(1) "ドライブ・バイ・ダウンロード"攻撃とは

　"ドライブ・バイ・ダウンロード"攻撃とは、ウェブサイトを閲覧した際に、パソコン利用者の意図に関わらず、ウイルスなどの不正プログラムをパソコンにダウンロードさせる攻撃のことをいいます。"ドライブ・バイ・ダウンロード"攻撃では、主に利用者のパソコンの OS やアプリケーションなどの脆弱性が悪用されます。
　攻撃の主な流れについて図1-1を例に説明します。

図1-1："ドライブ・バイ・ダウンロード"攻撃のイメージ

• パソコン利用者が悪意あるウェブサイトを閲覧する（図中【a】）。
• 利用者のパソコンの脆弱性を突かれて、ウイルスをダウンロードさせられる（図中【b】）。
• 利用者のパソコンにウイルスを感染させられる（図中【c】）。

(2) 最近の"ドライブ・バイ・ダウンロード"攻撃の事例について

　"ドライブ・バイ・ダウンロード"攻撃を使った事例としては、2009年から2010年にかけて猛威を振るった、ガンブラーが有名ですが、2010年9月には広告配信サービス会社のサイトを改ざんするという新たな手法を使って国内の多数のウェブサイトに影響を及ぼした攻撃が発生しました。ガンブラーの場合も広告配信サイト改ざんの事例の場合も、正規のウェブサイトを改ざんすることによって、上記（1）で説明した"ドライブ・バイ・ダウンロード"攻撃を応用した、閲覧者を悪意あるウェブサイトに誘導するための仕掛けを施すという手法が使われていました。
　ガンブラーの場合と広告配信サイト改ざんの事例の場合の違いは、攻撃者が改ざんする箇所にありました。具体的な違いは以下のとおりです。

（i) ガンブラーの場合
　ガンブラーの場合は、攻撃者が正規のウェブサイト自体を直接改ざんすることで、当該ウェブサイトの閲覧者が、意図せずに悪意あるウェブサイトに誘導され、ウイルスをダウンロードさせられていました（図1-2参照）。

図1-2：正規のウェブサイトが直接改ざんされた例のイメージ

（ii) 広告配信サイト改ざんの事例の場合
　広告配信サイト改ざんの事例の場合は、ガンブラーのようにウェブサイト自体が改ざんされたわけではなく、ウェブサイトを構成する部品（バナー広告など）が改ざんされていました。攻撃者がウェブサイトを構成する部品を提供している企業のサーバに侵入し、部品を改ざんすることにより、その企業から部品の提供を受けている企業のウェブサイトの閲覧者が、意図せず悪意あるウェブサイトに誘導され、ウイルスをダウンロードさせられるというものでした（図1-3参照）。この事例の場合、正規のウェブサイト側で作成した部分には改ざん箇所が見つからないため、問題箇所の特定が非常に困難です。

図1-3：ウェブページを構成する部品の提供会社のサーバが改ざんされた例のイメージ

　このように今回紹介した新たな事例では、問題箇所を発見しにくいため対策が非常に困難ですが、（3）項に示すような被害軽減策がありますので、利用することをお勧めします。

(3) ウェブサイト管理者向けの対策（被害軽減策）

　今回紹介した事例に適用できるウェブサイト管理者向けの被害軽減策を、以下に説明します。

（i）セキュリティ専門会社が提供しているサービスの利用
　今回紹介した事例における被害を軽減する方法としては、セキュリティ専門会社が提供するサービスを利用することが挙げられます。自身の管理するウェブサイトが、改ざんされていないか、また"ドライブ・バイ・ダウンロード"攻撃に使われていないかを監視するサービスが有効です。

（ii）複数のウイルス対策ソフトによるウェブサイトのチェック
　複数種類（なるべく多い方がよい）のウイルス対策ソフトを用意し、それぞれのウイルス対策ソフトをインストールしたパソコンを使って、自組織のウェブサイトを定期的にチェックします。複数のウイルス対策ソフトでチェックを行うことで、問題箇所を発見できる可能性が高まります。

　また、今回のように自身で作成したウェブサイト自体には改ざん箇所が見当たらないにも関わらず、ウェブサイトの閲覧者から、「あなたの会社のウェブサイトを閲覧したら、ウイルス対策ソフトがウイルスを検知した」などといった連絡があった場合は、IPA に相談してください。

