ネットセキュリティニュース

  マイクロソフトが29日に緊急パッチを公開したATL（Active Template Library）の脆弱性問題を受けて、アドビシステムは同日、この問題が同社のオーサリングソフト「Director」で作成されたコンテンツを再生する「Shockwave Player」にも影響するとして、最新版「11.5.0.601」へのアップデートを呼び掛けた。

　影響を受けるのは、Windows版Internet Explorer用のShockwave Player 11.5.0.600、およびそれ以前のバージョン。脆弱性が悪用されると外部から任意のコードが実行され、システムが乗っ取られるなどの危険がある。

　最新版は、下記「Shockwave Playerのダウンロード」から入手できる。

（2009/07/31 ネットセキュリティニュース）

■APSB09-11 Security Update available for Shockwave Player（Adobe）
http://www.adobe.com/support/security/bulletins/apsb09-11.html
■Shockwave Playerのダウンロード
http://www.adobe.com/go/getshockwaveplayer_jp

  アドビシステムズは31日、複数の深刻な脆弱性を修正したFlash Playerの最新版「10.0.32.18」と「9.0.246.0」を公開した。

　対象となるのは、全てのプラットフォームの「10.0.22.87」「9.0.159.0」とそれ以前のバージョン。細工されたSWFファイルによって任意のコードが実行される可能性のある深刻な問題が多数含まれており、サイトを閲覧するだけでパソコンを乗っ取られるなどの危険がある。また、マイクロソフトが29日に緊急パッチを公開したATL（Active Template Library）の脆弱性問題についても、今回のアップデートで対処されている。

　Flash Playerの最新版は、同社のサイトからダウンロードできる。現在インストールされているバージョンは「Flash Player のバージョンテスト」ページにアクセスすると確認できる。複数のブラウザをお使いの方は、各ブラウザごとにアップデートを行っていただきたい。

　なお、Adobe Readerなどにも共通するメモリ破壊の脆弱性については、Adobe Readerのビルトインプレーヤーを攻撃するPDFファイルがすでに出回っているが、Adobe Reader/Acrobatのアップデートは明日の予定。

（2009/07/31 ネットセキュリティニュース）

■APSB09-10 Security Updates available for Adobe Flash Player[英文]（Adobe）
http://www.adobe.com/support/security/bulletins/apsb09-10.html
■Flash Player 10のダウンロード
http://www.adobe.com/go/getflashplayer_jp
■Flash Player 9のダウンロード[英文]
http://www.adobe.com/go/kb406791
■Flash Playerのバージョンテスト
http://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm

  神奈川県立高校の2006年度の全生徒約11万人の個人情報がファイル共有ソフトのWinny（ウィニー）を介して流出した問題で、警視庁生活経済課などは29日、流出ファイルの一部をファイル共有ソフトShare（シェア）に再放流した東京都八王子市の無職の男（50歳）を、著作権法違反の疑いで逮捕した。

　調べによると、男は昨年11月、日本IBMの著作物などを含むファイルをShareネットワーク上に公開し、同社の権利を侵害した疑い。男は容疑を否認しているという。流出から1年、意外な展開を迎えた全県立高生の個人情報流出問題だが、改めて経緯をまとめておく。

●日本IBMからWinnyを介して流出した経緯
　流出した個人情報は、県が日本IBM（東京都港区）に開発を委託した授業料徴収システムに関連したもの。開発は2006年3月に終え、同社は県に対し、使用したデータをすべて消去したと報告していた。ところが、同社は作業を孫請け会社に無断で委託。この孫請け会社の社員のパソコンにデータが残っており、昨年6月ごろにウイルスに感染し、保存されていたデータがWinnyを介して流出した。
　9月に入り、ネット掲示板に当該データの流出を示唆した書き込みがなされ、9月12日には、流出情報と名前を隠した数十人分のデータを含む画像のURLが書き込まれた。同日、県教委は匿名のFAXで事態を把握し、15日に日本IBMに調査を指示。委託先社員のパソコンの中に当該データが残存し、ウイルスに感染していたことが判明した。
　この時点では、Winnyネットワーク上では流出情報は確認できず、不明確な段階での発表はかえって二次災害を招くおそれがあることから発表はせず、同社に引き続き24時間体制で調査するよう指示していた。

●容疑者が取得した流出ファイルをShareで公開
　その後の調査でも、Winnyネットワーク上からは流出情報は見つからず、県は11月11日に約11万人分の個人情報が流出したおそれがあると発表。相談窓口を開設するとともに、引き続きネット上の監視を行った。
　県の発表と前後して、容疑者はWinnyネットワーク上で取得していた流出ファイルの一部を別のファイル共有ソフトShareで公開。
　容疑者が公開した流出ファイルVol.8には、同社の著作物「Javaコーディング・設計の落とし穴」などと、約2000名分の個人情報も含まれており、11月13日、県と日本IBMはShareネットワーク上で流出情報が確認されたと発表した。

●発信者情報開示が難航、仮処分申請から逮捕まで
　日本IBMはその後も追跡調査を行い、Shareで再放流した者を特定。プロバイダを通じて、情報の削除と発信者情報の開示を要請したが受け入れられず、今年2月9日に当該プロバイダを相手どり、東京地裁に発信者情報開示の仮処分を申し立て、2月26日に開示命令が下される。3月5日には、開示された発信者を相手どり情報の再発信禁止の仮処分を東京地裁に申し立て、翌6日に認められた。同社は6月、警視庁に告訴し今回の逮捕となった。

　神奈川県立高校の情報流出をめぐっては、今年1月にはWinnyネットワーク上で流出ファイルが、一時再取得できる状態になっており、約11万人分の流出が確認されている。

（2009/07/31 ネットセキュリティニュース）

■弊社著作物を侵害した容疑者の逮捕について（日本IBM）
http://www.ibm.com/jp/news/2009/07/3001.html
■個人情報流出に関するお詫びとこれまでのお知らせについて（日本IBM）
http://www.ibm.com/jp/news/apology.html

  マイクロソフトは29日、Internet Explorer（IE）と、開発ツールVisual StudioのATLの脆弱性を修正する定例外のセキュリティパッチを公開した。

　IEのセキュリティパッチは、後述するATLの問題に対処するための緩和策の実装と、それとは別のメモリー破壊を引き起こす深刻な問題3件が修正される。影響するのはIE 5/6/7で、任意のコードが実行されるおそれがある。

　Visual Studioのセキュリティパッチは、同ツールで開発されたATL（Active Template Library）を使用するコンポーネントに影響。悪用されるとコード実行や情報漏えいのおそれがあるほか、IE上で実行しないように設定したはずのActiveXコントロールが、無効化を無視して実行されてしまう可能性がある。

　これまでにリリースされたActiveXコントロールの中には、脆弱性は修正せず、IE上で実行されないようにKillbitを設定して問題を回避しているものも数多くある。たとえば、先頃ゼロデイ攻撃の対象となったDirectShowのVideo ActiveXコントロールもそのひとつだが、この脆弱性が悪用されると、無効化したはずの問題のあるActiveXコントロールが再び呼び出され、攻撃の対象になってしまう。

　ATLの脆弱性は、今回のセキュリティパッチのみで全て解消というわけではなく、影響を受けるコンポーネントやコントロールの中には、各社の対応を待たなければならないものもある。このため、今回はIE側にも悪用を阻止するための防御対策が新たに組み込まれている。

　なお、今回のリリースが定例外の緊急パッチであったことから、編集部ではゼロデイ攻撃の可能性を懸念していたが、修正される脆弱性に関しては、いずれも悪用などは確認されていないという。米ラスベガスでは現在、セキュリティカンファレンス「Black Hat USA」が開催されており、現地時間29日のプレゼンテーションで、Killbitが無視されるATLの脆弱性を取り上げるそうだ。今回の緊急パッチのリリースは、これに合わせたものだったということだ。

（2009/07/29 ネットセキュリティニュース）

■2009 年 7 月のセキュリティ情報（マイクロソフト）
http://www.microsoft.com/japan/technet/security/bulletin/ms09-jul.mspx
■マイクロソフト セキュリティ アドバイザリ (973882)： Microsoft ATL (Active Template Library) の脆弱性により、リモートでコードが実行される（マイクロソフト）
http://www.microsoft.com/japan/technet/security/advisory/973882.mspx
■Black Hat USA Spotlight ATL Killbit Bypass[英文]（Microsoft BlueHat Blog）
http://blogs.technet.com/bluehat/archive/2009/07/27/black-hat-usa-atl-killbit-bypass.aspx

  住友生命保険（本社：大阪市中央区）は29日、同社の従業員情報1652名分がファイル共有ソフト「Winny」のネットワーク上に流出したと発表した。

　同社によると、流出したのは2005年9月から今年6月までの間に横浜支社に在籍した、退職者を含む従業員の氏名、生年月日、性別、所属、入退社年月日などの雇用管理情報で、住所や電話番号は含まれていない。

　同社横浜支社の職員が社内規定に反して社内情報を持ち出し、自宅のパソコンで業務資料を作成していたところ、26日ごろに当該パソコンがウイルスに感染し、保存していた情報が流出したとみられる。

　同社では28日に流出の事実を把握し、顧客情報や保険契約に関する情報は一切流出していないことを確認。情報が流出した従業員に対しては、個別に連絡して事情説明と謝罪を行っており、今後は取扱いルールを再徹底するとしている。

（2009/07/29 ネットセキュリティニュース）

■従業員情報の流出について[PDF]（住友生命）
http://www.sumitomolife.co.jp/news/090729a.pdf

  文部科学省は27日、幹細胞を用いた再生医療の実用化を目指す「再生医療の実現化プロジェクト」のWebサイトが改ざんされたと発表した。

　同省の発表によると、26日に内閣官房情報セキュリティセンターからの連絡を受け、サイトの管理・運営を委託している先端医療振興財団にサーバーの停止を指示。27日0時53分頃にサイトの運用を停止した。
　同省は被害状況などの詳細については調査中としているが、編集部の調べではトップページに不正なJavaScriptが埋め込まれていたことが分かっており、遅くとも24日以降に同サイトを閲覧した場合には、ウイルス感染のおそれがある。

