ネットセキュリティニュース

　マイクロソフトは27日、Windows 8/RTに標準搭載されている「メール」（Windowsモダンメール）のセキュリティ更新プログラムを公開した。最新版は、「Windowsストア」を通じてすでに配信されており、更新プログラム機能を利用してアップデートできる。

　「Windowsストア」は、Windows 8/RT向けに有料/無料のアプリを提供しているアプリストアのこと。「メール」や「カレンダー」「People」などの一部のアプリは、Windowsに標準で搭載されている。

　今回のアップデートでは、「メール、カレンダー、People、メッセージング」アプリのパフォーマンスと信頼性の向上、大幅な機能強化に加え、「メール」のなりすましの脆弱性1件が修正されている。深刻度は、4段階評価で上から3番目の「警告」。悪用されると、HTML形式のメール内のリンクが偽装されるおそれがある。

■Windowsストアアプリのアップデート方法

　Windowsストアアプリのアップデートは、Windows UpdateではなくWindowsストアを通じて行う。
　インストールされているストアアプリが更新されると、スタート画面の[ストア]タイルの右下に更新プログラムの数が表示される。[ストア]を開いて画面右上の[更新プログラム]を選択すると、[アプリの更新プログラム]が表示され、[インストール]で選択されているアプリのアップデートが始まる。
　[更新プログラム]が表示されない場合には、[ストア]を開いた状態でチャームを表示し、[設定]→[アプリの更新]の順で選択すると、[アプリの更新プログラム]画面が表示される。[更新プログラムを確認する]ボタンを押すと、その場で更新プログラムの確認が行われる。

（2013/03/28 ネットセキュリティニュース）

【関連URL】
・セキュリティアドバイザリ(2819682)Microsoft Windowsストアアプリケーション用のセキュリティ更新プログラム（マイクロソフト）
http://technet.microsoft.com/ja-jp/security/advisory/2819682
・サポート技術情報（2832006）（マイクロソフト）
http://support.microsoft.com/kb/2832006/ja

　グーグルは27日、同社のWebブラウザーの最新版「Google Chrome 26」の安定版「26.0.1410.43」を公開した。対象となるのは、Windows、Mac、Linux、および、Internet Explorer用のプラグイン「Chrome Frame」。最新版への更新は、自動的に行われる。

　最新版では、スペルチェック機能（日本語未対応）の強化や、Windows版でのショートカットのマルチユーザー対応、Mac/Linux版での非同期DNS参照といった機能拡張に加え、11件の脆弱性が修正された。

　修正された脆弱性は、危険が4段階評価で上から2番目に高い「高」2件、「中」4件、「低」5件。コード実行につながるおそれのある、メモリーがらみの問題も含まれている。

（2013/03/27 ネットセキュリティニュース）

【関連URL】
・Stable Channel Update[英文]（Google Chrome Releases）
http://googlechromereleases.blogspot.jp/2013/03/stable-channel-update_26.html
・Oodles of improvements to Chrome’s spell checking[英文]（Google Chrome Blog）
http://chrome.blogspot.jp/2013/03/oodles-of-improvements-to-chromes-spell.html

　トレンドマイクロは22日、Twitter上で「ブラウザークラッシャー」に誘導するURLの投稿が増加しているとして注意を呼びかけた。誘導先はすでにアクセスできなくなり現在は沈静化しているが、この騒動に学びブラクラへの対処法を押さえておこう。

■ブラクラ「アラートストーム」騒動

　ブラウザークラッシャー（ブラクラ）は、WebブラウザーやOSの機能や欠陥を利用し、ブラウザーやシステムに異常を発生させようとするWebページのことをいう。今回Twitterで相次ぎ投稿されたURLは、あるブログで約7年前に紹介されていたブラクラのサンプルのひとつ、「アラートストーム（alertstorm）」の実行ページだった。

　アラームストームは、JavaScriptを使い、警告などを表示するためのアラートを繰り返し表示するもの。アラートをダイアログボックスで最前面に表示するタイプのWebブラウザーでは、このダイアログボックスをクリックする以外に何も操作できなくなってしまうため、アラート表示の無限ループが仕掛けられると、Webブラウザーは操作不能になってしまう。

　このブログで紹介されていたブラクラのサンプルは危険性のないものばかりだったが、アラートストームのサンプルに関しては、10回表示すると終了すタイプに加え、無限に表示し続けるタイプも紹介されていた。今回Twitterに投稿された問題のURLは、この無限に表示する後者のほうだ。トレンドマイクロのセキュリティブログで紹介されている、アラートに表示された「今度は何度押しても消えませんよｗ(・∀・)ニヤニヤ」の「今度は」は、10回で終わらない無限ループのバージョンを意味しているわけだ。

　Twitter上で確認された、このURLを添えた投稿の大半は、解決策を求める相談や注意喚起、それらのリツイートが乱れ飛んだものだが、中には明らかにひっかけようとしているものも見受けられる。トレンドマイクロのセキュリティブログによると、このURLは今年4月頃からTwitter上の投稿にしばしば登場していたという。今回確認された拡散の増加は、3月7日ころから突然広まり、3月19日までに300件以上の投稿が確認されており、投稿増加の裏にソーシャルエンジニアリングによる悪意の拡散があると同社は推察している。

■ブラクラへの対処

　ブラクラはウイルスと違い、パソコンやスマートフォン本体に継続的な被害をもたらすものではない。そのWebページを開いている間のみ影響を受けるので、そのページを閉じてしまえば問題は解決する。初めて遭遇した方は、パニックになってしまうかもしれないが、冷静に対処していただきたい。

＜Try 1＞
　タブを閉じる、ブラウザーを閉じるといった方法で、閲覧していたページを閉じる。

＜Try 2＞
　Webブラウザーが操作できない場合には、ブラウザーの強制終了を試みる。パソコン環境ならば、タスクマネージャを使うと強制終了できる。
　Android端末の場合は、ホームボタンが有効ならば、ボタンを押してホームに戻ると他の操作が行えるようになる。[アプリの管理]や[設定]→[アプリ]でブラウザーを選択し、[強制停止]を実行する。
　iPhoneやiPadの場合は、ホームボタンを押してホームに戻る。ホームボタンを素早く2回押すと下部に起動中のアプリが表示されるので、ブラウザーを長押しする。アイコンに[-]マークが表示されたら、これをタップすると強制終了できる。

＜Try 3＞
　ブラウザーを強制終了できない場合には、本体の再起動で対処する。再起動は、いったん電源を切ってからシステムを起動しなおすこと。スリープとは違うので注意していただきたい。スリープの場合には、動いていたアプリもそのまま残ってしまうが、再起動の場合は全て終了する。パソコン、携帯端末ともに、たいていは電源ボタンの長押しで電源をオフにすることができる。

＜再表示に注意＞
　起動時に以前表示していたページを再表示する機能を備えたWebブラウザーの場合には、問題解決後にWebブラウザーを立ち上げると、再びブラクラページを開いてしまう可能性がある。このような場合は、Webブラウザーの再表示機能を無効にする、キャッシュを消去する、JavaScriptをいったん無効にする（ブラクラがJavaScriptを使っている場合）といった方法で、再表示を回避していただきたい。

（2013/03/27 ネットセキュリティニュース）

【関連URL：トレンドマイクロ】
・Twitter上でブラクラURLを含む投稿の拡散を確認、iPhoneでも被害
http://blog.trendmicro.co.jp/archives/6916

　マイクロソフトは19日、Windows Updateの自動更新を通じて、Windows 7 Service Pack 1（SP1）の配布を開始したと発表した。4月9日にサポートが終了する初期版のWindows 7をお使いの方は、順次SP1にアップデートしていただきたい。

