ネットセキュリティニュース

　不正ログイン対策のひとつとして、ポータルサイトやSNSなどでも「2段階認証」を採用するところが増えてきた。IDとパスワードを使用する従来の認証に、携帯電話などに送られて来る毎回異なるコードの入力を加えることにより、万が一IDとパスワードが盗まれても、それだけではログインできないようにしてしまおうという仕掛けだ。

　今回は、国内でもすでに同機能が利用可能な、Microsoft、Googleの「2段階認証」、Yahoo! JAPANの「ワンタイムパスワード」、Facebookの「ログイン認証」についてご紹介する。名前や仕様に若干の違いはあるが、基本的にはどれも同じものと考えてよい。

■2段階認証にはスマホがおすすめ

　2段階認証は、IDとパスワードを使った従来のログイン手順に、もう1段階、毎回変わるパスワード入力を加えたものだ。この追加のパスワードを、ここでは「認証コード」と呼ぶことにする。2段階認証を使うと、ログイン手順は次のようになる。

(1) ID/パスワードを入力
(2) 認証コードを受け取る
(3) 認証コードを入力する

　(1) だけで済んだログインに新たな手順が追加され、(2)以降を行えないとログインできなくなるわけだ。ユーザーの正規ログインも面倒なことになってしまうように感じるかもしれないが、(2) や (2)～(3) をスキップする機能も用意されているので、安心していただきたい。詳しくは後述するが、初期設定時には、設定の過程で実際に (2)～(3) のプロセスを実行するので、送られて来る認証コードを受け取る環境を用意しておく必要がある。

　認証コードは、携帯電話や固定電話の音声、メールやSMS（ショートメッセージ）のテキストメッセージで受け取る方法と、コード生成アプリで生成する方法とがある。サービスによっては、音声やSMSが利用できない場合、メールが携帯電話のキャリアメールに限定されている場合、初期設定時にはアプリが利用できない場合があるので注意していただきたい。とりあえずスマートフォンがあれば、どのサービスのどの方式の2段階認証にも完全対応できる。

■2段階認証の設定

　2段階認証は、各サービスにログインし、登録情報を管理するページで初期設定を行う。

＜Microsoft：2段階認証＞
　認証コードは、「セキュリティ情報」に登録されている携帯電話の音声通話やメールアドレス宛てに送信される。設定は、「セキュリティ情報」の「2段階認証」の「2段階認証のセットアップ」で行う。これを選択して画面の指示に従うと、2段階認証が有効になる。

＜Google：2段階認証＞
　認証コードは、設定時に指定する携帯電話の音声またはキャリアメールのアドレス宛てに送信される。設定は「セキュリティ」の「2段階認証プロセス」の「設定」で行う。これを選択して画面の指示に従うと、2段階認証が有効になる。

＜Yahoo! Japan：ワンタイムパスワード＞
　認証コードは、設定時に選択したメールアドレス宛てに送られて来るほか、コード生成アプリを設定時から使用することもできる。設定は、「セキュリティ」の「ワンタイムパスワード」を選択し、「メール」または「アプリ」を選択する。画面の指示に従うと、2段階認証が有効になる。

＜Facebook：ログイン承認＞
　認証コードは、アカウント認証用に登録する携帯電話のSMSに送信される。設定は、「セキュリティ」の「ログイン承認」で行う。これを選択して画面の指示に従うと、2段階認証が有効になる。

■2段階認証の追加機能

　2段階認証は、セキュリティの向上と引き換えに、ログインプロセスを煩雑化してしまう側面がある。さらに、認証コードを受け取る携帯電話が圏外の場合や、紛失してしまった場合なども考えると、ついつい二の足を踏んでしまう。各サービスでは、さまざまな状況に対応できるように、あらかじめいくつかの機能を用意している。

＜認証コード生成アプリ＞
　認証コードは、携帯電話などで受け取るほかに、アプリを使って生成することもできる。今回ご紹介したサービスの場合は、認証コードの生成に同じプロトコルを使用しているので、サービスごとに専用のものを用意せず、共用することが可能だ。
　認証コード生成アプリを利用する場合には、各サービスで最初に、表示されているQRコードを読み取る、またはコードを直接入力し、アプリ自身をサービスに登録する作業が必要となる。設定を済ますと、以後はそのアプリが表示するコードでログインできるようになる。
　ちなみにMicrosoftからはWindows Phone用の「Microsoft Authenticator」、GoogleからはAndroid/iOS/BlackBerry用の「Google Authenticator（Google 認証システム）」、Yahoo!からはAndroid/iOS用の「Y!OTP」が無償で公開されている。

＜対応アプリの登録＞
　各サービス向けの専用アプリの中には、上記の機能を搭載したものがある。このような対応アプリの場合には、そのアプリを一度登録しておけば、2段階認証を意識せずに利用できるようになる。Webブラザーの場合は、端末内に保存するクッキーに、認証済み情報を保存させることができる。対応サービスでは、認証コードの入力時にオプションのチェックボックスで選択できるようになっている。これを選択すると、その端末のそのWebブラウザーでは、次回から追加の手順が省略される。

＜アプリ専用パスワード＞
　2段階認証に対応していないアプリや機器に対しては、認証コードの入力を必要としない専用のパスワードを発行することができる。未対応アプリにはこのパスワードをセットしておくと、これまでどおりに利用可能だ。

＜バックアップコード＞
　あらかじめいくつかの認証コードをサービス側に用意しておき、これを代替用の認証コードとして使用することができる。バックアップコードを用意しておけば、認証コードを受け取れず、生成することができない場合でもログイン可能だ。

（2013/05/31 ネットセキュリティニュース）

【参考URL】
・ワンタイムパスワードとは（Yahoo! JAPAN）
http://www.yahoo-help.jp/app/answers/detail/a_id/41952/p/544
・2 段階認証：FAQ（Microsoft）
http://windows.microsoft.com/ja-jp/windows/two-step-verification-faq
・2 段階認証プロセスについて（Google）
https://support.google.com/accounts/answer/180744?hl=ja
・追加のセキュリティ機能（Facebook）
http://ja-jp.facebook.com/help/413023562082171/

　しばらく沈静化していたオンラインバンキングのアカウント情報をだまし取るフィッシングが、久しぶりに出現した。新生銀行は28日、同行を名乗り暗証番号などを盗み取ろうとするフィッシングメールとフィッシングサイトが出回っているとして注意を呼びかけた。

　フィッシングメールは、「Access to your online account has been suspended」の件名で届く英文メールで、海外の複数のオンラインバンキングのフィッシングで使われているものと同一のものだ。内容は、不正アクセスを検出しアカウントを一時停止したので確認が必要と称し、偽サイトへと誘導するリンクをクリックさせようとする。メールに埋め込まれたリンクには短縮URLが使われており、そこからさらに中継サイトを経て偽サイトへと誘導される。

　誘導先の偽サイトは、同行の英語のログインページを模したもの。アカント番号（店番号と口座番号）とPIN（暗証番号）、パスワードを入力させ、本物のサイト（英語ページ）に飛ばす仕組みになっていた。昨年まで頻発していたオンラインバンキングのフィッシングと違い、乱数表を丸ごと入力させるページは見当たらなかった。

　すでに誘導経路の一部は閉鎖されたが、偽サイト本体を含めた一部が29日午後4時現在も稼働しているので、注意していただきたい。

　同行をはじめとする主要なオンラインバンキングでは、「EV SSL」を導入しているので、アクセス時にはアドレスバーの横に錠マークが表示され緑色に変わる。錠マークの横には、同行の場合は「Shinsei Bank, Limited」と併記されるので、本物と偽物は一目で区別がつくはずだ。

（2013/05/29 ネットセキュリティニュース）

【関連URL】
・新生銀行を装った詐欺メール・詐欺サイトについてのご注意（新生銀行）
http://www.shinseibank.com/info/news130528_secure.html
・新生銀行をかたるフィッシング(2013/05/29)（フィッシング対策協議会）
https://www.antiphishing.jp/news/alert/shinseibank20130529.html