　埋め込まれていたJavaScriptは、実行されるとページ内に微細なIFRAMEを開き、ロシアでホストされている攻撃サイトdelzzerro.cn（当該サイトは現在も稼働中なのでアクセスしないように）に接続。Adobe ReaderやFlash Playerの脆弱性攻撃を仕掛け、不正なプログラム「installb.exe」を自動的にダウンロード/実行しようとする。
　攻撃が成功し当該プログラムが実行されると、パスワードを盗み取るためのキーロガーや偽のセキュリティソフト、外部から侵入するためのバックドアなどが、次々と閲覧者のパソコンに仕掛けられてしまう。一連の攻撃コードやウイルス本体は頻繁に更新されているようで、検出できないウイルス対策ソフトも多い。　「zlkon.lv」、「gumblar.cn」、「martuz.cn」と、攻撃サイトを次々に変えながら続いた国内の正規サイト改ざんでは、国土交通省や社会保険庁といった政府機関のWebサイトも被害を受けた。あの悪夢が再びよみがえらないよう、ブラウザやプラグインが最新の状態になっているかどうかを今一度チェックしておきたい。29日にはマイクロソフトがInternet Explorerのアップデートを予定、30日から8月1日にかけてはアドビシステムズがFlash PlayerとAdobe Readerのアップデートを予定しているので、これらは公開され次第、速やかに適用していただきたい。
　また、サイト管理者の方には、管理サイトに不正なJavaScriptが埋め込まれていないかどうか点検するととともに、サイトやログの継続的な監視をお願したい。Gumblar同様、今回の改ざんもウイルスに感染したパソコンからFTPのアカウントを盗み出している可能性があるので、不審なログインの形跡にも注意していただきたい。
　ちなみに編集部が確認した今回の改ざんでは、IFRAMEタグの文字列を分割したものを「+」で連結し、document.write()でページに反映するJavaScriptが、BODYタグの直後に挿入されていた。誘導先は今回の「delzzerro.cn」のほかに、同じサーバーで「updatedate.cn」も稼働中だ。

（2009/07/28 ネットセキュリティニュース）

■再生医療の実現化プロジェクトのWeb改ざんについて（文部科学省）
http://www.mext.go.jp/b_menu/houdou/21/07/1282440.htm

  Yahoo! Japanをかたるフィッシングメールが、2か月にわたってえんえんと出回り続けている。フィッシング対策協議会も22日、再び注意を呼びかけた。

　出回っているフィッシングメールはこれまでと同様、【重要なお知らせです】の件名で届き、「Yahoo! Auctionsよりご案内です」と題して会員情報の更新を促す。
　「更新を行わない場合は出品制限等の不具合を起こす場合もある」として記載したURLをクリックさせようとする点や、URLの末尾が「/yahoo-actions.co.jp/index.htm」で共通している点もこれまでと同様。リンクをクリックすると、「Yahoo!プレミアム」の偽サイトが開き、氏名、郵便番号、住所、電話番号、クレジットカード番号とセキュリティコード、3Dセキュアのパスワード、秘密の質問と答え、生年月日を入力させようとする。

　Yahoo! JAPANのユーザーアカウントには更新期限はなく、Yahoo!プレミアムはユーザー自身が登録を解除しない限り自動更新されるので、更新手続きは存在しない。このようなフィッシングメールに釣られ、あわててリンクをクリックすることのないよう注意していただきたい。

　フィッシングメールは5月末から頻繁に出回っており、誘導先の偽サイトは編集部がこれまでに把握できたものだけでも、すでに40を超える。偽サイトのほとんどは、米国の複数のフリーサーバーを使って開設。6月上旬までは、偽サイトで入力された情報を国内のレンタルサーバーにポストしていたが、その後はポスト先にも米国のサーバーが使用されている。偽サイトやポスト先のサイトは次々に閉鎖されてはいるものの、イタチごっこが続いている状態にあり、今後も引き続き注意が必要だ。

（2009/07/28 ネットセキュリティニュース）

■Yahoo! JAPANをかたるフィッシング（フィッシング対策協議会）
http://www.antiphishing.jp/database/database986.html
■気をつけよう！　フィッシングメールQ＆A（Yahoo!セキュリティセンター）
http://security.yahoo.co.jp/qa/index.html

  マイクロソフトは25日、定例外のセキュリティ更新プログラムを29日に緊急リリースすると発表した。

　リリース予定のセキュリティ更新プログラムは、深刻度が4段階中上から3番目の「警告」に分類される開発ツールVisual Studioに関する問題と、最も深刻な「緊急」に分類されるInternet Explorer（IE）の問題で、いずれもコード実行のおそれがあるという。

　IEについては、Visual Studioの脆弱性を突いた攻撃に対し、多層防御を実施する「警告」レベルの問題と、それとは別の「緊急」レベルの問題が含まれているという。影響を受けるのはIE8/7/6/5の全て。

　同社が緊急パッチをリリースするのは、IEのゼロデイ攻撃に対応した昨年12月以来。今回の緊急リリースについて、公開理由は明らかにされていないが、急を要する問題が生じている可能性が高い。今回の緊急パッチとの関連性は不明だが、24日にはUNICODE処理に関連しIEをクラッシュさせる実証コードもインターネット上で公開されており、IEユーザーは警戒が必要だ。

　信頼できるサイト以外はIEで閲覧しない、インターネットゾーンのセキュリティレベルを「高」にしてスクリプトなどが実行されないようにする、ウイルス対策ソフトを常に最新の状態にするなどの基本対策を履行したい。

（2009/07/27 ネットセキュリティニュース）

■マイクロソフト セキュリティ情報の事前通知 - 2009 年 7 月 (定例外)（マイクロソフト）
http://www.microsoft.com/japan/technet/security/bulletin/ms09-jul-ans.mspx

  外資系生命保険会社のアリコジャパン（本社：東京都千代田区）は23日、同社の顧客情報の一部が社外に流出している可能性があると発表した。

　発表によると、今月14日以降に複数のクレジットカード会社より照会を受け、問題が発覚。同社は社内調査を行った結果、クレジットカード決済契約顧客の情報が一部流出している可能性が極めて高いと判断した。カード会社に協力と連携を依頼するとともに、個人情報危機特別対策本部を立ち上げ、外部の情報セキュリティ分野の専門家の協力を得て、流出情報の特定作業を行った。

　最初の不正使用は7月初旬に行われたとみられる。また、不正使用の傾向があるカードは、次の3条件にすべて当てはまる場合だという。「2002年7月から2008年5月までの期間に広告等を見て同社へ直接申し込んだ」「クレジットカードで同社の保険契約の保険料を支払っている」「証券番号の下一桁が2または3を含む契約を持っている」。

　情報流出の可能性がある顧客に対し、同社は24日より書面での連絡を開始する。また、すべての顧客に対し、クレジットカード会社から連絡される利用明細書に心当たりのない請求がないか、特段の注意を払うよう呼びかけている。

　同社は今後も調査を進め、新たな事実の判明や今後の対応の進捗状況については、同社ホームページを中心に随時報告するとしている。

（2009/07/24 ネットセキュリティニュース）

■お客様情報の流出の可能性に関するお知らせ[PDF]（アリコジャパン）
http://www.alico.co.jp/about/press/09_0723.pdf

  Mozilla Japanは21日、Webブラウザ「Firefox」の3.0系の最新版「3.0.12」を公開した。16日に「Firefox 3.5系」の脆弱性が修正されたが、今回は「Firefox 3.0系」のバージョンアップで、Flash Playerプラグインの脆弱性など6件が修正された。最新版は、Mozilla Japanのウェブサイト、または[ヘルプ]メニューの[ソフトウェアの更新を確認]、または自動アップデート機能を通じて入手できる。

　6件のうち5件の脆弱性は深刻度がもっとも高い「最高」、残り1件は2番目に深刻度が高い「高」に分類されている。

　深刻度「最高」の5件は、いずれもクラッシュしたり、任意のコードが実行されるおそれがあった。そのうち、Flash Playerプラグインのアンロード時にメモリー破壊が起きる問題（MFSA 2009-35）は「3.5」にも影響するが、先日リリースされた「3.5.1」で修正されている。「3.0.12」公開に合わせて3.5系のセキュリティアドバイザリも更新されている。

　また、複数のメモリ破壊の問題（MFSA 2009-34）は、メールソフト「Thunderbird」にも影響する。セキュリティパッチの準備ができしだいリリースが予定されているが、それまでは、JavaScript（ディフォルト無効）を有効にしなければ心配ない。

　「3.0系」は2010年1月まで、引き続きサポートされる。「3.5」未対応のアドオンがあるため移行を見合わせているユーザーもいると思われるが、影響がないユーザーは順次「3.5系」へ移行することをお勧めする。

（2009/07/23 ネットセキュリティニュース）

■Firefox 3.0.12 security and stability release now available[英文]（Mozilla Developer News）
https://developer.mozilla.org/devnews/index.php/2009/07/21/firefox-3-0-12-security-and-stability-release-now-available/
■Firefox 3.0 セキュリティアドバイザリ（Mozilla Japan）
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox30.html#firefox3.0.12
■Firefox 3.0.12 リリースノート（Mozilla Japan）
http://mozilla.jp/firefox/3.0.12/releasenotes/

  米アドビシステムズは22日（現地時間）、Flash Player に新たな脆弱性が見つかり、これを悪用する攻撃も確認していることを明らかにした。セキュリティベンダー各社もこの脆弱性に関して注意を呼び掛けている。

　同社のアドバイザリやセキュリティベンダー各社の情報によると、Flash Playerにコード実行の脆弱性があり、細工されたFlashファイル（SWFファイル）を開くと、攻撃者がローカルユーザーと同じ権限を取得し、パソコンを乗っ取られるおそれがある。また、細工されたSWFファイルを埋め込んだWebサイトを閲覧した場合も、同様のおそれがある。

