ネットセキュリティニュース

編集部では、飛来するメールやWeb上の情報を元に、国内のブランドや国内でホストされているフィッシングサイトについて観測を行っている。2月に観測した日本国内に関係するフィッシングサイトは、1月から31件少ない43件だった。

43件のうち、偽サイト本体が設置されていたものは33件。残り10件は、他所に設置した偽サイトにリダイレクトする中継サイトとして使われた。悪用されたサーバーは、不正アクセスを受けた一般のWebサイトとみられるものが39件。ホスティングサービスの悪用が4件。

悪用されたブランドは、PayPal（8件）、Bradesco（5件）、CartaSi（5件）、Santander（4件）、ほか計17ブランド。国内関連は、ゆうちょ銀行（2件）のみだった。Yahoo! JAPANをかたるフィッシングメールの報告はあったが、サイトは確認できなかった。

■国内ユーザーを狙うフィッシングが大幅減

編集部が行っているフィッシングサイトの調査では、国内のユーザーを標的とした偽サイト（国内ブランドや日本語の偽サイト）、国内のサーバーやユーザーのパソコンを使用した偽サイト、JPドメインの海外サーバーを使用した偽サイトを集計している。2月は、この中の国内のユーザーを標的とした偽サイトが、ほとんど観測されなかったため、件数の大幅な減少となった。フィッシング対策協議会の月例報告も同様の傾向を示しており、2月の報告件数は前月から110件減少の9件、フィッシングサイトのURL件数は33件減少の7件となっている。

一方、国内のサーバーなどを使って開設される偽サイトについては、1月の44件に対し2月は41件と微減にとどまっている。悪用されるサーバーの多くは、不正アクセスを受けた一般のWebサイトが占めており、2月は41件中39件が、1月は44件中38件がクラックされた国内の一般サイトだった。不正アクセスの手段として昨秋から特に目立っているのが、ブログシステム「WordPress」の脆弱性を突いたもの。2月も39件中13件（1月は38件中7件）が、WordPressの脆弱性攻撃によるものと見られる。

不正アクセスを受けた国内の一般サイトに設置される偽サイトは、ほとんどが国外のユーザーを標的としたもので、これまでは欧米のユーザーを狙ったものが多くを占めていた。ところが最近は、南米のユーザーを狙ったものも目立っており、2月に国内サイトに設置されてた事例では、先にあげたブラデスコ銀行（Bradesco）のほか、イタウ銀行が2件、ブラジル銀行が1件、ブラジル最大の航空会社、TAM航空の偽サイトが1件見つかっている。

■不正アクセス禁止法改正案が国会へ

昨年から多発している国内の銀行を狙ったフィッシングが、2月も観測された。不正送金や現金の引き出しに関わった中国籍の容疑者が、これまでに何人か逮捕されているが、フィッシングやウイルスを仕掛けている黒幕は、いまだ健在のようだ。

フィッシングなどの多発を受けて、不正アクセス禁止法改正案（不正アクセス行為の禁止等に関する法律の一部を改正する法律案）が、2月21日に国会に提出された。3月23日には衆議院を通過し、29日に参議院の審査が終了。まもなく審議を終えて可決される見込みだ。

改正案では、法定刑が現行の「1年以下の懲役または50万円以下の罰金」が「3年以下の懲役または100万円以下の罰金」に引き上げられるほか、他人のID/パスワードを不正に取得する行為などの禁止が盛り込まれている。不正アクセスを目的としたID/パスワードの取得や保管は処罰の対象となり、フィッシングサイトの開設やフィッシングメールの送信については、ID/パスワードの取得に至らなくても、不正に要求する行為として禁止される。また、不正アクセス助長行為として規制されていた、ID/パスワードの提供については範囲が拡張され、特定のアクセス先の情報はもとより、アクセス先が不特定の場合も対象となる。

（2012/03/30 ネットセキュリティニュース）

【関連URL】
・2012/2 フィッシング報告状況（フィッシング対策協議会）
http://www.antiphishing.jp/report/monthly/201202.html
・国会提出法案（警察庁）
http://www.npa.go.jp/syokanhourei/kokkai/index.htm
・審議経過情報（衆議院）
http://www.shugiin.go.jp/itdb_gian.nsf/html/gian/keika/1DB087A.htm

グーグルは29日、同社のWebブラウザの最新安定版「Google Chrome 18.0.1025.142」を公開した。対象となるのは、Windows、Mac、Linux、およびInternet Explorer用のプラグイン「Chrome Frame」で、最新版への更新は自動的に行われる。

最新版では、危険度が4段階評価で上から2番目「高」3件と、「中」5件、最も低い「低」1件の計9件の脆弱性が修正された。グラフィックスエンジンでのメモリー破壊の問題や解放したメモリーの利用など、コード実行につながるおそれのある問題が解決されている。

このほかに、内蔵されているFlash Playerが同日公開された最新版に更新されており、グラフィックス描画を高速化するための機能拡張も行われている。

（2012/03/30 ネットセキュリティニュース）

【関連URL】
・Stable Channel Release and Beta Channel Update[英文]（Google Chrome Releases）
http://googlechromereleases.blogspot.jp/2012/03/stable-channel-release-and-beta-channel.html
・Moar better graphics[英文]（The Chromium Blog）
http://blog.chromium.org/2012/03/moar-better-graphics.html

アドビシステムズは29日、2件の深刻な脆弱性を修正した、Flash Playerの最新版を公開した。Andoroid 4用の「11.1.115.7」を除く、すべてのバージョンがアップデートの対象となる。2件とも、悪用されるとコード実行の可能性のある危険度の高い脆弱性で、同社は早めにアップデートするよう勧めている。

今回修正された危険度の高い脆弱性は、Windows 7/Vistaに影響するActiveX版（Internet Explorer用）で発生するメモリ破壊の問題と、ActionScriptのNetStreamクラスで発生するメモリ破壊の問題の2件。

アップデート後は、Windows、Mac、Linux向けの「11.1.102.63」およびそれ以前のバージョンは「11.2.202.228」に更新される。Solaris向けの「11.1.102.63」およびそれ以前のバージョンは「11.2.202.223」に更新される。Android 2/3向けの「11.1.111.7」およびそれ以前のバージョンは、「11.1.111.8」に更新される。

システムにインストールされているFlash Playerのバージョンは、下記のバージョン確認ページにアクセスするか、コントロールパネルの「Flash Player」（Android版は「アプリケーションの管理」の「Adobe Flash Player」）で確認できる。複数のブラウザーを利用している場合は、ブラウザーごとに更新を行っていただきたい。

最新版は、WindowsやMacなどのデスクトップ版が同社サイトで、Android版がGoogle Playで配布されている。このほか、Flash Player 11にアップグレードできないユーザー向けには、これら脆弱性を修正したFlash Player 10の最新版「10.3.183.18」が用意されており、同社のアーカイブ版Flash Playerの提供ページからダウンロードできる。

＜Windows版は自動更新をサポート＞
Windows版Flash Playerの更新機能が強化され、これまでのアップデートの通知に加えて、自動的にインストールする機能が追加された。アップデートの適用方法は、インストール時に指定できるようになっており、規定では「新しいアップデートがリリースされたら自動的にインストールする」が選択されている。インストール後の設定変更は、コントロールパネルの「Flash Player」アイコンで「Flash Player 設定マネージャー」を開き、「高度な設定」タブで行える。

（2012/03/30 ネットセキュリティニュース）

【関連URL：アドビシステムズ】
・APSB12-07: Adobe Flash Player に関するセキュリティアップデート公開
http://kb2.adobe.com/jp/cps/933/cpsid_93381.html
・Flash Playerのバージョン確認
http://www.adobe.com/jp/software/flash/about/
・Flash Playerのダウンロード
http://get.adobe.com/jp/flashplayer/
・アーカイブ版 Flash Playerの提供について
http://kb2.adobe.com/jp/cps/228/228683.html
・Archived Flash Player versions[英文]
http://kb2.adobe.com/cps/142/tn_14266.html
・An Update for the Flash Player Updater[英文]
http://blogs.adobe.com/asset/2012/03/an-update-for-the-flash-player-updater.html