　主要なソフトウェアの多くが、修正パッチや最新版の有無を自分でチェックしインストールする、自動更新機能を備えるようになった。これを利用していれば、ユーザーが意識せずとも常に最新の状態に保たれているはずなのだが、更新チェックや適用のタイミングの違いから、更新の適用までに時間差が生ずることがある。ゼロデイ攻撃時の緊急パッチのように、わずかな適用の遅れが命取りになることもあるので注意が必要だ。

　代表的な自動更新機能のひとつが、「Windows Update」だろう。Windowsが標準で備えるこの機能は、更新チェックからインストールまでの一連の作業を行う専用のサービスがシステムに常駐しており、初期設定では、システムの稼働中は毎日1回、システムが停止している場合には次に起動した際に、一連の作業を行うようになっている。必要に応じてユーザーにシステムの再起動を促すため、うっとうしいという声も一部にあるが、比較的少ない遅延でシステムを最新の状態に保つことができている。
　ところが、全ての自動更新機能が、Windows Updateと同じように動作しているわけではない。更新チェックや適用のタイミングに、微妙な違いがあるのだ。

■自動更新の更新チェックと適用のタイミング

　更新チェックは、Windows Updateと同様、予定した日時に定期的に実行するタイプのほかに、システムの起動時やログオン時、アプリケーションの起動時に実行するタイプがある。更新チェックがシステムの起動時の場合には、システムのシャットダウン後。ログオン時の場合には、ログアウト後。アプリケーションの起動時の場合には、アプリケーションの終了後でないと、次の更新チェックが行われないわけだ。
　ダウンロードからインストールまで完全に自動化されていることも多いが、「使用中のプログラムは更新することができない」というのが鉄則だ。Windows Updateが時おり再起動を求める理由のひとつがこれだ。
　更新時にアプリケーションの終了や再起動、システムの再起動などの措置が必要な場合、メッセージを表示してユーザーに促すタイプもあれば、一切通知することなく、再起動時に反映することが暗黙の了解となっているものもある。更新チェックからインストールまで自動化されていても、即座に反映されるとは限らないのだ。

■手動チェックも欠かさずに

　いつかは最新の状態になるはずの自動更新だが、チェックと適用のタイミングに違いがあるため、必ずしも更新が遅延なく適用されるとは限らない。更新チェック前や適用前の状態で、使用を続けるという状況が起こり得る。使用頻度の低いアプリケーションやパソコン自体の使用頻度が低い場合、終了時にログアウトやシャットダウンをせず、アプリケーションを開いたままスリープさせている場合には、そうした状況になりやすいので特に注意が必要だ。
　主要なソフトウェアについては、自動更新機能に任せきりではなく、面倒でも手動で、サポート中の最新版であるかどうかをチェックするよう心がけたい。Windows Updateについては、スタートメニューやコントロールパネルの「Windows　Update」で、更新履歴等を確認することができる。自動では更新されないアップデートもあるので、時々確認しておきたい。脆弱性が悪用されることの多い主要なプラグイン（JRE/Adobe Reader/Adobe Flash Player）については、自動更新が有効であっても、遅れることのないよう手動で確実に更新しておくことをお勧めする。詳しくは、下記のトピックスを参照していただきたい。

■セキュリティソフトも時々チェックを

　セキュリティソフトは、最新のウイルスなどに対応するために、定義ファイルを頻繁に更新している。ウイルスの中には、検出から逃れるためにこれを妨害したり、セキュリティソフト自身を止めてしまったりするものがある。セキュリティソフトに関しても、任せきりではなく、時々管理ツールを開いて、ちゃんと動作しているか、最新の状態になっているかを確認していただきたい。

（2013/05/29 ネットセキュリティニュース）

　警察庁は24日、重要インフラ事業者などのWebサイトの改ざんが、今年に入り増加しているとして、注意を呼び掛けた。具体的な数は不明だが、昨年の2倍を上回るペースだという。

　発表では、改ざんの手口などを断定するには至っていないものの、コンテンツマネージメントシステム（CMS）の脆弱性の悪用とFTPアカウントの窃取という、2つの形態によるものと見られる改ざんが多数あるとし、CMSを利用しているWebサイトの適切な管理と、FTPアカウントの適切な管理を呼び掛けている。これらは、脆弱性が原因で管理者アカウントを奪取されるというように重なる部分もあるので、Webサイトを運営されている方は常に両方の対策を並行して実施していただきたい。

■CMSの脆弱性を悪用した改ざん

　今年1月から2月には、CMSの脆弱性を悪用し、Webサーバー内にテキストファイルや画像ファイルなどを新たに蔵置するケースが多く見られたという。同庁の観測では、設置されたファイルに攻撃者自身のハンドルなどが記載されたものがあり、ファイル蔵置の成功を誇示したものと見ている。
　クラックしたサイトに足跡を残していくタイプの改ざん情報を主に公開している「Zone-H」で調べたところ、今年の1月、2月に、国内のWebサイトの改ざん数が突出している様子がうかがえる。JP/CERTの「インシデント報告対応レポート」でも、昨年7月から改ざんが急増し、今年2月に大きなピークを迎えている。ただし、同レポートでは、閲覧者をウイルスに感染させるための、不審なiframeタグが挿入される改ざんの報告を多く受けたとしている。
　国内の一般サイトが改ざんされ、フィッシングサイトが設置されるケースも似たような傾向を示しており、昨年末にかけて一時減少したものの、年が明けると再び増加に転じている。特に2月は、不正アクセスを受けたと見られる一般サイト45件のうち、脆弱性の悪用と見られるものが19件と目立った。3～4月は、やや落ち着きを見せたものの今月に入って再び目立つようになり、27日時点で一般サイトに設置されたフィッシングサイト34件中15件が、脆弱性の悪用を疑われるタイプとなっている。
　CMSやサーバー管理ツールなどのサーバーソフトの脆弱性は、さまざまなタイプの改ざんや情報流出を招く危険性がある。次のFTPアカウント窃取の原因になることもあるので、Webサイトの管理者の方は、くれぐれも注意していただきたい。

■窃取したFTPアカウントによる改ざん

　警察庁の発表では、4月以降にはトップページに外部サイトへの誘導を行うiframe タグを挿入する改ざんが多数あったという。そのうちいくつかは、FTP経由での改ざんが判明しており、1回のアクセスだけでログインに成功しているケースを確認していることから、同庁はFTPアカウントが窃取されている可能性が考えられるとしている。
　iframeタグを埋め込むタイプの改ざんでは、誘導先にブラウザーやプラグインの脆弱性を攻撃するスクリプトが仕掛けられていることが多く、正規サイトを閲覧しているつもりが、知らない間にウイルスに感染してしまうことがある。3月には、サーバー管理ツールの脆弱性が疑われるiframe挿入が、国内のWebサイトで大規模に行われた。閲覧者に直接被害が及ぶことなので、全てのユーザーが注意しなければいけないことだ。
　Windows Updateを欠かさず実行するとともに、JRE（Java Runtime Environment：Java実行環境）、Adobe Reader、 Adobe Flash Playerを常に最新にし、脆弱性のない状態にしておいていただきたい。たったこれだけで、改ざんサイト経由のウイルス感染被害は、ほとんど受けなくなる。

（2013/05/27 ネットセキュリティニュース）

【関連URL】
・ウェブサイト改ざん事案の多発に係る注意喚起について[PDF]（警察庁）
http://www.npa.go.jp/cyberpolice/detect/pdf/20130524_1.pdf
・JPCERT/CC インシデント報告対応レポート [2013年1月1日～2013年3月31日][PDF]（JPCERT/CC）
https://www.jpcert.or.jp/pr/2013/IR_Report20130415.pdf
・旧バージョンの Parallels Plesk Panel の利用に関する注意喚起（JPCERT/CC）
http://www.jpcert.or.jp/at/2013/at130018.html

【関連記事：ネットセキュリティニュース】
・正規サイトの改ざん被害が大量発生～JavaやAdobe製品のアップデートを（2013/0322）

　アップルは23日、12件の深刻な脆弱性を修正した Windows用QuickTimeの最新版「7.7.4」を公開した。対象となるのは、Windows 7/Vista/XP。

