ネットセキュリティニュース

　アドビシステムズは27日、3件の深刻な脆弱性を修正した「Flash Player」の最新版を公開した。修正した脆弱性は、Firefoxを対象とした攻撃での悪用が確認されているという。

　対象となるのは、Windows版の11.6.602.168およびそれ以前のバージョン、Mac版の11.6.602.167およびそれ以前のバージョン、Linux版の11.2.202.270およびそれ以前のバージョン。アップデート後は、WindowsとMac版が11.6.602.171に。Linux版が11.2.202.273に更新される。

　最新版では、以下の3件の脆弱性が修正されている。

（1）Firefox版Flash Playerのサンドボックスが迂回される問題
（2）ExternalInterface ActionScript機能でコード実行のおそれのある問題
（3）Flash Playerブローカーサービスでコード実行のおそれのある問題

　Firefoxを対象とした攻撃に、(1)と(2)の脆弱性が悪用されているそうなので、ただちに最新版にアップデートすることをお勧めする。

　システムにインストールされているFlash Playerのバージョンは、下記のバージョン確認ページにアクセスするか、コントロールパネルの「Flash Player」で確認できる。複数のブラウザーを利用している場合は、ブラウザーごとに確認と更新を行っていただきたい。

　なお、Windows 8に搭載されているInternet Explorer 10用のFlash Playerについては、Windows Updateを通じて。Google Chromeに搭載されているFlash Playerについては、Chromeの自動更新機能を通じて、それぞれ最新版の「11.6.602.171」に更新される。

（2013/02/28 ネットセキュリティニュース）

【関連URL】
・APSB13-08: Adobe Flash Player に関するセキュリティアップデート公開（アドビ）
http://helpx.adobe.com/jp/flash-player/kb/cq02252340.html
・Flash Playerのバージョン確認（アドビ）
http://www.adobe.com/jp/software/flash/about/
・Flash Playerのダウンロード（アドビ）
http://get.adobe.com/jp/flashplayer/
・マイクロソフト セキュリティ アドバイザリ (2755801) Internet Explorer 10 上の Adobe Flash Player の脆弱性用の更新プログラム（マイクロソフト）
http://technet.microsoft.com/ja-jp/security/advisory/2755801

　ジャストシステムは26日、同社のワープロソフト「一太郎」と、グラフィックスソフト「花子」に、コード実行の脆弱性が見つかったとして、問題を修正するアップデートモジュールの提供を開始した。シマンテックの公式ブログによれば、この脆弱性を悪用した攻撃が先月中頃から発生しているという。

　今回見つかった脆弱性についてジャストシステムからの詳細情報はないが、シマンテックの情報からは、一太郎や花子が「DLLプリロード攻撃」に対し脆弱だったことがうかがえる。

　Windowsアプリケーションは、アプリケーション本体のプログラムファイルとは別に、コードやデータをDLL（Dynamic-Link Library）と呼ばれるファイルに格納しておき、必要に応じて読み込む仕組みが用意されている。

　DLLプリロード攻撃は、アプリケーションが使用する正規のDLLの代わりに、攻撃者が用意した悪質なDLLを読み込ませることによって、任意のコードを実行しようというもの。今回の攻撃は、一太郎や花子が正規のDLLを格納したシステムフォルダよりも、文書ファイルと同じフォルダに置かれたDLLを優先的に読み込んでしまう欠陥が悪用されたとみられる。

　同社では、26日より、この問題といくつかのバグを修正したアップデートモジュールの提供を開始している。下記の同社の告知ページから、各製品用のダウンロードページへとリンクしているので、それぞれのアップデートモジュールを適用していただきたい。

　26日に公開されたアップデートモジュールは、一太郎2011/2012/2013、一太郎ポータブル with oreplug、花子2012/2013用のみで、サポート中の他の製品に関しては、以下のスケジュールで順次公開される予定だ。

＜2月28日＞
　一太郎Pro、ジャストスクール2011、一太郎Government 6
＜3月5日＞
　一太郎2010、一太郎ガバメント2010、ジャストスクール2010
　花子2010/2011、花子Police3/2010
＜3月28日＞
　一太郎2006/2007/2008/2009、一太郎ガバメント2006/2007/2008/2009
　ジャストスクール、ジャストスクール2009
　花子2006/2007/2008/2009、花子Police、

　なお、該当製品には含まれていないが、無料で配布されている閲覧ソフトの「一太郎ビューア」と「花子ビューア」も同日、最新版が公開されている。使用している方は、最新版に更新しておくことをお勧めする。

（2013/02/27 ネットセキュリティニュース）

【関連URL】
・一太郎・花子の脆弱性を悪用した不正なプログラムの実行危険性について（ジャストシステム）
http://www.justsystems.com/jp/info/js13001.html
・一太郎の脆弱性: 新たなゼロデイ脆弱性の悪用を確認（シマンテック）
http://www.symantec.com/connect/ja/blogs/ichitaro-vulnerability-another-zero-day-exploit-wild
・複数のジャストシステム製品において任意のコードが実行される脆弱性（JVN）
http://jvn.jp/jp/JVN16817324/
・複数のジャストシステム製品の脆弱性対策について（IPA）
http://www.ipa.go.jp/about/press/20130226.html
・一太郎ビューア（ジャストシステム）
http://www.justsystems.com/jp/download/viewer/ichitaro/
花子ビューア（ジャストシステム）
http://www.justsystems.com/jp/download/viewer/hanako/

　1月は、オンラインバンキングのアカウント情報を狙った攻撃が、ウイルスを使う手口に移行した関係からか、オーソドックスなフィッシングによるものは見られなかった。しかし、定番となっている、プロバイダメールのアカウントやクレジットカード情報をだまし取るフィッシングは継続していた。久しぶりにオンラインゲームのアカウント情報を狙ったフィッシングも行われた。

　編集部では、飛来するメールやWeb上の情報を元に、日本国内に関係するフィッシングサイト（国内IP、JPドメイン、国内ブランド、日本語サイト）について観測を行っている。1月に観測した国内関連のフィッシングサイトは、前月までの減少傾向から一転し、22件増加の50件だった。うち、偽サイト本体が設置されていたものは40件、他所に設置した偽サイトにリダイレクトする中継サイトとして使われたものは10件だった。

　悪用されたサーバーは、不正アクセスを受けた一般のWebサイトとみられるものが、前月の17件から40件（国内サーバー29件）へと大幅に増え、増加の要因となっている。ホスティングサービスの悪用は、前月から4件減の7件（国内サーバー5件）、ウイルスに感染したユーザーのパソコンや自宅サーバーとみられるものは、3件（すべて国内）だった。

　悪用されたブランドは、PayPal（21件）、三菱東京UFJ銀行（5件）、RHB Bank（3件）ほか、計19種類。国内ブランドや国内のユーザーを狙ったものは、三菱東京UFJ銀行が5件、PayPalが2件（先の21件にも含まれる）のほか、MasterCard、OCN、NEXON、PlayOnlineが各1件ずつ見つかった。

　これらを含め各所からは、フィッシングに関する以下のような注意喚起（更新情報を含む）が出された。
・[01/07] クレジットカード情報を盗み取ろうとする不審な電子メールにご注意ください。（三菱東京UFJ銀行）
http://www.bk.mufg.jp/info/phishing/20130107.html
・[01/08] 三菱東京UFJ銀行をかたるフィッシング（フィッシング対策協議会）
http://www.antiphishing.jp/news/alert/mufg20130108.html
・[01/10] PayPalをかたるフィッシング（フィッシング対策協議会）
https://www.antiphishing.jp/news/alert/paypal20130110.html
・[01/11] フィッシング詐欺にご注意ください（PlayOnline.com）
http://www.playonline.com/ff11/polnews/news21852.shtml
・[01/27] OCNを騙る不正なフィッシングサイトにご注意ください（OCN）
http://www.ocn.ne.jp/info/announce/2011/08/24_1.html
・[01/29] 本日(1/29)、三菱東京UFJ銀行(MUFG)をかたるフィッシングの報告を多数いただいております。（フィッシング対策協議会）
https://twitter.com/antiphishing_jp/status/296118065605775360

■クレジットカード情報をだまし取るフィッシング

　1月には、「三菱東京UFJ銀行」と「PayPal」をかたり、国内ユーザーからクレジットカード情報をだましとろうとするフィッシングが観測された。

どちらもHTML形式のよく似たフィッシングメールで、アカウントの確認と称してクリックさせる機械翻訳のような怪しい日本語の文面が、画像化して貼り付けられていた。画像ファイルは、外部のサイトからロードするようになっており、画像ファイルの置場には同じ画像共有サービスを使用。クリックすると中継サイトを経由して偽サイトへと誘導される点や、悪用されたこれらサイトが、不正アクセスを受けたと見られる一般のWebサイトである点もよく似ている。

