ネットセキュリティニュース

　モジラは29日、Webブラウザの最新版「Firefox 29.0」を公開した。対象となるのは、Windows、Mac、Linux、およびAndroid。法人向けの延長サポート版（ESR）「24.5」、メールソフトの「Thunderbird 24.5」も同日公開されている。

　最新版では、デザインやカスタマイズ機能が一新されたほか、計14件の脆弱性が修正されている。Firefox 29で修正された脆弱性は、重要度が4段階評価で最も高い「最高」5件、次に高い「高」6件、「中」3件。ESR版では、27.0と共通の「最高」4件、「高」3件、「中」1件が修正された。いずれも悪用されると任意のコードが実行されるおそれのある、危険な問題が含まれている。

　それぞれの最新版は、自動更新機能を通じて配布されているほか、［ヘルプ］メニューの［Firefoxについて］を選択し、ダウンロードが完了したら[ダウンロードした更新を適用]ボタンをクリックすれば今すぐ更新できる。Android版は、[設定]→[Mozilla]→[Firefoxについて]の順に選択し[更新を確認]をタップする。

　ESR版Firefoxで修正された脆弱性は、同じエンジンを使用するメールソフトThunderbirdにも影響があり、こちらも最新版の「24.5」が公開されている。

（2014/04/30 ネットセキュリティニュース）

【関連URL：Mozilla Japan】
・Mozilla、デザインをエレガントに一新し、最高のカスタマイズ性を実現した Firefox を発表（Mozilla Japan）
http://www.mozilla.jp/blog/entry/10400/
・かつてないカスタマイズ性を実現した Android 版 Firefox（Mozilla Japan）
http://www.mozilla.jp/blog/entry/10401/
＜Firefox 29.0＞
・リリースノート（デスクトップ版）
http://www.mozilla.jp/firefox/29.0/releasenotes/
・リリースノート（Android版）
http://www.mozilla.jp/firefox/android/29.0/releasenotes/
・セキュリティアドバイザリ
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox.html
＜Firefox ESR 24.5＞
・リリースノート
http://www.mozilla.jp/firefox/24.5.0/releasenotes/
・セキュリティアドバイザリ
http://www.mozilla-japan.org/security/known-vulnerabilities/firefoxESR.html
＜Thunderbird 24.5＞
・リリースノート
http://www.mozilla.jp/thunderbird/24.5.0/releasenotes/
・セキュリティアドバイザリ
http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird.html

　アドビシステムズは29日、Windows版での悪用事例が報告された脆弱性「CVE-2014-0515」を修正した、Adobe Flash Playerの最新版を公開した。細工されたFlashファイル（.swf）の再生でシステムを乗っ取られるおそれがあり、同社は最新版にアップデートするよう呼びかけている。

　悪用攻撃を報告しているカスペルスキーによると、最新版で修正されたバッファオーバーフローの脆弱性は、今月中ごろから攻撃に悪用されているという。

　対象となるのは、13.0.0.182以前のバージョンのWindows版、13.0.0.201以前のバージョンのMac版、11.2.202.350以前のバージョンのLinux版のFlash Playerで、更新後のバージョンはWindows版とMac版が「13.0.0.206」、Linux版が「11.2.202.356」となる。Flash Player 13系を利用できないWindowsとMac向けには、11.7系の最新版「11.7.700.279」が提供されている。

　システムにインストールされているFlash Playerのバージョンは、下記のバージョン確認ページにアクセスするか、コントロールパネルの「Flash Player」の[高度な設定]タブで確認できる。最新版は同社サイトで配布されている。

　Windows 8/8.1/RTに搭載されているInternet Explorer 10/11用のFlash Playerについては、Windows Updateを通じて最新版の「13.0.0.206」が配布されており、自動的に更新が行われる。Google Chrome用のFlash Playerについては、25日に公開したGoogle Chrome 34.0.1847.131（Windows/Mac）、34.0.1847.132（Linux）に最新版が搭載されており、こちらも自動的に更新される。

（2014/04/30 ネットセキュリティニュース）

【関連URL】
・APSB14-13：Security updates available for Adobe Flash Player[英文]（Adobe）
http://helpx.adobe.com/security/products/flash-player/apsb14-13.html
・マイクロソフト サポート技術情報（2961887）: Internet Explorer 上の Adobe Flash Player の脆弱性に対応する更新プログラム: 2014 年 4 月 28 日（マイクロソフト）
http://support.microsoft.com/kb/2961887
・Google Chrome Releases[英文]（Google Chrome Releases）
http://googlechromereleases.blogspot.jp/2014/04/stable-channel-update_24.html
・New Flash Player 0-day (CVE-2014-0515) used in watering-hole attacks[英文]（Kaspersky）
https://www.securelist.com/en/blog/8212/New_Flash_Player_0_day_CVE_2014_0515_used_in_watering_hole_attacks

　三井住友カードは28日、同社をかたる不審なメールが、同社の会員を含む不特定のユーザーに送られているとして、注意を呼び掛けた。メールのリンクをクリックすると偽のサイトに誘導され、クレジットカード情報などをだまし取られるおれがある。

　同社の発表文では、「三井住友カード【重要】」などの件名で届く3種類の事例を紹介しており、編集部では、この中の「事例1」と見られるものを確認している。

　このフィッシングメールの内容は、下記の「ネットショッピング認証サービス」の「重要なお知らせ」の文面をそのままコピーしたもので、「Vpass情報照会・変更」のリンクをクリックすると、クラックされたと見られる一般サイトを経由して、同社の会員サイト「Vpass」の偽サイトへと誘導される。中継サイト偽サイトともに、30日午後2時現在も稼働中だ。

　偽サイトは、「Vpass」の会員登録ページを元に本物そっくりに作られており、クレジットカード情報やメールアドレス、パスワードなどの登録情報を全て入力させようとする。偽サイトのURLには、「スクウェア・エニックス」や「三菱東京UFJ銀行」などと同じように、本物のURLを織り交ぜた紛らわしいものを使用しているので、うっかりしていると騙されてしまうかもしれないので注意したい（今回使われているドメインはjp-ibg.com）。

