ラックは6月16日、サイバー救急センターにおいて対応した標的型サイバー攻撃に関する調査を行い、遠隔操作ウイルス「Emdivi:エンディビ」に感染が今年度に入って急増していると警告した。同社の調査によると、Emdiviによる感染被害は最近始まったのではなく、昨年末より徐々に増え始め、昨今の標的型攻撃に用いられた遠隔操作ウイルスの報道で不安を感じた企業からの調査依頼により、徐々に感染事実が判明し始めているという。同社では、同社が今回の脅威への対応のため新たに用意した「情報漏えい危険度測定パッケージ」を活用することで、遠隔操作ウイルスのあぶり出しと、標的型サイバー攻撃への耐性を調べることが可能だとしている。「情報漏えい危険度測定パッケージ」の発売期間は7月31日までで、価格は198万円(税別)。
2015年06月16日情報処理推進機構(IPA)は6月12日、「家庭内における無線LANのセキュリティ設定の確認を」と題する注意喚起情報を公開した。IPAでは、一般家庭の無線LAN環境が不正に利用される恐れがあるとして、その危険性や対策について過去にも注意喚起を行ってきた。不正利用を防ぐ対策の一つとして通信の暗号化があるが、IPAが2014年10月に実施した意識調査では、自宅の無線LANの暗号化について「通信の暗号化を行っているかどうかわからない(32.7%)」「通信の暗号化を行っていない(19.1%)」と、全体の半数以上が不明または設定なしという状況であることがわかり、類似被害の増加が懸念されている。家庭内に設置した無線LANルータなどのアクセスポイントへ不正に接続された際の脅威として、「通信内容の盗み見」「迷惑メール送信や不正アクセス、違法ダウンロードなどの不正行為の身元詐称」「家庭内の無線LAN環境を利用している端末内のデータ窃取」のようなことが挙げられる。無線LANアクセスポイントへ不正に接続されていることに気付くのは難しく、知らない間に事件に巻き込まれる可能性も考えられるので、第三者に通信内容を傍受され家庭内の無線LANアクセスポイントに不正接続をされないために、IPAはセキュリティレベルの高い「WPA2-PSK(AES)」を設定することを推奨している。この注意喚起は、Wi-Fiの暗号化方式が旧来型のWEPキーで運用していた家庭のルーターを"タダ乗り"した人物が立件されたことによるもの。
2015年06月15日IPAは6月10日、組織のウイルス感染の早期発見と対応に関する注意喚起を公表した。この喚起は、企業・組織の経営者、システム管理者を対象に行われたものだ。標的型サイバー攻撃の被害事案増加を踏まえ、その対策と運用管理の注意喚起が6月2日に行われた。今回の注意喚起は、相次ぐ報道を受け、多くの組織においてウイルス感染の有無に関する懸念が広がっていると想定されることから実施された。ウイルス感染の懸念がある場合、まずウイルスに感染して攻撃活動が始まっていないか、ウイルスの活動の痕跡の確認を行う必要がある。このような確認が、ウイルスの早期検知と被害低減につながるという。ウイルス活動の痕跡を確認するには、以下の4つのポイントがある。○ファイアウォール、プロキシサーバーの確認ファイアウォールやプロキシサーバーのログにおいて、ウイルスによる外部のC&Cサーバー(感染PCに命令を送るサーバー)への通信を確認する。このログで、数秒や数分間隔で繰り返し行われているなど、人間によるウェブサイトの閲覧では起こりえない特徴的な通信が行われていないか、注意する必要がある。○業務上想定していない通信の確認ウイルスはプロキシサーバーを経由せずに直接外部へ通信を試みる場合がある。そのため、端末のインターネット接続がすべてプロキシ経由で、直接のインターネット接続は遮断されている場合は注意が必要だ。直接外部と通信を行おうとして遮断されている通信がないか、ファイアウォールにおいてブロックされた通信のログを確認することも重要だという。また、Active Directoryサーバーやファイルサーバーなどの端末からWindows Updateなどの通信を除いたインターネット向けの通信が無いか確認したい。もし通信があれば、意図的なものか注意が必要だ。なお、国内のサイトが改ざんされ、C&Cサーバーとなっている可能性もある。そのため、国内のウェブサーバーへの通信だから安全とは判断せずに、通信内容を精査する必要がある。○Active Directoryのログの確認Active Directoryを運用している組織は、ログなどから下記のような不審な兆候がないか確認する必要がある。想定されないアカウントでのログイン想定されない端末やサーバーへのログイン想定されない端末での管理者ログイン想定されない時間帯のアクセス想定されない管理者操作やポリシーの変更○Active Directoryサーバーやファイルサーバーなどの確認見覚えのないタスクがタスクスケジューラーに登録されていないか確認する。また、タスクのイベントログに見覚えのないタスクの実行履歴が残っていたら注意する必要がある。また、不審と思われる通信などを行っている端末を発見した際はすぐに対応する必要がある。対処方法は下記の4点だ。○該当の端末をネットワークから切り離すこれにより、被害は最小限に抑えられる。その上で該当の端末や通信ログなどを詳細に調査する。○ファイアウォールやプロキシサーバーでのブロック不審な通信先を発見した場合、ファイアウォールやプロキシサーバー、導入済みの場合はウェブフィルタリングシステムで、不審な通信先との通信をブロックする。これにより、更なる通信が防げる。○セキュリティベンダなどの専門家に相談する正確な被害範囲や感染原因を把握した上で対応を進める。これにより、該当の端末が踏み台とされ、既に他の端末へウイルス感染が広がっている場合の被害拡大を防げる。このほか、継続的な脆弱性対策を実施することも重要だという。攻撃者に一度侵入されてしまうと、Active Directoryサーバーなどの内部サーバーの脆弱性も攻撃者に悪用される恐れがある。IPAでは、クライアント端末だけではなく、Active Directoryサーバーなどの内部サーバーにもソフトウェアの更新プログラム(パッチ)の適用することを推奨している。