　三菱東京UFJ銀行の偽サイトは、「三菱東京UFJダイレクト」のログインページをベースに作られており、本物のページの契約者番号とパスワードの入力欄の部分を、英文表記のクレジットカード情報の入力欄に置きかえた、いかにも怪しい作り。このフィッシングは、2月に入ってからも行われているので、引き続き警戒していただきたい。

　PayPalの偽サイトは、米PayPalのホームページをベースとしたもので、日本語化はされていない。同じ作りの偽サイトが海外のフィッシングで多用されており、フィッシング構築キットのひとつをそのまま使用したものと見られる。

　フィッシング対策協議会の情報には、偽サイトのトップページしか掲載されていないため、一見アカウント情報の詐取に見えるかもしれない。ところが最近は、それだけで終わるPayPalのフィッシングは稀だ。今回のものもそうだが、たいていは、偽のログインに続きクレジットカード情報の入力を求めてくる。

　ちなみにPayPalをかたるフィッシングは、世界的には毎日桁違いに多く発生しており、国内のサーバーが悪用される事例でも最多だが、今回のような日本国内のユーザーに標的を絞った攻撃例は少ない。

　なお1月には、これらのほかにMasterCardをかたるフィッシングサイトが1件（同一サイト内に5セット設置）観測されているが、これは前月の攻撃に使われた偽サイトの残骸と見られる。

■オンラインゲームのアカウントを狙うフィッシング

　1月は、オンラインバンキングのアカウント情報を狙う攻撃が、再びウイルスを使った手口に移行したようだが、オンラインゲームもまた、フィッシングとウイルスの両方からの攻撃に絶えずさらされている。特にゲーム内のキャラクターやアイテムを奪い、換金しようと企んでいる攻撃者たちは、オンラインバンキングと同様、さまざまな手を使いユーザーをしつこく狙い続けている。

　1月に登場したPlayOnlineのフィッシングは、スクウェアエニックスのオンラインゲーム「ファイナルファンタジーXI」公式サイトのコミュニティの偽ログインページ（英語版）に誘導し、ID/パスワードを入力させようとするものだった。攻撃者は、ふだんはもっぱら海外のオンラインゲームを標的とした活動を続けているグループだが、ときおり国内の人気ゲームも標的にする。誘導方法は未確認だが、スクウェアエニックスの発表によると、規約違反や課金の問題についてログインして問い合わせるようにといった内容のメールが送られていたという。

　NEXONのフィッシングは、ゲーム関連の複数の掲示板に書き込まれた、同社のキャンペーンに便乗した書き込みから、実在するRMT業者（ゲームアイテム等の売買業者）のサイトをベースにした偽サイトへと誘導する。そこで、IDとパスワードを入力させようとする。書き込みもサイトも日本語仕様だ。

　香港のサーバーを使って開設されたこの偽サイトは、その後公式サイトを模した偽サイトに改装した後、活動を休止している。サイト自体は、今もなおアクティブな状態だ。掲示板の書き込みから誘導する同じような手口で、ウイルスをダウンロードさせようとしていたこともあるので、予断を許さない。

　カスペルスキーが今月掲載した下記のリリースには、ゲーマーを狙った攻撃が世界中で大規模に行われている様子が報告されている。
・アンフェアなプレイ：サイバー犯罪者が仕掛ける「ゲーム利用者向けサイト」（カスペルスキー）
http://www.kaspersky.co.jp/news?id=207585719

（2013/02/26 ネットセキュリティニュース）

　グーグルは22日、同社のWebブラウザの最新版「Google Chrome 25」の安定版を公開した。最新版への更新は自動的に行われ、WindowsとLinux用は「25.0.1364.97」に、Mac用は「25.0.1364.99」に更新される。

　最新版では、JavaScriptを使った音声認識のサポート（Web Speech API）などの機能拡張に加え、計22件の脆弱性を修正された。

　修正された脆弱性は、危険が4段階評価で上から2番目に高い「高」9件、「中」8件、「低」5件。コード実行につながるおそれのある、メモリーがらみの深刻な問題が多数含まれている。

（2013/02/22 ネットセキュリティニュース）

【関連URL】
・Stable Channel Update[英文]（Google Chrome Releases）
http://googlechromereleases.blogspot.jp/2013/01/stable-channel-update.html

　セキュリティ企業のマカフィーは21日、「家庭でのセキュリティ実態調査」の結果を発表した。回答者の9割がパソコンにセキュリティ製品を導入しているが、スマートフォンは5割強、タブレットは3割程度だった。家庭内のインターネット接続端末が増え、父親が一人で全てを管理するのは難しくなっている実態が浮き彫りとなり、同社は今後、家族全員がセキュリティ意識を高め、父親は管理者からセキュリティアドバイザーの役割にシフトすることを提案している。

　調査は、日本の家庭内のインターネット利用とセキュリティ導入状況を把握する目的で、2012年11月28日から29日に、20～59歳の男女628名を対象にオンラインで実施された。パソコン端末周辺だけでなく、スマートフォンやタブレットも交え、マルチデバイス所有者のセキュリティ意識とセキュリティ意向の関連性を調べた。

■配偶者や子ども、親の端末を「管理できない」事情とは

　家庭内の端末ごとのセキュリティ導入状況を見ると、パソコンについては「すべての機器に導入している」が79.7％と高率だが、スマートフォンでは38.9％、タブレット端末では34.5％に留まった。また、「配偶者」「子供や親」が使用する端末に「セキュリティソフトを導入している」と回答した人は、「自身で使う」と比べ、10％低い結果が出た。

　家庭内のIT管理者（男性は9割、女性は3割以下）が、家族の使う端末の管理についてどう考えているかについて見ると、配偶者に対しては「ほとんど使わない、危ないサイトに行かないから大丈夫」「Apple製品なのでセキュリティは不要」「導入方法がわからない。導入したいと思っているがそのまま放置」。子供に対しては「ゲームだけでインターネットはしない」「子供のスマートフォンの管理は任せている」。親に対しては「あまり使わない」「親のパソコンは勝手に触れない」 などのコメントが寄せられている。
　このような、いわば家庭の事情で「利用者本人に管理を任せてしまっている」状態では、サイバー犯罪者の標的となるおそれがあると同社は警告する。

■「お父さんが家族を守る4つのステップ」を提案

　家族構成とセキュリティソフト導入の関連を見ると、独身者より家族を持つ回答者のほうが、セキュリティ意識が高い。その反面、家庭内のインターネット接続端末が多くなるほどセキュリティ意識が低下する。セキュリティ意識が高い家庭のIT管理者も、スマートフォンやタブレットなど「家族で共有する」感覚が薄い端末が増え、一人では管理しきれない状態になりつつあることがうかがえる。同社は、こうした状態にある父親に「家族を守る4つのステップ」を提案している。

　(1) 家庭内でインターネットに接続できる端末（パソコンやスマートフォン、タブレット、テレビなどのインターネット対応家電）の数、および接続方法（無線か有線か）を把握する。
　(2) 改めて家族でインターネットや端末の使い方を見直す。ショッピングや動画など、どのように使っているのか、どのような情報を入力しているのかを確認する。パーソナル性が高い端末も、「踏み台」になれば家族や友人に被害が及ぶことを意識づける。
　(3) 常に最新の情報をチェックし、家族のアドバイザーになる。
　(4) インターネットに接続する端末に脅威対策を検討・導入する。ウイルス対策はもちろん、持ち歩く端末については紛失や盗難被害なども想定しなければならない。

　父親一人では家庭内のインターネット接続端末を全て管理するのが難しくなってきている現在、家族全員でセキュリティ意識を高める必要があり、父親はこれまでのような「管理運用者」から「セキュリティアドバイザー」へ向かうべきであると同社はアドバイスしている。

（2013/02/22 ネットセキュリティニュース）

【関連URL：マカフィー】
・お父さんはITセキュリティ管理者になれるのか －マカフィー、日本における「2012年の家庭でのセキュリティ実態」の調査結果を発表
http://www.mcafee.com/japan/security/mcafee_labs/blog/content.asp?id=1352

　アドビシステムズは21日、脆弱性を悪用した攻撃が確認されていた、Adobe Reader/Acrobatの最新版を公開した。対象となるのは、Windows/Macintosh版のXI（11.0.1）、X（10.1.5）、9.5.3、Linux版の9.5.3の各バージョンおよびそれ以前のバージョン。アップデート後は、それぞれXI (11.0.02)、X (10.1.6)、9.5.4に更新される。

　最新版では、クラッシュやコード実行を引き起こす、メモリーがらみの脆弱性2件が修正された。細工されたPDFを閲覧するだけで悪質なプログラムが実行されるおそれがあり、ウイルス感染に悪用した攻撃が確認されている。

　使用中のAdobe Readerのバージョン確認は、Adobe Reader「ヘルプ」メニューの「Adobe Readerについて」で。最新版への更新は、「ヘルプ」メニューの「アップデートの有無をチェック」で行えるほか、同社のサイトからもダウンロードできる。