修正して間もないJRE（Java Runtime Environment：Java実行環境）の脆弱性を悪用するドライブバイダウンロード攻撃で、攻撃サイトに誘導する踏み台の一部に、不正アクセスを受けた国内のWebサイトが使われていることが、編集部の調べで分かった。

この攻撃は、一般のWebサイトから攻撃サイトへと誘導し、閲覧者の環境に応じた様々な脆弱性攻撃を仕掛けるもの。WindowsやAdobe Reader、JREといった定番ソフトが狙われており、2月に修正されたばかりのJREの脆弱性も悪用されている。

踏み台に使われている一般のWebサイトには、トップページの直下に8文字のランダムな英数字のフォルダが作られ、「index.html」またはJavaScriptファイルの「js.js」が設置される。「index.html」は、英文のスパムメールに記載されたリンク先になっており、大量に投入されている世界各国の一般サイトに混ざり、国内のWebサイトが数件見つかった。この「index.html」は、他の複数のサイトから「js.js」を読み込むようになっており、「js.js」を実行すると攻撃サイトにリダイレクトされる。

攻撃サイトでは、Windowsのヘルプとサポートセンター、Media Player、Adobe Reader、Flash Player、JREを狙った脆弱性攻撃が仕掛けられる。いずれも修正済みの脆弱性だが、ひとつでも未更新のソフトウェアがあると攻撃が成功し、オンラインバンキングやメール、FTPのアカウントを盗み取る機能や、パソコンを外部から制御するためのバックドアの機能などを備えた、Zeus/Zbot系のウイルス（トロイの木馬）をダウンロード、実行してしまう。

英文スパムの攻撃は、国内のユーザーにはほとんど影響がないと思われるが、いつ攻撃に巻き込まれても被害を受けないように、下記の「トピックス」を参考に、ソフトウェアのアップデートを必ず実施しておいていただきたい。また、Webサイトを管理されている方は、サイトに前述のような不審なフォルダやファイルがないか確認しておくことをお勧めする。設置されている場合には、サイトに脆弱性がある可能性と、FTPパスワードを盗み取られた可能性の両方をチェックしていただきたい。

（2012/03/29 ネットセキュリティニュース）

【ウイルス情報】
・PWS:Win32/Zbot.gen!AF[英文]（マイクロソフト）
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=PWS:Win32/Zbot.gen!AF

東京都生活文化局は23日、スマートフォンを狙った架空請求が激増しているとして、注意を呼びかけた。「無料と思い込んでアダルトサイトにアクセスしたら料金請求画面が消えない」という相談だけではなく、「個人情報が抜き取られ、事業者から電話やメールで請求がくる」という相談も寄せられているという。

都が注意を呼びかけている架空請求は、アダルトサイトなどで画面を数回クリック（タップ）すると登録完了画面が突然現れ、高額な料金（3万～10万円）を請求される、いわゆる「ワンクリック詐欺」のこと。従来からのパソコン向けや携帯電話向けのサイトに加え、昨春頃からは、iPhoneとAndroid端末を狙ったスマートフォン向けのサイトが増え始めていた。

都内の消費生活センターに寄せられた架空請求の相談にも、そんな状況が如実に現れており、昨年度に17件だったスマートフォンの相談件数が、今年度は、上半期だけで139件に激増している。

また最近では、動画の再生アプリと称して、Android端末に料金請求画面を表示し続ける悪質なアプリをインストールさせようとする行為が横行しており、消費生活センターにも、そうしたアプリがらみの相談が寄せられているという。紹介されている相談事例には、「携帯電話番号、メールアドレス、現在位置情報が表示され、99,800円の請求画面が消えなくなった」「その後、サイト業者から料金請求の電話があった」「料金請求のメールが届いた」とあり、インストールしたアプリがスマートフォン内の個人情報などを抜き取っている様子がうかがえる。

都は、消費者へ5つのアドバイスをしている。最初の3つは、「アプリのダウンロードにはリスクが伴うことを知っておこう」「執拗な料金請求があっても絶対に支払わず、事業者からの連絡も無視すること」「執拗な請求などに対しては、電話の受信・着信拒否機能、メールアドレス変更などの措置をとること」。4つめは「表示画面はアプリの削除で対応できる」ことを教えている。最後に、「一人で悩まず相談を」として、おかしいと思ったら、すぐに最寄りの消費生活センターに相談するよう勧めている。

（2012/03/27 ネットセキュリティニュース）

【関連URL】
・緊急消費者被害情報　スマートフォンを狙った架空請求が激増！！（東京都）
http://www.metro.tokyo.jp/INET/OSHIRASE/2012/03/20m3n800.htm

2月に修正されたJRE（Java Runtime Environment：Java実行環境）の脆弱性を悪用する攻撃が拡大の兆しを見せており、セキュリティ機関などが注意を呼びかけている。未更新のパソコンでWebサイトを閲覧していると、知らない間にウイルスに感染してしまうおそれがある。

JREは、Javaで書かれたプログラムを実行するために必要なソフトウェア。オンラインで確定申告ができる「e-Tax」で、住基カードを使用する際にもJavaアプリケーションが使われており、JREが必須となっている。

Javaの開発元オラクルは、先月、JREの最新版「JRE 6 Update 31（1.6.0_31）」と「JRE 7 Update 3（1.7.0_3）」をリリースし、13件の脆弱性を修正した。今回悪用が確認されたのは、この最新版で修正された脆弱性のひとつ、配列処理の問題（CVE-2012-0507）だ。

メールのリンクや改ざんされた正規サイトなどから誘導される攻撃サイトに、この脆弱性を悪用した攻撃が仕掛けられており、JREが未更新のパソコンで閲覧すると、偽セキュリティソフトやパソコンを乗っ取るボットなどが勝手にインストールされてしまう。

今回見つかったJREの脆弱性攻撃は、さまざまな脆弱性攻撃をパッケージ化した攻撃ツール（エクスプロイトキット）のひとつに、今月中ごろ実装されたようで、JREのほかにもWindowsやAdobe Reader、Flash Playerといった、さまざまな脆弱性攻撃を仕掛けてくる。

悪用されている脆弱性は、いずれも修正済みのものばかりなので、システムやアプリケーションが最新の状態であれば、Webサイトを閲覧するだけでウイルスに感染してしまうようなことは起きない。アップデートはいずれも無料なので、下記の関連トピックスを参考に必ず実施してただきたい。

（2012/03/26 ネットセキュリティニュース ）

【関連URL】
・2012年2月公開の Java SE の脆弱性を狙う攻撃に関する注意喚起（JPCERT/CC）
https://www.jpcert.or.jp/at/2012/at120010.html
・Javaの脆弱性(CVE-2012-0507)を悪用する攻撃の増加を確認（IBM Tokyo SOC）
https://www.ibm.com/connections/blogs/tokyo-soc/entry/java_exploit_201203221?lang=ja
・An interesting case of JRE sandbox breach (CVE-2012-0507)[英文]（Microsoft Malware Protection Center）
http://blogs.technet.com/b/mmpc/archive/2012/03/20/an-interesting-case-of-jre-sandbox-breach-cve-2012-0507.aspx

グーグルは22日、同社のWebブラウザの最新安定版「Google Chrome 17.0.963.83」を公開した。対象となるのは、Windows、Mac、Linux、およびInternet Explorer用のプラグイン「Chrome Frame」で、最新版への更新は自動的に行われる。