　最新版では、「7.7.3」以前のバージョンに影響する深刻な脆弱性12件が修正された。いずれも細工されたムービーファイルの再生などで任意のコードが実行されるおそれがあるもので、ウイルス感染に悪用される危険がある。早急にアップデートすることをおすすめする。

　最新版への更新は、QuickTimeとセットでインストールされている「Apple Software Update」で自動インストールできるほか、同社のサイトからも入手できる。

　QuickTimeは、iTunes Storeでのコンテンツの購入やiPodなどへの転送などの際に使用する「iTunes」のコンポーネントとして、一昨年リリースの「iTunes 10.4」まで同梱されていた。このため、iTunesと一緒にインストールしている方も多い。「iTunes 10.5」からQuickTimeは不要となり、同梱されなくなったが、インストール済みのQuickTimeのアンインストールは、自動的には行われない。iTunesのためだけにQuickTimeをインストールしていた方は、iTunesを最新版（11.0.3）に更新し、不要なQuickTimeをアンインストールするのもいいだろう。

（2013/05/24 ネットセキュリティニュース）

【関連URL：アップル】
・QuickTime 7.7.4のセキュリティコンテンツについて[英文]
http://support.apple.com/kb/HT5770?viewlocale=ja_JP
・QuickTime - ダウンロード
http://www.apple.com/jp/quicktime/download/

　コンピュータソフトウェア著作権協会（ACCS）は22日、2012年度下半期の著作権侵害対策支援の活動状況について取りまとめ、発表した。ファイル共有ソフトの「Share」や「WinMX」を悪用したゲームソフトなどの無許諾アップロード、ネットオークションを悪用した海賊版販売など26件が、当該期間に刑事摘発された。

　刑事摘発された件数は、2010年度同期24件、2011年度同期44件、2012年度同期26件と推移している。今期26件中のうち17件がファイル共有ソフトによる無許諾アップロードで、海賊版販売が6件、ストレージサーバーの悪用2件、違法配信1件だった。

■ファイル共有ソフトを悪用した無許諾アップロード

　刑事摘発された17件の内訳は「Share」11件、「WinMX」3件、「Perfect Dark」2件、「Cabos」1件で、Share以外は前年度同期には摘発されていない。悪用されるファイル共有ソフトの種類が増加していることがうかがえる。
　WinMXを使った事件では、東京都の会社員男性(41歳) 、静岡県のアルバイト男性（32歳）、広島市の会社員男性(25歳)の3名が逮捕されている。WinMXを通じてゲームソフトなど約1500ファイルをアップロードし、不特定多数に送信できるようにしていた疑いがもたれている。Cabosを使った事件では、東京都の会社員男性(45歳)が逮捕された。約3年前から使い始めたCabosを通じ、英語教材全48巻をアップロードし、不特定多数に送信できるようにしていたという。逮捕容疑はいずれも著作権法違反(公衆送信権侵害)で、彼らは容疑を認めている。動機については、「アップロードすると、自分が欲しいファイルがダウンロードしやすくなる」などと供述しているという。

■ネットオークションを悪用した海賊版販売

　海賊版販売では著作物そのものの複製に加え、「無許諾キャラクターグッズ」が摘発された。人気アイドルの写真を無断複製した抱き枕カバーを販売した栃木県の会社員男性（31歳）、タレント写真を文字盤に複製した壁掛け時計を販売した京都市の会社員男性（42歳）が逮捕されている。逮捕容疑はいずれも著作権法違反（海賊版の頒布）で、ネットオークションを利用して販売されていた。

　同協会は、こうしたインターネットを悪用したサイバー犯罪に関するイベントを、捜査機関と共同で各地で開催している。一般市民に実態を知ってもらい、知的財産権の保護を考えるきっかけ作りにしてほしいとしている。

（2013/05/24 ネットセキュリティニュース）

【関連URL】
・平成24年度下半期の著作権侵害対策支援の状況について（コンピュータソフトウェア著作権協会）
http://www2.accsjp.or.jp/activities/2013/actives109.php

　グーグルは22日、同社のWebブラウザーの最新版「Google Chrome 27」の安定版「27.0.1453.93」を公開した。対象となるのは、Windows、Mac、Linux、および、Internet Explorer用のプラグイン「Chrome Frame」。最新版への更新は、自動的に行われる。

　最新版では、表示速度の高速化などの機能改善に加え、14件の脆弱性が修正された。修正された脆弱性は、危険度が4段階評価で上から2番目に高い「高」11件、「中」2件、「低」1件。危険度「高」の脆弱性には、解放したメモリーの再利用など、コード実行につながるおそれのあるメモリーがらみの問題が含まれている。

　最新版では、内臓のAdobe Flash Playerもアップデートされ、同日リリースの「11.7.700.203」に更新される。「11.7.700.203」は、今月15日に公開された「11.7.700.202」の後継としてMacとChrome用にリリースされたもので、前版で修正された13件の脆弱性に加え、不具合1件が修正されている。

　また23日には、Android用の「Google Chrome 27」の安定版「27.0.1453.90」も公開された。最新版では、フルスクリーンモードへの対応や検索兼アドレスバーのオムニボックスの改善、安定性やパフォーマンスの向上を図る修正などが施されている。

（2013/05/23 ネットセキュリティニュース）

【関連URL】
・Stable Channel Release[英文]（Google Chrome Releases）
http://googlechromereleases.blogspot.jp/2013/05/stable-channel-release.html
・Chrome for Android Updatee[英文]（Google Chrome Releases）
http://googlechromereleases.blogspot.jp/2013/05/chrome-for-android-update.html
・Flash Runtime Announcements（Adobe Forums）
http://forums.adobe.com/thread/1216663

　国民生活センターは21日、スマートフォンからアクセスしたアダルト情報サイトの相談が急増しているとして、注意を呼び掛けた。2013年度の相談件数は、昨年度同時期の3倍近くにのぼっている。「無料と思っていたのに料金請求画面が表示された」という訴えが多く、こうしたワンクリック請求は無視が最適の対処法であることを再確認しておきたい。

　スマホからアクセスしたアダルト情報サイトに関する相談件数は、2013年度（2013年4月～5月13日まで）は1174件で、昨年度同時期の427件に比べ、3倍近い。相談内容は、「有料とは思わずクリックしたところ、料金請求画面が表示された」「個人情報が業者に伝わっていないか心配」などが多いという。公式マーケットで無料アプリをダウンロードしたのに、突然、料金を請求されたという相談も寄せられている。

　ちなみに、2011年度、2012年度ともに、アダルト情報サイトに関する相談が最も多く、そのうちスマホからアクセスしたものは、2011年度は4234件、2012年度は1万2013件だった。スマホの普及に伴い、急速に増加しているのがわかる。

　2012年度の1万2013件のうち196件はすでに支払いをしてしまったという相談で、平均金額は13万1384円だった。なぜ、支払ってしまうのか。同センターが相談事例として挙げている「支払ってしまった」ケースを見てみよう。

■相談事例：公式マーケットの無料アプリが「登録完了」→料金請求

　スマホを初めて購入し、公式マーケットにある無料アプリ一覧から内容をよく確認せずにアプリをダウンロードした。「インストールしました」と表示され、アプリを開いたらアダルト情報サイトだった。「18 歳以上か」と表示され、画面に触れたら「登録完了」と表示された。怖くなり、画面にあった業者の電話番号に電話すると「払ってもらわないと困る」と言われ、怖くなって9万9800 円を振り込んだ。その後「脱会済み」と表示されないので再び電話すると「銀行の入金確認が取れ次第、脱会手続きしておく」と言われた。それ以降スマートフォンを触っていないが怖い。どうしたらよいか。（2013年3月受付、40代女性、給与生活者）

　こうしたワンクリック請求には、「無視」で対処するのが一番であることを再確認しておきたい。ユーザー側から業者に電話したりメールをしたりしてはいけない。上記相談者は、慌てて業者に連絡したため、悪徳業者の指示に従うことになってしまった。無視を続けるのが不安な場合は、最寄りの消費生活センター、もしくは警察に連絡し、相談するとよい。