（ご参考）
　情報セキュリティ安心相談窓口（IPA）
　http://www.ipa.go.jp/security/anshin/
　ウェブサイト管理者へ：ウェブサイト改ざんに関する注意喚起
　一般利用者へ：改ざんされたウェブサイトからのウイルス感染に関する注意喚起（IPA）
　http://www.ipa.go.jp/security/topics/20091224.html

(4) パソコン利用者向けの対策

　今回紹介した新たな事例は、ウェブサイト管理者にとっては非常に厄介なものですが、パソコン利用者の対策はこれまでと変わりません。このような攻撃に対する「被害に遭わないための対策」と、被害にあった場合の「復旧のための対策」を以下に示します。

（i）被害に遭わないための対策
　このような攻撃の被害に遭わないためには、Windows などの OS や、アプリケーションの脆弱性を解消しておくことが重要です。一般的に利用の多いアプリケーションは狙われやすい傾向にあるため、脆弱性を解消して、常に最新の状態で使用してください。IPA では利用者のパソコンにインストールされているソフトウェア製品のバージョンが最新であるかを、簡単な操作で確認するツール「MyJVN バージョンチェッカ」を公開しています。

（ご参考）
　MyJVNバージョンチェッカ（IPA）
　http://jvndb.jvn.jp/apis/myjvn/#VCCHECK
　「ホームページからの感染を防ぐために」（サイバークリーンセンター）
　https://www.ccc.go.jp/detail/web/

　また、最近では、ガンブラーや今回紹介した新たな事例のように、正規のウェブサイトが改ざんされ、危険な状態になっている場合があります。このようなサイトからのウイルス感染を防ぐためには、ウイルス対策ソフトの利用が必須です。ウイルス対策ソフトを導入し、ウイルス定義ファイルを最新に保ってください。

（ii）復旧のための対策
　ウェブサイトを閲覧した後、明らかにパソコンの動作がおかしくなり、ウイルスに感染した可能性があると感じられるにも関わらず、ウイルス対策ソフトによるウイルスの発見や駆除ができない場合、IPA では、確実にウイルスを除去する手段として、パソコンの初期化（購入時の状態に戻す）をお勧めします。

（1）ウイルス届出状況

　11月のウイルスの検出数^※1は、約3.2万個と、10月の約3.4万個から7.2%の減少となりました。また、11月の届出件数^※2は、1,094件となり、10月の996件から9.8%の増加となりました。

※1 検出数 ： 届出にあたり届出者から寄せられたウイルスの発見数（個数）
※2 届出件数： 同じ届出者から寄せられた届出の内、同一発見日で同一種類のウイルスの検出が複数ある場合は、1日何個検出されても届出1件としてカウントしたもの。
　・11月は、寄せられたウイルス検出数約3.2万個を集約した結果、1,094件の届出件数となっています。

　検出数の1位は、W32/Netsky で約2.3万個 、2位は W32/Mydoom で約4千個、3位は W32/Autorun で約1千個でした。

図2-1：ウイルス検出数

図2-2：ウイルス届出件数

（2）不正プログラムの検知状況

　2010年11月の不正プログラムの検知状況は、急増した事例は確認されず、10月と同様の傾向となりました（図2-3参照）。
　不正プログラムは、メールの添付ファイルとして配布されるケースが多く、そのメールの配信にはボット^※3に感染したパソコンが悪用されることがあります。
　サイバークリーンセンター^※4では、ボットに関する対策や駆除ツールを提供しています。不正プログラムのメール配信に加担することがないよう、ボットに感染していないか確認するとともに、不正プログラムを取り込まないようにするなど、感染防止のための対策実施が必要です。

（ご参考）
　「感染防止のための知識」（サイバークリーンセンター）
　https://www.ccc.go.jp/knowledge/

　※3 ボットとは、コンピュータウイルス等と同様な方法でコンピュータに感染し、そのコンピュータをネットワークを通じて、外部から操ることを目的として作成されたプログラムです。
　※4 サイバークリーンセンターとは、総務省・経済産業省が連携して実施するボット対策プロジェクトです。
（ご参考）
　サイバークリーンセンターについて
　https://www.ccc.go.jp/ccc/