　Windows 7 SP1は、これまでWindows Updateやダウンロードセンターを通じて配布されていた。すでに手動でSP1に更新された方や、SP1が適用済みの製品を購入された方は、そのまま使い続けて問題ない。SP1が適用されていない場合には、サポート終了以降、セキュリティ更新プログラムが提供されなくなってしまうので注意が必要だ。システムにセキュリティ上の問題が見つかっても、修正できなくなってしまい、ウイルス感染などのリスクが増大する。

　使用中のWindows 7がSP1かどうかを確認するには、[スタート]ボタンをクリックし、[コンピューター]を右クリックして[プロパティ]を開く。「Windows Edition」の欄に「Service Pack 1」の表示がある場合は適用済み、ない場合は未適用だ。未適用の方は、Windows Updateの自動更新を有効にして通知を待つか、手動で適用し、引き続きサポートが受けられるようにしておこう。

　手動で行う場合には、[スタート]ボタン→[すべてのプログラム]→[Windows Update] の順に選択し、[更新プログラムの確認] をクリックする。利用可能な更新プログラムの一覧に、「Microsoft Windows用Service Pack (KB976932)」があることを確認し（未選択ならば選択する）、ダウンロード/インストールする。

　同社のサポート情報によると、SP1をインストールするためには、32ビット版で750MB、64ビット版で1050MBのディスクの空き容量が必要とのこと。インストールには約30分かかり、インストールが半分程度進んだ時点でコンピューターの再起動が必要になるという。

（2013/03/25 ネットセキュリティニュース）

【関連URL：マイクロソフト】
・Windows 7 SP1 to start rolling out on Windows Update[英文]
http://blogs.windows.com/windows/b/bloggingwindows/archive/2013/03/18/windows-7-sp1-to-start-rolling-out-on-windows-update.aspx
・Windows 7 Service Pack 1 (SP1) をインストールする方法
http://windows.microsoft.com/ja-jp/windows7/learn-how-to-install-windows-7-service-pack-1-sp1
・サポート技術情報（976932）：Windows 7 および Windows Server 2008 R2 の Service Pack 1 に関する情報
http://support.microsoft.com/kb/976932/ja
・Service Pack センター
http://windows.microsoft.com/ja-jp/windows/service-packs-download

　アップルは19日、同社のモバイル端末向けOSの最新版「iOS 6.1.3 ソフトウェア・アップデート」を公開した。対象となるのは、3GS以降のiPhoneとiPad 2以降、第4世代以降のiPod touch。

　最新版では、日本向けの地図（マップアプリ）が改善されたほか、6件の脆弱性が修正された。

修正された脆弱性には、細工されたWebサイトで任意のコードが実行されるおそれのあるWebKitの問題や、一定の操作でパスコードロックを迂回できる問題が含まれる。また、端末に任意のソフトウェアがインストールできるようにする、いわゆるJailbreak（ジェイルブレイク：脱獄）ツールで使用されていた複数の脆弱性も含まれている。

　最新版への更新は、端末の「設定」アイコンから「一般」→「ソフトウェア・アップデート」と進むか、端末をパソコンに接続してiTunes経由で行う。

（2013/03/25 ネットセキュリティニュース）

【関連URL】
・About the security content of iOS 6.1.3[英文]（アップル）
http://support.apple.com/kb/DL1646?viewlocale=ja_JP&locale=ja_JP

　正規サイトのWeb改ざん被害が大量に発生しているとして、複数のセキュリティ機関が注意を呼び掛けている。環境省運営サイトの改ざんもその一例で、改ざんサイトを閲覧しただけでウイルスに感染しパソコンをのっとられる恐れがある。Windows Updateを必ず実施し、Java（JRE）、Adobe Reader/Flash Playerを最新版に更新して脆弱性を解消しておくことが、必須の対策となる。

■多数の改ざんサイトを入り口に、転送先でウイルス感染

　NPOのセキュリティ研究グループ0day.jp は15日、「Darkleech Apache Module」に感染した日本国内のWebサイトが285件見つかり、この感染サイトにInternet Explorerでアクセスすると、「Blackhole」マルウェア感染サイト（攻撃サイト）に転送されてしまうと警告した。転送された攻撃サイトでは、ユーザーのパソコンにインストールされているJavaやAdobe Reader/Flash Playerが古いバーションであった場合、解消されていない脆弱性が、脆弱性攻撃用ツールキット「Blackhole」の攻撃を受け、なんらかのマルウェアに感染させられてしまう。
0day.jpは、Darkleech Apache Moduleの感染を確認した285件の国内Webサイトについて、ドメイン一覧を公表した。この一覧には、17日に改ざん事実が公表された環境省の「CO2 みえ～るツール」サイト、19日に公表された岐阜県の関連施設「ふれあい福寿会館」サイトなども含まれている。

■世界規模の感染で、感染連鎖の入口へのアクセスは日本が最多

　0day.jpの警告を受け、IIJが運営するIIJ-SECT (IIJ group Security Coordination Team)は警告があった15日中に独自調査を行った。その結果、15日夕方時点で、少なくとも 40件以上のWebサイトに、不正なサーバーへ転送を行う悪意あるコードが残されていたという。こうした不正サーバーは、15日だけで世界中に少なくとも400台以上存在するという情報もあり、IIJ-SECTは世界的な大規模マルウェア感染事件である可能性もあるとしている。

　セキュリティ企業のトレンドマイクロは18日、この改ざん被害について取り上げ、感染の発端や改ざん手口の特徴について、詳細な分析を提示した。また、攻撃サイトにアクセスしている地域は、過去24時間で日本が最も多かったことを明らかにした。日本国内から攻撃サイトへのアクセスを同社がブロックした件数は、ここ1週間で 4万1983件にのぼるという。これは、同一IPアドレスからの重複アクセスを除いてのカウント結果だ。

■Windows、Java（JRE）、Adobe Reader/Flash Playerを最新版に

　攻撃者が標的としているのは、Adobe Reader/Flash Player、Javaで、どれか1つでも脆弱性を含む古いバージョンを利用している場合、攻撃の連鎖が発動してしまう。感染を防ぐには、Windows Updateを必ず実施するとともに、Java（JRE）、Adobe Reader/Flash Playerを最新版に更新し、脆弱性を解消しておくことが必須の対策となる。それぞれの方法は、下記コラムを参照していただきたい。
・「アップデート」を実行しよう【Windows OS編】
http://gendaiforum.typepad.jp/column/2011/03/アップデートを実行しようwindows-os編-2011331.html
・セキュリティの基本「アップデート」を実行しよう~4大ソフトを最新版に
http://gendaiforum.typepad.jp/column/2012/05/セキュリティの基本アップデートを実行しよう４大ソフトを最新版に2012530.html

（2013/03/22 ネットセキュリティニュース）

【関連URL】
・【警告】 285件日本国内のウェブサイトが「Darkleech Apache Module」に感染されて、IEでアクセスすると「Blackhole」マルウェア感染サイトに転送されてしまいます！ （0day.jp）
http://unixfreaxjp.blogspot.jp/2013/03/ocjp-098-285blackhole-exploit-kit.html
・BHEK2 による大量改ざん（IIJ）
https://sect.iij.ad.jp/d/2013/03/154955.html
・国内外におけるWebサーバ（Apache）の不正モジュールを使った改ざん被害 （トレンドマイクロ）
http://blog.trendmicro.co.jp/archives/6888
・「CO2 みえ～るツール」サイトの改ざんについて（環境省）
http://www.env.go.jp/info/mieeeru.pdf
・ふれあい福寿会館ホームページのウイルス感染の可能性と注意喚起について（岐阜県）
http://www.pref.gifu.lg.jp/kensei-unei/kocho-koho/event-calendar/sonota/hitozukuri/hureai-hp.html