（2013/02/21 ネットセキュリティニュース）

【関連URL：アドビシステムズ】
・APSB13-07:Security updates available for Adobe Reader and Acrobat[英文]
http://www.adobe.com/support/security/bulletins/apsb13-07.html
・Adobe Reader XIのダウンロード
http://get.adobe.com/jp/reader/

　モジラは20日、Webブラウザの最新版「Firefox 19.0」を公開した。対象となるのは、Windows、Mac、Linux、およびAndroid。法人向けの延長サポート版（ESR）「17.0.3」も同時に公開されている。

　Firefox 19では、Windows、Mac、Linux版にPDFビューアが搭載されたほか、8件の脆弱性が修正された。

修正された脆弱性は、重要度が4段階評価で最も高い「最高」4件、上から2番目の「高」2件、3番目の「中」2件。悪用されるとコード実行のおそれがあるメモリーがらみの危険な脆弱性が修正されている。

　ESR版では、「19.0」と共通の「最高」3件、「高」2件、「中」1件の計6件の脆弱性が修正されている。

　それぞれの最新版は、自動更新機能を通じて配布されているほか、［ヘルプ］メニューの［Firefoxについて］を選択し、［ソフトウェアの更新を確認］ボタンをクリックすれば、今すぐ更新できる（Android版は、[設定]→[Firefoxについて]の順に選択し[更新を確認]をタップ）。

　Firefox 17.0.3で修正された脆弱性は、同じエンジンを使用するメールソフトThunderbirdにも影響があり、最新版の「17.0.2」（通常版/ESR版）が同日より公開されている。

（2013/02/21 ネットセキュリティニュース）

【関連URL:Mozilla Japan】
・中断のない Web ブラウジングを実現する PDF ビューアを導入した Firefox 最新版を公開しました
http://www.mozilla.jp/blog/entry/10265/
＜Firefox 19.0＞
・リリースノート（デスクトップ版）
http://www.mozilla.jp/firefox/19.0/releasenotes/
・リリースノート（Android版）
http://www.mozilla.jp/firefox/android/19.0/releasenotes/
・セキュリティアドバイザリ
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox.html
＜Firefox ESR版 17.0.3＞
・リリースノート
http://www.mozilla.jp/firefox/17.0.3/releasenotes/
・セキュリティアドバイザリ
http://www.mozilla-japan.org/security/known-vulnerabilities/firefoxESR.html
＜Thunderbird 17.0.3（通常版/ESR版）＞
・リリースノート
http://www.mozilla.jp/thunderbird/17.0.3/releasenotes/
・セキュリティアドバイザリ
http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbirdESR.html

　オラクルは20日、複数の深刻な脆弱性を修正したJRE（Java Runtime Environment：Java実行環境）の最新版、JRE 7 Update 15（1.7.0_15）とJRE 6 Update 41（1.6.0_41）を公開した。

　JREのセキュリティアップデートは、今月2日にゼロデイ攻撃に対処すべく緊急公開されたばかりだが、今回のものは1か月おきに行っている定例のもの。JRE 7では新たに5件の脆弱性が、JRE 6では7と共通の3件の脆弱性が追加修正された。

　5件のうち4件（JRE 6は3件のうち2件）は、サイトの閲覧時にブラウザ経由で攻撃を受けるおそれがある問題で、脆弱性評価システム「CVSS」のスコアが最高値「10.0」の危険なっ脆弱性が2件含まれている。

　JREの最新版は、アップデート機能（自動更新機能や、Javaコントロールパネルの[更新]タブの[今すぐ更新]ボタン）により入手できるほか、同社サイトから無料でダウンロードすることもできる。

　なお、JRE 6の無償のセキュリティアップデートは、今回で終了となる。JRE 6をお使いの方は、次回のアップデート（4月17日予定）までには、JRE 7への移行を完了していただきたい。

　Mac用の最新版は、7はオラクルから、6はアップルから提供されており、アップルは同日、OS X向けの「Java for OS X 2013-001」と「Mac OS X v10.6 Update 13」を公開した。アップデートは、アップルメニューの「ソフトウェア・アップデート」で自動インストールできるほか、同社のダウンロードページから、各OS用のアップデータが入手できる。

（2013/02/21 ネットセキュリティニュース）

【関連URL】
・Updated February 2013 Critical Patch Update for Java SE Released[英文]（オラクル）
https://blogs.oracle.com/security/entry/updated_february_2013_critical_patch
・Javaのダウンロード（オラクル）
http://java.com/ja/download/
・Java のバージョンの確認（オラクル）
http://www.java.com/ja/download/installed.jsp
・About the security content of Java for OS X 2013-001 and Mac OS X v10.6 Update 13[英文]（アップル）
http://support.apple.com/kb/HT5666
・「Java for OS X 2013-001」ダウンロード（アップル）
http://support.apple.com/kb/DL1572
・「Java for Mac OS X 10.6 Update 13」ダウンロード（アップル）
http://support.apple.com/kb/DL1573

　ソフトウェアの脆弱性を修正するプログラムが公開されても適用しないユーザー、サポートが終了したソフトウェアをアップグレードしないで使い続けるユーザーが多数存在することが明らかになった。調査を行ったセキュリティ企業のカスペルスキーは、脆弱性の放置は、ユーザーの個人情報漏えい、企業や政府機関への標的型攻撃につながるとして、注意を呼び掛けている。

　同社によると、とくに危険なバージョンの Oracle Java、Adobe Flash Player、Adobe Reader のユーザーは、より安全な新バージョンへの切り替えに極めて消極的であることが明らかになったという。

　調査は2012年、クラウドベースのKaspersky Security Network（KSN）の1100万を超えるユーザーのデータを使い、「ソフトウェアの脆弱性の確認」と、「より安全な新バージョンへ切り替えるためのユーザーの意欲の評価」が行われた。

■サイバー犯罪者が多用する8種の脆弱性

　データ分析の結果、1億3200万件以上の脆弱性が各種プログラムから発見され、800種類以上の脆弱性が確認された。そのうちわずか37種類の脆弱性が、検知されたソフトウェアの不具合の70％を占めていた。37種類の脆弱性のうち、サイバー犯罪者によって広く使用されている攻撃コードは、「Oracle Java」内の5種類、「Adobe Flash Player」内の2種類、「Adobe Reader」内の1種類の、計8種類のみだった。

■70％以上がJavaの脆弱性を放置

　ソフトウェアの更新が提供された時点で、ユーザーが新バージョンへアップグレードする意欲に関する調査では、次のことが明らかになった。
・最新バージョンの Javaが公開された後の6週間（2012年9～10月）で、安全性の高いバージョンに切り替えたユーザーはわずか28.2％で、70％以上が Javaの脆弱性をシステムに残したままにしていた。
・サポートが終了した 2010バージョンの Adobe Flash Player が平均で10.2% のコンピューター上で確認され、2012年全体を通じてほとんど減少しなかった。
・2011年12月に発見された Adobe Readerの脆弱性が13.5% のコンピューター上で確認され、この数字も減少する気配はなかった。

　同社の脆弱性リサーチエキスパートであるヴャチェスラフ・ザコルザフスキー氏は、「修正プログラムを公開するだけでは、個人や企業のセキュリティを十分に確保できない」ことがこの調査結果により明らかになったとし、「Java、Adobe Flash/Reader を使う何百万人ものユーザーがリスクにさらされたままになっている」ことに、警鐘を鳴らしている。

（2013/02/20 ネットセキュリティニュース）

【関連URL：カスペルスキー】
・サポートが終了したソフトウェアやぜい弱なソフトウェアをアップグレードしようとしない多数のユーザー
http://www.kaspersky.co.jp/news?id=207585725

　JPCERTコーディネーションセンター（JPCERT/CC）は、2012年四半期（2012年10～12月）に受付けたコンピュータセキュリティのインシデントレポートを発表した。報告されたフィッシングサイト件数は前期比3割増で、ブランド種別では「金融機関」が7割を超えた。Webサイト改ざんでは、Javaの脆弱性が攻撃対象となっていることが確認された。

　2012年四半期（以下、当該四半期）にJPCERT/CCが受付けたインシデント報告件数は5064件で、JPCERT/CCが国内外の関連サイトとの調整を行ったインシデント調整件数は1497件だった。前年同期と比較すると、報告件数は102％増加、調整件数は99％増加した。

　インシデントをカテゴリ別に分類すると、スキャン（システムの弱点を探索する）が52.8％と最多で、「Webサイト改ざん」13.9％、「フィッシングサイト」6.8％、「マルウェアサイト」4.0％、「DoS/DDoS」0.1％の順だった。ここでは、フィッシングサイトとWebサイト改ざんの傾向についてみてみよう。

