昨年、平成１９年上半期におけるインターネット治安情勢についてインターネット
に接続したコンピュータに対する無差別なサイバー攻撃は高水準にとどまっていま
す。更に、昨年末に確認されたワームの活動と思われる攻撃が継続的に続くなど、
攻撃に利用される手口は、一部に変化が見られます。
また、インターネットを介した攻撃者の命令に基づき動作するプログラムであるボ
ットも継続的に高水準で活動をしており、感染台数等に大きな減少傾向は見られま
せん。

警察庁では、国民生活又は社会経済活動に重大な影響を及ぼすおそれのある情報シ
ステムに対する犯罪を未然に防止し、あるいは被害の拡大防止を図るために必要と
なる情報を収集する手段のひとつとして、全国の警察施設のインターネット接続点
におけるアクセス情報等を観測・分析し、情報セキュリティの向上に資する情報の
提供等を実施しています。

全国の警察施設のインターネット接続点1に設置してあるファイアウォール2と侵入
検知装置3の記録を全般的に分析したものを以下で紹介します。全般的なアクセス状
況は無差別な攻撃は高水準で横ばい今期は、大規模に感染したワーム型ウイルスの
発生がなかったこともあり、インターネットに接続されたコンピュータに対する無
差別なサイバー攻撃は横ばいでした。

警察庁のファイアウォールに対する総アクセス件数は約2,830,000件で、前期と比較
して約5％減少しましたが、前年同期比較では約8％増加しました。また、警察庁で
侵入検知装置を利用して検知したワーム等の活動は約237,000件で、前期と比較して
約4％増加しましたが、前年同期比較では約5％減少しました。

日本国内の57の拠点の観測記録をもとに分析しています。集計は、incoming のトラ
フィックのみ対象とし、outgoing のトラフィックは対象としていません。平成19年
6月30日現在、364種類のシグネチャが登録されています。

警察庁のファイアウォールに対するアクセスのうち、ICMP(Echo Request)1027/udp、
2967/tcp へのアクセスが大幅に増大し、特に2967/tcp へのアクセスは、前期と比
較して約678％増加しました。2967/tcp へのアクセスは、昨年１２月中旬に確認さ
れたシマンテック社のセキュリティ製品の脆弱性（昨年５月に公表されている）を
突くワームが利用するもので、アジア地域を発信元とするものが多く、日本国内か
らのアクセスも多いものでした。なお、ICMP(EchoRequest)はネットワークの疎通調
査等に、1027/udp はWindows のMessengerサービスを利用したスパムの通信に利用
されることが多いものです。

また、これまで上位を占めてきた445/tcp と139/tcp へのアクセスは前期比で50％
前後減少しました。

警察庁のファイアウォールへのアクセス件数が多い発信元の国／地域に大きな変動
はありませんでしたが、日本国内からのアクセスが前期と比較すると約26％減少し
ました。
侵入検知装置を利用して検知したアラート5のうち、「Scan」が大幅に増加し、前期
と比較すると約２倍に増加しました。なお「Scan」の多くは「Proxy attempt」が占
めていました。

サーバコンピュータに対するDoS攻撃（SYN flood攻撃）ファイアウォールに送信さ
れたSYN/ACKパケットを分析することにより、DoS攻撃の一手法であるSYN flood 攻
撃の兆候について観測を行ったところ、SYN flood 攻撃の検知件数は約25,900 件と
なり、前期と比較して約67％減少しました。

今期、警察庁で侵入検知装置を利用して検知したワーム等の活動のうち、日本国内
のコンピュータからのものは約5,200 件あり、前期と比較して約22％減少しました。
また、ファイアウォールへの日本国内のコンピュータからのアクセス件数は約1,02
0,000 件あり、前期と比較して約27％減少しました。