5月2日付の当通信でも紹介したが、警察のサイバー犯罪対策課は、「些細なことでもかまわないので、気軽に相談や情報提供をしてほしい」としている。同センターは、「画面に請求画面を張り付かせる行為」は犯罪の可能性もあるとの観点から、警察にも情報提供するよう勧めている。

　下の【関連URL】に挙げたが、セキュリティ各社は、公式マーケット（Google Play）でワンクリック詐欺アプリが継続して確認されていることに注意を促している。うっかりダウンロードしてしまわないように、気を付けていただきたい。

（2013/05/22 ネットセキュリティニュース）

【関連URL】
・スマートフォンからアクセスしたアダルト情報サイトの相談が急増！－“公式マーケット”でダウンロードした無料アプリからの請求も－ (国民生活センター：2013/05/21)
http://www.kokusen.go.jp/news/data/n-20130521_1.html
・スマホにおける新たなワンクリッ請求の手口気をつよう！（IPA：2013/05/02）
http://www.ipa.go.jp/security/txt/2013/documents/summary1305.pdf
・情報窃盗アプリのダウンロードを仕向ける Google Play 上の日本語ワンクリック詐欺（シマンテック：2013/05/17）
http://www.symantec.com/connect/ja/blogs/google-play-2
・スマートフォンの出会い系アプリを偽装した不審Webサイトを継続して確認（トレンドマイクロ：2013/05/09）
http://blog.trendmicro.co.jp/archives/7203
・Google Play上のワンクリック詐欺アプリ、ユーザー情報も収集（マカフィー：2013/04/10）
http://www.mcafee.com/japan/security/mcafee_labs/blog/content.asp?id=1361

　4月から5月初旬にかけて、国内大手サイトへの不正ログイン事件が相次いだ。先週末は大手ポータルサイトで不正アクセスがあり、最大2200万件のIDが流出した可能性があるという。利用しているWebサービスのID/パスワードの設定をもう一度見直し、使い回しなどの弱点があれば、適切なものに設定し直しておこう。

　4月上旬に発生した大手ポータルサイトへの不正ログインでは約10万8000件の会員アカウントが、5月上旬に発生した大手ショッピングサイトへの不正ログインでは約1万5000件のアカウントが、リスト攻撃により突破されている。リスト攻撃とは、あらかじめ不正取得した大量のID/パスワードのセットを、標的とするWebサービスのログイン画面に、連続自動入力プログラムを用いて次々に入力し、突破を試みるもの。インターネットユーザーが複数サイトで同じID/パスワードを使い回している状況を利用した攻撃手法だ。

　先週末発表の不正アクセス事件で流出の可能性があるのはIDのみで、パスワードには流出の恐れはない。しかし、他のWebサービスで同じIDを使い、かつ安易なパスワード設定にしていた場合、連続自動入力プログラムを用いて「安易なパスワード」を試す攻撃を受け、不正ログイン被害を受ける恐れがある。

　IPA（情報処理推進機構）が昨年12月11日に発表した「情報セキュリティの脅威に対する意識調査」では、「サービス毎に異なるパスワードを設定」しているのは22.2％に留まっており、8割近いユーザーがパスワードの使い回しをしていることが判明している。

■IPAの意識調査－－半数以上が「安易なパスワード」、約8割が「使い回し」

　この意識調査は2005年度からWebアンケート方式で行われており、最新版は2012年10月に実施され同年12月に結果が発表された（通算11回目）。対象は15歳以上のインターネット利用者で、有効回収数は5000名（男性2587名、女性2413名）。
パスワードの設定方法に関する調査結果を見ると、パスワードを設定する際に「誕生日などの推測されやすいものを避けて設定している」は48.5％、「わかりにくい文字列（8文字以上、記号含む）を設定している」は43.3％、「サービス毎に異なるパスワードを設定している」は22.2％という結果だった。

　半数以上が安易なパスワードを使い、約8割が複数のWebサービスでパスワードを使い回していることがわかる。上述のように、この2つの条件が重なると、不正ログイン被害にあう可能性が高くなる。利用しているWebサービスで使っているID/パスワードを見直し、同じパスワードを使っていないか、安易なパスワードになっていないか、もう一度チェックしておこう。使い回しがあればパスワードの変更手続きを行い、下記を参考に「強い（安全な）パスワード」に設定し直しておくことを強くお勧めする。

・安全なパスワードとは？
http://www.so-net.ne.jp/security/column/pc/s_pw.html
・IDとパスワードのセキュリティ
http://www.so-net.ne.jp/security/column/idpw/change.html

（2013/05/21 ネットセキュリティニュース）

【関連URL】
・当社サーバへの不正なアクセスについて（ヤフー）
http://pr.yahoo.co.jp/release/2013/0517a.html
・2012年度 情報セキュリティの脅威に対する意識調査」報告書について（IPA）
http://www.ipa.go.jp/security/fy24/reports/ishiki/

【関連記事：ネットセキュリティニュース】
・不正ログイン攻撃から身を守るには――代表的攻撃手法と自衛策（2013/04/24）

　アップルは17日、iPodなどと連携する同社のコンテンツ管理・再生ソフト、iTunesの最新版「11.0.3」を公開した。対象となるのは、Mac OS X 10.6.8以降と、Windows 8/7/Vista/XP。

　最新版では、新しいミニプレーヤーやソングビューの改善などに加え、複数の深刻な脆弱性が修正されている。

　修正されたMac版/Windows版共通の脆弱性は、不正な電子証明書を受け入れてしまう問題1件のみ。Windows版では、これに加えてレンダリングエンジン「Webkit」の脆弱性39件が修正された。Webkitの脆弱性には、任意のコードが実行されるおそれがある、メモリーがらみの問題が多数含まれている。

　修正されたWebkitの脆弱性のうち半数は、Mac版のSafariですでに修正済みのものだが（Webkitは共通）、残りの半数は、今回Windows版のみの修正となっている。これらがWindows版特有の問題なのか、Mac版は今後のアップデートで対処する予定なのかは不明だ。

　最新版への更新は、iTunesのヘルプメニューにある「更新プログラムを確認」（Windows/Mac）、アップルメニューの「ソフトウェア・アップデート」（Mac）、Windows版同梱の「Apple Software Update」（Windows）で行えるほか、同社のサイトからダウンロードすることもできる。

（2013/05/17 ネットセキュリティニュース）

【関連URL：アップル】
・About the security content of iTunes 11.0.3（Apple）
http://support.apple.com/kb/HT5766
・サポートダウンロード
http://support.apple.com/ja_JP/downloads/

　モジラは15日、Webブラウザーの最新版「Firefox 21.0」を公開した。対象となるのは、Windows、Mac、Linux、およびAndroid。法人向けの延長サポート版（ESR）「17.0.6」も同時に公開されている。

　Firefox 21では、行動追跡を拒否する「Do Not Track」（DNT）のユーザインタフェース改良や、必要に応じてアプリケーションの起動時間の短縮方法を提案する新機能などに加え、8件の脆弱性が修正された。

　修正された脆弱性は、重要度が4段階評価で最も高い「最高」3件、上から2番目の「高」4件、3番目の「中」1件。ESR版では、「21.0」と共通の「最高」3件と「高」3件の計6件。悪用されると任意のコードが実行されるおそれのある、危険な問題が含まれている。　

それぞれの最新版は、自動更新機能を通じて配布されているほか、［ヘルプ］メニューの［Firefoxについて］を選択し、［ソフトウェアの更新を確認］ボタンをクリックすれば、今すぐ更新できる（Android版は、[設定]→[Firefoxについて]の順に選択し[更新を確認]をタップ）。

　Firefox 17.0.6で修正された脆弱性は、同じエンジンを使用するメールソフトThunderbirdにも影響があり、通常版/ESR版ともに、最新版の「17.0.6」が同日より公開されている。