最新版では、Flashゲームでの不具合に対処したほか、8件の脆弱性が修正された。

修正された脆弱性は、危険度が4段階評価で上から2番目「高」6件と、最も低い「低」2件。「高」の脆弱性には、解放したメモリーへのアクセスなど、悪用されると任意のコードが実行されるおそれのある問題が含まれている。

なお、今回のアップデートにも、同社主催のWebブラウザハッキングコンテスト「Pwnium」で使われた脆弱性の修正が含まれており、同コンテンストで使われた脆弱性は、これで全ての修正を終えた。

（2012/03/23 ネットセキュリティニュース）

【関連URL】
・Stable Channel Update（Google Chrome Releases）
http://googlechromereleases.blogspot.jp/2012/03/stable-channel-update_21.html

昨年1年間の不正アクセス行為の発生状況をとりまとめた報告書が、15日に発表された。認知件数・検挙件数は激減しているが、不正アクセス行為後の悪事をみると、「ネットバンキングの不正送金」は前年比で8.5倍に、「ネットショッピングの不正購入」は同14倍に、「オンラインゲームの不正操作」は同1.4倍に増えている。

不正アクセス行為の発生状況は毎年3月、国家公安委員会、総務大臣、経済産業大臣の連名で公表される。15日に発表された報告書をみると、これまでにない数字の飛躍がある。不正アクセス行為の認知件数、検挙件数がともに激減しており、その一方、「ネットバンキングの不正送金」「ネットショッピングの不正購入」は激増している。

■「認知/検挙件数」激減、「検挙事件数・人員」横ばい

認知件数とは、不正アクセス被害の届出を受理した場合や余罪として確認した場合などにおいて、被疑者が行った「構成要件に該当する行為の数」のこと。2005年から2011年までの件数の推移は、946件→1818件→2289件→ 2795件→1885件→889件で、2011年は前年の半分以下に減っている。同じく検挙件数は、703件→1442件→1740件→2534件→1601件→248件という推移で、2011年は2009年の1割以下になっている。
しかし、検挙事件数（検挙人員）は同期間で、84件（130人）→ 86件（126人）→101件（137人）→ 95件（114人）→ 104件（125人）→103件（114人）という推移で、大きな変動はみられない。ちなみに、事件数とは、事件単位ごとに計上した数で、一連の捜査で複数の件数の犯罪を検挙した場合は1事件と数える。2011年は、1事件あたりの検挙件数が激減したことがわかる。
認知・検挙件数激減をもたらしている要素は何か。前年比で激減している項目をみると、「認知件数の内訳」の「国内からのアクセス」（1755件→678件）、「被害を受けたコンピュータのアクセス管理者」の「プロバイダ」（1405件→115件）、「認知の端緒」の「警察活動」（1488件→75件）、「不正アクセス行為後の行為」の「情報の不正入手」（1453件→74件）などがある。情報の不正入手を目的とする国内の不正アクセスが実際に激減してるのか、手口が巧妙化して認知が困難になっているのか、どちらだろうか。

■狙いは「オンラインゲームの不正操作」「不正送金」「不正購入」

不正アクセス後の行為は、「オンラインゲームの不正操作」が358件で最も多い。次いで「ネットバンキングの不正送金」188件、「ネットショッピングの不正購入」172件で、この3項目で全体の8割を占める。「情報の不正入手」は前年に1453件と最多だったが、2011年は74件に留まった。ほかに「ホームページの改ざん・消去」28件、「ネットオークションの不正操作」22件、「不正ファイルの蔵置」4件などがある。

■最も多い手口はフィッシング

他人のID/パスワードなどを不正に利用して行う「識別符号窃用型」が241件で、セキュリティホールの脆弱性を突いて行う「セキュリティ・ホール攻撃型」は1件のみだった。
不正アクセスの手口で最も多いのは、フィッシングサイトを開設して識別符号を入手するもの（59件）、パスワードの設定・管理の甘さにつけ込んだもの（59件）が同数で最も多い。次いで、識別符号を知り得る立場にあった元従業員や知人等によるもの（52件）。このほか、共犯者等から入手（38件）、言葉巧みに聞き出したり、のぞき見した（29件）、スパイウェア等のプログラムを使用して入手（1件）なども発生している。、

■被疑者は10代が最多、動機は「金」

不正アクセスの被疑者は、10歳代51人、20歳代30人で、この年代が全体の71％を占める。動機は、「不正に金を得るため」が97件と最も多く、次いで「嫌がらせや仕返しのため」66件、「オンラインゲームで不正操作を行うため」39件、「好奇心を満たすため」32件、「顧客データの収集等情報を不正入手するため」15件の順となる。
「識別符号窃用型」の不正アクセス行為241件で利用されたサービスをみると、最多は
「ネットショッピング」87件、次いで「オンラインゲーム」51件、「会員専用・社員用内部サイト」48件、「電子メール」23件、「ネットバンキング」14件などとなっている。

■フィッシング対策とパスワードの管理を

不正アクセスの被害を防ぐためには、手口として最も多い「フィッシング」および「パスワードの設定・管理の甘さ」への対策が重要だ。フィッシングについては、発信元が怪しいメールに注意すること。金融機関からメールで口座番号や暗証番号、個人情報を問い合わせることはないことをふまえ、これらの情報の入力を求めるメールはフィッシングメールであると判断して情報を入力しないこと。パスワード管理については、「強いパスワード」を設定すること、複数サイトで同じパスワードを使いまわさないなどの対策を。パスワードを他人に教えない、パスワードを定期的に変更するなど管理も大切だ。

（2012/03/22 ネットセキュリティニュース）

【関連URL：国家公安委員会、総務大臣、経済産業大臣】
・不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況
http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000018.html
・不正アクセス行為の発生状況[PDF]
http://www.soumu.go.jp/main_content/000150958.pdf

マイクロソフトが14日のセキュリティ更新プログラムで修正したばかりの、リモートデスクトッププロトコル（RDP）の脆弱性を実証するコードが、16日未明にインターネット上で公開された。脆弱性情報を共有していた、MAPP（Microsoft Active Protections Program）のパートナーから、詳細情報が流出した可能性がある。

問題の脆弱性は、細工されたRDPパケットを受け取ると不正なメモリアクセスが発生し、コード実行の可能性があるというもの。ただし、RDPは標準では無効化されており、HomeエディションのWindowsにはリモートデスクトップのサーバー機能はないので、一般ユーザーへの影響は、ほとんどない。

この脆弱性は、研究者のLuigi Auriemma氏が発見し、ZDI（Zero Day Initiative）経由で同社に非公開で報告された。16日に公開されたコードは、細工したパケットを送ってシステムクラッシュを引き起こすもの。その後も、この脆弱性を突く複数のコードがインターネット上で公開されたが、今のところはまだ、コード実行を実現する攻撃コードは見つかっていない。

16日に公開されたコードには、氏が提出したものとそっくりな細工パケットが含まれていた。氏は、詳細な脆弱性情報は当面公開しない予定でいたが、同日、自身の手によるアドバイザリを公開し、経緯を述べている。

マイクロソフトは、16日付（日本時間17日）のブログで、詳細について調査しており、パートナーと共有する秘密情報の保護が保証されるように必要な処置を講ずると述べている。

（2012/03/21 ネットセキュリティニュース）

【関連URL】
・Details about the ms12-020 proof-of-concept leak[英文]（Luigi Auriemma）
http://aluigi.org/adv/ms12-020_leak.txt
・Proof-of-Concept Code available for MS12-020[英文]（MSRC Blog）
http://blogs.technet.com/b/msrc/archive/2012/03/16/proof-of-concept-code-available-for-ms12-020.aspx
・MS12-020 - 緊急リモート デスクトップの脆弱性により、リモートでコードが実行される (2671387)（マイクロソフト）
http://technet.microsoft.com/ja-jp/security/bulletin/ms12-020
・MS12-020 「リモート デスクトップ プロトコルの脆弱性」の Q&A（日本のセキュリティチーム）
http://blogs.technet.com/b/jpsecurity/archive/2012/03/16/3487092.aspx
・MS12-020 を突く PoC を確認（Trend Micro Security Blog）
http://blog.trendmicro.co.jp/archives/4906
・MS12-020 に対して有効な概念実証（PoC）が公開（Symantec）
http://www.symantec.com/connect/ja/blogs/ms12-020-poc
・リモートデスクトッププロトコル(RDP)の脆弱性(MS12-020)への攻撃の検知状況（IBM Tokyo SOC）
https://www-304.ibm.com/connections/blogs/tokyo-soc/entry/rdp_exploit_20120319?lang=ja

