ネットセキュリティニュース

マイクロソフトが今月11日に修正したばかりのMedia Playerの脆弱性を悪用し、閲覧者のパソコンをウイルスに感染させる、ドライブバイダウンロード攻撃が行われているとして、セキュリティベンダーなどが注意を呼び掛けている。セキュリティ更新プログラム（パッチ）を適用していない場合には、Webサイトの閲覧中に悪質なプログラムが勝手にインストールされてしまう可能性がある。

悪用が確認されたのは、最も深刻な「緊急」の脆弱性として公開された「MS12-004」に含まれている、電子楽器の演奏情報を記録したMIDIファイルの取扱いに関する問題（CVE-2012-0003）。細工されたMIDIファイルを再生するとバッファオーバーフローが発生し、任意のコードが実行されるおそれがある。

この脆弱性を悪用した攻撃が、20日頃から韓国のサーバーを使って行われている。今月のパッチを適用していないパソコンが、この攻撃サイトに誘導されてしまうと攻撃が成立し、他の悪質なプログラムを呼び込むダウンローダーを実行してしまう。トレンドマイクロのブログによると、実行されたダウンローダーは、感染したウイルスの隠ぺいなどに使うルートキットや、オンラインゲームのアカウントを盗み取るスパイウェアをシステムにインストールするという。

Windowsの自動更新などで今月のパッチが適用済みならば、脆弱性攻撃は成功しないので、知らない間に勝手に悪質なプログラムがインストールされる心配はない。まだパッチを適用されていない方は、至急「Windows Update」などでパッチを適用し、攻撃を防いでただきたい。

（2012/01/30 ネットセキュリティニュース）

【関連URL】
・Windows Media Player の脆弱性について(MS12-004)(CVE-2012-0003)（IPA）
http://www.ipa.go.jp/security/ciadr/vul/20120127-wmplayer.html
・Malware Leveraging MIDI Remote Code Execution Vulnerability Found[英文]（TrendLabs Malware Blog）
http://blog.trendmicro.com/malware-leveraging-midi-remote-code-execution-vulnerability-found/
・CVE-2012-0003 Exploited in the Wild[英文]（IBM Internet Security Systems）
http://blogs.iss.net/archive/CVE_2012_0003_Exploi.html
・MIDI exploit in the wild[英文]（Symantec）
http://www.symantec.com/connect/ja/blogs/midi-exploit-wild
・CVE-2012-0003 Exploit ITW[英文]（Kaspersky）
http://www.securelist.com/en/blog/208193368/CVE_2012_0003_Exploit_ITW
・MS12-004 - 緊急 Windows Media の脆弱性により、リモートでコードが実行される (2636391)（マイクロソフト）
http://technet.microsoft.com/ja-jp/security/bulletin/ms12-004

【ウイルス情報：トレンドマイクロ】
・TROJ_DLOAD.QYUA：ダウンローダー
http://about-threats.trendmicro.com/Malware.aspx?language=jp&name=TROJ_DLOAD.QYUA
・RTKT_MDIEXP.QYUA：ルートキット
http://about-threats.trendmicro.com/Malware.aspx?language=jp&name=RTKT_MDIEXP.QYUA
・TSPY_ONLING.KREA：スパイウェア
http://about-threats.trendmicro.com/Malware.aspx?language=jp&name=TSPY_ONLING.KREA

パソコンのデスクトップにアダルトサイトの料金請求画面を表示し続ける「ワンクリックウェア」にからんだ摘発が、今月18日に相次いだ。同様の不正ソフトを仕掛けていたワンクリック詐欺サイトの中には、ワンクリックウェアの使用を止めたところや、活動を休止したところも出始めている。

千葉県警は、昨年11月にワンクリックウェアを仕掛けたアダルトサイトの運営者らを詐欺容疑で逮捕した事件で、運営者にシステムを作成・提供していた都内のIT企業の経営者ら2人を、詐欺のほう助容疑で逮捕。京都、埼玉、和歌山3府県警は、同様のアダルトサイトを運営していた、都内のIT企業の経営者ら6人を、不正指令電磁的記録供用（ウイルス罪）容疑で逮捕した。

ワンクリック詐欺は、アダルトサイトなどで画面を数回クリックすると登録完了画面が突然現れ、高額な料金（3万～10万円）を請求される架空請求のひとつ。今回摘発された2つのシステムは、年齢確認などのチェック2か所と「動画再生」ボタンをクリックした後、もう1回「動画再生」ボタンをクリックすることから、「4クリック詐欺」と呼ぶこともある。

クリックだけで登録されてしまう普通のワンクリック詐欺サイトは、他の架空請求と同様に無視すればよかった。ところが、ワンクリックウェアを仕込んだ詐欺サイトの出現で、状況が一変する。先のウイルス罪で摘発された詐欺サイトでは、2回目の「動画再生」ボタンをクリックすると、このワンクリックウェアを投下。「実行をクリックすると動画再生が始まる」と言って、閲覧者にこれを実行させようとしていた。実行してしまうと、パソコンのデスクトップにアダルト画像をあしらった請求画面が表示され、支払い期限のカウントダウンが始まる。この画面は、パソコンを起動するたびに表示され、[×]ボタンを押しても消すことができない。

■「ウイルス罪」適用でワンクリックウェア撲滅なるか

ウイルス罪を適用してのワンクリック詐欺サイトの摘発は、今回が初めてだ。昨年7月の改正刑法施行と前後して、ワンクリックウェアの使用を中止した詐欺サイトがいくつかあったが、今回の摘発でも同じような動きが出始めている。

とりあえずワンクリックウェアの投下を止め、普通の詐欺サイトにしたところがある。また、投下はするが、Windowsの起動時に自動実行させるためのレジストリの改変などは行わないようにしたところがある。クリックしても先へは進まず、活動を停止したところもある。この1週間での対応はさまざまだが、同様の摘発が進むことによって、ワンクリックウェアの撲滅、さらには詐欺サイトそのものの撲滅につながることを期待したい。

■引き続き注意が必要～「問い合わせない」「実行ボタンを押さない」

いくつかのサイトには動きがあるものの、これまで通りに運営しているところも多い。新たなサイトの出現も予想されるので、今後も注意が必要だ。
万が一ひかかってしまっても、記載された電話番号やメールアドレスに問い合わせてはいけない。基本は「無視」で対処し、心配な場合はもよりの消費生活センターや警察に相談する。もう１つ肝心なこととして、閲覧中にブラウザが何かをダウンロードしようとした場合には、絶対に[実行]ボタンは押さずに、キャンセルするよう心がけていただきたい。

（2012/01/26 ネットセキュリティニュース）

グーグルは24日、同社のWebブラウザ「Google Chrome」の最新安定版「16.0.912.77」を公開した。対象となるのは、Windows、Mac、Linux、およびInternet Explorer用のプラグイン「Chrome Frame」で、最新版への更新は自動的に行われる。

最新版では、解放したメモリーを再利用してしまう問題2件と、ヒープメモリーでバッファオーバーフローが起きる問題、未初期化の値を使用してしまう問題の計4件の脆弱性が修正された。悪用されると異常終了やコード実行のおそれがあり、危険度は4段階の上から2番目「高」と評価されている。

