ネットセキュリティニュース

  Web上の動画ファイルを閲覧しようとするユーザーを狙ってウイルスを配布するサイトが出現している。Panda Securityは22日、約5000件ものYouTube動画のコメント欄にウイルス配布サイトのURLが書き込まれていると注意を呼びかけた。また、今月中旬には、Adobe Flash Playerの偽サイトの出現も報告されている。

■最大4900件のYouTube動画にウイルス配布サイトのURL

　スペインのセキュリティベンダーPanda Securityは22日、最大4900件のYouTube動画にウイルス配布サイトのURLが書き込まれていると注意を呼びかけた。
　Panda Securityによると、YouTube動画のコメント欄にアダルトサイトに見せかけたコメントとリンク先のURLが書き込まれているという。特徴的なのが、URLのドット（.）の部分をブラケット（[ ]）でくくり、直リンクにはしていない点だ。ブラケットをはずしたURLはウイルス配布サイトで、誘導先のサイトで動画を見ようとすると「Flash Playerのバージョンが古くなっている」として最新版にするよう促される。そこで「Get the latest Flash player」をクリックすると、ウイルスがダウンロードされてしまう。ウイルスは、システムをスキャンするふりをして、実際には存在しないウイルスを検出したように見せかけ、アンチウイルスソフトの押し売りを行う。
　編集部で調べたところ、ウイルスのファイル名は「flash_player_v11.exe」。VirusTotalにかけてみると、ウイルスを検出できたセキュリティソフトは22/40だった。該当するURLが書き込まれたYouTube動画は28日夕方時点で最大で1万5000件以上。誘導先は25日の時点では閉鎖されていたが、28日には場所を移して復活していた。
　Panda Securityは、YouTubeのコメントを使ってウイルス配布サイトに誘導するテクニックは新しいものではないが、今回は大量の動画に影響を及ぼしているのが特徴で、自動的なツールが使われていると述べている。

■Adobe Flash Playerの偽サイト出現～偽インストーラーの正体はウイルス　一方、今月13日、フィンランドのセキュリティベンダーF-SECUREが、Adobe Flash Playerの偽サイトの出現について注意を呼びかけた。
　F-SECUREによると、攻撃者はサイトを訪問したユーザーに、サイトの動画を見るためには「新しいバージョンのAdobe Flash Player」にアップデートする必要があるというメッセージを表示し、Flash Playerの偽サイトに誘導。偽サイトのページの体裁やダウンロードされたインストーラーは本物そっくり作られており、F-SECUREは「訪問者がアドレスバーをじっくり見ない限り、かなり簡単に騙されるはずだ」と述べている。
　偽インストーラーの正体はウイルスで、編集部でVirusTotalにかけてみたところ、ウイルスを検出できたセキュリティソフトは14/40だった。また、米トレンドマイクロも偽のFlash Playerについて注意を呼びかけている。

■対岸の火事ではない日本の状況～動画閲覧時に注意

　今回のケースは決して対岸の火事ではない。日本でも、Web上の動画ファイルを閲覧しようとクリックを繰り返すうちにウイルス感染するケースが後を絶たず、4月には情報処理推進機構セキュリティセンター（IPA/ISEC）が注意喚起を行った。また、先日は「ニコニコ動画」や「＠wiki」と紛らわしいドメインを使ってウイルスを配布するサイトが出現している。
　もし、今回のケースのように、動画を見ようとしたときに「Flashのバージョンが古いのでアップデートしてください」と表示され、本物そっくりな偽サイトに誘導されたとしたら、偽サイトだと見極めることができるだろうか。
　あの手この手で仕掛けてくる攻撃者に騙されないためには、動画を見ようとしたときに何かのファイルをダウンロードさせようとしたり、メディアソフトのアップデートを要求されても、決してダウンロードしないようにすることだ。また、動画をクリックしただけでウイルスソフトがダウンロードされることもあるが、その場合はセキュリティの警告画面が表示されるので、必ず中止して引き返すことが肝要だ。ソフトが最新バージョンかどうか不安なときは、必ず正規サイトにアクセスしてアップデートを行うよう強くお勧めする。

■YouTube riddled with comments leading to Malware[英文]（PandaLabs Blog）
http://pandalabs.pandasecurity.com/archive/YouTube-riddled-with-comments-leading-to-Malware.aspx
■Adobe Flash Playerの偽サイト（エフセキュアブログ）
http://blog.f-secure.jp/archives/50241583.html
■Fake Videos Lead to Fake Flash Player[英文]（TrendLabs MALWARE BLOG）
http://blog.trendmicro.com/fake-videos-lead-to-fake-flash-player/

（2009/05/29 ネットセキュリティニュース）

  著作権法違反容疑での逮捕と書類送検が2件、相次いだ。東京都江東区の男は、P2Pで入手した「Adobe Creative Suite 4 Master Collection」の海賊版をネットオークションを通じて販売。千葉県の男は、ロックバンドDIR EN GREY（ディルアングレイ）の発売前の楽曲をニコニコ動画に無断で公開していた。

■P2Pでマスターを入手しヤフオクで海賊版ソフト販売、東京都江東区の男を逮捕

　千葉県警生活経済課と松戸東署は20日、ヤフーオークションを通じ、権利者に無断で複製したコンピュータソフトを販売していたとして、東京都江東区の無職の男(48歳)を著作権法違反の疑いで逮捕、21日に千葉地検松戸支部に送致した。
　コンピュータソフトウェア著作権協会（ACCS）によると、男は3月11日頃から12日頃にかけて3回にわたり、アドビシステムズが著作権をもつ「Adobe Creative Suite 4 Master Collection 日本語版(30日間体験版)」を権利者に無断で複製したDVD-R計6枚を、計2万1300円で販売していた。販売は、体験版とその期限を解除するツールをセットにして行われていたという。調べによると、男は昨年11月頃から逮捕されるまで、約170万円を売り上げていた。また、海賊版を作成するためのマスターソフトをファイル共有ソフト（P2P）を通じて入手したと供述しているという。
・P2Pを通じてマスターを入手、海賊版販売男性を逮捕（ACCS）
http://www2.accsjp.or.jp/criminal/2009/0902.php

■発売前の楽曲をニコニコ動画で無断公開、千葉県の男を逮捕

　警視庁麻布署は21日、ロックバンドDIR EN GREY（ディルアングレイ）の楽曲を無断で公衆に送信したとして、千葉県の会社員の男（22歳）を著作権法違反（公衆送信権侵害）の疑いで東京地検に書類送検した。
　同バンドの所属事務所であるサンクレイドによると、男はアルバム「UROBOROS」（ウロボロス）の楽曲およびCDのジャケット写真を発売約2週間前の昨年10月30日、「ニコニコ動画」を通じて権利者に無断で公開した。
・DIR EN GREY CD無断送信、男性会社員を著作権法違反で書類送検（サンクレイド）
http://prw.kyodonews.jp/open/release.do?r=200905222980

（2009/05/27 ネットセキュリティニュース）

  Mac OS Xが深刻な脆弱性のある古いJRE（Java Runtime Environment：Java実行環境）を搭載しているとして、セキュリティベンダーやUS-CERTが注意を呼びかけている。現時点での脆弱性回避策は、Javaを無効にすること。

　この脆弱性は、サンマイクロシステムズが昨年12月に修正したもの。アップルはこの脆弱性になかなか対処しようとせず、12日に公開されたMac OS Xの最新版「10.5.7」や、セキュリティアップデート「2009-002」でも問題は解消されていない。これを受け、セキュリティ研究家のLandon Fuller氏は、自身のブログ上でこの脆弱性を突くコンセプト実証コードを公表した。アップルに対処を迫った形だ。

　この脆弱性を悪用されると、ログインユーザーの権限でファイルの読み取り、書き込みと実行が可能となるため、悪意のあるサイトを閲覧しただけで、任意のコードを実行されるおそれがある。

（2009/05/22 ネットセキュリティニュース）

■Critical Mac OS X Java Vulnerabilities[英文]（Landon Fuller）
http://landonf.bikemonkey.org/code/macosx/CVE-2008-5353.20090519.html
■Mac OS X Includes Known Vulnerable Version of Java[英文]（US-CERT）
http://www.us-cert.gov/current/index.html#java_vulnerability_affects_mac_os
■Java/Evasion.A Java Vulnerability[英文]（Intego Security Memo）
http://www.intego.com/news/ism0905.asp
■Critical Mac OS X Java Vulnerability Proof-Of-Concept[英文]（SecureMac）
http://www.securemac.com/java.php
■CVE-2008-5353
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5353