（2013/05/15 ネットセキュリティニュース）

【関連URL:Mozilla Japan】
＜Firefox 21.0＞
・リリースノート（デスクトップ版）
http://www.mozilla.jp/firefox/20.1/releasenotes/
・リリースノート（Android版）
http://www.mozilla.jp/firefox/android/21.0/releasenotes/
・セキュリティアドバイザリ
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox.html
＜Firefox ESR版 17.0.6＞
・リリースノート
http://www.mozilla.jp/firefox/17.0.6/releasenotes/
・セキュリティアドバイザリ
http://www.mozilla-japan.org/security/known-vulnerabilities/firefoxESR.html
＜Thunderbird 17.0.6（通常版/ESR版）＞
・リリースノート
http://www.mozilla.jp/thunderbird/17.0.6/releasenotes/
・セキュリティアドバイザリ
http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird.html
http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbirdESR.html

　アドビシステムズは15日、複数の深刻な脆弱性を修正したPDF閲覧ソフト「Adobe Reader」の最新版を公開した。対象となるのは、Windows、Mac、Linux。Windows版。3段階のアップデート優先度は、Windows版の「Adobe Reader 9」が最も高い「1」、その他は「2」と評価されている。

　最新版では、クラッシュやコード実行を引き起こす、メモリーがらみの深刻な危険度の高い脆弱性18件を含む、27件の脆弱性が修正された。危険度の高い脆弱性は、ウイルスに感染に悪用されるおそれがある。特に保護機構を持たない「Adobe Reader 9」の場合には、悪用攻撃の影響を受けやすく、細工されたPDFファイルを閲覧するだけでウイルスに感染してしまう可能性がある。

　アップデート後のバージョンは、Adobe Reader XIが「11.0.03」Xが「10.1.7」9が「9.5.5」に更新される。

　使用中のAdobe Readerのバージョン確認は、Adobe Reader「ヘルプ」メニューの「Adobe Readerについて」で。最新版への更新は、「ヘルプ」メニューの「アップデートの有無をチェック」で行えるほか、同社のサイトからもダウンロードできる。

　なお、「Adobe Reader 9」のサポートは、今年6月に終了する予定なので、お使いの方は最新バージョンへの移行をお勧めする。最新バージョンは、下記のダウンロードページで入手できる。

（2013/05/15 ネットセキュリティニュース）

【関連URL：アドビシステムズ】
・APSB13-15:Adobe Reader および Acrobat に関するセキュリティアップデート公開
http://helpx.adobe.com/jp/acrobat/kb/cq05131839.html
・Adobe Reader XIのダウンロード
http://get.adobe.com/jp/reader/

　アドビシステムズは15日、複数の深刻な脆弱性を修正したコンテンツ再生ソフト「Flash Player」の最新版を公開した。対象となるのは、Windows、Mac、Linux、Android。Windows版は、アップデートの優先度が「1」で、すでに攻撃対象となっているか、攻撃対象となる危険性が高いことを示している。

　最新版では、メモリー破壊が発生する問題13件が修正された。リモートからコードが実行されるおそれがあり、ウイルス感染に悪用される可能性がある。

　アップデート後は、Windows/Mac版は「11.7.700.202」に、Liux版は「11.2.202.285」に、Android 4.x用は「11.1.115.58」に、Android 2.x/3.x用は「11.1.111.54」に更新される。Flash Player 11に移行できないユーザー向けには、Flash Player 10の最新版「10.3.183.86」も提供されている。

　システムにインストールされているFlash Playerのバージョンは、下記のバージョン確認ページにアクセスするか、コントロールパネルの「Flash Player」で確認できる。複数のブラウザを利用している場合は、念のためブラウザごとに確認していただきたい。

　Android用のFlash Playerについては、Google Playでの一般向け配布が終了しており、新規にインストールすることはできない。Flash Playerをインストール済みの端末でバージョンを確認するには、端末のWebブラウザで下記の「バージョン確認ページ」にアクセスするか、「システム設定」の「アプリの管理」で「AdobeFlash Player 11.x」をタップする。最新版への更新は、Google Playで「マイアプリ」の「すべて」を表示し、インストールされている「Adobe Flash Player 11」をタップして「更新」ボタンを押す。Android版は、自動更新を許可してあっても、自動的には更新されないので注意していただきたい。

　なお、Windows 8搭載のInternet Explorer 10用Flash Playerについては、Windows Updateを通じて最新版（11.7.700.202）が配布されている。Flash Playerを内蔵しているGoogle Chromeについては、準備が整い次第、最新版（同）を組み込んだバージョンが公開され、自動的に更新される予定だ。

（2013/05/15 ネットセキュリティニュース）

【関連URL】
・APSB13-14:Adobe Flash Player用セキュリティアップデート公開（アドビ）
http://helpx.adobe.com/jp/flash-player/kb/cq05140122.html
・マイクロソフト セキュリティ アドバイザリ (2755801) Internet Explorer 10 上の Adobe Flash Player の脆弱性用の更新プログラム（マイクロソフト）
http://technet.microsoft.com/ja-jp/security/advisory/2755801
・Flash Player Update[英文]（Google Chrome Releases）
http://googlechromereleases.blogspot.jp/2013/05/flash-player-update.html
・Flash Playerのバージョン確認（アドビ）
http://www.adobe.com/jp/software/flash/about/
・Flash Playerのダウンロード（アドビ）
http://get.adobe.com/jp/flashplayer/

　マイクロソフトは15日、5月度の月例セキュリティパッチ（セキュリティ更新プログラム）を公開した。

　公開されたパッチは、深刻度が4段階評価で最も高い「緊急」2件と、次に高い「重要」8件の計10件。Windows、Internet Explorer、.NET Framework、Windows Essentials、Office製品が影響を受ける。

【更新プログラムの内容】

＜緊急＞
・[MS13-037]Internet Explorer用累積パッチ：リモートコード実行の脆弱性
　影響：IE6/7/8/9/10
　概要：解放したメモリーを再使用する問題10件と情報漏えいの問題1件を修正
・[MS13-038]Internet Explorer 8：リモートコード実行の脆弱性
　影響：IE8
　概要：ゼロデイ攻撃に悪用された解放したメモリーを再使用する問題1件を修正

＜重要＞
・[MS13-039]HTTP.sys：サービス拒否の脆弱性
　影響：Windows 8/RT/Windows Server 2012
　概要：HTTPプロトコルスタック（HTTP.sys）のヘッダー処理の問題1件を修正
・[MS13-040].NET Framework：なりすましの脆弱性
　影響：全てのWindows上の.NET Framework 2.0/3.5（SP1を除く）/3.51/4
　概要：XMLデジタル署名のなりすましの問題1件と、認証をバイパスされる問題1件を修正
・[MS13-041]Lync：リモートコード実行の脆弱性
　影響：Communicator 2007 R2/Lync 2010/Lync Server 2013
　概要：Lyncコントロールが解放したメモリーを再使用する問題1件を修正
・[MS13-042]：Publisher：リモートコード実行の脆弱性
　影響：Publisher 2003/2007/2010
　概要：Publisherファイルの取り扱いで発生する問題11件を修正
・[MS13-043]Word：リモートコード実行の脆弱性
　影響：Word 2003/Word Viewer
　概要：Wordファイル内の図形データの取り扱いで発生する問題1件を修正
・[MS13-044]Visio：情報漏えいの脆弱性
　影響：Visio 2003/2007/2010
　概要：外部ファイルの参照指定で任意のファイルが読み出せる問題1件を修正
・[MS13-045]Windows Essentials：情報漏えいの脆弱性
　影響：Windows Essentials 2011/2012の「Windows Writer」
　概要：URLパラメーターの処理でプロキシー設定が上書きされる問題1件を修正
・[MS13-046]Windowsカーネル：特権昇格の脆弱性
　影響：全てのWindows
　概要：DirectXカーネルモードドライバー（dxgkrnl.sys）とWindowsカーネルモードドライバー（win32k.sys）がメモリ内のオブジェクトを正しく処理しない問題計3件を修正

　このほか、Windows 8/RT/Server 2012上のInternet Explorer 10に搭載されているAdobe Flash Playerの更新プログラムと、新たに偽セキュリティソフト「fakedef」など3種に対応した「悪意のあるソフトウェアの削除ツール」の更新バージョンが公開された。