リリースでは、このほかに前回の安定版「16.0.912.75」で修正したが、リリースノートへの記載から漏れていた脆弱性1件について述べている。この脆弱性は、危険なサイトをブロックするセーフブラウジング機能のナビゲーションが、解放済みのメモリーを再利用してしまうという問題で、深刻度の評価は「最高」となっている。

（2012/01/25 ネットセキュリティニュース）

【関連URL】
・Stable Channel Update[英文]（Google Chrome Releases）
http://googlechromereleases.blogspot.com/2012/01/stable-channel-update_23.html

編集部では、飛来するメールやWeb上の情報を元に、国内のブランドや国内でホストされているフィッシングサイトについて観測を行っている。12月に観測した日本国内に関係するフィッシングサイトは、年内で最多の94件を記録した。

94件のうち、偽サイト本体が設置されていたものは84件。残り10件は、他所に設置した偽サイトにリダイレクトする中継サイトとして使われた。

悪用されたサーバーは、不正アクセスを受けた一般のWebサイトとみられるものが50件、ホスティングサービスの悪用が44件だった。

悪用されたブランドは、PayPal（32件）、MasterCard（15件）、Ameba（8件）、真・女神転生IMAGINE（8件）ほか計23ブランド。12月は日本語のフィッシングサイトが多数出現しており、MasterCard、みずほ銀行、セブン銀行、SNSのAmeba、ゲームサイトの真・女神転生IMAGINEとMK-STYLEが悪用された。

■国内銀行を装うフィッシング続く

国内の銀行を装うフィッシングが、12月も続いた。12月のセブン銀行を装うフィッシングメールは、これまでと違い英文のメールだったが、いずれも日本語仕様の偽サイトへと誘導し、ログインアカウントと手続きに必要な乱数表を丸ごとだまし取ろうとするもの。これらを詐取されると、オンラインバンキングを勝手に操作されてしまい、不正送金などが行われるおそれがある。

金融機関のアカウントと乱数表の詐取を狙った攻撃は、ウイルス感染とフィッシングの両方が用いられている。警察庁の11月24日時点のまとめでは、2011年3月末以降、56金融機関で未遂も含めて160口座が不正アクセスの被害を受け、他人名義の銀行口座へ不正送金された被害総額は、約3億円に上るという。

銀行は、メールでアカウント情報などを求めることはなく、乱数表の数字全てを入力させるようなこともない。また、ネットバンキングのログインページは、必ず暗号化通信（SSL）で接続されるので、ログイン時には接続状態をチェックするよう心掛けたい。みずほ銀行やセブン銀行の場合には、サイトにEV証明書を使用しているので、アドレスバーの横やアドレスバー全体がグリーンに変わり、銀行名が英語で表示される。URLや証明書を見なくても、一目で本物のサイトであることがわかるので、この点だけは見落とさないようにしたい。

■ゲームサイトのアカウントを狙うフィッシング相次ぐ

オンラインゲームのアカウントもまた、フィッシングの格好のターゲットのひとつで、国内のゲームサイトもしばしは標的にされる。

12月には、海外のオンラインゲームのフィッシングを仕掛けていたグループのひとつが、国内のオンラインゲームにも食指を伸ばし、「真・女神転生IMAGINE」と「MK-STYLE」が相次ぎ標的にされた。運営事務局をかたって不特定多数にばら撒かれたフィッシングメールは、他社で数千万件規模の会員情報が流出したので、本人確認の認証を行うとして偽サイトへと誘導。ID/パスワードをだまし取ろうとする。

偽サイトは、どちらもシンガポールのサーバーを使用しており、「真・女神転生IMAGINE」の偽サイトが仕掛けられていたサーバーは、「グラナド・エスパダ」の偽サイトを経て、1月24日現在は「MK-STYLE」の偽サイトが稼働中。12月に「MK-STYLE」の偽サイトが開設されていたサーバーは、「BATTLE.NET」を経て、現在は「STAR WARS」の偽サイトが稼働している。

■ますます増える「WordPress」の脆弱性攻撃

不正アクセスを受けて偽サイトやリダイレクタを設置された国内の一般サイトは、大幅に増加した11月の39サイト48件から、24サイト30件へと減少したが、相変わらず再設置されるケースと、ブログシステム「WordPress」の脆弱性を突かれたとみられる設置が目立つ。

WordPressの脆弱性攻撃とみられるフィッシングサイトの設置は、内外全体では10月からの増加が著しく、9月に全体の3％だったものが、10月は5.1％、11月は6.2％、12月は6.8％を占めるに至っている。国内のクラックサイトでは、11月から急増しており、10月までは月に1～2件程度だったのが、11月は5サイト7件に。12月はさらに増え、11サイト14件と、クラックサイトの半数近くを占めている。被害サイトの中には、使用していないにも関わらずインストールされているところもあり、中には2年前のバージョンが放置されていたケースもあった。

デスクトップもサーバーも、使用するアプリケーションは常に最新の状態を保ち、使わないアプリケーションは削除するのが鉄則だ。

（2012/01/24 ネットセキュリティニュース）

わが国は、スパムの送信やウイルスの配布などに悪用されるサイトが非常に少なく、セキュリティベンダー各社が行っている調査でも、世界で有数の危険の少ない国にあげられている。各種攻撃での国内サイトの悪用率は、1％に満たないのが常だ。そんな中、昨年末から行われているウイルス感染活動のひとつに、国内のゾンビパソコン（ゾンビPC）が大量に使用されていることが、編集部の調査で分かった。

ゾンビPCというのは、ユーザーの知らない間に乗っ取られ、外部から遠隔操作されているパソコンのこと。攻撃者の制御下に置かれた多数のゾンビPCは、ボットネットと呼ばれるネットワークを構成し、攻撃者の指示に従ってスパムの送信やウイルスの配布、Webサイトへの攻撃、フィッシングサイトの開設といった、さまざまなサイバー犯罪に悪用される。

今回、国内のゾンビPCが大量に検出されたのは、メールなどのリンクをクリックして来たユーザーのパソコンを、ウイルスに感染させるために別の場所にある攻撃サイトへと誘導する「リダイレクタ」として悪用されているもの。このリダイレクタには、毎日数百台のゾンビPCが使われているのだが、その数パーセントから十数パーセントを、国内のゾンビPCが占めている。

このリダイレクタに悪用されたゾンビPCは、昨年末から昨日までの検出可能だった22日間で、125か国、1万3385台。うち、5.7％にあたる757台が日本国内のもので、ロシア（13.8％）、インド（11.3％）、メキシコ（8.2％）、カザフスタン（6.7％）に次ぐ高い出現率となっている。ちなみに国内のゾンビPCには、一部に企業や大学のIPアドレスも含まれるが、ほとんどがプロバイダ経由でアクセスしているユーザーのもので、関連するプロバイダは60社を超える。

ゾンビ化を目的に仕掛けるウイルスを、ユーザーのパソコンをロボットのように遠隔操作することから「ボット」と呼んでいる。ボットは、感染パソコンをユーザーに気付かれないように悪用しようとするため、感染しても目立った症状が現れないことが多いが、パソコンの動作が遅くなる、CPUの利用率（タスクマネージャーで確認可）が常に高い値を示す、セキュリティソフトが無効になる、セキュリティベンダーやWindows Updateにアクセスできない、などの以上が現れたら注意していただきたい。