■フィッシングサイト～国内ブランドが前期比3割増、「金融機関」7割超

　当該四半期のフィッシングサイト件数は360件で、前四半期（2012年7～9月）の273件から32％増加した。国内のブランドを装ったフィッシングサイト件数は74件（21％）、国外ブランドを装った件数は227件（63％）で、国外は国内の3倍ある。前四半期との比較では、国内ブランドは57件から30％増加、国外ブランドは161件から41％増加となった。

　フィッシングサイトのブランド種別では、「金融機関」を装ったものが72.7％と圧倒多数を占める。次いで「通信事業者」12.3％、「ポータル」8.0％、「企業」3.7％、「Eコマース」2.0％、「SNS」1.0％の順。

　10月半ばには、ケーブルネットワークなど複数通信事業者のWebメールサービスを装ったフィッシングサイトが確認されている。異なるブランドに関するフィッシングメールに「共通の文面が使用されている」事例も確認された。10月末には、国内金融機関のネットバンキングのページに「第二認証情報」などを入力させる不正なポップアップ画面を表示し、入力情報を窃取するマルウエアが確認された。

■Webサイト改ざん～攻撃サイトへ誘導し、脆弱性攻撃で感染させる

　当該四半期のWebサイト改ざん件数は737件で、前四半期の796件から7％減少した。
　ページに不正に挿入されたJavaScriptやiframeによってサイト閲覧者を攻撃サイトに誘導し、複数の脆弱性を使用した攻撃によってパソコンをマルウエアに感染させるものが多く確認されている。2012年11月には、前月の10月に修正されたJavaの脆弱性を悪用してマルウエアに感染させる手法が、誘導先の攻撃サイトで確認された。

　ソフトウェアを古いバージョンのまま使用していると、解消されていない脆弱性が狙われ、マルウエアに感染してしまう可能性が高くなる。脆弱性解消のためのアップデートを忘れないようにしたい。

　JPCERT/CCはこのほか、当該四半期の対応例として、「国内大学からのデータベース情報流出」、「政府関係者を騙るマルウエア添付メール」、「国内金融機関のアカウント情報を窃取するマルウエアに関する対応」の3つを挙げ、それぞれの脅威の発生と対応の経緯について明らかにしている。

（2013/02/19 ネットセキュリティニュース）

【関連URL：JPCERT/CC】
・インシデント報告対応レポート[2012年10月1日～2012年12月31日]
http://www.jpcert.or.jp/ir/report.html

　海外ネットショッピングのトラブルに気をつけるよう、消費者庁や東京都が注意を呼び掛けている。ネット通販で海外ブランド品を安く購入できると思い申し込んだところ、支払いが済んでいるのに「品物が届かない」、「届いたら真正品ではなかった」というトラブルが後を絶たないという。

　海外ショッピングのトラブル相談を受け付けている消費者庁越境消費者センター（CCJ）には、2011年11月1日の開設以来、2535件の相談が寄せられている。そのなかで多いのは「インターネットで有名ブランド品を購入したが、届いた品は真正品でない」という海外ブランドの模倣品に関する相談で、今年1月末時点で累計838件にのぼる。とくに、海外の事業者が日本のユーザー向けに運営しているWebサイトで目立つという。

　東京都消費生活総合センターにも、同様の相談が寄せられている。同センターが13日に公開した「気をつけよう！インターネットでのお買物　詐欺まがいのサイトによるトラブルが増えています！」という文書には、2つの相談事例が紹介されている。

■海外ブランド品を購入～品物が届かない、正規品ではない

＜事例1＞ネット通販で、海外ブランドの婦人用ダウンジャケットを注文。銀行振込みで前払いし、メールで通知した。しかし返信もなく、品物も届かない。販売会社のサイトを見ようとしたら、無くなっていて見つからない。（30歳代　女性）

＜事例2＞ネット通販で、婦人ブランド靴を注文し、カード決済した。届いた商品は縫製も雑で、とても正規品とは思えない。不良品の場合は、7日以内に連絡すれば返品できると記載されていたので、すぐにメールで連絡した。返信メールはおかしな日本語で、アドレスも個人名、商品の発送元は外国だった。（20歳代　女性）

　購入前に、事業者の「名称、代表者名や個人名、住所、電話番号」を必ず確認し、印刷するか、画面を画像化して保存しておくよう同センターはアドバイスしている。また、おかしいなと思ったら、すぐに最寄りの消費生活センターに相談するよう勧めている。

■模倣品販売が確認された海外Webサイトを公表（CCJ）

　CCJがこれまで受け付けた模倣品トラブル相談では、代金支払いがすんだ後、業者と連絡がとれなくなるケースが圧倒的で、トラブル解決支援を試みても、商品の交換や返金を求めることはほぼ不可能な状態という。また、模倣品の輸入は、消費者が「模倣品であると知らなかった」場合や、「商用でなく個人利用目的」の場合も、消費者自身が「商標権侵害」に問われる可能性がある。

　こうしたトラブルへの注意を強く促すため、CCJは、海外ブランドの模倣品の販売が確認された、または強く疑われる海外Webサイトを、消費者庁のホームページ上で公表した（下欄の関連URL参照）。CCJは、これらのWebサイトからの商品購入は控えるよう呼び掛けている。公開情報は定期的に更新される。

（2013/02/18 ネットセキュリティニュース）

【関連URL】
・気をつけよう！インターネットでのお買物－－詐欺まがいのサイトによるトラブルが増えています！（東京都消費生活総合センター）
http://www.shouhiseikatu.metro.tokyo.jp/sodan/kinkyu/130213.html
・そのネットショッピング、本当に大丈夫？～模倣品の販売が確認された海外ウェブサイトを公表します～[PDF]（消費者庁）
http://www.caa.go.jp/adjustments/pdf/130205adjustments_1.pdf
・模倣品の販売が確認された海外ウェブサイト及び模倣品の販売が強く疑われる海外ウェブサイト[PDF]（消費者庁）
http://www.caa.go.jp/adjustments/pdf/130205adjustments_2_1.pdf
・海外サイト・海外旅行でのショッピングでトラブルに遭わないために（消費者庁越境消費者センター）
http://www.cb-ccj.caa.go.jp/attention/index.html

　シマンテックは13日、日本の大手銀行5行をねらったトロイの木馬を発見したと発表した。

　トロイの木馬とは、ユーザーをだましてパソコンに入り込もうとするタイプのウイルス。メールに添付された悪質なファイルを開く、メールやメッセージに記載されているリンクをクリックする、改ざんされたサイトを閲覧する、（役に立つソフトとだまされて）ウイルスを自らインストールしてしまう、といった経路で侵入する。

　シマンテックによると、見つかったウイルスは「Zeus」の亜種。Zeusは感染したパソコンから情報を盗み取る機能を持つウイルスで、しばらく前から世界中のオンラインバンキング利用者を悩ませている。

　今回見つかったウイルスの特徴は、日本の銀行のみをターゲットにしていることだ。パソコンがこのウイルスに感染すると、標的となっている銀行にアクセスしたときに、以下のような不自然な日本語のメッセージが表示され、パスワードやその他の情報を入力するよう要求される。

　「もっと良いサービスを提供するため、当行の個人ネット銀行機能のアップデートをさせて頂いていますので、この間ネット銀行機能を使ったら、新規登録する時ご入力した情報をもう一度入力をいただき、アップデートを完了させて頂くようお願い申し上げます」（原文ママ）

　シマンテックは、パソコンにインストールされているソフトウェアを最新の状態に保つことと、信頼できない送信者から送られてきたメールや添付ファイルを開かないことを推奨している。また、オンラインバンキングのサイトでいつもと違う情報が要求される場合には、疑うことも必要だとしている。

　シマンテックはターゲットとなっている銀行がどこなのかを明らかにしていない。参考までに、先月以降に行われた、各銀行による「不正な画面」への注意呼びかけを下記に示しておく。三井住友銀行が例示している画面からは、シマンテックの情報にある文面そのままが読み取れる。

（2013/02/15 ネットセキュリティニュース）

【関連URL】
・日本のオンラインバンキング利用者のみを標的にする Zeus（Symantec Connect Community）
http://www.symantec.com/connect/blogs/zeus
・【重要】不正にポップアップ画面を表示させてゆうちょダイレクトの情報を盗み取ろうとする犯罪にご注意ください（三井住友銀行）
http://www.smbc.co.jp/security/popup.html
・確認番号表（乱数表）の数字すべてを入力いただくことはありませんので、絶対に
入力しないでください（三菱東京UFJ銀行）
http://www.bk.mufg.jp/info/phishing/ransuu.html
・ゆうちょダイレクトのログイン後に不正に登録内容の変更をさせて、情報を盗み取
ろうとする犯罪にご注意ください（ゆうちょ銀行）
http://www.jp-bank.japanpost.jp/direct/pc/drnews/2013/drnews_id000043.html
・不正にインターネットバンキングの合言葉変更を促すウィルスにご注意ください
（みずほ銀行）
http://www.mizuhobank.co.jp/crime/info130116.html
・不正な画面を表示させてお客さまの情報を盗み取ろうとする犯罪にご注意ください
（楽天銀行）
http://www.rakuten-bank.co.jp/info/2012/121030-2.html