　すでに細工されたSWFファイルを含むPDFファイルが出回っており、そのファイルを開くだけで、トロイの木馬が投下・実行されることが確認されている。

　影響を受けるのは、Flash Player（バージョン9/10）、およびFlash Player関連コンポーネントを含むAdobe ReaderとAcrobat（バージョン9）。

　同社はこの脆弱性解消のための準備を進めており、今月30日までに、Windows、Macintosh、リナックス版のFlash Playerをアップデートする。また31日までに、Adobe ReaderとAcrobatをアップデートをする予定だ。

（2009/07/24 ネットセキュリティニュース）

■Adobe Flash Player に脆弱性（JVN）
http://jvn.jp/cert/JVNVU259425/
■アドビシステムズのリリース（英文）
・APSA09-03 - Security Advisory for Adobe Reader, Acrobat and Flash Player
http://www.adobe.com/support/security/advisories/apsa09-03.html
・Update on Adobe Reader, Acrobat and Flash Player Issue
http://blogs.adobe.com/psirt/2009/07/update_on_adobe_reader_acrobat.html
・Potential Adobe Reader, Acrobat, and Flash Player issue
http://blogs.adobe.com/psirt/2009/07/potential_adobe_reader_and_fla.html
■セキュリティベンダー各社の情報（英文）
・Adobe Acrobat/Reader and Flash Player Code Execution Vulnerability（VUPEN Security）
http://www.vupen.com/english/advisories/2009/1986
・Adobe Flash Player Arbitrary Code Execution Vulnerability（Secunia）
http://secunia.com/advisories/35948/
・VU#259425：Adobe Flash Player vulnerability（US-CERT）
http://www.kb.cert.org/vuls/id/259425
・Adobe Reader/Acrobat SWF Content Arbitrary Code Execution（Secunia）
http://secunia.com/advisories/35949/
・YA0D (Yet Another 0-Day) in Adobe Flash player（SANS Institute）
http://isc.sans.org/diary.html?storyid=6847
・Next-Generation Flash Vulnerability（Symantec）
http://www.symantec.com/connect/blogs/next-generation-flash-vulnerability

  北海道釧路市は21日、固定資産情報を記録したUSBメモリーを紛失したと発表した。このUSBメモリーには、市内のすべての固定資産情報にあたるという約27万3000件の固定資産情報が記録されていた。

　発表によると、14日午後5時頃に、資産税課より情報システム課にデータ作成の依頼があった。釧路地方法務局に報告するためのもので、データ作成に必要な情報が入ったUSBメモリーが手渡された。同市では、個人情報が入った記録媒体は施錠できる所に保管する規定となっているが、このときUSBメモリーを受けとった情報システム課職員は机上に置いたままにしてしまったという。

　同課職員がUSBメモリーが見当たらないことに気づいたのは、翌15日の午後4時頃だった。当日から17日まで、同課内を探したが見つけることができなかった。15日午後3時頃に廃棄パソコン等の運び出し作業が行われていたことから、誤廃棄を疑い、17日午後4時頃に産業廃棄物処分業者に確認したが、すでに処理された後だった。

　このUSBメモリーには、家屋約8万7000件、土地約18万6000件の所有者名などの個人情報が記録されていた。セキュリティ対策として、特定ソフトを介してパスワードを入力することで読み取り可能となる設定がなされている。

　同市は、個人情報を取り扱う職員に対し、個人情報保護条例等の遵守について徹底し、再発防止に万全を期していくとしている。

【紛失事故が絶えないUSBメモリー】

　USBメモリーなどデータを保存できるツールの紛失・盗難による個人情報流出事故が後を絶たない。当編集部での調査では、2008年6月から今年5月までの1年間に、291件の紛失・盗難が公表または報道されている（紛失170件、盗難121件）。このうち、流出情報件数の最大はパソコン紛失による約24万3742件。今回の釧路市のUSBメモリー紛失による27万3000件は、この1位の件数を上回る。紛失・盗難事故でもっとも多いツールは、USBメモリー・メモリーカード（136件）で、2位はパソコン（97件）。「小さい中に大量のデータを記録できる」長所が、紛失・盗難の理由ともなっていることに十分留意したい。

（2009/07/22 ネットセキュリティニュース）

■釧路市
http://www.city.kushiro.hokkaido.jp/

  Mozilla Japanは16日、Webブラウザ「Firefox」の最新版「3.5.1」を公開した。重要度「最高」に位置付けた深刻な脆弱性1件を修正している。

　この脆弱性は、JavaScriptを高速化するFirefox 3.5の新機能JIT（ジャストインタイム）コンパイラの問題で、攻撃コードがインターネット上で公開。改ざんサイトから誘導される攻撃サイトの一部にも実装されており、危険な状態にあった。

　Mozilla Japanは利用者に早急にアップデートを行うよう促している。最新版はMozilla Japanのウェブサイト、[ヘルプ] メニューの [ソフトウェアの更新を確認]、または自動アップデート機能を通じて入手することができる。

　なお、Mozilla Japanは、このアップデートに先立ち、修正までの応急措置のひとつとして、JITを無効に設定する回避策を紹介していたが、設定を変更された方は、アップデート後に以下の手順で元の設定に戻しておこう。

●「JavaScriptエンジンのJITを無効にする」を解除する
・ロケーションバー（URL入力欄）に about:config と入力し、Enterキーを押す。
・「細心の注意を払って使用する」の部分をクリックし、上部のフィルタ欄に jit と入力。
・表示された設定名のうち、「javascript.options.jit.content」の部分をダブルクリックし、値を false から true に戻す。

（2009/07/21 ネットセキュリティニュース）

■Firefox 3.0.10（Mozilla Japan）
・ダウンロード
http://mozilla.jp/firefox/
・リリースノート
http://mozilla.jp/firefox/3.5.1/releasenotes/

  プライバシーマークを勝手に貼りつけている詐欺サイトがある。プライバシーマーク付与機関の日本情報処理開発協会からマークの削除勧告を複数回受けているにもかかわらず、現在もそのまま運営を続けているのが「Present-Navi.jp」と「派遣出玉PRスタッフ」だ。

　詐欺のターゲットは、おいしいことが書かれたスパムメールを信用してリンクをクリックする人。プライバシーマークは、サイトを訪れた人を信用させる目的で貼られている。
●「Present-Navi.jp」～当選商法の詐欺サイト

　「Present-Navi.jp」は、当選商法の詐欺サイト。4月ごろから、HTML形式で「【仮当選案内】パナソニックレッツノートライトW8」というタイトルのスパムを送っている。メールには「現在は仮当選の状態。リンク先サイトで本当選を確定する必要がある」として、偽のプライバシーマークが貼られた「仮当選者様専用フォーム」へのリンクが記載してある。
　本当選の条件は、配送料金の一部3000円を電子決済かクレジット認証で支払うこと。この3000円と、氏名、住所、メールアドレス、クレジットカードの情報を騙し取られるのだ。
　当選商法は以前からよくある手口で、国民生活センターでも注意を呼びかけている。また、このサイトは問い合せ窓口としてNPO法人日本サブカルチャー協議会の名前と住所を挙げており、同協議会はこれらが無断使用されているとブログで告知している。

●「派遣出玉PRスタッフ」～”打ち子”募集の詐欺サイト

　「派遣出玉PRスタッフ」は、パチンコのいわゆる”打ち子”を募集する詐欺サイト。「パチンコホールで出玉放出確定台に座って打ち、客を呼び込むための宣伝活動をする」人を募集しており、プライバシーポリシーのページに偽のプライバシーマークが貼ってある。また、会社概要のページに記載してある労働者派遣業の許可番号も偽物。同社の所在地とされている東京ではありえない番号で、念のために厚生労働省に問い合わせてみたが、この登録者は存在しなかった。
　打ち子詐欺では、「必ずもうかる台」や「攻略法」について情報を提供するための保証料、登録料だとして、数十万円を騙し取られる。パチンコ関連の詐欺については、全日本遊技事業協同組合連合会のサイトと、NPO法人消費者ネットワークのサイトが参考になる。

　これらの詐欺サイトについては、メールのタイトルや本文、業者名などで検索すると、詐欺だと警告してくれるページがいくつも見つかる。もうかる、得をするといったメールを信じて金を払う前に、検索してみることをおすすめする。

（2009/07/16 ネットセキュリティニュース）

■【ご注意】プライバシーマーク（ロゴ）の不正使用について（日本情報処理開発協会）
http://privacymark.jp/news/fusei/0618/index.html
■日本サブカルチャー協議会の名義無断使用について。（追記）（日本サブカルチャー協議会）
http://nihonsubcul.blog46.fc2.com/blog-entry-1.html
■架空請求の手口に多様化の兆し～自動車、プラズマテレビなど高額商品の当選商法に注意～（国民生活センター）
http://www.kokusen.go.jp/soudan_now/tousen_kakuu.html
■「攻略法」の無料提供、購入や「モニター・会員・スタッフ（打ち子）」募集、勧誘の登録 をしようかな、と考えている方・迷っている方は、今すぐ止めてください！（全日本遊技事業協同組合連合会）
http://www.zennichiyuren.or.jp/kouryaku/kouryaku.html
■パチンコ・パチスロ攻略法／打ち子詐欺被害（消費者ネットワーク）
http://s-network.jpn.org/html/pachi.html#gyousha

  マイクロソフトは15日、7月度の月例セキュリティパッチを公開した。公開されたセキュリティプログラムは、最も深刻な「緊急」3件を含む6件。Windows、Windows Server、Virtual PC、Virtual Server、Internet Security and Acceleration (ISA) Server、Office Publisherが影響を受ける。

【更新プログラムの内容】
［緊急］
・Embedded OpenTypeフォントエンジン：リモートでコードが実行される脆弱性
・DirectShow：リモートでコードが実行される脆弱性
・ActiveXのKill Bitの累積パッチ