　本物のサイトはEV SSLに対応しているので、アドレスバーのURLは「ｈｔｔｐｓ：//」で始まり、横に錠前マークと「Sumitomo Mitsui Card Company , Limited」という会社名が表示される。見た目をいくら似せても、この部分は偽サイトに真似のできない点なので、ここをチェックすれば騙されることはない。

　なお、今回のフィッシングでは、メールに記載したURLに送付先のメールアドレスが付加されている。不用意にアクセスすると、攻撃者に送付先を把握されるおそれがあるので注意していただきたい。

（2014/04/30 ネットセキュリティニュース）

【関連URL】
・「三井住友カード」を名乗る不審なメールにご注意ください（三井住友カード）
https://www.smbc-card.com/mem/cardinfo/cardinfo8090411.jsp
・ネットショッピング認証サービス「重要なお知らせ」
https://www.smbc-card.com/mem/service/sec/secure01.jsp

　グーグルは25日、深刻な脆弱性を修正した「Google Chrome」の最新安定版を公開した。対象となるのは、Windows、Mac、Linuxで、更新後のバージョンは、Windows、Mac版が「34.0.1847.131」、Linux版が「34.0.1847.132」。

　最新版では、9件の脆弱性が修正されており、データ型を取り違えて処理してしまう問題など、危険度が4段階評価で2番目に高い「High」の脆弱性が含まれている。同梱のAdobe Flash Playerも、最新版の「13.0.0.206」に更新された。

　最新版への更新は自動的に行われるほか、デスクトップ版ではGoogle Chromeのメニュー（右端のアイコン）から「Google Chromeについて」を選択すると、ただちに最新版の確認とアップデートが行える。

（2014/04/28 ネットセキュリティニュース）

【関連URL】
・Stable Channel Update［英文］（Google Chrome Releases）
http://googlechromereleases.blogspot.jp/2014/04/stable-channel-update_24.html

　Internet Explorer（IE）の未修正の脆弱性を悪用した攻撃が行われているとして、マイクロソフトは27日、セキュリティアドバイザリを公開し注意を呼び掛けた。影響を受けるのは、すべてのバージョン（6～11）のIEで、同社は調査が完了次第、月例または定例外のセキュリティ更新プログラムで対処するとしている。

　悪用されている脆弱性は、ベクター形式の画像処理を行うIEのライブラリー「VGX.DLL」に存在する、開放したメモリーにアクセスしてしまう問題（CVE-2014-1776）。この脆弱性は、任意のコードが実行できる可能性があり、悪用されると細工されたWebページを閲覧するだけでウイルスに感染し、パソコンを乗っ取られてしまうおそれがある。

　攻撃を発見したFireEyeによると、脆弱性自体は全てのIEに影響するが、現在確認されている攻撃は、IE 9、10、11を標的としており、攻撃にはAdobe Flash Player（Windows 8/RTはIEに同梱）も使用するという。

■一時的な回避策の適用を

　セキュリティ更新プログラムが提供されるまでの対策として、アドバイザリでは、次のような方法を紹介している

・無料で配布している脆弱性の悪用を緩和するツールEMET（Enhanced Mitigation Experience Toolkit）4.1を使用する方法
・IEのインターネットオプションで「インターネット」「ローカル」「イントラネット」ゾーンのセキュリティ設定を「高」にし、プラグインやスクリプトを無化する方法
・問題のある「VGX.DLL」の登録を一時削除する方法
・IEの拡張保護モードで64ビットプロセッサを有効にする方法

　攻撃は今のところ限定的ではあるが、今後拡大するおそれがある。FirefoxやGoogle ChromeなどのIE以外のブラウザに一時切り替えるか、IEに何らかの回避策を適用しておくことを、強くお勧めする。

（2014/04/28 ネットセキュリティニュース）

【関連URL】
・Microsoft Security Advisory 2963983：Vulnerability in Internet Explorer Could Allow Remote Code Execution[英文]（マイクロソフト）
https://technet.microsoft.com/ja-jp/library/security/2963983
・New Zero-Day Exploit targeting Internet Explorer Versions 9 through 11 Identified in Targeted Attacks[英文]（FireEye Blog）
http://www.fireeye.com/blog/uncategorized/2014/04/new-zero-day-exploit-targeting-internet-explorer-versions-9-through-11-identified-in-targeted-attacks.html

　パソコンを操作中に「PCがクラッシュ寸前です！」「スパイウェアが検出されました」などという表示が現れて不安になり、クリックしてソフトを購入してしまったが解約したい――こんな相談が国民生活センターに寄せられている。2013年度には1505件の相談があり、前年同期の4倍に増加している。

　国民生活センターが24日に公表した資料によると、こうした相談は年々増加している。2013年度に受け付けた相談について契約当事者の属性を見ると、性別では男性が約6割、女性が約4割で、団体等からの相談も13件あった。年代別では、件数の多い順に60歳代が29％、40歳代20％、50歳代19％、30歳代10％となっており、40歳以上が約8割を占める。

　平均契約購入金額は約6000円で、1000円以上1万円未満が約9割。また、クレジットカードを利用したものが約8割だった。

■相談事例

　国民生活センターに寄せられた相談事例には、以下のようなものがあった。各事例の詳細は、PDFで提供されている報告書本文で確認できる。

・パソコンの画面に「危険」と表示され、驚いてその部分をクリックすると、エラーが114個で危険と表示された。パソコンにセキュリティソフトを入れていなかったので、あわてて有料版を購入した。
・無料の解凍ソフトをダウンロードしたがうまく操作できなかった。突然、「パソコンが脅威にさらされている」という警告表示が出たのでクリックしたところ、ソフトを購入するよう示され、安かったので購入した。しかしその後もパソコンに同じ警告表示が出て不審だ。
・警告表示を見て無料ソフトをダウンロードしたら、有料の表示が出た。
・解約の電話をして初めて、海外から購入したと気付いた。
・大手のパソコンの会社のようなマークが表示されたので信用した。自動更新した覚えがないのに請求を受けた。