  4月に第1報をお伝えしてから、「zlKon.lv」「gumblar．cn」「martuz.cn」と攻撃サイトを変更しつつ、たくさんのサイトを汚染し続け、PCにダメージを与えてきたウイルス「JSRedir」（別名Redirector、Gamburl）。改ざんされたサイトは多数にのぼるが、改ざんされた事実、閲覧者が受けるかもしれない影響、対処方法をきちんと示し、サイト利用者を大切にする姿勢が伝わってくるサイトがある一方、改ざんされた部分を修正した後、事態を告知せずに再開しているサイトも多数見受けられる。本記事読者の中には、パソコンの調子が思わしくなく、告知をしていないサイトで感染したのではないかと、不安に思っている方もいるだろう。

　攻撃サイトは20日から停止しており、現在、ウイルスの活動は小休止状態となっている。セキュリティベンダーの対応も進んでいる。編集部がこれまでに採取した「EXE」ファイル5個をVirusTotalにかけてみたところ、41製品中21製品で、5個すべてを「Daonol」などの名前で検出することができた。改ざんされたサイトにアクセスした時点ではウイルスを検知できなかったという人も、今なら検知できるセキュリティソフトがたくさんある。

　そこで、これまでに編集部が改ざんを把握したサイトを以下に提示しておく。このウイルスについては、感染したパソコンにバックドアを仕掛けるという情報もあり、今後、何らかの被害が出ることも考えられる。該当期間に訪問したサイトがないかどうかをリストで確かめ、心あたりがある場合は、最新版に更新したセキュリティソフトでスキャンをかけるようおすすめする。

　リストの中には、スクリプト埋め込みを確認することはできなかったが、リリースから「JSRedir」による改ざんだと推測できるサイトも含まれている。なお、個人運営のサイトはリストアップしていない。また、改ざんされたサイトすべてを把握できているわけではないのでご了承いただきたい。既報分は、日付を省略した。感染中のサイトについてはその旨を記載してあるので、アクセスしないでいただきたい。

■zlkon.lv
　GENO、ジューシーロック、楽天市場「ジュエリーボックスバービー」、日本クレストロン、ブランジスタ「puppine」、ナクソス・ジャパン、WDSC、薬事日報、NHT紀尾井町クリニック、ホビコン公式サイト、全日本民主医療機関連合会、国土交通省中部地方整備局、千葉県旅館ホテル生活衛生同業組合（04/24～04/26）、千葉市中央区の「鮨割烹みどり」（04/24～04/26）

■gumblar.cn
　東京都港区の「アークデザインインターナショナル」（05/03以前～05/09）、ホースマンクラブ、BIG-server.com、ウェルネス、長岡京市体育協会（05/04～05/05）、静岡県御殿場市のヘア/エステサロン「ビューティーウェンズデー」（05/04～05/16）、東京都港区の芸能事務所「エス・プログレス」（05/04以前～閉鎖）、岐阜県高山市のペンション「ふらいingぱん（05/06以前～05/09、05/15～05/17）、岡山県倉敷市のヘアサロン「ジョイ」（05/09～05/20）、兵庫県姫路市の介護リフォーム業「前後前」（05/09～05/21）、東京都練馬区の中古車販売「TAX」（05/10～05/11）、東京都渋谷区のアパレル商社「デイトナ・インターナショナル」（05/10～05/15）、リボンマジック公式サイト（05/12～05/18）、ティアラモード公式サイト（05/12～05/18）、兵庫県宝塚市のゲーム開発「まどか」、（05/12～05/18）関電セキュリティ・オブ・ソサイエティ（05/12以前～05/18）、小林製薬、東京都武蔵野市のヘアサロン「FIRST」（05/13以前～修正日不明）、東京都新宿区のアウトドアスポーツショップ「エイアンドエフ」（05/13～05/17）、富山県砺波市のアミューズメント業「ジャストドゥイット」（05/13以前～05/19）、滋賀県草津市のヘアサロン「レビュー」（05/14～※感染中※）、熊本市のヘアサロン「ニフティ」（05/14～05/18）、アイマジック、ミュージック・オン・ティーヴィ、兵庫県西宮市のモーターアクセサリー店「ケイ・エム・エー」（05/15～※修正漏れの残骸あり※）、長野県伊那市のTシャツ卸売専門店「問屋街」（05/15以前～修正日不明）、商標登録ホットライン

■martuz.cn
　岡山県倉敷市のヘアーサロン「ジョイ」（05/15～05/20）、兵庫県姫路市の介護リフォーム業「前後前」（05/15～05/21）、大阪府豊中市のランプ専門メーカー「セン特殊光源」（05/15、05/20～05/21）、東京都府中市と世田谷区のヘアサロン「ベリーズ」（05/16～※感染中※）、東京都練馬区の24時間洗車「カーウォッシュ・オーシャン」（05/16～05/18）、石川県金沢市の菓子店「烏骨鶏」（05/16～05/19）、東京都新宿区の成美堂出版（05/16～05/18）、福岡県大牟田市の通販サイト「りぶメール」（05/16～05/18）、滋賀県大津市のヘアサロン「ティアラ」（05/16～※感染中※）、ライブハウスあさがやドラム、滋賀県草津市のヘアサロン「レビュー」（05/17～※感染中※）、トヤマデータセンター（富山県富山市）運営の「地域情報ナビimpulse」（05/17以前～05/21）、飛騨市観光協会（05/21以前～※メンテナンス中※）、京都市中京区のブランド/ブライダルショップ「C&C」（05/21以前～修正日不明）、兵庫県宝塚市のゲーム開発「まどか」（改ざん日不明～05/18）

（2009/05/22 ネットセキュリティニュース）

＜ウイルス関連情報＞
■Infostealer.Daonol（シマンテック）
http://www.symantec.com/ja/jp/norton/security_response/writeup.jsp?docid=2009-051900-3410-99
■Adobe Reader / Flash Playerの脆弱性を狙う攻撃の増加（gumblar.cnについて）2009年5月19日掲載（IBM インターネット セキュリティ システムズ）
http://www.isskk.co.jp/SOC_report.html

  IPAは19日、2008年の「国内における情報セキュリティ事象被害状況調査」を公開した。調査は全国の1万企業および1000自治体を対象に郵送によるアンケート形式で行われ、回収数は企業1907、自治体410だった。

■ウイルス遭遇、感染率が6年ぶりに増加～多くはUSB経由で感染

　ウイルス遭遇、感染率は、2002年をピークに横ばいから減少傾向にあったが、2008年のウイルス遭遇率は60.9％（2007年は58.2％）、感染率は15.8％（2007年は12.4％）で、ともに増加した。感染したウイルスで最も多かったのは「W32/Autorun」（39.5%）、次いで「W32/Netsky」（6.8％）、「W32/Mydoom」（3.3％）と続く。感染経路で最も多かったのが「外部媒体、持ち込みクライアント（パソコン）」で40.9％、次いで「インターネット接続」（20.2％）、「電子メール」（10.4％）となっている。
　2008年はUSBメモリなど外部媒体を介して感染する「W32/Autorun」の被害が大きかったことがうかがえる。

■外部公開サーバーへのパッチ適用を計画的に行っている企業は半数以下

　サーバーに対するセキュリティパッチの適用についての調査では、「ほぼ全サーバーに計画的に適用している」と回答したのは、300人以上の企業のうち51.1％、300人未満の企業の場合は35.8％だった。「一部のサーバーには計画的に適用、ほかは気づいたら適用」と回答したのは300人以上企業が12.3％、300人未満企業が11.5％だった。一方、「ほとんど適用していない」と回答したのが、300人以上企業で14.3％、300人未満企業で15.5％にのぼった。パッチを適用しない理由については、「パッチの適用が悪影響をおよぼすリスクを避けるため」が最も多く、「パッチを適用しなくても問題ないと判断した」などが続く。
　外部公開サーバーへのセキュリティパッチの適用をしていない企業が15％にものぼることが判明し、その理由からはセキュリティパッチの重要性を十分に理解していないことがうかがえる。サーバー側でセキュリティ対策を行わなければ防ぎきれない攻撃も増えており、ユーザーも「企業のHPだから安心」と思わずに注意したほうがよさそうだ。

■P2Pによる情報漏えいは減少

　ファイル共有ソフト（P2P）による情報漏えいの経験があると回答した企業は1.4％で、2007年の2.2％より減少した。一方、情報漏えいに対する対応のべ人日は、「16人・日以上」が28.1％で最も多く、次いで「11～15人・日」が18.8％、「6～10人・日」が15.6％と続いた。
　P2P情報流出は以前に比べて減少傾向にあり、P2Pによる情報流出が社会問題化したことで、企業の意識が向上し、対策が進んだためと考えられる。

（2009/05/25 ネットセキュリティニュース）

■「2008年 国内における情報セキュリティ事象被害状況調査」報告書を公開（IPA）
http://www.ipa.go.jp/security/fy20/reports/isec-survey/index.html

  著作権法違反容疑での逮捕が2件、相次いだ。茨城県古河市の男は、携帯掲示板上で楽曲を無断配信。大阪府八尾市の夫婦は、自らが開設したWebサイトでアニメなどの海賊版DVDを販売していた。