警察庁は15日、2011年のサイバー犯罪（情報技術を利用する犯罪）の検挙状況および相談状況を発表した。サイバー犯罪の検挙件数は5741件で、前年の6933件より大幅に減少した。しかし、ネットワーク利用犯罪の検挙件数は減少しておらず、5388件（2010年5199件）と、前年比3.6％の増加となった。

■不正アクセス禁止法違反は減少へ

不正アクセス禁止法に違反した検挙件数は248件（2010年1601件、2009年2534件）で、前年比84.5％マイナスの大幅減少となった。だが、検挙「事件」数は103件（前年104件）、検挙「人員」は114人（前年125人）と横ばい状態で、大きな変化はみられない。

■防止対策が奏功し「詐欺」減少、「児童ポルノ」は増加止まらず

ネットワーク利用犯罪のうち最多を占めてきた「ネットワーク利用詐欺」は、前年の1566件から899件へ大幅に減少した（前年比－42.6％）。詐欺防止対策の推進により、ネットオークション利用詐欺が前年677件から389件へ減少したことが貢献した。

詐欺に変わって最多となったのは「児童買春・児童ポルノ法違反」で、前年1193件だったものがは1327件に上昇した。うち児童買春は444件（前年410件）、児童ポルノは883件（783件）。児童ポルノは2007年から2011年までの5年間、192件→254件→507件→783件→883件と、増加が止まらない状態が続いている。

「わいせつ物頒布等」は218件から699件へ大幅増加したが、これは警察庁の全国協働捜査方式が本運用されたことによるものだという。増加傾向が続いているのは、「出会い系サイト規制法違反」464件（前年412件）、「著作権法違反」409件（前年368件）。「青少年保護育成条例違反」は434件（前年481件）とやや減少した。

■「相談」全体5.9％増加、最多は「詐欺・悪質商法」3万2892件

都道府県警察の相談窓口で受理したサイバー犯罪等に関する相談の件数は、2010年は7万5810件で前年比9.5％の減少だったが、2011年は8万273件で、前年比5.9％の増加となった。

最も多い相談は「詐欺・悪質商法」で、3万2892件（前年3万1333件）に及ぶ。内訳は、「架空請求メール」8249件（前年1万1046件）、「不当請求メール」7621件（前年6112件）で、架空請求メールの相談は25％減少している。次いで「迷惑メール」1万1667件（前年9836件)、「名誉棄損・誹謗中傷」1万549件（前年1万212件）と続く。「ネットオークション」は5905件（前年6905件）で、2007年の1万2707件から半減している。

「不正アクセス、ウイルス」は4619件（前年3668件）で、内訳は「不正アクセス」が4191件（前年3341件）、「ウイルス」は428件（前年327件）。ウイルスによる被害の相談は、昨年7月に刑法の一部改正で「不正指令電磁的記録に関する罪（ウイルス罪）」が新設・施行されて以降、増加傾向にあるという。

■「自殺予告」への対応

インターネット上での自殺予告に対し、警察はプロバイダ等から情報開示を受け、防止や救護措置を行っている。2011年中に都道府県警察が対応した件数および人数は、329件・333人で、前年に比べ49件・45人増えている。

通報は一般からが193件、サイト管理者からが100件。実際に自殺を図った人は20人で、うち5人が死亡したが、救護等により命を取りとめた人が15人いる。存命者のうち8人が警察官による発見・救護だった。自殺のおそれのある81人に対しては、本人への説諭、家族への監護依頼などの自殺防止措置を実施している。

■「ウイルス罪」事件化に向け、取締体制を整備

警察は、昨年施行された「ウイルス罪」の積極的な事件化に向け、情報集約や分析、取締体制の整備を推進する。また、昨年7月から本運用された全国協働捜査方式で、サイバー犯罪の取締りを強化し、定着をはかる。不正アクセスなど潜在化しやすい犯罪に対処するため相談窓口の体制整備に努め、ネットの自殺予告にもプロバイダ等の協力を得て、引き続き迅速な対応に努めていく。

（2012/03/19 ネットセキュリティニュース）

【関連URL】
・平成23年中のサイバー犯罪の検挙状況等について[PDF]（警察庁）
http://www.npa.go.jp/cyber/statics/h23/pdf01.pdf

スマートフォンユーザーを狙うワンクリック詐欺サイトが、「ワンクリックウェア」の配布を始めたことを、1月12日にお伝えした。配布されたのは、料金請求画面を数分おきに表示し、電話番号などを盗み取る、Android端末用の悪質アプリだ。この詐欺サイトは2度の移転を行い、迷惑機能を追加して悪質さを増したアプリを、今も配布し続けている。

新しいアプリでは、アプリ起動時と料金請求画面の表示時に、カメラのシャッター音が鳴る。写真を撮られたのでは、とユーザーを焦らせるのが目的と思われる。実際には、写真を撮る機能は持っておらず、端末のシャッター音ファイルを呼び出して音を鳴らしているだけだ。このワンクリックウェアの挙動はトレンドマイクロのブログでも紹介されている。

編集部の調査では、ワンクリックウェアを配布している詐欺サイトは「ｉｂｂｅａｎｃｏｍ．ｃｏｍ」（すでに閉鎖）から「１４２４３４４４．ｃｏｍ」（すでに閉鎖）へ、さらに「ｅｒｏ●●●．ｃｏｍ」（稼働中なので一部伏字）へと移転。配布していたアプリには、2月初旬から、シャッター音を鳴らす機能、バイブレーターを使って振動する機能、GPSで位置情報を取得する機能が組み込まれた。バイブ機能、位置情報取得機能が実際に使われていたかどうかは、確認できていない。

シャッター音を鳴らして脅すという手口は特に新しいものではなく、以前からワンクリック詐欺サイトで使われていた。また、バイブ機能も、数年前から携帯ユーザー、スマホユーザーを脅すために使われている。

Android端末にのみインストールされるこのワンクリックウェアは、自分で削除できる。［設定］→［アプリケーションの管理］とすすみ、「com.example.android.service」を削除しよう。アプリのアイコンは、シマンテックのウイルス情報のページに大きく掲載されている。

なお、このワンクリックウェアをインストールしてしまった場合、電話番号とメールアドレスが業者に渡ってしまっているため、業者から電話がかかってきたり、SMS（ショートメッセージサービス）でメッセージが届いたり、メールが届いたりする事態も考えられる。着信を拒否し、無視を貫けばいいのだが、不安な場合は警察や最寄りの消費生活センターに相談しよう。IPAの情報（下記）も参考にしていただきたい。

（2012/03/16 ネットセキュリティニュース）

【関連URL】
・スマホを狙うワンクリウェアに新たな手口－カメラ撮影音の鳴動や位置情報の送信も（トレンドマイクロ セキュリティブログ）
http://blog.trendmicro.co.jp/archives/4853
・Android.Oneclickfraud（シマンテック）
http://www.symantec.com/ja/jp/security_response/print_writeup.jsp?docid=2012-011205-4412-99
・今月の呼びかけ「スマートフォンでもワンクリック請求に注意！」（IPA）
http://www.ipa.go.jp/security/txt/2012/02outline.html#5