　RealNetworksは13日、同社のメディアプレーヤー「RealPlayer」の最新版「16.0.1.18」を公開、15日にセキュリティ情報を公開した。

　最新版では、MP4ファイルの取り扱いで発生する、ヒープベースのバッファオーバーフローの問題が修正された。悪用されると、細工されたMP4ファイルの再生で任意のコードが実行されるおそれがある。

　脆弱性の影響を受けるのは、Windows版のRealPlayer 16.0.1.18より前のバージョン、およびSP 1.0～1.1.5。

　RealPlayerの最新版は、同社ダウンロードページから入手できる。現在使用しているRealPlayerのバージョンは、ヘルプメニューの[バージョン情報]から確認できる。

（2013/03/21 ネットセキュリティニュース）

【関連URL：RealNetworks】
・RealNetworks, Inc.、セキュリティ脆弱性に対応するアップデートをリリース（RealNetworks）
http://service.real.com/realplayer/security/03152013_player/ja/
・RealPlayer ダウンロード
http://jp.real.com/?mode=rp

　アップルは14日、OS X Mountain Lionの最新版と、Mac OS X 10.7.5 (Lion)およびMac OS X 10.6.8(Snow Leopard)のセキュリティアップデート、Webブラウザ「Safari」の最新版を公開した。

■「OS X Mountain Lion Update 10.8.3」「Security Update 2013-001」

　「OS X Mountain Lion 10.8.3」では、10.8.2以前のバージョンに影響する、11モジュール11件の脆弱性が修正されたほか、Safariの最新版「6.0.3」が同梱されている。
Lion/Lion Server用の「Security Update 2013-001」では、10.7.5以前のバージョンに影響する、13モジュール16件の脆弱性が修正された。Snow Leopard/Snow Leopard Server用の「Security Update 2013-001」では、10.6.8以前のバージョンに影響する、8モジュール9件の脆弱性が修正された。コード実行につながるおそれのある、危険な問題が複数含まれている。
　最新版への更新は、アップルメニューの「ソフトウェア・アップデート」から実行できる。

■Safari 6.0.3

　対象となるのは、X Mountain Lion（10.8.3に同梱）およびOS X Lion上のSafari 6。最新版では、レンダリングエンジン「WebKit」に関する17件の脆弱性が修正された。コード実行につながるおそれのある危険な問題が多数含まれている。
　最新版への更新は、アップルメニューの「ソフトウェア・アップデート」から実行できる。

（2013/03/18 ネットセキュリティニュース）

【関連URL：アップル】
・About the security content of OS X Mountain Lion v10.8.3 and Security Update 2013-001[英文]
http://support.apple.com/kb/HT5672
・About the security content of Safari 6.0.3[英文]
http://support.apple.com/kb/HT5671

　マイクロソフトが13日に公開した3月のセキュリティ更新プログラムのひとつが、一部の環境で適用されていない現象が発生している。適用状況を見ることが少ない自動更新の方は、適用漏れがないか確認することをお勧めする。

　適用されていない可能性があるのは、「MS13-027」のカーネルモードドライバーで特権の昇格が起こる脆弱性を修正するセキュリティ更新プログラム(KB2807986)だ。これがダウンロード保留状態のまま残ってしまう現象が、Windows 7とWindows 8のパソコンで確認されている。

　「KB2807986」は、USBドライバーがメモリー内のオブジェクトを正しく処理しない問題3件を修正する。これらの脆弱性は、インターネット経由の攻撃には悪用できないが、パソコンに直接触れることのできる者に悪用される可能性がある。悪用されると、カーネルモード（システムの中枢）内の任意のコードが実行でき、プログラムのインストールや管理者アカウントの作成などが行われるおそれがあるのだ。

　マイクロソフトのサポート技術情報（2807986）によると、ドライバーを含んだこの更新プログラムは、インストールされなかったり、ダウンロード保留中になったりすることがあるという。実際に現象が確認されているWindows 7/8をお使いの方は、「Windows Update」を開き、「Windows ○用セキュリティ更新プログラム（KB2807986）」が、利用可能な更新プログラムに未選択状態で残っていないか確かめていただきたい。選択されずに残っている場合には、チェックボックスにチェック入れて選択状態にし、ダウンロード/インストールを開始する。

　なお、サポート技術情報では、Windows 7の場合は「KB2807986」を適用する前に、「Windows 7用更新プログラム (KB2552343)」をインストールするよう勧めている。「KB2552343」は、ドライバーの更新時にタイムアウトエラーが発生する問題を解決するそうなので、「KB2552343」が未適用の方は指示に従っていただきたい。

■Windows Updateの使い方

　Windows 8のWindows Updateには、Windows 8アプリとデスクトップモードのものとがあるが、今回は全機能にアクセスできる、デスクトップモードを使用する。以下の手順で操作すると、デスクトップモードのWindows Updateが開く。

(1)スタート画面から[デスクトップ]を選択し、デスクトップ画面を表示
(2)画面の右端から左に向けてスワイプしてチャームを開く（マウス操作の場合は画面の右上隅にマウスポインターを合わせる）
(3)[設定]→[コントロールパネル]の順に選択
(4)コントロールパネルのカテゴリにある[システムとセキュリティ]を選択

　Windows 7の場合は、コントロールパネルの[Windows Update]でも、[スタート] ボタン→[すべてのプログラム]→[Windows Update] の順に選択してもよい。

　未適用の更新プログラムは　Windows Updateの[更新プログラムの確認]で、適用済みの更新プログラムは[更新履歴の表示]で確認できる。「KB2807986」が選択されずに残っていないか、正しくインストールされているかを確かめていただきたい。

（2013/03/15 ネットセキュリティニュース）

【関連URL：マイクロソフト】
・MS13-027 - 重要 カーネルモードドライバーの脆弱性により、特権の昇格が起こる (2807986)
https://technet.microsoft.com/ja-jp/security/bulletin/ms13-027
・サポート技術情報（2807986）[英文]
https://support.microsoft.com/kb/2807986/ja
・サポート技術情報（2552343）
https://support.microsoft.com/kb/2552343/ja

　2月は国内の一般サイトが悪用されるケースが多く見られ、観測されたフィッシングサイトは前月に続く50件越えとなった。オンラインバンキングのアカウントを狙った攻撃は見られなかったが、クレジットカード情報やプロバイダのメールアカウントを狙った攻撃が、相変わらず続いている。

　編集部では、飛来するメールやWeb上の情報を元に、日本国内に関係するフィッシングサイト（国内IP、JPドメイン、国内ブランド、日本語サイト）について観測を行っている。2月に観測した、国内関連のフィッシングサイトは、前月から6件増え56件だった。うち、偽サイト本体が設置されていたものは36件、他所に設置した偽サイトにリダイレクトする中継サイトとして使われたものは18件だった。

　悪用されたサーバーは、不正アクセスを受けた一般のWebサイトと見られるものが、前月の40件から44件に増加。うち国内サーバーは、前月の29件から36件へと増加した。ホスティングサービスの悪用は8件（すべて国内）、ウイルスに感染したユーザーのパソコンや自宅サーバーと見られるものは3件（同）、短縮URLサービスの悪用は1件（同）だった。

　悪用されたブランドは、PayPal（13件）、三菱東京UFJ銀行（6件）、AOL（3件）ほか、計29種類と、前月の19種類から大幅に増えている。国内ブランドや国内のユーザーを狙ったものは、三菱東京UFJ銀行をかたるクレジットカード情報の詐取が、前月に引き続き出現。偽サイトを大量に使用する、MasterCardのフィッシングも観測された。