［重要］
・Virtual PCとVirtual Server：特権が昇格される脆弱性
・ISA Server 2006：特権が昇格される脆弱性
・Office Publisher：リモートでコードが実行される脆弱性

　[緊急]に分類されているDirectShow用のパッチは、5月29日にマイクロソフトがアドバイザリを公開したQuickTimeパーサーフィルターの脆弱性（CVE-2009-1537）を修正する。
　また、同じく[緊急]扱いのActiveXのKill Bitの累積パッチでは、今月7日に同社がアドバイザリを公開したVideo ActiveXコントロールの脆弱性（CVE-2008-0015）に対し、マイクロソフト技術資料972890の「Fix it 50287」に相当するkill bitが設定される。ユーザーが手動で適用するようになっている「Fix it 50287」相当のことを自動配布で適用されるようにしただけで、脆弱性が修正されたわけではないので、同技術資料の「Fix it 50288」（回避策の無効化）を実行してはいけない。

　このほか、新たにFakeSpyproに対応した「悪意のあるソフトウェアの削除ツール」の更新バージョンも公開された。

（2009/07/15 ネットセキュリティニュース）

■マイクロソフト セキュリティ ホーム（マイクロソフト）
http://www.microsoft.com/japan/security/default.mspx
■2009年7月のセキュリティ情報（マイクロソフト）
http://www.microsoft.com/japan/technet/security/bulletin/ms09-jul.mspx
■Microsoft Update
http://windowsupdate.microsoft.com/

  Firefox開発元のMozillaは現地時間14日、Firefoxの最新版「3.5」に深刻な脆弱性があることを明らかにした。この脆弱性を悪用する攻撃コードがすでに公開されており、いつ攻撃が始まってもおかしくない危険な状態となっている。

　Mozillaによると、脆弱性はJust-in-time（JIT）JavaScriptコンパイラに存在。この脆弱性を突く攻撃コードが仕掛けられたWebページを閲覧すると、攻撃者にパソコンをのっとられるおそれがある。セキュリティベンダーのSecuniaは、この脆弱性の危険度を5段階中2番目に危険な「Highly critical」と評価。VUPEN securityでは、4段階中最も危険な「Critical」としている。

　Mozillaでは、準備ができ次第この問題を修正するセキュリティアップデートをリリースするとしているが、それまでの回避策として2つの方法を紹介している。

【パッチリリースまでの回避策：２つの方法】

1.JavaScriptエンジンのJITを無効にする
・ロケーションバー（URL入力欄）に about:config と入力し、Enterキーを押す。
・「細心の注意を払って使用する」の部分をクリックし、上部のフィルタ欄に jit と入力。
・表示された設定名のうち、「javascript.options.jit.content」の部分をダブルクリックし、値が true から false に変わればOK。
　後に公開されるセキュリティアップデートを適用したら、同じ操作をして javascript.options.jit.content の値を false から true に戻しておく。

2.Firefoxをセーフモードで使用する
・Firefoxが起動していたら終了する。
・Windowsのスタートボタンを押し、「すべてのプログラム」を開く。
・Mozilla Firefoxのフォルダを開き、Mozilla Firefox(セーフモード)を選択。
・Firefoxセーフモードというダイアログボックスが開くので、チェック欄にチェックを入れずに（すべてのチェックが外れた状態にしておく）「セーフモードを続ける」をクリックする。

（2009/07/15 ネットセキュリティニュース）

■Critical JavaScript vulnerability in Firefox 3.5［英文］（Mozilla Security Blog）
http://blog.mozilla.com/security/2009/07/14/critical-javascript-vulnerability-in-firefox-35/
■Mozilla Firefox Memory Corruption Vulnerability［英文］（Secunia）
http://secunia.com/advisories/35798/
■Mozilla Firefox Elements Handling Memory Corruption Vulnerability［英文］（VUPEN security）
http://www.vupen.com/english/advisories/2009/1868

  マイクロソフトは13日、Office Webコンポーネントに新たな脆弱性が見つかり、すでにこれを悪用する攻撃が始まっていることを明らかにした。脆弱性の悪用により攻撃者がローカルユーザーと同じ権限を取得できる可能性があり、Internet Explorerで細工されたサイトを訪れた場合は、パソコンを乗っ取られるおそれもある。同社から攻撃を回避するためのツールが提供されているので、すみやかに適用するようおすすめする。

　Office Webコンポーネントは、Excelのグラフやスプレッドシートなどをデータ操作が可能な形でWebページ化したり、これを表示させる際に使用する機能で、複数のActiveXコントロールを含んでいる。Office XPと2003などにデフォルトでインストールされているほか、単体でインストールすることもできる。

　マイクロソフトやセキュリティベンダーの情報によると、今回見つかった脆弱性は、スプレッドシートを開くActiveXコントロールに存在する。脆弱性の影響を受けるのは、Office XP SP3/2003 SP3、ISA Server 2004/2006など多数。マイクロソフトのセキュリティアドバイザリ（下記）で確認していただきたい。Office 2000とOffice 2007は影響を受けない。

　中国のサーバーなどに、すでにこの脆弱性を突く攻撃コードが仕掛けられているほか、HTMLを埋め込んだOfficeドキュメントを特定の標的に送りつける攻撃も発生している。

　マイクロソフトからは、この問題を回避するための設定を自動的に行うツール「Fix it」が提供されているので、影響を受けるシステムを使っている場合は今すぐ、下記「サポート技術資料973472」にある「回避策を有効にします」と記載された「Fix it」をダウンロードし、実行していただきたい。

（2009/07/14 ネットセキュリティニュース）

■マイクロソフトセキュリティアドバイザリ（973472）Microsoft Office Webコンポーネントの脆弱性により、リモートでコードが実行される（マイクロソフト）
http://www.microsoft.com/japan/technet/security/advisory/973472.mspx
■サポート技術資料973472（マイクロソフト）
http://support.microsoft.com/kb/973472
■More information about the Office Web Components ActiveX vulnerability［英文］（Security Research & Defense）
http://blogs.technet.com/srd/archive/2009/07/13/more-information-about-the-office-web-components-activex-vulnerability.aspx
■Microsoft Security Advisory 973472 Released［英文］（MSRC Blog）
http://blogs.technet.com/msrc/archive/2009/07/13/microsoft-security-advisory-973472-released.aspx
■Vulnerability in Microsoft Office Web Components Control Could Allow Remote Code Execution［英文］（SANS Institute）
http://isc.sans.org/diary.html?storyid=6778
■Office Web Components exploits in the wild［英文］（SophosLabs blog）
http://www.sophos.com/blogs/sophoslabs/v/post/5320

  Yahoo!のメールカスタマーサービス、オークションカスタマーサービスなどと名乗り、サーバーのモジュール入れ替え費用、ハードディスク修繕費などの名目で金を要求する詐欺メールが出回っており、ヤフーでは注意を呼びかけている。

　ヤフーが紹介している例では、まず「サーバーに負荷をかけているため、アカウントを削除する」というメールが届き、続いて「サーバー障害の解決策としてモジュールを入れ替える。28万3500円かかるので、14万円を電子マネーで支払ってほしい。払わなければYahoo! Japan IDを削除する」という内容のメールが届く。文章はていねいさを装いながら高圧的で、「本日中に対応したい」と期限を区切って判断を急がせたり、「障害が深刻化した場合にはしかるべき方法に訴えるほか手立てがない」と脅すような言葉で不安をあおるなど、架空請求詐欺でよく見かけるテクニックが使われている。

　また、ヤフーがフィッシング詐欺の例として挙げている「サーバ障害報告書」を送らせるケースでも、名前やパスワードを記入して送信してしまうと、続けて「障害解決策が見つからなかった」「事故報告書に署名したので契約が成立している。相応の信頼関係を築いて修繕費用を負担しあいたいがどうするか」「13万9750円かかるが、6万9000円を負担してほしい」などというメールが届くことがある。

　これらの詐欺メールでは、「迷惑メールフィルターの設定をしていなかった」「開封済みメールの削除、フォルダ整理をしていなかった」などの原因で不具合が起きたとしており、心あたりがあるため金を払ってしまった人もいる。一度払うとさらに金を要求され、数十万円を払ってしまった例もある。ヤフーでは、サーバー修繕費の支払いを促すメールを送信することはないとしている。また、身に覚えのない料金の支払いを促すメールが届いた場合は、手続きやメールへの返信は行なわず、報告してほしいとしている。

（2009/07/14 ネットセキュリティニュース）

■ Yahoo! JAPANを装う不正な請求にご注意ください （Yahoo!セキュリティセンター）
http://docs.yahoo.co.jp/info/notice37.html
■ Q4. Yahoo!メール　カスタマーサービスからのメールの事例（Yahoo!セキュリティセンター）
http://security.yahoo.co.jp/qa/case4.html
■振り込め詐欺発生速報 架空請求詐欺の発生！［PDF］（八雲警察署）
http://www.yakumo-syo.police.pref.hokkaido.jp/kakuka/chiiki/images/5-11hurikomesagisokuhou.pdf
■電子マネーを騙し取る振り込め詐欺発生［PDF］（函館中央警察署）
http://www.h-chuo-syo.police.pref.hokkaido.jp/info/info19/info19.html

  先週7日に、DirectShowの未修正の脆弱性を悪用しようとする攻撃が行われていることをお伝えした。Webサイトを改ざんし、閲覧者を攻撃コードが仕掛けられたサーバーに誘導してウイルスに感染させようとしているのだが、国内でも改ざんされたサイトが複数見つかっている。　これまでに、レンタルWIKIサービス「WIKIWIKI.jp」の公式サイトと、ドメイン登録代行業者「VALUE DOMAIN」のログインページ、XREAの無料アクセス解析サービス「AccessAnalyzer」のサイトが改ざんされたことが分かっている。

