1月22日、三井住友銀行をかたるフィッシングサイトが開設されているとして、JPCERTコーディネーションセンターが運営するフィッシング対策協議会が注意喚起を行った。22日10時の時点でフィッシングサイトは停止を確認済みだという。ただし、類似のフィッシングサイトが公開される恐れもあるため、注意が必要としている。Webサイトは、三井住友銀行の本サイトを模倣しており、「偽サイトに誘導し湯とする不審なメールにご注意ください」という記述もそのまま流用されている。一方で、このサイトへ利用者を誘導するフィッシングメールは、SMS経由によるもので、一般的なEメールによる誘導とは異なるので注意が必要だ。こうしたフィッシングサイト、メールを発見した場合には、フィッシング対策協議会へ連絡するよう、同会では呼びかけている。
2016年01月22日1月19日、じぶん銀行をかたるフィッシングサイトが開設されているとして、JPCERTコーディネーションセンターが運営するフィッシング対策協議会が注意喚起を行った。じぶん銀行は、昨年12月にも同行を装った不審な電子メールが出回っているとして注意喚起を行っていたが、19日12時の時点でフィッシングメールが出回っており、フィッシングサイトの公開も確認されている。現在、JPCERT/CCがサイト閉鎖のための調査を依頼中だが、類似のフィッシングサイトが公開される恐れもあるため、注意が必要だ。Webサイトは、じぶん銀行の本サイトを模倣しており、「パスワードや確認番号を盗み取る犯罪にご注意ください」という記述もそのまま流用されている。一方で、このサイトへ利用者を誘導するフィッシングメールの文面は稚拙な文章であるため、銀行からのメールではないと気付く可能性が高い。こうしたフィッシングサイト、メールを発見した場合には、フィッシング対策協議会へ連絡するよう、同会では呼びかけている。
2016年01月19日JPCERTコーディネーションセンターは1月13日、マイクロソフトの月例セキュリティ更新プログラムに関する注意喚起を行った。1月のセキュリティ更新プログラムは6件で、いずれも深刻度は「緊急」となる。MS16-001Internet Explorer 用の累積的なセキュリティ更新プログラム(3124903)で、IE 7~11までが対象となる。MS16-002Microsoft Edge用の累積的なセキュリティ更新プログラム(3124904)で、Windows 10向けのみが提供されている。MS16-003リモートでのコード実行に対処するJScriptとVBScript用の累積的なセキュリティ更新プログラム(3125540)で、Windows VistaとWindows Server 2008、Windows Server 2008 R2のServer Coreインストール上の、影響を受けるバージョンのVBScript スクリプト エンジンが対象となる。MS16-004リモートでのコード実行に対処するMicrosoft Office用のセキュリティ更新プログラム(3124585)で、Microsoft Office 2007と2010、2013、2013 RT、2016、for Mac 2011、2016 for Mac、互換機能パック Service Pack 3、Word Viewer、Excel Viewerが対象になる。MS16-005リモートでのコード実行に対処するWindows カーネルモード ドライバー用のセキュリティ更新プログラム(3124584)で、Windows VistaとWindows Server 2008、Windows 7、Windows Server 2008 R2が深刻度「緊急」、Windows 8とWindows Server 2012、Windows RT、Windows 8.1、Windows Server 2012 R2、Windows RT 8.1、Windows 10、Windows 10 Version 1511の深刻度が「重要」で、対象となっている。MS16-006リモートでのコード実行に対処するSilverlight用のセキュリティ更新プログラム(3126036)で、Microsoft Silverlight 5とMicrosoft Silverlight 5 Developer Runtimeが対象となる。なお今月は、OSごとに最新バージョンのInternet Explorerのみのサポートとなる発表も行われており、古いバージョンのInternet Explorerを利用している場合にはセキュリティリスクが高まるため、OSごとに最新バージョンのIEへアップデートを行うよう、マイクロソフトは呼びかけている。また、Windows 8ユーザーについても同OSへのサポートが今月で終了するため、Windows 8.1へのアップデートが推奨されている。現在、Windows 8.1についてはWindows 10への無償アップデートが提供されているため、そちらへの移行も検討すべきだろう。それ以外にも、.NET Frameworkのサポート対象変更が行われる。.NET Framework 4か4.5、4.5.1のサポートが終了されたため、それらのバージョンを利用している場合には、早急に.NET Framework 4.5.2へ移行するよう呼びかけている。
2016年01月14日警察庁は1月13日、NoSQL DBの「Redis」を標的としたアクセスがあるとして注意喚起を行った。Redisは、オープンソースのNoSQLデータベース。2015年11月にRedis開発者が、ネットに接続されているRedisが不正に操作され、第三者がファイルを蔵置できる危険性があると公表した。悪意ある第三者がこの危険なアクセスの手法を悪用できる例としては、SSHの公開鍵を蔵置し、SSHによる接続が可能になるという。警察庁の定点観測システムでは、Webサイトで公開された危険性のあるアクセス手法について、同月(2015年11月)より観測。これらのアクセスを分析したところ、Redisが稼働しているサーバー上にファイルを蔵置しようとしている複数のコマンドが含まれていた。警察庁が公開しているアクセス件数の推移を見ると、年末年始に1日最大200件ものアクセスが行われており、現在も数は大幅に減ったものの、依然としてアクセスが行われている形跡がある。同庁では、推奨される対策として以下の3点を講じるように注意喚起を行っている。Redisを外部に公開する必要がある場合、必要なコンピューターからのみのアクセスに制限する容易にコマンドが実行されることを防ぐために、パスワードをあらかじめ設定するファイルの蔵置はRedisを起動しているユーザー権限で実行されるため、該当するアカウントのユーザー権限を必要最小限に設定して起動する