　これらを含め各所からは、フィッシングに関する以下のような注意喚起（更新情報を含む）が出されている。クレジットカード情報やプロバイダのメールアカウントを狙ったフィッシングが、相変わらず続いている。

・[02/04]クレジットカード情報を盗み取ろうとする不審な電子メールにご注意ください（三菱東京UFJ銀行）
http://www.bk.mufg.jp/info/phishing/20130204.html
・[02/04]当行を騙った詐欺メール(フィッシング詐欺)にご注意ください[PDF]（東日本銀行）
http://www.higashi-nipponbank.co.jp/osirase/osirase20130204.pdf
・[02/09]本日(2/9)、MasterCardをかたるフィッシングの報告を多数いただいております（フィッシング協議会：twitte）
https://twitter.com/antiphishing_jp/status/300171986548715520
・[02/14]MasterCardをかたるフィッシング（フィッシング対策協議会）
https://www.antiphishing.jp/news/alert/mastercard20130214.html
・[02/15]eoWEBメールをかたる不正なフィッシングサイトにご注意ください（ケイ・オプティコム）
http://support.eonet.jp/news/31/
・[02/15]eoWEBメールをかたるフィッシング（フィッシング対策協議会）
http://www.antiphishing.jp/news/alert/eoweb2013215.html
・[02/20]ODNメールや実在の企業をかたるメールにご注意ください（ソフトバンクテレコム）
http://www.odn.ne.jp/odn_info/20130220.html
・[02/20]ODNをかたるフィッシング（フィッシング対策協議会）
https://www.antiphishing.jp/news/alert/odn20130220.html

■海外のフィッシングに悪用される国内の一般サイト

　国内の一般サイトが不正アクセスを受け、海外の偽サイトやその中継サイト（リダイレクター）に悪用されるケースが後を絶たない。昨年11月には12件、12月には15件と、一時減少したものの、1月には28件、2月には36件と再び増加に転じている。中でも特に目立つのが、たびたび悪用されてしまうケースだ。

　集計では、同じサイト内に同時に設置された同じブランドの偽サイトやリダイレクターは、まとめて1件として扱っている。リダイレクターのリダイレクト先が途中で変更されてもカウントしないが、偽サイトやリダイレクターが削除後に再設置された場合や、新たに設置された場合には、その都度1件とカウントしている。

　2月の36件の内訳は、3回設置と2回設置が各4サイトずつ、1回設置が16サイトで、悪用されたサイトの実数は、24サイトとなる。不正アクセスを受けた3割のサイトが、設置された偽サイトやリダイレクターの半分以上（20件：約56％）を占めているのだ。

　ちなみに過去1年間の事例で見ると、悪用された一般サイトは88。うち複数回設置されたサイトが27（約31％）あり、この27サイトが、設置された偽サイトやリダイレクター150件のうちの89件（約59％）を占める結果となっている。

　一般のWebサイトがフィッシングに悪用されるケースには、サイトの管理アカウントが破られ侵入されている場合もあれば、システムの脆弱性が突かれる場合もある。いずれにせよ、設置されてしまった原因を突き止め、適切に対処しておけば、同じ手口での悪用を防ぐことができる。ところが残念なことに、約3割のサイトが問題を解決しないまま運用を続けたため、再び悪用されるという結果を招いてしまっている。

　サイトのオーナーの方は、仕掛けを削除するだけで終わりにせず、ウイルス感染などで管理アカウントが漏えいしていないか、ブログなどのCMS（Content Management System）やサーバーの管理ツールなどに脆弱性はないかといったことを必ずチェックし、根本的な問題の解決に努めていただきたい。

　使用していないにも関わらず、ブログシステムやデータベース、ショッピングカートなどが動いているケースもしばしば見かける。使用していないと、ソフトの更新も滞ってしまいがちなので、サイトで何が動いているのかを確認し、不要なものは停止やアンインストールを検討していただきたい。

■URLに固有のIDを付けたフィッシング

　2月に出された注意喚起のうち、東日本銀行のものは、ポイント制出会い系サイトのものである。悪質な業者は、さまざまな手口でキャンペーンを行っており、金融機関や通販などのオンラインサービス、デリバリーサービス、コンビニ、宅配業者など、実在する（あるいは紛らわしい）サービスや企業をかたるものも多い。

　国内では、こうした業者の迷惑メールが非常に多く、その中には、メールの送信先のアドレスが分かるような仕掛けを施したものもある。メールソフトのセキュリティが向上したため、メールを開いただけでということはなくなったが、うっかりリンクをクリックしてしまうと、どのメールアドレス宛てに送ったメールがクリックされたのかを、相手に知られてしまうのだ。その結果、そのメールアドレス宛てに、これまで以上に大量の迷惑メールが届くことになる。効果的な相手とみなされ、詐欺などに巻き込まれるおそれもある。うかつにリンクをクリックしないよう、くれぐれも注意していただきたい。

　送付先を特定するこの手のメールでは、相手に固有のIDを渡すやり方がよく使われる。このIDは、それを使って誘導先のサイトにログインさせようとするものもあるが、URLのパラメータに埋め込まれていることが多い（メールアドレスそのものや暗号化したものが埋め込まれていることもある）。

　フィッシングでも、この手の手法が用いられることがある。出会い系サイトと同様、有効なメールアドレスや釣りやすい相手を特定しているのかも知れないが、その一方で、サイトに来ては困る人達を排除する目的でも使われている。具体的な手法のひとつとして、EMCの事業部「RSA」が「Bouncer List Phishing」と呼んでいるものが、下記のリリースで紹介されている。有効なID付きのURLでないとアクセスできない点は、国内の出会い系サイトが使う手法と同様だ。
・2012年の統計情報レビューと、新手のフィッシング攻撃方法「Bouncer List Phishing」[PDF]（RSA）
http://www.rsa.com/japan/pdf/solutions/AFCC_news/AFCCNews_130129.pdf

■意外なところに埋め込まれたID

　国内のユーザーを狙ったフィッシングでは、長期間続いているMasterCardを装うフィッシングで、2年半ほど前から固有のIDを付けたURLが用いられている。最初は、URLのパラメータに生のメールアドレスが入っていたが、その後はメールアドレスを暗号化したものに変更。これが、一昨年の12月まで続いていた。国内の出会い系サイトやRSAの事例とは違い、偽サイトはIDの有無に関係なくアクセス可能だった。

　このMasterCardのフィッシングは、昨年1月から手法が若干変わり、偽サイトへのアクセスに、ランダムなサブドメインを使うようになった。うかつにも筆者は、このサブドメイン名が新たなIDになっていたことにしばらく気がつかず、URLをそのまま使用し、一般公開しているフィッシングサイトのデータベースにも、そのまま投稿していた。ほどなく、フィッシングメールの収集用に用意していたメールアドレスや、情報収集に使っていたサイトにフィッシングメールが来なくなり、毎回十数サイト確認できていた偽サイトは、ほとんど見つけられなくなってしまった。セキュリティソフトなどが、怪しいメールやサイトを排除するように、フィッシャーも都合の悪い相手の排除に努めているのだ。

　ちなみに、フィッシャーが使う排除リストに、アクセス回線のIPアドレスが登録されてしまうこともある。登録済みのIPアドレスからのアクセスに対しては、偽サイトがエラーを返したり、正規サイトやGoogle、セキュリティベンダーのサイトなどにリダイレクトしたりするなどしてアクセスを阻み、偽サイトを確認させないようにするのだ。

