IPA、4月のコンピューターウイルス・不正アクセス届出状況を発表
コンピュータウイルス・不正アクセスの届出状況[4月分]について
独立行政法人 情報処理推進機構(略称 IPA、理事長:藤原 武平太)は、2007年4月のコンピュータウイルス・不正アクセスの届出状況をまとめました。
今月の呼びかけ:
「 サポートが終了したOSを搭載したPCの危険性を認識しよう!! 」
― ぜい弱性(*1)が解消できず、被害に遭う可能性が極めて高い!! ―
現在、一般で広く利用されているPCのOS(オペレーティングシステム)として、Windows XP、2000、98/Me等がありますが、Windows 98/Meは2006年7月に製造元のサポートが終了しています。
しかし、当機構のウイルス・不正アクセスの相談受付状況を見ますと、Windows 98/Meの製造元によるサポートが終了した後でも、表1のとおりWindows 98/Me利用者からの相談件数の割合は減少しているものの、まだ1割弱の方から相談を受けています。また、当機構のウイルスの届出受付状況をみますと、Windows 98/Meの製造元によるサポートが終了した後でも、表2のようにWindows 98/Meのユーザからの届出が2.5%ある状況です。
表1:2006年度OS種別相談状況
※ 関連資料参照
表2:2006年度OS種別ウイルス届出状況
※ 関連資料参照
一方、インターネット上にはOSのぜい弱性(セキュリティホールとも呼ばれる)(*1)を狙った悪意のあるプログラムが数多く存在していますが、それらは Windows 98/Meのサポートが終了した今でも、Windows 98/Meだけを対象としたものではありませんが、Windows 98/Meでも不正行為を行うことができる悪意のあるプログラムが確認されております。
以上のような状況を踏まえまして、今回サポートが終了したWindows 98/Meの利用の問題点等について緊急に呼びかけを行うことといたしました。
参考:
マイクロソフト社の情報
Windows 98、および Windows Me に対するサポート終了のご案内
http://www.microsoft.com/japan/windows/support/endofsupport.mspx
サポートが終了したOSを搭載したPCを利用し続ける場合、以下のような問題が発生します。
(1)PCに新しいぜい弱性(*1)が発見されても、製造元からは修正プログラムが配布されません。ぜい弱性が発見されるたびにOSのぜい弱な部分が蓄積されていくこととなり、ぜい弱性だらけのPCになってしまいます。
(2)OSのサポート終了とともに、そのOSの上で稼動するアプリケーションソフトの製造元もサポートを終了していくこととなります。特にウイルス対策ソフトは、製品自身のサポート終了とともにウイルスのパターン情報の更新もされなくなることが予想されることから、今後新たに出現する新種のウイルスに対応できなくなります。
(3)PCに何かトラブルが起きた場合、OSの製造元に問い合せてもサポート終了とともに「問い合せ対応」も終了することが多いため、OSのサポート終了後のトラブルについては自分で対応しなければならなくなります。
この様な状態のPCをインターネットに接続して利用した場合、以下のような被害が発生することが推測されます。
(1)「穴だらけのPC」をネットワークに接続した場合、当然ながらどこからでも自由にPCに侵入されてしまい、ウイルス感染、情報の漏えい等、いろいろな被害を受けることになります。しかも、通常はそれらの被害からPCを守るために導入しているウイルス対策ソフトも「ウイルスのパターン情報が更新されない」状態ですので、被害は広がるばかりになってしまいます。
(2)最近のインターネット上における攻撃は、ぜい弱性(*1)のあるPCを狙ってくるのはもちろんですが、ぜい弱性のあるPCに不正なプログラムを埋め込み、そのPCを悪用してインターネットに接続している他の数多くのPCに迷惑メールを送りつけるなどの手口が増えてきています。このため、自分のPCのぜい弱性は自分自身の問題だけではすまなくなってきており、このようなPCをインターネットに接続することは他の人にも迷惑をかけるということを認識してください。
<サポートされていないOSに存在するぜい弱性を突く攻撃による感染例>
※ 関連資料参照
したがって、サポートが終了したOSを搭載したPCを利用するということは、上述したように非常に危険な行為であるということをよく理解していただき、できることなら使用しないことが望ましいです。どうしてもお使いになりたい場合は、インターネットはもとより社内や家庭のネットワークにも接続しない状態で利用することをお勧めします。
(ご参考)
当機構のオープンソースソフトウェアセンター(OSS)では、現在お使いのOS等をLinux等のオープンソースに移行したいと考えている利用者に対して、注意事項や導入方法等を提言するための調査を行っています。
調査結果が出るのは本年末になりますが、興味のある方は以下のサイトを参考にしてください。
http://www.ipa.go.jp/software/open/ossc/2006/hp/koubo1.html
【JVN iPediaの公開】
「情報セキュリティ早期警戒パートナーシップ」において取り扱われた脆弱性、および国内で利用されているソフトウェア等の製品に関する脆弱性を対象として、その概要や対策情報を収集・蓄積する「脆弱性対策情報データベース(JVN iPedia)」を2007年4月25日に公開しました。
JVN iPediaは、1998年に発見された脆弱性から収集を行い、2007年4月公表時点で約3,500件の脆弱性対策情報を蓄積しています。目的の脆弱性対策情報を容易に探すために検索機能(キーワード、製品別、ID、日付、CVSSによる深刻度)を備え、日々の情報収集を支援します。
JVN iPedia - 脆弱性対策情報データベース
http://jvndb.jvn.jp/
<今月のトピックス>
1. コンピュータ不正アクセス被害の主な事例(届出状況及び被害事例の詳細は、「2.コンピュータ不正アクセス届出状況」を参照)
・SQLインジェクション攻撃を受け侵入、ウェブページ改ざん
・フィッシングサイトを設置された
2.相談の主な事例(相談受付状況及び相談事例の詳細は、「3.相談受付状況」を参照)
・ウイルス対策ソフトで検知できない何かに感染?!
・Winnyでダウンロードしたファイルからウイルス感染
3.インターネット定点観測(詳細は、別紙3を参照)
IPAで行っているインターネット定点観測について、詳細な解説を行っています。
・ボットに感染したパソコンが多数存在!ボット駆除ツールで検査を!
※以下、詳細は関連資料「オリジナルリリース」をご参照下さい。
お問い合わせ先:
独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC)
(ISEC:Information technology SEcurity Center)
TEL:03-5978-7527 FAX:03-5978-7518
URL: http://www.ipa.go.jp/security/