2016年01月14日独立行政法人 情報処理推進機構(IPA)は6日、インターネットに接続するオフィス機器の設定に関し、注意を喚起した。プリンタ複合機やNASといった、ネット接続できるオフィス機器を初期設定状態のままで使用している場合、脆弱性を突かれたり、出荷時によく設定されがちな管理者用アカウント/パスワードを使用されたりして、第三者に不正アクセスされ、内部データを盗まれたり、管理権限を奪われたりする恐れがある。同社は2013年11月から、ネット接続機能のあるオフィス機器の設定見直しなどを呼びかけていたが、学術関係の機関で同様の問題がいまだ存在しているとして、今回改めて注意を呼びかけた。IPAでは、「必要性がない場合には、オフィス機器を外部ネットワークしない」「外部ネットワークへの接続を許可する通信だけに限定する」といったネットワークに関する対策のほか、「管理者用アカウント/パスワードを出荷状態のものから変更する」「ソフトウェアを最新のものへ更新する」といった機器自体の対策も推奨している。
2016年01月06日トレンドマイクロは1月5日、Windowsが搭載するInternet Explorer(IE)のセキュリティ動向について、ブログで注意喚起した。マイクロソフトは、1月13日以降にサポートポリシーを変更し、IEのサポート対象を「各オペレーションシステムに対応した最新版のIEのみ」とする。これにより、各OSの最新バージョン以外のIEは1月12日でサポートが終了する。各OS別のIEの最新版は、Vistaが9でそれ以降のOSは11となる。トレンドマイクロの2015年11月末時点での調査によれば、個人向け製品の利用者332万人のうち、8万7000人が古いバージョンのIEを使っているという。古いバージョンのまま使うと、脆弱性攻撃ツール(エクスプロイトキット)の標的になる恐れがある。同社は、2014年~2015年にかけてエクスプロイトキットによって攻撃が可能になっていたIEの脆弱性およびIE経由で攻撃可能な脆弱性を調査した。この結果によると、毎年2~3個の脆弱性がエクスプロイトキットによって攻撃可能になっていた。脆弱性は、複数のバージョンのIEに影響を及ぼすケースが多い。例えば、CVE-2014-0322の「Internet Explorer のメモリ破損の脆弱性」は、当時最新であったIE11では影響がなく、IE9と10が影響を受けた。マイクロソフトはこれまで、各OS上で使用可能な複数のバージョンのIEの脆弱性を確認し、それぞれに更新プログラムを配布してきた。今回のポリシー変更により、今後IEの脆弱性が見つかった場合、各OSでの最新バージョンのIEのみに更新プログラムを配布する。トレンドマイクロは、利用者がエクスプロイトキットによる攻撃からPCを守るため、定期的にIEをアップデートし、常に最新の状態に保つことを強く推奨している。エクスプロイトキットの多くは、修正プログラムの公開から7日間程度で終息に向かう傾向がある。そのため、PCを安全に保つには修正プログラムが公開されてから1週間以内にアップデートしなければならない。IEだけでなく、Flash、JavaなどのWeb閲覧時に使用されるアプリのアップデートを徹底すべきとしている。
2016年01月06日警察庁は15日、ルータやWebカメラ、NAS、レコーダーなど、インターネットに接続されたLinux OS搭載のIoT機器を狙った攻撃に注意を喚起した。利用者が知らない間に機器が攻撃者に乗っ取られ、攻撃の踏み台に悪用されているという。IoT機器を狙った攻撃では、ルータやWebカメラ、NAS、レコーダーなどのIoT機器に不正プログラムがダウンロードされ、攻撃者の命令でサーバ攻撃などを行なう"bot"となる。不正プログラムに感染した機器は、感染拡大のため、インターネットに接続されたテレビやスイッチングハブといった他の機器を探索したり、DDoS攻撃やスパムメールの送信などに悪用されたりする恐れがある。この不正プログラムは、一般的なPCで使われるx86系CPUでは感染せず、IoT機器で多く利用されるARMやMIPS、PowerPC、SuperHなど、特定のCPUで動作するLinuxに感染することが確認されているという。IoT機器では処理能力の低下など、機器の異常に利用者が気付きにくいため、不正プログラムの感染や攻撃を受けている状況を把握しにくい。このため警察庁では、利用中のIoT機器について、最新のセキュリティ情報を確認すること、脆弱性対策がなされないサポート終了製品を使い続けないことなどを推奨している。
2015年12月16日トレンドマイクロは、Twitter上で話題となった「vvvウイルス」が、日本でも相当数流入しているとして、注意を喚起した。vvvウイルスとは、12月6日頃にTwitter上で「被害に遭った」との情報が拡散されたウイルスの俗称。感染すると、コンピュータ内のファイルの拡張子を「.vvv」に変更、暗号化し、元に戻すことと引き換えに金銭を要求する。同社調査によると、これは暗号化型ランサムウェア「CrypTesla」の新型亜種とみられる。CrypTeslaによる攻撃は、Twitterで話題となったような脆弱性攻撃サイトの閲覧(脆弱性を自動的に攻撃する不正広告も含む)のほか、マルウェアスパムに添付されているJavaScriptファイルの実行でも確認。CrypTesla関連による不正URLのブロック数は12月9日時点で500以上と急増しており、同社は「日本にも相当数流入していることを確認できた」とする。日本への流入が推測されている、CrypTeslaを使ったスパムメールは、タイトル・本文ともに英語。添付のZIPファイル内にあるJavaScriptファイルを実行すると、Web上から実行ファイルを取得する。ダウンロードされる実行ファイルは、CrypTeslaファミリの不正プログラムの場合と、ウイルス対策用の正規ソフト「Avira」インストーラの場合があり、正規サイトがWordPressの脆弱性を突かれて改ざんされ、不正ファイル配布に利用されている様子もあるという。攻撃者から見た場合、メール受信者をランサムウェアに感染させるためには、添付されているZIPファイル内のJavaScriptファイルをダブルクリックさせた上、実行前に表示される警告ダイアログでも「はい」をクリックさせる必要がある。同社は、この流れのどこかでファイルに不信感を持ち、実行を取りやめれば感染を防げるとし、「ダウンロードしたファイルを不用意に実行しないこと」を推奨している。