今回編集部が観測したものに関しては、悪用されているパソコンがWebサーバーになっているので、ブラウザで自身にアクセスできるかどうかをチェックすることでも確かめられる。自身にアクセスするためには、ローカルループバックアドレスという特別なIPアドレスを使用する。ブラウザのアドレスバーに「http://127.0.0.1/」（「 」は不要）と入力し、「このページは表示できません」「正常に接続できませんでした」といったエラーで接続できなければ、あなたのパソコンはWebサーバーとして使われていない。

ちなみに、今回のゾンビPCたちは「502 Unknown Host」と書かれたページを表示するようだが、このようにアクセスできてしまうような場合には、パソコンがWebサーバーとして稼働しており、感染している可能性がある。

（2012/01/23 ネットセキュリティニュース）

【関連URL】
・ボット対策のしおり[PDF]（IPA）
http://www.ipa.go.jp/security/antivirus/documents/3_bot_v8.pdf

JPCERTコーディネーションセンター（JPCERT/CC）が発表した昨年10～12月（四半期）の報告によると、Webサイト改ざんの報告件数は73件から164件に倍増している。改ざんページを閲覧したユーザーのパソコンは攻撃サイトに転送され、アプリケーションの脆弱性を突かれてマルウエア（ウイルス）に感染させられる。

JPCERT/CCは、国際的な調整が必要なコンピューターセキュリティのインシデント（脅威となる案件）に関する日本の窓口組織で、国内外のインシデントの報告を受け付けている。12日に発表された昨年10～12月（四半期）の統計情報によると、「Webサイト改ざん」の報告件数は164件で、前四半期の73件から125%の増加となった。

JPCERT/CCは昨年11月頃、WordPress（ブログなどに使われるコンテンツ マネジメント システム）で構築されたサイトの改ざん報告を多数受けた。

このときのサイト改ざんは、WordPress のプラグインの脆弱性を突いたとみられる攻撃により、Webページに難読化されたJavaScriptが挿入された。この改ざんサイトを閲覧したパソコンは、アプリケーションの脆弱性を攻撃するサイトに転送され、マルウエアがインストールされてしまう。

昨年12月上旬には、10月に公開された Javaの新しい脆弱性を使用してマルウエアをインストールさせようとする攻撃サイトを確認。JPCERT/CCは、この攻撃に関する注意喚起を行っている（下欄参照）。この時は、改ざんサイトから攻撃サイトに転送する方法のほか、スパムメールの本文内に記したリンクをクリックさせて攻撃サイトに誘導する方法もとられていた。

いずれの場合も、アプリケーションの脆弱性が修正されて最新状態に保たれていれば、攻撃サイトに誘導されても、感染（マルウエアのインストール）は回避できた。OSやアプリケーションを最新状態に保つことの大切さを、改めて確認しておきたい。

（2012/01/20 ネットセキュリティニュース）

【関連URL：JPCERT/CC】
・インシデント報告対応レポート [2011年10月1日～2011年12月31日]
http://www.jpcert.or.jp/ir/report.html
・JPCERT/CC Alert 2011-12-05
Java SE を対象とした既知の脆弱性を狙う攻撃に関する注意喚起
http://www.jpcert.or.jp/at/2011/at110032.html

情報処理推進機構セキュリティセンター（IPA/ISEC）は、2011年12月に受けたセキュリティ相談のなかから、2件の事例を紹介している。1件は、SNSに自分に成りすましたアカウントを見つけたという相談、もう1件はショッピングサイトから心当たりのない商品の購入通知メールが送られてきたという相談だ。

IPAは、「情報セキュリティ安心相談窓口」を開設し、ウイルスや不正アクセス、その他情報セキュリティ全般についての相談を受け付けている。12月の相談総件数は1312件あり、うち2件の事例が紹介されている。

■相談事例1：Facebookに、成りすましアカウントを発見

相談者が検索サイトで自分の名前を入力して検索すると、自分では登録した覚えのないFacebookアカウントのページが表示された。自分に成りすました偽のアカウントと思われるため、削除を要請したいという相談だ。

回答は、自分の写真が使われているなど、成りすましが明らかと思われる場合は、Facebookヘルプセンターの該当項目の手順に従って、早急に通報するのがよいとアドバイスしている。世界レベルのSNSであるFacebookには多くの著名人も登録しており、成りすましの存在が問題になっているという。他人に成りすましてのアカウント作成は規約違反でもあり、通報することが解決につながる。

■相談事例2：ECサイトから心当たりのない商品の購入通知メール届く

いつも使っているオンラインショッピングサイトから、心当たりのない商品の購入通知メールが送られてきたという相談だ。サイト側に確認したところ、不正アクセスの疑いがあることがわかった。クレジットカードによる代金引落としは、キャンセルすることができた。また、カード番号は変更手続きをした。相談者はパスワードを単純なものにしていたことを反省しつつ、当該サイト以外のサービスでも同じパスワードを使い回していることを告白。変えなければ危険かどうか尋ねている。

回答は、当該サイトのパスワードをできるだけ複雑なものに変更するとともに、同じパスワードを使い回している全サービスについても、連鎖的に不正アクセスの被害が拡大することを防ぐため、複雑かつ異なるパスワードに変更するようすすめている。

単純なパスワードは簡単に破られ、第三者が不正アクセスして勝手に商品購入の手続きをするような事態を招いてしまう。パスワードを強化すること、使い回しをしないことは、セキュリティの鉄則だ。

（2012/01/19　ネットセキュリティニュース）

【関連URL：IPA】
・コンピュータウイルス・不正アクセスの届出状況[12月分および2011年年間]について
http://www.ipa.go.jp/security/txt/2012/01outline.html
・IPA-2011年11月の呼びかけ「ぼくだけの ひみつのかぎさ パスワード」
http://www.ipa.go.jp/security/txt/2011/12outline.html

JPCERTコーディネーションセンター（JPCERT/CC）が発表した昨年10～12月の報告によると、国内ブランドを装ったフィッシングサイトの件数は31件から65件に倍増した。詐称するブランドは金融機関がもっとも多く、さまざまな手口を使ってアカウント情報を詐取しようとしていることが確認されている。

JPCERT/CCは、国際的な調整・支援が必要なコンピューターセキュリティのインシデント（脅威となる案件）について、日本の窓口組織として調整活動を行っている一般社団法人で、国内外のインシデントの報告を受け付けている。

12日に発表された昨年10～12月（四半期）の統計情報によると、寄せられたインシデントの報告件数は2501件で、前四半期1718件と比較して46%増加、前年同期と比較すると5% 増加している。

もっとも多いのは、システムの弱点を探索するスキャンの対象となる「スキャン」1624件で、前四半期の1079件から51%増加している。次いで、「フィッシングサイト」314件（前四半期226件）、「Webサイト改ざん」164件（同73件）、閲覧するだけで感染してしまう「マルウエアサイト」131件（同185件）と続く。