　2月は、フィッシング対策協議会が緊急情報として、このMasterCardのフィッシングを取り上げている。パラメータ方式からサブドメイン方式に代わってから初めての掲載だ。同協会の告知では、URLのパラメータやメール記載のIDなどの送信先が特定されそうな情報は掲載する実例から消すのが常なのだが、今回はこのサブドメインを露出した状態でURLが掲載されている。今もこれがIDとして使われているのかどうかは分からないが、メールの送り先が特定される可能性がある。

　出会い系サイトやフィッシングに限らず、URLに意味のない文字列や数字が含まれている場合には、特定の相手にあてた専用のURLかもしれないので、取り扱いに注意したい。URLを公開したり通報したりした結果、迷惑なメールが来なくなればまだよいが、出会い系サイトにありがちな、アクセスすると迷惑メールが増えてしまうケースもある。ショッピングサイトの商品を紹介するつもりで掲載したURLが、あなた以外にはアクセスできないものだったり、時間がたつとアクセスできなくなってしまったりすることもある。時には、クリックした訪問者がそのショッピングサイトにあなたのアカウントでログインしてしまうこともありえるのだ。

（2013/03/15 ネットセキュリティニュース）

　アドビシステムズは13日、4件の深刻な脆弱性を修正した「Flash Player」の最新版を公開した。対象となるのは、Windows、Mac、Linux、Android。Windows版は、アップデートの優先度が「1」で、すでに攻撃対象となっているか、攻撃対象となる危険性が高いことを示している。

　最新版では、整数オーバーフローの問題、解放したメモリーの再使用問題、メモリー破壊の問題、バッファオーバーフローの問題の、計4件の脆弱性が修正されている。いずれも、コード実行につながるおそれのある危険度の高い脆弱性で、ウイルスに感染させるための手段として悪用される可能性がある。

　アップデート後は、Windows/Mac/Linux版は「11.6.602.180」に、Android 4.x用は「11.1.115.48」に、Android 3.x用は「11.1.111.44」に更新される。

　システムにインストールされているFlash Playerのバージョンは、下記のバージョン確認ページにアクセスするか、コントロールパネルの「Flash Player」で確認できる。複数のブラウザを利用している場合は、念のためブラウザごとに確認していただきたい。

　Android用のFlash Playerについては、Google Playでの一般向け配布が終了しており、新規にインストールすることはできない。Flash Playerをインストール済みの端末でバージョンを確認するには、端末のWebブラウザで下記の「バージョン確認ページ」にアクセスするか、「システム設定」の「アプリの管理」で「AdobeFlash Player 11.x 」をタップする。最新版への更新は、Google Playで「マイアプリ」の「すべて」を表示し、インストールされている「Adobe Flash Player 11」をタップして「更新」ボタンを押す。

　なお、Windows 8搭載のInternet Explorer 10用Flash Playerについては、Windows Updateを通じて最新版（11.6.602.180）が配布されている。Flash Playerを内蔵しているGoogle Chromeでは、最新版（同）を組み込んだバージョンがすでに公開されている。

（2013/03/13 ネットセキュリティニュース）

【関連URL】
・APSB13-09：Security updates available for Adobe Flash Player[英文]（アドビ）
http://www.adobe.com/support/security/bulletins/apsb13-09.html
・Flash Playerのバージョン確認
http://www.adobe.com/jp/software/flash/about/
・Flash Playerのダウンロード
http://get.adobe.com/jp/flashplayer/
・マイクロソフト セキュリティ アドバイザリ (2755801) Internet Explorer 10上のAdobe Flash Playerの脆弱性用の更新プログラム（マイクロソフト）
http://technet.microsoft.com/ja-jp/security/advisory/2755801
・Stable Channel Update[英文]（Google Chrome Releases）
http://googlechromereleases.blogspot.jp/2013/03/stable-channel-update_12.html

　グーグルは13日、同社のWebブラウザ「Google Chrome」の最新安定版「25.0.1364.172」を公開した。対象となるのは、Windows、Mac、Linux、および、Internet Explorer用のプラグイン「Chrome Frame」。最新版への更新は、自動的に行われる。

　最新版では、安定性が改善され、内臓のAdobe Flash Playerが最新版（11.6.602.180）に更新される。

（2013/03/13 ネットセキュリティニュース）

【関連URL】
・Stable Channel Update[英文]（Google Chrome Releases）
http://googlechromereleases.blogspot.jp/2013/03/stable-channel-update_12.html

　マイクロソフトは13日、3月度の月例セキュリティパッチ（セキュリティ更新プログラム）を公開した。公開されたパッチは、深刻度が4段階評価で最も高い「緊急」4件と、次に高い「重要」3件の計7件。Windows、Internet Explorer、Office製品の一部、ブラウザ用プラグインのSilverlight、SharePointサーバーが影響を受ける。
　
【更新プログラムの内容】
＜緊急＞
・[MS13-021]Internet Explorer用累積パッチ：リモートでコードが実行される脆弱性
　影響：IE6/7/8/9/10
　概要：解放したメモリーを再使用する問題8件を修正
・[MS13-022]Silverlight：リモートでコードが実行される脆弱性
　影響：Silverlight（Mac版を含む）
　概要：メモリーポインターを正しく確認しない問題1件を修正
・[MS13-023]Visio Viewer 2010 ：リモートでコードが実行される脆弱性
　影響：Visio Viewer 2010/Visio 2010/Office 2010 Filter Pack
　概要：オブジェクト型を取り違える問題1件を修正
・[MS13-024]SharePoint：特権が昇格される脆弱性
　影響：SharePoint Server 2010/SharePoint Foundation 2010
　概要：特権の昇格につながるコールバック関数、XSS、ディレクトリトラバーサルの問題と、サービス拒否につながるバッファオーバーフローの問題の計4件を修正

＜重要＞
・[MS13-025]OneNote：情報の漏えいが起こる脆弱性
　影響：OneNote 2010
　概要：メモリー内の任意のデータを読み取ることができる問題1件を修正
・[MS13-026]Outlook for Mac：情報漏えいが起こる脆弱性
　影響：Office 2008 for Mac/Office for Mac 2011
　概要：意図しないコンテンツを読み込む問題1件を修正
・[MS13-027]カーネルモードドライバー：特権が昇格される脆弱性
　影響：Windows(Windows RTを除く全て)
　概要：USBドライバがメモリー内のオブジェクトを正しく処理しない問題3件を修正

　このほか、Windows 8用Internet Explorer 10に搭載されているAdobe Flash Playerの更新プログラムと、新たに「Wecykler」に対応した「悪意のあるソフトウェアの削除ツール」の更新バージョンが公開された。Windows 7用のInternet Explorer 10も、Windwos Updateを通じて提供される（インストールは要選択）。

（2013/03/13 ネットセキュリティニュース）

【関連URL：マイクロソフト】
・セーフティとセキュリティセンター
http://www.microsoft.com/ja-jp/security/default.aspx
・2013年3月のセキュリティ情報
http://technet.microsoft.com/ja-jp/security/bulletin/ms13-mar
・Microsoft Update
http://windowsupdate.microsoft.com/
・セキュリティアドバイザリ (2755801) Internet Explorer 10 上の Adobe Flash Playerの脆弱性用の更新プログラム
http://technet.microsoft.com/ja-jp/security/advisory/2755801

　モジラは8日、Webブラウザの最新版「Firefox 19.0.2」を公開した。対象となるのは、Windows、Mac、Linux。法人向けの延長サポート版（ESR）「17.0.4」も同時に公開されている。