2015年12月15日IPA(情報処理推進機構)とJPCERT/CCは11月20日、オープンソースのCMS「Void」に脆弱性があるとして注意喚起を行った。脆弱性はクロスサイト・スクリプティングで、ユーザーのWebブラウザ上で悪意のあるスクリプトが実行されるおそれがある。すでに脆弱性を修正した最新版が提供されているため、10月2日公開版より前のバージョンを利用している場合には、早急なアップデートが推奨されている。
2015年11月20日日本レジストリサービス(JPRS)は11月11日、PowerDNS Authoritative Serverの脆弱性(DNSサービスの停止)について注意喚起を行った。この注意喚起は、PowerDNS Authoritative Serverの実装上の不具合によって、外部からのサービス不能(DoS)攻撃が可能となる脆弱性が、開発元のPowerDNS.COM BVから発表されたことを受けてのもの。該当するソフトウェアが動作するサーバーで、提供者が意図しないDNSサービスの停止が発生する可能性がある。PowerDNSは、オランダのPowerDNS.COM BVがオープンソースで開発しているDNSサーバーの1つで、無償で入手・使用できる。権威DNSサーバーとフルリゾルバー(キャッシュDNSサーバー)が別パッケージとなっており、それぞれPowerDNS Authoritative Server、およびPowerDNS Recursorとして公開されているが、今回指摘されている脆弱性は、PowerDNS Authoritative Server(3.4.4~3.4.6)のみが対象となっている。対象となるPowerDNS Authoritative Serverにはパケット解析の処理部分に不具合があり、特別に設定された問い合わせ処理の際、サーバープロセスが異常終了を起こす障害が発生し、DNSサービスが停止する可能性がある。この脆弱性を悪用した攻撃は、リモートからも行える。PowerDNS.COM BVは、この脆弱性の深刻度を「高」と評価しているが、一方で、脆弱性によるシステムそのものの危殆化(きたいか)は発生しないとしている。また、PowerDNS Authoritative Serverをguardian、またはsupervisordやsystemdのようなスーパーバイザー配下で動作させることで、自動的な再起動によって影響を軽減できるという。JPRSはこの問題を解決するため、脆弱性を修正したパッチバージョン(PowerDNS Authoritative Server3.4.7)への更新か、公式パッチの適用、あるいは各ディストリビューションベンダーからリリースされる更新の適用を強く推奨している。
2015年11月13日フィッシング対策協議会は28日、海外においてApple IDを詐取するフィッシングメールやフィッシングサイトが増加しているとして、注意を喚起した。こうしたフィッシングサイトでは、Appleの偽サイトにサインインさせることで、Apple IDとパスワードを違法に詐取する。同協議会では、Apple IDとそのパスワードを盗まれた場合、以下のような被害が起きるとしている。iCloudサービスに保存されているiPhoneのバックアップデータなどにアクセスされる。バックアップデータに金融機関のIDやパスワードが入ってた場合、不正送金が行なわれる。iPhone、もしくはiCloudに保存されている連絡先やメールのデータを削除される。メールアドレスを乗っ取られ、なりすましメールを送信される。Apple Storeサービスでクレジットカードを使用した金銭的被害を被る。上記は実際に起きた被害事例であり、ほかにもさまざまな被害が起きているとのこと。万が一、フィッシングサイトに情報を入力してしまった場合は、Appleなどへ速やかに連絡することを推奨している。また、別サービスでパスワードを使い回していると、別サービスでも不正アクセスされ二次被害が起きる可能性もあり、使い回しを避けるよう注意を促している。このほか、アクセスしたサイトがフィッシングサイトか判断に迷った場合は、Apple社もしくはフィッシング対策協議会(info@antiphishing.jp)に問い合わせるよう告知している。
2015年10月29日JPCERT/CCが運営するフィッシング対策協議会は10月16日、金融庁をかたるフィッシング詐欺サイトが稼働しているとして、注意喚起を行った。同日11時30分時点でフィッシングサイトは稼働中であり、JPCERT/CC にサイト閉鎖のための調査を依頼しているという。類似のフィッシングサイトが公開される可能性があるため、引き続き注意を呼びかけている。確認されているフィッシングサイトのURLは「●●●●.com」で、同協議会はこうしたサイトで、アカウント情報や個人情報 (秘密の合言葉、ログインID、ログインパスワード、メールアドレス、メールパスワード、第2暗証番号など) を絶対に入力しないようにとしている。