■国内ブランドかたるフィッシングの増加、手口の変遷

インシデント全体の13.4% を占める「フィッシングサイト」は、国内ブランド偽装が31件から65件と、110％急伸している。ちなみに、国外ブランドを装った件数は198件（同165件）で、20％の増加だ。偽装ブランドの最多は「金融機関」59.2%で、「ポータル」7.6%、「通信事業者」7.6％、「SNS」4.1%、「企業」3.2%と続く。

国内金融機関を装ったフィッシングの手口についてみると、昨年8月には、メールに実行形式マルウエアを添付してアカウント情報を詐取しようとする手法、同9月には、改ざんサイトにフィッシングサイトを設置してユーザーを誘導する手法が使われた。この四半期（10～12月）には、海外レンタルサーバー上にフィッシングサイトを設置し、DDNSサービスを組み合わせる手法が増加している。また、数週間ごとに標的が変わる現象も見られ、同一の攻撃者ないしグループの関与がうかがえるという。

JPCERT/CCは、この他、「ISPサービスのアカウントを詐取するフィッシング」の事例をあげ、一見して金銭利益に結び付かないように見えるサービスについても、フィッシングが増加していることを確認しているという。

引き続き、セキュリティの基本対策（パスワードの強化と管理、不審メールを開かない、OSやアプリケーションを最新状態に保つ等）に留意して、さまざまなインシデントに備えていただきたい。

（2012/01/18 ネットセキュリティニュース）

【関連URL】
・JPCERT/CC インシデント報告対応レポート [2011年10月1日～2011年12月31日]
http://www.jpcert.or.jp/ir/report.html

情報処理推進機構セキュリティセンター（IPA/ISEC）は、2011年12月のウイルス/不正アクセスの届出状況のまとめを発表した。「今月の呼びかけ」では2011年に目立った「標的型攻撃」と「インターネットサービスの不正利用」を振り返り、2012年も引き続き警戒が必要として、対策を呼び掛けている。

■2011年12月の届出状況

2011年12月のウイルスの検出数は1万3259個で、前月（2万585個）から35.6%減少。届出件数は764件で、前月（1115件）から31.5%減少となった。検出数1位はW32/Netsky（6425個）、2位はW32/Mydoom（4666個）、3位はW32/Downad（674個）だった。不正プログラムの検知状況は、12月は特に目立った動きはなかった。9月に大幅に増加したRLTRAPは、12月前半に1日だけ多く検知された。

不正アクセスの届出件数は7件（11月7件）で、それらすべてに被害があった。被害内容は侵入4件、不正プログラム埋め込み3件。侵入の被害は、Webページが改ざんされていたもの、SQLインジェクション攻撃を受けてデータを削除されたもの各1件。他サイト攻撃の踏み台として悪用されたもの2件。侵入の原因は、脆弱なパスワード設定2件、OSやWebアプリケーションの脆弱性を突かれたもの2件。

ウイルスや不正アクセス関連の相談総件数は1312件（11月1420件）。うち「ワンクリック請求」関連が333件（11月418件）、「偽セキュリティソフト」関連が8件（11月11件）、Winny関連が7件（11月35件）、「情報詐取を目的として特定の組織に送られる不審なメール」関連が6件（11月1件）などだった。

■「標的型攻撃」多発～だましの手口を知って対策を

近年のサイバー攻撃は「いたずら」や「能力誇示」から「金銭目的」「組織活動の妨害」に変化しているが、2011年は特に、防衛関連企業の情報流出（9月)や、衆議院・参議院へのサイバー攻撃（10月）など、攻撃対象を絞った「標的型攻撃」が多発した。標的型攻撃では、狙った相手に個別に作成したウイルスメールが送られる。差出人やメール本文で関係者を装い、ウイルス対策ソフトでは検出されにくいウイルスが使われることが特徴だ。
ウイルス感染には、次のような手口が使われている。
(1) データファイルやWebサイト閲覧に利用するアプリケーションの脆弱性を悪用して感染させる
(2) 添付ファイルの拡張子を、RLO(Right-to-Left Override)を使って偽装し、実行ファイルではなく文書ファイルと思わせてクリックさせ感染させる

対策はまず、OSやアプリケーションを常に最新状態に保つことで、IPAは「MyJVNバージョンチェッカ」（下欄URL参照）の活用をすすめている。また、標的型攻撃のメールを見抜くこと、不審メールを受信したら組織内で周知するといった人的対策も重要だ。

■「不正利用」多発～ID/パスワードの使いまわしに注意

2011年に発生したインターネット不正利用は、ISPでの第三者のなりすましによるポイント盗難（5月）、ECサイトでのクレジットカード情報流出（5月）、国内銀行のネットバンキング不正利用、出版社サイトへの不正アクセスによる個人情報・カード情報の漏えい（8月）、大手ショッピングサイトの大規模な不正利用（11月）など。ウイルス感染とフィッシング詐欺によりID/パスワードが窃取され、複数サービスで同じID/パスワードを使いまわす例が多いことから被害が拡大したとみられる。
IPAは対策として、IDとパスワードの適切な管理（下欄URL参照）、OSやプログラムの最新化とウイルス対策ソフトの利用、ログインをメールで通知する機能（ログインアラート機能）の利用などをすすめている。

■金銭が絡むサービスは全て狙われ、無料サービスもPW狙いで標的に

2012年は「企業は情報が狙われ、個人は金銭が狙われる」傾向がより強まり、特に金銭が絡むサービスは全て脅威にさらされると、IPAは予測する。標的型攻撃は、特定の業界や政府機関だけではなく、あらゆる業種の企業に大きな脅威になるという。昨今広まりをみせるSNSでは、他人の交友関係の把握が容易なことから、誰でも「踏み台」として狙われることが考えられる。また、今までは狙われなかった金銭とは関係のない無料サービスも、パスワードの取得を目的とした攻撃対象になるおそれがある。

IPAは、有料・無料に関係なく安易なパスワードは避け、さらにパスワードは使い回さないよう、改めて警告している。

（2012/01/16 ネットセキュリティニュース）

【関連URL：IPA】
・コンピュータウイルス・不正アクセスの届出状況[12月分および2011年年間]について
http://www.ipa.go.jp/security/txt/2012/01outline.html
・ウイルスを使った新しいフィッシング詐欺に注意！
http://www.ipa.go.jp/security/txt/2011/10outline.html
・パスワード ぼくだけ知ってる たからもの
http://www.ipa.go.jp/security/txt/2011/06outline.html
・『新しいタイプの攻撃』の対策に向けた設計・運用ガイド
http://www.ipa.go.jp/security/vuln/newattack.html
・「MyJVNバージョンチェッカ」（パソコン内のソフトウェアをチェックするツール）
http://jvndb.jvn.jp/apis/myjvn/#VCCHECK

情報処理推進機構セキュリティセンター（IPA/ISEC）は6日、2011年1年間のコンピューターウイルス、不正アクセスの届出状況のまとめを発表した。

ウイルスの届出数は大幅に減少したが、種類は増えており、とくにAndroid端末対象の新種ウイルスが目立った。不正アクセスでは、CMS（Contents Management System）の脆弱性を悪用したWebサイト改ざん被害、「なりすまし」によりオンラインサービスを勝手に使われる被害、他のコンピュータを攻撃する踏み台に悪用される被害などが目立った。