■MS13-038について

　このセキュリティ更新プログラムは、今月初めに発生したゼロデイ攻撃に悪用された、IE 8の脆弱性を修正する。適用後は、実施していた回避策が不要となるので、元の状態に戻すことができる。回避策に「Fix it」を使用していた場合には、下記の「サポート技術情報 2847140」にある「無効にする」側のアイコン（Microsoft Fix it 50991）をダウンロード/実行すると、適用した回避策が無効化され元の状態に戻る。

（2013/05/15 ネットセキュリティニュース）

【関連URL：マイクロソフト】
・セーフティとセキュリティセンター
http://www.microsoft.com/ja-jp/security/default.aspx
・2013 年 5 月のセキュリティ情報
http://technet.microsoft.com/ja-jp/security/bulletin/ms13-may
・Microsoft Update
http://windowsupdate.microsoft.com/
・セキュリティアドバイザリ（2755801）Internet Explorer 10 上の Adobe Flash Playerの脆弱性用の更新プログラム
http://technet.microsoft.com/ja-jp/security/advisory/2755801
・セキュリティアドバイザリ（2847140）Internet Explorer の脆弱性により、リモートでコードが実行される
http://technet.microsoft.com/ja-jp/security/advisory/2847140
・サポート技術情報 2847140
http://support.microsoft.com/kb/2847140

　オンラインバンキングのアカウント狙ったフィッシングは依然休息状態が続き、クレジットカード情報を狙ったフィッシングも観測されなかった。悪用が続く国内サイトの問題を除くと、国内フィッシング事情は4月も比較的安定した状態が続いた。

　編集部では、飛来するメールやWeb上の情報を元に、日本国内に関係するフィッシングサイト（国内IP、JPドメイン、国内ブランド、日本語サイト）について観測を行っている。4月に観測した、国内関連のフィッシングサイトは、前月から2件増え41件だった。うち、偽サイト本体が設置されていたものは33件、他所に設置した偽サイトにリダイレクトする中継サイトとして使われたものは8件だった。

　悪用されたサーバーは、不正アクセスを受けた一般のWebサイトと見られるものが35件（全て国内）。ホスティングサービスの悪用は3件（国内サーバー2件）、ウイルスに感染したユーザーのパソコンや自宅サーバーと見られるものが3件（全て国内）だった。悪用されたブランドは、PayPal（13件）、HSBC銀行（3件）ほか、計25種類。国内ブランドは、OCN（1件）のアカウントを狙ったフィッシングが観測されている。

　スクウェア・エニックスのアカウントをだまし取るフィッシングについては、ゴールデンウィークの終わりごろから再び、国内のユーザーあてに日本語のフィッシングメールがばらまかれている。偽サイトは、5月14日現在も稼働中なので、引き続き警戒していただきたい。本物のサイトがEV SSLに対応した「.com」ドメインであるのに対し、偽物はSSL未対応の「.pw」ドメインで表示も英語だ。

　これらを含め各所からは、フィッシングに関する以下のような注意喚起（更新情報を含む）が出されている。

＜関連URL＞
・[04/04]@niftyからのメールをかたる不審なメールとフィッシングサイトについて（ニフティ）
http://support.nifty.com/cs/suptopics/detail/130404415640/1.htm
・[04/05]@niftyをかたるフィッシング(2013/04/05)（フィッシング対策協議会）
https://www.antiphishing.jp/news/alert/nifty20130405.html
・[04/11][04/28]OCNを騙る不正なフィッシングサイトにご注意ください（OCN）
http://www.ocn.ne.jp/info/announce/2011/08/24_1.html
・[04/22]フィッシング詐欺にご注意ください（スクウェア・エニックス）
https://secure.square-enix.com/account/app/svc/newsdetail?newsid=894636a8d864db7ffd1aab9c8e3d62fe3b4e7409

■中国の携帯用サイト変換サービスでフィッシング騒動

　4月10日ごろ、北陸地方の地方銀行で偽サイトの注意喚起が相次いだ。告知には、事実確認を行えるだけの情報はなく真相は分からないままだが、その後のJPCERTコーディネーションセンターの発表から、中国移動通信が提供する携帯向けの変換サービスを誤認したものであった可能性が高い。このサービスでは、「go2.10086.cn/正規のURL」というかたちで、銀行のみならず様々なサイトのコピーが提供されており、検索サイトのキャッシュに相当するこのコピーを、偽サイトと勘違いしてしまったのだろう。

　インターネットのアクセスを、キャッシュサーバーやプロキシサーバーと呼ばれるものを介して行うことがある。このような環境では、やりとりする情報が第三者の提供する中継サーバーに抜き取られてしまう可能性があるので注意していただきたい。外出先で利用するオープンなアクセスポイントなどの回線も同様だ。このような環境で、どうしてもアカウント情報などを入力しなければならない場合には、必ずSSLで接続し、証明書が正しい相手のものであることを確認していただきたい。

＜関連URL＞
・本日、中国に偽サイトが立ち上がっているという問い合わせを多数いただいています。（JPCERTコーディネーションセンター：Twitter）
https://twitter.com/jpcert/status/322282948554530816
・本日、中国に偽サイトが立ち上がっているという問い合わせを多数いただいています。（フィッシング対策協議会：Twitter）
https://twitter.com/antiphishing_jp/status/322288916445143040
・北陸財務局ホームページを装った偽サイトにご注意ください。（財務省北陸財務局）
http://hokuriku.mof.go.jp/
・福邦銀行のホームページを装った偽サイトにご注意ください！[PDF]（福邦銀行）
http://www.fukuho.co.jp/web-box/upload/oshirase/1304111201(1).pdf
・銀行のホームページを装った偽サイトやパスワードなどの入力を求める不正な画面にご注意ください！（北國銀行）
http://www.hokkokubank.co.jp/
・福井銀行ホームページの類似サイトにご注意ください（福井銀行）
http://www.fukuibank.co.jp/caution/similar_site.html
・富山第一銀行ホームページを装った偽サイトにご注意ください（富山第一銀行）
http://www.first-bank.co.jp/info/0362.html
・北陸銀行ホームページを装った偽サイトにご注意ください。（北陸銀行）
http://www.hokugin.co.jp/info/important/post-32.html
・富山銀行を装ったホームページにご注意ください。（富山銀行）
http://www.toyamabank.co.jp/pages/oshirase/20130411.htm
・金融機関ホームページの類似サイトにご注意ください！（第四銀行）
http://www.daishi-bank.co.jp/release/detail.php?id=2292
・大光銀行ホームページに類似したサイトにご注意ください（大光銀行）
http://www.taikobank.jp/important/detail.php?sn=202

■ウイルスに移行したオンラインバンキングの不正送金

　オンラインバンキングのアカウントを狙ったフィッシングは、昨年末を最後に休息状態が続いている。ところが、不正送金被害は相変わらず続いているようで、4月までに8銀行で74件、約9600万円の被害が出ていると報じられている。フィッシングは収まったものの、ウイルスを使ったアカウント情報の抜き取りが続いているようだ。

　警察庁は5月1日、ウイルスを使った手口に備え、ウイルス対策ソフトの導入やOSや各ソフトウェアの脆弱性解消、「ワンタイムパスワード」の利用を呼びかけた。ここでいうワンタイムパスワードは、トークン（パスワード生成器）や携帯メールなどを使い、その都度使い捨てのパスワードを取得するタイプだ。乱数表の特定の桁を入力させるタイプは、乱数表の全桁入力させるフィッシングやウイルスが表示する偽画面により、乱数表そのものをだまし取られてしまう被害が一昨年から起きている。

　この乱数表は、桁数が少なければユーザーに全桁を入力させずとも、ウイルスが取引を監視し続けるだけで全桁を取得することもできる。例えば、数字10個から成る乱数表（10桁）なら、最短で10桁分、平均すると約20桁分の入力で全桁を取得される可能性がある。1回の取引で2桁ずつ入力するのなら、取引10回程度で乱数表の全桁が攻撃者の手に渡ってしまうのだ。桁数が増えれば、16桁で平均約54桁分、25桁で平均約95桁分と、全桁取得の道のりは長くなる。桁数が減れば、6桁なら平均約15桁分と、短期取得が可能になる。

