ネットセキュリティニュース

国内のWebサイトが不正アクセスを受け、改ざんされる被害が続いている。閲覧者をウイルスに感染させる目的で、不正なリンクが埋め込まれる例も多いので、感染被害にあわないように、セキュリティアップデートを欠かさず実施していただきたい。

今回の攻撃は、かつての「ガンブラー」のような大規模なものではなく、いくつかのグループがそれぞれのキャンペーンを展開しているようだ。被害事例については、下記の【関連URL】を参照いただきたい。

自治体の公式サイトもいくつか被害を受けている、ウイルス感染を目的としたサイト改ざんでは、攻撃サイトに誘導し、システムやプラグインの脆弱性を悪用した攻撃を仕掛ける手口がよく用いられる。Webサイトからダウンロードした不正なプログラムは、通常ならユーザーが許可しない限り実行されないが、脆弱性が悪用されると、サイトを閲覧するだけで勝手に実行され、偽のウイルス対策ソフトやパソコンを乗っ取るボットなどをインストールされてしまうことがある。

■悪用されている脆弱性：JRE、Adobe Reader、Flash Player、Windows関連
現時点で悪用されている脆弱性は、Javaプログラムを実行するためのJRE（Java Runtime Environment：Java実行環境）、PDFファイルの閲覧ソフトAdobe Reader、動画などのFlashコンテンツを再生するFlash Player、Windowsのシステムや付属ソフトだ。現時点で悪用されている脆弱性は、いずれも修正済みのものばかりなので、これらを最新の状態にアップデートしていれば、改ざんされたサイトを閲覧しても悪質なプログラムが勝手にインストールされてしまう事態にはならない。Windows関連ソフトは「Windows Update」で、その他は、ネットセキュリティニュースの下記トピックスを参考に、バージョンチェックと最新版への更新を行っていただきたい。

■標的となるパソコン/端末：Windows、Mac、Android
ウイルス感染を狙った脆弱性攻撃の多くは、Windowsパソコンを標的としたものだが、一部にはMacを標的としたものもある。また、ユーザー自身にインストールさせようとするものもあり、こちらは、Windows、Macに加え、Android端末向けの攻撃も確認されている。だまされて、不正なアプリをインストールしてしまわないよう注意していただきたい。

■サイトの管理者の方へ
サイトが改ざんされる事例では、ウイルス感染を狙ったもののほかにも、ハッカーグループが不正アクセスに成功した証を残して行くだけのもの（情報通信研究機構の事例）や、フィッシングサイトの開設やウイルス置き場として悪用するもの、怪しいED薬や時計の販売サイトに誘導するリダイレクタを設置するものなどもある。これらは、サイトの閲覧者に直接の影響はないが、サイトの管理者の方は、改ざん個所の修正や不正なファイルの撤去だけで済まさないようにしていただきたい。Webアプリケーションの脆弱性や管理パスワードの漏えいといった、不正アクセスの根本的な原因を解消しないと、繰り返し不正アクセスを受け悪用されることになる。

（2012/05/31 ネットセキュリティニュース）

【関連URL】
・国際交流センターホームページの不具合について（和歌山県）
http://wave.pref.wakayama.lg.jp/news/kensei/shiryo.php?sid=15517
・多賀城市ホームページの改ざん被害について（宮城県多賀城市）
http://www.city.tagajo.miyagi.jp/topics/2405/to-2405-homepage.html
・当HPサイト不正改ざんについて（板橋区体育協会）
http://www.itabashi-taikyo.or.jp/wp/?p=807
・日本計算工学会　ホームページの改ざんに関するご報告とお詫び（日本計算工学会）
http://www.jsces.org/information/info/000284.html
・沖縄県立埋蔵文化財センターのホームページ改ざんについて（沖縄県教育委員会）
http://www-edu.pref.okinawa.jp/bunka/maizoubunka.html
・弊社デモ用サーバーのウェブページ改ざんに関するお知らせ（キヤノンマーケティングジャパン）
http://cweb.canon.jp/e-support/info/120515defacing.html
・情報通信研究機構 Webサイトへの不正アクセスについて（情報通信研究機構）
http://www.nict.go.jp/press/2012/05/01-1.html
・情報通信研究機構 Web サイトへの不正なアクセスに関する調査結果について（情報通信研究機構）
http://www.nict.go.jp/info/topics/2012/05/announce120516.html

DNS設定を書き換えるウイルス「DNS Changer」に感染したパソコンは、7月9日以降インターネットに接続できなくなるおそれがあるとして、セキュリティ企業や機関が注意を呼び掛けている。JPCERTコーディネーションセンター（JPCERT/CC）は22日、不正なDNS設定をチェックする「DNS Changer マルウエア感染確認サイト」を公開。グーグルも該当者の検索結果に警告を表示するサービスを開始した。

DNS（Domain Name System）は、URLなどに使用する文字列のホスト名を、通信時に使うIPアドレスに変換する名前解決の仕組みのこと。DNS Changerは、感染パソコンが不正なDNSサーバーを使うようにパソコンの設定を書き換え、正規サイトへのアクセスを不正なサイトに誘導し、不正な広告表示や偽セキュリティソフトなどで収益を上げていた。FBIの発表によると、約400万台のパソコンが感染し、1400万ドル以上の収益があったという。

DNS Changerを使った犯罪集団は、昨秋摘発され、使用していたサーバー群が差し押さえられた。不正なDNSサーバーは、正常なDNSサーバーに置き換えられ、感染パソコンが書き換えられたDNSサーバーを利用していても、不正なサイトに誘導されることはなくなった。ところが、この差し押さえ期限が7月9日に迫っており、その後はDNSサーバーとして利用できなくなってしまう可能性がある。設定が書き換えられたままだと、名前解決ができなくなり、Webサイトやメールサーバーにアクセスできなくなってしまうのだ。

DNS Changer対策を推進しているDDWC（DNS Changer Working Group）の発表によると、いまだに35万台ものパソコンが、DNS設定を書き換えられたまま使われているという。

■確認サイトでチェックしよう

パソコンのDNS設定が書き換えられていないかどうかを簡単に調べられるよう、DDWCや各国のセキュリティ機関などが、チェックサイトを開設しており、今回、JPCERT/CCが日本語表示のチェックサイトを開設した。下記の「DNS Changer マルウエア感染確認サイト」にアクセスし、緑色の「◎」で「DNS Changerマルウエアの感染は確認できません」と表示されたら。DNS ChangerによるDNS設定の書き換えは行われていない。書き換えられたDNSサーバーを利用している場合には、赤色の「×」で「DNS Changer マルウエアに感染している可能性があります」と表示される。

グーグルでは、検索結果ページに警告を表示するようになっている。書き換えられたDNSサーバーを利用している場合には、検索結果ページの上部に「お使いのパソコンは感染しているようです」と表示される。「このソフトウェアを削除する方法についてはこちらをご覧ください」のリンクをクリックすると、詳細と対策ページに案内される。

■警告が表示された場合には

これらのサイトでは、DNS Changerに感染中でDNS設定が書き換えられている場合と、駆除済みだがDNS設定が書き換えられたままになっている場合に警告が表示される。前者の場合はDNS Changerの駆除とDNS設定の修復を、後者の場合はDNS設定の修復を行う必要がある。DNS Changerの駆除は、各社から無償のツールが提供されているので、まずはこれを使ってDNS Changerの駆除を試みる。

再起動後も警告表示が続く場合には、DNS設定が修復されていない可能性がある。各社のツールが、DNS設定の修復まで行うのかどうかは不明だが、グーグルでは、このような場合には、DNS設定の修正を行う「Avira DNS Repair Tool」を改めて使用するよう勧めている。このツールは、Windowsのネットワーク設定をリセットするので、IPアドレスやDNSサーバーなどのネットワーク設定を自動取得する一般的なプロバイダの場合には、これで解決できる。プロバイダから、参照するDNSサーバーのIPアドレスを指定されている場合には、改めてプロバイダの指定通りにWindowsのネットワーク設定を行っていただきたい。

再起動後もさらに警告表示が続く場合には、一部のDNS Changerの亜種により、ルーターの設定が変更されている可能性がある。お使いのルーターのマニュアルを参照してルーターの設定ページを開き、DNSサーバーを自動取得、または、プロバイダから指定されたIPアドレスに設定しなおしていただきたい。