2015年06月11日IPAは、コンピュータウイルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、ランサムウェアについて注意喚起を行っている。まずは、ランサムウェアであるが、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語である。決して目新しいものではなく、米国などでは警察、裁判所、司法関係、公的機関を名乗り、画面をロックし、PCを使えない状態にする。「罰金払え」といった名目で金銭を詐取することを目的としている。PC乗っ取り型(デスクトップロッカー型とも呼ばれる)ランサムウェアである。ユーザーを信用させるために、それらしい理由などが記載されている。当然ながら、英語圏以外では、翻訳の作業が必要になる。したがって、日本ではランサムウェアの攻撃者らにネイティブレベルで日本語を使えることが必要となる。これは、ランサムウェアに限ったことではないが、言語の壁が防波堤となり、ウイルスや不正プログラムへの自然な防御策ともなっていた。偽セキュリティ対策ソフトなどでも、不自然な日本語が使われており、注意力を働かせることができた。○クリプト型ランサムウェア最近になり、異なる種類のランサムウェアが登場してきた。PC内のユーザーデータを暗号たするランサムウェアである。PC内に保存してある文書、写真などのデータを暗号化する。そして、元に戻す(復号キーを入手)ためには、金銭を払えと脅してくるのである(もちろん、支払っても戻る可能性はない)。PC乗っ取り型では、ランサムウェアを駆除することで解決する。しかし、クリプト型ランサムウェアでは、駆除しても暗号化されたデータは元に戻ることはない。最近の暗号化はAES-265やRSA暗号などが使われ、復号キーを入手する以外に元に戻す方法はないといってもいいだろう。この点が、非常に悪質なところである。そして、IPAが警告するのは、流暢な日本語が使われている点である。図3は、IPAに寄せられたランサムウェアに関する相談数の推移である。初めてIPAに寄せられたランサムウェアに関する相談は、2011年7月とかなり以前であった。当然ながら、その頃の脅迫文は英語であった。ところが、2014年12月に日本語のランサムウェアの相談が寄せられるようになった。2015年4月には日本語によるランサムウェアの相談が6件となった(そのうちの1件は、企業から寄せられた相談であった)。要求される身代金は、数万円程度である。さらに、支払い方法にビットコインが指定されていた。日本国内では、ビットコインはそれほど流通しておらず、このことが障壁となって被害が拡大することがないだろうと、IPAでは予測している。しかし、最初は機械翻訳したような日本語から、ネイティブのような日本語に変化してきたように、金銭を奪う方法も変化することは十分に考えられる。一方で、ランサムウェアに対する認知度も、IPAの2014年10月に実施した意識調査では2割程度とかなり低い。対策や危機意識が乏しい状態では、被害が急激に拡大する危険性もある。この点にも、IPAでは懸念を表明している。○ランサムウェアの感染経路さて、ランサムウェアの感染経路についても、IPAでは調査を行っている。基本的には、他のウイルスなどと同様に、メール添付、メール内のURLのクリック、攻撃者の作成したWebサイトへ誘導されることで感染する。しかし、今回の相談では、特にそのような行為を行った形跡はみられなかった。よく確認してみると、怪しいとは思えないブログを閲覧した後で、身代金を請求されるようになったとのことだ。IPAでは、PCにインストールされているアプリケーションなどの脆弱性を悪用し、ドライブバイダウンロード攻撃が行われたと推測する。ドライブバイダウンロード攻撃は、そのWebサイトを閲覧しただけで、ウイルスなどに感染してしまうものだ。したがって、注意力で防ぐことは、非常に難しい。○ランサムウェアへの対策上述のように、ランサムウェアには感染しないことが、最大の防御となる(感染したら、データが暗号化されてしまう)。そこで、以下の対策をあげている。セキュリティ対策ソフトを導入するOSおよびアプリケーションを最新の状態にする重要なファイルを定期的にバックアップするいずれも基本的な対策であるが、怠りなく実施する必要があるだろう。そして、バックアップである。2014年10月に実施した意識調査では、定期的にバックアップをとっているユーザーは5割程度である。IPAでは、ランサムウェア以外にも、PCの故障などにも有効な対策となるので、ぜひバックアップを定期的に行うようにと推奨している。
2015年06月02日情報処理推進機構(IPA)は6月1日、「2015年6月の呼びかけ:IPA 独立行政法人 情報処理推進機構」において、4月に情報処理推進機構の情報セキュリティ安心相談窓口にランサムウェアの被害と見られる相談が増えたとして、ランサムウェアの流行に注意するように呼びかけた。ランサムウェアはファイルを暗号化し、復号化したければ金銭を支払えという要求をするマルウェア。現在のところ、ビットコイン経由での支払いを要求することが多く、日本国内ではまだそれほど被害が発生していないと言われている。セキュリティ・ソフトウェアを使って駆除したとしても、暗号化されたファイルは復号されず、金銭の支払いに応じた場合も復号できるとは限らないため、バックアップを確実に取っておくといった対策が必要になるとされている。情報処理推進機構は、ランサムウェアへの対策として、セキュリティ・ソフトウェアを導入すること、オペレーティングシステムやアプリケーションを常に最新版へアップグレードし続けること、重要なファイルは定期的にバックアップを取ることなどを挙げている。
2015年06月02日警察庁は5月26日、産業制御システム用のPLCを標的としたアクセスが多発しているとして注意喚起した。2014年12月に特定のPLCにおいてソフトウェアの脆弱性が発覚し、外部からのリモート操作で任意のコマンドが実行できることがわかった。事態は悪化し、2015年2月には、脆弱性を持つPLCを探索するツールが公開され、5月には、PLCの状態を確認するためのプログラム(PoC)が見つかっている。警察庁では、PCLの脆弱性を標的としたと思われるこパケットを定点観測し、アクセス件数を推移日ごとにまとめている。コード1は、2月に公開されたPLCを探索するツールを使用したと見られ、アクセスの多くが検索サービスを提供する組織からのものであった。また、アクセスを行っている者の実体や、その目的について判明しないアクセスも観測しており、同アクセスは悪用する目的で探索活動を行っている可能性も十分に考えられと分析している。コード2は、5月に公開されたPoCを使用したものと見られる。アクセスを行っている者の実体やその目的について判明していないが、脆弱性を悪用する目的でアクセスを実施している可能性もあると推測している。警察庁では、PLCをインターネットに接続する企業のシステムの管理者に向けて以下の対策をするように呼び掛けている。インターネット上からシステムにアクセスする必要がない場合は、インターネットへの不要な公開を停止するインターネット側からアクセスする場合には、適切なアクセス制限の設定等の対策を実施する使用している製品について最新のセキュリティ情報を確認し、必要に応じてソフトウェアのアップデートやハードウェアのファームウェアの更新などを実施する