　最新版では、HTMLエディタ内で起きる解放したメモリーの再利用問題が修正された。この問題は、今月6日（現地時間）、カナダのバンクーバーで開催されたセキュリティカンファレンス「CanSecWest 2013」内で行われた、Webブラウザのハッキングコンペで明らかになったもの。重要度は、4段階評価で最も高い「最高」の脆弱性で、悪用されると任意のコードが実行されるおそれがある。

　同じ問題を抱えるESR版のFirefoxも、同日、最新の「17.0.4」が公開された。メールソフトのThunderbirdも準備が整い次第、「17.0.4」（標準版/ESR版）が公開される予定だ。

　Firefoxの最新版は、すでに自動更新機能を通じて配布されており、［ヘルプ］メニューの［Firefoxについて］を選択すれば直ちに更新確認が行われ、更新可能な場合は、自動的にダウンロードが始まる。

　11日13時現在まだ一般公開されていないThunderbardについても、最新版の配布が始まると、同様の方法で更新できる。

（2013/03/11 ネットセキュリティニュース）

【関連URL：Mozilla Japan】
・Firefox リリースノート バージョン 19.0.2
http://www.mozilla.jp/firefox/19.0.2/releasenotes/
・Firefox セキュリティアドバイザリ
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox.html
・Firefoxリリースノート バージョン 17.0.4 延長サポート版 (ESR)
http://www.mozilla.jp/firefox/17.0.4/releasenotes/
・Firefox ESR セキュリティアドバイザリ
http://www.mozilla-japan.org/security/known-vulnerabilities/firefoxESR.html
・Thunderbird ESR セキュリティアドバイザリ
http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbirdESR.html

　グーグルは8日、同社のWebブラウザ「Google Chrome」の最新安定版「25.0.1364.160」を公開した。対象となるのは、WindowsとLinuxおよびMac版で、最新版への更新は自動的に行われる。

　最新版では、レンダリングエンジン「Webkit」で起こる、型の取り違えによる不正なメモリアクセスの問題1件が修正された。危険度は4段階評価の上から2番目に高い「高」で、悪用されるとコード実行につながるおそれがある。

（2013/03/08 ネットセキュリティニュース）

【関連URL】
・Stable Channel Update[英文]（Google Chrome Releases）
http://googlechromereleases.blogspot.jp/2013/03/stable-channel-update_7.html

　マイクロソフトは8日、今月13日に公開を予定しているセキュリティ更新プログラム（修正パッチ）の概要を発表した。リリース予定の修正パッチは、4段階評価で深刻度が最も高い「緊急」4件、2番目に高い「重要」3件の計7件。

　「緊急」の脆弱性は、WindowsおよびWindows RT上のInternet Explorerに影響するリモートコード実行の問題と、Silverlight 5（Windows/Mac版）に影響するリモートコード実行の問題。Visio 2010、Visio Viewer 2010、およびOffice 2010 Filter Packに影響するリモートコード実行の問題。Microsoft SharePoint Server 2010とSharePoint Foundation 2010に影響する特権の昇格の問題、の計4件。

　「重要」の脆弱性は、Microsoft OneNote 2010に影響する情報漏えいの問題と、Mac版Microsoft Office 2008/2011に影響する情報漏えいの問題、およびWindowsに影響する特権の昇格の問題、の計3件。

　このほか、「Windows Update」「Microsoft Update」などで、セキュリティ以外の優先度の高い更新プログラムと、「悪意のあるソフトウェアの削除ツール」の更新バージョンのリリースも予定されている。

（2013/03/08 ネットセキュリティニュース）

【関連URL：マイクロソフト】
・マイクロソフト セキュリティ情報の事前通知-2013年3月（マイクロソフト）
http://technet.microsoft.com/ja-jp/security/bulletin/ms13-mar

　権利者に無断で音楽や映像をダウンロードする、いわゆる「違法ダウンロード」に関する改正著作権法の認知率が初めて6割台に上昇し、違法ダウンロードを利用する意向をもつ人が初めて1割未満に減少したことがわかった。オリコンの調査結果によるもので、同社は音楽事業者の啓発活動に一定の効果が現れたものと評価している。

　音楽情報サービスのオリコン（東京都港区）は2月27日、「第4回 著作権法改正・施行認知率、今後の違法ダウンロード意向調査」結果を発表した。著作権法が改正された2010年から毎年1回、継続して行ってきたもので、今回の調査期間は2013年1月31日～2月11日、調査対象は全国の「中学・高校生」「専門学校・大学生」「20代社会人」「30代」「40代」の男女、合計973人。自社アンケートパネルOMR（オリコン・モニターリサーチ）によるインターネット調査だ。

■「著作権法改正」～2010年に有罪化、2012年に刑事罰化

　2010年1月の著作権法改正は、「著作権を侵害した配信だと知りながら、権利者に無断で音楽や映像をダウンロードすることは、個人的に楽しむ目的であっても違法（権利侵害）」とするものだった。2012年6月にはさらに一部が改正され、権利者からの告訴が必要な親告罪ではあるが、刑事罰の対象となった。対象となるのは、CD、DVD などで販売、または有料でインターネット配信されている音楽・映像等の「有償著作物」を、違法ダウンロードして私的に使用した場合で、「2年以下の懲役もしくは200万円以下の罰金、またはその両方」が科される。また、DVDなどのコピー防止機能を解除して、自分のパソコンなどに取り込む「DVDリッピング」行為についても、個人的利用目的であっても違法となることが盛り込まれ、同年10月に施行された。

■2013年の認知率～「有罪化」67.2％、「刑事罰化」48.5％

　「2010年の著作権法改正」に対する認知率は、初回の2010年調査では51.6％、2011年は50.5％、2012年は56.1％、2013年は67.2％で、第4回目の今年、初めて6割台となった。2013年調査の認知率を世代別にみると、最も高いのが「40代」73.5％、次いで「20代社会人」70.5％、「専門・大学生」69.5％、「中高生」64.2％、「30代」58.0％の順だった。
　今回から調査に追加された2012年の法改正（刑事罰化）については、全体の48.5％が認知していた。うち83.5％が「刑事罰の対象となる内容」についても「知っていた」と回答している。この法改正についてのコメントは、「当然」とする賛同コメントが全体の約40％と最も多く、「厳しすぎる」「罰が重すぎる」などの反対コメントは約10 ％だったという。「DVD リッピング」違法行為の認知率は、全体の35.4％だった。

■認知経路～「ネット」「TV番組」「新聞」「映画館」の順

　2010年の法改正を知っていた人にどの媒体で知ったかを尋ねると、「インターネットのサイト」が38.7％で3年連続でトップだった。次いで「テレビ番組」35.6％、「新聞記事」20.5％、「映画館CM」15.9％の順だった。2012年の法改正についても「インターネットのサイト」44.7％、「テレビ番組」33.1％、「新聞記事」18.9％、「映画館CM」17.6％の順となった。

■違法ダウンロードの「経験」と「今後の意向」

　昨年1年間の「違法ダウンロード経験」は、全体で「経験なし」が89.3％、「経験あり」は10.7％となり、過去3年間で最低の数値となった。「経験なし」を世代別にみると、中・高生22.0％（昨年28.5％）、専門・大学生12.5％（同24.0％）、30代5.5％（同10.5％）、40代2.0％（同10.5％）と全世代で大幅に減少している。
　今後の「違法ダウンロード利用意向」では、74.0％（昨年68.9％）が「利用しない」と回答し、初の7割台となった。「すると思う」「以前よりは減ると思う」を合わせた「今後の違法ダウンロード意向」がある割合は、8.7％と初の１桁台となった。3年連続して20％台だった「中・高校生」も13.3％と初めて2割を切った。