図2-3：不正プログラムの検知件数推移

表3-1　不正アクセスの届出および相談の受付状況

		6月	7月	8月	9月	10月	11月
届出(a) 計		15	14	18	15	14	14
	被害あり(b)	13	9	12	10	8	7
	被害なし(c)	2	5	6	5	6	7
相談(d) 計		77	44	56	47	40	45
	被害あり(e)	50	23	16	8	15	12
	被害なし(f)	27	21	40	39	25	33
合計(a+d)		92	58	74	62	54	59
	被害あり(b+e)	63	32	28	18	23	19
	被害なし(c+f)	29	26	46	44	31	40

（1）不正アクセス届出状況

　11月の届出件数は14件であり、そのうち何らかの被害のあったものは7件でした。

（2）不正アクセス等の相談受付状況

　不正アクセスに関連した相談件数は45件（うち2件は届出件数としてもカウント）であり、そのうち何らかの被害のあった件数は12件でした。

（3）被害状況

　被害届出の内訳は、侵入4件、DoS 攻撃1件、なりすまし2件でした。
　「侵入」の被害は、ウェブページが改ざんされていたものが2件、外部サイトを攻撃するツールを埋め込まれて踏み台として悪用されていたものが2件、でした。侵入の原因は、脆弱なパスワード設定が2件、OS 及びウェブアプリケーションの脆弱性を突かれたものが1件、でした（他は原因不明）。

（4）被害事例

　11月のウイルス・不正アクセス関連相談総件数は1,692件でした。そのうち『ワンクリック請求』に関する相談が483件（10月：603件）、『セキュリティ対策ソフトの押し売り』行為に関する相談が18件（10月：13件）、Winny に関連する相談が8件（10月：7件）、「情報詐取を目的として特定の組織に送られる不審なメール」に関する相談が10件（10月：1件）、などでした。

　表4-1　IPA で受け付けた全ての相談件数の推移

		6月	7月	8月	9月	10月	11月
合計		1,983	2,133	2,432	2,102	1,813	1,692
	自動応答システム	1,022	1,142	1,298	1,142	1,065	1,036
	電話	829	924	1,053	872	675	580
	電子メール	129	66	75	85	69	72
	その他	3	1	6	3	4	4

（備考）
IPA では、「情報セキュリティ安心相談窓口」を開設し、コンピュータウイルス・不正アクセス、Winny 関連、その他情報セキュリティ全般についての相談を受け付けています。

メール	（このメールアドレスに特定電子メールを送信しないでください）
電話番号	03-5978-7509 （24時間自動応答、ただし IPA セキュリティセンター員による相談受付は休日を除く月〜金、10:00〜12:00、13:30〜17:00のみ）
FAX	03-5978-7518 （24時間受付）

「自動応答システム」　：　電話の自動音声による応対件数
「電話」　：　IPA セキュリティセンター員による応対件数
合計件数には、「不正アクセスの届出および相談の受付状況」における『相談(d) 計』件数を内数として含みます。

図4-1：ワンクリック請求相談件数の推移

主な相談事例は以下の通りです。

(i) 自宅の無線 LAN ルーターに見覚えのない機器が接続されている

相談	自宅の無線 LAN アクセスポイントの接続状況を確認してみたところ、「XX-XX-iPhone」という見覚えのない機器名が登録されていることに気づいた。家族の中で iPhone を使用している者はいないので、なぜ登録されているのか分からない。
回答	無線 LAN 通信の暗号化設定をしていなかったために、自宅周辺で見知らぬ iPhone 利用者が貴方の無線 LAN アクセスポイントに"ただ乗り"していたのだと思われます。無線 LAN を無防備な状態にしていると、無線 LAN 環境を勝手に使用されたり、通信内容を傍受されたりする可能性があります。 無線 LAN を安全に使うためには、適切な暗号化方式（WPA2 および AES）を選択し、パスワードを20文字以上にすることが重要です。 （参考） IPA−一般家庭における無線LANのセキュリティに関する注意 http://www.ipa.go.jp/security/ciadr/wirelesslan.html