2015年05月28日JPCERT コーディネーションセンター(JPCERT/CC)は5月26日、ランサムウエア感染に関する注意喚起を行った。JPCERT/CCは、いわゆるランサムウエアと呼ばれるマルウエアを用いて端末内のファイルを暗号化し、復号の為に金銭等を要求する攻撃の被害を多数確認しているという。これらの攻撃では、攻撃者は何らかの手法でWebサイトのコンテンツを改ざんし、サイトを閲覧したユーザを攻撃用ツールキットを設置したサイト(攻撃サイト)に誘導する。攻撃サイトに誘導された場合、OS、または、Adobe Flash Playerや Javaなど各種ソフトウエアの脆弱性を用いた攻撃が行われ、ユーザのPCに脆弱性が存在した場合、ランサムウエアに感染するおそれがある。ランサムウエアの感染被害に関して確認している脆弱性は、「CVE-2015-0313(Adobe Flash Player)」と「CVE-2014-6332(MS14-064)」の2つで、Microsoft Windows、Adobe Flash PlayerなどのOSやソフトウエアを最新版に更新することを推奨している。JPCERT/CCは対策として、Webサイト管理者に対しては、「使用しているOSやソフトウェアのバージョンを最新版にする」「Webサイトのコンテンツ更新は、感染していないことを確認した特定のPCや場所(IP アドレスなど) に限定する」の2点を勧めている。またユーザーに対しては、利用中のソフトウエアを最新版に更新することと、暗号化された場合に備え、定期的なバックアップデータ取得を推奨している。
2015年05月27日マカフィーは14日、Google Playで配布されているあるゲームアプリに、不審な点を複数発見したと公式ブログ「McAfee Blog」で注意喚起を行なった。該当ゲームアプリのタイトルは、オランダ語の「Kunt u Vang de tovenaar」(魔法使いを捕まえて)。第1の不審な点は、Google Play上ではオランダ語により説明文が記載されていたのだが、ゲームアプリ内の設定ファイルにはベトナムのドメインのURLが使用されていたこと。そのURLはベトナム向けのアプリマーケットで、そこでは正規アプリそのものではなく広告モジュールを含んだダウンローダーを配布している。第2の不審な点は、ゲームアプリにおいてはあまり一般的ではない、デバイス管理者権限を利用していること。ランサムウェアやマルウェアでは、このデバイス管理者権限を悪用して感染したデバイスをロックし、金銭をだまし取ろうとする事例がある。現状ではこのアプリ内にユーザーに不利益となるようなコードは発見されなかったが、今後のアップデートにより悪意ある形に変更される可能性もあるという。実際にこのゲームアプリが悪意なくこうしたコードを持っただけのものか、ユーザーが増えたところでアップデートにより攻撃を開始する予定かは判断できないが、同社はこうした怪しいアプリに注意が必要だとしている。
2015年05月15日フィッシング対策協議会(運営・事務局 JPCERT/CC)は15日、ゆうちょ銀行をかたるフィッシングメールが出回っているとして、緊急情報を公開するとともに注意を喚起した。15日10時分現在、フィッシングサイトは稼働中。アクセスすると、4桁-4桁-5桁のお客さま番号の入力が求められる。今後、類似のフィッシングサイトが公開される恐れもあり、同協議会はお客様番号や合言葉、ログインパスワードなどのアカウント情報を入力しないよう、注意を呼びかけている。同協議会が公開した緊急情報によると、フィッシングサイトのURLには、下記のようなものが報告されている。転送元URL●●●●.cn/js/index.htmhttp://●●●●.com/pk/●●●●.net/pk/●●●●.cn/js/転送先URL●●●●.com/tp1web/U010101SCK.htm
2015年05月15日IPAは、コンピュータウイルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、ブログやSNSなどへの写真の投稿について注意喚起をしている。連休を終え、行楽写真などを記念にアップしたり、SNSで友人と共有することで、より鮮やかな思い出となる。しかし、そこには重大な懸念がある。まずは、他人の写った写真の場合である。撮影した本人には、なんの問題もない。しかし、撮影された他人にとっては、このましくないこともある。図1のように、その場所にいたことが問題であったり、インターネット上に公開されることが問題となることもある。これについてIPAでは、「2014年度 情報セキュリティの倫理に対する意識調査」を実施している。この結果によると、7割以上が他人の写った写真をインターネット上に公開することに対して、問題意識を持っていない事実が浮かび上がる。この結果からも、知人や友人の写真をついアップしてしまうことは容易に考えられる。結果、図1のようなトラブルとなりかねない。友人や知人だけでなく、背景に写った人、さらには、同時に写り込んだ絵画・ポスターといった著作物も問題となることがある。状況によっては、プライバシー侵害、肖像権・著作権の侵害に該当することもあると注意喚起している。○Exif(イグジフ)情報から撮影場所が特定最近のデジタルカメラの機能にExif情報がある。これは、撮影したカメラ、レンズ情報、さらに、撮影時の条件情報を記録する機能である。具体的には、以下である。撮影日時撮影機器のメーカー名撮影機器のモデル名画像全体の解像度水平・垂直方向の単位あたり解像度撮影方向シャッタースピード絞り(F値)ISO感度測光モードフラッシュの有無露光補正ステップ値焦点距離色空間(カラースペース)GPS情報(GPS機能がある場合、緯度・経度・標高)サムネイル(160×120pixel)これらの情報のすべてが記録されるとは限らない。