■携帯掲示板で楽曲を無断配信、茨城県古河市の男を逮捕

　福岡県警生活経済課と福岡筑紫野署は18日、携帯向け掲示板を開設し権利者に無断で楽曲を配信したとして、茨城県古河市の自営業の男（54歳）を著作権法違反容疑（公衆送信権および送信可能化権の侵害）で逮捕した。
　調べによると、男は昨年11月から今年1月にかけて、「崖の上のポニョ」など7曲を掲示板上に掲載し、無料でダウンロードできる状態にした疑いがある。JASRACによると男は、先月20日に同法違反容疑で逮捕された大学生（20歳）と同じ掲示板サービス「ワンタッチBBS」を利用して、「mp3の音探し」や「ミュージックギャラリー」という名前の掲示板を開設。一般ユーザーのリクエストに応えて掲示板上に音楽ファイルをアップロードしていた。
　またJASRACは、「ワンタッチBBS」を運営する名古屋市中区の業者に対し、著作権侵害の監視体制を強化し、違法音楽ファイルの配信を即刻中止するよう求める警告書面を送付した。
・福岡県警と筑紫野署が携帯向けレンタル掲示板の管理人を著作権法違反の疑いで逮捕（JASRAC）
http://www.jasrac.or.jp/release/09/05_2.html

■ショッピングカートサービスで海賊版DVD販売、大阪府八尾市の夫婦を逮捕

　北海道警生活経済課と札幌方面中央署は11日、自らが開設したWebサイトを通じ、権利者に無断で複製したアニメーションなどのDVDを販売していたとして、大阪府八尾市の自営業の男(40歳)とその妻の自営業の女（39歳）を著作権法違反の疑いで逮捕、13日、札幌地検に送致した。
　調べによると、2人は昨年9月から今年4月にかけて前後4回に渡り、権利者に無断で複製したアニメーションなどのDVD9枚を販売した疑いがある。ACCSによると、2人は「映画ドラえもん『のび太と緑の巨人伝』」、「機動戦士ガンダムF91」など5種類のアニメーションをDVDに複製、札幌市の男性など3人に対して合計1万600円で販売した。2人は、ショッピングカートサービスを利用して「激安DVD通販 SHOP-DVD」というWebサイトを立ち上げ、「中国内正規品」として約2,500タイトルのDVDなどを1,000円から1万円で販売していた。
・海賊版アニメDVDを販売、夫婦を逮捕（ACCS）
http://www2.accsjp.or.jp/criminal/2009/0901.php・事件・事故速報、昨日の出来事（北海道警察）
http://www.police.pref.hokkaido.jp/info/soumu/dekigoto/rirekidate/21-05-11.html

（2009/05/21 ネットセキュリティニュース）

  マカフィーは15日、今年1月から3月までの間に、新たに1200万のIPアドレスがボットネットワークに乗っ取られたとするレポートを公表した。ボットネットに感染したPCが最も多いのは米国で、ゾンビPC（ボットの支配下に置かれたPC）全体の18％をホストしている。

■1～3月に新規に乗っ取られた「1200万個のIPアドレス」

　「McAfee脅威レポート:2009年第1四半期」によると、サイバー犯罪者は今年1月から3月までの期間に、新たに1200万個のIPアドレスを乗っ取った。これは、昨年10月から12月までの3か月と比べて50%の増加となっている。

　ただし、新たにボットに支配されたのは「1200万個のIPアドレス」で、「1200万台のPC」ではない。一般家庭のユーザーの場合、通常はインターネットに接続しなおすたびにISP（インターネットサービスプロバイダ）から新しくIPアドレスを割り当てられる。ゾンビPCが接続を切って、つなぎなおすたびにIPアドレスがひとつカウントされるのだ。このためゾンビPCの数を正確にとらえることは難しいのだが、増加していることは間違いない。

■スパム送信用ゾンビPC～中国と米国が最多、オーストラリア急増、日本は？

　同レポートによると、スパム送信用のゾンビPCが最も多いのは中国と米国で、3四半期連続で1位と2位を占めている。顕著な動きが見られるのがオーストラリアで、昨年の第3四半期には上位10か国にも入っていなかったが、以後ゾンビPCの数は急増し、現在では全体の6%を占めて第3位となっている。

　一方、日本は、データが示されている3四半期とも10位以内に入っていない。これは、ゾンビPCが少ないというよりも、国内ISPの多くが導入している「Outbound Port25 Blocking」が効果をあげているためと思われる。メールソフトの設定を盗んでゾンビPCから正規の方法でスパムを送るということもありうるのだが、国内の一般家庭で使っているPCの場合、ゾンビ化したとしてもスパム送信には悪用されにくいのだ。このため、スパムの発信元を数えてゾンビPCの数を推定すると、実際数よりも少なく認識されてしまうと考えられる。

■フィッシング詐欺への悪用～国内のゾンビPCが使われたケース27件を観測

　ゾンビ化したPCは、フィッシング詐欺に悪用されることもある。ボットネットによるフィッシングでは、Fast-Flux（ファストフラックス）と呼ばれるテクニックを使うことが多い。これは、ひとつのホスト名（この場合は、偽サイトのドメイン）に対し、IPアドレス（この場合は活きているゾンビPC)を複数登録しておき、短い時間で次々に接続を切り替えていく手法。

　マカフィーのレポートと同じ今年1月から3月までの期間に、当編集部では、国内のゾンビPCがボットネットによるフィッシングに使われたケースを27件観測している（ユニークなURLの数ではなく、実数）。中には、ひとつのドメインに割り当てられていたゾンビPC15台のうち、3台が国内のPCだったというケースもあった。また、27件のうち2件では、ウイルスが配布されていた。

　どのIPアドレスがどのゾンビPCのものなのかは確かめようがないので、これらのケースで使われたゾンビPCの数は不明だ。ユニークなIPアドレスは81個あり、所有者は17。うち15がISPのもので、ザ・トーカイ、NTTぷらら、ケイ・オプティコム、イッツ・コミュニケーションズ、オープンコンピュータネットワーク、So-netサービス、富士通、中部テレコミュニケーション、Softbank BB Corp.、ふれあいチャンネル、ジェイコムウエスト、メディアッティ・コミュニケーションズ、@Home Network Japan、NECビッグローブ、九州通信ネットワーク（順不同）となっている。

■簡易チェック法～自分のPCがゾンビ化していないか確かめよう

　自分のPCがゾンビPCとなってWebサーバーとして悪用されていないかどうかを確かめる簡易チェック法がある。ブラウザのURL入力欄に「http://127.0.0.1/」（「」は不要）と入力してエンターキーを押してみよう。「このページは表示できません」「正常に接続できませんでした」などとブラウザに表示されたら、そのPCはWebサーバーとして使われていない。もしアクセスできたり、「403」などのエラー表示が出る場合は、すみやかにウイルスチェックを実施しよう。マカフィー・フリースキャンでもチェックできるし、総務省と経済産業省が開設しているサイバークリーンセンターを利用してもいい。

（2009/05/20 ネットセキュリティニュース）

■ボットネットによる1,200万の新たなIPアドレスの乗っ取りが、マカフィーの四半期脅威レポートで明らかに（マカフィー）
http://www.mcafee.com/japan/about/prelease/pr_09a.asp?pr=09/05/15-1
■McAfee脅威レポート：2009年第1四半期（マカフィー）
http://www.mcafee.com/japan/security/threatreport09q1.asp
■サイバークリーンセンター
https://www.ccc.go.jp/
■マカフィー・フリースキャン
http://www.so-net.ne.jp/option/security/freescan-jp/mfs/FreeScan_EULA_Page.htm
■So-netのボット(BOT)ウイルス対策
http://www.so-net.ne.jp/security/taisaku/bot.html
■Outbound Port25 Blocking（OP25B）（So-net）
http://www.so-net.ne.jp/option/mail/op25b/

  有名サイト「ニコニコ動画」や「＠wiki」のドメインと紛らわしいドメインが取得され、中国のサーバー上でウイルスをばらまいている。mixiでは、これらのウイルス配布サイトへ誘導しようとするスパムが確認されており、運営事務局が12日に注意を呼びかけている。

　ニコニコ動画のドメイン「nicovideo.jp」に似せた「nicovedeo.com」と、＠wikiのドメイン「atwiki.jp」に似せた「atwikisjp.com」が取得されたのは今月4日。取得者は、これらを正式なドメインと見まちがえたユーザーにリンクをクリックさせ、攻撃サイトへ誘導してウイルスに感染させることを狙っている。mixiでは、オンラインゲームに関連したサイトや動画だと偽って、「www.atwikisjp.com/*****.zip」「www.nicovedeo.com/*****」といったURLをクリックさせようとするスパムが確認されている。