2015年10月16日情報処理推進機構(IPA)は10月9日、不審なWordファイルが添付されたメールが特定の企業から相次いで届いたことにより、注意喚起を行った。IPAは、「特定の組織からの注文連絡」「複合機からの自動送信」を装い、Wordファイルが添付されたメールが届いたという相談を10月8日だけで11件受けた。メールは組織内の複数の従業員が受信しており、「ばらまき型メール」の一種であると推測している。このWordファイルをIPAが解析したところ、Wordファイルに登録されたマクロを実行し、ウイルスをダウンロードする機能を含んでいることがわかった。メールは、件名に「【●●●●(実在の組織名)より】ご注文ありがとうございました-添付ファイル「出荷のご案内」を必ずご確認ください」と書かれていた。また「Message from "RNP0026738E40D2"」というケースもあった。添付ファイルの名称は「1312061102_13233939SE.doc」「20151007112034511.doc」の2種類。マクロにダウンロードされるファイルの名称はどちらのファイルでも「fDe12.exe」であった。今回の注意喚起では、「メールを受信していた場合、添付ファイルは開かずにシステム管理部門に確認・報告を行うこと」「セキュリティソフトのパターンファイルを最新版にした上で、ウイルススキャンを実行すること」「ウイルスが検出されなかった場合でも、感染している可能性があるので、セキュリティベンダに問い合わせること」などと呼びかけている。
2015年10月14日カスペルスキーは20日、日本を狙った標的型攻撃「Blue Termite(ブルーターマイト)」の攻撃が拡大しているとして、改めて注意を喚起した。ブルーターマイトとは、国内組織に標的を絞ったAPT(Advanced Persistent Threat)攻撃を指す。APT攻撃は、特定の標的に対して持続的に潜伏・攻撃し、スパイ行為や妨害活動をする攻撃の総称。カスペルスキーの調査分析チームGReATによると、2015年7月頃からブルーターマイトが活発化しており、従来から感染手法やマルウェアが変化しているほか、感染被害も拡大しているという。従来、ブルーターマイトの主な感染手法は標的型攻撃メールだったが、2015年7月に改竄サイトにマルウェアを設置したドライブバイダウンロードや水飲み場型攻撃が取り入れられていることを確認した。感染組織も拡大しており、攻撃者の指令サーバーと、感染したとみられる端末との通信数の推移によると、2015年6月時点では固有IPアドレス数が300、1日当たり最大通信数は約140だったのに対し、2015年7月では固有IPアドレス数が3倍以上の1,000、通信数は約280となっている。同社は感染組織が広がった要因として、前述の感染手法が広がったこと、マルウェアの変化により感染した組織が被害に気づきにくくなっていることを指摘している。ブルーターマイトは、感染により収集した情報を元に次の標的を狙っており、被害組織の業種も広がっている。従来は政府や行政機関を中心に、地方自治体、大学、銀行、自動車分野などで感染を確認していたが、7月から医療や不動産、半導体、食品、建設などでも感染を確認しているという。同社は、ブルーターマイトの攻撃が侵攻しており、情報漏えいを含む被害拡大を予想。国の機関や大企業でも侵入・漏えい被害が発覚していることから、対策の見直しと、インシデント情報の共有および有効活用の仕組みを整えることを推奨している。
2015年08月21日LINEは4日、「LINE」アプリにおいて、友人になりすまし電話番号やSMS認証番号を聞き出す行為が発生しているとして、ユーザーに注意を呼びかけている。悪用するためのLINEアカウントの作成を目的としたもので、昨年、発生した電子マネーの購入を持ちかけるものとは異なっている。今回報告されたケースでは、友人になりすましたLINEを含むSNS・メッセンジャーアカウントから、「携帯番号を教えて。LINEの確認メッセージを認証して」といった旨の電話番号をたずねるメッセージが届くという。次に「4桁のPINコードが届いたら送って」など、「〇〇が届いたらその情報を教えて」というやりとりが続いていく。仮に、PINコードを教えてしまうと、犯人はこれを悪用して新しいLINEアカウントを作成したり、別のLINEアカウントにログインできるようになる一方で、ユーザーが今まで使っていたアカウントが使えなくなる。なお、こうした場合、LINEの利用はできなくなるが、ユーザーのLINEアカウントが他人に操作されることはない。また、事前にメールアドレス・パスワードの登録、Facebook認証のいずれかをしていれば、再度「LINEユーザーログイン」をすることでアカウントと一部の情報を引き続き利用できる。同社は、犯人の目的について、詐欺行為などに悪用するLINEアカウントを作成するため、ユーザーから電話番号や認証番号を聞き出していると説明している。また、電話番号やLINEから届く認証番号は、銀行口座や暗証番号、PCやメールのアドレスと同様、他人には教えていけない重要な情報だとし、家族や友人などの親しい人から、個人情報などを聞かれても教えてはいけないと、注意を呼びかけている。
2015年08月05日情報処理推進機構(IPA)は7月17日、同機構の名前をかたった不審なメールが出回っているとして注意喚起を行った。IPAによると、15日に公開したMicrosoftとAdobeのセキュリティ対策情報の文面を流用した詐欺メールで、本来のメールには存在しないzipファイルが添付されていたという情報提供を外部から受けた。同機構が提供を受けたzipファイルを展開したところ、ショートカットファイル(.lnk)が現れ、ウイルス感染を目的に作成されたファイルであることが判明したという。ただし、このメールはフリーメールが送信元になっているほか、通常IPAが送信するはずのないファイル添付が行われていたことから、十分に注意を払うよう、IPAでは呼びかけている。IPAは情報セキュリティの調査・情報提供を行っている独立行政法人で、この数カ月間に連続して発覚しているサイバー攻撃に関する情報発信も継続して行っていた。