（2012/05/29 ネットセキュリティニュース）

【関連URL】
・DNS Changer マルウエア感染確認サイト
http://www.dns-ok.jpcert.or.jp/
・DNS 設定を書き換えるマルウエア (DNS Changer) 感染に関する注意喚起（JPCERT/CC)
https://www.jpcert.or.jp/at/2012/at120008.html
・Notifying users affected by the DNSChanger malware[英文]（Google Online Security Blog）
http://googleonlinesecurity.blogspot.jp/2012/05/notifying-users-affected-by-dnschanger.html
・DNS Changerマルウェア感染に関する注意喚起（IIJ-SECT）
https://sect.iij.ad.jp/d/2012/02/245395.html
・DNS Changerマルウェア感染に関する注意喚起 (続報)（IIJ-SECT）
https://sect.iij.ad.jp/d/2012/03/074130.html

【各社の駆除ツール】
・ルートキット駆除ユーティリティ「TDSSkiller」（カスペルスキー）
http://support.kaspersky.co.jp/faq/?qid=208288215
・ウイルス駆除ツール「Stinger」（マカフィー）
http://www.mcafee.com/japan/security/stinger.asp
・Windows Defender Offline（マイクロソフト）
http://windows.microsoft.com/ja-jp/windows/what-is-windows-defender-offline
・Microsoft Safety Scanner（マイクロソフト）
http://www.microsoft.com/security/scanner/ja-jp/default.aspx
・ノートン パワー イレイサー（シマンテック）
http://security.symantec.com/nbrt/npe.aspx
・Trend Micro Housecall（トレンドマイクロ）
http://jp.trendmicro.com/jp/tools/housecall/

【DNS修正ツール】
・Avira DNS Repair Tool[英文]（Avira）
http://www.avira.com/en/support-for-home-knowledgebase-detail/kbid/1199

グーグルは24日、同社のWebブラウザの最新安定版「Google Chrome 19.0.1084.52」を公開した。対象となるのは、Windows、Mac、Linux、およびInternet Explorer用のプラグイン「Chrome Frame」で、最新版への更新は自動的に行われる。

最新版では、危険度が4段階評価で最も高い「最高」2件と「高」9件、「中」2件の計13件の脆弱性が修正された。メモリ破壊の問題や解放したメモリにアクセスしてしまう問題など、クラッシュやコード実行につながるおそれがある脆弱性が多数修正されている。

（2012/05/25 ネットセキュリティニュース）

【関連URL】
・Stable Channel Update[英文]（Google Chrome Releases）
http://googlechromereleases.blogspot.jp/2012/05/stable-channel-update_23.html

情報処理推進機構（IPA）は23日、Android端末から個人情報を収集して外部へ送信する不審なアプリが、複数のブログや利用者の多いアプリ紹介サイトで掲載されダウンロードされていたとして、注意を呼び掛けた。

先月は、同様の動きをする不審アプリがAndroidの公式マーケットに掲載され、大量の個人情報が流出する事態となった。現在、警察が捜査を進めているが、そのさなか、今度は一般のWebサイトに同種のアプリが掲載されていることがわかった。

IPAによると、この不審アプリの名称は「占いアプリオーラの湖」で、5月中旬にはこのアプリによる被害相談が寄せられていた。同アプリは現在、確認サイトからは削除されているが、メールやSNSなどでも同種のアプリが紹介されている可能性があり、引き続き警戒が必要としている。

このアプリは起動後、画面中央の「今日相性の良い人を探す」ボタンをタッチすると、アドレス帳からランダムに連絡先を抽出し、「今日のあなたのラッキーパーソン」として個人名を表示する。しかし、その裏では、外部サイトへ端末情報とアドレス帳データを送信している。このほかアプリ起動時には別の外部サイトへ端末データを送信し、画面上部のバナーをタッチすると出会い系サイトへ接続するようになっていた。

IPAは、今後も同様の不審アプリが出現する可能性があるとして、特に注意すべき2点をあげている。1つは、公式マーケットではない場所で配布されているアプリに警戒すること。公式マーケット以外から入手したアプリは、インストール時の画面背景が黒色となるので、この背景色で判別し、黒色の場合はとくに警戒心をもちたい。

もう1つは、インストール前に表示される、アプリが必要とする権限（パーミッション）の内容だ。「占いアプリオーラの湖」では、「位置確認」「ネットワーク通信」「個人情報」「料金が発生するサービス」「電話発信」の5つの権限の許可を求めている。「位置確認」では端末位置情報の利用、「個人情報」ではアドレス帳を読むこと、「電話発信」では端末識別子を読むことを、アプリに許可してしまう。それらの権限が当該アプリに本当に必要かどうか、インストール前に考えてほしいとしている。

（2012/05/24 ネットセキュリティニュース）

【関連URL：IPA】
・Android OSを標的とした不審なアプリに関する注意喚起
http://www.ipa.go.jp/security/topics/alert20120523.html

東京都は21日、使った覚えのない有料サイトの利用料などを請求する「架空請求」を行う業者名とサイト名の一覧を更新し、一般公開した。

都は、架空請求の手口が悪質化・巧妙化していることから、消費者を守るため、架空請求を行う業者名とサイト名等を、都消費生活条例第27条に基づいて一般公開し、検索できるようにしている。

今回、新しく更新された架空請求業者は12業者で、それぞれが消費者宛てに送りつけているメール文もあわせて確認することができる。

公開されたメール文の多くは、消費者が携帯端末から利用した「モバイル情報コンテンツ」の管理会社から依頼され、身辺調査に入ったので連絡するという説明から始まっている。利用したとされるコンテンツの内容は、「有料総合サイト」や「有料複合サイト」等とあいまいにしているか、着メロ・天気・ニュース・ギャンブル・出会い・アダルト・動画・懸賞・SNS等々、携帯端末ユーザーが使いそうなメニューを並べている。

これらコンテンツの無料期間内で退会手続きがとられておらず、利用料金が発生しているが、長期間放置されている。連絡がもらえなければ法的手続きをとるとし、ほとんど例外なく、各信用情報機関の「ブラックリストにのることになる」と脅している。

メール文末のシグネチャ部分には、「東京都公安委員会：第*****号」「東京都調査業協会会員」「関連団体：社団法人日本調査業協会」等とそれらしい架空の肩書をあげ、脅しの効果を上げることを狙っている。都は、これらのメールに「けっして連絡しないように！」と強く呼びかけている。

下記の「架空請求対策（STOP!架空請求!）」ページでは、「請求書が画面に現われるまでを実際に体験」できるサンプルサイトが用意されている。また、架空・不当請求の手口として、「ポップアップ・ダイアログ型」「スパムメール型」「EXEファイル実行型」「多重登録型」の4つを紹介し、対応方法を解説している。
電話相談ができる「架空請求110番」や、架空請求メール・サイトの通報ができる窓口も紹介されているので、困ったときは利用されたい。

（2012/05/23 ネットセキュリティニュース）

【関連URL：東京都】
・東京くらしWEB
http://www.shouhiseikatu.metro.tokyo.jp/
・架空請求事業者一覧
http://www.shouhiseikatu.metro.tokyo.jp/torihiki/kakuuichiran/index.html
・架空請求対策（STOP!架空請求!）
http://www.shouhiseikatu.metro.tokyo.jp/torihiki/taisaku/

SNSやメールで「悩みを聞いてほしい」「費用は口座に振り込む」など誘われ、有料メール交換を経て数百万円の被害にあうケースが後を絶たない。国民生活センターはこうした手口を“サクラサイト商法”と呼び、5月22日から6月末まで被害撲滅キャンペーンを実施する。30日からは弁護士による電話相談も行われる。

同センターによると、SNSサイトへのメッセージの書き込みや、内職や副業関連サイト、懸賞・占いサイト等に登録後に届くメール、何気ない広告メールなどが、サクラサイト商法の被害にあうきっかけとなる。

最初のメールでは、サイト業者に雇われた“サクラ”が、異性、芸能人、社長、弁護士、占い師などのキャラクターになりすまし、「相談にのってくれたら報酬を払う」「遺産を受け取ってほしい」「節税のためにお金を渡したい」などと誘ってくる。

これらの誘いに乗って、指定されたサイト（サクラサイト）に登録してしまうと、相手はさまざまな理由を挙げてメールのやり取りを長引かせてくる。また、サイト運営者を名乗る人物も、さまざまな理由を挙げて費用請求を送りつけてくる。結果、消費者は高額な料金の支払いを迫られることになる。

同センターは主な相談事例として4つのケースを挙げているが、うち3ケースは30歳代の女性だ。タレントを名乗る人物を相手に260万円、援助を申し出た高収入の人物を相手に180万円、「悩みを聞けば収入を得られる」という広告につられて180万円を、それぞれ騙し取られている。残りの1ケースは60歳代の男性で、婚活サイト登録後に陰陽師を名乗る人物とやり取りし、600万円の被害にあってしまった。