　「nicovedeo.com」と「atwikisjp.com」は同じサーバーに置かれており、Microsoft Data Access Components（MDAC）や、Vector Markup Language（VML）、Snapshot Viewer、RealPlayerなどの修正済みの古い脆弱性を悪用して、ユーザーのパソコンにウイルスをダウンロード、インストールさせようとしている。ZIPファイルをダウンロードさせ、ユーザーに実行させようとする場合もあるが、中身は同じウイルスだ。

　mixiの告知によると、このウイルスに感染した場合、ログイン情報を盗まれる可能性があり、オンラインゲームのアカウントや、mixiのアカウントが乗っ取られるおそれがある。このウイルスは、カスペルスキーでは「Trojan.Win32.Inject.xvb」、マカフィーでは「PWS-Mmorpg!j」、トレンドマイクロでは「TSPY_MAGANIA.HZ」として検出され、ほとんどのウイルス対策ソフトが対応済みとなっている。mixiの告知にもうひとつ記載されている「Trojan-Downloader.JS.Iframe.avu」は、攻撃サイトに仕掛けられているスクリプトのカスペルスキーでの検出名。

　mixi運営事務局では、パソコンにセキュリティ対策ソフトがインストールされていない場合、ウイルスの被害にあってしまう可能性があるとし、できるだけセキュリティ対策ソフトを利用してほしいとしている。

　ユーザーのうっかりミスを悪用してウイルスに感染させる手口としては、今回のように紛らわしいURLを使ってリンクのクリックを誘うもののほか、URL入力中のタイプミスによる「.」抜け、隣接するキーの押しまちがい、文字の2重押しなどを狙う手口がある。「google.com」によく似たドメインのサイトでウイルスを配布していたなどの例もあるので、URLを直接入力する際は、十分注意していただきたい。

（2009/05/19 ネットセキュリティニュース）

■ウイルスを含むスパム投稿にご注意ください（mixi運営事務局）
http://mixi.jp/attention.pl

  アップルは5月12日、32コンポーネント44件の脆弱性を修正したMac OS X 10.5の最新版「10.5.7」と、22コンポーネント27件の脆弱性を修正したMac OS X 10.4.11用の「セキュリティアップデート2009-002」を公開した。

　「10.5.7」と「2009-002」では、悪意のあるWebサイトにアクセスしたり、悪意のあるファイルや画像を開くことによって任意のコードを実行されるおそれのある深刻な脆弱性が複数修正されている。また、すでにアドビが修正済みのFlash Playerの脆弱性にも対応した。「10.5.7」では、システムの安定性や互換性を強化するための修正も行われている。同社は、すべてのユーザーにアップデートを推奨している。

　Mac OS X 10.5.7および、セキュリティアップデート2009-02は、アップルメニューの「ソフトウェアアップデート」で自動インストールできるほか、同社の「サポートダウンロード」ページからも入手できる。

（2009/05/18 ネットセキュリティニュース）

■サポートダウンロード（アップル）
http://support.apple.com/ja_JP/downloads/
■セキュリティアップデート2009-002/Mac OS X v10.5.7のセキュリティコンテンツについて（アップル）
http://support.apple.com/kb/HT3549?viewlocale=ja_JP&locale=ja_JP
■Mac OS X 10.5.7 Update について（アップル）
http://support.apple.com/kb/HT3397?viewlocale=ja_JP&locale=ja_JP

  国内のWebサイトが次々に改ざんされ、閲覧者のパソコンをウイルスに感染させようとする悪質なJavaScriptが埋め込まれている問題で、改ざんされたサイトがまた複数みつかった。改ざんを告知しているサイトの情報によると、パソコンがウイルスに感染した場合に出る症状は、これまでの事例と特に変わりはない。

　ウイルス感染によりFTP用のIDとパスワードが盗まれる可能性が非常に高いことから、それ以外の情報も盗まれるのではないのかと不安に思う人が多いと思われるが、この点についてはどのセキュリティベンダーからも報告がないため、現状では何とも言えない。また、感染して攻撃サイトに飛ばされた時点で、攻撃サイトがどんなファイルを用意していたかによっても被害の状況は異なってくる。

　なお米ScanSafeは、「gumblar.cn」がばらまいた悪質なファイルは、ボットネットからの命令を待つためのバックドアをインストールするようだとしている。

　これまでにもお伝えしてきたが、感染を防ぐためには、まずパソコンにインストールされているAdobe ReaderとFlashPlayerを最新版にしよう。更新の方法は関連記事の「PDF閲覧ソフトAdobe Readerの修正版公開、深刻な脆弱性2件を修正」と「正規サイト改ざん(3)ウイルスに感染しないための対策」に記載されている。JavaScript（Javaではない）を無効にするのも有効な回避策だ。

　また、可能ならファイアウォールやルーターで攻撃サイトのIPアドレスを遮断しよう。攻撃サイトは、前回お伝えした時点では「gumblar.cn」というドメインに置かれていたが、現在はイギリスでホストされている「martuz.cn」に移動している。現時点で使用されているIPアドレスは「95.129.145.58」だが、ドメインの割り当てすべてを遮断したい場合は「95.129.144.0」から「95.129.145.255」、CIDR表記だと「95.129.144.0/23」となる。

　「gumblar.cn」が閉鎖したのは15日とみられる。また、「martuz.cn」の埋め込みについて編集部が確認できたうち、最も日付の若いタイムスタンプは「2009/05/15 22:18:23」だった。

■商標登録ホットライン

　商標登録専門サイト「商標登録ホットライン」を運営する大槻国際特許事務所（大阪市東淀川区）は15日、同サイトが改ざんされていたことを明らかにした。
　同サイトの告知によると、感染時期は特定できていないが、GW前後と推定されるという。当編集部では、11日の時点で、一連の改ざん事例と同様の改ざんがなされていたことを確認している。同サイトは14日午後6時頃からアクセスを制限し、サイト内のファイルすべてを正常なものに書き換えて、15日午前4時頃に再開した。
　告知では、改ざんの原因や埋め込まれたJavaScriptの動作は特定できていないものの、類似例からみてGW前後から対策を行うまでの間に同サイトを閲覧した場合はウイルス感染のおそれがあるとして、3社のオンラインスキャンを紹介し、感染の確認と駆除をしてほしいとしている。
・サイト不正改竄についてのお詫び（商標登録ホットライン）
http://106hotline.com/news.html

■アイマジック

　ゲームソフト制作のアイマジック（本社：神奈川県）は14日、同社サイトの一部が改ざんされていたことを明らかにした。
　同社によると、13日午前7時10分から同日午後9時10分までの間に同社のサイトを閲覧していた場合、ウイルスに感染したおそれがある。サイトの修正は完了している。同社は、感染のおそれがあるのは、OSがWindows XP/2000などXP以前で、Acrobat Reader、Adobe Readerのバージョンが古い場合としている。また、スパイプログラムを不活性化してほしいとして、その方法を紹介している。
　同社は、情報公開時点では各社セキュリティソフトではウイルスの検出ができない状態だが、検出パターンに反映されたら検査を行ってほしいとしている。
・弊社Webサイト改ざんについてのお詫びとお知らせ（アイマジック）http://www.imagic.co.jp/info090514.html

■BIG-server.com、再び改ざん

　ゼロ（札幌市厚別区）が運営するレンタルサーバーのBIG-server.comは14日、「maido3.com」ホームページ内の「【ぷろじぇくと ぞうさん】～E-Bananaサーバ 構築日記～」のトップページが改ざんされていたことを明らかにした。
　「maido3.com」のホームページは、4日から8日までの期間も改ざんされており、11日に再開したところだった。同社では、今回の改ざんは13日午後6時30分に行われたとみており、同時刻から14日午後0時15分までの間に同ページにアクセスした場合、ウイルスに感染したおそれがあるとしている。
　同社は14日の時点では、感染が見つかった場合の対応方法としてパソコンのリカバリやクリーンインストールの他に、ウィルススキャンによる駆除が有効になっているとの情報があるとし、オンラインスキャンの実施を呼びかけている。
・maido3.com ホームページについてご報告いたします（BIG-server.com）
http://www.maido3.cc/server/release/2009/200905082023.html#03

■ミュージック・オン・ティーヴィ

　衛星放送の音楽専門チャンネルを運営するミュージック・オン・ティーヴィ（本社：東京都港区）は14日、同社サイト「MUSIC ON! TV」の一部が改ざんされ、不正なスクリプトが埋め込まれていたことを明らかにした。
　不正スクリプトの除去と再発防止策は完了しているという。当編集部では改ざんの状況を確認できなかったが、おそらく一連の改ざんと同じ改ざんが行われたものと思われる。同社によると、8日から13日の間に同社サイトにアクセスした場合、ウイルスに感染するなど、使用端末が何らかの影響を受けている可能性がある。
　同社では3社のオンラインスキャンを紹介し、影響が発生していないかどうか確認してほしいとしている。
・【重要なお知らせ】弊社webサイトへの不正な改ざんの発生に関するお詫びとご説明（ミュージック・オン・ティーヴィー）
http://www.m-on.jp/information/detail178.html