IPAは被害を防ぐ対策として、OSやアプリケーションソフトのアップデート、パスワードの強化と管理など基本的セキュリティ対策の実施を呼びかけている。

■ウイルス数は減少、初出ウイルス20種のうち7種は携帯端末対象

2011年のウイルスの届出数は1万2036件で、2010年の1万3912件から13.5％の減少となった。ウイルス届出数は2005年の5万4174件をピークに、2006年以降は年々減少している。IPAでは、大規模な感染拡大を引き起こす大量メール配信型のウイルスが出現していないことがその原因とみている。

2011年に届出されたウイルスは125種類（2010年101種類）で、2011年に初めて届出されたウイルスは20種類（2010年5種類）。そのうち7種類は携帯端末のウイルスで、すべてAndroid OSを感染対象としたものだった。検出数が多かったのは、上から順に「W32/Netsky」「W32/Mydoom」「W32/Autorun」となっている。

■不正アクセス届出数は半減、「原因不明」43%

不正アクセスの年間届出数は103件で、2010年の197件から94件（約48％）減少した。前年に比べ、「侵入」は67件から39件に、「アクセス形跡（未遂）」は68件から21件に減少し、結果として被害の総件数が140件から81件に減少した。実際にあった被害内容の届出については、「ホームページ改ざん」が35件から13件に、「ファイルの書き換え」が20件から4件に、「オンラインサービスの不正利用」が35件から17件に、大きく減少している。

実害があった届出を原因別分類にみると、「ID・パスワード管理・設定の不備」が15件（20％）、「古いバージョン使用・パッチ未導入など」が12件（16%）、「設定不備」が11件（15%）となる。「原因不明」は32件（43%）で半数近くを占めており、不正アクセスの手口の巧妙化がうかがえる。

■基本的セキュリティ対策の実施を確実に

原因不明なケースが多いとはいえ、基本的セキュリティ対策を実施していれば被害を免れていたと思われるとして、IPAは個人ユーザーは以下の点に注意するよう呼びかけている。

・Windows UpdateやOffice Updateなど､OSやアプリケーションソフトのアップデート
・パスワードの設定と管理：複雑化する、安易に他人に教えない、使い回しをしない、など。
・ルータやパーソナルファイアウォールの活用
・無線LANの暗号化設定確認：WEPは使用せず、できる限りWPA2を使用する。

（2012/01/13 ネットセキュリティニュース）

【関連URL：IPA】
・2011年のコンピュータウイルス届出状況[PDF]
http://www.ipa.go.jp/security/txt/2012/documents/2011all-vir.pdf
・2011年のコンピュータ不正アクセス届出状況[PDF]
http://www.ipa.go.jp/security/txt/2012/documents/2011all-cra.pdf
・今月の呼びかけ「無線LANを他人に使われないようにしましょう！」
http://www.ipa.go.jp/security/txt/2011/04outline.html

12月下旬から、オンラインゲームのユーザーを狙ったフィッシングメールの大量配布が続いてる。「真・女神転生IMAGINE」をかたるメール、「MK-STYLE」をかたるメールに続き、現在、「ハンビットステーション」をかたるメールが出回っている。また、12日からは、MasterCardのフィッシングメールも大量に飛来しており、週末にかけて攻撃が続くとみられるので、ご注意いただきたい。

・オンラインゲームユーザーを狙うフィッシング

ハンビットステーションをかたるフィッシングメールは、送信者を「ハンビットステーション運営チーム」と偽称し、件名を「ハンビットステーション運営チーム 流失したとの情報を確認いたしました」として届く。メール本文では、他社で数千万件規模の会員情報が流出したので本人確認の認証を行うとして、オンラインゲーム「グラナダ・エスパダ」の偽サイトへと誘導し、ID/パスワードをだまし取ろうとする。

ハンビットステーション運営チームでは、同社のサイトはすべて「http://www.hanbitstation.jp/」から始まっており、開いたページのURLがこれと異なる場合は偽サイトだとして注意を呼びかけている。

今回見つかったメールは、件名、メール本文ともに「真・女神転生IMAGINE」「MK-STYLE」のときと構成が同じだ。偽サイトがシンガポールのサーバーに設置されていることもと共通している。3件とも同一犯の仕業である可能性が高く、同様のフィッシングが、今後、他社のサービスにも広がるおそれがあるので、警戒していただきたい。

・MasterCardのフィッシングも大量に飛来中

12日から、MasterCardをかたる英文のフィッシングメールも出回っている。当編集部では、いつも通り、下記5種類の件名のフィッシングメールを確認している。

MasterCard Account Holder　
Message Regarding Your MasterCard　
Regarding Your MasterCard
Important MasterCard Alert　
MasterCard Alert

この5件の件名は、一昨年から全く変わらず継続して使われている。1サイトに5セットずつ偽サイトが設置されていることも変わらない。メールに書かれたURLをうっかりクリックしたり、誘導先で情報を入力したりすることのないよう注意していただきたい。カード会社や金融機関が、顧客にメールを送って口座や個人情報をたずねることはない。こうした内容のメールを受け取ったら、ただちに削除することをお勧めする。

（2012/01/13 ネットセキュリティニュース）

【関連URL】
・【重要】弊社を騙るフィッシングメールについて（ハンビットステーション）
http://www.hanbitstation.jp/news/view.asp?gm=112&cg=1&no=1060
・ハンビットステーション(グラナド・エスパダ)を騙るフィッシング(2012/1/13)（フィッシング対策協議会）
http://www.antiphishing.jp/news/alert/hanbitstation_2012113.html

インターネットオークションを悪用して英会話教材の海賊版を販売していた東京都の男性が、著作権法違反（海賊版頒布）容疑で逮捕された。この海賊版教材は少なくとも90名が購入していることがわかっている。うっかり違法行為にかかわってしまうことがないよう、海賊版購入のリスクを知っておきたい。

■海賊版のワナ～正規価格より大幅に安い値段で販売

京都府警生活経済課と伏見署は10日、インターネットオークションを悪用し、権利者に無断で複製した外国語会話教材を販売していた東京都立川市の無職男性（40歳）を、著作権法違反（海賊版頒布）の疑いで逮捕した。

コンピュータソフトウェア著作権協会（ACCS）によると、男性は2010年11月20日頃、エスプリラインが著作権を持つ「スピードラーニング英語（全48巻）」（正規品価格16万1280円）が記録された携帯型デジタル音楽プレイヤー3台を、兵庫県姫路市の女性ら3名に対し、計5万9500円で販売した疑いがもたれている。警察の調べによると、男性は2010年11月だけでも、90名に対し同様の携帯型デジタル音楽プレイヤー90台を販売し、約200万円を売り上げていたとみられている。

■ネットオークションで海賊版を購入する3つのリスクとは

前記のように、販売にネットオークションが使われ、少なくとも90名がこれを購入していた。ACCSは、資料「これって違法？～海賊版の見分け方」の中で、ネットオークションで海賊版を購入することによるリスクを3つ挙げている。