　Adobe Readerの未修整の脆弱性を悪用した攻撃が発生したことを受け、アドビシステムズは14日、セキュリティ情報を公開した。この脆弱性攻撃は、Adobe Reader XI（11.x）が備える保護モードで回避することができるので、可能な方はXIに更新することをおすすめする。

　セキュリティ企業の米FireEyeが13日、Adobe ReaderとAcrobatの未修整の脆弱性をねらう攻撃を確認したと発表。これを受けアドビシステムズは同日、この問題を調査しているとブログで伝え、14日にセキュリティ情報を公開した。

　アドビによると、脆弱性の影響を受けるのは、Windows版とMac版のAdobe Reader/Acrobatの 9 / X（10.x） / XI（11.x）。細工されたPDFを閲覧するだけで悪質なプログラムが実行され、システムを乗っ取られるおそれがある。現在、Windowsユーザーを対象に、こうしたPDFファイルをメールに添付して送りつける攻撃が行われている。

　アドビでは現在、この問題の修正を進めている。

　この脆弱性は、Adobe Reader/Acrobat XI（現行版は11.0.01）にも影響するが、Adobe Reader XIの保護モードおよび、Acrobat XIの保護されたビューが有効になっていれば、この脆弱性を突いた攻撃を防止することができる。9.xやX（10.x）のユーザーで移行が可能な方は、XIに更新することをおすすめする。保護モードおよび保護されたビューが用意されているのはWindows版のみ。

　Adobe Reader XIは、下記「Adobe Readerのダウンロード」ページにて無料で入手することができる。Adobe Reader XIの保護モードは、「編集」→「環境設定」で左側の項目から「セキュリティ（拡張）」を選択し、「サンドボックスによる保護」領域で、「起動時に保護モードを有効にする」にチェックが入っていれば有効だ。

（2013/02/14 ネットセキュリティニュース）

【関連URL】
・Security Advisory for Adobe Reader and Acrobat［英文］（Adobe）
http://www.adobe.com/support/security/advisories/apsa13-02.html
・Adobe Readerのダウンロード（Adobe）
http://get.adobe.com/jp/reader/
・Adobe Readerのヘルプ/保護モード（Windows）（Adobe）
http://helpx.adobe.com/jp/reader/using/protected-mode-windows.html
・In Turn, It's PDF Time[PDF]［英文］（FireEye）
http://blog.fireeye.com/research/2013/02/in-turn-its-pdf-time.html

　警視庁は4日、2012年のサイバー犯罪対策課における相談受理状況を公表した。7144件の相談があり、最も多かったのは詐欺・悪質商法の被害に関するものだった。

　相談件数が多かった順にみると、「詐欺・悪質商法」に関する相談（ネットオークションを除く）が35％、「名誉棄損・誹謗中傷、脅迫、個人情報の流布」に関する相談が20.6％、「不正アクセスによる被害、ネットワークセキュリティ、ウイルスによる被害」に関する相談が10.4％だった。

　以下、「迷惑メール、スパムメールによる被害」に関する相談が5.0％、「違法有害なホームページ・掲示板等の通報、取締り要望」に関する相談が3.4％、「インターネットオークション被害」に関する相談が2.6％だった。そのほか、クレジットカード犯罪の被害に関する相談、プロバイダーとの契約やトラブルに関する相談、児童の被害に関する相談も寄せられた。

　警視庁サイバー犯罪対策課では、平日の午前8時30分から午後5時15分まで、電話で相談や情報提供を受け付けている。メールで情報を提供することもできる。

■困ったときに相談できる窓口

　参考までに、内閣官房情報セキュリティセンターの「国民を守る情報セキュリティサイト」では、情報セキュリティに関するトラブルが発生した際の相談窓口として、以下が紹介されている。

・インターネット安全・安心相談（警察庁）
http://www.npa.go.jp/cybersafety/
・サイバー犯罪相談窓口（都道府県警察本部）
http://www.npa.go.jp/cyber/soudan.htm
・インターネット消費者トラブルについて（消費者庁）
http://www.caa.go.jp/adjustments/index_1.html
・情報セキュリティ安心相談窓口（情報処理推進機構）
http://www.ipa.go.jp/security/anshin/

　警察庁と情報処理推進機構の上記ページには、よくある相談と回答も掲載されている。警視庁の「情報セキュリティ広場」にも多数の情報が掲載されている。

（2013/02/14 ネットセキュリティニュース）

【関連URL】
・平成24年中のサイバー犯罪対策課相談受理状況（警視庁）
http://www.keishicho.metro.tokyo.jp/haiteku/haiteku/haiteku1.htm#soudan
・情報セキュリティ広場（警視庁）
http://www.keishicho.metro.tokyo.jp/haiteku/index.htm
・国民を守る情報セキュリティサイト（内閣官房情報セキュリティセンター）
http://www.nisc.go.jp/security-site

　実在する企業やサービスの名称、またはそれらとまぎらわしい名称を使った迷惑メールが後を絶たない。こうしたメールは、クレジットカード情報やアカウント情報の盗み取り（フィッシング）、出会い系サイトへの誘導、ウイルスばらまきといった目的で送られている。

■2月初旬だけでもこれだけある「注意喚起」

　名前をかたられた企業からの注意喚起が、2月に入ってからの分のみでもこれだけある。

・日本航空・JALマイレージバンクを名乗る不審なメールにご注意ください（日本航空株式会社/JALマイレージバンク日本地区会員事務局）
http://www.jal.co.jp/info/jmb/130208.html

・NTT東日本やフレッツ光を騙る不審なメールにご注意ください（東日本電信電話株式会社）
http://www.ntt-east.co.jp/info/detail/130207_01.html
※出会い系サイトへ誘導

・NTT東日本やフレッツ光メンバーズクラブを騙る不審なメールにご注意ください。（フレッツ光メンバーズクラブ）
https://flets-members.jp/pub/info/20130207info.html
※出会い系サイトへ誘導

・クレジットカード情報を盗み取ろうとする不審な電子メールにご注意ください。（平成25年2月4日）（三菱東京UFJ銀行）
http://www.bk.mufg.jp/info/phishing/20130204.html
※フィッシング

・当行を騙った詐欺メール(フィッシング詐欺)にご注意ください。[PDF]（東日本銀行）
http://www.higashi-nipponbank.co.jp/osirase/osirase20130204.pdf
※出会い系サイトへ誘導、フィッシング

・ピザハットを装った悪質な迷惑メールについて（ピザハットオンライン）
http://pizzahut.okbiz.okwave.jp/faq/show/521
※出会い系サイトへ誘導

■こんな名前が使われることも

　出会い系サイトへ誘導しようとするメールによくみられるのが、まぎらわしい名前を使う手口。ここ数か月の間に出回ったメールにはこんなものがある。だまされないよう注意していただきたい。

・Anazon/Amozon/Amasonからの確認メール
・佐川急配/佐々川急便からの確認メール
・クロネロメール配送便センターからの通知メール
・日本郵更からの確認メール
・LOWSONからの通知メール

■迷惑メールを受け取ったら

　迷惑メールを受け取った場合、メールを開かないこと、リンクをクリックしないこと、添付ファイルを開かないことが大切だ。可能なら、日本データ通信協会内の「迷惑メール相談センター」や、日本産業協会に情報を提供しよう。

・情報提供のお願い（迷惑メール相談センター）
http://www.dekyo.or.jp/soudan/ihan/index.html
・迷惑メール情報提供受付ページ（日本産業協会）
http://www.nissankyo.or.jp/spam/index.html

　迷惑メール対策ソフトやサービスの利用も検討したい。プロバイダーによっては迷惑メール対策のサービスを無料で提供している。例えばSo-netの接続コースを利用している人なら「迷惑メール振り分けサービス」を無料で利用できる。

・迷惑メール振り分けサービス（So-net）
http://www.so-net.ne.jp/option/security/meiwaku/

　迷惑メールをうけとらないための対策、迷惑メールの最新情報など、下記機関からの情報も参考にしていただきたい。

（2013/02/13 ネットセキュリティニュース）

【関連URL】
・迷惑メール相談センター
http://www.dekyo.or.jp/soudan/index.html
・迷惑メール調査最前線！（日本産業協会）
http://www.nissankyo.or.jp/mail/index/index.html
・迷惑メールを受信した方へのアドバイス（消費生活安全ガイド）
http://www.no-trouble.go.jp/#1232707628568

　アドビシステムズは13日、コンテンツ再生ソフト「Flash Player」と「Shockwave Player」の最新版を公開した。いずれも深刻な脆弱性が修正されており、同社は利用者に対し、最新版へのアップデートを呼びかけている。