■ライブハウス あさがやドラム

　ライブハウス あさがやドラム（東京都杉並区）のホームページが改ざんされていたことが分かった。
　同サイトトップページの告知によると、同サイトおよび、同じサーバーを使用する「cafe-melody.net」のほぼすべてのhtmlファイルが、12日午前9時台に書き換えられた形跡があった。このため、これらのサイトを12日午前9時以降に閲覧した場合、ウイルスに感染したおそれがあるという。
　改ざんは14日深夜にメールで指摘され、調査の上、15日正午にトップページを一時封鎖して告知を掲載したが、個々のページの削除が済んでいないため、直接アクセスしないよう注意してほしいという。当編集部では、同サイトについて一連の改ざん事例と同様の改ざんがなされていたことを確認している。改ざん日は不明。

■小林製薬

　小林製薬（本社：大阪市中央区）は12日、同社サイトの一部が改ざんされていたことを明らかにした。
　同社によると、改ざんされたのは「暮らしのヒントお知らせ隊」「ハナノア ブランドサイト」「イージーファイバー ブランドサイト」の一部で、これらのサイトは現在閉鎖されている。改ざんされたのは9日午前5時27分で、同時刻から11日午後9時27分までの間にこれらのサイトを閲覧した場合、ウイルスに感染したおそれがある。MacとWindows Vistaは今回のウイルスには感染しないという。
　同社は、ウイルスの確認と駆除のための方法として、2社のオンラインスキャンを紹介している。
・弊社サイトの改ざんに関するお詫びとご説明（小林製薬）
http://www.kobayashi.co.jp/info/090512.html

（2009/05/18 ネットセキュリティニュース）

■ Google SERPs Redirections Turn to Bots［英文］（ScanSafe STAT Blog）
http://blog.scansafe.com/journal/2009/5/8/google-serps-redirections-turn-to-bots.html

  ファイル共有ソフトを介した情報流出が2件、明らかになった。大分信用金庫からは顧客の個人情報を含む融資情報が、郡山市の市立中2校からは生徒情報900名分がインターネット上に流出した。

■大分信用金庫、退職した職員の個人PCから顧客の個人情報含む業務資料流出

　大分信用金庫（本店：大分県大分市）は14日、元職員の自宅パソコンから個人情報を含む業務資料がインターネット上に流出したと発表した。
　発表によると、2006年に退職した元職員が個人で所有しているパソコンから、在職中に作成した業務関係資料が、ファイル交換ソフトを介して流出していた。流出したファイルには、融資の内容1件に関連する個人情報が10件含まれていた。個人情報の内容は、住所、氏名、年齢、続柄、融資の内容など。流出による二次被害は現時点では発生していない。
　同庫は現在、事実関係の解明に努めており、該当者に対しては経緯説明とお詫びをしている。また、職員の個人パソコンに関する調査を行い、業務上ファイルの作成・保存の禁止を徹底し、管理要領等の見直しと改善を行うとしている。
・お客さま情報の漏えい事案の発生について[PDF]（大分信用金庫）
http://www.oita-shinkin.co.jp/20090514.pdf

■福島県郡山市、市立中2校の元生徒や保護者ら約900名分の個人情報流出

　福島県郡山市の市立中2校の元生徒や保護者の個人情報約900名分がインターネット上に流出していたことが明らかになった。報道等によると、流出したのは2001年～2004年度に在籍した生徒とその保護者、式典来賓者などの個人情報。氏名や電話番号などのほか、生徒の成績や保護者の職業、生活保護受給の有無なども含まれていたという。
　市教委には3月に匿名電話で通報があったが対応がなされず、その後4月に文科省から連絡を受けてようやく事態を把握、調査を行ったという。調査の結果、2001年～2004年当時に当該校に勤めていた男性教師が作成したものと判明したが、流出経路は明らかになっていない。
　市教委は14日、臨時小中学校長会議を召集し、ファイル交換ソフトの使用状況調査や個人情報管理の徹底を指導した。
・福島県郡山市
http://www.city.koriyama.fukushima.jp/index.html

（2009/05/15 ネットセキュリティニュース）

  国内のWebサイトが次々に改ざんされ、閲覧者にウイルスを感染させようとする悪質なJavaScriptが埋め込まれる問題が続いている。
　ラトビアに設置された攻撃サイトが4月末に閉鎖され、ひと安心と思ったのも束の間、今度は「ｇｕｍｂｌａｒ．ｃｎ」というドメインにサイトを移して、攻撃を再開したようだ。中国のドメイン名だが、サイトはロシアでホストされている。

　攻撃の手口はこれまでと同様、ウイルス感染パソコンから盗み取ったとみられるFTPのユーザー名やパスワードを使い、Webサイトのhtml、php、jsを改ざん。攻撃サイトのスクリプトを実行させ、Adobe ReaderやFlash Playerの脆弱性を突いて悪質なプログラムをインストールしようとする。その中には、FTPの情報を盗み取るコンポーネントも含まれているといい、改ざんサイトでのウイルス感染が次のサイト改ざんを生み出すという悪循環が、際限なく続いている状況だ。特に今回はゴールデンウィーク中だったため、改ざんされた状態が長期間続いており、感染者の増大が懸念される。

■BIG-server.com

　ゼロ（札幌市厚別区）が運営するレンタルサーバーのBIG-server.comは8日、「maido3.com」のホームページに不正なスクリプトが埋め込まれていたと発表した。発表によると、7日に顧客からの指摘があり調査したところ、4日午後3時30分ごろにHTMLファイルが書き換えられていたことが判明。同社では「maido3.com」のサーバーを移転し、11日にサービスを再開した。4日から8日までの期間に「maido3.com」のホームページにアクセスした場合は、ウイルスに感染したおそれがあるとして、ウィルススキャナによる感染確認などを行うよう注意を呼び掛けている。
　編集部では同サイトの改ざん状況は確認していないが、改ざんの手口や感染状況から一連のサイト改ざんと思われる。
・maido3.com ホームページについてご報告いたします（BIG-server.com）
http://www.maido3.cc/server/release/2009/200905082023.html

■ウェルネス

　医療情報の提供やマーケッティングを行っているウェルネス（東京都文京区）は8日、同社公式サイトで1日に不正アクセスが発生し、ファイルの一部が改ざんされたと発表した。同社は全サービスを停止して復旧作業を行い、安全が確認されたとしてサービスを再開した。編集部では、トップページに「ｇｕｍｂｌａｒ．ｃｎ」に誘導するスクリプトが埋め込まれていたことを確認している。
　同社は、1日午前2時57分から6日午後13時4分までの期間に同社のホームページを閲覧した場合は、ウイルス感染のおそれがあるとして、ウイルススキャナによる感染確認などを行うよう呼び掛けている。
・オフィシャルサイト改竄についてのお詫び（ウェルネス）
http://www.wellness.co.jp/about/topics.php?y=2009#a20090508095649

■ホースマンクラブ

　インターネットポイントサービスを行っている、へそクリック（横浜市西区）は7日、ホームページ上に掲載していた広告主で競馬情報の提供を行っているホースマンクラブのサイトが改ざんされ、不正なスクリプトが埋め込まれていたと発表。広告の掲載を中止した。
　編集部の調査では、ホースマンクラブのトップページや、全てのページが参照しているJavaScriptファイルも改ざんされ、「ｇｕｍｂｌａｒ．ｃｎ」に誘導するスクリプトが埋め込まれていた。修正された11日午後0時半頃までの期間に閲覧した場合にはウイルスに感染したおそれがあるが、ホースマンクラブからは修正後も事態についての告知はない。
・【重要】掲載広告における遷移先ページのウイルス感染について（へそクリック）
http://www.heso-click.com/info/index.asp?info_code=264

　攻撃サイトが変わり、最初にロードされるJavaScriptファイルまでが頻繁に更新されている。ウイルス対策ソフトの対応が間に合わないようで、更新直後の検出率は極めて低いという状態だ。ウイルスに感染しないためには、まずは、Adobe ReaderとFlash Playerを最新版にアップデートして脆弱性の修正を行うことが肝要。詳しくは、関連記事の「正規サイト改ざん(3)　ウイルスに感染しないための対策」を参照してもらいたい。
　なお、通信そのものをブロックする場合のドメインは「ｇｕｍｂｌａｒ．ｃｎ」。現時点で使われているIPアドレスは「９４．２２９．６５．１７２」のみだが、念のため「94.229.65.160」から「94.229.65.191」を遮断しておく（アドレス範囲のCIDR表記は「94.229.65.160/27」）。