・WIKIWIKI.jpの公式サイト
　WIKIWIKI.jpでは9日、公式サイトが改ざんされたことを明らかにした。告知文によると、6月24日から同26日にかけて、WIKIの機能の一部を提供している外部サーバに不正なアクセスがあり、スクリプトが改ざんされ、同サービスとは無関係の外部サイトへ誘導されてしまう可能性があった。改ざんは6月24日と26日の2回行われた。7月6日、改ざんが行われていた外部サーバへのアクセスを確認し、スクリプトを全て削除したという。

・VALUE DOMAINのログインページ
　VALUE DOMAINのログインページも改ざんされた。本通信の7日の記事で触れているのがこのページの改ざんだ。ログインページの不正なスクリプトは7日のうちに削除されているが、これまでに改ざんの告知はない。

・XREAのAccessAnalyzer
　13日午前の段階でまだ改ざんされたままなのが、XREAのAccessAnalyzerのサイト。アクセス解析ページが8日以前に改ざんされたとみられ、10日の時点ではトップページ以下、すべてのページが改ざんされているのを編集部で確認している。
　同サイトは2基のサーバーを使用しており、そのうち1基のみが改ざんされている。VALUE DOMAINも、XREAも、デジロック（本社：大阪市中央区）が提供しているサービス。また、WIKIWIKI.jpも、改ざんされた時点では「s103.xrea.com」で運営されていた。（

【仕掛けられている攻撃方法とその対策】

　これら3件の改ざんは、閲覧者を香港の攻撃サーバーに誘導するよう仕組まれている。編集部ではこの攻撃サーバーが6日夜の時点で活動していたことを確認しているが、現在は停止中だ。このサーバーには、Adobe ReaderとFlash Playerのそれぞれ修正済みの脆弱性と、DirectShowの脆弱性を悪用しようとする攻撃コードが仕掛けられていた。

　改ざんされたサイトを閲覧してウイルスに感染するおそれがあるのは、Adobe ReaderやFlash Playerが最新版になっていなかったり、DirectShowの脆弱性の回避策を適用しておらず、OSがXPでInternet Explorer 6/7を利用しているパソコン。対策として、関連記事を参考に、すみやかにDirectShowの脆弱性の回避策を適用し、Adobe ReaderとFlash Playerを最新版にするようおすすめする。

（2009/07/13 ネットセキュリティニュース）

■改竄に関するお知らせとお詫び（WIKIWIKI.jp）
http://wikiwiki.jp/?Notice%2F2009-07-09

  JPCERT コーディネーションセンター（JPCERT/CC）は10日、韓国と米国で発生したDDos攻撃に、国内のコンピューター複数が使われたとして注意を喚起した。攻撃に使われたのは、ウイルスに感染して外部から操られている、いわゆるゾンビPC。ウイルスの一部はDDos攻撃を行うだけでなく、コンピューター内のデータを削除してしまうこともある。

　DDos攻撃（DDos:分散サービス妨害）とは、標的に対して多数のパソコンが一斉にアクセスして負荷をかけ、サービス不能の状態に陥らせること。今回は、米国と韓国の政府機関や金融機関などのサイトがターゲットとなった。これまでに日本のサイトは攻撃対象となっていない。またJPCERT/CCでは、韓国KrCERT/CCから、日本国内にこのDDoS攻撃に用いられたコンピュータが複数あるとの報告を受けたという。

　セキュリティベンダーのアンラボは、今回の攻撃に使われたウイルスの一部は、ハードディスクを損傷させデータを破壊するなど、個人のパソコンに致命的な損傷を与える可能性があるとしている。具体的には、ファイルが暗号化、圧縮保存されてしまう、システムのMBR(Master Boot Recorder)とパーティション情報が損傷し正常にパソコンを起動できなくなる、doc、xls、ppt、pdfなどの文書ファイルが破壊されるといった被害にあうおそれがある。Symantecも、ブログで同様の指摘を行っている。

【MyPCを「ゾンビPC」にしないために】

　JPCERT/CCは、今回のウイルスが蔓延した経緯は不明だとし、ウイルスに感染してDDoS攻撃の加害者になることを防ぐために、不審なサイトを閲覧したり不審なメールを開かないよう心がけること、OSとアプリケーションを最新の状態に保つこと、ウイルス対策ソフトを導入して定義ファイルを最新にし、システムスキャンを実行して感染の有無を確かめること、不要なアプリケーションをアンインストールすることをアドバイスしている。

　アンラボでは、今回使われたウイルスを駆除するためのツールを無料で提供している。また、最初にPCに入り込むウイルスを、シマンテックでは「W32.Dozer」、トレンドマイクロでは「WORM_MYDOOM.EA」、マカフィーでは「W32/Mydoom.cf」として検知。シマンテックとトレンドマイクロは、このウイルスが電子メールの添付ファイルとしてPC内に入り込むとしている。

（2009/07/13 ネットセキュリティニュース）

■韓国、米国で発生しているDDoS攻撃に関する注意喚起（JPCERT/CC）
http://www.jpcert.or.jp/at/2009/at090012.txt
■アンラボ、韓国/米国におけるサイバーテロの踏み台となるDDoS攻撃用悪性コードの駆除ツールを無料提供（アンラボ）
http://www.ahnlab.co.jp/news/view.asp?seq=4254&pageNo=1&news_gu=01
■専用駆除ツール ダウンロードサイト（アンラボ）
http://www.ahnlab.co.jp/download/vdn_view.asp?num=43
■Trojan.Dozer - Kicking You While Your Website is Down［英文］（Symantec Security Response Blogs）
http://www.symantec.com/connect/blogs/trojandozer-kicking-you-while-your-website-down

＜ウイルス情報＞
■W32.Dozer（シマンテック）
http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2009-070816-5318-99
■WORM_MYDOOM.EA（トレンドマイクロ）
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MYDOOM.EA
■W32/Mydoom.cf（マカフィー）
http://www.mcafee.com/japan/security/virM.asp?v=W32/Mydoom.cf

  マイクロソフトは10日、今月15日に公開が予定されているセキュリティ更新プログラムの概要を発表した。

　リリース予定のセキュリティ更新プログラムは、「緊急」3件と「重要」3件の計6件。「緊急」3件はいずれもWindowsに影響する修正パッチで、5月にアドバイザリが公開されたDirectShowの脆弱性に対処する内容となる予定だ。「重要」レベルの3本は、Virtual PCおよび Virtual Server、ISA Server、Officeの脆弱性を修正する。

　このほか、「Windows Update」「Microsoft Update」などでセキュリティ以外の優先度の高い更新プログラムと「悪意のあるソフトウェアの削除ツール」の更新バージョンのリリースも予定している。

　なお、現在、ゼロデイ攻撃が問題となっているDirectShowの脆弱性は、「CVE-2009-1537」と「CVE-2008-0015」の2件があり、今回の月例パッチでは、「CVE-2009-1537」の脆弱性が修正される見通し。当面は、脆弱性攻撃を受けないように、下記「サポート技術資料」にある自働修正ツール「Fix it」を使用し、回避策を実施していただきたい。
　「サポート技術資料971778」は今回の月例パッチで修正予定の「CVE-2009-1537」の問題を、「サポート技術資料972890」は先日から攻撃が行われている「CVE-2008-0015」の問題を回避するための設定を自動的に行う。

（2009/07/10 ネットセキュリティニュース）

■マイクロソフト セキュリティ情報の事前通知（マイクロソフト）
http://www.microsoft.com/japan/technet/security/bulletin/advance.mspx
■マイクロソフト セキュリティ情報の事前通知 - 2009年7月（マイクロソフト）
http://www.microsoft.com/japan/technet/security/bulletin/ms09-jul.mspx
■マイクロソフトセキュリティアドバイザリ (972890)Microsoft Video ActiveX コントロールの脆弱性により、リモートでコードが実行される（マイクロソフト）
http://www.microsoft.com/japan/technet/security/advisory/972890.mspx
■サポート技術資料971778（マイクロソフト）
http://support.microsoft.com/kb/971778
■サポート技術資料972890（マイクロソフト）
http://support.microsoft.com/kb/972890

  いじめの温床として危惧されている、いわゆる学校裏サイト（学校非公式サイト）のネットパトロールに取り組む自治体が増えている。専門業者に全面的に委託するケース、生徒も参加する方法を取り入れるケースなど、取り組み方はさまざまだ。

　三重県は県内のすべての公立中学校と高等学校を対象に、東京都は都内の公立の小・中・高すべてを対象に、先月から学校非公式サイトの監視を開始した。北海道は道立高校と特別支援学校を対象に、7月から監視を開始する。いずれも、専門業者に委託して携帯電話やパソコンのインターネット上にある学校非公式サイトを洗い出し、プロフなども含めたネット上の書き込み内容の監視を行う。

　監視によって問題のある書き込みが見つかった場合、サイト運営会社に削除を要請してネットいじめの芽を摘む。同時に、こうした監視活動によって不適切な書き込みの抑止につなげたり、生徒たちのネットコミュニティの実態を把握することで今後の生徒指導にも役立てようという狙いもある。

【専門業者に委託する理由】

　この背景には、2008年3月に文部科学省が発表した「青少年が利用する学校非公式サイトに関する調査報告書」で、「学校が公式に開設・運営する公式サイト以外で生徒が自主的に開設した掲示板など公開型の情報交流媒体」＝学校非公式サイトが、3万8260件も確認されたことがある。さらに、「青少年が安全に安心してインターネットを利用できる環境の整備等に関する法律」が成立し、2009年4月1日に施行された。これらを受け、各自治体や学校は、ネットパトロールなど学校非公式サイト対策の必要に迫られている。

　教師による対策チームを作り監視に当たっている石川県のような例もあるが、多くの場合、業務を民間の専門業者に委託したり、専門従事者を雇用したりしている。多忙な教師がネットを監視する時間をとることは至難であることと同時に、裏サイトのパトロールには、検索のノウハウなど専門性が不可欠なことも大きな理由になっている。裏サイトは校名のキーワード検索等では探せないことも多く、書き込み内容も生徒たちにしかわからない独自の言い回しが使われ、危険性を正確に判断することが難しい場合がある。