今期、警察庁で観測したボットネットは598個で、前期に比べ約26％増加しました。
そのうち今期に新たに把握したものが348個ありました。今期、最も大きなボットネ
ットは約10万台のボットから構成されていました。
一つのボットネットに接続されているボットに感染したコンピュータの平均台数は、
今期約1,414台で、前期の3,422台と比べ、約59％減少しています。

警察庁で観測しているボットネットにおいて、指令サーバから出される命令の内容
を観測したところ、DoS 攻撃に関する命令の総数は6,441件で、前期に比べて約55％
減少しているものの、SYN flood 攻撃に関する命令が前期より約102％増加して、4,
836件となっています。

ボットネットでは、指令サーバから感染しているコンピュータに対して、様々な命
令が出されます。そのうち、ボットの感染端末の拡大や機能の更新に関係があると
思われる感染命令及びダウンロード命令について分析したところ、今期の１日あた
りの平均命令数は、感染命令が約28 回、ダウンロード命令が約42回あり、感染活動
や感染したコンピュータにボットの更新プログラムを始めとした何らかのデータを
送りつける活動が頻繁に行われていることが窺えました。

また、感染命令の内容を分析したところ、マイクロソフト社のWindows のサービス
の脆弱性を狙ったと考えられるもの（445/TCP、135/TCP、139/TCP を対象としたも
の）が約65％と依然過半数を占めていますが、前期と比べて減少傾向でした。一方、
Microsoft SQL Server のソフトの脆弱性を狙ったもの（1433/TCP を対象としたもの）
遠隔操作ソフトの脆弱性を狙ったもの（5900/TCP を対象としたもの）、シマンテッ
ク社のセキュリティ対策ソフトの脆弱性を狙ったもの（2967/TCP を対象としたもの）
への攻撃は、合わせて約24％であり、前期より約12ポイント増加しています。また、
その他のポートとしては80/TCP、1025/TCP への攻撃も観測されており、ボットの感
染活動が今まで以上に多様化していることを示しています。

国内のボットの感染コンピュータ数は横ばい今期、警察庁で観測したボットに感染
したコンピュータの台数は489,274 台で、前期の653,664 台と比べ約25％減となっ
ています。このうち日本に存在すると考えられるものは32,064 台に上り、前期の3
6,292 台と比べ約12％減となっています。

インターネットに接続したコンピュータに対する無差別なサイバー攻撃は高水準の
まま横ばいの状況ですが、宛先ポートの一部に変化が見られたように、攻撃の手口
には、新しいものが見受けられます。また、ボットは、感染台数に増加は見られま
せんでしたが、感染端末から他のコンピュータを攻撃する手法のDoS 攻撃の一種の
SYN flood 攻撃の増加が観測されています。また、個々のボットネットに接続され
ている感染端末の数が減少し、ボットネットの数が増加していることから、ボット
ネットの撲滅がより困難となるよう変化している可能性があります。しかしながら、
幸いなことに、これらの攻撃や感染の起点として利用されていると思われるソフト
ウェア等の脆弱性は必ずしも未知のものではありません。

そこで、インターネットの利用者の皆さんには、自らの情報資産を守るためのみな
らず、ボットに代表されるような、意図せず攻撃者に荷担してしまう類の脅威にも
対応できるよう、ソフトウェア等のセキュリティ更新プログラムの適切な適用やウ
イルス対策ソフトの適切な運用に代表される一般的なセキュリティ対策を少なくと
も講じていただくことが非常に重要となります。

また、企業等のサーバ管理者の皆さんが、情報資産に対する様々な被害を未然に防
いだり、軽減したりするにあたって、従来と異なる攻撃手口を利用した攻撃を迅速
に発見するために、通信記録等を定期的に確認し、従来と異なる状況や公知の攻撃
兆候をできるだけ迅速に把握することが特に重要となります。

当社など金融、不動産担保ローンだけではなく、すべての企業の大切な個人情報を
今後も守り続けなければなりません。

提供は、不動産担保ローンのMTRファイナンシャルパートナーズです。