カメラやメーカーによって異なる。確かに撮影時のシャッタースピードや絞りなどは、あとで画像処理を行うときにとても役立つこともある。しかし、問題となるのが、GPS情報である。図3は、その例である。撮影場所が容易に特定できてしまう。撮影内容によっては、個人情報の流出となりかねない。では、どのようにすればよいか。投稿などを行う前に、Exif情報を確認し、公開して問題ないかを確認することだ。もし、問題があれば、削除を行う。図4は、Exif情報を削除するソフトである。ドラッグ&ドロップだけで簡単に削除ができる。実際、図3の写真では、図5のようになった。最近のブログやSNSでは、投稿の際に自動的にExif情報を削除する機能を持つものもある。しかし、過信せず、注意が必要であろう。また、IPAでは「友人にのみ公開」といった公開制限もあるが、これにも注意すべきとしている。その理由であるが、閲覧した友人から再公開されたり、メールなどで拡散する可能性もあるからだ。そして、どんな制限があっても、投稿された写真は「全世界の不特定多数の人に閲覧される」可能性があることを忘れてはいけないことだ。○写真を投稿をするにあたっての対策IPAでは、ブログやSNSに写真を投稿する際の対策として以下を推奨している。投稿時にはExifのGPS情報の有無を確認すること一緒に写っている人には事前に投稿への許可を得ること公開する必要のない写り込みは特定できないように加工をすること最初の2つについては、わかりやすいであろう。最後の対策であるが、被写体だけでなく、背景に写り込んだ人物、著作物、内容についても検討する必要があるということだ。IPAは、意外な盲点となる可能性もあるので、しっかりと確認すべきとしている。では、実際に公開することに問題がある内容を含んでいる場合、どのようにすべきであるか。IPAでは、以下をあげている。トリミングを行う画像をぼかす拡大しても識別できないレベルの解像度に変更するこのような加工を施し、撮影内容を特定できないようにする。インターネット上に公開されたデータは、決して削除することはできない。その点を忘れずに、アップしてほしい
2015年05月07日総務省は4月28日、小型無人飛行機(ドローン)を用いて撮影した映像・画像について、インターネット上への公開に対する注意喚起を行った。ドローンを使って空撮した映像や画像に人物が写っている場合、被撮影者(写り込んでいる人)の同意を得ずにインターネットに公開すると、被撮影者のプライバシーや肖像権を侵害する恐れがある。総務省では、こうした映像や画像をインターネットに公開する際には、被撮影者のプライバシーと肖像権、および個人情報の保護に配慮するように呼びかけた。撮影時には、被撮影者の同意を得ることを前提としつつ、難しい場合は当該箇所(人の顔などプライバシー侵害の可能性がある箇所)にぼかし処理を施したうえで公開するといった配慮を求めている。上記のような配慮をせず、被撮影者のプライバシー、肖像権、個人情報を侵害する映像・画像を公開した場合、撮影者(公開者)は不法行為に基づく損害賠償請求を負う。また、浴場など、通常は衣服を身につけないでいる場所を撮影した場合は、刑事上(軽犯罪法)の対象となる可能性がある。一方、インターネット上で画像・動画を公開するサービスを手がけている事業者に対しても、削除依頼に対応する体制を整備することとした。
2015年04月30日フィッシング対策協議会(運営・事務局 JPCERT/CC)は21日、新生銀行をかたるフィッシングメールが出回っているとして、緊急情報を公開するとともに注意を喚起した。21日10時30分現在で、フィッシングサイトは稼働中。アクセスすると、4桁の暗証番号およびパスワードの入力が求められる。今後、類似のフィッシングサイトが公開される恐れもあり、同協議会は暗唱番号やログインパスワードなどのアカウント情報を絶対に入力しないよう、注意を呼びかけている。同協議会が公開した緊急情報によると、フィッシングサイトのURLには、下記のようなものが報告されている。転送元URL●●●●.com/images/転送先URL●●●●.com/FLEXCUBEAt/LiveConnect.htm
2015年04月21日JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center、JPCERT/CC)は4月15日、「2015年4月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起」において、Oracle Java SE JDKおよびOracle Java SE JREに複数のセキュリティ脆弱性が存在するとと伝えた。この脆弱性を悪用されると、Javaを不正終了されたり、任意のコードが実行されたりする危険性がある。この脆弱性が存在するプロダクトおよびバージョンは次のとおり。Java SE JDK/JRE 8 Update 40およびこれよりも前のバージョンJava SE JDK/JRE 7 Update 76およびこれよりも前のバージョンすでにサポートが終了しているJava SE JDK/JRE 6系および5系にも同様の脆弱性が存在しており注意が必要。JPCERTコーディネーションセンターでは脆弱性の内容を確認するとともに、必要に応じて最新版へアップグレードすることを推奨している。
2015年04月15日JPCERT/CCが運営するフィッシング対策協議会は4月15日、三菱東京UFJ銀行をかたるフィッシング詐欺サイトが稼働しているとして注意喚起を行なった。同銀行をかたるフィッシング詐欺サイトでフィッシング対策協議会が注意喚起を行なったのは、2013年11月と12月、2014年6月、9月など頻発している。これまでと同様に、三菱東京UFJ銀行が送信したかのような詐欺メールが出回っており、「アカウントが凍結されないように」と利用者を焦らせるような文面でURLを踏ませる手口が使われている。URLの一例が画像に載っているが、「bk.mufg.jp」と一見、正規サイトのように見えるものの、ドメインの実態は〇〇〇〇.comと、全く別のサイトとなっているため、しっかりとURLを確認することで、詐欺サイトかどうか確認できる。もしURLを踏んでしまうと、一見本物と見まがうようなサイトが表示されるため、注意が必要だ。現在、フィッシングサイトは稼働中であり、JPCERT/CCがサイト閉鎖の手続きを行なっているものの、類似のフィッシングサイトが上記URL以外でも展開される可能性があるため、注意する必要がある。誤ってアカウント情報を入力した場合には、「インターネットバンキング不正利用ご相談ダイヤル」などに連絡するよう、フィッシング対策協議会では呼びかけている。