■相談急増の背景に「日本語化」、手口自体は以前から存在

　偽の警告を出してユーザーの不安をあおり、「セキュリティソフト」や「パソコンの性能を改善するソフト」を購入するように迫る手口は、目新しいものではない。たとえば情報処理推進機構（IPA）では、こうした手口について2006年から何度も注意を呼びかけている。

　ただし、数年前までは、警告表示が英語だったり、違和感のある日本語（例：このウィルスはすでに百万のパソコンを感染して、インターネット上で色んな国で広がれています）だったり、あるいは製品名が「VirusuWadame」（ウイルスはダメ）、「KansenNashi」（感染なし）といったおかしなものだったりしたため、警告を見てもソフト購入にまでは至らなかった人が多かったとみられる。

　しかしこのところ、違和感を感じない日本語の警告表示が目につく。編集部では以下のような表示を確認している。

・警告！お使いのPCがクラッシュ寸前です！ OKをクリックして無料修理
・システム内でスパイウェアが検出されました。 修正のために無料スキャンを実行
・自動アップデート PCを高速化します！
・メモリ漏れを検出しました！
・コンピューターに感染ファイルが見つかりました 今すぐ無料で修正
・PCスピードテスト 現在のスピード/潜在的な最高スピード 今すぐ修正
・Microsoft CERTIFIED　お使いのパソコンの性能が低下しています Windowsのエラーを直ちに修正してください

　このうちいくつかは、東京都が公開している資料「警告表示をして、セキュリティーソフトを購入させる詐欺広告に注意！！」に図で掲載されている。

■嘘の警告が表示される原因と対策

　改ざんされたWebサイトの閲覧時などに、こうした警告を表示するプログラムが知らない間にインストールされてしまうケースがある。フリーソフトに広告表示をするプログラムが同梱されていて、いっしょにダウンロード/インストールしてしまうこともある。

　警告と見まがう広告や、偽のオンラインスキャンサイトにだまされ、ユーザー自身がインストールしてしまうこともある。

　知らない間にインストールされてしまうことを防ぐためには、パソコンのシステム、ブラウザ、プラグインなどを常に最新の状態にしておくことが大切だ。さらに、信頼できるセキュリティ対策ソフトを導入し、ウイルス定義ファイルをいつも最新の状態にしておこう。また、自分が使用しているセキュリティ対策ソフトの名称をしっかり頭に入れておけば、何か警告が表示された時に、嘘の警告かどうかを見分ける助けになる。

　1年前の少し古い資料だが、IPAの『「どうして偽セキュリティ対策ソフトがインストールされるの？」～基本的な対策を知って、慎重にネットサーフィンしよう～」もぜひ参照していただきたい。

（2014/04/25 ネットセキュリティニュース）

【関連URL】
・突然現れるパソコンの警告表示をすぐにクリックしないこと！－その表示は、有
料ソフトウエアの広告かもしれません－(国民生活センター)
http://www.kokusen.go.jp/news/data/n-20140424_2.html
・報告書本文[PDF](国民生活センター)
http://www.kokusen.go.jp/pdf/n-20140424_2.pdf
・警告表示をして、セキュリティーソフトを購入させる詐欺広告に注意！！（東京都）
http://www.shouhiseikatu.metro.tokyo.jp/trouble/trouble25-sagiadvertisement-140106.html
・「どうして偽セキュリティ対策ソフトがインストールされるの？」～基本的な対策を知って、慎重にネットサーフィンしよう～（IPA）
http://www.ipa.go.jp/security/txt/2013/04outline.html

　IPA（情報処理推進機構）は22日、「ゴールデンウィークにおける情報セキュリティに関する注意喚起」を公開した。家庭のパソコン利用者にはウイルス感染やワンクリック請求などへの注意を、スマートフォンやタブレットの利用者には不正アプリへの注意を呼びかけ、対策を示している。

■家庭でパソコンを利用する人は

　休暇中は時間に余裕があり、インターネットを利用する機会も多くなると思われることから、ウイルス感染やワンクリック請求の被害にあわないよう、対策を呼びかけている。
　IPAは、最近、被害例が増えているウイルスとして、ネットバンキングを狙うウイルス、偽セキュリティ対策ソフト型ウイルス、ランサムウェア（パソコン内のファイルやフォルダを暗号化して、元に戻させるためにお金を支払うように脅迫するウイルス）などを挙げ、以下の対策を示している。

・OS（オペレーティングシステム：基本ソフト）やアプリケーションに修正プログラムを適用し最新の状態で使用する
・セキュリティソフトを最新の状態にして使用する
・自身が管理していないUSBメモリー等をパソコンに接続しない
・自身のUSBメモリー等を自身が管理していないパソコンに接続しない
・万一に備え必要なデータをバックアップしておく
・業務データを扱ったことのあるパソコンでファイル共有ソフトを使わない
・家族と共用しているパソコンで業務データを扱わない
・SNSで不用意にリンクをクリックしない
・サイト上で年齢確認のボタンが表示されたら利用規約をよく読んで判断する
・複数のサービスで同じIDやパスワードを使っている場合は異なるパスワードに変更する
・ネットバンキングで乱数表や合言葉などをすべて入力させる画面が表示された場合は絶対に入力しない

■Windows XP利用者は移行を、OpenSSLの脆弱性にも注意

　Windows XPは4月9日にサポートが終了しており、マイクロソフトによるセキュリティ更新プログラムの提供がなくなるため、セキュリティリスクが高まる。IPAでは、XPの利用者にサポートが継続しているOSへ移行するよう推奨している。

　また、暗号化のためのソフトウェアの1つである「OpenSSL」の脆弱性により、ネットショップやネットバンキングの利用に必要なIDやパスワードが漏えいしてしまう可能性がある。この問題をめぐっては、国内でも先日、情報の流出が確認されている。IPAでは、URLの冒頭に「https」があれば本来暗号化されていることを示すものだったが、OpenSSLの影響を受けていないかどうかをWebサイト運営者に確認し、安全を確認した上で、Webサイトを使用するように呼びかけている。