（1）個人情報を悪用されるリスク：購入により、住所や電話番号などを出品者に提供することになる。海賊版の販売には、暴力団などの犯罪組織が関与している場合もある。

（2）著作権侵害に関するリスク：出品者が刑事摘発された場合、購入者も捜査対象となることがある。違法であると知りながら購入した海賊版を業務で使用することは著作権侵害となり、刑事罰や損害賠償請求などの対象になる。海賊版の業務使用による摘発事例については、下記を参照されたい。
・海賊版ビジネスソフトの業務使用で会社経営者と法人を送致（ACCS）
http://www2.accsjp.or.jp/criminal/2011/1037.php
・海賊版の業務使用で全国初、代表取締役男性と法人を送致（ACCS）
http://www2.accsjp.or.jp/criminal/2010/1026.php

（3）ソフトウェアの使用に関するリスク：正常にインストールできる保証がない。メーカーのユーザーサポートを利用できない。アップグレードもできない。ウイルスが混入していることもある。

海賊版であることを知らずにソフトウェア等を購入してしまった場合の対処法については、下欄に挙げたACCSの資料、および政府模倣品・海賊版対策総合窓口が公開している資料をご覧いただきたい。

（2012/01/13 ネットセキュリティニュース）

【関連URL】
・教材をコピーした携帯型デジタル音楽プレイヤーを販売、男性を逮捕（ACCS）
http://www2.accsjp.or.jp/criminal/2011/1169.php
・これって違法？～海賊版の見分け方（ACCS）
http://www.ihokamo.net/copyright_pirate.html
・こんな被害にはこんな対策を！「相談案件事例集」～海賊版を落札（政府模倣品・海賊版対策総合窓口）
http://www.meti.go.jp/policy/ipr/soudanjirei/kaizoku.html

国内のスマートフォンユーザーを狙うワンクリック詐欺サイトが、「ワンクリックウェア」を使い始めた。ターゲットは Android OS を搭載したスマートフォンやタブレット端末で、トレンドマイクロが11日、ブログで詳細を紹介し注意を呼びかけている。

今回見つかった詐欺サイトは、ワンクリックウェアを動画再生用のアプリだとして、インストールを要求してくる。動画を見たいユーザーが指示に従ってこれをインストールすると、利用料金の請求画面が数分おきに表示される状態になってしまう。

この請求画面には、端末の電話番号が表示されている。トレンドマイクロによると、電話番号がアプリを通じて実際に詐欺サイト側に渡っている可能性があり、請求の電話がかかってくることも否定できないという。

このワンクリックウェアが狙っているのは、Android端末のみだ。iPhoneの場合は、同じサイトにアクセスすると、これまでに見つかっていた詐欺サイトと同様に「登録完了」の画面を出して脅してくる。この場合は、脅しは無視してブラウザを閉じてしまえば、以後、何も起こらない。

本通信では昨年11月に、スマートフォンを狙うワンクリック詐欺サイトが出現したことをお伝えした。この時点では、今回のiPhoneのケースと同様、「登録が完了しました」などという脅しは無視してブラウザを閉じてしまえば、それ以上の悪さはせず、個人情報漏えいの心配もなかった。

執拗な請求画面の表示や電話番号漏えいの可能性がある今回のワンクリックウェアは、感染するとやっかいだ。セキュリティ対策ソフトでは「Android FakeTimer.A」などの名称で検出されるが、問題の詐欺サイトでは仕掛けるファイルをアップデートしており、アップデート後は検出率が下がってしまう状況となっている。アプリのダウンロードは、くれぐれも慎重に行っていただきたい。

（2012/01/12 ネットセキュリティニュース）

【関連URL】
・スマホを狙ったワンクリックウェアを確認。執拗に請求画面を表示し、電話番号の流出も（トレンドマイクロ セキュリティブログ）
http://blog.trendmicro.co.jp/archives/4714
・ANDROIDOS_FAKETIMER.A［英文］（Trend Micro）
http://about-threats.trendmicro.com/Malware.aspx?language=us&name=ANDROIDOS_FAKETIMER.A

【関連記事：ネットセキュリティニュース】
・スマートフォンを狙うワンクリック詐欺、シマンテックが注意呼び掛け（2011/11/28）

アドビシステムズは11日、深刻な脆弱性複数を修正したAdobe Reader/Acrobatの最新版「10.1.2」と「9.5」を公開した。対象となるのは、Adobe Reader X/Acrobat Xの10.1.1以前（Windows版/Macintosh版）、9.4.7以前（Windows版）、9.4.6以前（Macintosh版）。

最新版では、メモリ―破壊が起こる脆弱性など、コード実行につながるおそれのある脆弱性が複数修正されており、同社は脆弱性のセキュリティ緊急度を最も高い「Critical」と位置づけている。

今回修正された脆弱性のうち2件については、昨年12月にゼロデイの状態で悪用が確認され、同社では12月17日、定例外のアップデートとしてWindows版の「9.4.7」を公開してこれに対処。バージョンX（10.x）については、保護モード（Adobe Reader X）または保護されたビュー（Acrobat X）で攻撃を阻止できるとしてその時点での対応を見送り、今回の定例アップデートで対処した。

なお「9.4.7」にアップデート済みのユーザーも、上記2件とは別の脆弱性が修正されているため、今回公開された「9.5」への更新が必要だ。

Adobe Reader Xの保護モードおよび、Acrobat Xの保護されたビューは、絶対に安全とまでは言い切れないものの攻撃の回避にかなり役立つようで、これまでのところ、これらを突破した攻撃は確認されていない。バージョン9.xなど古いバージョンのAdobe Reader/Acrobatを使っている方は、ぜひバージョン Xへの移行を検討していただきたい。

Adobe Reader Xの保護モードは、初期状態で有効に設定されている。インストール後に設定を変更された方は、「編集」→「環境設定」→「一般」の順に選択し、「起動時に保護モードを有効にする」にチェックを入れると有効になる。

Acrobat Xの保護されたビューは、初期設定で無効に設定されているので、「編集」→「環境設定」→「セキュリティ（拡張）」の順に選択し、「拡張セキュリティを有効にする」にチェックを入れて、「安全でない可能性のある場所からのファイル」を選択する。

（2012/01/11 ネットセキュリティニュース）

【関連URL】
・APSB12-01：Adobe ReaderおよびAcrobatに関するセキュリティアップデート公開（アドビシステムズ）
http://kb2.adobe.com/jp/cps/928/cpsid_92823.html

【関連記事：ネットセキュリティニュース】
・アドビ、ゼロデイ攻撃に対処したWindows版「Adobe Reader/Acrobat 9.4.7」公開（2011/12/19）
・【ゼロデイ攻撃】Adobe Readerの未修整の脆弱性を狙う攻撃発生（2011/12/07）

マイクロソフトは11日、1月度の月例セキュリティパッチ（セキュリティ更新プログラム）を公開した。公開されたパッチは、最も深刻な「緊急」1件を含む7件。Windows、Windows Serverと、同社の開発者用ツールおよびソフトウェアが影響を受ける。