同センターは、このような料金は決して支払わないようにアドバイスするとともに、最寄りの消費生活センターにつながる「0570-064-370」に電話をかけて相談するよう呼びかけている。話中でつながらない場合には、03-3446-1623（国民生活センター平日バックアップ相談）にかけるとよい。また、5月30日～6月2日は、全国の弁護士会・弁護団が「サクラサイト被害撲滅全国一斉110番」を開設するので、利用されたい（最寄りの電話番号は下記「サクラサイト被害撲滅全国一斉110番の開催について」参照）。

（2012/05/22 ネットセキュリティニュース）

【関連URL】
・詐欺的“サクラサイト商法”被害撲滅キャンペーン
http://www.kokusen.go.jp/info/data/2012_sakuracamp.html
・サクラサイト被害撲滅全国一斉110番の開催について
http://www.kokusen.go.jp/info/data/2012_sakuracamp_1.html
・詐欺的な“サクラサイト商法”にご用心！－悪質“出会い系サイト”被害110番の結果報告から－
http://www.kokusen.go.jp/news/data/n-20120419_2.html

オンラインゲームで「コンプガチャ」と呼ばれるアイテム販売の方法について、消費者庁は18日、景品表示法で規制されている「カード合わせ」に当たるという見解を公表するとともに、同法の運用基準改正案を示し、パブリックコメントの募集を開始した。関連事業者6社は5月31日までにコンプガチャの取扱いを終了することを決定している。

「コンプガチャ」は、英単語のcomplete（完成させる）と、駄菓子屋の店頭などに置かれているガチャガチャ（硬貨を入れてダイヤルを回すとカプセル入り玩具が1つ出てくる）を組み合わせた造語だ。オンラインゲームで、ガチャガチャと類似の操作で数種類のアイテム等を全部揃えると、別の希少なアイテムを入手できる仕組みを指す。アイテムを揃えるために「ガチャ」を何度も行って高額な料金を支払うケースが多発し、とくに子どもへの影響が大きいとして問題になっていた。

同庁は、コンプガチャについて、景品表示法の懸賞景品制限告示第5項にいう「カード合わせ」を用いた懸賞による景品類の提供に該当するという見解を示した。これは、同項の規定によって禁止されている。

同庁は、この見解に基づいて「『懸賞による景品類の提供に関する事項の制限』の運用基準について」の「4 告示第五項（カード合わせ）について」に、次の一文を入れる改正を行うとしている。

(1) 次のような場合は、告示第五項のカード合わせの方法に当たる。
携帯電話ネットワークやインターネット上で提供されるゲームの中で、ゲームのプレーヤーに対してゲーム中で用いるアイテム等を、偶然性を利用して提供するアイテム等の種類が決まる方法によって有料で提供する場合であって、特定の数種類のアイテム等を全部揃えたプレーヤーに対して、例えばゲーム上で敵と戦うキャラクターや、プレーヤーの分身となるキャラクター（いわゆる「アバター」と呼ばれるもの）が仮想空間上で住む部屋を飾るためのアイテムなど、ゲーム上で使用することができる別のアイテム等を提供するとき。

この改正部分に関する国民からパブリックコメントを5月18日から6月18日の期間で募集し、7月1日からの施行を予定している。同庁へ意見を送る方法は、下記の関連URLを参照いただきたい。

なお、コンプガチャのプラットフォームを提供する事業者6社は、コンプガチャの取り扱いを31日までに終了することを自主的に決定しており、事業者としての対応について、パブリックコメント等を通じて意見提出することも検討していくとしている。

（2012/05/21 ネットセキュリティニュース）

【関連URL】
・「『懸賞による景品類の提供に関する事項の制限』の運用基準について」の改正に関する意見募集（意見募集期間：平成24年5月18日～平成24年6月18日）（消費者庁）
http://www.caa.go.jp/action/comment/index.html
・パブリックコメント：意見募集中案件詳細（電子政府総合窓口）
http://search.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=235070005&Mode=0
・「カード合わせ」に関する景品表示法（景品規制）上の考え方の公表及び景品表示法の運用基準の改正に関するパブリックコメントについて（消費者庁）
http://www.caa.go.jp/representation/pdf/120518premiums_1.pdf
・「懸賞による景品類の提供に関する事項の制限」の運用基準について（消費者庁）
http://www.caa.go.jp/representation/pdf/100121premiums_23.pdf

＜関連事業者のリリース＞
・「カード合わせ」に関する景品表示法（景品規制）上の考え方の公表を受けての対応とプラットフォーム事業者6 社の取り組みについて
（NHN Japan）[PDF]
http://www.nhncorp.jp/press/files/PRESS_20120518180334.pdf
（グリー）
http://www.gree.co.jp/news/press/2012/0518_01.html
（サイバーエージェント）
http://www.cyberagent.co.jp/news/press/2012/0518_1.html
（ディー・エヌ・エー）
http://dena.jp/press/2012/05/6.php
（ドワンゴ）[PDF]
http://info.dwango.co.jp/pdf/news/service/2012/120518.pdf
（ミクシィ）
http://mixi.co.jp/press/2012/0518/10860/

Androidを狙う攻撃者が新たな手口を使い始めた。改ざんされたサイトを閲覧するだけで、ウイルスがAndroid端末にダウンロードされてしまう。

スマートフォン専門のセキュリティベンダー、Lookoutは米国時間2日、Android端末をターゲットにしたウイルス「NotCompatible」について注意を呼びかけた。このウイルスは改ざんされたサイトを使ってばらまかれており、Android端末でアクセスすると自動的にダウンロードが始まってしまう。

複数のセキュリティベンダーの情報によると、このときダウンロードされるのは「Update.apk」というファイルで、アプリの名前は「com.Security.Update」。感染が成立するのは、ユーザー自らがこのアプリをインストールした場合のみだ。そこで攻撃者は、「アップデート」「セキュリティ」という言葉でユーザーをだまし、インストールを実行させようとしている。また、「提供元不明のアプリ」のインストールが許可されていない端末では、インストールはブロックされる。

NotCompatibleがインストール時に要求するパーミッションは、「インターネットへの接続」、「ネットワーク状態の取得」、「Android起動完了の検出」のみだ。この3つの要求から「怪しさ」を感じ取るのは困難だろう。感染を防ぐためには、提供元不明のアプリをインストールしないことが大切だ。

NotCompatibleに感染すると、端末がプロキシとして動作するようになり、不正アクセスの踏み台として使われてしまうおそれがある。端末自体には、情報を盗み取られるなどの直接的な被害は発生しないようだ。

NotCompatibleは、セキュリティソフトによっては「FAKEUPDATES」「Nisev」「NoCom」「NotCom」といった名前で検出される。

改ざんされたサイトを使ってウイルスをばらまく手口では、これまで、WindowsパソコンとMacパソコンがターゲットにされてきた。今回、はじめてAndroidを狙った同種の攻撃が確認されたことになる。

（2012/05/18 ネットセキュリティニュース）

【関連URL】
・UPDATE: Security Alert: Hacked Websites Serve Suspicious Android Apps (NotCompatible)[英文]（Lookout）
http://blog.mylookout.com/blog/2012/05/02/security-alert-hacked-websites-serve-suspicious-android-apps-noncompatible/
・Androidを狙うトロイの木馬と連動したWebサイトインジェクション攻撃（シマンテック）
http://www.symantec.com/connect/blogs/android-web
・‘Android/NotCompatible’ Looks Like Piece of PC Botnet［英文］（McAfee）
http://blogs.mcafee.com/mcafee-labs/androidnotcompatible-looks-like-piece-of-pc-botnet

【ウイルス情報】
・Android.Notcompatible[英文]（Symantec）
http://www.symantec.com/security_response/writeup.jsp?docid=2012-050307-2712-99
・ANDROIDOS_FAKEUPDATES.VL（トレンドマイクロ）
http://about-threats.trendmicro.com/Malware.aspx?language=jp&name=ANDROIDOS_FAKEUPDATES.VL
・Trojan:AndroidOS/NoCom.A［英文］（Microsoft）
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Trojan%3AAndroidOS%2FNoCom.A&ThreatID=-2147310575

RealNetworksは4日、深刻な脆弱性を修正したWindows版の「RealPlayer15.0.4.53」を公開した。対象となるのは、「15.0.3.37」以前のWindows版（11.x/SP 1.xを含む）。

最新版では、MP4ファイルを扱う際にメモリ破壊が起こる問題や、RealMedia ASMRuleBookの解析処理においてリモートでコードが実行される可能性がある問題、RealJukeboxメディアの解析処理においてバッファオーバーフローが起こる問題が修正されている。これらの脆弱性が悪用されると、任意のコードが実行されてパソコンを乗っ取られるおそれがある。