■スマートフォン、タブレットを利用する人は

　スマートフォンやタブレットは、パソコンに近い高機能を持ち、かつ持ち運びに便利なため、移動中でも積極的に利用されている。IPAでは、端末内の情報を盗み取るアプリや、ワンクリック請求アプリの被害にあわないよう、以下の対策をとるよう呼びかけている。

・端末内の情報を盗み取るアプリもあるので個人用の端末を業務に利用している場合は所属組織の業務規定に従う
・信頼できない場所からアプリをダウンロードしない
・アプリのパーミッション（許可）に必ず目を通し疑問を感じたらインストールを中止する
・不正に使用されないようパスワードロック機能を必ず有効にする
・セキュリティアプリを導入する

（2014/04/24 ネットセキュリティニュース）

【関連URL】
・ゴールデンウィークにおける情報セキュリティに関する注意喚起（IPA）
http://www.ipa.go.jp/security/topics/alert260422.html

【関連記事：ネットセキュリティニュース】
・OpenSSLの脆弱性を突いた被害発生、一般ユーザーがとるべき3つの対策（2014/04/21
・「OpenSSL」脆弱性について、一般ユーザーがとるべき対応について（IPA）（2014/04/17）
・MS、4月度のセキュリティパッチ公開～XPとOffice 2003は最終（2014/04/09）

　アップルは22日（米国時間）、OS X Mavericks/Mountain Lion/Lion用の「セキュリティアップデート 2014-002」および、モバイル端末向けOSの最新版「iOS 7.1.1」を公開した。iOS最新版では機能の向上と脆弱性の修正が行われている。

■セキュリティアップデート 2014-002

　対象は、OS X Mavericks 10.9.2、Mountain Lion 10.8.5、Lion 10.7.5。Mavericksでは12件、Mountain Lionでは6件、Lionでは2件の脆弱性が修正されている。
　細工が施されたWebサイトやPDF、Jpeg画像を開いたり見たりするだけで任意のコードが実行されるおそれのある、危険な脆弱性も修正されており、同社は全てのユーザーにアップデートを推奨している。
　セキュリティアップデート 2014-002は、アップルメニューの「ソフトウェア・アップデート」で自動インストールできるほか、同社の「サポートダウンロード」ページからも入手できる。
・Security Update 2014-002[英文]（アップル）
http://support.apple.com/kb/HT6207
・サポートダウンロード（アップル）
http://support.apple.com/ja_JP/downloads/

■iOS 7.1.1

　アップデートの対象となるのは、iPhone 4以降、iPad 2以降、第5世代のiPod touch、iPad mini。
　指紋認証機能の向上や、キーボードに影響する問題などが修正されたほか、4つのモジュールで脆弱性19件が修正された。レンダリングエンジン「Webktit」では、メモリー破壊につながる脆弱性16件が修正されており、これらを悪用されると、細工されたWebサイトを訪れるだけで任意のコードを実行されるおそれがある。
　最新版への更新は、端末の「設定」アイコンから「一般」→「ソフトウェアアップデート」と進むか、端末をパソコンに接続してiTunes経由で行う。
・About the security content of iOS 7.1.1[英文]（アップル）
http://support.apple.com/kb/HT6208
・IOS 7.1.1（アップル）
http://support.apple.com/kb/DL1736?viewlocale=ja_JP

（2014/04/23 ネットセキュリティニュース）

　東京都と都内区市町村が3月に実施した「若者のトラブル110番」で、寄せられた相談の2割が有料情報サイトの架空請求や不当請求に関するものだった。その相談内容と、困った時の相談窓口をご紹介する。

　東京都と23区26市1町では、「若者向け悪質商法被害防止キャンペーン」の一環として、3月17日と18日の2日間、特別相談「若者のトラブル110番」を実施した。東京都消費生活総合センターや都内区市町消費生活センターで、来所または電話による相談を受け付けた。

■架空・不当請求～対策のポイントは「慌てない」「連絡しない」

　都消費生活総合センターには43件、区市町消費生活センターには84件、計127件の相談が寄せられ、このうち都センターの受付分では、アダルトサイトなど有料情報サイトの架空・不当請求に関する相談が2割近くを占めていた。
　女子中学生の親からは、娘がスマートフォンでネットサーフィンをしていたところ、誤ってアダルトサイトに登録してしまったので対処法を知りたいという相談があった。画面上で高額な料金の請求があり、「未成年者の場合、会員データが削除できないので連絡するように」と書いてあったため、女子中学生はそのサイトに記載された電話番号に電話をかけ、メールも送ってしまったようだ。
　同センターはこうした事例へのワンポイントアドバイスとして「慌てず、確認。覚えのない請求は無視しましょう！」と呼びかけている。契約した覚えのない請求があった時やスマートフォン等から有料情報サイトにつながってしまった時には、慌てずに画面の表示をよく確認することと、その事業者には連絡しないことが大切だ。

■ネットトラブルの相談窓口、参考ページ

　インターネットを利用しているときのトラブルには、架空請求や不当請求以外にも、詐欺や悪質商法、名誉棄損や誹謗中傷、ウイルスや不正アクセスによる被害などさまざまなものがある。以下、ネットトラブルで困ったときに相談できる窓口と、対処の参考になるページをご紹介する。

＜相談窓口＞
・インターネット安全・安心相談（警察庁）
http://www.npa.go.jp/cybersafety/
・都道府県警察本部のサイバー犯罪相談窓口等一覧
http://www.npa.go.jp/cyber/soudan.htm
・情報セキュリティ安心相談窓口（情報処理推進機構）
http://www.ipa.go.jp/security/anshin/
・全国の消費生活センター等（国民生活センター）
http://www.kokusen.go.jp/map/index.html