　同社は、こうした認知の増加、違法ダウンロード経験・意向の減少は、音楽事業者の継続的な啓発活動の効果の現れと評価し、今後は2012年の法改正で規定された刑事罰の内容や罰則をより正しく広めることが課題になるとしている。

（2013/03/07 ネットセキュリティニュース）

【関連URL：オリコン】
・著作権法改正認知率67.2％…4年目で初の6割超え　違法DL利用意向は初の1桁台に
http://www.oricon.co.jp/news/ranking/2022094/full/

　グーグルは5日、同社のWebブラウザ「Google Chrome」の最新安定版「25.0.1364.152」を公開した。対象となるのは、Windows版とLinux版で、Mac版は1日に先行公開されている。最新版への更新は、自動的に行われる。

　最新版では、4段階評価の危険度が上から2番目に高い「高」6件と、「中」3件、「低」1件の、計10件の脆弱性が修正された。

　危険度「高」の脆弱性には、コード実行のおそれがあるメモリーがらみの問題や、任意のファイルにアクセスされるおそれがある、パストラバーサルの問題が含まれている。

（2013/03/06 ネットセキュリティニュース/鈴木直美）

【関連URL：グーグル】
・[03/05] Stable Channel Update[英文]
http://googlechromereleases.blogspot.jp/2013/03/stable-channel-update_4.html
・[03/01] Stable Channel Update[英文]
http://googlechromereleases.blogspot.jp/2013/03/stable-channel-update.html

　オラクルは5日、2件の深刻な脆弱性を修正した、JRE（Java Runtime Environment：Java実行環境）の最新版、JRE 7 Update 17（1.7.0_17）とJRE 6 Update 43（1.6.0_43）を公開した。この脆弱性を悪用した攻撃が発生しているので、利用者は直ちに最新版へと更新していただきたい。

　最新版では、7 Update 15およびそれ以前のバージョンと、6 Update 41およびそれ以前のバージョンに影響する、2件の脆弱性が修正された。いずれも、脆弱性評価システム「CVSS」のスコアが最高値の10.0で、悪用されるとパソコンを乗っ取られるなどの深刻な被害が発生するおそれがある。

うち1件は、先週からゼロデイ攻撃での悪用が報告されており、Webサイトを閲覧するだけで、知らない間にウイルスに感染してしまう可能性がある。

　JREの最新版は、アップデート機能（自動更新機能や、Javaコントロールパネルの[更新]タブの[今すぐ更新]ボタン）により入手できるほか、同社サイトから無料でダウンロードすることもできる。

　なお、Mac用の最新版は、7はオラクルから、6はアップルから提供されており、アップルは同日、Mac OS X向けの「Java for OS X 2013-002」と「Java for Mac OS X v10.6 Update 13」を公開した。アップルメニューの「ソフトウェア・アップデート」で、自動的にインストールできる。

（2013/03/06 ネットセキュリティニュース）

【関連URL】
・Oracle Security Alert for CVE-2013-1493[英文]（オラクル）
http://www.oracle.com/technetwork/topics/security/alert-cve-2013-1493-1915081.html
・Javaのダウンロード（オラクル）
http://java.com/ja/download/
・Java のバージョンの確認（オラクル）
http://www.java.com/ja/download/installed.jsp
・About Java for OS X 2013-002[英文]（アップル）
http://support.apple.com/kb/HT5675
・About Java for Mac OS X v10.6 Update 13[英文]（アップル）
http://support.apple.com/kb/HT5651
・YAJ0: Yet Another Java Zero-Day[英文]（FireEye）
http://blog.fireeye.com/research/2013/02/yaj0-yet-another-java-zero-day-2.html
・Latest Java Zero-Day Shares Connections with Bit9 Security Incident[英文]（Symantec）
http://www.symantec.com/connect/blogs/latest-java-zero-day-shares-connections-bit9-security-incident

　IPA（情報処理推進機構）は1日、3月の呼びかけとして「公式マーケット上の不正なアプリに注意！」を公開した。Android端末向け公式マーケット「Google Play」から50万回以上もダウンロードされ好評価を受けていたアプリが、じつはスマホ内の位置情報やメールアドレスなどを外部に送信してしまう不正アプリだったという。IPAは、解析結果を示し、被害にあわないための対策を解説している。

　IPAが入手した不正アプリ「ポルノセクシーなモデルの壁紙」は、Google Playで無料公開されていたが、現在は削除されている。Google Playでの評価は5.0満点中4.4、レビュー数は7830件、ダウンロード数は50万回を超えていた。利用者は個人的嗜好をくすぐるアイコンに目を留め、比較的良い評価や好意的レビューを見て安心し、インストールしてしまったのではないかとIPAは見ている。

■不正アプリの動作～壁紙表示の裏で端末情報を外部送信

　アプリのインストール前に、「このアプリケーションに許可する権限」が表示される。このアプリはWallpaper（壁紙）をうたっているにもかかわらず、それとは無関係な権限（端末情報の読み取りなど）の許可を求めてくる。インストール／実行すると、たしかに壁紙が表示されるが、その裏で、端末に含まれる情報を外部サーバーに送信する。メールアドレス、端末識別番号、位置情報、アプリ名、電気通信事業者識別コードなどの情報が、「POSTメソッド」という方式で送信されるという。
　このアプリで流出するメールアドレスは、Android OSのスマホを初期設定する際に必要となるGoogleアカウント用のメールアドレスだ。流出によって大量のスパムメールが送られてくることが予想されるが、Googleアカウントに紐づいたメールアドレスを変更することはユーザーにとって容易なことではないとIPAは被害の大きさを警告する。

■被害にあわないための対策

　IPAは、Android端末の公式マーケットからアプリをインストールすれば安全とは必ずしも言えないのが現況だとして、不正アプリの被害にあわないための対策を提案している。

(1) インストール前の「アクセス許可」に注意する
　IPAが今回解析した不正アプリもそうだが、Android端末を狙う不正アプリは、アプリの種類から考えると不自然なアクセス許可を求めるものがある。Android端末にアプリをインストールする際に、不自然なアクセス許可や疑問に思うアクセス許可を求められた場合にはインストールを中止しよう。

(2) 信頼できる公式マーケットからインストールする
　IPAは、各携帯電話会社が運営するマーケットの利用を勧めている。auの「auスマートパス」、docomoの「dマーケット」、EMOBILEの「EMOBILEオススメ！アプリ」、Softbankの「Yahoo! マーケット」など。これらのマーケットでは、運営者が独自にアプリのチェックを実施しているという。ただし、なかには有料サービスもあり、サービスを解約するとインストールしたアプリが自動的にアンインストールされてしまうものもあるので、納得の上で利用したい。

(3) セキュリティソフトを導入する
　スマホにセキュリティソフトを入れ、最新の状態に保っておけば、不正アプリのインストール時に注意を促してくれる。「アクセス許可」の内容をチェックしてくれるものもある。

　今回のようなアプリを一度でも起動させると、不正アプリによって情報が窃取され、それらの情報は取り戻すことができない。くれぐれもアプリを安易にインストールしないよう、IPAは重ねて注意を促している。

（2013/03/05 ネットセキュリティニュース）
 
【関連URL：IPA】
・2013年3月の呼びかけ「公式マーケット上の不正なアプリに注意！」
http://www.ipa.go.jp/security/txt/2013/03outline.html
・大丈夫？あなたのスマートフォン－安心・安全のためのセキュリティ－（IPA Channel ：YouTube）
http://www.youtube.com/watch?v=AhiUC7X3VSg
・スマホで見る連載マンガ「レイとランのスマホ事情」
http://www.ipa.go.jp/security/keihatsu/love_smartphone_life/comics/