【関連記事：ネットセキュリティニュース】
・Android端末狙うワンクリックウェア出現～料金請求画面を数分おきに表示（2012/01/12）

米シマンテックが、スマートフォン50台を人通りの多い公共の場所に置き忘れたふりをして放置するという実験を行った。その結果、スマートフォンを見つけた人のうち、持ち主に返そうとした人は50％だった。また、発見者の96％がアプリやファイルに何らかのアクセスを行った。

実験は2011年の後半に、ニューヨークシティ、ワシントンD.C.、ロサンゼルス、サンフランシスコ、オタワ（カナダ）で実施された。エレベーターやショッピングセンター、フードコート、バス停など人通りの多い公共の場所に、ダミーの企業データや個人データが入ったスマートフォン50台を放置するというもので、スマートフォンには、これらのデータに対して何が行われるか、リモートで監視できる機能を追加しておいた。

実験の結果、見つけたスマートフォンを持ち主に返そうとした人は半数だった。また、発見者の96％は、スマートフォン内のアプリやデータに何らかのアクセスを行った。持ち主を割り出そうとしていた可能性もある。しかし、持ち主の情報に興味を持った人も多かった。プライベートの写真にアクセスしようとした人が72％、ソーシャルメディアのアカウントや電子メールにアクセスしようとした人がそれぞれ60％いたほか、持ち主の銀行口座にアクセスしようとした人も43％いた。

同社は、スマートフォンの紛失に備え、パスワードによる保護をかけること、リモートからデータを消去する機能を付けること、紛失したスマートフォンを見つけるためのソフトをインストールすることを推奨している。

さらに個人ユーザーに対し、スクリーンロック機能を使って、複雑なパスワードや「ロック解除用」パターンで端末を確実に保護すること、スマートフォン専用のセキュリティソフトウェアを使うこと、外出中は必ずモバイル端末を近くに置き、端末をどこに置いたかを常に意識して、決して置いたままその場を離れないことをアドバイスしている。

スマートフォンを利用している方は、利用しているキャリアや端末で、紛失に備えて何ができるか、紛失してしまった場合に何をしたらいいのかを、いま一度、確認してみてはいかがだろうか。おサイフケータイの機能を利用している方は、そちらの対策についても確かめてみよう。

（2012/03/15 ネットセキュリティニュース）

【関連URL】
・シマンテックスマートフォンハニースティックプロジェクト（Symantec Smartphone Honey Stick Project）のご紹介（Symantec Connect Community）
http://www.symantec.com/connect/ja/blogs/symantec-smartphone-honey-stick-project
・The Symantec Smartphone Honey Stick Project［英文］（Symantec）
http://www.symantec.com/content/en/us/about/presskits/b-symantec-smartphone-honey-stick-project.en-us.pdf?om_ext_cid=biz_socmed_twitter_facebook_marketwire_linkedin_2012Mar_worldwide_honeystick

Mozilla Japanは14日、Firefoxの最新版「11.0」を公開した。対象は、Windows、Mac、Linux。Firefox 3.6のセキュリティアップデート版「3.6.28」と、Android用の「10.0.3」も同日、公開されている。

Firefox 11.0では、8件の脆弱性が修正された。このうち5件は重要度が4段階評価で最も高い「最高」で、悪用されると、クラッシュしたり、任意のコードを実行されたりするおそれがある。

また、11.0では複数のパソコンでアドオンを同期できるようになったほか、新しい開発ツールも搭載された。

Firefox 3.6.28では、5件の脆弱性が修正された。4件の重要度が「最高」で、そのうち3件は Firefox 11.0で修正された脆弱性と共通している。

最新版は、自動アップデート機能を通じて配布されているほか、Mozilla JapanのWebサイトや、[ヘルプ]メニューから入手することもできる。

なお、Firefoxで修正された脆弱性は、同じエンジンを使用するThunderbirdにも影響があり、Thunderbird「3.1.20」が同日公開されたほか、「11.0」も近日中に公開される予定だ。

（2012/03/14 ネットセキュリティニュース）

【関連URL：Mozilla Japan】
・アドオンの同期機能と新たな開発ツールを組み込んだFirefoxの最新版を公開しました
http://mozilla.jp/blog/entry/7933/
＜Firefox 11.0＞
・リリースノート
http://mozilla.jp/firefox/11.0/releasenotes/
・セキュリティアドバイザリ
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox.html#firefox11
＜Firefox 3.6.28＞
・リリースノート
http://mozilla.jp/firefox/3.6.28/releasenotes/
・セキュリティアドバイザリ
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox36.html#firefox3.6.28
＜Android版 Firefox 10.0.3＞
・リリースノート
http://mozilla.jp/firefox/android/10.0.3/releasenotes/
・セキュリティアドバイザリ
http://www.mozilla-japan.org/security/known-vulnerabilities/firefoxESR.html#firefox10.0.3
＜Thunderbird 3.1.20＞
・リリースノート
http://mozilla.jp/thunderbird/3.1.20/releasenotes/
・セキュリティアドバイザリ
http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird31.html#thunderbird3.1.20

マイクロソフトは14日、3月度の月例セキュリティパッチ（セキュリティ更新プログラム）を公開した。公開されたパッチは、最も深刻な「緊急」1件を含む6件。Windows、Windows Server、Visual Studio、Expression Designが影響を受ける。

【更新プログラムの内容】
［緊急］
・リモートデスクトップ：リモートでコードが実行される脆弱性

［重要］
・DNSサーバー：サービス拒否が起こる脆弱性
・カーネルモードドライバー：特権が昇格される脆弱性
・Visual Studio：特権が昇格される脆弱性
・Expression Design：リモートでコードが実行される脆弱性

［警告］
・DirectWrite：サービス拒否が起こる脆弱性

このほか、新たにDorkbot、Hioles、Yeltminky、Pluzoks.Aに対応した「悪意のあるソフトウェアの削除ツール」の更新バージョンも公開された。

（2012/03/14 ネットセキュリティニュース）

【関連URL：マイクロソフト】
・セーフティとセキュリティセンター
http://www.microsoft.com/ja-jp/security/default.aspx
・2012年3月のセキュリティ情報
http://technet.microsoft.com/ja-jp/security/bulletin/ms12-mar
・Microsoft Update
http://windowsupdate.microsoft.com/

アップルは13日、Webブラウザ「Safari」の最新版「Safari 5.1.4」を公開した。対象は、Mac OS X 10.7.3/10.6.8、およびWindows 7/Vista/XP SP2以降。

今回は、レンダリングエンジン「Webkit」の脆弱性81件など、深刻なものも含め、83件の脆弱性が修正された。URLを偽装できる問題、クッキーが漏えいする問題や、XSS攻撃が可能になる問題、任意のコードが実行されるおそれのある問題も修正されている。

最新版ではこのほか、パフォーマンス、安定性、互換性の改善も行われた。

Safariの最新版は、Mac OS Xの「ソフトウェア・アップデート」や、Windows版同梱の「Apple Software Update」で更新できるほか、同社サイトからも、それぞれの最新版がダウンロードできる。

（2012/03/13 ネットセキュリティニュース）

【関連URL】
・Safari 5.1.4（アップル）
http://support.apple.com/kb/DL1070?viewlocale=ja_JP
・About the security content of Safari 5.1.4［英文］（Apple）
http://support.apple.com/kb/HT5190

グーグルは11日、同社のWebブラウザの最新安定版「Google Chrome 17.0.963.79」を公開した。対象となるのは、Windows、Mac、Linux、およびInternet Explorer用のプラグイン「Chrome Frame」で、最新版への更新は自動的に行われる。

今回修正されたのは、危険度が4段階評価で最も高い「最高」の脆弱性1件。プラグインを読み込む仕組みの欠陥を使って、GPUプロセスでメモリー破壊を発生させることができるという問題で、クラッシュやコード実行が引き起こされるおそれがある。