＜事例と対処法をまとめたページ＞
・＠police セキュリティ講座-被害事例と対処法（警察庁）
http://www.npa.go.jp/cyberpolice/case/pc/index.html
・国民のための情報セキュリティサイト-事故・被害の事例（総務省）
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/enduser/case/index.html
・インターネットトラブル（国民生活センター）
http://www.kokusen.go.jp/topics/internet.html
・ここからセキュリティ！-被害にあったら（情報セキュリティ・ポータルサイト）
http://www.ipa.go.jp/security/kokokara/accident/index.html

【関連URL】
・特別相談「若者のトラブル１１０番」の実施結果について［PDF］（東京都）
http://www.shouhiseikatu.metro.tokyo.jp/sodan/kekka/documents/140417.pdf

　オープンソースの暗号通信ソフト「OpenSSL」に深刻な脆弱性が見つかった問題で、国内で被害が発生したことが明らかになった。クレジットカード会社大手の三菱UFJニコスが18日、Webサービスへの不正アクセスにより、顧客894名の登録情報が不正に閲覧されたと発表した。

　同社によると、不正に閲覧されたのはWeb会員のうち894名分のカード番号（一部非表示）、氏名、生年月日、住所、電話番号、メールアドレス、有効期限、WebサービスID、カード名称、入会年月日、利用代金支払口座（金融機関名・支店名）、勤務先名、勤務先電話番号。カードの暗証番号とWebサービスログインパスワードは閲覧されていない。

　カード番号の一部が非表示のため、不正使用の可能性は極めて低いという。カードの不正使用や情報悪用の被害は確認されていない。該当の顧客にはすでにメール、手紙、電話で連絡し、謝罪している。

　同社が不正アクセスを検知したのは11日午前6時33分。Webサービスを停止し、OpenSSLのバージョンアップを図るなどして安全体制を確保して、12日午前7時48分にサービスを再開した。

■カナダ歳入庁も被害に

　同脆弱性をめぐっては、カナダ歳入庁（Canada Revenue Agency）が現地時間14日、納税者約900名分の社会保険番号が抜き取られていたことを公表。同16日、カナダ連邦警察（Royal Canadian Mounted Police）が容疑者を逮捕したと発表している。

　警察庁が10日に公開した情報によると、OpenSSLの脆弱性が明らかにされたのは4月6日。8日に脆弱性の有無を確認することが可能な攻撃コードが公開され、9日以降、この脆弱性を標的としたアクセスの増加が観測されている。NHKと毎日新聞の19日の報道によると、三菱UFJニコスの不正アクセスも9日から始まっていたという。

■一般ユーザーがとるべき3つの対策

　国内で被害が確認されたことにより、自分のデータも流出して悪用されるのではないかと心配になった方もいるだろう。一般ユーザーのとるべき対策についてはIPAが16日に情報を公開している。

（1）Webサイトの対応状況を確認する
　ショッピングサイトや銀行サイトなど、重要な取引をするWebサイトを使う際には、ログインする前にOpenSSLの脆弱性への対応状況を確認する。「お知らせ」などのアナウンスを探してみるとよい。見つからない場合はメールや電話で確認する。

（2）証明書の失効確認を有効にする（Webブラウザの設定）
　脆弱性が存在する状態でSSL証明書を外部に公開していた場合は、秘密鍵が漏えいしている可能性があるため、Webサイトの管理者は使用している証明書を失効させ、再発行するよう推奨されている。Webブラウザで失効確認が無効になっていると、失効した証明書を悪用する偽サイトにアクセスしてもこれを見分けられない可能性がある。
　Google Chromeでは、初期設定で失効確認が無効となっている。[設定］→下部の［詳細設定を表示…]→[HTTPS／SSL］の「サーバー証明書の取り消しを確認する」にチェックを入れると有効になる。利用者が多いブラウザの最新版では、Google Chromeを除き、既定で失効確認が有効となっている。

（3）ウェブサイト運営者からの指示に従う
　運営者から指示される可能性がある対応としては、「パスワードの変更」がある。パスワード変更は、Webサイト側の脆弱性対応が完了したことを確認してから行う。Webサイト側に脆弱性が残ったままパスワードを変更しても、変更後のパスワードを盗まれる可能性が残ってしまうため。

　また、今回の件に便乗して「提供しているサービス/サイトがOpenSSLの脆弱性の影響を受けていたことが分かった。パスワードの変更が必要だ」などという偽の案内メールを送りつけ、偽サイトに誘導してID/パスワードを盗み取ろうとする攻撃が行われる可能性もある。このようなメールが届いたときは、必ずそのサービス/サイトに行って、そのような事実があるのかどうかを確認していただきたい。

（2014/04/21 ネットセキュリティニュース）

【関連URL】
・弊社会員専用WEBサービスへの不正アクセスにより一部のお客様情報が不正閲覧された件［PDF］（三菱UFJニコス）
http://www.cr.mufg.jp/corporate/info/pdf/2014/140418_01.pdf
・OpenSSL の脆弱性を標的としたアクセスの増加について[PDF]（警察庁）
http://www.npa.go.jp/cyberpolice/detect/pdf/20140410.pdf
・OpenSSLの脆弱性に対する、ウェブサイト利用者（一般ユーザ）の対応について（IPA）
http://www.ipa.go.jp/security/ciadr/vul/20140416-openssl_webuser.html
・Statement by the Commissioner of the Canada Revenue Agency on the Heartbleed bug［英文］（Canada Revenue Agency）
http://www.cra-arc.gc.ca/gncy/sttmnt2-eng.html
・Heartbleed Bug Hacker Charged by RCMP［英文］（Royal Canadian Mounted Police）
http://www.rcmp-grc.gc.ca/ottawa/ne-no/pr-cp/2014/0416-heartbleed-eng.htm

【関連記事：ネットセキュリティニュース】
・「OpenSSL」脆弱性について、一般ユーザーがとるべき対応について（IPA）（2014/04/17）

　ネットショッピングやネットバンキングなど個人情報や機密情報をやり取りするサービスの安全にかかわる「OpenSSL」の脆弱性について、セキュリティ企業や機関が注意を喚起している。情報処理推進機構（IPA）は16日、一般ユーザーのとるべき対応についてとりまとめ、公開した。