【更新プログラムの内容】
［緊急］
・Windows Media：リモートでコードが実行される脆弱性

［重要］
・Windowsカーネル：セキュリティ機能がバイパスされる脆弱性
・Windowsオブジェクトパッケージャー：リモートでコードが実行される脆弱性
・Windowsクライアント/サーバーランタイムサブシステム：特権が昇格される脆弱性
・Windows：リモートでコードが実行される脆弱性
・SSL/TLS：情報漏えいが起こる脆弱性
・AntiXSS Library：情報漏えいが起こる脆弱性

このほか、新たにSefinitに対応した「悪意のあるソフトウェアの削除ツール」の更新バージョンも公開された。

なお、マイクロソフトでは先月30日、.NET Framework用の緊急パッチ（MS11-100）を公開している。同社は「日本のセキュリティチームのブログ」において、このパッチに限らずすべての .NET Framework用のパッチについて、インストールに時間がかかる場合があるが途中で電源を落とさないようにと呼びかけている。これは、無理に電源を切るとシステムのファイルが破損してしまい、次回.NET Frameworkの更新プログラムをインストールしようとした際に失敗してしまう可能性が高くなるため。詳細については、同ブログの昨年8月の記事「.NET Framework セキュリティ更新プログラムのインストールに関する注意」を参照してほしいとしている。

（2012/01/11 ネットセキュリティニュース）

【関連URL：マイクロソフト】
・セーフティとセキュリティセンター
http://www.microsoft.com/ja-jp/security/default.aspx
・2012年1月のセキュリティ情報
http://technet.microsoft.com/ja-jp/security/bulletin/ms12-jan
・Microsoft Update
http://windowsupdate.microsoft.com/
・2012年1月のセキュリティ情報（月例）（日本のセキュリティチームのブログ）
http://blogs.technet.com/b/jpsecurity/archive/2012/01/11/3474813.aspx
・.NET Framework セキュリティ更新プログラムのインストールに関する注意（日本のセキュリティチームのブログ）
http://blogs.technet.com/b/jpsecurity/archive/2011/08/05/3445234.aspx

2011年12月末、メーリングリストの設定ミスにより、個人情報を含む裁判資料や裁判員候補者名簿がネット上に流出していたことが明らかになった。また、この件を受けて日本弁護士連合会が調査を行ったところ、県弁護士会執行部のメーリングリストから、会員弁護士への苦情を申し立てた人の個人情報が流出していたこともわかった。漏えいの原因と、漏えいさせないための対策をまとめた。

■メーリングリストとは

メーリングリストはメールを使って情報交換を行うためのシステムで、参加者が専用アドレスにメールを送る（投稿する）と、参加者全員にそのメールが配信される。配信されたメールに返信すると、そのメールも参加者全員に配信される。同じ趣味を持つ人が集まって情報交換をしたり、自由におしゃべりを楽しむようなオープンなメーリングリストもあるし、サークルのメンバーに活動予定を知らせる、仕事の情報を共有するなどの目的で、参加者を限定して運営されているメーリングリストもある。

メーリングリストに投稿されたメールは多くの場合、参加者に配信されるだけでなく、アーカイブとして保存・公開される。アーカイブは、誰でも読める状態にもできるし、メーリングリスト参加者のみが読めるようにしたり、管理者だけが読めるようにすることもできる。

また、メーリングリストは、管理者からの「お知らせ」を流すのみの一方向な使い方もできる。投稿できる人を管理者のみに制限すると、参加者はメールを受け取ったりアーカイブを閲覧したりするすることはできるが、自分から情報を発信することはできない。このため、管理者が配信するメールマガジンを受け取るのと同じ状態となる。

今回、情報漏えいが明らかになった2つのケースは、どちらもある無料サービスを利用してメーリングリストを開設・運営しており、アーカイブを「掲示板」の形で保存、公開できるようになっていた。

■メーリングリストから情報が流出した原因

2件とも、漏えいの直接の原因は、メーリングリスト管理人の設定ミスだった。

裁判資料や裁判員候補者名簿が流出したケースでは、問題のメーリングリストに参加者の制限がかけられていなかった。このため、何らかの方法でこのメーリングリストを発見した第三者が勝手に登録・参加して、弁護士や事務担当者がやり取りした情報のアーカイブを閲覧できる状態となっていた。時事通信によると、弁護士の所属する法律事務所とは無関係のメールアドレスが10個前後、メーリングリストに登録されていたという。

もう1件、苦情申立人の情報が流出したケースでは、担当者が年度ごとにメーリングリストを新しく作成して利用していたが、2008年度と2010年度のアーカイブに閲覧制限がかかっておらず、誰でも情報を閲覧することができる状態となっていた。

またこれらのケースでは、設定ミスのほかにもうひとつ問題がある。メーリングリストのシステムでは、通常のメールでのやり取りと同様に、データが平文（暗号化されていない状態）で流れている。このため、通信を盗聴されると、メールの中身を簡単に第三者に見られてしまう。裁判関係資料など絶対に他人に見られてはいけない業務情報を受け渡す場合は、メーリングリストを使うのは望ましくない、ということに留意したい。

■漏えい対策～「参加者制限」「アーカイブ閲覧制限」および投稿内容に注意

第三者に見られたくない内容を扱うメーリングリストを開設する際は、「参加者の制限」と「アーカイブ閲覧の制限」をしっかりと行いたい。今回取り上げた2つのケースでは、どちらも複数のメーリングリストを使って業務上の情報をやり取りしていたが、制限を正しくかけたメーリングリストと、かけていなかったメーリングリストが混在していたことがわかっている。うっかりミスに十分注意していただきたい。

さらにメーリングリストの管理者と参加者は、上に書いたように、メーリングリストへの投稿内容が平文で流れていることを理解しておこう。絶対に漏れてはいけないデータのやり取りにメーリングリストを使ってはいけない。

不特定多数の人が利用できるメーリングリストに参加するときは、投稿内容に個人を特定できるような情報が含まれないよう気を付けよう。どのように悪用されるかわからない。自分が参加しているメーリングリストについて、アーカイブの公開範囲を確かめておくこともおすすめしたい。過去の投稿内容が第三者から丸見えになっているかもしれない。

また、メーリングリストを管理者からの情報発信のみに利用しているケースで、本来受け付けないはずの参加者からの投稿が何らかの原因で受け付けられてしまい、メーリングリストに流れる事故が、ときどき起きている。メーリングリストの管理者は今一度、そのあたりの設定を確認しておくことをお勧めする。

（2012/01/10 ネットセキュリティニュース）

【関連URL】
・新着情報2011/12/28（岐阜県弁護士会）
http://www.gifuben.org/gifuben/topics/getTopicsAllList.do?startNo=0
・お詫びとご報告（2012年1月6日）（北千住パブリック法律事務所）
http://www.kp-law.jp/information/news/201201/571

グーグルは6日、Webブラウザ「Google Chrome」の最新安定版「16.0.912.63」を公開した。対象となるのは、Windows、Mac、Linux、およびInternet Explorer用のプラグイン「Chrome Frame」で、最新版への更新は自動的に行われる。

今回修正された脆弱性は、解放したメモリーを再利用してしまう問題1件と、バッファオーバフローが起こる問題2件の計3件。いずれも悪用されるとコード実行につながるおそれがあり、危険度が4段階の上から2番目「高」と評価されている。