■Adobe Flash Player

　8日に更新版が公開されたばかりだが、今回も17件の脆弱性が修正されている。

　アップデートの対象となるのは、Windows版、Mac版、Linux版、およびAndroid用のFlash Player。アップデート後のバージョンは、Windows版が「11.6.602.168」、Mac版が「11.6.602.167」、Linux版が「11.2.202.270」、Android 4.x用が「11.1.115.47」に、Android 3.x/2.x用が「11.1.111.43」となる。

　システムにインストールされているFlash Playerのバージョンは、下記のバージョン確認ページにアクセスするか、コントロールパネルの「Flash Player」で確認できる。

　Android用のFlash Playerについては、Google Playでの一般向け配布が終了しており、最新版を新規にインストールすることはできない。Flash Playerをインストール済みの端末でバージョンを確認するには、端末のWebブラウザで下記の「バージョン確認ページ」にアクセスするか、「システム設定」の「アプリの管理」で「Adobe Flash Player 11.x」をタップする。最新版への更新は、Google Playで「マイアプリ」の「すべて」を表示し、インスストールされている「Adobe Flash Player 11」をタップして「更新」ボタンを押す。

　なお、Windows 8に搭載されているInternet Explorer 10用のFlash Playerについては、Windows Updateを通じて最新版の「11.6.602.167」が配布されている。Flash Playerを内蔵しているGoogle Chromeでは、自動的にアップデートが適用され、更新後のバージョンは「11.6.602.167」となる。

・Security updates available for Adobe Flash Player[英文]（Adobe）
http://www.adobe.com/support/security/bulletins/apsb13-05.html
・Flash Playerのバージョン確認（アドビ）
http://www.adobe.com/jp/software/flash/about/
・Flash Playerのダウンロード（アドビ）
http://get.adobe.com/jp/flashplayer/
・マイクロソフトセキュリテ アドバイザリ（2755801）Internet Explorer 10上のAdobe Flash Playerの脆弱性用の更新プログラム（マイクロソフト）
http://technet.microsoft.com/ja-jp/security/advisory/2755801
・Stable Channel Update[英文]（Google Chrome Releases）
http://googlechromereleases.blogspot.jp/2013/02/stable-channel-update_12.html

■Adobe Shockwave Player 12.0.0.112

　アップデートの対象となるのは、Windows版とMacintosh版の「Adobe Shockwave Player 11.6.8.638」およびそれ以前のバージョン。2件の脆弱性が修正されており、更新後のバージョンは、「12.0.0.112」となる。

　使用中のShockwave Playerのバージョン確認は、下記のバージョン確認ページで行える。このページのShockwave Playerのボックスでアニメーションが再生されない場合は、Shockwave Playerはインストールされていないので、プラグインのダウンロードや更新を行う必要はない。

　最新版への更新は、下記のダウンロードページで行える。

・Security updates available for Adobe Shockwave Player[英文]（Adobe）
http://www.adobe.com/support/security/bulletins/apsb13-06.html
・Shockwave Playerのバージョン確認（アドビ）
http://www.adobe.com/jp/shockwave/welcome/
・Shockwave Playerのダウンロード（アドビ）
http://get.adobe.com/jp/shockwave/

（2013/02/13 ネットセキュリティニュース）

　マイクロソフトは13日、2月度の月例セキュリティパッチ（セキュリティ更新プログラム）を公開した。公開されたパッチは、最も深刻な「緊急」5件を含む12件。Windows、Windows Server、Internet Explorer、Office、.NET Framework、サーバーソフトウェアが影響を受ける。

【更新プログラムの内容】
［緊急］
・Internet Explorer用累積パッチ：リモートでコードが実行される脆弱性
・Vector Markup Language：リモートでコードが実行される脆弱性
・メディア解凍：リモートでコードが実行される脆弱性
・Exchange Server：リモートでコードが実行される脆弱性
・OLEオートメーション：リモートでコードが実行される脆弱性

［重要］
・FAST Search Server 2010 for SharePoint：リモートでコードが実行される脆弱性
・NFSサーバー：サービス拒否が起こる脆弱性
・.NET Framework：特権が昇格される脆弱性
・カーネルモードドライバー：特権が昇格される脆弱性
・カーネル：特権が昇格される脆弱性
・TCP/IP：サービス拒否が起こる脆弱性
・クライアント/サーバーランタイムサブシステム：特権が昇格される脆弱性

　このほか、Internet Explorer 10用のAdobe Flash Playerの更新プログラムと、新たにSirefefに対応した「悪意のあるソフトウェアの削除ツール」の更新バージョンも公開された。

（2013/02/13 ネットセキュリティニュース）

【関連URL：マイクロソフト】
・セーフティとセキュリティセンター
http://www.microsoft.com/ja-jp/security/default.aspx
・2013年2月のセキュリティ情報
http://technet.microsoft.com/ja-jp/security/bulletin/ms13-feb
・Microsoft Update
http://windowsupdate.microsoft.com/

　アドビシステムズは8日、コンテンツ再生ソフト「Flash Player」の最新版を公開した。深刻な脆弱性2件が修正されている。すでにこれらを悪用する攻撃が始まっており、同社は利用者に対し、最新版へのアップデートを呼び掛けている。

　アップデートの対象となるのは、Windows版、Mac版、Linux版、およびAndroid用のFlash Player。アップデート後のバージョンは、Windows版とMac版が「11.5.502.149」に、Linux版が「11.2.202.262」に、Android 4.x用が「11.1.115.37」に、Android 3.x/2.x用が「11.1.111.32」に更新される。

　今回修正された脆弱性2件は、Windowsユーザーを狙い、Wordファイル（.doc）にFlashファイル（.swf）を埋め込んでメールに添付し送りつけるという手口で、すでに悪用が始まっている。さらに「CVE-2013-0634」については、Mac上のFirefoxまたはSafariを狙い、Webサイトに悪意のあるFlashファイル（.swf）を埋め込むかたちの攻撃も確認されている。

　システムにインストールされているFlash Playerのバージョンは、下記のバージョン確認ページにアクセスするか、コントロールパネルの「Flash Player」で確認できる。複数のブラウザを利用している場合は、ブラウザごとに確認と更新を行っていただきたい。

　Android用のFlash Playerについては、Google Playでの一般向け配布が終了しており、最新版を新規にインストールすることはできない。Flash Playerをインストール済みの端末でバージョンを確認するには、端末のWebブラウザで下記の「バージョン確認ページ」にアクセスするか、「システム設定」の「アプリの管理」で「AdobeFlash Player 11.x 」をタップする。最新版への更新は、Google Playで「マイアプリ」の「すべて」を表示し、インストールされている「Adobe Flash Player 11」をタップして「更新」ボタンを押す。

　なお、Windows 8に搭載されているInternet Explorer 10用のFlash Playerについては、Windows Updateを通じて最新版の「11.3.379.14」が配布されている。Flash Playerを内蔵しているGoogle Chromeでは、最新のFlash Player「11.5.31.139」を組み込んだバージョンがすでに公開されている。

（2013/02/11 ネットセキュリティニュース）

【関連URL：アドビ】
・APSB13-04: Adobe Flash Player に関するセキュリティアップデート公開
http://helpx.adobe.com/jp/flash-player/kb/cq02070051.html
・Flash Playerのバージョン確認
http://www.adobe.com/jp/software/flash/about/
・Flash Playerのダウンロード
http://get.adobe.com/jp/flashplayer/

　マイクロソフトは8日、今月13日に公開を予定しているセキュリティ更新プログラム（修正パッチ）の概要を発表した。リリース予定の修正パッチは、4段階評価で深刻度が最も高い「緊急」5件、2番目に高い「重要」7件の計12件。

　「緊急」のパッチ5件は、Windows、Internet Explorer（IE）、サーバーソフトウェア（Exchange）の脆弱性に対処する。これらの脆弱性を悪用されると、いずれもリモートでコードが実行されるおそれがある。

　「重要」のパッチ7件では、Windows、Office、「.NET Framework」、サーバーソフトウェア（FAST Search）の脆弱性に対処する。Officeおよびサーバーソフトウェアの脆弱性では、悪用されるとリモートでコードが実行されるおそれがある。Windowsの脆弱性では「サービス拒否」、Windowsおよび.NET Frameworkの脆弱性では「特権の昇格」のおそれがある。

　このほか、セキュリティ以外の優先度の高い更新プログラムと、「悪意のあるソフトウェアの削除ツール」の更新バージョンのリリースも予定されている。

（2013/02/08 ネットセキュリティニュース）
 
【関連URL：マイクロソフト】
・マイクロソフト セキュリティ情報の事前通知-2013年2月
http://technet.microsoft.com/ja-jp/security/bulletin/ms13-feb
・Advance Notification Service for the February 2013 Security Bulletin Release[英文]
http://blogs.technet.com/b/msrc/archive/2013/02/07/advance-notification-service-for-the-february-2013-security-bulletin-release.aspx