この脆弱性は、ひとつ前のバージョン「Google Chrome 17.0.963.78」で修正された脆弱性と同様に、Google主催のWebブラウザハッキングコンテスト「Pwnium」で使われたもの。この脆弱性を使ってChromeのセキュリティを破ることに成功した「Pinkie Pie」氏は、6万ドルの賞金を獲得した。

最新版では、同氏が使用した脆弱性が修正されたほか、Flashゲームの不具合についても対処されている。

（2012/03/12 ネットセキュリティニュース）

【関連URL】
・Chrome Stable Update[英文]（Google Chrome Releases）
http://googlechromereleases.blogspot.com/2012/03/chrome-stable-update_10.html

【関連記事：ネットセキュリティニュース】
・グーグル、深刻な脆弱性を修正した「Google Chrome 17.0.963.78」公開（2012/03/09）

アップルは8日、コンテンツ管理・再生ソフト「iTunes」の最新版「iTunes 10.6」と、モバイル端末向けOS「iOS」の最新版「iOS 5.1」を公開した。

■コンテンツ管理・再生ソフト「iTunes」の最新版「iTunes 10.6」

脆弱性の修正を含んでいるのはWindows版「iTunes 10.6」のみで、影響を受けるのはWindows 7/Vista/XP SP2以降。レンダリングエンジン「WebKit」に起因する脆弱性72件が修正されている。これらの脆弱性を悪用されると、iTunesで iTunes Storeを表示した際、中間者攻撃によりアプリケーションがクラッシュしたり、任意のコードが実行されるおそれがある。アップデートはiTunesのヘルプメニューから実行できる。アップルのサイトから最新版をダウンロードすることもできる。
・About the security content of iTunes 10.6［英文］（Apple）
http://support.apple.com/kb/HT5191
・iTunes 10.6（アップル）
http://support.apple.com/kb/DL1426?viewlocale=ja_JP
・iTunes 10.6-Windows（64 bit）（アップル）
http://support.apple.com/kb/DL1427?viewlocale=ja_JP

■モバイル端末向けOS「iOS」の最新版「iOS 5.1」

対象端末は、iPhone 3GS/4/4S、iPod touch第3世代/第4世代、iPad/iPad 2。悪用されると任意のコードを実行されるおそれのある危険なものも含め、9コンポーネントに存在する81件の脆弱性が修正されている。アップデートを行うには、端末の「設定」アイコンから「一般」→「ソフトウェア・アップデート」と進むか、端末を最新のiTunesが入ったパソコンに接続する。
なお、iOS 5.1へのアップデートでトラブルが発生したという投稿が複数、Appleサポートコミュニティに寄せられている。「ダウンロードでエラーが起きました」「アップデートを確認できませんでした」などとエラー表示が出るケースと、アップデート後にセットアップ画面がループして抜け出せないケースの二通りが報告されており、これまでの投稿を見る限り、後者のトラブルはiPhone 4Sで発生している模様。これからアップデートを行う方、トラブルの解決策を探している方には、下記のディスカッションが役立つかもしれない。
・About the security content of iOS 5.1 Software Update［英文］（Apple）
http://support.apple.com/kb/HT5192
・iOS 5.1 ソフトウェア・アップデート（アップル）
http://support.apple.com/kb/DL1504?viewlocale=ja_JP&locale=ja_JP
・iOS5.1アップデートできない。（Appleサポートコミュニティ）
https://discussionsjapan.apple.com/thread/10105862
・【情報収集】iOS 5.1のアップデートで初期設定がループする問題について（Appleサポートコミュニティ）
https://discussionsjapan.apple.com/thread/10105962

（2012/03/12 ネットセキュリティニュース）

マイクロソフトは9日、今月14日に公開が予定されているセキュリティ更新プログラム（修正パッチ）の概要を発表した。リリース予定のセキュリティ更新プログラムは、4段階評価で深刻度が最も高い「緊急」1件、2番目に高い「重要」4件、3番目の「警告」1件の計6件。

「緊急」1件は、Windows XP/Vista/7、Server2003/2008/2008 R2 が影響を受ける脆弱性で、悪用されるとリモートでコードが実行されるおそれがある。

「重要」4件のうち2件はWindows関連で、サービス拒否、特権の昇格を招くおそれがある脆弱性が修正される。残る2件は開発ツール関連で、「Visual Studio」「Expression Design」に影響する脆弱性が修正される。「警告」1件はWindows関連で、サービス拒否のおそれがある脆弱性が修正される。

このほか、「Windows Update」「Microsoft Update」などで、セキュリティ以外の優先度の高い更新プログラムと、「悪意のあるソフトウェアの削除ツール」の更新バージョンのリリースも予定されている。

（2012/03/09 ネットセキュリティニュース）

【連URL：マイクロソフト】
・マイクロソフト セキュリティ情報の事前通知 - 2012年3月
http://technet.microsoft.com/ja-jp/security/bulletin/ms12-mar

グーグルは8日、同社のWebブラウザの最新安定版「Google Chrome 17.0.963.78」を公開した。対象となるのは、Windows、Mac、Linux、およびInternet Explorer用のプラグイン「Chrome Frame」で、最新版への更新は自動的に行われる。

今回修正されたのは、危険度が4段階評価で最も高い「最高」の脆弱性1件。この脆弱性は、カナダのバンクーバーで開催されているセキュリティカンファレンス「CanSecWest」内で行われた、グーグル主催のWebブラウザハッキングコンテスト「Pwnium」で、挑戦者のSergey Glazunov氏が使用したもの。氏は、現地時間7日、この脆弱性を使ってChromeのセキュリティを破ることに見事成功し、6万ドルの賞金を獲得した。

最新版では、同氏が使用した脆弱性が修正されたほか、Flashゲームとビデオに関する不具合についても対処されている。

（2012/03/09 ネットセキュリティニュース）

【関連URL】
・Chrome Stable Channel Update[英文]（Google Chrome Releases）
http://googlechromereleases.blogspot.com/2012/03/chrome-stable-channel-update.html

情報処理推進機構（IPA）は、「偽セキュリティソフト」型ウイルスの感染被害が目立つとして、対策を呼びかけている。感染経路はドライブバイダウンロードが多く、ウイルス対策ソフトを最新状態にしていても感染する可能性が高い。対策は「脆弱性の解消」が第一で、OSやアプリケーションのアップデートを必ず行っていただきたい。

今年に入り、「ウイルスに感染している」「ハードディスク内にエラーが見つかった」などの偽の警告画面をパソコンに表示し、有償版製品の購入を迫る、偽セキュリティソフト型ウイルス（以下、同型ウイルス）の相談・届出が、IPAに多く寄せられている。

同型ウイルスに関する「相談件数」は、2月に24件（1月は18件）あり、うち20件が感染被害の相談だった。また、同型ウイルスの「感染被害届出件数」は、昨年12月に1件、今年1月に4件だったが、2月には7件と急増している。

■Webを閲覧しただけで、対策ソフトをすり抜けて感染

昨年12月から今年2月までに感染被害届出があった12件のうち11件は、ウイルス対策ソフトを使用している。しかも11件ともすべて、対策ソフトを最新状態にして使用していた。なかには翌日には検知可能になったという報告もあったが、今回届出のあった同型ウイルスは、対策ソフトを最新状態で使用しても感染被害にあう可能性が高かったことがうかがえる。

感染経路は、12件中11件がWebサイトを閲覧しただけでウイルスに感染してしまう「ドライブバイダウンロード」攻撃によるものだった。IPAは、これまでにも同型ウイルスの注意喚起を行っているが、当時の主な感染経路はメールで、ウイルスが埋め込まれた添付ファイルを開くことで感染するというものだった。IPAに寄せられた同型ウイルスの検出数は、メールでばら撒かれていた時代は大量だったが、2011年以降は極端に減っている。これは、感染経路がドライブバイダウンロード攻撃に移ったことを示している。