　オンラインで行われるショッピングや金融取引では、一般に「SSL」方式でデータを暗号化し、情報をガードしている。このSSLをサービスに組み込むためのソフトウェア「OpenSSL」に深刻な脆弱性が発見され、問題となっている。

脆弱性が発見された OpenSSL のバージョンは「OpenSSL 1.0.1 から 1.0.1f」「OpenSSL 1.0.2-beta から 1.0.2-beta1」で、システムがこれらのバージョンを使用している場合、暗号化されるはずの通信内容が第三者に盗み見られる可能性がある。

　該当バージョンを使用している事業者は対応を進めており、シマンテックの調査報告（下欄参照）によると、利用者の多いWebサイトはすでにほとんどが対応済みという。しかし、この脆弱性を狙った攻撃から被害も生じ始めているとして、IPAは一般ユーザーがとるべき対応について、次の3点を挙げ、解説している。

■一般ユーザーがとるべき対応

(1) Webサイトの対応状況を確認する
　ショッピングサイトや銀行サイトなどを使う際は、ログイン前に、OpenSSLの脆弱性への対応状況を確認する。メールで連絡を受けた場合は、メールのみでは信用してはいけない。メール内のリンクではなく、ブックマークや検索エンジンからWebサイトにアクセスして確認すること。

(2) 証明書の失効確認を有効にする（ブラウザの設定）
　サイト運営者は対策の一環としてWebサイトの証明書を失効することがあるが、この事実をユーザーが知らないままでいると、偽サイトにアクセスしても見分けられない恐れがある。ブラウザの設定を確かめる方法については、トレンドマイクロが公式ブログ（下欄参照）で案内している。

・Internet Explorer：ツール＞インターネットオプション＞詳細設定＞セキュリティ＞「サーバーの証明書失効を確認する」にチェックが入っていることを確認する。

・Chrome：設定＞詳細設定を表示…＞HTTPS／SSL＞「サーバー証明書の取り消しを確認する」にチェックが入っていることを確認する。（Chrome の現在のバージョンのデフォルトではチェックが入っていない。確認し、チェックを入れておこう）

(3) Webサイト運営者からの指示に従う
　運営者からユーザーに指示される可能性がある対応としては、「パスワードの変更」がある。パスワード変更は、Webサイト側の脆弱性対応が完了したことを確認してから行う。Webサイト側に脆弱性が残ったままパスワードを変更しても、変更後のパスワードを盗まれる可能性が残るので、注意が必要だ。

（2014/04/17 ネットセキュリティニュース）

【関連URL】
・OpenSSL の脆弱性に対する、ウェブサイト利用者（一般ユーザ）の対応について（IPA）
http://www.ipa.go.jp/security/ciadr/vul/20140416-openssl_webuser.html
・OpenSSL の脆弱性対策について(CVE-2014-0160)（IPA）
https://www.ipa.go.jp/security/ciadr/vul/20140408-openssl.html
・OpenSSL の脆弱性に関する注意喚起（JPCERT/CC）
https://www.jpcert.or.jp/at/2014/at140013.html
・OpenSSLの脆弱性について：国民のための情報セキュリティサイト（総務省）
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/vulnerability/01-openssl.html
・OpenSSL の HeartBleed脆弱性に対し、我々が注意すべきこととは？（トレンドマイクロ）
http://blog.trendmicro.co.jp/archives/8964
・Heartbleed - 調査報告（シマンテック）
http://www.symantec.com/connect/ja/blogs/heartbleed-0
・「Heartbleed」- OpenSSLの脆弱（ぜいじゃく）性（CVE-2014-0160）についてのお知らせ（マカフィー）
http://www.mcafee.com/japan/announcement/heartbleed.asp

　オラクルは米国時間15日、複数の深刻な脆弱性を修正したJRE（Java Runtime Environment：Java実行環境）の最新版、JRE 7 Update 55（1.7.0_55）を公開した。同社は、全てのユーザー、特にホームユーザーに最新版への更新を強く推奨している。

　JRE 7 Update 55では37件の脆弱性が修正され、バグの修正なども行われた。脆弱性のうち4件は脆弱性評価システム「CVSS」のスコアが最高値の10.0で、悪用されると、外部からの攻撃でパソコンを乗っ取られるなどの深刻な被害が発生するおそれがある。

　対象となるのは、Vista SP2以降のWindows、バージョンが10.7.3以上のMac OS X、Linux、Solaris。Windows XPは対象外となっている。JREのアップデート機能（自動更新機能や、Javaコントロールパネルの[更新]タブの[今すぐ更新]ボタン）を使って更新できる。同社サイトから最新版を無料でダウンロードすることもできる。

（2014/04/16 ネットセキュリティニュース）

【関連URL：オラクル】
・April 2014 Critical Patch Update Released［英文］
https://blogs.oracle.com/security/entry/april_2014_critical_patch_update
・Oracle Critical Patch Update Advisory - April 2014［英文］
http://www.oracle.com/technetwork/topics/security/cpuapr2014-1972952.html
・Java 7リリースのハイライト
http://www.java.com/ja/download/faq/release_changes.xml
・Java のバージョンの確認
http://www.java.com/ja/download/installed.jsp
・Javaのダウンロード
http://java.com/ja/download/

　ドメイン登録サービスの「お名前.com」をかたるフィッシングサイトが出現したとして、フィッシング対策協議会は15日、緊急情報を出した。15日午前10時現在、同サイトは停止が確認されているが、類似のフィッシングサイトが公開される恐れもあり、引き続き注意が必要だ。

　「お名前.com」を運営するGMOインターネット（本社：東京都渋谷区）が10日付で同社サイトに掲載した注意文によると、同サービスをかたり、ユーザーの「お名前ID（会員ID）」とパスワードを盗み取るサイトへ誘導するメールが、不特定多数に送信されていた。