（2009/05/13 ネットセキュリティニュース）

  マイクロソフト、5月度の月例セキュリティパッチを公開※ マイクロソフトは13日、5月度の月例セキュリティパッチを公開した。公開されたのは、事前通知されていた通り「PowerPoint」や「PowerPoint Viewer」などに影響する1件で、深刻度はもっとも高い「緊急（Critical）」としている。
　先月初めにゼロデイ攻撃が確認された脆弱性に対応するもので、特別な細工がされたファイルが PowerPoint で開かれると、リモートでコードが実行される可能性があった。

　Office 2000のパッチはMicrosoft Updateではダウンロードされないので、注意が必要。パッチを適用するためには、Office Updateを実行する必要がある。

【更新プログラムの内容】
［緊急］
・Office：リモートでコードが実行される脆弱性

　深刻度最高の「緊急」とされているのは「PowerPoint 2000 SP3」のみで、「PowerPoint 2002 SP3」「PowerPoint 2003 SP3」「PowerPoint 2007 SP1/SP2」、Mac版Officeなどは一段階低い「重要」に位置づけられている。

　このほか、「悪意のあるソフトウェアの削除ツール」の更新バージョンも公開された。

（2009/05/13 ネットセキュリティニュース）

■マイクロソフト セキュリティ ホーム（マイクロソフト）
http://www.microsoft.com/japan/security/default.mspx
■2009年5月のセキュリティ情報（マイクロソフト）
http://www.microsoft.com/japan/technet/security/bulletin/ms09-may.mspx
■Microsoft Update
http://windowsupdate.microsoft.com/
■Office Update
http://office.microsoft.com/ja-jp/downloads/default.aspx

  アドビシステムズは米国時間12日、PDF閲覧ソフトAdobe ReaderおよびAcrobatの修正版を公開した。これにより、4月末に報告されていた深刻な脆弱性2件が修正された。

　問題となっていたのは、Adobe ReaderがサポートするJavaScriptの処理でメモリ破壊が起きる脆弱性2件で、修正版が公開されるまでは当面の対策として、Adobe ReaderのJavaScriptを無効にする回避策が提示されていた。

　影響を受けるのは、Adobe Reader/Acrobat9.1、およびそれ以前の全バージョン。同社は今回、最新版のAdobe Reader／Acrobat 9.1.1を公開し、すべてのユーザーに更新するよう推奨している。9.1.1に更新できないバージョン8と7のユーザーには、「8.1.5」と「7.1.2」への更新を推奨している。

　修正版は、同社のサイトや、同ソフトの「ヘルプ」から「アップデートの有無をチェック」を選択して入手できる。

（2009/05/13 ネットセキュリティニュース）

■APSB09-06：Security Updates available for Adobe Reader and Acrobat[英文]（Adobe）
http://www.adobe.com/support/security/bulletins/apsb09-06.html

  クラリオンは11日、ポータブルナビにウイルスが混入していたと発表した。単独で使用している場合には問題がないが、パソコンへUSBで接続した場合、パソコンがウイルス感染するおそれがある。

　クラリオンによると、ウイルスが混入していたのは、同社パーソナルナビゲーションデバイス（PND）の「DTR-P7D」「DTR-75DT」「DTR-P50」「DTR-55」の一部ロットの製品。混入しているのは、Windowsのオートラン機能を悪用しUSBを介して感染するワームウイルス。ウイルスの検出名はトレンドマイクロが「WORM_GOOMHTTP.DS」「Mal_Otorun1」、シマンテックが「Trojan Horse」、マカフィーが「W32/Autorun.worm.dp」「Generic!atr」(*1)。

　同社は今回の事態について謝罪するとともに、該当製品の特定方法と、ウイルスの確認、駆除方法を提示している。また、該当する製品はウイルスを駆除すれば正常に使用できることを確認しているが、顧客が希望する場合は新品と交換するという。

　USBメモリなどの外部ドライブを使う場合、出処のわからないものに限らず、今回のように新品であってもウイルスが混入しているケースがある。
　外部ドライブをパソコンに接続する場合は、たとえ新品であってもまずはウイルスチェックにかけてから使うことをお勧めする。Windowsの場合、USBなどの外部メディアを接続すると自動的にファイルを実行する自動実行（オートラン）機能があるため、そのオートラン機能を無効にしてからウイルスチェックを行う必要がある。オートラン機能の無効化手順については、IPA（情報処理推進機構）の資料を参考にされたい。

（*1）「Mal_Otorun1」と「Generic!atr」はオートランを実行させるファイル。「WORM_GOOMHTTP.DS」「Trojan Horse」「W32/Autorun.worm.dp」がウイルス本体の検出名。

（2009/05/12 ネットセキュリティニュース）

■パーソナル ナビゲーション デバイス　DTR-P7DT/75DTとDTR-P50/55　ご使用のお客様へ（クラリオン）
http://www.clarion.com/jp/ja/topics/index_2009/090511_01/index.html
■コンピュータウイルス・不正アクセスの届出状況[4月分および上半期]について（IPA
http://www.ipa.go.jp/security/txt/2009/05outline.html

【ウイルス情報】
・WORM_GOOMHTTP.DS（トレンドマイクロ）
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM%5FGOOMHTTP%2EDS
・MAL_OTORUN1（トレンドマイクロ）
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=MAL%5FOTORUN1
・W32/Autorun.worm.dp（マカフィー）
http://vil.nai.com/vil/content/v_147992.htm
・Generic!atr（マカフィー）
http://www.mcafee.com/japan/security/virG2007.asp?v=Generic!atr

  情報処理推進機構セキュリティセンター（IPA/ISEC）は7日、4月のコンピュータウイルス、不正アクセスの届出状況のまとめを発表した。「今月の呼びかけ」では、USBメモリのセキュリティ対策としてWindowsのオートラン機能の無効化を呼びかけている。

■コンピュータウイルス、不正アクセスの届出状況

　4月のウイルスの検出数は約15万6000個で、3月（約11万9000個）から31.3％増となった。届出件数は1438件で、3月（1674件）から14.1％減となった。検出数の1位はW32/Netsky（約10万5000個）、2位はW32/Downad（約4万個）、3位はW32/Mytob（約3000個）。先月は884個だったDownadが激増した結果となった。
　不正アクセスの届出件数は9件で、そのうち被害があったものは6件。被害内容は「侵入」3件、「なりすまし」1件、「不正プログラム埋め込み」1件だった。「侵入」による被害は、Webサーバー上に運営者が意図しないコンテンツが設置されていたものが2件で、内1件はフィッシングに悪用するためのコンテンツだった。また、不正プログラムを置かれていたものが1件だった。
　3月の相談件数は1668件で3月（1406件）を上回った。相談内容では「ワンクリック不正請求」関連が572件（2月は503件）と依然増加してる。「セキュリティ対策ソフトの押し売り」関連は3件、Winny関連は4件だった。

■USBメモリのセキュリティ対策にオートラン機能の無効化を

　今年に入り、USBを介したウイルス感染によって公的機関がシステム障害を受ける事態が続発している。1月には警視庁（数10台）、2月には東京大学医学部附属病院（1000台以上）、3月には大阪府羽曳野市役所（約1100台）、4月には北海道函館市役所（感染台数は不明）などがある。
　一方、IPAが1月に行った調査では、USBメモリの利用者の中で、USBメモリのセキュリティ対策を実施している人は3分の2に留まるという結果も出ている。この状況を受け、IPAは「今月の呼びかけ」として、USBメモリのセキュリティ対策について新たな対策法を加え、再び注意喚起を行った。

・USBメモリを利用する際のセキュリティ対策
　IPAはこれまで「自分が管理していないパソコンや不特定多数が利用しているパソコンに自分のUSBメモリを挿さない」「自分が管理していないUSBメモリや所有者不明のUSBメモリを、自分のパソコンに挿さない」といった利用面でのセキュリティ対策を呼びかけてきた。
　ところが、USBメモリの利用者の中で、このような対策を行っている人は半分程度という調査結果が出たため、IPAは再度、ネットカフェなどの公共のコンピューターなどでUSBメモリを使用しない、出処不明のUSBメモリをパソコンに挿さない、といった基本的な対策を勧めている。

・USBメモリの機能的なセキュリティ対策
　利用面での対策をあわせてIPAが今回新たに勧めているのが、Windowsのオートラン（自動実行）機能の無効化だ。オートランとは、USBメモリをパソコンに挿したときや、USBメモリを認識したドライブをダブルクリックすると、自動的にファイルが実行されるという機能のこと。USBメモリを介するウイルスはオートラン機能を悪用するため、オートラン機能を無効化することでウイルス感染を未然に防ぐことができる。
　オートラン機能を無効化するには、まずマイクロソフトが公開しているオートラン機能の無効化を行うための更新プログラムをインストールする必要がある。この更新プログラムはWindows Updateや自動更新によって配付されている。更新プログラムがインストールされた状態で無効化の設定を行うが、Windowsの各バージョンによって手順が異なるため、IPAのページをよく確認しながら設定を行ってほしい。なお、オートラン機能の無効化を行うと、USB以外の外部記憶メディア（CDやDVDなど）のオートラン機能も無効化されるので、留意しておく必要がある。
　マイクロソフトも今後はCDやDVDなどの光学メディア以外のAutorunは無効にする方針だという。