2015年04月15日トレンドマイクロは10日、1年前の2014年4月にサポートが終了したOS「Windows XP」が、世界中の多くの企業でいまだ利用されているとして、注意を喚起した。Windows XPの世界市場シェアは、オンライン統計サイト「Net Market Share」で2015年3月時点で約17%、同「StatCounter」で約11%以上という値になっている。また、米国政府のWebサイトを訪問したユーザー情報の分析では、Windows XPの市場シェアは5%以下だという。Windows XPは2014年4月9日にサポートが終了し、脆弱性を修正するアップデートなどのサポートが行われなくなった。過去1年間に確認された、Windows XPに影響を与える可能性のある脆弱性のうち、Windows XPが含まれる更新プログラムは2014年4月に提供されたもののみで、後継OSに実装されたセキュリティ対策もXPには適用されていない。同社は、2015年7月にサポートが終了するWindows Server 2003の利用にも警鐘を鳴らしており、Server 2003からの移行計画の準備・実施を強く推奨するとしている。
2015年04月13日IPAは、コンピュータウイルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、新たなワンクリック請求について注意喚起をし、その対策などを紹介している。まずは、次のグラフを見ていただきたい。IPAに寄せられたスマートフォンのワンクリック請求の相談件数を集計したものである。2014年4月以降、高止まりといった状態が続いている。その一方で、2014年12月から相談内容に変化があったとのことだ。具体的には、請求画面の表示と同時に写真を撮られてしまったようだという相談が寄せられるようになった。従来のワンクリック請求の手口といえば、アダルトサイトや動画サイトに誘導し、認証ボタン(「はい」、「入場する」、「入口」、「ENTER」など)をクリックさせ、会員登録が成立したかのように見せかけ、高額な料金を請求するものである。スマートフォンには、繰り返し請求画面が表示され、さらに脅し文句(法的手段や支払いが遅れると遅延金が発生するなど)やユーザーを特定できたかのような情報(IPアドレスや端末情報)が表示される。内容がアダルト系であることから誰にも相談できず、請求金額を支払ってしまうことが多い。○新しい手口1: 請求画面と同時にシャッター音が聞こえる従来のワンクリック請求では、繰り返し請求画面が表示された。これは、不正プログラムやウイルスが表示しているのではない。ブラウザが、攻撃者の作成したWebサイトの請求画面を表示しているにすぎない。今回の新しい手口では、この表示を行う際に、シャッター音を鳴らすというものである。これまでも、不正アプリの一部に、シャッター音を鳴らすようなものが存在した。しかし、ブラウザの閲覧だけで、スマートフォンのカメラ機能を使ったり、写真をネットワーク経由で送信することはできない。IPAでは、ブラウザが請求書の画面を表示する際に、ユーザーがなんらかの操作をすることで、シャッター音の音楽データを再生していると分析する。つまり、まったくの擬音とみなすことができる。では、攻撃者はなぜこのようなことをするのか。これは従来の手口で使われたIPアドレスや端末情報と同じと考えられる。ユーザーからすれば、写真を撮られることで、個人が特定されたかのように誤解してしまうのである。こうして、請求金額を振り込ませようとしているのだ。○新しい手口2: 自動的に電話を発信させる別な手口も登場している。シャッター音ではなく、自動的に電話を発信させるという手口である。その流れであるが、図3のようになる。ユーザーのスマートフォンに請求画面が表示、つまり、攻撃者のWebサイトを閲覧すると(図3 (1))、登録に関連する情報が記載されたポップアップメッセージがまず表示される(図3 (2))。ここで、[OK]をタップしてしまうと、電話発信を確認するポップアップが表示される(図3 (3))。ここでよく確認をしないと、実際に電話発信を行ってしまう。ポップアップメッセージ(図3 (2))の電話番号をよくみてほしい。先頭に「186」が追加されている。これは、ユーザーが電話番号を非通知に設定していても、通知先に電話番号が通知されてしまう設定である。つまり、IPアドレスなどと違い、本当の個人情報が攻撃者に渡ってしまうので、より注意が必要となる。IPAは、この手口について、より悪質になったと指摘する。その理由であるが、電話の発信を図3 (3)でキャンセルしても、再度、登録完了画面に戻り、自動的にポップアップメッセージが表示され、(1)から(3)がループ状態となる。つまり、発信以外の選択ができないようになっている。こうして、ユーザーには、発信しないかぎり、以前のようにブラウザが使えないと思い込ませている。○対策は、閲覧履歴の消去新しい手口も、ブラウザを使っている点では変わりがない。つまり、対策はこれまでのものが有効となる。具体的には、閲覧履歴の消去である。その方法を紹介しよう。現実世界では、依然としてオレオレ詐欺が猛威をふるっている。知らない人はいないくらいなのに、被害が止まらない。攻撃者側は、さまざまな劇場効果を作成し、高齢者をだましている。同じことがワンクリック請求でも行われている。油断を逆手にとる、心理的な不安を煽ることで、送金させようとしている。IPAでは、ブラウザに表示された請求画面を消し、連絡を取らないことが対策としてもっとも有効とアドバイスする。攻撃者に連絡をしたり、契約の成立に関して不安を感じる場合には、消費生活センターへ相談するとよいだろう。