　乱数表は、攻撃者に丸ごと取得されてしまうとワンタイムパスワードとして意味をなさなくなってしまうので、利用できるのであれば、より安全度の高いトークン方式やメール方式への切り替えをお勧めする。もちろん、これらを使っていれば絶対安全というわけではない。今のところ国内では見かけないが、海外では、取引の途中に介入することにより、これらを突破してしまうフィッシングやウイルスも横行している。

＜関連URL＞
・インターネットバンキングに係る不正送金事案への対策について[PDF]（警察庁）
http://www.npa.go.jp/cyber/warning/h25/130501.pdf
・不正送金の被害に関するご注意と対策について（楽天銀行）
http://www.rakuten-bank.co.jp/info/2013/130502.html

（2013/05/14 ネットセキュリティニュース）

　マイクロソフトは10日、今月15日に公開を予定しているセキュリティ更新プログラム（修正パッチ）の概要を発表した。リリース予定の修正パッチは、4段階評価で深刻度が最も高い「緊急」2件、2番目に高い「重要」8件の計10件。

　「緊急」の脆弱性は、Internet Explorerに影響するリモートコード実行の問題2件。「重要」の脆弱性は、Windowsに影響するサービス拒否、なりすまし、特権昇格の問題各1件。Office製品に影響するリモートコード実行の問題2件と情報漏えいの問題1件。Windows Essentialsに影響する情報漏えいの問題1件。Lyncに影響するリモートコード実行の問題1件。

　このほか、「Windows Update」「Microsoft Update」などで、セキュリティ以外の優先度の高い更新プログラムと、「悪意のあるソフトウェアの削除ツール」の更新バージョンのリリースも予定されている。

（2013/05/10 ネットセキュリティニュース）

【関連URL：マイクロソフト】
・マイクロソフト セキュリティ情報の事前通知 - 2013年5月
http://technet.microsoft.com/ja-jp/security/bulletin/ms13-may

　Internet Explorer 8（IE 8）の未修正の脆弱性を悪用する攻撃が発生した問題を受け、マイクロソフトは9日、この問題の新たな回避策を適用する「Fix it」を公開した。

　IE 8を狙った脆弱性攻撃は、今月1日に改ざんされた米労働省の関連サイト経由で行われていたもの。細工されたページに、解放したメモリーにアクセスしてしまうIEの未修正の脆弱性を突いた、ドライブバイダウンロード攻撃が仕掛けられており、IE8で閲覧した場合には、知らない間にウイルスに感染してしまう可能性があった。

　マイクロソフトは4日、この問題に関するセキュリティアドバイザリーを公開。IE9以上へのアップグレードやアクティブスクリプトの無効化、EMET（Enhanced Mitigation Experience Toolkit）の活用などの回避策を提示し、注意を呼びかけた。

　今回、新たにshim技術を用いた回避策が提示され、これを適用するための「Fix it」が公開された。IE 9/10に移行できない方や、未サポートのWindows XPで、回避策を実施していない方は、修正プログラムが提供されるまでの暫定措置として、マイクロソフトが公開している「Fix It」を適用していただきたい。

　下記「サポート技術情報（2847140）」にある「Enable」側のアイコン（Microsoft Fix it 50992）をダウンロード/実行すると、shim技術を用いて問題個所を代替し、脆弱性の悪用を阻止するようになる。「Disable」側のアイコン（Microsoft Fix it 50991）をダウンロード/実行すると、適用した回避策を無効化し適用前の元の状態に戻る。

　アクティブスクリプトの無効化やゾーンのレベル変更で対処済みの場合も、この「Fix it」を適用すれば元の設定に戻すことができるので、設定変更に伴う不便さから解消される。

（2013/05/10 ネットセキュリティニュース）

【関連URL：マイクロソフト】
・サポート技術情報（2847140）[英文]
https://support.microsoft.com/kb/2847140
・Microsoft Security Advisory (2847140) Vulnerability in Internet Explorer Could Allow Remote Code Execution[英文]
http://technet.microsoft.com/en-us/security/advisory/2847140

　警察庁は2日、一般からの通報を受けてインターネット上の違法情報や有害情報に対応するインターネット・ホットラインセンターの2012年の運用状況等を発表した。通報件数は過去最高で、同センター経由で警察に通報された違法情報のうち3303件が検挙され、これも過去最高となった。

　同センターは警察庁からの委託事業で、一般から受け付けた通報への対応をしている。受け付けた通報は、「違法情報」「有害情報」「その他の情報」に分類し、内容に応じて、削除、警察への通報、サイト管理者への削除依頼、関係機関や団体への通報などを行う。海外案件は、国際的なホットライン相互間の連絡組織であるINHOPEへ通報する。

　2012年中に同センターが受理した一般からの通報件数は19万6474件（前年比で2万220件増）で、そこに含まれる情報件数は20万1795件（同1万9038件増）を数え、いずれも過去最高となった。海外案件は1万2664件あり、うち1320件がINHOPEに通報された。

■違法情報の削除対応は9割、有害情報は8割に向上

　20万1795件の情報を分析した結果、違法情報は3万8933件（同2360件増)、有害情報は1万2003件（同7176件増）、その他の情報は15万859件（同9502件増）だった。サイト管理者等へ削除依頼がなされた違法情報は1万7503件、有害情報は7738件あり、このうち違法情報は90.7％にあたる1万5872件、有害情報は79.7％にあたる6167件が実際に削除されている。2011年度は、違法情報63.9％（1万4924件を依頼して9543件削除）、夕拝情報49.7％（913件を依頼して447件削除）という成果だったことを振り返ると、大幅に向上したことがわかる。

■警察に通報された違法情報のうち3303件が検挙へ

　警察へ通報された違法情報は2万5442件あり、このうち3303件が検挙されている。前年比で1704件増加しており、これも過去最高となった。同庁は、「全国協働捜査方式」の定着が効を奏したとしている。2012年4月から有害情報も捜査対象に加わり、123件の有害情報が警察に通報されたが、うち7件が検挙されている。
　違法情報の内容を見ると、検挙数が最も多いのは「わいせつ物公然陳列」の1万6755件で、前年比で3384件も増加した。次いで覚せい剤等の濫用をあおる行為や規制薬物の広告などを含む「薬物」の4541件（前年比で2104件減少）、預貯金通帳等の譲渡などを誘う「口座」1523件（同755件増加）、「児童ポルノ公然陳列」1308件（同580件減少）と続く。
　同庁は今後も同センターの業務効率化を図り、インターネット上の違法・有害情報対策を推進するとしている。

（2013/05/09 ネットセキュリティニュース）

【関連URL：警察庁】
・平成24年中の「インターネット・ホットラインセンター」の運用状況等について
http://www.npa.go.jp/cyber/statics/h24/pdf03.pdf
・平成23年中の「インターネット・ホットラインセンター」の運用状況等について
http://www.npa.go.jp/cyber/statics/h23/pdf03.pdf

　今年に入り、ネットバンキングで不正に送金される被害が急増し、被害総額はすでに昨年を倍近く上回っているという。多発しているのは、ウイルスを使ってネットバンキングのID・パスワード等を盗み取る手口だ。警察庁は利用者に、ウイルス対策を中心とした被害防止対策を呼び掛けている。

　警察庁によると、今年に入ってから8つの金融機関で74件のネットバンキング被害が確認されている。被害金額は4月26日現在で約9600万円にのぼり、この数字は昨年1年間の被害額をすでに大幅に上回っているという。

　多発しているのは、ウイルスを使ってネットバンキングのID・パスワード等を盗み取り、正規利用者の口座から不正送金する手口だ。同庁の不正プログラム解析センターは、不正送金の被害にあった利用者のパソコンを解析し、ネットバンキングのID・パスワード等を盗み取るウイルスを検出している。