同社は、これまでのところ、これらの脆弱性によって障害が発生したという報告はないが、脆弱性を回避するため、最新版へ更新するようすすめている。

RealPlayerの最新版は、同社ダウンロードページから入手できる。いま自分が使っているRealPlayerのバージョンは、ヘルプメニューの[バージョン情報]から確認できる。

（2012/05/17 ネットセキュリティニュース）

【関連URL：RealNetworks】
・RealNetworks, Inc.、セキュリティ脆弱性に対応するアップデートをリリース
http://service.real.com/realplayer/security/05152012_player/ja/
・RealPlayer ダウンロード
http://jp.real.com/?mode=rp

アップルは16日、17件の脆弱性を修正したWindows用QuickTimeの最新版「7.7.2」を公開した。対象となるのは、Windows 7/Vista/XP。早急にアップデートすることをおすすめする。

最新版では、今月9日に公開された「OS X Lion 10.7.4」や「セキュリティアップデート 2012-002」で修正済みのもの4件を含め、17件の脆弱性が修正された。

細工されたWebサイトを訪問したり、細工された動画ファイルやMP4ファイル、MPEGファイル、PNG画像、.pictファイルを閲覧、表示したりすることにより、クラッシュや任意のコードが実行される可能性があるなどの深刻な問題ばかりなので、早急にアップデートすることをおすすめする。

QuickTimeとセットでインストールされている「Apple Software Update」で最新版を自動インストールできる。アップルのサイトから最新版を入手することも可能だ。

なお、QuickTime 6 ProのユーザーがQuickTime 7をインストールすると、QuickTime Proの機能は使えなくなる。この場合、QuickTime Proの機能を再び使えるようにするには、QuickTime 7 Pro用の登録コードを購入する必要がある。

（2012/05/16 ネットセキュリティニュース）

【関連URL：アップル】
・QuickTime 7.7.2 for Windows[英文]
http://support.apple.com/kb/DL837
・About the security content of QuickTime 7.7.2[英文]
http://support.apple.com/kb/HT5261?viewlocale=ja_JP&locale=ja_JP
・QuickTime - ダウンロード
http://www.apple.com/jp/quicktime/download/

グーグルは16日、同社のWebブラウザの最新安定版「Google Chrome19」（19.0.1084.46）を公開した。対象となるのは、Windows、Mac、Linux、およびInternet Explorer用のプラグイン「Chrome Frame」で、最新版への更新は自動的に行われる。

最新版では、Google ChromeにログインするとAndroidを含めすべてのデバイスでタブを同期できるようになったほか、脆弱性20件が修正された。このうち2件は、Google Chrome以外にも影響がある脆弱性だ。

脆弱性の危険度は、4段階評価で上から2番目の「高」が8件、「中」7件、「低」5件。解放したメモリにアクセスしてしまう問題など、コード実行につながるおそれのある深刻な問題も多数修正されている。

（2012/05/16 ネットセキュリティニュース）

【関連URL】
Stable Channel Update[英文]（Google Chrome Releases）
http://googlechromereleases.blogspot.jp/2012/05/stable-channel-update.html

アップルは15日、OS X 10.5 Leopard用の「Leopard セキュリティアップデート 2012-003」を公開した。また同日、Leopardからウイルス「Flashback」を除去するツール「Flashback Removal セキュリティアップデート」も公開した。

「Leopard セキュリティアップデート 2012-003」を適用すると、「10.1.102.64」以前のバージョンのFlash Playerが無効化され、アドビのサイトから最新のFlash Playerをダウンロード、インストールするよう促す画面が表示される。Mac OS X 10.5（PowerPCを除く）で利用できる最新のFlash Playerは、バージョン10.3。

なお、PowerPC版Mac OS X 10.5で利用できるFlash Playerは「10.1.102.64」まで。今回のアップデートでは「10.1.102.64」も削除されるため、PowerPC版Mac OS X 10.5では以後、Flash Playerを利用できなくなる。

今回の措置に関し、現在、Flash Player 10.2や、「10.1.102.64」よりも後のFlash Player 10.1を利用しているLeopardでは、削除も最新版への誘導も行われないことに注意が必要だ。また、古いFlash Playerの削除と最新版への誘導という措置は、9日に公開されたSafari 5.1.7（対象：OS X Lion/OS X 10.6）にも含まれていたが、こちらも削除対象となっているのは「10.1.102.64」以前。OS X Lion/OS X 10.6のFlash Player推奨バージョンは11なので、「10.1.102.64」より後の10.1や、10.2、10.3のユーザーは取り残されてしまう形となっている。

Macを使っている方はこの機会に、「Flash Playerのバージョン確認」ページで現在利用しているFlash Playerのバージョンを確認し、最新版をダウンロード、インストールするようおすすめする。

「Flashback Removal セキュリティアップデート」には、LeopardからウイルスFlashbackを除去するツールが含まれている。また、このアップデートを適用すると、SafariのJavaプラグインが無効化される。

（2012/05/16 ネットセキュリティニュース）

【関連URL：アップル】
・About the security content of Leopard Security Update 2012-003[英文]
http://support.apple.com/kb/HT5283?viewlocale=ja_JP&locale=ja_JP
・Leopard セキュリティアップデート 2012-003
http://support.apple.com/kb/DL1533?viewlocale=ja_JP&locale=ja_JP
・Flashback Removal セキュリティアップデート
http://support.apple.com/kb/DL1534?viewlocale=ja_JP&locale=ja_JP
【関連URL】
・Flash Playerのバージョン確認（アドビ）
http://www.adobe.com/jp/software/flash/about/

マイクロソフトは4月26日、2011年下半期（2011年7月～12月）を中心に、ソフトウェアの脆弱性や、ウイルスなど悪意のあるコードの動向を分析してまとめた「マイクロソフトセキュリティインテリジェンスレポート第12版」を公開した。

レポートでは、全世界の6億台以上のシステム、インターネットサービス、3つのマイクロソフトのセキュリティセンターのデータを基にした分析結果が示されている。

オペレーティングシステムおよびサービスパック別の感染率も公開されている。マイクロソフトでは、ウイルスや悪意のあるソフトウェアを検出、駆除する「悪意のあるソフトウェアの削除ツール」を提供しているが、このツールでの検出状況を調査、分析したものだ。

2011年10月から12月のデータを見ると、より新しいオペレーティングシステム（OS)とサービスパック（SP）の組み合わせほど、感染率が低くなる傾向が見られる。XPやVistaよりも、Windows 7のほうが感染率が低い。また、SPを適用していない、RTM版のWindows 7よりも、SP1を適用したWindows 7のほうが感染率が低かった。

最も感染率が低かったのは、Windows 7 SP1の64ビット版だった。

XP SP3については、より新しいOSであるVista SP1の32ビット版/64ビット版や、Vista SP2の64ビット版よりも、感染率が低い。これは、XPユーザーがより新しいWindowsに移行していったように、マルウェア（悪意を持ったソフトウェア）の作者が古いプラットフォームを攻撃対象から外したためではないかとマイクロソフトではみている。

これについては別の要素も考えられるだろう。たとえば、Vista SP1は、昨年7月にサポートが終了している。新しいサービスパックを適用せずにサポート切れの状態でVista SP1を使い続けているようなユーザーは、セキュリティ対策全般に無頓着で、OSだけでなく他のソフトウェアのアップデートもおろそかにしており、そのため感染率が高くなっている可能性もある。

OSやソフトウェアを最新の状態に保つことは、セキュリティ対策の基本だ。アップデートを怠らないよう強くおすすめしたい。

なお、同レポートには、2008年11月に発見されて以降、企業にとって重大な脅威となっているウイルスConfickerや、APT（組織、政府、個人に目標を定め執拗に行われる攻撃）についての特集記事も掲載されている。

（2012/05/15 ネットセキュリティニュース）

【関連URL】
・セキュリティインテリジェンスレポート（マイクロソフト）
http://www.microsoft.com/ja-jp/security/resources/sir.aspx
・マイクロソフトセキュリティインテリジェンスレポート（SIR）第12版を公開（日本のセキュリティチームのブログ）
http://blogs.technet.com/b/jpsecurity/archive/2012/04/26/3494670.aspx

オラクルは4月26日（米国時間。以下同）、JRE（Java Runtime Environment：Java実行環境）の最新版、JRE 7 Update 4（1.7.0_04）と、JRE 6 Update 32（1.6.0_32）を公開した。また5月2日、ブログ「Henrik on Java」で、JREの推奨バージョンをこれまでの「6」から「7」に変更したと発表した。

