secure Shell) : ネットワークを介して遠隔のコンピュータと通信するためのプロトコルの一つ。
※パスワードクラッキング (password cracking) : 他人のパスワードを、解析するなどして探り当てること。ブルートフォース攻撃(総当り攻撃)や辞書攻撃といった手法があり、クラッキング用のプログラムも存在する。

（4）被害事例

　3月の相談総件数は1,406件でした。そのうち『ワンクリック不正請求』に関する相談が503件（2月：355件）、『セキュリティ対策ソフトの押し売り』行為に関する相談が3件（2月：17件）、Winny に関連する相談が6件（2月：7件 ）、「情報詐取を目的として特定の組織に送られる不審なメール」に関する相談が1件（2月：5件 ）、などでした。

　表4-1　IPA で受け付けた全ての相談件数の推移

		10月	11月	12月	1月	2月	3月
合計		1,171	713	839	960	1,051	1,406
	自動応答システム	677	363	458	529	521	758
	電話	441	288	331	390	472	597
	電子メール	47	62	49	39	57	49
	その他	6	0	1	2	1	2

（備考）
IPA では、コンピュータウイルス・不正アクセス、Winny 関連、その他情報セキュリティ全般についての相談を受け付けています。

メール	（これらのメールアドレスに特定電子メールを送信しないでください）
電話番号	03-5978-7509 （24時間自動応答、ただし IPA セキュリティセンター員による相談受付は休日を除く月〜金、10:00〜12:00、13:30〜17:00のみ）
FAX	03-5978-7518 （24時間受付）

「自動応答システム」　：　電話の自動音声による応対件数
「電話」　：　IPA セキュリティセンター員による応対件数
合計件数には、「不正アクセスの届出および相談の受付状況」における『相談(d) 計』件数を内数として含みます。

 
図4-1　ワンクリック不正請求相談件数の推移

主な相談事例は以下の通りです。

(i) インターネット上に自分の作ったデータが流出？

相談	Google で情報を検索していたら、自分が作成したと思われる名簿ファイルや日記ファイルがヒットした。ウイルスに感染して、パソコンからデータが流出したのか？
回答	パソコン内のデータが、検索結果に表示されている可能性があります。「Google デスクトップ」というアプリケーションがインストールされているのではないでしょうか。このアプリケーションが入っていると、情報検索の際、パソコン内も検索範囲になります。最近では、購入時からプリインストールされていることもあります。コントロールパネルから、パソコン内にインストールされているプログラム一覧を確認することができます。

(ii) Windows 98 や Me で使えるウイルス対策ソフトはあるか

相談

メールを送受信したり、ちょっとホームページを見るくらいしかパソコンを使わないので、今でも Windows 98 を使い続けている。ウイルスが心配なのでウイルス対策ソフトを入れようと思うが、ソフト販売店には売っていなかった。どうすれば良いか。

回答

Windows 98 や Me は、セキュリティ上の問題が解決されませんので、今後の利用はお勧めしません。既にマイクロソフトによるサポートが終了しており、脆弱性が発見されても修正プログラムは提供されないためです。脆弱性の種類によっては、パソコンをインターネットにつないでいるだけで、ウイルスに感染してしまう場合があります。悪意のあるサイトを閲覧しただけで、ウイルスに感染してしまう場合もあります。セキュリティ対策の基本は、脆弱性の解消です。逆に言えば、脆弱性を解消していなければ、他にどんな対策をしていても片手落ちになるということです。 「インターネットにつながないから問題無いでしょう」という意見もありますが、安全とは言えません。最近は USB メモリを介してデータ交換をする機会が多くなっており、USB メモリを媒介として感染を広げるウイルスが多く出回っているためです。 （ご参考） IPA - パソコンユーザのためのウイルス対策7箇条 http://www.ipa.go.jp/security/antivirus/7kajonew.html

　インターネット定点観測(TALOT2)によると、2009年3月の期待しない(一方的な)アクセスの総数は10観測点で136,437件、総発信元(※)は44,646箇所ありました。平均すると、1観測点につき1日あたり144の発信元から444件のアクセスがあったことになります(図5-1)。
※総発信元：TALOT2 にアクセスしてきた発信元の総数。同一発信元から同一の観測日・観測点・ポートに複数アクセスがあった場合でも、発信元数は1としてカウント。

　TALOT2 における各観測点の環境は、インターネットを利用される一般的な接続環境と同一なので、インターネットを利用される皆さんの環境へも同じくらいの一方的なアクセスがあると考えられます。

【図5-1 1観測点・1日あたりの期待しない(一方的な)平均アクセス数と発信元数】

　2008年10月〜2009年3月までの各月の1観測点・1日あたりの平均アクセス数とそれらのアクセスの平均発信元数を図5-1に示します。3月の期待しない(一方的な)アクセスは2月と比べて大幅に減少しました。

(1) 445/tcp へのアクセス

　2月と比較して3月は 445/tcp へのアクセスが大幅に減少しましたが、過去1年間を通してみると、2月はアクセス数が特別多かったに過ぎず、3月は2月より前の水準に戻ったと言えます (図5-2参照)。
　445/tcp へのアクセスが2月に増加したタイミングはメンテナンスによるシステムの停止がきっかけでしたが、3月に減少したタイミングも不定期に行っている TALOT2 の観測点の変更がきっかけでした。それぞれのタイミングで 445/tcp へのアクセス数が大きく変化したことについて、本質的な要因は特定できておりません。

【図5-2　445/tcp発信元地域別アクセス数の変化】

以上の情報に関して、詳細はこちらのサイトをご参照ください。

• 別紙3_インターネット定点観測（TALOT2）での観測状況について

届出の詳細については以下の PDF ファイルをご参照ください。

• 本紙_コンピュータウイルス・不正アクセスの届出状況[3月分]
• 別紙1_コンピュータウイルスの届出状況について［詳細］
• 別紙2_コンピュータ不正アクセスの届出状況について［詳細］

2009年第1四半期のコンピュータウイルス・不正アクセス届出状況

• 2009年第1四半期[1月〜3月]コンピュータウイルス届出状況
• 2009年第1四半期[1月〜3月]不正アクセス届出状況

@police：http://www.cyberpolice.go.jp/
トレンドマイクロ株式会社：http://jp.trendmicro.com/jp/home/
マカフィー株式会社：http://www.mcafee.com/japan/

独立行政法人 情報処理推進機構 セキュリティセンター（IPA/ISEC）
（ISEC：Information technology SEcurity Center）
TEL：03-5978-7527　FAX：03-5978-7518
E-mail：
　　　　　（このメールアドレスに特定電子メールを送信しないでください）
URL：http://www.ipa.go.jp/security/