2015年07月17日シマンテックは7月7日、同社の公式ブログでAdobe Flash Playerのゼロデイ脆弱性に関する注意喚起を行った。攻撃者がこの脆弱性を悪用すると、標的のコンピュータに対してリモートでコードを実行できるおそれがある。イタリアのセキュリティ企業「Hacking Team」に対するサイバー攻撃で漏えいした内部情報のキャッシュには、この脆弱性を悪用する概念証明コードが含まれていたが、概念証明コードのソースが出回っていることから、この脆弱性はすでに悪用が広がっているおそれがあるという。このことが正式に公表された今、攻撃者グループがAdobeのパッチ公開前に、この脆弱性を悪用キットに取り込もうとすることが予想される。Adobeからはこの脆弱性に関する発表はなく、パッチも未公開だが、攻撃者が影響を受けるコンピュータに対してリモートでコードを実行できる可能性があり、実質的にそれを制御できる。そのため、シマンテックはこの脆弱性を「緊急」と位置付け、対処法を示している。この脆弱性について不安がある場合は、ブラウザのAdobe Flashを一時的に無効にすることを、同社は勧めている。
2015年07月09日フィッシング対策協議会は7月8日、PayPalをかたるフィッシングメールが出回っているとして注意喚起を行った。同日10時時点でフィッシングサイトが稼働しており、同協議会はJPCERT/CCにサイト閉鎖の調査を依頼中としている。メールから誘導されるフィッシングサイトでは、メールアドレスとパスワードの入力画面が表示されるが、実際のサイトのコピーのログイン画面が表示されるため、判別しづらい。ただし、メールの送信アドレスや本文内容に不審な点があることから、その点に留意する必要がある。
2015年07月08日情報処理推進機構(IPA)は6月29日、潜伏している可能性のあるウイルスの感染検査を行うよう、注意喚起を行った。IPAは6月1日の公的機関からの個人情報漏洩の報道を受け、対策と運用管理に関する注意喚起を6月2日、6月10日に行ってきた。今回の注意喚起は、「検知をすり抜けて侵入してしまったウイルスによる感染」の検査を推奨する目的で、端末内に潜伏するウイルスの有無を確認するための情報とノウハウを公開するもの。全ての端末を検査することが困難だとしても、業務で外部からのメールを頻繁に受け付けていて、「組織内への感染の突破口となり得る」部署の端末などの優先順位の高いものから、可能な限り検査を進めることを推奨している。標的型攻撃メールを使った攻撃は、(1)メールの着信、(2)ウイルス感染、(3)ウイルスの攻撃活動という流れで行われる。今回、被害にあった組織への攻撃メールは、件名に「医療費のお知らせ」「医療費通知のお知らせ」「健康保険のお知らせ」「謹賀新年」「新年のご挨拶」などのほか、標的となった組織の業務固有の件名などが用いられていたことが判明している。同様の件名のメールの添付ファイルを開く、あるいはリンク先のクリックなどによって、ウイルスが潜入している可能性があるという。IPAが公開したウイルス潜伏の確認方法は、不審ファイルの名称や不審なファイルがある可能性のある箇所を、ファイルの存在と自動起動の2つの観点から検査すること。不審なファイルを発見した場合は、ウイルスが侵入を試みた可能性が高い。そのため、ウイルス活動の痕跡である端末からの外部通信情報を確認することを勧めている。さらに、ウイルス感染が疑われた場合は、該当端末をネットワークから切り離し、ファイアウォールやプロキシサーバーで通信をブロックするよう勧告。該当端末が踏み台とされ、他の端末へウイルス感染が広がっている可能性も考えられるので、セキュリティベンダなどの専門家に相談するなど、正確な被害範囲や感染原因を把握した上で対応を進めることが重要。詳細な手順はIPAサイトからダウンロードできる。なお、この手順はIPAが現時点で把握している情報を基にしたもので、必ずしも全ての感染端末が発見できるものではない。
2015年07月01日内閣府政府広報室は6月23日、扇風機やエアコンの経年劣化によって発生する火災などの事故について、注意喚起を行った。それとあわせて製品を安全に使用するための「扇風機・エアコンの火災防止は 使用前の安全チェック!」を紹介している。内閣府政府広報室によれば、扇風機やエアコンによる事故は、2008年度から2012年度までの5年間で657件発生。そのうち、122件は火災事故につながっているという。事故の多くは製造から10年以上経っている製品で発生し、特に製造から30年以上経過した扇風機で多発する傾向にある。部品の摩耗や潤滑剤(グリース)の消耗などの経年劣化は、製品の故障の原因となるほか、過熱・発火を引き起こす。一般的に経年劣化はユーザーが気づかないうちに進むが、日頃の安全点検などで、事故の多くが防げるとしている。「扇風機・エアコンの火災防止は 使用前の安全チェック!」として、内閣府政府広報室は扇風機とエアコンで点検すべきポイントを紹介。異音がするなどの異常があった場合は直ちに利用を止めてメーカーの修理窓口や販売店へ相談するよう呼びかけている。そのほか、ポータルサイト「政府広報オンライン」では、「暮らしのお役立ち情報」として「扇風機とエアコンの知っておきたい危険性 暮らしに潜む製品事故に注意し、夏を乗り切りましょう」などの情報も公開している。
2015年06月23日フィッシング対策協議会は6月16日、「SMS(ショートメッセージサービス)で誘導される銀行のフィッシングサイトにご注意ください」という注意喚起を行った。これは5月初旬から、SMSを利用して銀行のフィッシングサイトへ誘導する手口が確認されていることをうけたもの。今後、他の金融機関などのインターネットバンキングサービスにおいても同様の事象が発生する可能性があるとして、注意を促している。公開された手口は、銀行のフィッシングサイトへ誘導されるURLが記載されたメッセージを利用したもので、ユーザーがURLをクリックしログインIDやパスワードの入力を行うと、情報を窃取され、銀行口座に不正にアクセスされる可能性がある。6月16日時点で、三井住友銀行と三菱東京UFJ銀行をかたるSMSが送信されている事例が確認されている。万が一、情報を入力された場合は速やかに各金融機関の窓口へ相談するよう、協議会はすすめている。