JREは、プログラム言語「Java」で書かれたプログラムを実行するために必要なソフトウェア。バージョン5まではすでに無償サポートが終了しており、バージョン6の無償サポートも2012年11月で終了する。業務や訪問サイトの関係でバージョン6が必要だという方もいるだろうが、そうでない場合は、この機会にバージョン7へ移行（アップグレード）するようおすすめする。

現在JRE 6を使用中で、JRE 7に移行したい方は、まずJRE 6をアンインストールし、下記のダウンロードページで配布されている最新版（現在は 7 Update 4）をダウンロード、インストールするとよい。

すでにJRE 7に移行した方は、JRE 6や、もっと古いJRE 5などが残っていないかどうかを確認しよう。もし残っていた場合は、セキュリティの観点から、業務等で必要な場合を除き、旧バージョンをすべて削除するようおすすめする。確認と削除の方法については、下記の「WindowsコンピュータからJavaをアンインストールするにはどうすればよいですか？」を参照していただきたい。

またオラクルでは、自動更新機能を通じてJRE 6からJRE 7への自動アップグレードを始める予定だとしている。自動アップグレードのプロセスでは、まずアップグレーを許可するかどうかたずねる画面が表示され、許可を選択すると、JRE 6が削除されてJRE 7がインストールされる。自動アップグレードの開始時期は明らかにされてない。

無償サポートが終了するまでJRE 6を使い続けたい方や、JRE 6とJRE 7の両方を使いたいという方は、「About Java 7」（英文）を参照していただきたい。

（2012/05/14 ネットセキュリティニュース）

【関連URL：オラクル】
・Javaのバージョンの確認ページ
http://www.java.com/ja/download/installed.jsp
・JREのダウンロードページ
http://java.com/ja/download/
・WindowsコンピュータからJavaをアンインストールするにはどうすればよいですか？
http://www.java.com/ja/download/uninstall.jsp
・旧バージョンのJavaをシステムから削除しなければならないのはなぜですか
http://www.java.com/ja/download/faq/remove_olderversions.xml
・Moving to Java 7 as default[英文]（Henrik on Java）
https://blogs.oracle.com/henrik/entry/moving_to_java_7_as
・About Java 7[英文]（Oracle）
http://java.com/en/java7faq/
・Java SE 7 Update 4[英文]（Oracle）
http://www.oracle.com/technetwork/java/javase/7u4-relnotes-1575007.html
・Java SE 6 Update 32[英文]（Oracle）
http://www.oracle.com/technetwork/java/javase/6u32-relnotes-1578471.html

情報処理推進機構セキュリティセンター（IPA/ISEC）は7日、2012年4月のウイルス、不正アクセスの届出状況のまとめを発表した。4月には Android 端末用アプリの公式マーケットで不正アプリが多数ダウンロードされる事故があったことから、その危険性と騙しのテクニック、被害にあわないための対策を解説している。

■ウイルス、不正アクセスの届出状況

4月のウイルスの検出数は1万339個で、3月（1万5841個）から34.7%減少した。届出件数は732件で、3月（866件）から15.5%減少した。検出数1位はW32/Mydoom（5150個）、2位はW32/Netsky（3646個）、3位はW32/Downad（622個）。
不正プログラムの検知状況は、別のウイルスを感染させようとするDOWNLOADER、オンラインバンキングのID/パスワードを詐取するBANCOSといった不正プログラムが増加傾向をみせた。

不正アクセスの届出件数は9件（3月5件）で、うち7件に被害があった。被害内容は侵入4件、成りすまし3件。侵入の被害4件はすべてWebページ改ざんで、うち2件はウイルスをダウンロードさせるように改ざんされていた。侵入の原因は、CMSの脆弱性を悪用されたもの1件、ネットワーク経由のブルートフォース攻撃（暗号解読方法のひとつで、可能な組み合わせを全て試す総当たり攻撃）により管理者権限を奪われたもの1件、サーバーの設定不備が1件（他は原因不明）。なりすましの被害は、オンラインサービスを勝手に利用されたもの2件、メールアカウントの悪用でスパムメールを送信されたもの1件だった。

ウイルスや不正アクセス関連の相談総件数は750件（3月772件）。うち「ワンクリック請求」関連が131件（3月130件）、「偽セキュリティ対策ソフト」関連が26件（3月44件）、Winny関連が7件（3月6件）、「情報詐取を目的として特定の組織に送られる不審なメール」関連が3件（3月3件）などだった。

■不正アプリに騙されないための予防策

4月には、Android端末用アプリの公式マーケット「Google Play」に不正アプリが多数掲示され、推定7万回以上ダウンロードされた事故があった。この不正アプリをインストールし実行すると、端末情報やアドレス帳の中身が外部に送信され、個人情報やプライバシー情報が流出してしまうことがわかっている。IPAは検証によってその手口を紹介し、対策を立てるようアドバイスしている。

・特徴1：魅力的なアプリを装う
不正アプリは人気が高い著名なアプリ名やアイコンを使ってスマートフォン利用者を引きつけ、インストールさせていた。ダウンロードすると、「スヌーピーストリート the Movie」のはずが「笑える動画」に、「けいおん-K-ON!動画」のはずが「アニメ動画」に、「3D視力回復 THE MOVIE」のはずが「泣ける動画」にアプリの名称が変わった。

・特徴2：3つの権限許可を得て外部に個人情報を送信
アプリをダウンロードする前、アプリが必要とする権限（パーミッション）の確認画面が表示されるが、IPAの検証によると、今回の不正アプリは「電話発信」「個人情報」「ネットワーク通信」の3つの権限を求めている。権限確認画面で同意すると、不正アプリにそれらの権限を与えてしまう。「電話発信」ではアプリが端末に付与されている電話番号や端末識別番号などを読み取ることができ、着信状態なども読み取られる。「個人情報」ではアドレス帳など連絡先データが読み取られ、「ネットワーク通信」ではアプリが外部のサーバーと自由に通信できる。これらを許可された不正アプリは、端末情報とアドレス帳の情報を勝手に外部のサーバーに送信することができる。

・不正アプリに騙されない対策
IPAは「信頼できる場所から入手する」「ダウンロード前にアプリが必要とする権限をよく確認する」「セキュリティソフトを利用し、アプリのインストール後にスキャン結果を確認する」「アプリを最新の状態に保つ」ことを基本として挙げている。さらに一歩踏み込んだ対策として、インストール前に、レビュー記事の確認、アプリ開発者やアプリ名をインターネットで検索して悪い評判がないか情報収集することも勧めている。

たしかにこれらの対策は重要なものばかりだ。しかし、今回の不正アプリについて言えば、ユーザーは「信頼できる場所」から入手している。必要なパーミッションの判断も簡単ではなく、レビューなどの情報も新しいアプリであれば収集は難しいだろう。これらの対策を十分に踏まえたうえで、IPAが言うように「総合的に判断」することが、ユーザーには求められている。

（2012/05/11 ネットセキュリティニュース）

【関連URL：IPA】
・コンピュータウイルス・不正アクセスの届出状況[4月分]について
http://www.ipa.go.jp/security/txt/2012/05outline.html

8日付記事で住信SBIネット銀行をかたるフィッシングへの注意をお伝えしたが、今度は楽天銀行をかたるフィッシングメールと偽サイトが確認され、フィッシング対策協議会と当該銀行は10日、注意を呼びかけた。この偽メールが誘導する偽サイトはすでに閉鎖されたが、週末にかけて、類似の偽サイトが公開されるおそれもあるため、引き続き注意していただきたい。

同協議会によると、楽天銀行をかたる偽メールは、「Security Alert:○○○○○」などという件名で配布された。　偽メールが誘導する偽サイトでは、当該銀行を模したログイン画面を示し、ユーザIDとログインパスワードの入力を求めている。同協議会は10日午後3時現在、偽サイトの閉鎖を確認した。

当該銀行は、同行からメールで、顧客情報（ユーザID、ログインパスワード、暗証番号、合言葉など）や、カード情報（カード番号、有効期限など）を照会することは一切ないとして、同行を装ってWebサイトへ誘導するメールが届いても、リンク先にアクセスしたり、添付ファイルを開いたりしないよう注意を促している。もし万一、入力してしまった場合は、早急にログインパスワード等の変更を行う必要がある。

同行は、「Internet Explorer6の場合」と「Internet Explorer7以降の場合」の2例に分けて、偽サイトの見分け方を図示しているので、参照されたい。