（2009/05/11 ネットセキュリティニュース）

■コンピュータウイルス・不正アクセスの届出状況[4月分]について（IPA/ISEC)
http://www.ipa.go.jp/security/txt/2009/05outline.html
■Windows の自動実行機能を無効にする方法（マイクロソフト）
http://support.microsoft.com/kb/967715/ja
■Windows Addresses the Changing AutoRun Threat Environment[英文]（Microsoft Malware Protection Center）
http://blogs.technet.com/mmpc/archive/2009/04/28/windows-addresses-the-changing-autorun-threat-environment.aspx
■AutoRun changes in Windows 7[英文]（Microsoft Security Research & Defense）
http://blogs.technet.com/srd/archive/2009/04/28/autorun-changes-in-windows-7.aspx
■Changes in Windows to Meet Changes in Threat Landscape[英文]（MSRC Blog）
http://blogs.technet.com/msrc/archive/2009/04/28/changes-in-windows-to-meet-changes-in-threat-landscape.aspx

  ウイルス感染によるファイル共有ソフトを介した情報流出が、ようやく収まりつつあるようだ。感染・流出自体は、まだまだ続いているが、業務や顧客などに関するセンシティブな情報流出はめっきり減り、リリースを出さざるを得ないようなケースは少なくなった。

　1～4月に公表・報道された件数を見ると、ピークだった2006年の116件が翌2007年には54件に。昨年は32件、今年は15件と、かなり減っていることが分かる。今年3月の公表件数は、丸4年ぶりの0件。4月も既報の東京臨海病院と熊本県教育委員会、今回お伝えする南会津消防本部とパナソニックファクトリーソリューションズの4件にとどまっており、毎度懸念される長期休暇中の感染・流出も、今のところ大騒ぎになるようなものは見つかっていない。このまま静かに収束して行くことを祈るばかりだ。

■南会津消防本部の内部資料流出

　4月17日、南会津地方広域市町村圏組合消防本部（福島県南会津町）の内部資料がインターネット上に流出したと地元の放送局などが伝えた。　流出したのは、同消防本部の立ち入り調査などに使われた資料や救急講習のマニュアルなどで、資料には同県下郷町の公共施設や宿泊施設など207件の住所や電話番号、所有者や管理者の名前が記載されていた。4月14日頃、ウイルス感染しShareを介して流出。16日に外部からの通報で発覚した。
・南会津地方広域消防本部
http://www.minamiaizu-kouiki.jp/minami_fds/

■パナソニックファクトリーソリューションズ社員のメールファイル流出

　パナソニックファクトリーソリューションズ（本社：大阪府門真市）は4月13日、同社社員の私有パソコンから、電子メールがインターネット上に流出したと発表した。
　流出した電子メールには業務用のメールもあり、取引先や同社の社員など678名分のメールアドレス、氏名、連絡先が含まれていた。今年1月4日頃にウイルスに感染し、パソコン内のメールファイルが丸ごとWinnyを介して流出したもので、同社は1月31日に流出していたことを把握したという。
・情報流出に関するお詫びとお知らせ[PDF]（パナソニック ファクトリーソリューションズ）
http://panasonic.co.jp/pfsc/news/20090413.pdf

（2009/05/08 ネットセキュリティニュース）

  マイクロソフトは8日、今月13日に公開が予定されているセキュリティ更新プログラムの概要を発表した。

　リリース予定のセキュリティ更新プログラムは、プレゼンテーションソフト「PowerPoint」や無料の閲覧ソフト「PowerPoint Viewer」などに影響する「緊急」1件のみ。先月初めにゼロデイ攻撃が確認された問題への対応とみられる。

　このほか、「Windows Update」「Microsoft Update」などでセキュリティ以外の優先度の高い更新プログラムと「悪意のあるソフトウェアの削除ツール」の更新バージョンのリリースも予定している。

（2009/05/08 ネットセキュリティニュース）

■マイクロソフト セキュリティ情報の事前通知（マイクロソフト）
http://www.microsoft.com/japan/technet/security/bulletin/advance.mspx
■マイクロソフト セキュリティ情報の事前通知 - 2009 年 5 月（マイクロソフト）
http://www.microsoft.com/japan/technet/security/bulletin/ms09-may.mspx

  PDF閲覧ソフトAdobe ReaderおよびAcrobatに未修整の深刻な脆弱性が見つかった問題で、アドビシステムズは米国時間1日、アップデートスケジュールを公表。米国時間5月12日に、修正版の公開を予定していることを明らかにした。

　同日公開を予定しているのは、Windows版の「Adobe Reader 9/8/7」「Acrobat 9/8/7」、Macintosh版の「Adobe Reader 9/8」「Acrobat 9/8」、Unix版の「Adobe Reader 9/8」。Adobe Readerの最新版は、同社のサイトや同ソフトの「ヘルプ」から「アップデートの有無をチェック」を実行すると入手できる予定。

　現在問題となっているのは、Adobe ReaderがサポートするJavaScriptの処理でメモリ破壊が起きる問題2件。「getAnnots()」に不正な引数を渡したり、「customDictionaryOpen()」に長い文字列を渡すと、クラッシュしたりコードが実行されるおそれがある。1日付の同社アドバイザリによると、「getAnnots()」の問題はすべての環境で、「customDictionaryOpen()」の問題はUnix版のみに影響するという。

　細工したPDFファイルを使って悪質なプログラムをインストールする攻撃は、一連の正規サイト改ざんでも用いられている。これまでのところ、これら2件の脆弱性が悪用されたという報告はないが、いずれも攻撃コードがインターネット上で公開されており、予断を許さない。修正版が提供されるまでの間は、Adobe ReaderのJavaScriptを無効にし、これらを悪用した攻撃から回避できるようにしておくことをお勧めする。

　JavaScriptの無効化は、Adobe Readerの「編集」メニューから「環境設定」を選び、表示画面の「分類」項目から「JavaScript」を選択。「Acrobat JavaScriptを使用」のチェックを外す。

（2009/05/07 ネットセキュリティニュース）

■Adobe Reader および Acrobat における customDictionaryOpen() と getAnnots() に脆弱性（JVN）
http://jvn.jp/cert/JVNVU970180/
■APSA09-02 : Buffer overflow issues in Adobe Reader and Acrobat（Adobe）
http://www.adobe.com/support/security/advisories/apsa09-02.html

  サイトの料金未納を理由に支払いを求める架空請求の被害が相次いでおり、全国の都道府県警や消費生活センターなどが注意を呼び掛けている。

　代表的な手口は、携帯電話のメールやSMS（携帯の電話番号あに送るメールで、簡易メール、ショートメール、cメール、スカイメールとも）を使って情報サイトやアダルトサイトの未納料金請求を送りつけ、記載した電話番号に連絡するよう誘導する。
　指定された番号に電話をかけると、数万円程度の支払いを要求されたり個人情報を聞き出され、その後は執拗な請求が始まる。
　支払いは振り込みだけでなく、郵便小包「エクスパック」で送るよう指示されたり、電子マネーの購入を指示される場合もある。
　当初の請求は比較的少額だが、次々と請求を重ね、だまされたことに気づく頃には数十万～数百万、中には一千万、二千万円といった被害に膨れ上がってしまうケースもある。

　警察庁がまとめた今年3月までの架空請求被害は748件、被害総額は8億3696万3419円に上る。オレオレ詐欺や還付金詐欺が、振り込め詐欺対策を強化した昨年から全国的に減少に転じたのに対し、架空請求は横ばい状態が続いており、3～4月は増加を示す地域も多い。また、10～30代の被害者が目立つのも特徴だ。
　架空請求被害の7割以上は料金未納にからんだもので、料金請求や退会手続きを促すメールを不特定多数に送り、言われるがままに電話をかけて来る人たちを狙う。したがって、このようなメールは無視し絶対に電話をかけないようにするのがいちばんの防衛策なのだ。

　中には、放っておくと次第にエスカレートした内容のメールを送りつけ、不安をあおろうとする手の込んだものもあるので注意。相手に電話してしまう前に、先ず最寄りの警察や消費生活センターに相談してほしい。警察への相談は、全国共通の短縮番号「＃9110」で、所轄の警察本部警察総合相談室の専用電話につながる。

　相次ぐ架空請求被害を受けて、通報や相談を受け付ける専用のメールアドレスを設ける警察署も増えている。専用窓口では、架空請求メールの転送などの情報提供も呼びかけているので、不審なメールを受け取った方は利用してみてはいかがだろうか。