　同社は、送信されている不正メールの例として、件名「【重要】お名前.comの登録情報を確認してください」で届くメール内容を掲載。こうした不審メールが届いた際は、記載されているURLヘのアクセスをしないよう、誘導先の偽サイトでアカウント情報（ID、パスワードなど）を入力をしないよう、呼び掛けている。

　フィッシング対策協議会は、不正メールが誘導するフィッシングサイトのログイン画面を掲載している。アカウント情報の入力は絶対にしないよう注意を促すとともに、類似のフィッシングサイトやメールを発見した場合は連絡するよう呼びかけている。

（2014/04/16 ネットセキュリティニュース）

【関連URL】
・お名前.comをかたるフィッシング(2014/04/15)（フィッシング対策協議会）
http://www.antiphishing.jp/news/alert/onamaecom20140415.html
・【重要】お名前.comを騙ったフィッシングメールについて（GMOインターネット）
http://www.onamae.com/news/domain/140410_4.html

　JPCERTコーディネーションセンター（JPCERT/CC）は15日、2014年1～3月に受付けたコンピュータセキュリティのインシデントレポートを発表した。年度別のインシデント報告件数をみると、2013年度は前年度より46％増加し、過去5年間で最多となった。

　2014年1～3月にJPCERT/CCが受付けたインシデント報告件数は4898件、国内外の関連サイトとの調整を行った調整件数は1989件だった。インシデントのカテゴリ別では多い順に、システムの弱点を探索する「スキャン」1719件（38.0％）、「Webサイト改ざん」1501件（33.1％）、「フィッシングサイト」557件（12.3％）、「マルウェアサイト」211件（4.7％）、「DoS/DDoS」23件（0.5％）となる。

　2013年度（2013年4月1日～2014年3月31日）中に寄せられたインシデント報告件数は、2万9191件だった。前年度の2万19件と比べて46％増加しており、2009年度の8716件と比べると3倍以上となっている。

■フィッシング－－検索連動型広告を悪用する手口を確認

　今期（2014年1～3月）の「フィッシングサイト」は557件で、前期から7％減少、前年度同期比では18％増加している。このうち国内ブランドを装うもの229件、国外ブランドを装うもの187件。国内外を合わせたブランド種別では、多い順に「金融機関」62.3％、「オンラインゲーム」19.6％、「ポータル」6.1％、「通信事業者」4.4％だった。前期に引き続き、国内通信事業者が動的に割り当てるIPアドレスを持ち、国内外のオンラインゲームサービスと、国内金融機関を装ったフィッシングサイトの報告が多数寄せられている。

　2月半ばには、検索エンジンの検索連動型広告を使用して国内金融機関を装うフィッシングサイトに誘導する手法が確認された。広告欄の最上位に表示され、金融機関の正規サイトのURLを記載しているため、不正広告とは判別できない。JPCERT/CCはこうした新たな攻撃がなされていることを踏まえ、正規サイトのＵＲＬ確認などフィッシングの基本対策に加え、ワンタイムパスワードサービスやフィッシング対策ソフトウェアを利用することを勧めている。

■サイト改ざん――IEの脆弱性を攻撃する不正ファイルを設置

　Webサイト改ざんの報告件数は1501件で、前期から6％減少しているが、3月には前月の258件から580件へ倍増しており、収束に向かっているとは言い難い。前期に引き続き不正なiframeやJavaScriptがページに挿入されたという報告が大量に寄せられている。

　2月後半には、Internet Explorerの当時未修正の脆弱性を攻撃する不正ファイルを設置したWebサイト改ざんが国内で複数確認された。改ざんサイトは、脆弱性を攻撃するswfファイルやjarファイルなどに利用者を誘導し、閲覧パソコンをマルウエアに感染させる仕組みだった。このマルウエアは、海外サーバーへ端末情報を送信する行為や、国内ブログサービスの特定ページにアクセスして情報を取得する行為などが確認されている。

（2014/04/15 ネットセキュリティニュース）

【関連URL：JPCERT/CC】
・インシデント報告対応レポート（2014年1月1日～2014年3月31日）[PDF]
http://www.jpcert.or.jp/pr/2014/IR_Report20140415.pdf

【関連記事：ネットセキュリティニュース】
・「サイト改ざん」前期比では減少するも収束せず、感染対策が重要（JPCERT/CC）（2014/01/21）

　アドビシステムズは8日、脆弱性4件を修正した「Flash Player」の最新版を公開した。Windows版とMac版ではアップデートの優先度が「1」とされており、すでに攻撃の対象となっているか、攻撃対象となる危険性が高いことを示している。

　対象となるのは、Windows版、Mac版、Linux版のFlash Player。更新後のバージョンは、Windows版とMac版が「13.0.0.182」、Linux版が「11.2.202.350」となる。Flash Player 13系を利用できないWindowsとMac向けには、11.7系の最新版「11.7.700.275」が提供されている。

　また、Windows 8/8.1/RTに搭載されているInternet Explorer 10/11用のFlash Playerについては、Windows Updateを通じて最新版が配布されており、自動的に更新が行われる。Google Chrome用のFlash Playerについては、最新版を同梱した「Google Chrome 34.0.1847.116」が公開されており、こちらも自動的に更新される。

　最新版では、解放したメモリーの再使用問題、バッファオーバーフローの問題、セキュリティを迂回される問題、クロスサイトスクリプティングの問題が修正されている。これらの問題を悪用されると、任意のコードを実行されたり、情報流出が起きたりするおそれがあり、セキュリティ緊急度は4段階中で最も高い「クリティカル」とされている。

　システムにインストールされているFlash Playerのバージョンは、下記のバージョン確認ページにアクセスするか、コントロールパネルの「Flash Player」の[高度な設定]タブで確認できる。最新版は同社サイトで配布されている。