2015年04月02日トレンドマイクロは3月27日、1月にマイクロソフトが注意喚起したMicrosoft WordおよびExcelの不正なマクロが、現在でも増加していることをセキュリティブログで明かした。マクロ自体は、WordやExcelの文書作成において、コマンドやコードによって作業を自動化するもの。不正なマクロの多くは、自動実行の機能を悪用し、別の不正なプログラムを勝手にダウンロードしたり、利用者に実行を促したりする。○スパムメールで不正なマクロを配布今回確認されたケースは、航空会社の「Air Canada」の電子航空券を装い、メールに不正なマクロが添付するというもので、情報窃取型不正プログラムのダウンローダーだ。攻撃の仕組みは、感染したPCにバッチファイル(拡張子:bat)や VBScript(拡張子:vbs)、PowerShell Script(拡張子:ps1)を作成する。これにより、より深刻な被害をもたらす新たなファイルをダウンロードする。さらに、OSをコントロールし、Microsoftが開発したコマンドコンソールおよびスクリプト言語である「Windows PowerShell」の機能を悪用する。Windows PowerShellは、2月にオンライン銀行詐欺ツール「VAWTRAK」が関連した攻撃で利用されている。○スパムメール経由でオンラインバンキングが狙われるトレンドマイクロでは、今回のスパムメール送信活動で拡散された不正なマクロだけでなく、多くの不正プラグラムがスパムメールで配布されると指摘している。不正なマクロの例で言うなら、添付ファイルはこれまで「DOC」「DOCM」「XLS」が主流であったが、それに加えて「XLSM」が増加し猛威をふるっている。さらに、オンライン銀行詐欺ツール「ROVNIX」、「VAWTRAK」、「DRIDEX」、「NEUREVT」(別名:Beta Bot)といった不正プログラムの誘導を促す不正プラグラムも増える傾向があるという。
2015年03月30日フィッシング対策協議会(運営・事務局 JPCERT/CC)は20日、ハンゲームを騙るフィッシングメールが複数出回っているとして注意を呼びかけた。フィッシングメールは「【ハンゲーム】会員登録」などの件名で送付され、本文に記載されたURLをクリックすると偽のフィッシングサイトへ誘導される。同協議会は、JPCERT コーディネーションセンター(JPCERT/CC)にフィッシングサイト閉鎖のための調査を依頼するとともに、IDやパスワード、ワンタイムパスワードなどのアカウント情報を入力しないよう注意を喚起している。同会が公開した緊急情報によると、フィッシングサイトのURLには、下記のようなものが報告されている。●●●●.com/index.html?app=wam&ref=●●●●.com/index.html?app=wam&ref=
2015年03月21日三菱東京UFJ銀行は11日、同行行員に成りすまし、「医療費」「税金」などの還付金があるとしてATMコーナーへ誘導する不審な電話に注意するようにと発表した。同行行員を騙り、「医療費」「税金」などの還付金があるとして、顧客を同行ATMもしくはコンビニATMコーナーに誘導し、言葉巧みに振り込みを行なわせる還付金詐欺被害の情報が寄せられているという。同行行員ならびに行政機関の職員から、還付金があるとしてATMコーナーへ誘導することは絶対にないとしている。もしこのような不審な電話を受けた場合は、最寄の警察および営業店に相談するようにとしている。
2015年03月12日独立行政法人 情報処理推進機構(IPA)は11日、2015年4月30日に公式サポートを終了する「Java SE 7」の利用者に対し、注意を喚起した。「Java SE 7」は、オラクルによる公式サポートが2015年4月30日に終了する。サポート終了後は脆弱性が新たに発見されても修正アップデートが提供されず、攻撃の被害に遭う可能性が高くなる。例えばクライアントPCでは、改ざんされたウェブサイトへアクセスした場合にウイルス感染する危険があり、情報漏えいなどが発生する可能性がある。また、サーバでは、プログラムに対し悪意のある入力が行われる危険があり、意図しない動作の発生や情報漏えい、サービス停止などが引き起こされる恐れがある。同社は、2014年に「Java SE 7」が影響を受けた脆弱性対策情報は111件で、このうち深刻度が最も高い「レベル3」は全体の43%となる48件と説明。ユーザー側の対応として、利用しているJavaアプリケーションを最新のものに更新すること、提供者側の対応として、「Java SE 7」を使用するシステムが最新版でも動作するかを確認することを挙げている。
2015年03月11日NTTドコモは、同社のTwitter公式アカウント「ドコモ公式サポート」で、スマートフォンの持ち方によって指が変形してしまう「テキストサム損傷」への注意を促すツイートをしている。「テキストサム損傷」は、スマートフォンなどの持ち方によって、特定の指に負担がかかり、指が変形してしまう症状。Twitter上では、「自分がまさにこれ」、「すでになってしまってる……」、「小指を置くと安定するからついついやってしまう」などのツイートが散見される。ドコモ公式サポートでは、特定の指に負担をかけ過ぎると指の形が歪んでしまう恐れがあるとし、ときどき持ち方を変えたり、長時間の使用の際は休憩を取るようも、ツイートで注意を呼びかけている。(記事提供: AndroWire編集部)
2015年03月09日シマンテックは3月4日、iOSデバイスユーザーを騙してiCloudアカウントのログイン情報を入力させようとする複数のフィッシングサイトが作成されているとして注意喚起を行った。同社のブログによると、攻撃者は、iPadやiPhoneの紛失または盗難に遭ったユーザーを標的に設定。フィッシング詐欺は、アンダーグラウンドフォーラムに出入りするiOSデバイス窃盗犯に向けたサービスの一環として実行されている可能性があるという。具体的には、メッセージに記載されたURLに「i-cloud」という言葉が含まれているが、実際には、本物のiCloudのログインページを装ったフィッシングサイトにリダイレクトされる。狙われている言語は、英語とスペイン語、イタリア語、フランス語、ドイツ語、ポルトガル語、中国語、ロシア語、ベトナム語、インドネシア語の10カ国語。iOSの「iPhoneを探す」機能に含まれている「紛失モード」を使用すると、紛失や盗難に遭ったときにデバイスをロックすることができるが、「紛失モード」を設定する際、ロック画面に表示されるメッセージや電話番号の入力が可能なので、デバイスを発見した人が所有者に連絡して所在地を知らせられる。iOSデバイスを取り戻した後、事前に設定したパスコードを直接デバイスに入力、または別のデバイスからiCloudアカウントにログインして「紛失モード」を解除すれば「紛失モード」を解除できる。「紛失モード」を解除しないと、iPhoneやiPadを使えない。この攻撃の最終な目的は、iCloudのログイン情報を盗んで「紛失モード」を解除し、盗んだiOSデバイスを使用できるようにすること。犯罪者は「紛失モード」が有効になっている間、紛失または盗難に遭ったiOSデバイスの画面に表示されている情報を悪用できる。たとえば、ロック画面に電話番号が表示されていれば、その番号に偽の通知を送ることができる。端末を紛失した所有者はデバイスを取り戻そうとして、簡単に騙されてしまう可能性がある。この手の詐欺を防止するためのポイントは見知らぬ送信元から迷惑メッセージが届いたら警戒し、リンク先のWebサイトのURLを注意深く確認することだという。また、モバイルデバイスを保護するために強力なパスコードを使用し、パスコードが4桁では安全ではないため、英数字を含めた複雑なパスワードが推奨される。