　MMD研究所（モバイルマーケティングデータ研究所）が小学生の子を持つ親の意識調査を行ったところ、過半数が子に携帯電話を持たせる必要を感じていた。GPSやフィルタリング、防犯ブザーなど安全面への期待が高い。一方、スマートフォンについては約8割が購入に消極的で、理由としては「まだ早い」「料金が高い」を挙げる人が多かった。

　調査は、東京都、神奈川県、千葉県、埼玉県在住の小学生の子どもを持つ20～59歳の親を対象に、今年1月25日から28日の4日間、インターネット調査で行われた（有効回答数552）。調査対象の親の子どもの携帯電話所有率は41.9％で、端末の内訳は「子ども向け携帯電話」20.3％、「フィーチャーフォン」16.7％、「スマートフォン」4.9％だった。

■携帯電話を必要と感じる理由は「安全・安心」

　子どもに携帯電話を持たせる必要性を感じるかについては、「感じる（17.2％）」と「やや感じる（35.3％）」を合わせ、52.5％が必要性を感じている。必要を感じる理由は、「災害や事故の時など緊急時に連絡が取れるようにしたい（82.4％）」をトップに、「塾などの習い事の際に連絡が取れるようにしたい（60.0％）」、「防犯グッズとして使える（42.4％）」、「日常でいつでも連絡が取れるので安心（39.7％）」など、安全・安心を求める理由が多くを占めた。
　これと連動するが、子どもに持たせる携帯電話で重視する機能としては、通話機能とメール機能を除くと、「GPS機能（46.8％）」、「フィルタリング機能（44.6％）」、「防犯ブザー機能（42.9％）」が40％台で並び、親の心配に応える機能が重視されている。

■携帯電話をもたせる不安と対策

　子どもに携帯電話を持たせることへの不安を尋ねたところ、「ゲームなど、勉強の妨げになる機能が多い（48.6％）」、「有害な情報へアクセスできてしまう（47.2％）」、「月額の利用料金が高い（42.8％）」の3件が多く、「家族と関係ない人とも連絡が取れてしまう（35.5％）」、「時間を問わず、友人と連絡が取れてしまい、交友関係が把握できない（31.7％）」が続く。
　こうした不安から、子どもの携帯電話利用に関する教育の必要性を感じ、「対策やルールを決めている」と回答した親は64.5％と多数にのぼるが、必要性を感じてはいるものの対策していない、実行していないという回答も約3割あった。では、どのような教育や対策を実行または考えているかについては、「制限のかかった端末を使っている（57.5％）」、「フィルタリングサービスを申し込んでいる（49.4％）」、「知らない番号や非通知の電話はとらない（44.3％）」、「勉強の妨げになるようなゲームアプリなどで遊ばない（34.5％）」、「チェーンメールや迷惑メールなどは開かない（31.6％）」、「身元がわかるようなことを不特定多数の人が見る場所に書かない（23.0％）」などが挙げられている。

■約2割はルール違反でペナルティの経験あり

　子どもがこうしやルールを守らないためにペナルティを与えたことがあるという回答は18.6％あり、その理由は「携帯電話を触ってばかりで勉強をしなかった（48.6％）」が最も多くほぼ半数を占める。次いで「有料サービスを勝手に使用して多額の請求が来た（27.9％）」、「食事中にずっと携帯電話を触っていた（20.9％）」が続く。
　10％以下になるが、「有害サイトへアクセスしていた（7.0％）」、「親からの電話を取らなかった。着信拒否にした（7.0％）」、「自分の知らない人と連絡を取り合うようになっていた（4.7％）」、「身元がわかるようなことを不特定多数の人が見る場所に書いていた（4.7％）」などという危い回答もあった。
　なお、フィルタリングサービスについては、「知っているが活用していない」親が53.8％と半数を超え、元から設定されていた例と合わせ「活用している」は32.1％だった。

■スマホ購入に消極的な親は8割～「まだ早い」「料金が高い」

　子どもにスマートフォンを購入したいと思うかどうかを尋ねる質問では、購入したくない（46.6％）、あまり購入したくない（33.2％）を合わせて約8割、購入したい（5.8％）、やや購入したい（14.5％）を合わせて2割という結果だった。
　購入したい理由は「従来の携帯電話よりできることが多いから（54.5％）」が最も多く、「メディアリテラシーを伸ばしてほしい（40.2％）」、「勉強に使えるアプリが豊富（24.1％）」と続く。反対に、購入したくないと答えた親が挙げた理由は、「まだ持つには早い（68.9％）」、「利用料金が高い（61.1％）」が6割台で多く、「アプリが多く勉強の妨げになる（45.2％）」、「有害サイトなどにアクセスできる（41.6％）」という心配が4割台で続いた。

　子どもにスマートフォンを買い与える条件を尋ねる質問では、「月額費用が従来の携帯電話と同等であること（47.3％）」、「有害なネット情報などアクセスが制限できる機能（40.2％）」、「アプリのダウンロードが制限できる機能（30.9％）」の3件が上位に挙げられている。費用と安全面の心配が解決されれば、子どもがスマートフォンをもつことへの抵抗は低くなりそうだ。

（2013/02/07 ネットセキュリティニュース）

【関連URL】
・資料名：小学生の子を持つ親の携帯電話・スマートフォンに関する意識調査[PDF]（MMD研究所）
http://mmd.up-date.ne.jp/

　消費者から国民生活センターへ寄せられる相談のなかで、スマートフォンに関連したトラブル相談が増えている。なかでも、インターネットにアクセスし、知らない間にアダルトサイトなどの悪質サイトへ誘導され料金請求を受けたという相談が急増していることがわかった。

　国民生活センターは、2012年4月から昨年末までの相談件数を相談種別ごとにまとめ、発表した。インターネット関連の相談をみると、最も多かったのは「インターネット通販」11万4262件（前年同期12万2275件）、次いで「アダルト情報サイト」4万2492件（前年同期7万130件）、「出会い系サイト」1万4914件（前年同期1万7265）、「スマートフォンを利用したデジタルコンテンツ」1万1673件（前年同期2209件）、「スマートフォンそのもの」5043件（前年同期2658件）などとなっている。

　注目されるのは「スマートフォンを利用したデジタルコンテンツ」に関する相談で、他の相談が減少または微増であるなか、前年同期の2209件から5倍以上に急増している。

■悪質有料サイトに誘導され料金請求されるケースが頻発

　「スマートフォンを利用したデジタルコンテンツ」に関する相談とは、スマートフォンの通話料・パケット料、機器や通信サービスの品質などに関する相談とは別枠で、スマートフォンを利用した有料サイトからの料金請求などに関する相談を指している。

　最近の事例をみると、「スマートフォンで無料のアダルトサイトにアクセスし年齢を入力したら登録になり、料金請求画面が出た」「スマートフォンで無料アダルトサイトに入り、高額な料金請求画面が表示された」「スマートフォンで芸能人サイトを検索し、画像を見ようとして年齢確認画面で『ハイ』をクリックしたら、有料アダルトサイトに登録となり料金請求画面が現れた」「以前から迷惑メールがたくさん来ていたが、メールの中に『無料でサイトの配信を停止します』というものがあったのでクリックしたら、サイトの登録料を請求された」「スマートフォンに身に覚えのない請求メールが届いた。法的手段を取ると書かれている」などといった訴えが寄せられている。

　スマートフォンユーザーに、パソコンユーザーと同じ「ワンクリック請求」などの被害が多発していることがうかがえる。国民生活センターは、トラブルに巻き込まれないためのアドバイスとして、興味本位でのアクセスはやめ、安易に「はい」をクリックしないこと、意図せずアクセスしてしまい、利用料金の請求を受けた場合は支払う前に最寄りの消費生活センターへ相談するよう勧めている。

（2013/02/06 ネットセキュリティニュース）

【関連URL】
・各種相談の件数や傾向（国民生活センター）
http://www.kokusen.go.jp/soudan_topics/index.html
・あわてないで!!　クリックしただけで、いきなり料金請求する手口（国民生活センター）
http://www.kokusen.go.jp/news/click.html
・スマートフォンのセキュリティ<危険回避>対策のしおり[PDF]（IPA）
https://www.ipa.go.jp/security/antivirus/documents/08_smartphone.pdf

　IPA（情報処理推進機構）は1日、情報セキュリティ月間にあたる2月の呼びかけとして、「セキュリティ向上のために今できること」を公開した。IPAは個人や企業の担当者向けにさまざまな資料やツールを無償公開しているが、これらを活用し、セキュリティのために「今できること」を実行するよう勧めている。ここでは、個人向けに公開されているコンテンツを紹介したい。