　同庁が「インターネットバンキング利用者に講じて頂きたい対策」として公表した対策は次の通りで、とくにウイルス対策を重視したものとなっている。

(1) ウイルス対策ソフトを導入する
(2) パソコンのOSや各ソフトウェアを最新状態に更新する
(3) 「ワンタイムパスワード」を利用する
(4) 不審な入力画面等発見した場合は金融機関等に通報する

　上記の(1)と(2)は、ウイルス対策の基本だ。インターネットにアクセスするパソコンには必ずウイルス対策ソフトを導入し、パターンファイルを常に最新の状態に更新しておこう。また、ウイルスはOS（基本ソフト）やインストールされている各ソフトウェアの脆弱性を狙って侵入するため、常に最新バージョンに更新し、脆弱性をなくしておくことが大切だ。

　「ワンタイムパスワード」は利用するたびに変わるパスワードで、不正送金防止のために効果的だ。その都度メールで受け取るか、金融機関から提供されるトークン（ワンタイムパスワード生成器）を利用する。メールを利用する場合は、携帯電話のメールアドレスを登録し、携帯電話で受信するのが安全だ。

（2013/05/08 ネットセキュリティニュース）

【関連URL】
・インターネットバンキングに係る不正送金事案への対策について（警察庁）
http://www.npa.go.jp/cyber/warning/h25/130501.pdf
・三菱東京UFJ銀行：【インターネットバンキング】確認番号表（乱数表）の数字すべてを入力いただくことはありませんので、絶対に入力しないでください（平成25年2月22日更新）。
http://www.bk.mufg.jp/info/phishing/ransuu.html
・みずほ銀行：【重要】不正にインターネットバンキングの合言葉変更を促すウィルスにご注意ください（2013年1月16日更新）
http://www.mizuhobank.co.jp/crime/info130116.html
・楽天銀行：ワンタイム認証
http://www.rakuten-bank.co.jp/security/measures/onetime.html

　米労働省の関連サイトが今月１日に改ざんされ、不正なプログラムを強制的にインストールしようとするドライブバイダウンロード攻撃が行われた問題で、Internet Explorer（IE）の未修正の脆弱性が悪用されていたことがわかり、セキュリティ企業などが注意を促している。マイクロソフトは4日、この問題に関するセキュリティアドバイザリーを公開した。

　悪用された脆弱性は、IE 8が解放したメモリーにアクセスしてしまう問題で、細工されたWebサイトを閲覧するだけで、任意のコードが実行されるおそれがある。脆弱性が影響するのはIE 8のみで、他（IE 6/7/9/10）への影響はない。

　IE 8は、Windows 7に搭載された標準ブラウザーで、Windows Vista/XPにも提供されている。IE 8を使用しているWindows 7ユーザーは脆弱性の影響を受けないIE 9/10に、Windows VistaユーザーはIE 9に、アップグレードすることをお勧めする。

　IE 8を利用し続けなければいけない方は、アクティブスクリプトを無効にすることによって、攻撃を回避することができる。[ツール]メニューの[インターネットオプション]で、[セキュリティ]タブを選択し、インターネットおよびローカルイントラネットのセキュリティゾーンのセキュリティレベルを「高」に設定すると、これらゾーンでのアクティブスクリプトとActiveXコントロールを無効にすることができる。

　アドバイザリーでは、同社が無償提供している脆弱性攻撃を緩和するツール「EMET（Enhanced Mitigation Experience Toolkit）」の利用も回避策のひとつとしてあげている。EMETにIEを監視させるための設定方法については、アドバイザリーを参照していただきたい。

　攻撃は、まだ始まったばかりの段階だが、攻撃コードが公になっているため今後の攻撃拡大が懸念される。Windowsユーザーは、攻撃の影響を受けないように、何らかの回避策をとっていただきたい。

（2013/05/07 ネットセキュリティニュース）

【関連URL】
・Microsoft Security Advisory (2847140) Vulnerability in Internet Explorer Could Allow Remote Code Execution[英文]（Microsoft）
http://technet.microsoft.com/en-us/security/advisory/2847140

　IPA（情報処理推進機構）は1日、スマートフォンを狙ったワンクリック請求の相談が寄せられているとして注意を呼び掛けた。Androidアプリを使った新たな手口を紹介するとともに、Android端末とiPhone/iPadでの対処法を説明している。

　ワンクリック請求は、アダルトサイトなどで画面を数回クリック（タップ）すると登録完了画面が突然現れ、高額な料金の支払いを要求してくる架空請求のひとつ。いわゆる「ワンクリック詐欺」のことだ。IPAに寄せられるワンクリック請求の相談は、ピーク時の4分の1にまで減少したが、今もなお月平均200件を超える相談があるという。

■Androidアプリで誘導する新手口

　スマホにおける新たなワンクリック請求の手口として紹介されているのは、今年3月に話題になった、サイトへの誘導にAndroidアプリを使う手口だ。アプリを使った手口では、請求画面を表示し続ける、いわゆる「ワンクリックウェア」と呼ばれるものが有名で、Android向けのものには、端末情報などを外部に送信するものもある。新しい手口のワンクリック請求アプリは、このような従来のものとは違い、実行すると典型的なワンクリック請求のアダルトサイトを表示するだけのもの。単に特定のURLを開くだけのショートカットと言えるもので、表示された画面に従って登録を完了すると請求画面が出現する。
　IPAでは、今年3月にAndroidアプリの公式マーケット「Google Play」上で、この種のアプリを複数発見しており、ダウンロードしないよう注意を呼び掛けている。新しい手口のワンクリック請求アプリは、画面を表示させるだけなので、求める許可は「ネットワーク通信」のみ。外部に個人情報を送信される心配はない半面、アクセス権限を見ただけでは不審かどうかの判断が難しいので注意が必要だ。

■アプリをインストールしてしまったら

　Android端末でこのようなアプリをインストールしてしまっても、端末を再起動すれば、再度実行しない限り請求画面は表示されない。IPAは、まずは慌てずに端末を再起動し、その後にアプリをアンインストールすることを勧めている。また、料金を支払う必要があるのか心配な場合は、最寄りの消費生活センターや自治体の無料弁護士相談などへ相談するよう勧めている。万が一、サイト側からしつこい請求などを受けた場合、最寄りの警察機関に相談するとよい。
　この種のワンクリック請求は、「無視」するのが一般的な対処法だ。念のため警察のサイバー犯罪対策課で確認したところ、相談に対しては、支払わずに無視し、相手に連絡しないようアドバイスしているとのこと。些細なことでもかまわないので、気軽に相談や情報提供をしてほしいそうだ。

■Webブラウザーでアクセスしてしまったら

　今回のAndroidアプリは、実行すると従来通りのワンクリックサイトへと誘導する。IPAが確認した誘導先は、主にiPhone利用者を狙ったワンクリック請求サイトとして去年から公開されていたものだったという。iPhoneユーザーの誘導方法にアプリは使われていないが、メールや掲示板、インターネットの検索結果で上位に来るように操作（SEO）されていたそうだ。
　このようなサイトにWebブラウザーでアクセスしてしまった場合には、表示しているページを閉じてブラウザーを終了すれば、再表示されなくなる。それでも心配という方は、ブラウザーのアクセス履歴などの削除方法が、IPAの記事に詳しく解説されている。ちなみにクッキーを削除すれば、ほとんどのクリック請求サイトで、再アクセスしても請求画面は出なくなる。

（2013/05/02 ネットセキュリティニュース）

【関連URL】
・2013年5月の呼びかけ「スマホにおける新たなワンクリック請求の手口に気をつけよう！」を公開しました。（IPA）
http://www.ipa.go.jp/security/txt/2013/05outline.html
・「Google Play」上で複数のAndroid向けワンクリック詐欺アプリ（ワンクリウェア）の公開を確認（Trend Micro Security Blog）
http://blog.trendmicro.co.jp/archives/6984
・Google Play にも出現した日本のワンクリック詐欺（Symantec）
http://www.symantec.com/connect/blogs/google-play-1
・ワンクリック詐欺の亜種によるGoogle Playへの攻撃は続く（マカフィー）
http://www.mcafee.com/japan/security/mcafee_labs/blog/content.asp?id=1360