■偽セキュリティソフト型ウイルスの特徴

IPAは、同型ウイルスの動作を検証し、特徴を次のように説明している。

(1) 突然デスクトップ上に、パソコン内を勝手にチェックし始める画面が表示される。この画面を表示している間、利用者にはわからないように、複数のWebサイトにアクセスし、何らかのプログラムをダウンロードしようとする。
(2) チェックが終了してしばらくすると、問題解決を促す画面が表示される。この問題解決の画面が複数表示されたり、パソコンそのものが動かなくなったりする事例も報告されている。
(3) 表示された画面のボタンをクリックすると、クレジットカードを使って有償版製品の購入を迫る画面が出る。Webブラウザの画面に見えるが、実際はブラウザを模した偽の入力画面だ。

その他の特徴として、ウイルス駆除を妨害しようとして、スタートメニューに［コントロールパネル］や［アクセサリ］などを表示させず、インターネットのお気に入りの中身を削除している。また、デスクトップ上のアイコンや、パソコン内のほとんどのファイルやフォルダを消してしまう。実際には削除しておらず、「隠しファイル」表示に設定しているだけだという。パソコンがより深刻なダメージを受けていると思わせるための手口とみられる。

■感染予防対策は「脆弱性の解消」を第一に

現在の感染経路は、ドライブバイダウンロード攻撃によるものが多い。この攻撃は、OSやアプリケーションの脆弱性を悪用して行われるため、これらのソフトを常に最新の状態に保つことが一番の対策になる。IPAは、インストールされているソフトのバージョンを簡単に確認するツール「MyJVNバージョンチェッカ」を無償で公開しているので、ぜひ活用していただきたい。
・MyJVNバージョンチェッカ
http://jvndb.jvn.jp/apis/myjvn/vccheck.html

初期化が必要になる万一の場合に備え、重要なデータは外部記憶媒体などへバックアップしておきたい。ウイルス対策ソフトを導入し、定義ファイルを最新に保って使用することも継続する必要がある。IPAは、ドライブバイダウンロード攻撃を行う有害なWebサイトの閲覧を防止する機能がある、統合型セキュリティソフトの使用も提案している。

偽の警告画面に従ってクレジットカード番号を入力してしまった場合は悪用されるおそれがあるため、カード会社に連絡して番号の変更を。代金返金などに関しては、カード会社か消費生活センターに相談されたい。

（2012/03/08　ネットセキュリティニュース）

【関連URL：IPA】
・コンピュータウイルス・不正アクセスの届出状況[2月分]について
http://www.ipa.go.jp/security/txt/2012/03outline.html

情報処理推進機構セキュリティセンター（IPA/ISEC）は5日、2012年2月のコンピューターウイルス、不正アクセスの届出状況のまとめを発表した。パソコン内に裏口を仕掛けるBACKDOOR、オンラインバンキングのID/パスワードを詐取するBANCOSが多く検知された。また、欧米で猛威をふるっているという「DNS changer」を紹介している。

■コンピューターウイルス、不正アクセスの届出状況

2月のウイルスの検出数は1万5804個で、前月（2万8459個）から44.5%減少した。届出件数は833件で、前月（941件）から11.5%減少している。検出数1位はW32/Netsky（7832個）、2位はW32/Mydoom（5823個）、3位はW32/Mytob（642個）。

不正プログラムの検知状況は、パソコン内に裏口を仕掛けるBACKDOORと、オンラインバンキングのID／パスワードを詐取するBANCOSという不正プログラムが、他の不正プログラムよりも多く検知された。

不正アクセスの届出件数は13件（1月8件）で、うち被害があったものは9件。被害内容は侵入7件、なりすまし2件。侵入の被害は、Webページが改ざんされていたもの5件（うちフィッシングに悪用するためのコンテンツ設置1件）、侵入後にDoS攻撃の踏み台に悪用されたもの2件。侵入の原因は、脆弱なパスワード設定2件、phpMyAdminのバージョンが古かったもの1件、サーバーの設定不備1件。他は原因不明。

「なりすまし」の被害は、オンラインゲームに本人になりすましてログインしサービスを利用されたもの、掲示板に管理者権限でログインし内容を変更されたもの各1件。

ウイルスや不正アクセス関連の相談総件数は1073件（前月1302件）。うち「ワンクリック請求」関連が218件（前月338件）、「偽セキュリティソフト」関連が24件（前月18件）、Winny関連が25件（前月11件）、「情報詐取を目的として特定の組織に送られる不審なメール」関連が2件（前月4件）などだった。

■DSN設定を勝手に変更する「DNS changer」について

IPAは今回、日本ではまだ感染報告はないものの、欧米では猛威をふるっているとの情報がある「DNS changer」について、参考情報として紹介している。

DNS changerに感染すると、パソコンやルーターのDNS設定のIPアドレスが変更され、不正なサイトへ誘導されてしまう。「アドレスを正しく打ち込んでも、別のWebページが表示される」「Webページの広告バナーが勝手に入れ替わり、悪意あるリンクを含む広告バナーに変更された」などの感染事例が、欧米では確認されているという。

感染したまま放置した場合、またはウイルスは駆除したが変更されたDNS設定を元に戻していない場合、予期しないサイトへの接続だけでなく、Web閲覧がすべてできなくなる恐れもあるという。このような症状が出るなど不安な点があれば、IPAの「情報セキュリティ安心相談窓口」まで問い合わせるよう、IPAは呼びかけている。

■相談事例：IPAを差出人とした注意喚起メールを受信

IPAを差出人とした注意喚起メールを受け取ったという事例を紹介し、IPAの運用では不特定多数への注意喚起メールは送らない、メールニュース登録者へファイルを添付したメールを送らないことを説明。昨今では不審なメールの対処訓練を行う組織も増えていることから、組織の情報システム部門に連絡し、組織的な対処方法に従うようアドバイスしている。

（2012/03/07　ネットセキュリティニュース）

【関連URL：IPA】
コンピュータウイルス・不正アクセスの届出状況[2月分]について
http://www.ipa.go.jp/security/txt/2012/03outline.html

アドビシステムズは5日、2件の脆弱性を修正したFlash Playerの最新版を公開した。修正されたのは、コード実行のおそれのあるメモリー破壊の問題と、情報漏えいのおそれのある整数エラーの問題。脆弱性を悪用するコードは出回っていないが、危険度の高い脆弱性が含まれており、同社は早めにアップデートするよう勧めている。

対象となるのは、Windows/Mac/Linux/用のデスクトップ版と、Android版のFlsah Player 11だ。アップデート後は、Windows/Linux用は「11.1.102.63」、Mac用は「11.1.102.64」、Android 2/3用は「11.1.111.7」、Android 4用は「11.1.115.7」に更新される。

システムにインストールされているFlash Playerのバージョンは、下記のバージョン確認ページにアクセスするか、コントロールパネルの「Flash Player」（Android版は「アプリケーションの管理」の「Adobe Flash Player」）で確認できる。複数のブラウザーを利用している場合は、ブラウザーごとに確認と更新を行っていただきたい。

最新版は、WindowsやMacなどのデスクトップ版が同社サイトで、Android版がAndroidマーケットで配布されている。

なお、Flash Player 11にアップグレードできないユーザーは、これら脆弱性を修正したFlash Player 10の最新版「Flash Player 10.3.183.16（Mac用10.3.183.17同梱）」が、同社のアーカイブ版Flash Playerの提供ページからダウンロードできる。

（2012/03/06　ネットセキュリティニュース）

【関連URL：アドビシステムズ】
・APSB12-05：Security update available for Adobe Flash Player［英文］
http://www.adobe.com/support/security/bulletins/apsb12-05.html
・Flash Playerのバージョン確認
http://www.adobe.com/jp/software/flash/about/
・Flash Playerのダウンロード
http://get.adobe.com/jp/flashplayer/
・アーカイブ版 Flash Playerの提供について
http://kb2.adobe.com/jp/cps/228/228683.html
・Archived Flash Player versions[英文]
http://kb2.adobe.com/cps/142/tn_14266.html