（2012/01/06 ネットセキュリティニュース）

【関連URL】
・Stable Channel Update[英文]（Google Chrome Releases）
http://googlechromereleases.blogspot.com/2012/01/stable-channel-update.html

マイクロソフトは6日、今月11日に公開が予定されているセキュリティ更新プログラム（修正パッチ）の概要を発表した。リリース予定のセキュリティ更新プログラムは、4段階評価で深刻度が最も高い「緊急」1件と、2番目に高い「重要」6件の計7件。

「緊急」の脆弱性は、Windows 7/Vista/XP、およびWindows Server 2003/2008/2008 R2に影響する問題で、リモートでコードが実行されるおそれがある。

「重要」6件のうち5件がWindows関連の脆弱性で、リモートコード実行の問題2件と、セキュリティ機能のバイパス、特権昇格、情報漏えいの問題が含まれている。これら5件のうち、Windows 7/Server 2008 R2には3件、Windows Vista/Server 2008には4件、Windows XP/Server 2003には5件が影響する。残る「重要」1件は、情報漏えいのおそれがある問題で、同社の開発者ツールとソフトウェアが影響を受ける。

このほか、「Windows Update」「Microsoft Update」などで、セキュリティ以外の優先度の高い更新プログラムと、「悪意のあるソフトウェアの削除ツール」の更新バージョンのリリースも予定されている。

（2012/01/06 ネットセキュリティニュース）

【関連URL】
・マイクロソフト セキュリティ情報の事前通知 - 2012 年 1 月（マイクロソフト）
http://technet.microsoft.com/ja-jp/security/bulletin/ms12-jan
・セキュリティ情報（マイクロソフト）
http://technet.microsoft.com/ja-jp/security/bulletin/

無線LANの設定を自動的に行うWPS(Wi-Fi Protected Setup)にPIN認証が突破され、設定情報を盗み取られる問題があるとして、セキュリティ機関やセキュリティベンダーが注意を呼び掛けている。昨年末に脆弱性情報やツールが公開されており、悪用されると無線LANルーターなどの親機が、第三者に無断で使われるおそれがある。

WPSは、面倒な無線LANの設定を自動的に行う仕組みで、接続したい親機と子機の双方のボタンを同時に（親機に続いて数分以内に子機）押すプッシュボタン認証方式と、PINコードを入力するPIN認証方式が用意されている。

PIN認証方式は、親機に設定した暗証番号と同じものを子機側に入力し、親機の認証を経て接続に必要な情報を親機から取得。これを用いて子機を自動的にセットアップする仕組みだが、PINコードを変えながら繰り返し認証を行う、いわゆるブルートフォース攻撃を仕掛けることで、正しいPINをあぶり出し、認証を通過されてしまう親機があることが判明した。

認証突破に必要な時間は、親機が攻撃を許容する回数やインターバルに大きく左右されるが、攻撃に対抗する機能が全く備わっていない場合には、最大でも数時間程度で認証を突破できるという。ネット上では、公開されているツールを使用して数十分で設定情報が取得できたという報告もあがっている。認証が通れば、親機は暗号化キーを含む接続に必要な全ての情報を子機に渡してしまうので、子機はその後、親機に自由に接続できるようになる。親機の先がインターネットにつながっていれば、インターネット回線を勝手に使われてしまうのだ。

無線LAN親機のWPS機能は、子機を新たに追加する時や親機の設定変更に伴う子機の再設定時以外は不要なので、子機のセットアップが終わったら無効にしておくことをお勧めする。無効化の方法は機種によって異なり、ボタン方式とPIN方式を個別に無効化できるもの、どちらかを選択するともう一方が無効になるもの、両方を同時に無効化できるもの、セットアップの終了後に自動的に無効化されるものなどがある。WPSのPINコード認証が無効ならば、この攻撃を受けることはない。

（2012/01/06 ネットセキュリティニュース）

【関連URL】
・Wi-Fi Protected Setup に脆弱性（JVN）
http://jvn.jp/cert/JVNVU723755/
・Wi-Fi Protected Setup (WPS) PIN Brute Force Vulnerability[英文]（SANS Institute）
http://isc.sans.edu/diary.html?storyid=12292
・VU#723755：WiFi Protected Setup PIN brute force vulnerability[英文]（US-CERT）
http://www.kb.cert.org/vuls/id/723755
・Most Wi-Fi routers susceptible to hacking through security feature[英文]（Sophos）
http://nakedsecurity.sophos.com/2011/12/30/most-wi-fi-routers-susceptible-to-hacking-through-security-feature/

マイクロソフトは2011年12月30日、「.NET Framework」の脆弱性を修正する、定例外のセキュリティ更新プログラム（パッチ）を公開した。定例外での公開は、脆弱性の詳細情報が一般に公開されたことと、セキュリティ更新プログラムの品質が確保できたと判断したためとしている。

対象となるのは、Windows 7/Vista/XPおよびWindows Server 2008 R2/2008/2003上の.NET Framework 4/3.5.1/3.5/2.0/1.1で、アップデートは、Windowsの自動更新機能を通じて自動的に行われる。

.NET Frameworkは、同社の開発言語などで書かれた.NETアプリケーションの実行環境のことで、XP以降のWindowsに標準で含まれている。今回のセキュリティ更新プログラムでは、この.NET Frameworkの一部であるWebアプリケーション用のASP.NETに関する、4件の脆弱性を修正する。WindowsのIIS（Internet Information Server）を使用しているWebサーバーで、ASP.NETをインストールしている場合に、今回の脆弱性が影響する。

修正されたのは、ハッシュテーブルの衝突でサービス拒否を引き起こす脆弱性、フォームの認証でのなりすましの脆弱性、および2件の特権昇格の脆弱性。サイト上で任意のコマンドが実行できる特権昇格の問題が含まれているため、深刻度は4段階評価で最も高い「緊急」となっている。

同社が、公開を前倒しにした理由としてあげている、一般に公開された脆弱性は、4件の中のハッシュテーブルの衝突でサービス拒否を引き起こす問題で、深刻度は上から2番目の「重要」と評価されている。

ハッシュというのは、入力データから生成する疑似的な乱数のことで、生成されるハッシュが同じ値になってしまうことをハッシュの衝突という。Webプログラミング言語では、データを高速に処理するために自動的にハッシュを生成し、ハッシュテーブルに設定することがよく行われるが、このようなWebサーバーに対しハッシュが衝突するようなデータばかりを入力すると、Webサーバーに高い負荷がかかってしまい、サービスがとどこおる「サービス拒否」を引き起こす。

この問題は、12月28日にドイツで開催されたイベント「Chaos Communication Congress」で発表されたもので、ASP.NET以外にも、PHPやJava、Python、Rubyなど様々なWebプログラミング言語が影響を受ける。

（2012/01/05 ネットセキュリティニュース）

【関連URL：マイクロソフト】
・MS11-100 - 緊急：.NET Framework の脆弱性により、特権が昇格される
http://technet.microsoft.com/ja-jp/security/bulletin/MS11-100
・セキュリティ アドバイザリ：ASP.NET の脆弱性により、サービス拒否が起こる
http://technet.microsoft.com/ja-jp/security/advisory/2659883
・Microsoft Update
http://windowsupdate.microsoft.com/