　IPAが昨年12月に発表した調査結果によると、ネットユーザーは「ワンクリック請求」や「フィッシング詐欺」などの金銭被害に直結する脅威の認知度は高いものの、「ボット」や「標的型攻撃」、「マルウェア（ウイルス、不正アプリ）」の脅威については十分に認知していない傾向がみられた。 また、「セキュリティパッチを適用しないで使い続けること」を問題であると認識している人は約8割いるものの、「セキュリティパッチの更新」を実施している人は約6割に留まるなど、認識に実行が追いつかない傾向もみられた。

　そこでIPAは、対策の必要を感じつつも実行できていない個人ユーザーに対し、「今できること」として、パソコンの現状をチェックし、判明した脅威に対し適切な対策をとることを勧めている。

■パソコンの今の状態をチェックする

　自分が利用しているパソコンの状態を確認しよう。チェック方法が分からない場合、IPAが無償公開しているチェックツールを使うことができる。
・MyJVNバージョンチェッカ：　利用パソコンのソフトウェアが最新か、危険な設定(状態)になっていないかを簡単にチェックできる。
http://jvndb.jvn.jp/apis/myjvn/
・MyJVNセキュリティ設定チェッカ：　利用パソコンのセキュリティ設定が参考値を満たしているかを、簡単な操作で確認できる。
http://jvndb.jvn.jp/apis/myjvn/sccheck.html

■脅威を知り、対策を考える

　IPAは、インターネット利用時のさまざまな脅威をテーマごとに解説する「対策のしおり」シリーズを公開している。画像を多用し、誰にもわかりやすいスタイルで解説したもので、個人向けとしては次の10本が挙げられている。気になるテーマを一読し、アドバイスに沿って設定や留意事項などを実行しよう。

・ウイルス対策のしおり(第9版)コンピュータウイルスからあなたのパソコンを守るには
http://www.ipa.go.jp/security/antivirus/documents/01_virus.pdf
・スパイウェア対策のしおり(第10版)気付かぬうちにスパイウェアに侵入されていませんか？
http://www.ipa.go.jp/security/antivirus/documents/02_spyware.pdf
・ボット対策のしおり(第9版) あなたのパソコンはボットに感染していませんか？
http://www.ipa.go.jp/security/antivirus/documents/03_bot.pdf
・不正アクセス対策のしおり(第6版) 大丈夫ですか、あなたのパソコン？
http://www.ipa.go.jp/security/antivirus/documents/04_fusei.pdf
・情報漏えい対策のしおり(第6版) ～企業(組織)で働くあなたへ7つのポイント
http://www.ipa.go.jp/security/antivirus/documents/05_roei.pdf
・インターネット利用時の危険対策のしおり(第4版) インターネットに潜む悪意　こんな手口に騙されないで
http://www.ipa.go.jp/security/antivirus/documents/06_kiken.pdf
・電子メール利用時の危険対策のしおり(第4版) 電子メールを介したトラブル　こんな対策が必要です
http://www.ipa.go.jp/security/antivirus/documents/07_mail.pdf
・スマートフォンのセキュリティ<危険回避>対策のしおり(第2版) 安全・安心利用のためのセキュリティ対策で危険回避
http://www.ipa.go.jp/security/antivirus/documents/08_smartphone.pdf
・初めての情報セキュリティ対策のしおり(第1版) 新入社員の皆さん「情報セキュリティ対策」って知っていますか？
http://www.ipa.go.jp/security/antivirus/documents/09_hazimete.pdf
・標的型攻撃メール<危険回避>対策のしおり(第1版) 特定企業･組織への狙い撃ち攻撃 その発端となる最初の攻撃はメールから始まる
http://www.ipa.go.jp/security/antivirus/documents/10_apt.pdf

　なお、実際にパソコンのウイルス感染や不正アクセスの被害にあってしまった場合、IPAは「安心相談窓口」で相談を受け付けている。連絡先は、下欄「2013年2月の呼びかけ」ページの「（7）こんなときは…」を参照いただきたい。

（2013/02/05 ネットセキュリティニュース）

　2月は政府が定めた「情報セキュリティ月間」で、官民が連携して情報セキュリティの普及啓発活動を推進する。特製ポスター配布や情報セキュリティ競技大会の開催、IT護身術のアピールなど、さまざまな活動が予定されている。

　経済産業省とシマンテック、トレンドマイクロ、マカフィー、IPA（情報処理推進機構）が共同運営するセキュリティ普及促進委員会は、情報セキュリティ対策を周知する特製ポスターを作成。2月上旬より5万枚を、小・中学校はじめ教育機関や家電量販店等に配布する。

　ポスターは「あなたに、もっと安心を。」と大書し、「パソコン＆スマホライフを守る、3つのCHECK!」として、「個人情報などの重要な情報を扱う時は、何より慎重に！」「迷惑メールなどには、絶対アクセスしない！」「パソコンやスマホは、最新のセキュリティ状態にキープ！」の3つをアピールしている。

　同委員会が運営する情報セキュリティ・ポータルサイト「ここからセキュリティ！」では、授業で使える「情報モラルかるた」や、セキュリティ点検ツール特集「5分でできる！自社診断」などを紹介している。

　このほか、経産省は「インターネット安全教室」や「情報セキュリティ競技大会（CTF）」を開催、IPAは「今月の呼びかけ」でセキュリティに役立つコンテンツの目的別紹介、マイクロソフトなどIT企業や関連団体で構成される情報セキュリティ対策推進コミュニティでは「IT護身術」をキーワードにIT安全利用の対策を伝えていく。

（2013/02/04 ネットセキュリティニュース）

【関連URL】
・情報セキュリティ月間における官民連携による「情報セキュリティ啓発活動」の実施について（セキュリティ普及促進委員会）
https://www.ipa.go.jp/security/event/2013/security_month/0201/documents/130201.pdf
・官民連携による「情報セキュリティ啓発活動」を実施します（経済産業省）
http://www.meti.go.jp/press/2012/02/20130201003/20130201003-1.pdf
・ここからセキュリティ！ 情報セキュリティ・ポータルサイト（セキュリティ普及促進委員会）
http://www.ipa.go.jp/security/kokokara/
・「 毎年2月は情報セキュリティ月間です！ 」～セキュリティ向上のために今できること（IPA）
http://www.ipa.go.jp/security/txt/2013/02outline.html
・IT護身術（情報セキュリティ対策推進コミュニティ）
http://lovepc.jp/

　オラクルは2日、複数の深刻な脆弱性を修正したJRE（Java Runtime Environment：Java実行環境）の最新版、JRE 7 Update 13（1.7.0_13）とJRE 6 Update 39（1.6.0_39）を公開した。今回の修正に含まれる一部の脆弱性の悪用が確認されたため、20日に予定していた定例アップデートを繰り上げての公開だという。

　JRE 7 Update 13では、Update 11以前のJRE 7に影響する、38件の脆弱性が修正された。うち18件は、脆弱性評価システム「CVSS」のスコアが最高値の10.0で、悪用されるとパソコンを乗っ取られるなどの深刻な被害が発生するおそれがある。

　JRE 6 Update 39では、Update 38以前に影響する、34件の脆弱性が修正された。うち33件は7と共通の脆弱性で、CVSSスコア10.0の深刻な脆弱性18件が含まれる。

　今回のアップデートでは、ユーザーインターフェース構築用のJavaFX（インストールされている場合とされていない場合がある）も最新版の2.2.5に更新されており、2.2.4以前のJavaFXに影響する13件の脆弱性が修正された。うち2件は、JREと共通のCVSSスコア10.0の深刻な脆弱性。残り11件はJavaFX固有のもので、CVSSスコア10.0の脆弱性が8件含まれている。

　JREの最新版は、アップデート機能（自動更新機能や、Javaコントロールパネルの[更新]タブの[今すぐ更新]ボタン）により入手できるほか、同社サイトから無料でダウンロードすることもできる。JRE 6に関しては、今回のアップデートを最後に無償サポートが終了する予定なので、できるだけ早くJRE 7に移行していただきたい。

　Mac用の最新版は、7はオラクルから、6はアップルから提供されており、アップルは同日、6を同梱しているMac OS X v10.6.8（Snow Leopard）用の「Java for Mac OS X v10.6 Update 12」を公開。アップルメニューの「ソフトウェア・アップデート」で、自動的にインストールできる。

（2013/02/04 ネットセキュリティニュース）

【関連URL】
・February 2013 Critical Patch Update for Java SE Released[英文]（Oracle）
https://blogs.oracle.com/security/entry/february_2013_critical_patch_update
・Oracle Java SE Critical Patch Update Advisory - February 2013（Oracle）
http://www.oracle.com/technetwork/topics/security/javacpufeb2013-1841061.html
・Java のバージョンの確認（オラクル）
http://www.java.com/ja/download/installed.jsp
・Javaのダウンロード（オラクル）
http://java.com/ja/download/
・JavaFXのダウンロード（オラクル）
http://www.java.com/ja/javafx/