【雇用創出事業とリンク】　こうしたパトロール等の業務は、財源確保を兼ねて、国の支援が受けられる雇用創出事業とリンクさせる自治体もある。前述の北海道では、ネットのパトロールや監視マニュアル作成を「ふるさと雇用再生特別対策推進事業」に基づいた業務として民間会社に委託し、民間会社は業務に携わる新規雇用者をハローワークを通じて募集している。

　北九州市が今年10月からの開始を予定している「学校非公式サイト調査・監視業務」も、同じく国から支援を受ける雇用再生基金に基づいている。埼玉県は、今年5月1日から「ネット上の見守り担当員」を3名雇用して学校非公式サイトの監視活動を行っているが、これも雇用創出基金を活用した事業である。

【生徒も参加する埼玉方式】

　埼玉県はさらに興味深い試みを行っている。県は「ネットいじめ、シャットアウト！」カードというものを作成し、生徒たちに配布した。「一人で悩まず相談を」という呼びかけの言葉が添えられたカードの表面には、インターネットの書き込みに関する悩み相談や通報の連絡先が記されている。生徒たち自身も学校非公式サイト対策に参加する形で、他の自治体とは異なる取り組みだ。

　ネットパトロールで不適切な書き込みを見つけて削除するだけでは、根本的な解決にはならない。求められているのは、ネットコミュニティのモラル教育であり、子どもたちがこれからのネット社会に不可欠のネットリテラシーを身に付けることだろう。生徒参加型の埼玉方式がどのような成果を上げるか、その行方に注目したい。

（2009/07/09 ネットセキュリティニュース）

■青少年が利用する学校非公式サイトに関する調査報告書（文部科学省）
http://www.mext.go.jp/b_menu/toukei/001/index48.htm
■学校非公式サイト等の監視を開始しました！（東京都）
http://www.metro.tokyo.jp/INET/OSHIRASE/2009/06/20j6p300.htm
http://www.kyoiku.metro.tokyo.jp/press/pr090625s.htm
■平成21年第1回定例会（6月会議）（三重県）
http://www.pref.mie.jp/kyoiku/hp/kyo_so/gikai/gikaih210609-0615.htm
■「学校非公式サイト対策推進事業連絡協議会」を開催します（ 三重県）
http://www.pref.mie.jp/topics/2009060485.htm
■いじめ等有害情報監視マニュアル作成業務に係る委託契約について[PDF]（北海道）
http://www.dokyoi.pref.hokkaido.lg.jp/NR/rdonlyres/1AA9FA00-69AE-47FF-B725-91A05E852171/0/2009061503.pdf
■北九州市の雇用創出事業（北九州市）
http://www.city.kitakyushu.jp/pcp_portal/PortalServlet?DISPLAY_ID=DIRECT&NEXT_DISPLAY_ID=U000004&CONTENTS_ID=26065
■インターネット上の監視活動の開始について[PDF]（埼玉県）
http://www.kyouiku.spec.ed.jp/contents/news_sorce/n09042801.html
■ネット上の見守り担当員募集要項[PDF]（埼玉県教育委員会）
http://www.pref.saitama.lg.jp/A20/BF00/mimamoriyoukou.pdf
■「ネットいじめ、シャットアウト！」カードを作成しました（埼玉県）
http://www.pref.saitama.lg.jp/A20/BF00/fureai.htm#20090601

  情報処理推進機構セキュリティセンター（IPA/ISEC）は3日、6月のコンピュータウイルス、不正アクセスに関する届出状況のまとめを発表した。「今月の呼びかけ」では、サイトが改ざんされる例が多発していることから、改ざん被害者がウイルスをばらまく加害者にならないための対策についてまとめ、注意を呼びかけている。

■コンピュータウイルス、不正アクセスの届出状況

　6月のウイルスの検出数は約8万7000個で、5月（約11万5000個）から24.4％減少となった。届出件数は1460件で、5月（1387件）から5.3％増となった。検出数の1位はW32/Netsky（約7万個）、2位はW32/Downad（約6000個）、3位はVBS/Slow（約3000個）。

　不正アクセスの届出件数は7件で、そのうち被害があったものは6件。被害内容は「侵入」1件、「Dos攻撃」1件、「なりすまし」3件、「不正プログラム埋め込み」1件だった。

　6月の相談件数は1898件で5月（1765件）を上回った。相談内容では「ワンクリック不正請求」関連が694件（5月628件）と過去最悪記録を更新した。「セキュリティ対策ソフトの押し売り」関連は6件（5月2件）、Winny関連は13件（5月5件）と、これも増加傾向を示した。一方、「情報詐欺を目的として特定の組織に送られる不審なメール」に関する相談は0件（5月5件）だった。

■「ウイルスばらまきサイト」に改ざんされていないかチェックを

　本通信でも繰り返し取り上げてきたが、企業や個人が運営しているWebサイトに不正なスクリプトが埋め込まれる改ざん事例が多発している。改ざんされたサイトにアクセスすると、閲覧者はウイルスが仕掛けられた悪意あるサイトに誘導され、閲覧者のパソコンに脆弱性があった場合、そこでウイルスに感染させられてしまう。

　改ざんされたサイトは被害者であると同時に、ウイルスをばらまく加害者になってしまうわけで、Webサイト管理者は自らが管理するサイトが「ウイルスばらまきサイト」に仕立てられていないか、改ざんの有無をチェックする必要がある。

＜改ざんの有無のチェック方法＞
　IPAは、チェック方法として、(a)Webサイトの全ページ、およびそれらを編集するパソコンに保存されたページのソースをチェックし、不正なスクリプトが埋め込まれていないか確認すること、(b)自分がアクセスしていない日時に、ftp のアクセスが行われていないか、ftpへのアクセスログを確認することをあげている。(b)は、ftp のアカウントが不正利用されて改ざんが行われた事例があるためで、とくに企業の場合は、ftpアクセスログの定期的チェックにくわえ、予防策として、ftpのアクセス制限、改ざん検知システムの導入をすすめている。

＜改ざんされた場合の対処方法＞
　被害拡大を防ぐため、速やかにサイトを停止し、原因究明と修正作業を行う。留意するべきは復旧後も再び改ざんされる例が少なくなかったことで、パスワード変更を行ったパソコンがスパイウェアに感染し、情報が漏えいしている可能性がある。この場合は、パソコンを初期化し、再度パスワードを変更してから再公開しなければならない。再公開後は、閲覧者に対し、改ざん事実とウイルス感染の危険について告知することが不可欠となる。

　閲覧者の対策としては、OSやアプリケーションの脆弱性の解消（最新版への更新、修正プログラムの適用）、およびウイルス対策ソフトを常に最新状態にしておくことをすすめている。また、ウイルスに感染した場合の症状と、その対策についても具体的に紹介しているので参考にされたい。

（2009/07/08 ネットセキュリティニュース）

■ コンピュータウイルス、不正アクセスの届出状況［６月分］について（IPA／ISEC）
http://www.ipa.go.jp/security/txt/2009/07outline.html

  DirectShowの未修整の脆弱性を突く攻撃が行われているとして、海外のセキュリティベンダーが一斉に警告。マイクロソフトも7日、アドバイザリを公開し、攻撃を回避するためのツールの提供を開始した。

　新たに攻撃が行われているのは、5月末に報告されたDirectShowの脆弱性とは別のもの。ストリームビデオを処理するモジュール「msvidctl.dll」内のActiveXコンポーネント「MPEG2チューンリクエスト」に問題があり、細工されたページをInternet Explorer（IE）で閲覧すると、任意のコードが実行されるおそれがある。影響するのは、WindowsXPおよびServer 2003で、VistaやServer 2008には影響しない。

　マイクロソフトからは、この問題を回避するための設定を自動的に行うツール「Fix it」が提供されているので、Windwos XPユーザーは今すぐ、下記技術資料「972890」にある「回避策を有効にします」と記載された「Fix it」をダウンロードし、実行していただきたい。このツールは、アドバイザリに記載されているkill bit（無効化ビット）の設定を自動的に行い、IE上から問題のコンポーネントの呼び出しができないように無効化する。

　海外セキュリティベンダーのブログは、すでに何千ものWebサイトが改ざんされていることを報告している。編集部でも、国内の改ざんサイトから誘導される香港の攻撃サーバーに、これまでに報告されている脆弱性（Adobe Reader、FlashPlayer）に加え、今回報告された新たな脆弱性を突く攻撃コードが仕掛けられているのを確認した。大規模に攻撃が行われている可能性が高く、ただちに「Fix it」を実行して回避策を適用していただきたい。

（2009/07/07 ネットセキュリティニュース）

■マイクロソフトセキュリティアドバイザリ (972890)Microsoft Video ActiveX コントロールの脆弱性により、リモートでコードが実行される（マイクロソフト）
http://www.microsoft.com/japan/technet/security/advisory/972890.mspx
■技術資料972890（マイクロソフト）
http://support.microsoft.com/kb/972890
■Another Unpatched Vulnerability is Being Massively Exploited via Internet Explorer[英文]（シマンテック）
http://www.symantec.com/connect/blogs/another-unpatched-vulnerability-being-massively-exploited-internet-explorer
■Zero-day Microsoft DirectShow MPEG2TuneRequest Exploit leads to KILLAV malware[英文]（トレンドマイクロ）
http://blog.trendmicro.com/zero-day-microsoft-directshow-mpeg2tunerequest-exploit-leads-to-killav-malware/
■Compromised Sites Leading To Microsoft DirectShow Zero Day[英文]（ウェブセンス）
http://securitylabs.websense.com/content/Alerts/3432.aspx
■New Attacks Against Internet Explorer[英文]（マカフィー）
http://www.avertlabs.com/research/blog/index.php/2009/07/06/new-attacks-against-internet-explorer/