（2012/05/11 ネットセキュリティニュース）

【関連URL】
・楽天銀行をかたるフィッシング（フィッシング対策協議会）
http://www.antiphishing.jp/news/alert/rakutenbank20120510.html
・フィッシング詐欺に関するご注意（楽天銀行）
http://www.rakuten-bank.co.jp/info/2012/120510.html

アップルは7日、モバイル端末向けOSの最新版「iOS 5.1.1」を公開。9日に「Mac OS X Lion」の最新版と「Mac OS X 10.6（Snow Leopard）」用のセキュリティアップデート、Webブラウザ「safari」の最新版を公開した。

■「iOS 5.1.1」
対象は、iPhone 3GS/4/4S、iPad/iPad 2、iPod touchの第3世代と第4世代。ブラウザの「safari」とレンダリングエンジンの「WebKit」に関係する4件の脆弱性が修正された。任意のコードが実行されるおそれのある問題をはじめ、ロケーションバーのアドレス偽装やクロスサイトスクリプティングの問題が含まれる。
最新版への更新は、端末の「設定」アイコンから「一般」→「ソフトウェア・アップデート」と進むか、端末をパソコンに接続してiTunes経由で行う。

■「OS X Lion 10.7.4」「セキュリティアップデート 2012-002」
対象は、OS X Lion 10.7.3、およびMac OS X v10.6.8。19のコンポーネントで36件の脆弱性が修正された。コード実行のおそれのある問題が多数含まれる。
最新版への更新は、アップルメニューの「ソフトウェア・アップデート」から実行できるほか、同社の「サポートダウンロード」ページから、それぞれの環境に合わせた最新版を入手することができる。

■「Safari 5.1.7」
対象は、OS X Lion 10.7.3およびMac OS X Snow Leopard 10.6.8と、Windows 7/Vista/SP2以降のXP。レンダリングエンジンの「WebKit」に関係する4件の脆弱性が修正された。任意のコードが実行されるおそれのある問題とクロスサイトスクリプティング、フォーム入力の漏えい問題が含まれる。
最新版への更新は、「ソフトウェア・アップデート」や、Windows版同梱の「Apple Software Update」から更新できるほか、「サポートダウンロード」ページから最新版を入手できる。

（2012/05/10 ネットセキュリティニュース）

【関連URL：アップル】
・About the security content of iOS 5.1.1 Software Update[英文]
http://support.apple.com/kb/HT5278
・About the security content of OS X Lion v10.7.4 and Security Update 2012-002[英文]
http://support.apple.com/kb/HT5281
・About the security content of Safari 5.1.7[英文]
http://support.apple.com/kb/HT5282?viewlocale=ja_JP&locale=ja_JP
・サポートダウンロード
http://support.apple.com/ja_JP/downloads/

アドビシステムズは9日、5件の深刻な脆弱性を修正した「Shockwave Player」の最新版「11.6.5.635」を公開した。対象となるのは、Windows版とMacintosh版の「11.6.4.634」およびそれ以前のバージョン。

最新版で修正された5件の脆弱性は、いずれもメモリ破壊を引き起こす危険なもの。悪用されると任意のコードが実行され、システムを乗っ取られるなどのおそれがある。

Shockwave Playerは、同社のオーサリングソフト「Director」で作成されたコンテンツを再生するプレーヤーだ。日本国内では、Flashコンテンツのようには普及していないため、インストールされていないパソコンも多い。Shockwave Playerがインストールされているかどうかは、下記の「Shockwave Playerのバージョン確認」ページで確認できる。

このページのShockwave Playerのボックスでアニメーションが再生されない場合は、Shockwave Playerがインストールされていないので、プラグインのダウンロードやアップデートの必要はない。最新版に更新する必要のある方は、下記の「Shockwave Playerのダウンロード」ページで入手できる。

■3製品のセキュリティ情報公開

同社はこのほかに、WindowsおよびMacintosh用の3製品に関するセキュリティ情報も公開した。いずれもアップデート版の用意はなく、同社は、11日発売のCS6にアップグレードすると、問題が解消されるとしている。

＜Adobe Illustrator CS5.1以前のバージョン＞
メモリ破壊が起きる脆弱性が5件あり、悪用されると任意のコードが実行され、システムを乗っ取られるなどのおそれがある。

＜Adobe Photoshop CS5.1以前のバージョン＞
TIFF画像の処理に関する2件の脆弱性があり、悪用されると任意のコードが実行され、システムを乗っ取られるなどのおそれがある。

＜Flash Professional CS5.5以前のバージョン＞
JPEG画像の処理でヒープベースのバッファオーバーフローを引き起こす脆弱性が1件あり、悪用されると任意のコードが実行され、システムを乗っ取られるなどのおそれがある。

（2012/05/10 ネットセキュリティニュース）

【関連URL：アドビシステムズ】
・APSB12-13: Adobe Shockwave Player に関するセキュリティアップデート公開
http://kb2.adobe.com/jp/cps/936/cpsid_93614.html
・Shockwave Playerのバージョン確認
http://www.adobe.com/jp/shockwave/welcome/
・Shockwave Playerのダウンロード
http://get.adobe.com/jp/shockwave/
・APSB12-10： Illustrator に関するセキュリティ情報
http://kb2.adobe.com/jp/cps/936/cpsid_93613.html
・APSB12-11：Photoshop に関するセキュリティ情報
http://kb2.adobe.com/jp/cps/936/cpsid_93616.html
・APSB12-12： Flash Professional に関するセキュリティ情報
http://kb2.adobe.com/jp/cps/936/cpsid_93615.html

マイクロソフトは9日、5月度の月例セキュリティパッチ（セキュリティ更新プログラム）を公開した。公開されたパッチは、最も深刻な「緊急」3件を含む7件で、Office、Windows、.NET Framework、Silverlightに存在する23件の脆弱性が修正された。

【更新プログラムの内容】
影響を受けるソフトウェア（セキュリティ情報ID）と、修正される脆弱性の内容は以下の通り。

［緊急］
・Office（MS12-029）：1件の非公開で報告された脆弱性（リモートでコードが実行される可能性）を修正する。
・Office、Windows、.NET Framework、Silverlight（MS12-034）：3件の公開された脆弱性、および7件の非公開で報告された脆弱性（リモートでコードが実行される可能性）を修正する。
・.NET Framework（MS12-035）：2件の非公開で報告された脆弱性（リモートでコードが実行される可能性）を修正する。

［重要］
・Office（MS12-030）：公開された1件の脆弱性、および5件の非公開で報告された脆弱性（リモートでコードが実行される可能性）を修正する。
・Office（MS12-031）：1件の非公開で報告された脆弱性（リモートでコードが実行される可能性）を修正する。
・Windows（MS12-032）：1件の公開された脆弱性、および1件の非公開で報告された脆弱性（特権昇格の可能性）を修正する。
・Windows（MS12-033）：1件の非公開で報告された脆弱性（特権昇格の可能性）を修正する。

「緊急」に分類されている「MS12-029」で修正される脆弱性は、Word (RTF）に存在する。攻撃者が特別に細工した RTF ファイルをユーザーにメールで送りつけ、ユーザーがOutlook 2007 で開いた場合、2007ではWord がメールのリーダーとして既定選択されているため、RTFファイルをプレビュー表示しただけで脆弱性が悪用される危険がある。Outlook 2003 では Word が既定では選択されていないため緊急度は下がるが、Wordをリーダーに設定すればプレビュー表示で悪用が行われる。マイクロソフトは、いずれのバージョンでも早急にパッチを適用するよう勧めている。

上記7件のセキュリティ情報のほか、セキュリティアドバイザリ新規1件と、新たに2種類のマルウェアに対応した「悪意のあるソフトウェアの削除ツール」の更新バージョンが公開されている。

（2012/05/09 ネットセキュリティニュース）

【関連URL：マイクロソフト】
・セーフティとセキュリティセンター
http://www.microsoft.com/ja-jp/security/default.aspx
・2012年5月のセキュリティ情報
http://technet.microsoft.com/ja-jp/security/bulletin/ms12-may
・2012年5月のセキュリティ情報 (月例)
http://blogs.technet.com/b/jpsecurity/archive/2012/05/09/3496844.aspx
・Microsoft Update
http://windowsupdate.microsoft.com/

住信SBIネット銀行をかたるフィッシングメールが出回っているとして、同銀行およびフィッシング対策協議会が注意を呼び掛けている。この偽メールが誘導する偽サイトは、7日午後4時30分現在に稼働中で、類似の偽サイトが公開される可能性もあるため、引き続き注意が必要だ。