（2009/05/07 ネットセキュリティニュース）

■3～4月に起きたサイト料金未納架空請求の高額被害例
2000万円　東京都葛飾区の35歳男性会社員
1120万円　静岡県富士市の54歳男性会社員
1100万円　東京都中央区の38歳女性
840万円　埼玉県坂戸市の31歳女性看護師
755万円　兵庫県加東市の60歳男性会社員
345万円　大分県別府市の女性
320万円　北海道小樽市の50代男性会社員
240万円　札幌市清田区の49歳男性会社員
200万円　富山県富山市の20代男性会社員
136万円　埼玉県草加市の21歳女性教諭
137万円　神戸市長田区の23歳アルバイト女性
107万円　北海道旭川市の40代女性会社員

■専用メールアドレスを設置している警察署一覧
・青森県警察
http://www.police.pref.aomori.jp/keijibu/sousa_2/sagikamo/sagikamo.htm
・福島県警察
http://www.police.pref.fukushima.jp/sousa2/furikomesagi.html
・茨城県警察
http://www.pref.ibaraki.jp/kenkei/01_anzen/02_bouhan/furikome.html
・栃木県警察
http://www.pref.tochigi.lg.jp/keisatu/seikatu/furikome.html
・群馬県警察
http://www.police.pref.gunma.jp/keijibu/03sou2/furikome/index.htm
・千葉県警察
http://www.police.pref.chiba.jp/safe_life/public_space/no_fraud/fraud_info.php
・警視庁
http://www.keishicho.metro.tokyo.jp/seian/teikyo/teikyo.htm
・神奈川県警察
http://www.police.pref.kanagawa.jp/mes/mesc2001.htm
・新潟県警察
http://www.police.pref.niigata.jp/anzen/furikome_jouhou.html
・富山県警察
http://police.pref.toyama.jp/cms_cat_police/102030/kj00008024.html
・山梨県警察[PDF]
http://www.pref.yamanashi.jp/police/anzen/furikome110.pdf
・兵庫県警察
http://www.police.pref.hyogo.jp/furikome/index2.htm
・奈良県警察
http://www.police.pref.nara.jp/sokuhou/Furikome/top.html
・和歌山県警察
http://www.police.wakayama.wakayama.jp/consult/furikometaisaku.html
・鳥取県警察
http://www.pref.tottori.lg.jp/dd.aspx?menuid=102579
・島根県
http://www.pref.shimane.lg.jp/police/seikatsu/s-kikaku/matidukuri/sp-furikome-soudan.html
・徳島県警察[PDF]
http://www.police.pref.tokushima.jp/04osirase/seian/hurikomaren.pdf
・愛媛県警察[PDF]
http://www.police.pref.ehime.jp/seiki/furikomanai/furikomanai.pdf
・佐賀県警察[PDF]
http://www.police.pref.saga.jp/kenkei/gaitou/sapo-tojoho/sapo-to18.pdf

  セキュリティ情報サイト「SecurityFocus」は現地時間27日、PDF閲覧ソフト「Adobe Reader」の未修整の脆弱性2件を報告。これを受けてアドビシステムズは28日、当面の対策としてAdobe ReaderのJavaScriptを無効にする回避策を提示した。

　今回見つかった2件の脆弱性は、いずれもAdobe ReaderがサポートするJavaScript内の問題。2つのファンクションの処理でメモリ破壊が起き、細工したPDFファイルを開くとクラッシュしたり任意のコードを実行される可能性がある。

　影響を受けるのは、Adobe ReaderおよびAcrobatの全ての現行バージョン（9.1/8.1.4/7.1.1）およびそれ以前のバージョン。同社では現在、修正作業を進めており、アップデートのスケジュールが決まり次第、公表するとしている。

　これら2件の脆弱性は、いずれも攻撃コードがインターネット上で公開されており、ユーザーはただちに同社が提示する回避策を実施することをお勧めする。JavaScriptの無効化は、Adobe Readerの「編集」メニューから「環境設定」を選び、表示画面の「分類」項目から「JavaScript」を選択。「Acrobat JavaScriptを使用」のチェックを外す。

（2009/05/01 ネットセキュリティニュース）

■Adobe Reader および Acrobat における customDictionaryOpen() と getAnnots() に脆弱性（JVN）
http://jvn.jp/cert/JVNVU970180/
■Potential Adobe Reader Issue（Adobe）
http://blogs.adobe.com/psirt/2009/04/potential_adobe_reader_issue.html
■Update on Adobe Reader Issue（Adobe）
http://blogs.adobe.com/psirt/2009/04/update_on_adobe_reader_issue.html
■Adobe Reader 'spell.customDictionaryOpen()' JavaScript Function Remote Code Execution Vulnerability（SecurityFocus）
http://www.securityfocus.com/bid/34740
■Adobe Reader 'getAnnots()' Javascript Function Remote Code Execution Vulnerability（SecurityFocus）
http://www.securityfocus.com/bid/34736

  国内のWebサイトが次々に改ざんされ、ウイルス感染を狙った悪質なJavaScriptが埋め込まれた問題で、新たに3つのサイトが被害状況を公表した。最新版のAdobe ReaderやFlashPlayerを使用していないブラウザで改ざんされたサイトを閲覧すると、パスワードなどを盗み取るウイルスに感染する可能性がある。

■国交省中部地方整備局・岐阜国道事務所

　国土交通省中部地方整備局（名古屋市中区）は4月27日、岐阜国道事務所の道路状況ライブカメラなどのWebサイト（http://www.gifukoku.go.jp/）が改ざん被害にあっていたと発表した。
　発表によると、改ざんは同8日と14日の2回にわたって行われ、改ざんページが公開されていた8日午後9時ごろからシステムを停止した23日午後6時ごろまでの期間に同サイトにアクセスした場合には、ウイルス感染の可能性がある。改ざんされた岐阜国道事務所のサーバーは5月1日現在停止しており、再開に向けて調査を行っている。
　発表内容からは、一連のサイト改ざんとの関係は見えてこないが、当該サイトの改ざんページにラトビアの攻撃サイトに誘導するJavaScriptが埋め込まれていたことを編集部で確認している。
・道路状況ライブカメラのウェブサイト改ざんについて（国土交通省中部地方整備局）
http://www.cbr.mlit.go.jp/kisya/2009/0419.html

■全日本民医連

　全日本民主医療機関連合会（東京都文京区）は4月24日、同連合会のホームページが改ざんされ、同14日午前10時半から午後0時半の間にアクセスした場合には、ウイルス感染の可能性があるとして注意を呼びかけた。ウイルスに感染した場合には、コマンドプロンプトが開かない、ブラウザの動きが著しく不安定になる、CPUの負荷が何もしていないのに50％近くに上がるといった症状が出るという。
　発表によると、サイトの更新作業を行っていた業者のパソコンがウィルスに感染。FTP通信の設定情報が盗み取られ、これを使って外部から同サイトに不正アクセス。html、php、jsといったWeb関連ファイルをダウンロードし、悪意あるスクリプトを挿入してアップロードしたらしい。編集部では改ざん状況を確認していないが、感染状況や改ざんの手口は、一連のサイト改ざんと一致する。

■NHT紀尾井町グループ

　自毛植毛のNHT紀尾井町グループは4月22日、改ざんによって同11日から停止していたホームページを再開するとともに、障害内容を発表した。
　発表によると、サーバーに第三者が不正にログインしファイルを改ざん。閲覧するとウィルスに感染する不正プログラム、通称「ZlKon.lv」が埋め込まれた。不正プログラムは「JS_AGENT.AOIP」という名前のウイルスを散布するという。
　「ZlKon.lv」は、一連のサイト改ざんで埋め込まれた、ラトビアの攻撃サイト「９４．２４７．２．１９５」（現在はアクセス不能）のドメイン名。「JS_AGENT.AOIP」は、攻撃サイトから最初にロードされるJavaScriptファイル「jquery.j」のトレンドマイクロの検出名であり、同院もまた同じ攻撃を受けていたことがうかがえる。
　トレンドマイクロのウイルス情報によると、5月1日時点の「JS_AGENT.AOIP」の感染数は3万6351件。うち1万9551件が米国で、1万3024件は日本という状況だ。ちなみに「jquery.j」は4月20日ごろに少し内容が変更されており、更新版はトレンドマイクロは「JS_AGENT.AVR」という名前で検出する。
・ホームページ再開に関するお詫びとお知らせ（NHT紀尾井町クリニック）
http://www.nhtjapan.com/news/owabi.html
・ホームページ再開に関するお詫びとお知らせ（NHT紀尾井町クリニック新大阪）
http://www.nht-osaka.com/news/owabi.html
・JS_AGENT.AOIP - 感染状況（トレンドマイクロ）
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=JS%5FAGENT%2EAOIP&VSect=S&Period=1m

（2009/05/01 ネットセキュリティニュース）