2015年03月06日トレンドマイクロは3月5日、同社のセキュリティブログにおいて、1990年代から存在していたと考えられる脆弱性について注意喚起を行った。脆弱性は「Factoring RSA Export Keys(FREAK)」と命名されており、この脆弱性が悪用されると、利用者がSSL/TLSを行う際に強度の弱い暗号(RSA Export Suites)を使用させるられる。強度の弱い暗号が解読されることにより、通信の盗聴、改ざんが行われる危険性がある。FREAKは、パリのフランス国立情報学自動制御研究所(INRIA)所属の Karthikeyan Bhargavan氏、および同研究所とMicrosoft による共同プロジェクトチーム「miTLS」によって確認。「OpenSSL」(0.9.8zd未満・1.0.0p未満の1.0.0バージョン・1.0.1k未満の1.0.1バージョン)および Apple の SSL/TLS通信のクライアントがSSL/TLS通信で扱った情報が、中間者(MitM)攻撃により盗聴、改ざんされる可能性があるという。この脆弱性を利用した攻撃の前提条件は、接続元クライアントとしてこの脆弱性の影響を受けるソフトを使用し、接続先サーバが「RSA Export Suites」をサポート。中間者が双方間の HTTPS通信に介入することに成功すると、盗聴や改ざんなどの攻撃が可能になる。一般的には中間者がHTTPS通信に介入しても、通信が暗号化されており問題はない。しかし、この脆弱性を利用した攻撃では、暗号化通信が強度不足の「512ビット以下の暗号化」に変更されてしまう。FREAK脆弱性に関する情報を専門に扱っている「freakattack.com」によれば、信頼性の高いとされるWebサイトの37%が、また、Alexaのトップ100万ドメインのうち9.7%のサイトが「RSA Export Suites」をサポートしており、この脆弱性を利用する攻撃の影響を受る可能性があるという。この中には「Bloomberg」や「Business Insider」「DNet」「HypeBeast」「Nielsen」「米連邦捜査局(FBI)」などのWebサイトも含まれている。同サイトではIT管理者に「RSA Export Suites」のサポートを無効にするよう呼びかけており、既知の安全ではない暗号化をすべて無効して「Forward Secrecy(前方秘匿性)」を有効に」といった改善策を提案している。
2015年03月06日シマンテックは1月22日、Adobe Flash Playerに未確認のゼロデイ脆弱性が存在するとして注意喚起を行った。同社によると、この脆弱性はセキュリティ研究者Kafeine氏によって発見された。脆弱性は最新バージョンのAdobe Flash Playerでも確認されており、Anglerエクスプロイトキットの一部ですでに悪用されているという。攻撃者は、この脆弱性を悪用してホストを効率的に侵害可能で、これによりマルウェアを閲覧者に不正にインストールできるため、深刻な事態につながるとシマンテックでは警告している。同社の情報によると、Adobeは脆弱性の存在をまだ確認しておらず、セキュリティ情報についても公開していないという。シマンテックは初期解析の結果から、すでにこの攻撃で使われているSWFファイルを検出可能としており、さらにこの脆弱性の調査を進めるとしている。
2015年01月22日南山大学経営学部の学生たちは、日本鉄道広告協会中部支部と連携し、「歩きスマホの注意喚起」をテーマにした交通広告を制作した。同交通広告は、「いじめられている亀に気づかない浦島太郎」や「シンデレラのガラスの靴に気がつかない王子様」など昔話をモチーフにしたユニークなものとなっている。南山大学経営学部の学生たちが、日本鉄道広告協会中部支部と連携して制作した、歩きスマホの注意喚起広告は、連続・多面駅デジタルサイネージ「シリーズ・アド・ビジョン名古屋」にて放映される。内容は、「スマホゲームのレベルアップに夢中で、いじめられている亀に気がつかない浦島太郎」や、「歩きスマホで舞踏会の写真をシェアし、ガラスの靴に気がつかない王子様」など「浦島太郎」や「シンデレラ」といった昔話をモチーフにしたものになっている。その後、「周り、見えてますか?」、「やめよう、歩きスマホ」と表示され、歩行中のスマートフォンの使用に注意を呼びかけている。放映期間は、2015年1月13日から19日までの7日間。放映場所はJR 名古屋駅中央通り「シリーズ・アド・ビジョン名古屋」。NTTドコモ東海支社が協賛している。
2015年01月14日LGエレクトロニクス・ジャパンは25日、LGグループを装い金銭をだまし取ろうとする詐欺に注意を喚起した。12月上旬以降に、「LGサービス」などLGグループを連想させる架空の団体を名乗る不審者から、「コンテンツ登録使用の無料期間が経過したので、追加料金が発生しました。未払い金額を支払いして下さい」という内容のメールが届いたと、複数のユーザーから問い合わせがあり発覚した。メールには、同社の電話番号ではないが、実際につながる電話番号と、請求金額が記載されていたという。同社は詳細を確認中。公式サイトで告知するほか、警察への情報提供も行っている。また、ユーザーに対し、不審な電話やメールがあった場合は、警察に相談するよう呼びかけている。