2015年06月18日シマンテックは6月17日、ユーザーを欺いてメールアカウントにアクセスする、パスワード再発行詐欺が横行しているとして、同社ブログで注意喚起を行った。これは、モバイルユーザーを標的とする特定のスピア型フィッシング攻撃で、攻撃の目的は標的のメールアカウントにアクセスすること。ソーシャルエンジニアリングのテクニックが巧妙なため、手口に引っかかる人がすでに現れていることも確認されている。メールサービスのプロバイダーは、パスワードを忘れてアカウントにアクセスできないユーザーのためにパスワード再発行の機能を用意しており、大抵は携帯電話の番号に確認コードを送信している。攻撃者はこの仕組みを悪用する。シマンテックが確認したケースのほとんどは、Gmail、Hotmail、Yahooメールのユーザーに影響するもの。Gmailの場合、携帯電話番号を登録しておけば、パスワードを忘れた場合でもGoogleから携帯電話に確認コードが送信され、アカウントにアクセスできるようになり、パスワードを再設定できる。ここで犯罪者が登場する。犯罪者が、ユーザーのメールアドレスと携帯電話番号はわかっているが、パスワードがわからない場合、アカウントを乗っ取ろうとしているユーザーのGmailのログインページにアクセスし、メールアドレスを入力して 「お困りの場合」リンクをクリックする。これは、ユーザーがログイン情報を忘れた時に使うリンクだ。「覚えている最後のパスワードを入力してください」、「端末(機種とモデル番号)でのパスワード再設定の確認」などのオプションが表示されるが、犯罪者はどれもスキップして、「確認コードを携帯端末(携帯電話番号の末尾)で取得します」というオプションが表示されるページまで進む。確認コードがSMSで6桁の確認コードが本当のユーザーに送付されるが、同時に犯罪者は、ユーザーに「Google があなたのアカウントで異常なアクティビティを検出しました。不正なアクティビティを止めるために、モバイルデバイスに送信されたコードを返信してください」というSMSを送信する。ユーザーはこれを正規のメッセージと考え、確認コードを犯罪者に送付してしまう。犯罪者は、この確認コードを使って仮パスワードを手に入れ、メールアカウントにアクセスできるようになる。シマンテックでは、この攻撃の対処方法として、確認コードに関するSMSメッセージには注意するように警告している。
2015年06月18日ラックは16日、遠隔操作ウイルス「Emdivi」(エンディビ)に感染している国内企業が増加しているとして、注意を喚起した。Emdiviは日本年金機構における個人情報流出の原因と報道されているウイルスで、これに不安を感じた企業からの調査依頼により感染が判明するケースが多くみられたという。同社が運営する、情報セキュリティに関する事件や事故、懸念に対応する「サイバー救急センター」の調査では、Emdiviが発見された事例数が2015年6月に過去最高となった。しかし、それらの感染時期は2014年末と推定され、「Emdiviに感染していながら気付いていない企業が多く存在している可能性がある」として、注意を呼びかけた。標的型サイバー攻撃では、特定の組織や個人が反応してしまう、周到に用意された詐欺メールを送付。添付ファイルなどから感染したPCに対し、第三者の企業のPCを踏み台(攻撃拠点)にして指令を出し、重要な情報を継続的に窃取する。ラックでは、組織全体の防御レベル向上を図るだけでなく、セキュリティを突破された際の対策、復旧手段を日頃から訓練しておくことが重要だと指摘。情報の暗号化やダミーの混入といった施策などを、セキュリティ専門家と検討しておくことが必要だとしている。
2015年06月16日ラックは6月16日、サイバー救急センターにおいて対応した標的型サイバー攻撃に関する調査を行い、遠隔操作ウイルス「Emdivi:エンディビ」に感染が今年度に入って急増していると警告した。同社の調査によると、Emdiviによる感染被害は最近始まったのではなく、昨年末より徐々に増え始め、昨今の標的型攻撃に用いられた遠隔操作ウイルスの報道で不安を感じた企業からの調査依頼により、徐々に感染事実が判明し始めているという。同社では、同社が今回の脅威への対応のため新たに用意した「情報漏えい危険度測定パッケージ」を活用することで、遠隔操作ウイルスのあぶり出しと、標的型サイバー攻撃への耐性を調べることが可能だとしている。「情報漏えい危険度測定パッケージ」の発売期間は7月31日までで、価格は198万円(税別)。
2015年06月16日情報処理推進機構(IPA)は6月12日、「家庭内における無線LANのセキュリティ設定の確認を」と題する注意喚起情報を公開した。IPAでは、一般家庭の無線LAN環境が不正に利用される恐れがあるとして、その危険性や対策について過去にも注意喚起を行ってきた。不正利用を防ぐ対策の一つとして通信の暗号化があるが、IPAが2014年10月に実施した意識調査では、自宅の無線LANの暗号化について「通信の暗号化を行っているかどうかわからない(32.7%)」「通信の暗号化を行っていない(19.1%)」と、全体の半数以上が不明または設定なしという状況であることがわかり、類似被害の増加が懸念されている。家庭内に設置した無線LANルータなどのアクセスポイントへ不正に接続された際の脅威として、「通信内容の盗み見」「迷惑メール送信や不正アクセス、違法ダウンロードなどの不正行為の身元詐称」「家庭内の無線LAN環境を利用している端末内のデータ窃取」のようなことが挙げられる。無線LANアクセスポイントへ不正に接続されていることに気付くのは難しく、知らない間に事件に巻き込まれる可能性も考えられるので、第三者に通信内容を傍受され家庭内の無線LANアクセスポイントに不正接続をされないために、IPAはセキュリティレベルの高い「WPA2-PSK(AES)」を設定することを推奨している。この注意喚起は、Wi-Fiの暗号化方式が旧来型のWEPキーで運用していた家庭のルーターを"タダ乗り"した人物が立件されたことによるもの。