(ii) 会社のパソコンに USB メモリを挿したらウイルスが見つかった

相談	普段から USB メモリを使って、会社のパソコン（ウイルス対策ソフトあり）と自宅のパソコン（ウイルス対策ソフトなし）の間で業務文書のやり取りをしていた。ある時、USB メモリを会社のパソコンに挿したら、「ウイルスが検出されました」とウイルス対策ソフトが警告を出した。どうしたらいいか。
回答	会社のパソコンについては、ウイルス感染前にウイルス対策ソフトが検知していますので感染していないと思いますが、ウイルス対策ソフトが入っていない自宅のパソコンには感染している可能性が高いです。 会社で使用しているウイルス対策ソフトならば検知可能ということですので、同じメーカーのウイルス対策ソフトを購入し自宅のパソコンをチェックしてみることをお勧めします。 一歩間違えば、会社のパソコンにもウイルスが感染していた可能性があります。社内で USB メモリを使うルールについて、改めて検討をすべきです。 （参考） IPA−2009年5月の呼びかけ「 USB メモリのセキュリティ対策を意識していますか？」 http://www.ipa.go.jp/security/txt/2009/05outline.html

　インターネット定点観測(TALOT2)によると、2010年11月の期待しない(一方的な)アクセスの総数は10観測点で83,479件、延べ発信元数^※は38,329箇所ありました。平均すると、1観測点につき1日あたり128の発信元から278件のアクセスがあったことになります(図5-1参照)。

※延べ発信元数：TALOT2 の各観測点にアクセスしてきた発信元を単純に足した数のことを、便宜上、延べ発信元数とする。ただし、同一発信元から同一の観測日・観測点・ポートに複数アクセスがあった場合は、発信元数を1としてカウントする。

　TALOT2 における各観測点の環境は、インターネットを利用される一般的な接続環境と同一なので、インターネットを利用される皆さんの環境へも同じくらいの一方的なアクセスがあると考えられます。

図5-1：1観測点・1日あたりの期待しない(一方的な)平均アクセス数と発信元数

　2010年6月〜2010年11月までの各月の1観測点・1日あたりの平均アクセス数とそれらのアクセスの平均発信元数を図5-1に示します。11月の期待しない（一方的な）アクセスは、10月と比べて減少しました。
　10月と11月の宛先（ポート種類）別アクセス数の比較を図5-2に示します。これをみると、10月に比べ、特に増加が観測されたのは 445/tcp へのアクセスでした。これは、10月の下旬から TALOT2 の複数の観測点に対して海外の複数の発信元からのアクセスが増えたものでした。
　また、6月、8月、9月の報告で取り上げました 9415/udp へのアクセスは、10月の中旬をピークに、減少に転じている傾向が観測されていました（図5-3 参照）。この 9415/udp は、中国のあるサイトで公開されている、プロキシ機能を持つソフトが、このポートで待ち受けを行うことが確認されていますが、このポートを探索する中国からのアクセスが減少したことが要因と推測されます。

（ご参考）
　2010年5月のインターネット定点観測（TALOT2）での観測状況について（IPA）
　http://www.ipa.go.jp/security/txt/2010/documents/TALOT2-1006.pdf
　2010年8月のインターネット定点観測（TALOT2）での観測状況について（IPA）
　http://www.ipa.go.jp/security/txt/2010/documents/TALOT2-1009.pdf
　2010年9月のインターネット定点観測（TALOT2）での観測状況について（IPA）
　http://www.ipa.go.jp/security/txt/2010/documents/TALOT2-1010.pdf

図5-2：宛先（ポート種類）別アクセス数の比較（10月/11月）

図5-3：9415/tcp 発信元地域別アクセス数の変化（10観測点の合計）

以上の情報に関して、詳細はこちらのサイトをご参照ください。

• 別紙3_インターネット定点観測（TALOT2）での観測状況について

届出の詳細については以下の PDF ファイルをご参照ください。

• 本紙_コンピュータウイルス・不正アクセスの届出状況[11月分]
• 別紙1_コンピュータウイルスの届出状況について［詳細］
• 別紙2_コンピュータ不正アクセスの届出状況について［詳細］

一般社団法人JPCERTコーディネーションセンター：http://www.jpcert.or.jp/
@police：http://www.cyberpolice.go.jp/
フィッシング対策協議会：http://www.antiphishing.jp/
株式会社シマンテック：http://www.symantec.com/ja/jp/
トレンドマイクロ株式会社：http://jp.trendmicro.com/jp/home/
マカフィー株式会社：http://www.mcafee.com/japan/

独立行政法人 情報処理推進機構 セキュリティセンター（IPA/ISEC）
（ISEC：Information technology SEcurity Center）
TEL：03-5978-7527　FAX：03-5978-7518
E-mail：
　　　　　（このメールアドレスに特定電子メールを送信しないでください）
URL：http://www.ipa.go.jp/security/