2014年12月26日IPA(独立行政法人情報処理推進機構)は、年末年始の長期休暇中およびその前後における情報セキュリティに関する注意喚起を発表した。IPAの注意喚起は、システム管理者、企業など組織の一般利用者、家庭での利用者、スマートフォン・タブレットの利用者を対象にしたもの。このうちスマートフォン・タブレット利用者向けには、「使用時の注意」「使用ルールの徹底」「セキュリティアプリの導入」の3つのポイントが示されている。「使用時の注意」として、端末にパスワードなどを設定した画面ロック機能を必ず有効にし、ロックまでの待ち時間を1分程度の短い間隔にしておくこと、また、パソコン同様、信頼できない場所からのアプリのダウンロードを避けることとしている。さらに、SNSで知り合った異性から不正アプリのインストールを持ちかけられ、そのアプリでプライベートな動画を撮影したことが原因でセクストーション(性的脅迫)の被害にあう事例があるとして、信頼できるマーケットからアプリを入手し、第三者に見られては困るプライベートな写真や動画を撮影し、データ送信しないように注意を呼びかけている。「使用ルールの徹底」では、端末内部の情報を窃取するアプリがあることから、個人利用のスマートフォン、タブレットを業務利用する場合は、所属組織の業務規程に従うべきとしている。「セキュリティアプリの導入」は、正規アプリの名に似せた偽アプリが存在し、ウイルス感染の被害にあうことが考えられ、また、感染拡大につながる可能性があるとして、Androidスマートフォン・タブレット利用者にセキュリティアプリの導入を訴えている。
2014年12月25日JPCERT/CCは12月19日、Active Directoryのドメイン管理者アカウントの不正使用に関する注意喚起を行った。これは、複数の標的型攻撃の分析によって確認されたもので、長期間に渡って国内の会社組織のネットワークに侵入して潜伏、情報を盗み取られていた。これらの攻撃では、内部に侵入した攻撃者がActive Directoryのドメイン管理者アカウントの認証情報を不正取得し、横断的な攻撃活動を行っていたという。組織内で運用している管理者アカウントは、組織内システムに対して幅広いアクセスができるため、業務端末やサーバーへの侵入、組織内部におけるマルウェア感染の拡大、情報を盗み取るなど、多岐に渡って様々な行動が可能となる。現時点でJPCERT/CCが確認している事例では、組織内部に侵入した攻撃者による管理者アカウントの不正使用の検知は、ログの定期的な確認によってできたものが多数あったという。JPCERT/CCでは、こうした攻撃への対策として複数の対処例を挙げている。例えば、確認されている攻撃手法として「運用上必要のない管理者アカウントが攻撃活動に利用された」というものがある。そのため使用していないはずのアカウントが使用されていないか管理者がログオンすることのないユーザー端末やサーバー、ドメインコントローラーへのログオン・ログオン試行がないか管理者アカウントの運用を行うはずのない端末で管理者アカウントが使用されていないか本来利用しないはずの休日や業務時間から大きく離れた深夜・早朝などにアクセスがないか管理者アカウントが勝手に追加されていたり、ポリシーの変更、イベントログの削除といった、想定外の操作が行われていないかといった項目の確認を行うように呼びかけている。また、これらの確認に合わせて、不必要なアカウントの削除・管理見直しやアクセス制限、多要素認証、定期的なアカウント利用状況の確認も行うように合わせて発表している。
2014年12月19日情報処理推進機構(IPA)は12月18日、年末年始の長期休暇中およびその前後における情報セキュリティに関する注意喚起を発表した。この注意喚起はパソコン、スマートフォン、タブレット等の利用により休暇中や休暇明けに、企業など組織内でのトラブルや顧客へのウイルス感染、情報漏えい、および家庭でのトラブルに遭わないようにするためにIPAが毎年行っているもの。万が一トラブルが発生した場合に被害が拡大しないよう、「1.システム管理者」「2.企業など組織の一般利用者」「3.家庭での利用者」「4.スマートフォン、タブレットの利用者」を対象にした情報セキュリティ対策で構成している。システム管理者向け対策では、「緊急対応体制、盗難・紛失時の連絡体制」「最新バージョンの利用」「修正プログラムの適用」「定義ファイルの更新」「情報持出しルールの徹底」「アクセス権限の再確認」「情報取扱いルールの徹底」「パスワード管理の徹底」「サイバー攻撃対策の点検」などを案内。企業など組織内の一般利用者が行う対策では、「インターネットバンキング利用時の注意」「修正プログラムの適用」「定義ファイルの更新」「利用前のウイルスチェック」「メールの取り扱いの徹底」を注意喚起している。また、家庭でパソコンを使用する方の対策では、「インターネットバンキング利用時の注意」「最新バージョンの利用や修正プログラムの適用」「USBメモリ等の取り扱いの徹底」「必要データのバックアップの推奨」「SNS利用上の注意」「ウェブサイト利用時の注意」「パスワード管理の徹底」など初歩的な注意も行っている。最後のスマートフォン、タブレット利用者に対する対策では、「スマートフォン、タブレット使用時の注意」「スマートフォン、タブレット使用ルールの徹底」「セキュリティアプリの導入」の注意点についてまとめている。これらの詳細な対策はIPA Webサイトで公開されている。
2014年12月19日一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は10日、Adobe ReaderおよびAdobe Acrobatの脆弱性に関し注意を喚起した。米Adobe Systemsは現地時間9日、この脆弱性に対処したAdobe ReaderおよびAcrobatの最新版を公開している。Adobe ReaderおよびAdobe Acrobatの脆弱性(APSB14-28)では、第三者が細工したPDFなどを閲覧させることで、コード実行やメモリ破損、TOCTOU問題などが起こりうる恐れがある。Adobeは計20件の脆弱性を修正した最新版を公開済み。脆弱性の深刻度は4段階のうち最も高い「critical」となっている。最新の更新プログラムは、下記のバージョン。Adobe Reader XI 11.0.10 (Windows、Mac)Adobe Reader X 10.1.13 (Windows、Mac)Adobe Acrobat XI 11.0.10 (Windows、Mac)Adobe Acrobat X 10.1.13 (Windows、Mac)
2014年12月10日