　ソフトウェアの未修正の脆弱性を悪用し、ウイルスに感染させようとする「ゼロデイ攻撃」が、昨年末からたて続けに発生している。知らない間にウイルスに感染してしまう事態にならないよう、ゼロデイ攻撃にも対処できる回避策をご紹介する。

　インターネットネット経由のウイルス感染には、だまされてユーザーが自身でウイルスを実行してしまうケースと、ソフトウェアの脆弱性（欠陥）を悪用され、知らない間に実行されてしまうケースの二通りしかない。これら感染経路を遮断するには、「信頼できると分かっているもの以外は、絶対にダウンロードしたり実行したりしない」、および「脆弱性を修正するセキュリティパッチを適用し、常にシステムを最新の状態にする」という2つを履行すればよい。たったこれだけで、ネット経由のウイルス感染のほとんどが防げるのだ。

　ところが、この「ほとんど」から漏れてしまう例外がある。セキュリティパッチの提供前に脆弱性が悪用されてしまう、ゼロデイ攻撃がそれだ。未修正の脆弱性が悪用されるため、注意しているだけでは防げないのだ。
　以下は、今年に入ってから出された、ゼロデイ攻撃に対処するセキュリティパッチで、多くの方に影響を及ぼす可能性の高かったものである。修正日、製品の順に示す。

　1月14日　JRE
　1月15日　Internet Explore
　2月 2日　JRE
　2月 8日　Adobe Flash Player
　2月21日　Adobe Reader
　2月26日　一太郎
　2月27日　Adobe Flash Player

　1月修正のJRE（Java Runtime Environment：Java実行環境）以外は、一般の方に被害がおよぶ大規模攻撃に発展する前にパッチが提供されたが、いずれもパッチ提供前の数日から数週間の間は、攻撃されれば誰もがウイルスに感染してしまう、危険な状態にあったことには変わりない。

■ゼロデイ攻撃を緩和／回避するために

　これらゼロデイ攻撃のうち、攻撃の成立条件が少し特殊な「一太郎」の脆弱性（後述）以外は、ダウンロードしたファイルやメールの添付ファイルを開いた場合だけでなく、Webサイトを閲覧するだけで知らない間にウイルスに感染してしまう可能性があった。

　ゼロデイ状態で、Webサイトを閲覧するだけで感染してしまう事態を、どうやって回避したらよいのだろうか。単純で確実なのは、脆弱性のあるソフトをアンインストールし、パッチが提供されるまで、使用を中止することだ。これなら確実に回避できる。

　そこまではできないという場合は、不審なサイトの閲覧や不用意なリンクのクリックを避けることにより、攻撃されてしまうこと自体を、ある程度回避できる。ただし、公式サイトが改ざんされ、攻撃サイトに誘導されてしまうケースもあるので、攻撃される確率は減るものの、運任せなところもある。

　より効果的な対策としては、攻撃対象となっている脆弱なソフトウェアを、Webの閲覧から一時切り離す方法や、実行時のセキュリティレベルを上げる方法がある。

＜JRE＞
　コントロールパネルの「Java コントロールパネル」の[セキュリティ]タブにある、「ブラウザでJavaコンテンツを有効にする」のチェックボックスのチェックを外すと、Webブラウザ上でJavaアプレットやJava Web Startアプリケーションが実行できなくなり、ブラウザ経由での攻撃を回避できる。
　同じタブ内の「セキュリティ・レベル」を、ディフォルトの「高」や「非常に高」に設定すると、未署名のアプレットやアプリケーションの実行時に、ユーザーに実行許可を求めるようになり、自動実行を防ぐことができる。

＜Adobe Flash Player＞
　ブラウザ側でFlash Playerのプラグインを無効化すると、Webブラウザ上でFlashコンテンツが利用できなくなり、脆弱性攻撃を回避できる。

＜Adobe Reader＞
　ブラウザ側でAdobe Readerのプラグインを無効化すると、Webブラウザ上でPDFファイルが利用できなくなる。ただし、Webブラウザによっては、自動的にダウンロードした後、Adobe Readerが起動して開いてしまう場合がある。そのような場合は、開かないよう設定する、あるいは、Windopwsのファイルの関連付けの解除や変更、安全なファイルの扱いの変更などで対処する必要がある。
　Adobe Reader X/XIでは、[編集]→[環境設定]の[セキュリティ（拡張）]の「サンドボックスによる保護」を有効（ディフォルト値）にすると、他への影響を抑えた安全な方法で動作し、脆弱性を悪用した攻撃の影響を緩和できる可能性がある。
　Reader XIで追加された「保護されたビュー」を利用すると（ディフォルトはオフなので変更する）、Readerのすべての機能を無効にしてPDFファイルを閲覧するようになり、脆弱性の悪用を回避できる可能性がある。

＜Internet Explore＞
　[インターネットオプション]の[セキュリティタブ]にある[セキュリティレベル]を[高]にしたゾーンでは、セキュリティ上の問題を起こす可能性のあるプラグイン（ActiveXコントロール）やスクリプト、ダウンロードなどの機能が無効になり、脆弱性の悪用を回避できる可能性がある。
　マイクロソフトでは、パッチが提供されるまでの暫定措置として、ゼロデイ攻撃の発生時に「Fix It」を提供することがある。「Fix It」が提供された場合には、これを適用することにより、問題を回避策できる可能性がある。この「Fix It」は、Windowsの自動更新には含まれないので、その都度ユーザー自身でダウンロード／実行していただきたい。

■ちょっと特殊な一太郎のゼロデイ攻撃

　Windowsアプリケーションは、アプリケーション本体のプログラムファイルとは別に、コードやデータをDLL（Dynamic-Link Library）と呼ばれるファイルに格納しておき、必要に応じて読み込む仕組みが用意されている。この仕組みを悪用し、アプリケーションが使用する正規のDLLの代わりに悪質なDLLを読み込ませ、任意のコードを実行する攻撃があり、「DLLプリロード攻撃」などと呼んでいる。一太郎には、一太郎がシステムフォルダにインストールした正規のDLLよりも、文書ファイルと同じフォルダに置いたDLLを優先的に読み込んでしまう欠陥があり、これが攻撃に悪用された。

DLLプリロード攻撃は、以前より問題になっており、安全なDLLを読み込むように対処したアプリケーションも多い。しかし、いまだに対処されていない製品も多々あるので、対処済みであることが確認できているアプリケーション以外では、安全であることが分かっているファイル以外は開かないように注意したい。

　この攻撃に使われる一般的な手法では、攻撃者が用意したDLLと文書ファイルを同じフォルダ内に置くのが、攻撃成立の絶対条件となる。そのうえで、ユーザーに文書ファイルを直接開いてもらうと、攻撃が高確率で成功する。そこで攻撃者は、細工したDLLと文書ファイルなどをひとつにまとめたアーカイブファイルをユーザーに送りつける。ユーザーがアーカイブファイルをまるごとフォルダに展開してから、その中の文書ファイルを直接開けば、条件が満たされ攻撃が成功してしまう。アーカイブファイルから文書ファイルだけを取り出して開いた場合には、この攻撃は成立しない。

　もし安全性の確信が得られない状況下で、どうしてもファイル開かなければならない場合には、この特殊な条件を逆手にとるとよい。開こうとするファイルだけを別の安全なフォルダにコピーしてから開くようにすれば、この問題を回避できるわけだ。また、アプリケーションを起動してから、アプリケーション上からファイルを開くようにすることによっても、この問題を回避できることがある（起動時に正規のDLLが読み込まれる場合）。

（2013/03/01 ネットセキュリティニュース）