  日本ネットワークセキュリティ協会（JNSA）は1日、「2008年度情報セキュリティインシデントに関する調査報告書」を公表した。

　この調査は、同協会のセキュリティ被害調査ワーキンググループが毎年行っているもので、新聞やネットニュースなどで報道された記事、組織からのリリースなどをもとに、そその年1年間に起きた個人情報漏えい関係の事件や事故をまとめたもの。

　報告書によると、2008年の個人情報漏えい件数は1373件で、前年の864件から大幅に増加し過去7年間で最大となった。一方の漏えい人数は、3000万人を超えた前年から723万2763人へと一気に減少。個人情報保護法施行後では最も少なく、初めて減少に転じたという。

　件数の大幅な増加は、「教育・学習支援業」「金融・保険業」「サービス業」「運輸業」など、多くの業種で全体的に漏えい件数が増加したことに加え、ある自治体が、積極的に情報漏えい事件を公表したことが影響していると同協会は分析。漏えい人数の減少は、100万人を大きく超える大規模な漏えいが発生しなかったことが大きな要因だとしている。はたしてその通りなのだろうか。

■編集部の集計と比べてみると

　同様な情報収集は当編集部でも行っており、ネット上にリリースが掲載されている直近のものに関しては、一覧にまとめて毎週お届けしている。掲載分は年間800件前後だが、収集分全てを集計してみたところ、2008年の個人情報漏えい件数は前年から110件減少の1806件。漏えい人数は5000万人を超えた前年から722万7810人へと減少した。

＜個人情報漏えい件数の比較＞
　2006年　　993件（JNSA）　　1687件（当編集部）
　2007年　　864件（JNSA）　　1916件（当編集部）
　2008年　 1373件（JNSA）　　1806件（編当集部）

＜個人情報漏えい人数の比較＞
　2006年　 2223万6576人（JNSA）　　2284万5455人（当編集部）
　2007年　 3053万1004人（JNSA）　　5007万3319人（当編集部）
　2008年　 723万2763人（JNSA）　　 722万7810人（当編集部）

　2007年の漏えい人数が大きく異なるのは収集方針の違いで、当編集部の集計にはヤフーのメール消失（1300万件と449万件）や東京国税局が未消去の磁気テープを貸し出した問題（177万件）といったものも算入している。これらを除外すると、漏えい人数は同程度となる。この漏えい人数が減少した理由は、編集部も報告書と同じ見解だ。

　なお、2008年の漏えい人数が、漏えい件数に反して報告書の方が上回っているが、これは集計方針の違い等が原因と思われる。報告書の「インシデント・トップ10」だけ比較してみると、5位の29万1338人は、10月に公表された国土交通省四国運輸局の自動車重量税納付書の誤廃棄と思われるが、正しくは20万1338人。9位の23万2970人は、10月に公表されたエンターモーションの不正アクセス事件と思われるが、報告書は公表当時に予想された最大数を計上しているのに対し、当編集部では裁判で争われた約18万人を採用している。

　さて、報告書では激増しているはずの件数が、編集部の集計ではやや減少という全く違った結果となった。調査する者が異なれば結果が違うのは当然だが、同じような調査をして全く違う傾向を示してしまうのは、どこかに問題がある。そこで、編集部なりの分析を行ってみた。

■漏えい件数の増減に大きな違いが生じた原因は？

　報告書では、件数が増加した理由の1つとして、ある自治体の積極的な公表を挙げている。これは集計結果にも如実に表れており、自治体業務の多くを占める「公務」が前年の181件から469件に跳ね上がっており、比率も前年の20.9％から34.2％へと拡大。報告書では、「この自治体は、先進的な取り組みを行ったことで、これまで報告されなかったような小規模なインシデントまで、報告が徹底されるようになったと思われる」と解説されている。どの自治体なのか明記されていないが、2008年に大量の報告を始めた自治体とはどこだろう。

　2008年にこだわらず、小規模なものまで徹底して公表している自治体を考えると、静岡市や横浜市などが思い浮かぶ。静岡市は、2007年の新年度に入って個人情報の漏えいが急増。それまで年間数件程度だった事故が数倍の勢いで相次ぎ、ホームページにも多くのリリースが掲載されるようになった。編集部の集計では、同市の2007年は前年比8倍の40件、2008年は46件。一方の横浜市は、以前から積極的に情報を掲載しており、編集部の集計では2007年が前年の2倍近い240件、2008年は239件と、同市は自治体の中でも突出した件数を示している。これらのうち、新聞などで報道されるのはごく一部にすぎず、たとえば横浜市の場合には、9割がたはサイトに掲載されたリリースのみとなる。これを収集するかどうかが、集計結果に大きく影響する。

　報告書にある「ある自治体」は横浜市のことで、協会が積極的にリリースを集めた結果が、今回の集計に表れてしまった可能性も考えられる。あるいは、当編集部が把握していない「2008年に大量の報告を始めた自治体」が他にあるのかもしれない。

　上掲の過去3年分の漏えい件数の集計結果が示すのは、当編集部の情報収集力の低下を示すのか、同協会の向上を示すのか。報告書には一覧表が収録されているので、時間が許せば全件を比較して、違いが生じた原因を解明してみたい。

（2009/07/06 ネットセキュリティニュース）

■「2008年度情報セキュリティインシデントに関する調査報告書」（日本ネットワークセキュリティ協会）
http://www.jnsa.org/result/2008/surv/incident/index.html

  6月4日に開港したばかりの静岡空港の公式サイトに虚偽情報が掲載されていたことがわかった。実際は削除し忘れたテストページだったのだが、ネット掲示板で発見されて話題になり、大手新聞社が記事にする騒ぎになった。
　情報はすぐに削除され、個人情報の漏えいなどもなかったが、小さな不注意がセキュリティ上のトラブルにつながる怖さを教えてくれる事例だ。発端となったネット掲示板の書き込みから、その経緯をたどってみると。

【発覚の発端はリンク切れ】

　ネット掲示板で虚偽情報が話題になったのは6月30日。同公式サイトのフライトスケジュールが国内線も国際線もリンク切れになっていたことを嘆く書き込みが発端だった。困ったユーザーが、リンク元ページの「index.html」を取ってアクセスしてみると、ディレクトリ一覧が丸見えになっていた。中にあるファイルを開いてみると、「ツアー代金が8割引き」などの「面白い」ページがいろいろ見えてしまった。
　「これ見えちゃまずいんじゃないの、面白かったけど」というコメントで示されたページには、「今月中に加入された方は、ツアー代金が8割引に、開港までに加入された方は半額に」などと書かれてあり、また「チベットへ臨時便が運行します」「今すぐ、下記代理店にお電話を」と書かれたページには、「チベット人民旅行社」「大世界平和物産」として、それぞれの電話番号が示されていた。この電話番号は、掲示会社のものではないが、実在する電話番号だったという。

【発覚後の対応】

　当該サイトは、アーティス（本社：静岡県浜松市）が静岡県から委託を受けて制作した。虚偽情報のページは、4月22日に同社がホームページ更新講習会を開いた際に、受講した県職員3人が試しに作ったものだった。本来なら削除されるべきものだが、5月中旬の公式ホームページオープン後もこのテストページが外部から閲覧可能な状態のまま、サーバーに残っていた。
　ネット掲示板に書き込みがあった翌7月1日、県が同社に連絡。同社は当該ページを削除するとともにリンク切れを修正し、ディフォルトページがない場合にディレクトリ一覧が表示されないよう修正した。
　県が危惧した個人情報の流出はなく、また記載されていた実在の電話番号にも問い合わせの電話などはなかったという。

【何が問題だったのか】

　問題は2つある。1つは、本番サイトを使って公開状態のままテストページを作り、職員講習まで行ってしまったこと。これらのことは、なんらかのアクセス制御が行われ、一般からはアクセスできない非公開のテストサイトでなされるべきだった。もう1つの問題は、本番のコンテンツを入れる前に、テストページの削除がなされなかったこと。
　どちらも常識的な基本事項だが、セキュリティのトラブルは基本事項が守られないことから始まることが多い。

（2009/07/06 ネットセキュリティニュース）

■富士山静岡空港ホームページへの虚偽情報記載報道について（アーティス）
http://www.artisj.com/

  ウイルスに感染したパソコンから、Webサイト更新用のFTPアカウントを盗み出し、次々にサイトを改ざんしていった通称Gumblar。4月初旬に埋め込まれた94.247.2.195（zlkon.lv）への誘導リンクに始まり、ゴールデンウィークの時期に重なったgumblar.cnへの誘導で一気に拡大した国内サイトの改ざんは、5月半ばに攻撃サイトをmartuz.cnに移した後、わずか5日で攻撃を終えた。

　東京にあるIBMの監視センター（SOC）の報告によれば、zlkon.lvの攻撃は3月下旬から始まっており、4月下旬までの約1か月間にわたり同サイトで攻撃を続けた。続くgumblar.cnが約20日間、martuz.cnは5日と、騒ぎの拡大に呼応するように、攻撃サイトの存続期間は短くなっている。攻撃サイトの閉鎖が自主的なものだったのか強制退去だったのかは定かではないが、いずれにせよ、目立ちすぎは密かな攻撃継続を困難にする要因だったに違いない。gumblar.cnの閉鎖時期は、ソフォスやシマンテックの最初の警告に重なり、完全撤退時にはセキュリティ各社や機関、メディアが一斉に伝えるほどにまでなっていたのは、決して偶然ではないだろう。

●多数のドメインを使うサイト改ざんが継続

　特定のドメインを使った大規模なサイト改ざんは、一連の攻撃を最後に見られなくなったが、不正なリンクを埋め込むサイト改ざん自体はまだ終息していない。多数のドメインを使ったタイプの複数の攻撃が今もなお続いており、予断を許さない状態だ。

　サイトに埋め込まれるコードは難読化が進み、リダイレクトを繰り返したりアクセス制御を行ったりと、隠ぺい工作にも一段と拍車がかかっている。もちろん、攻撃コードやウイルス本体は頻繁に更新されており、これまで以上にたちが悪い。ひょっとするとGumblarの攻撃者たちも、この中のひとつに紛れているのかもしれない。

