最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆モジラ、複数の深刻な脆弱性を修正した「Firefox 12.0」公開(2012/04/25) | メイン | ◆Windowsコモンコントロールの脆弱性を突く攻撃コード公開~攻撃拡大のおそれ(2012/04/27) »

2012/04/26

◆ゴールデンウィーク前にセキュリティ対策を~セキュリティ機関が呼びかけ(2012/04/26)

ゴールデンウィークを前に、JPCERT/CC(JPCERTコーディネーションセンター)は、企業のシステム管理者や利用者に向けた対策と、偽ハードディスク診断ソフトについて注意を促している。IPA(情報処理推進機構)はこれらに加え、家庭のパソコンやスマートフォン、タブレットの利用者に向けた対策を示し、ウイルス感染やワンクリック請求などへの注意を呼びかけている。

連休中は、自宅でパソコンを使う機会が増える一方、システム側では管理者が不在になることも多く、ユーザーからの問い合わせやトラブルへの対処が遅れてしまい、ウイルス感染などの被害が拡大するおそれがある。知らない間にウイルスに感染したり、悪質なプログラムをインストールしたりしてしまわないように注意しながら、ゴールデンウィークのネットライフを過ごしていただきたい。

■システムやアプリケーションは最新の状態に

Webサイトを閲覧していると、知らない間にウイルスに感染してしまうことがある。最近は、ブラウザやプラグインなどの脆弱性を悪用し、通常ならできないはずのプログラムのインストールを自動的に実行してしまう「ドライブバイダウンロード」という攻撃手法がよく使われる。脆弱性が残っているパソコンでは、サイトを閲覧しただけでウイルスに感染してしまうのだ。攻撃は、怪しげなWebサイトはもちろん、正規のWebサイトを改ざんして攻撃サイトへと誘導する手口も多く用いられているため、安全だったWebサイトが突然、危険なサイトになってしまうこともある。

脆弱性を悪用するドライブバイダウンロード攻撃は、修正プログラムの適用や最新版を利用し、システムやアプリケーションの脆弱性を解消しておけば防ぐことができる。

現時点で悪用されている主な脆弱性は、Windows、JRE(Java Runtime Environment:Java実行環境)、Adobe Reader、Adobe Flash Playerに存在する。いずれも修正済みのものばかりなので、これらを最新の状態にしておけば、ドライブバイダウンロード攻撃を100%回避でき、ウイルス感染に至ることはない。連休のネットライフを始める前に、まずは下記のトピックスを参考に、自宅のパソコンや帰省先のパソコンを最新の状態に更新していただきたい。アップデートは、いずれも無料だ。

■悪質なアプリケーションのインストールにご用心

ウイルス感染は、ドライブバイダウンロードによって、知らない間に行われるもののほかにもうひとつ、ユーザー自身がインストールしてしまうケースがある。

ドライブバイダウンロードでインストールされることも多い「偽セキュリティソフト」や「偽ハードディスク診断ソフト」は、ユーザーが自らインストールしてしまうことがある。この場合は、Webサイトの閲覧中にブラウザ内で偽のウイルススキャンやシステムチェックが突然始まり、「ウイルスに感染している」「ハードディスク内にエラーが見つかった」といった偽の警告を表示して、偽ソフトをインストールさせようとする。インストール後は、ドライブバイダウンロードによる感染と同様、偽の警告が表示され、解決するためとして有償製品版の購入を迫る。

IPAの注意喚起にもある「ワンクリック請求」では、動画の再生などと称してアプリケーションを実行させようとするケースがある。これを実行してしまうと、料金請求画面を出し続ける、いわゆる「ワンクリックウェア」に感染してしまう。これまでは、Windowsパソコン特有の被害だったが、昨年末からは、Android版のスマートフォンも標的となっており、被害が広がっている。

スマートフォンやタブレットでは、有用なアプリケーションに見せかけて、ウイルスに感染させようとする手法が用いられている。配布されている不正なアプリは、有用に見せかけるだけでなく、中には、正規アプリによく似たものや、正規アプリの海賊版もあるので注意が必要だ。電話帳の登録データまで根こそぎ抜き取ってしまう国産の不正アプリが、公式ストアで配布されていた例もあり、インストールしてしまうと知人にまで迷惑をかける可能性がある。信頼できる場所以外からダウンロードしたアプリや、提供元が不明なアプリのインストールは、慎重に行っていただきたい。

IPAでは、アプリをインストールする際に表示される「パーミッション」(アプリがスマートフォンやタブレットのどの情報/機能にアクセスするか定義したもの)の一覧には必ず目を通し、不自然なアクセス許可や疑問に思うアクセス許可を求められた場合には、そのアプリのインストールを中止するよう呼び掛けている。

ユーザー自身がインストールしてしまうケースでは、インストールの最終段階で確認を求めてくるので、本当に必要なものなのか、信頼できるものなのかを今いちど熟考したい。

(2012/04/26 ネットセキュリティニュース)

【関連URL】
・長期休暇を控えて(JPCERT/CC)
http://www.jpcert.or.jp/pr/2012/pr120001.html
・【注意喚起】ゴールデンウィーク前に対策を(IPA)
http://www.ipa.go.jp/security/topics/alert240425.html

投稿情報: 10:08 |

|