同銀行をかたる偽メールは、「SBI ダイレクトご利用の（＊＊＊） お客様に送信しております!」という件名で配布されている。（＊＊＊）には受信者のメールアドレスが入るが、この偽メールは、同銀行の口座をもっている顧客に限らず、不特定多数の人に発信されているという。

メール本文では、「お客様の口座に異常が発生していないかを確認しますので、ユーザーネーム、WEBログインパスワードを半角で正しく入力してください。」などとして、「ログイン」ボタンのクリックを促す。

偽サイトでは、「お客様の口座に異常が発生していないかを確認しますので必要事項を記入し送信してください。」と赤字で示し、ユーザーネーム、WEBログインパスワード、WEB取引パスワードの入力を促し、さらに乱数表を提示して「セキュリティカードの表面に記載されているすべての番号を入力してください」と認証番号を入力させようとする。

同銀行は、メールで顧客情報を照会することはないとし、不審なメールに記載されているリンク先はクリックしないように、また万一クリックしてしまった場合も、リンク先でユーザーネームやパスワード、認証番号等を絶対に入力しないように注意を呼び掛けている。下記の「お知らせ」ページでは、同銀行からのメールであることを見分ける方法も提示しているので、不審なメールが届いたら、確認されることをお勧めする。

（2012/05/08 ネットセキュリティニュース）

【関連URL】
・住信SBIネット銀行をかたるフィッシング（フィッシング対策協議会）
https://www.antiphishing.jp/news/alert/sbi20120507.html
・お知らせ：住信SBIネット銀行を装い、ユーザーネームやパスワードを盗み取るメールにご注意ください（住信SBIネット銀行）
https://www.netbk.co.jp/wpl/NBGate/i900500CT/PD/mg_notice_120507_info

アドビシステムズは4日、深刻な脆弱性1件を修正したFlash Playerの最新版を公開した。すでにこの脆弱性を悪用した標的型攻撃が行われており、早急に最新版に更新するようお勧めする。

対象となるのは、Windows、Mac、Linux版の「11.2.202.233」およびそれ以前のバージョンと、Android 4.x用の「11.1.115.7」およびそれ以前のバージョン、Android 3.x/2.x用の「11.1.111.8」およびそれ以前のバージョン。アップデート後は、Windows、Mac、Linux版が「11.2.202.235」に、Android 4.x版は「11.1.115.8」に、Android 3.x/2.x版は「11.1.111.9」に更新される。

最新版では、オブジェクトタイプの混乱により、コードが実行されるおそれのある脆弱性が修正された。シマンテックのブログによれば、この脆弱性を悪用するための細工したFlashファイルへのリンクをMicrosoft Wordの文書ファイルに埋め込み、メールに添付して送りつける標的型攻撃が行われているという。

Internet Explorer用のFlash Playerは、さまざまなアプリケーションから利用することができる「ActiveXコントロール」の形で提供されている。オブジェクトの埋め込みをサポートするMicrosoft Office製品では、WordファイルやExcelファイルに、Flashコンテンツを埋め込むことができ、それぞれのアプリケーションで開くと、ActiveXコントロール版のFlash Playerが呼び出される。現在行われている攻撃は、この仕組みを悪用したものなので、Windows版Internet Explorer用のFlash Playerをインストールしている方は、特に注意していただきたい。

システムにインストールされているFlash Playerのバージョンは、下記のバージョン確認ページにアクセスするか、コントロールパネルの「Flash Player」で確認できる。複数のブラウザを利用している方で、Flash Playerの自動更新機能を無効にしている場合には、ブラウザごとに確認と更新を行っていただきたい。

（2012/05/07 ネットセキュリティニュース）

【関連URL】
・APSB12-09: Adobe Flash Player に関するセキュリティアップデート公開（アドビシステムズ）
http://kb2.adobe.com/jp/cps/936/cpsid_93612.html
・Adobe Flash Player の脆弱性（CVE-2012-0779）を悪用する標的型攻撃（シマンテック）
http://www.symantec.com/connect/ja/blogs/targeted-attacks-using-confusion-cve-2012-0779
・Flash Playerのバージョン確認（アドビシステムズ）
http://www.adobe.com/jp/software/flash/about/
・Flash Playerのダウンロード（アドビシステムズ）
http://get.adobe.com/jp/flashplayer/

マイクロソフトは4日、今月9日に公開が予定されているセキュリティ更新プログラム（修正パッチ）の概要を発表した。リリース予定のセキュリティ更新プログラムは、4段階評価で深刻度が最も高い「緊急」3件、2番目に高い「重要」4件の計7件。

「緊急」3件は、Office、Windows、および.NET Framework、Silverlightが影響を受ける脆弱性で、悪用されるとリモートでコードが実行されるおそれがある。

「重要」4件は、Office、およびWindowsの脆弱性で、悪用されると前者はリモートでコードが実行されるおそれ、後者は特権昇格のおそれがある。

このほか、「Windows Update」「Microsoft Update」などで、セキュリティ以外の優先度の高い更新プログラムと、「悪意のあるソフトウェアの削除ツール」の更新バージョンの公開も予定されている。

（2012/05/07 ネットセキュリティニュース）

【関連URL：マイクロソフト】
・マイクロソフト セキュリティ情報の事前通知 - 2012年5月
http://technet.microsoft.com/ja-jp/security/bulletin/ms12-may

4月に観測された国内フィッシングサイト74件のうち、韓国の金融機関を装うフィッシングサイトが過半数を占めた。国内ユーザーを狙う定番となっているオンラインバンク、オンラインゲーム、クレジットカードのフィッシングが4月も続いている。

編集部では、飛来するメールやWeb上の情報を元に、国内のブランドや国内でホストされているフィッシングサイトについて観測を行っている。4月に観測した日本国内に関係するフィッシングサイトは、3月から5件増加し74件となった。過半数を国内ISPのアクセス回線を使った、韓国の金融機関を装うフィッシングサイトが占めている。

74件のうち、偽サイト本体が設置されていたものは67件、他所に設置した偽サイトにリダイレクトする中継サイトとして使われたものは7件だった。

悪用されたサーバーは、不正アクセスを受けた一般のWebサイトとみられるものが23件（国内のサイト16件）、ホスティングサービスの悪用が5件（国内サーバー1件）、ウイルスに感染したユーザーのパソコンや自宅のサーバーとみられるものが43件（全て国内）、短縮URLサービスなどを中継に悪用したものが3件（全て国内）だった。

悪用されたブランドは、NH Bank（24件）、WOORI BANK（10件）、MasterCard（7件）、PayPal（6件）、ほか計20ブランド。国内関連は、MasterCard、真・女神転生IMAGINE、ハンビットステーション「グラナド・エスパダ」、Facebookの4ブランド10件を確認したほか、大和ネクスト銀行と三井住友銀行を装うフィッシングが見つかったとの注意喚起が、同行とフィッシング対策協議会から出されている。

＜関連URL＞
・フィッシング詐欺のメールにご注意ください（大和ネクスト銀行）
http://www.bank-daiwa.co.jp/info/2012/0403_991.html
・大和ネクスト銀行をかたるフィッシング(2012/04/04)（フィッシング対策協議会）
http://www.antiphishing.jp/news/alert/20120404bankdaiwa.html
・三井住友銀行を名乗りインターネットバンキングの暗証番号等を騙し取るメールにご注意ください。（三井住友銀行）
http://www.smbc.co.jp/security/
・三井住友銀行をかたるフィッシング(2012/4/13)（フィッシング対策協議会）
https://www.antiphishing.jp/news/alert/20120413mitsuisumitomo.html

■韓国金融機関のフィッシングサイトが大量発生

韓国金融機関のフィッシングサイトが、大量に発生している。これまでに確認されたのは、NH Bank（農協銀行）、WOORI BANK（ウリ銀行）、SHINHAN BANK（新韓銀行）、Kookmin Bank（国民銀行）、FSS（韓国金融監督院）の5ブランド。これらの偽サイトが、4月上旬からほぼ毎日、数件から10件程度出現している。開設場所は米国（62％）と日本（32％）に集中しており、新規に取得した紛らわしい名前の入ったドメインを次々と投入し、フィッシングを続けている。昨日も新たな偽サイトが出現し、5月2日現在、国内を含む3サイトが稼働中だ。

国内に開設されたこれらの偽サイトは、計42件。4月に見つかったフィッシングサイトの過半数を占めており、4月の件数を押し上げた大きな要因となっている。国内に開設されたものは、全て大手プロバイダー数社の東京のアクセス回線を使用しており、ウイルスに感染して乗っ取られたユーザーのパソコンが悪用されている可能性と、ユーザー自らが偽サイトを開設している可能性が考えられる。