　攻撃にはいろいろなパターンがあるが、いずれもAdobe ReaderやFlashPlayerなどの既知の脆弱性を突いて、閲覧者のパソコンにウイルスを自動的にインストールしようとする。今のところ未知の脆弱性攻撃はないようなので、これらのプラグインやシステムを最新の状態にしていれば感染のおそれはない。利用する方が多く狙われやすいプラグインのアップデートについては、下記のトピックスにまとめてあるので参照していただきたい。

（2009/07/02 ネットセキュリティニュース）

【参考サイト】・継続している Iframe 挿入によるWebサイト改ざん（IBM）
http://www-935.ibm.com/services/jp/index.wss/consultantpov/secpriv/b1332868

  Gumblar以降、話題になった攻撃から、編集部が実際に調査したものをいくつか紹介する。

●「Beladen」：難読化された「googleanalytlcs.net」へリンク

　Beladenは、ウェブセンスが現地時間5月29日付けで2万サイトが改ざんされていると報告した攻撃。報告当初の攻撃サイトのドメインが「beladen.net」だったことから便宜上こう呼ぶが、攻撃サイトはその後「shkarkimi.net」へと移転したという。改ざんサイトには難読化された「googleanalytlcs.net」へのリンクが埋め込まれ、同サイトから攻撃サイトにリダイレクトする手法だったそうだが、いずれのサイトも編集部が調査した6月初旬にはすでに閉鎖されていたため、詳しい状況は把握できなかった。

　「コンピュータワールド」などの記事によると、一連の攻撃には、ウクライナのサーバーが使われていたといい、FirefoxやInternet Explorerの脆弱性を突いてトロイの木馬をインストールしようとしたり、ポップアップ広告を表示して偽のウイルス対策ソフトをダウンロードさせようとしたそうだ。感染サイトは約4万にも上ったというが、事後調査では発見することができず、いつの間にか始まってよく分からないまま終了してしまった感じだ。

　Googleのセーフブラウジングによれば、誘導サイト「googleanalytlcs.net」に汚染されたドメインは7541、攻撃サイトの「beladen.net」が3500、同「shkarkimi.net」が417と診断されており、Gumblar（約6万）のような大規模な改ざんではなかったと思われる。

【参考サイト】・Mass Compromise - Beladen[英文]（ウェブセンス）http://securitylabs.websense.com/content/Blogs/3408.aspx・Beladen payload site changes to Shkarkimi[英文]（ウェブセンス）http://securitylabs.websense.com/content/Alerts/3412.aspx・Beladen Update Drastic Decrease in Infected Sites[英文]（ウェブセンス）http://securitylabs.websense.com/content/Alerts/3420.aspx

●「Nine Ball」：たらい回しと隠ぺい工作

　ウェブセンスが6月16日付で4万サイトが改ざんされていると報じたもの。その後、ソフォスやトレンドマイクロからも警告が出されているが、複数のリダイレクトを繰り返し最終的な攻撃サイトに誘導するのが特徴だ。ウェブセンスの当初の報告では「ninetoraq.in」が最終的な攻撃サイトになっていたことから、同社がNine Ballと名付けた。

　4万サイトとあったものの、改ざんサイトを見つけるのに手間取ってしまい、発見した18日時点では、「ninetoraq.in」はすでに閉鎖。攻撃サイトは「orep.tw」へと移転していた。

　改ざんサイトには、難読化された「rnw.kz」へのリンクが埋め込まれており、同サイトから「bro.tw」、さらに「rmi.tw」へとたらい回しにされた後、最終的な攻撃サイト「orep.tw」へと誘導される。別のタイプでは、molo.tw→rmi.tw→rmi.tw→orep.twとリダイレクトされるケースもあるが、いずれもウクライナの同一サーバでホストされており、リダイレクトを繰り返すことによって、攻撃サイトを特定されないようにしているものと思われる。

　この攻撃には別の隠ぺい工作も行われており、誘導サイトに再びアクセスすると、最終的な攻撃サイトにたどりつく直前に、ask.comやgoogle.comに飛ばされ、攻撃サイトにたどりつけないようになっていた。Gumblarの攻撃でも、最終的に投下されるバイナリは続けてダウンロードできないようアクセス制御が行われていたが、こちらは攻撃サイトにも行かせない一段と手の込んだ手法。直接攻撃サイトに再アクセスしようとしても、Googleにリダイレクトされてしまう。

　最終的な攻撃サイトでは、Windowsの標準コンポーネントMDAC（Microsoft Database Access Components）やAdobe Readerなどの脆弱性攻撃を受けるが、いずれも修正済みのものなので、ソフトウェアを最新の状態にしていればトロイの木馬がインストールされる心配はない。

　一連のサイトはすでに閉鎖されており、編集部ではこのタイプのNine Ball攻撃は終了したのではないかと見ている。トレンドマイクロによると、攻撃サイトは何百も存在するというのだが詳細は不明。ちなみに、Googleのセーフブラウジングの診断では、前掲のサイトの汚染されたドメインの総数は5226だった。

【参考サイト】
・Mass Injection - Nine-Ball Compromises more than 40,000 Legitimate Web sites[英文]（ウェブセンス）
http://securitylabs.websense.com/content/Alerts/3421.aspx
・Nine-Ball Mass Injection - Details[英文]（ウェブセンス）
http://securitylabs.websense.com/content/Blogs/3422.aspx
・Yet more mass injections[英文]（ソフォス）
http://www.sophos.com/blogs/sophoslabs/v/post/4890
・厄介な大規模Webサイト改ざん事件が再発生（Trend Micro Security Blog）
http://blog.trendmicro.co.jp/archives/2940

（2009/07/02 ネットセキュリティニュース）

  ●「新Nine Ball」：改ざんされた在米エチオピア大使館公式サイト

　Gamblar終息以降、サイト改ざん情報はウェブセンスが積極的な情報提供を行っており、現地時間6月22日には在米エチオピア大使館の公式サイト改ざんを、同24日にはこれを含む複数の改ざん事例を紹介している。

　在米エチオピア大使館の公式サイトは、公表時には改ざん状態にあり、その後も再改ざんが繰り返された後、日本時間の7月2日未明に修復。今のところは正常だが、再び改ざんされる可能性もあるので注意が必要だ。

　当該サイトには、/headタグの直前とbodyタグの直後に、異なる誘導コードが埋め込まれていた。

　前者はNine Ballと同じ手法で難読化されたものだが、従来のKZ（カザフスタン）やTW（台湾）ドメインへの誘導ではなく、中身は「Nonstop Web Site Re-Infections」の記事にある「Second Malicious Injection」そのもの。マレーシアでホストされた「traffics-inspector.cn」に誘導後、さらに中国の「bingos-totonya2.com」に誘導され、Adobe ReaderやFlashPlayerの脆弱性攻撃を仕掛けられる。以前Nine Ballに汚染されていたサイトも、同様の中身に再改ざんされていることから、攻撃手法が変わったものとみられる。

　後者は、「Nonstop Web Site Re-Infections」の記事にある「Latest Injection」で説明されている、難読化なしでストレートにiframeタグを埋め込んだタイプ。誘導先の8080ポートにアクセスさせるのが特徴で、Gumblar終息後の攻撃の中で、編集部が最も警戒しているタイプだ。

【参考サイト】
・Compromised Site Embassy of Ethiopia in Washington D.C.[英文]（ウェブセンス）
http://securitylabs.websense.com/content/Alerts/3423.aspx
・Nonstop Web Site Re-Infections[英文]（ウェブセンス）
http://securitylabs.websense.com/content/Blogs/3425.aspx

●「8080」：大量ドメインを使用する8080攻撃

　セキュリティベンダーがまだ命名していないので、ここでは便宜的に8080攻撃と呼ぶことにする。編集部では、この攻撃を6月初旬から観測しているが、見るたびに誘導先が違うほど大量のドメインをとっかえひっかえ使用。編集部が把握しているだけでも、約200のドメインが現在も稼働し続けている状況だ。大半はCN（中国）だが、最近はIN（インド）やPL（ポーランド）、RU（ロシア）、AT（オーストリア）などもチラホラ見受けられる。

　Googleのセーフブラウジングの診断では、個々のドメインの汚染度は多いものでも3000程度だが、なにせ数が多いので総計は6万を超える。再改ざんによる重複が多数あるとは思うが、Gumblar以来の規模ではなかろうか。今のところまだ国内サイトの被害は見つかっていないが、海外サイトの日本語ページが改ざんされている例はあり、1日付のウェブセンスの記事では、人気の高いファイル共有ソフトTorrentの総合サイト「Torrent Reactor」も改ざん被害にあったという。

　使われている個々のドメインには、欧米のサーバー5基が1セットで登録されているが、全てのドメインが同じセットで動いているので、攻撃サイトは実質5基。早いサーバは1日で入れ替わるが、長いものは20日間以上使用されており、ボットネットの攻撃に見られるような短時間で入れ替わって行く、いわゆるFast-Fluxではない点がまだ救われる。

　先のウェブセンスの例にある「in.cgi?pepsi78」に誘導される場合には、そこからさらに別のドメインの「index.php」を開こうとする。これらを含め、攻撃は全て8080番ポートにアクセスするのが特徴で、通常のWebアクセスに使用する80番ポートでは何も起こらない。

　「index.php」は難読化されたJavaScriptで、現時点ではAdobe Reader、FlashPlayer、MDAC、SnapShot Viewerの脆弱性攻撃が行われ、ダウンロードしたトロイの木馬を実行しようとする。攻撃コードやウイルス本体は頻繁に更新されており、特にウイルス本体に関しては対策ソフトの対応が追い付かない状況にあるが、プラグイン類が最新であれば、攻撃は成立しない。

【参考サイト】
・Torrentreactor Website compromised[英文]（ウェブセンス）
http://securitylabs.websense.com/content/Alerts/3430.aspx

（2009/07/02 ネットセキュリティニュース）