2015年06月15日IPAは6月10日、組織のウイルス感染の早期発見と対応に関する注意喚起を公表した。この喚起は、企業・組織の経営者、システム管理者を対象に行われたものだ。標的型サイバー攻撃の被害事案増加を踏まえ、その対策と運用管理の注意喚起が6月2日に行われた。今回の注意喚起は、相次ぐ報道を受け、多くの組織においてウイルス感染の有無に関する懸念が広がっていると想定されることから実施された。ウイルス感染の懸念がある場合、まずウイルスに感染して攻撃活動が始まっていないか、ウイルスの活動の痕跡の確認を行う必要がある。このような確認が、ウイルスの早期検知と被害低減につながるという。ウイルス活動の痕跡を確認するには、以下の4つのポイントがある。○ファイアウォール、プロキシサーバーの確認ファイアウォールやプロキシサーバーのログにおいて、ウイルスによる外部のC&Cサーバー(感染PCに命令を送るサーバー)への通信を確認する。このログで、数秒や数分間隔で繰り返し行われているなど、人間によるウェブサイトの閲覧では起こりえない特徴的な通信が行われていないか、注意する必要がある。○業務上想定していない通信の確認ウイルスはプロキシサーバーを経由せずに直接外部へ通信を試みる場合がある。そのため、端末のインターネット接続がすべてプロキシ経由で、直接のインターネット接続は遮断されている場合は注意が必要だ。直接外部と通信を行おうとして遮断されている通信がないか、ファイアウォールにおいてブロックされた通信のログを確認することも重要だという。また、Active Directoryサーバーやファイルサーバーなどの端末からWindows Updateなどの通信を除いたインターネット向けの通信が無いか確認したい。もし通信があれば、意図的なものか注意が必要だ。なお、国内のサイトが改ざんされ、C&Cサーバーとなっている可能性もある。そのため、国内のウェブサーバーへの通信だから安全とは判断せずに、通信内容を精査する必要がある。○Active Directoryのログの確認Active Directoryを運用している組織は、ログなどから下記のような不審な兆候がないか確認する必要がある。想定されないアカウントでのログイン想定されない端末やサーバーへのログイン想定されない端末での管理者ログイン想定されない時間帯のアクセス想定されない管理者操作やポリシーの変更○Active Directoryサーバーやファイルサーバーなどの確認見覚えのないタスクがタスクスケジューラーに登録されていないか確認する。また、タスクのイベントログに見覚えのないタスクの実行履歴が残っていたら注意する必要がある。また、不審と思われる通信などを行っている端末を発見した際はすぐに対応する必要がある。対処方法は下記の4点だ。○該当の端末をネットワークから切り離すこれにより、被害は最小限に抑えられる。その上で該当の端末や通信ログなどを詳細に調査する。○ファイアウォールやプロキシサーバーでのブロック不審な通信先を発見した場合、ファイアウォールやプロキシサーバー、導入済みの場合はウェブフィルタリングシステムで、不審な通信先との通信をブロックする。これにより、更なる通信が防げる。○セキュリティベンダなどの専門家に相談する正確な被害範囲や感染原因を把握した上で対応を進める。これにより、該当の端末が踏み台とされ、既に他の端末へウイルス感染が広がっている場合の被害拡大を防げる。このほか、継続的な脆弱性対策を実施することも重要だという。攻撃者に一度侵入されてしまうと、Active Directoryサーバーなどの内部サーバーの脆弱性も攻撃者に悪用される恐れがある。IPAでは、クライアント端末だけではなく、Active Directoryサーバーなどの内部サーバーにもソフトウェアの更新プログラム(パッチ)の適用することを推奨している。
2015年06月11日IPAは、コンピュータウイルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、ランサムウェアについて注意喚起を行っている。まずは、ランサムウェアであるが、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語である。決して目新しいものではなく、米国などでは警察、裁判所、司法関係、公的機関を名乗り、画面をロックし、PCを使えない状態にする。「罰金払え」といった名目で金銭を詐取することを目的としている。PC乗っ取り型(デスクトップロッカー型とも呼ばれる)ランサムウェアである。ユーザーを信用させるために、それらしい理由などが記載されている。当然ながら、英語圏以外では、翻訳の作業が必要になる。したがって、日本ではランサムウェアの攻撃者らにネイティブレベルで日本語を使えることが必要となる。これは、ランサムウェアに限ったことではないが、言語の壁が防波堤となり、ウイルスや不正プログラムへの自然な防御策ともなっていた。偽セキュリティ対策ソフトなどでも、不自然な日本語が使われており、注意力を働かせることができた。○クリプト型ランサムウェア最近になり、異なる種類のランサムウェアが登場してきた。PC内のユーザーデータを暗号たするランサムウェアである。PC内に保存してある文書、写真などのデータを暗号化する。そして、元に戻す(復号キーを入手)ためには、金銭を払えと脅してくるのである(もちろん、支払っても戻る可能性はない)。PC乗っ取り型では、ランサムウェアを駆除することで解決する。しかし、クリプト型ランサムウェアでは、駆除しても暗号化されたデータは元に戻ることはない。最近の暗号化はAES-265やRSA暗号などが使われ、復号キーを入手する以外に元に戻す方法はないといってもいいだろう。この点が、非常に悪質なところである。そして、IPAが警告するのは、流暢な日本語が使われている点である。図3は、IPAに寄せられたランサムウェアに関する相談数の推移である。初めてIPAに寄せられたランサムウェアに関する相談は、2011年7月とかなり以前であった。当然ながら、その頃の脅迫文は英語であった。ところが、2014年12月に日本語のランサムウェアの相談が寄せられるようになった。2015年4月には日本語によるランサムウェアの相談が6件となった(そのうちの1件は、企業から寄せられた相談であった)。要求される身代金は、数万円程度である。さらに、支払い方法にビットコインが指定されていた。日本国内では、ビットコインはそれほど流通しておらず、このことが障壁となって被害が拡大することがないだろうと、IPAでは予測している。しかし、最初は機械翻訳したような日本語から、ネイティブのような日本語に変化してきたように、金銭を奪う方法も変化することは十分に考えられる。