■定番フィッシングが続く

国内のユーザーを狙った定番物である、オンラインバンク、オンラインゲーム、クレジットカードのフィッシングが4月も襲来した。フィッシング対策協議会が昨日リリースした4月のフィッシング報告状況報告にも、そうした4月の状況が色濃く反映されている。

同協会は、ユーザーから寄せられた報告を元に集計しており、報告件数は3月から65件増加の98件。フィッシングサイトのURL件数は、57件増加の85件と大幅に増加。同協会は、金融機関をかたるフィッシングの他にクレジットカード会社やオンラインゲームなどのフィッシング報告が増加したためとしている。

同協会では、ユニークなURLの数を「フィッシングサイトのURL件数」として集計しているため、フィッシャーが同じサイトに複数の偽サイトを設置したり、サブドメイン化してホスト名を量産したりしたものは、全て個別にカウントしている。

一連のオンラインゲームのフィッシングでは、サーバー1基に複数のドメインとサブドメインを割り当てて運用する。MasterCardのフィッシングは、複数のサイトに複数の偽サイトを設置し、さらにサブドメイン化してURLを大量生成しており、編集部が確認した数十件のフィッシングメールには、全て異なるURLが記載されていたほどだ。

同協会のリポートでは、悪用されたブランド数11件に対し、報告件数とURL件数がともに跳ね上がり、僅差であることから、URL量産型のフィッシング報告が多数を占めているものと見られる。

なお、同協会は、クレジットカード会社をかたるフィッシングメールが週末を狙って送信されているケースが多く見受けられるとしている。このフィッシングは、数日間に渡ってフィッシングメールが飛来するため、確かに週末にかかるケースは多い。しかし、過去1年間の状況を見ると、月曜と火曜に開始したものが2件、木、金、土、日曜日に開始したものがそれぞれ1件となっている。週末開始をかなり徹底しているYahoo! JAPANのフィッシングと違い、特に週末を狙っている様子は見られない。

＜関連URL＞
・2012/4 フィッシング報告状況（フィッシング対策協議会）
http://www.antiphishing.jp/report/monthly/201204.html

ちなみに、このゴールデンウィークの合間を縫って、現在MasterCardのフィッシングメールが襲来中だ。フィッシングメールは、件名も本文も英語だが、誘導先の偽サイトが日本語化されているお馴染みのものなので、騙されてクレジットカード情報を入力しないよう注意していただきたい。フィッシングメールに使われている件名は、今回も以下の5種類だ。

MasterCard Account Holder
Message Regarding Your MasterCard
Regarding Your MasterCard
Important MasterCard Alert
MasterCard Alert

（2012/05/02 ネットセキュリティニュース）

国の情報セキュリティ政策を遂行する「内閣官房情報セキュリティセンター（NISC）」は4月25日、PDFファイルの改ざんによるサイバー攻撃への対策を発表した。また、アドビシステムズ社が政府の証明書に対応したことにより、Adobe Reader/Acrobat上で政府の電子署名が確認できるようになる。

■政府機関も多用するPDF

PDFは、文書のやり取りに広く用いられており、政府機関の多くも資料の公表にPDFを用いている。こうしたPDFファイルを改ざんしてウイルスを仕込み、政府機関になりすましてメールで送りつける事例が内外で報告されており問題となっていた。

PDFに仕込まれたウイルスは、閲覧ソフトAdobe Reader/Acrobatの脆弱性を悪用してパソコンに感染する。被害を防ぐためには、閲覧ソフトを更新して常に最新の状態に保つことが重要となってくる。NISCでは、4月11日に公開されたAdobe Reader/Acrobatのアップデート（10.1.3/9.5.1）を受け、各府省庁にアップデート公開の情報提供を行うとともに、システムに関する影響を検討の上、速やかにアップデートを行うよう指示したという。

■Adobe Reader/Acrobatが政府の証明書に対応

NISCでは、PDFに電子署名を付け、閲覧者が文書の作成者や改ざんが行われていないことを確認することが望ましいとしており、今年1月からホームページに掲載のPDFに電子署名が付くようになった。ところが、署名が付いてはいるものの、作者が検証できないという状況だった。政府機関では、電子署名に政府認証基盤（GPKI）を用いた証明書を利用している。電子署名は印鑑登録証明書付きの実印のようなもので、文書にはこの電子署名があったものの、閲覧ソフトが証明書の発行元を認識していなかったため、正当性が検証できなかったのだ。

閲覧ソフトに正しい発行元であることを認識させるには、発行元が自ら署名して発行する「ルート証明書」と呼ばれるものをインストールする必要がある。ルート証明書のインストールは、ユーザー自身で行うこともできるが、発行元の正当性や信頼性、証明書の真正を自分で判断しなければならず、お勧めできる方法とはいえない（Windows環境では、Windowsのインストール済み証明書を取り込む方法もある）。Adobe Reader/Acrobatには、同社が承認したルート証明書があらかじめインストールされているが、それらと同じように標準搭載されるのが望ましい。

NISCでは、アドビシステムズに協力を要請し、同社は4月21日より政府のルート証明書の自動配信を開始した。Adobe Reader/Acrobatでは、証明書の更新確認を30日おきに行っているので、今月20日にかけて順次更新される予定だ。NISCの下記リリース「PDFファイルの改ざんによるサイバー攻撃への対策について」を開いて、「内閣参事官（Counselor），日本国政府（Japanese Government）によって証明されており…」との表示があれば更新済み。「文書の署名の完全性が不明です。作成者を検証できませんでした」と表示される場合は、政府のルート証明書がインストールされていない未更新状態だ。

今すぐインストールしておきたい場合には、[編集]メニューの[環境設定]を開き、パネル左の[分類]項目から[信頼管理マネージャー]を選択。[自動更新]のフレームにある[今すぐ更新]ボタンを押すと更新される。

■Adobe Reader/Acrobatをよりセキュアに

NISCの対策は、政府機関に向けたものだが、これは、一般のユーザーにもそのまま当てはまる。下記3点に留意して安全に使っていただきたい。

・速やかなアップデートを
Adobe Readerは、家庭で使われている多くのパソソコンにもインストールされており、不特定多数を狙った脆弱性攻撃が日常的に起きている。アップデートは直ちに適用し、ソフトウェアを常に最新の状態にしておく必要がある。

・より安全な「Reader X」へ移行
脆弱性修正などのアップデート対象となっているサポート中のAdobe Readerには、バージョン9とReader X（バージョン10）がある。Reader Xには、脆弱性攻撃からアプリケーションを守る「サンドボックス」と呼ばれる機能（Acrobat Xでは「保護モード」と呼んでいる）を搭載しており、これを突破した攻撃は、今のところ確認されていない。旧版をお使いの方は、より安全なReader Xへの移行をぜひ検討していただきたい。

・「JavaScript」の無効化
Adobe Readerを狙った脆弱性攻撃では、攻撃の際にJavaScriptを使って不正なコードをメモリー上に配置する手法がよく用いられる。Webで公開されているPDFの大半は、このJavaScriptを必要としないので、JavaScriptを無効化しておくことによって、修正前に受けてしまう攻撃のリスクを軽減できる。[編集]メニューの[環境設定]を開き、パネル左の[分類]項目から[JavaScript]を選択。[Acrobat JavaScriptを使用]のチェックを外して[OK]ボタンを押すと、JavaScriptが無効になる。

（2012/05/01 ネットセキュリティニュース）

【関連URL】
・PDFファイルの改ざんによるサイバー攻撃への対策について[PDF]（内閣官房情報セキュリティセンター）
http://www.nisc.go.jp/press/pdf/pdf_kaizan_press.pdf
・アドビ システムズ、内閣官房情報セキュリティセンターによる「サイバー攻撃」対策に協力（Adobe）
http://www.adobe.com/jp/aboutadobe/pressroom/pressreleases/20120425_NISC.html

グーグルは1日、同社のWebブラウザの最新安定版「Google Chrome 18.0.1025.168」を公開した。対象となるのは、Windows、Mac、Linux、およびInternet Explorer用のプラグイン「Chrome Frame」で、最新版への更新は自動的に行われる。

最新版では、危険度が4段階評価で上から2番目の「高」3件と、「中」2件の計5件の脆弱性が修正された。「高」の脆弱性は、XML言語の解析や小数の取扱いで解放したメモリーにアクセスしてしまう問題で、クラッシュやコード実行につながるおそれがある。

（2012/05/01 ネットセキュリティニュース）

【関連URL】
・Stable Channel Update[英文]（Google Chrome Releases）
http://googlechromereleases.blogspot.jp/2012/04/stable-channel-update_30.html