グーグルは5日、同社のWebブラウザの最新安定版「Google Chrome 17.0.963.65」を公開した。対象となるのは、Windows、Mac、Linux、およびInternet Explorer用のプラグイン「Chrome Frame」で、最新版への更新は自動的に行われる。

最新版では、解放したメモリーの再利用やバッファオーバーフローのなど、コード実行につながるおそれのある脆弱性14件が修正された。危険度は、いずれも4段階評価で上から2番目の「高」と評価されている。

17.0.963.65では、このほかに内蔵のFlash Playerも最新版（11.1.102.63）に更新されている。

（2012/03/06　ネットセキュリティニュース）

【関連URL】
・Chrome Stable Update［英文］（Google Chrome Releases）
http://googlechromereleases.blogspot.com/2012/03/chrome-stable-update.html

民間企業をターゲットとした標的型メールが、昨年10月から12月までの3か月間で、計161件送付されていたことが、今月1日、警察庁の発表でわかった。昨年4月から9月までの6か月間では計891 件の送付が確認されており、昨年中に把握された標的型メールは1052件となった。

これらの情報は昨年8月、警察庁が約4000の民間事業者等と構築した「サイバーインテリジェンス情報共有ネットワーク」を利用して収集されたもの。

標的型メールは、標的とする組織内の人間に的を絞り、仕事など重要情報と勘違いして開封することを企図して送付される。昨年は、「地震情報」「被ばくに関する知識」「計画停電」等の震災や原発事故に関する情報の提供を装ったメールが大量に送付された。「重要な会議のお知らせ」「資料送付」など、仕事を装ったメールも多数送付されている。

これら昨年中に送信された標的型メールを警察で分析した結果、攻撃に使用された不正プログラムはほぼ全て、感染すると、コンピューターが勝手に外部に接続するものであることがわかった。接続先は、約23％が中国、約18％が米国、約14％が韓国。送信される情報内容には、IPアドレスやコンピューター名など情報システムに関するものが含まれる。

また、標的型メール攻撃に成功して端末に侵入した後は、その端末と同じネットワーク内にあるID/パスワードを管理するサーバーへ不正アクセスを行う例があった。これが成功すれば、多数のID/パスワードが外部へ送信され流出することとなる。不正アクセスによる被害の拡大を防ぐには、ID/パスワードを管理するサーバーの管理者権限を厳重に管理することが重要だと警察庁は警告している。

なお、サイバーインテリジェンス情報共有ネットワークは今年1月1日現在、約4300 の事業者等が参画している。今後は、内閣官房を始めとする関係省庁とも連携し、政府機関への標的型メールに関する情報も共有するなど、さらなる情報の集約を図る。

（2012/03/05　ネットセキュリティニュース）

【関連URL：警察庁】
・サイバーインテリジェンスに係る最近の情勢[PDF]
http://www.npa.go.jp/keibi/biki3/240301kouhou.pdf
・標的型メール攻撃事案の把握状況について[PDF]
http://www.npa.go.jp/keibi/biki5/hyotekigata.pdf

2月に修正されたばかりのJRE（Java Runtime Environment：Java実行環境）の脆弱性を突く実証コードが、先週公開されたことが分かった。Webサイトを閲覧するだけでウイルスに感染してしまう、ドライブバイダウンロード攻撃に転用されるおそれがある。

公開されたコードは、脆弱性評価システム「CVSS」で最高値の10.0と評価されている、「Java Web Start」の脆弱性「CVE-2012-0500」だ。

Java Web Startは、Javaで書かれたアプリケーションをブラウザ上から起動できるようにするためのもので、JREと一緒にシステムにインストールされる。このJava Web Startには、Javaアプリケーションの起動に使用するJNLP（Java Network Launching Protocol）ファイルの処理に問題があり、細工されたJNLPファイルを開くと、任意のコードが実行される可能性があった。

この脆弱性は、JRE 7 Update 2以前とJRE 6 Update 30以前のJREに影響し、オラクルはこの問題を含む複数の脆弱性を修正した最新版、JRE 7 Update 3（1.7.0_3）とJRE 6 Update 31（1.6.0_31）を2月に公開している。

JREは、多くのパソコンにインストールされていることもあり、脆弱性攻撃の標的にされることが多い。現時点では、この脆弱性を悪用した攻撃は報告されていないが、実証コードの公開でドライブバイダウンロード攻撃に悪用される可能性が高まっている。

JREが古いままのパソコンでは、Webサイトを閲覧するだけでウイルスに感染してしまうおそれがあるので、未更新の方は早急に最新版にアップデートしていただきたい。

現在パソコンにインストールされているJREのバージョンは、Javaコントロールパネル（パソコンのコントロールパネルのJavaアイコンから開ける）、または下記の「Javaソフトウェアのインストール状況のテスト」ページで確認できる。最新版への更新は、Javaコントロールパネルの[アップデート]タブの[今すぐアップデート]ボタンで入手できるほか、同社サイトからダウンロードすることもできる。

（2012/03/02 ネットセキュリティニュース）

【関連URL】
・Javaソフトウェアのインストール状況のテスト
http://www.java.com/ja/download/installed.jsp
・Javaのダウンロード
http://java.com/ja/download/

【関連記事：ネットセキュリティニュース】
・オラクル、深刻な脆弱性を修正した「JRE 6/7」の最新版を公開（2012/02/15）

ゆうちょ銀行は29日、同行のネットバンキングサービス「ゆうちょダイレクト」を装っい、アカウント情報などをだまし取ろうとするフィッシングメールとサイトが見つかったとして注意を呼びかけた。

「ゆうちょ銀行より大切なお知らせです」と題したフィッシングメールには、フィッシングサイトやウイルスの報告を受けたので、口座に異常が発生していないかを確認するという内容。確認を怠るとネット取引が使用できなくなる可能性があると言ってユーザーを焦らせ、フィッシングサイトへと誘導しようとする。

誘導先の偽サイトでは、ログインに必要な顧客番号とパスワード、インターネット用暗証番号（取引の際に使用するログインとは別のパスワード）。ふだんと異なる環境でログインした際に必要となる、追加認証用の合言葉（質問と答え）の全てを入力させようとする。これらを騙し取られてしまうと、第三者にオンラインバンキングを勝手に操作されてしまい、不正送金などが行われるおそれがある。

半年間で編集部が確認した国内銀行を装った偽サイトは、4行、20サイトにおよぶ。それらの多くは、海外のサーバーと特定のダイナミックDNSサービスを使って開設されており、今回の偽サイトとも共通している。編集部が確認した今回の偽サイトは、すでに閉鎖されているが、この攻撃者は、サーバーが閉鎖されればサーバーを変え、サーバー名が無効化されればサーバー名を変えて、繰り返し攻撃を仕掛けて来る可能性があるので、引き続き警戒が必要だ。

ゆうちょ銀行では、メールでアカウント情報などを求めることはなく、本物の「ゆうちょダイレクト」には、これら要素を複数同時に入力させるページはない。また、本物の「ゆうちょダイレクト」は、暗号化通信（SSL）でしか接続できないので、ログイン時には接続状態をチェックするよう心掛けたい。同行では、サイトにEV証明書を使用しているので、対応ブラウザではアドレスバーの横やアドレスバー全体がグリーンに変わり、同行の英語名「JAPAN POST BANK Co.Ltd.」が表示される。本物のサイトであることが一目でわかるようになっているので、偽サイトに騙されないよう注意していただきたい。

（2012/03/01 ネットセキュリティニュース）

【関連URL：ゆうちょ銀行】
・ゆうちょダイレクト（ゆうちょ銀行）を装ったフィッシングサイトにご注意ください
http://www.jp-bank.japanpost.jp/news/2012/news_id000803.html