一方で、ランサムウェアに対する認知度も、IPAの2014年10月に実施した意識調査では2割程度とかなり低い。対策や危機意識が乏しい状態では、被害が急激に拡大する危険性もある。この点にも、IPAでは懸念を表明している。○ランサムウェアの感染経路さて、ランサムウェアの感染経路についても、IPAでは調査を行っている。基本的には、他のウイルスなどと同様に、メール添付、メール内のURLのクリック、攻撃者の作成したWebサイトへ誘導されることで感染する。しかし、今回の相談では、特にそのような行為を行った形跡はみられなかった。よく確認してみると、怪しいとは思えないブログを閲覧した後で、身代金を請求されるようになったとのことだ。IPAでは、PCにインストールされているアプリケーションなどの脆弱性を悪用し、ドライブバイダウンロード攻撃が行われたと推測する。ドライブバイダウンロード攻撃は、そのWebサイトを閲覧しただけで、ウイルスなどに感染してしまうものだ。したがって、注意力で防ぐことは、非常に難しい。○ランサムウェアへの対策上述のように、ランサムウェアには感染しないことが、最大の防御となる(感染したら、データが暗号化されてしまう)。そこで、以下の対策をあげている。セキュリティ対策ソフトを導入するOSおよびアプリケーションを最新の状態にする重要なファイルを定期的にバックアップするいずれも基本的な対策であるが、怠りなく実施する必要があるだろう。そして、バックアップである。2014年10月に実施した意識調査では、定期的にバックアップをとっているユーザーは5割程度である。IPAでは、ランサムウェア以外にも、PCの故障などにも有効な対策となるので、ぜひバックアップを定期的に行うようにと推奨している。
2015年06月02日情報処理推進機構(IPA)は6月1日、「2015年6月の呼びかけ:IPA 独立行政法人 情報処理推進機構」において、4月に情報処理推進機構の情報セキュリティ安心相談窓口にランサムウェアの被害と見られる相談が増えたとして、ランサムウェアの流行に注意するように呼びかけた。ランサムウェアはファイルを暗号化し、復号化したければ金銭を支払えという要求をするマルウェア。現在のところ、ビットコイン経由での支払いを要求することが多く、日本国内ではまだそれほど被害が発生していないと言われている。セキュリティ・ソフトウェアを使って駆除したとしても、暗号化されたファイルは復号されず、金銭の支払いに応じた場合も復号できるとは限らないため、バックアップを確実に取っておくといった対策が必要になるとされている。情報処理推進機構は、ランサムウェアへの対策として、セキュリティ・ソフトウェアを導入すること、オペレーティングシステムやアプリケーションを常に最新版へアップグレードし続けること、重要なファイルは定期的にバックアップを取ることなどを挙げている。
2015年06月02日警察庁は5月26日、産業制御システム用のPLCを標的としたアクセスが多発しているとして注意喚起した。2014年12月に特定のPLCにおいてソフトウェアの脆弱性が発覚し、外部からのリモート操作で任意のコマンドが実行できることがわかった。事態は悪化し、2015年2月には、脆弱性を持つPLCを探索するツールが公開され、5月には、PLCの状態を確認するためのプログラム(PoC)が見つかっている。警察庁では、PCLの脆弱性を標的としたと思われるこパケットを定点観測し、アクセス件数を推移日ごとにまとめている。コード1は、2月に公開されたPLCを探索するツールを使用したと見られ、アクセスの多くが検索サービスを提供する組織からのものであった。また、アクセスを行っている者の実体や、その目的について判明しないアクセスも観測しており、同アクセスは悪用する目的で探索活動を行っている可能性も十分に考えられと分析している。コード2は、5月に公開されたPoCを使用したものと見られる。アクセスを行っている者の実体やその目的について判明していないが、脆弱性を悪用する目的でアクセスを実施している可能性もあると推測している。警察庁では、PLCをインターネットに接続する企業のシステムの管理者に向けて以下の対策をするように呼び掛けている。インターネット上からシステムにアクセスする必要がない場合は、インターネットへの不要な公開を停止するインターネット側からアクセスする場合には、適切なアクセス制限の設定等の対策を実施する使用している製品について最新のセキュリティ情報を確認し、必要に応じてソフトウェアのアップデートやハードウェアのファームウェアの更新などを実施する
2015年05月28日JPCERT コーディネーションセンター(JPCERT/CC)は5月26日、ランサムウエア感染に関する注意喚起を行った。JPCERT/CCは、いわゆるランサムウエアと呼ばれるマルウエアを用いて端末内のファイルを暗号化し、復号の為に金銭等を要求する攻撃の被害を多数確認しているという。これらの攻撃では、攻撃者は何らかの手法でWebサイトのコンテンツを改ざんし、サイトを閲覧したユーザを攻撃用ツールキットを設置したサイト(攻撃サイト)に誘導する。攻撃サイトに誘導された場合、OS、または、Adobe Flash Playerや Javaなど各種ソフトウエアの脆弱性を用いた攻撃が行われ、ユーザのPCに脆弱性が存在した場合、ランサムウエアに感染するおそれがある。ランサムウエアの感染被害に関して確認している脆弱性は、「CVE-2015-0313(Adobe Flash Player)」と「CVE-2014-6332(MS14-064)」の2つで、Microsoft Windows、Adobe Flash PlayerなどのOSやソフトウエアを最新版に更新することを推奨している。JPCERT/CCは対策として、Webサイト管理者に対しては、「使用しているOSやソフトウェアのバージョンを最新版にする」「Webサイトのコンテンツ更新は、感染していないことを確認した特定のPCや場所(IP アドレスなど) に限定する」の2点を勧めている。またユーザーに対しては、利用中のソフトウエアを最新版に更新することと、暗号化された場合に備え、定期的なバックアップデータ取得を推奨している。
2015年05月27日