（2014/04/09 ネットセキュリティニュース）

【関連URL】
・APSB14-09：Security updates available for Adobe Flash Player［英文］（アドビ）
http://helpx.adobe.com/security/products/flash-player/apsb14-09.html
・Flash Playerのバージョン確認（アドビ）
http://www.adobe.com/jp/software/flash/about/
・Flash Playerのダウンロード（アドビ）
http://get.adobe.com/jp/flashplayer/
・マイクロソフトセキュリティアドバイザリ（2755801）Internet Explorer上のAdobe Flash Playerの脆弱性に対応する更新プログラム（マイクロソフト）
https://technet.microsoft.com/ja-jp/security/advisory/2755801
・Stable Channel Update［英文］（Google Chrome Releases）
http://googlechromereleases.blogspot.jp/2014/04/stable-channel-update.html

　グーグルは8日（米国時間）、多数の脆弱性を修正した「Google Chrome」の最新安定版「34.0.1847.116」を公開した。対象となるのは、Windows、Mac、Linux。

　最新版では、機能が追加され、安定性の向上が図られているほか、31件の脆弱性が修正された。修正された問題の中には、危険度が4段階中で2番目に高い「High」の脆弱性9件も含まれている。同梱のAdobe Flash Playerも、深刻な脆弱性を修正した最新版の「13.0.0.182」に更新された。

　最新版への更新は、自動的に行われるほか、Google Chromeのメニュー（右端のアイコン）から「Google Chromeについて」を選択すると、ただちに最新版の確認とアップデートが行える。

（2014/04/09 ネットセキュリティニュース）

【関連URL】
・Stable Channel Update［英文］（Google Chrome Releases）
http://googlechromereleases.blogspot.jp/2014/04/stable-channel-update.html

　マイクロソフト（MS）は9日、4月度の月例セキュリティパッチ（セキュリティ更新プログラム）4件を公開した。Windows XPとOffice 2003については、今回が最後のパッチ提供となる。

　公開されたパッチは、深刻度が4段階評価で最も高い「緊急」2件と、次に高い「重要」2件の計4件。Windows、Windows Server、Internet Explorer、Word、Office Web Apps、Publisherが影響を受ける。

　XPとOffice2003については、9日をもってサポートが終了し、今回のパッチが最後のものとなる。以後、脆弱性が見つかってもパッチは公開されないし、脆弱性が見つかったという情報も提供されない。サポート終了とそのリスクについては、関連URLと関連記事をご覧いただきたい。

【更新プログラムの内容】
＜緊急＞
・[MS14-017]WordおよびOffice Web Apps：リモートコード実行の脆弱性
・[MS14-018]Internet Explorer用累積パッチ：リモートコード実行の脆弱性

＜重要＞
・[MS14-019]ファイル操作コンポーネント：リモートコード実行の脆弱性
・[MS14-020]Publisher：リモートコード実行の脆弱性

　このほか、Windows 8/8.1/RT/RT 8.1およびServer 2012/Server 2012 R2上のInternet Explorer 10/11に搭載されている「Adobe Flash Player」の更新プログラムと、新たに「Kilim」「Ramdo」に対応した「悪意のあるソフトウェアの削除ツール」の更新バージョンも公開されている。

■MS14-017について
　このパッチは、3月に発覚し、すでに悪用が確認されていたWordの脆弱性を修正する。パッチ適用後は、実施していた回避策が不要となるので、元の状態に戻すことができる。回避策に「Fix it」を使用していた場合には、下記の「サポート技術情報 2949660」にある「Disable this fix it」側のアイコン（Microsoft Fixit 51011）をダウンロード/実行すると元の状態に戻る。

（2014/04/09 ネットセキュリティニュース）

【関連URL：マイクロソフト】
・セーフティとセキュリティセンター
http://www.microsoft.com/ja-jp/security/default.aspx
・2014年4月のセキュリティ情報
http://technet.microsoft.com/ja-jp/security/bulletin/ms14-apr
・Microsoft Update
http://windowsupdate.microsoft.com/
・セキュリティアドバイザリ（2755801）Internet Explorer上のAdobe Flash Playerの脆弱性に対応する更新プログラム
http://technet.microsoft.com/ja-jp/security/advisory/2755801
・サポート技術情報 2949660
https://support.microsoft.com/kb/2949660/ja

【関連URL：XP/Office 2003サポート終了関連：マイクロソフト】
・サポート終了の重要なお知らせ
http://www.microsoft.com/ja-jp/windows/lifecycle/xp_eos/consumer/default.aspx
・Windows XP のサポート終了について
http://www.microsoft.com/windows/ja-jp/xp/end-of-xp-support.aspx
・Office 2003 のサポート終了
http://office.microsoft.com/ja-jp/help/HA103306332.aspx
・Windows XP に対するサイバー脅威、および中小企業と個人消費者へのガイダンス
http://blogs.technet.com/b/jpsecurity/archive/2014/04/02/cyber-threats-to-windows-xp-and-guidance-for-small-businesses-and-individual-consumers.aspx
・【Windows XP、Office 2003サポート終了まであと6日】あらためて、「使い続けるリスク」のまとめ
http://blogs.technet.com/b/jpsecurity/archive/2014/04/03/eos-summary-windows-xp-office-2003.aspx

【関連記事：ネットセキュリティニュース】
・XPとOffice 2003のサポート終了間近、IPAが判別方法と乗り換えプランを紹介（2014/0403）

　安心ネットづくり促進協議会（JISPA）のネット問題作業部会は4日、「青少年のネット上の問題行動」について検討、整理した最終報告書を公開した。

　インターネットが社会にとっても個人にとっても必要不可欠な存在になっている一方、悪ふざけ投稿など、青少年によるネット上の問題行動とその拡散が取り沙汰されている。同協議会はこの状況を踏まえ、青少年が事件やトラブルを起こす加害者や被害者にならないための基本行動について検討・整理し、注意を喚起した。

■不用意な情報発信が後々の人生にまで影響する恐れ

　これまで青少年の問題行動は局所的・短期的な問題として収拾することが多かったが、インターネット環境の普及以降は、後の人生にまで影響を及ぼしかねない事態となっている。ネット上に一度発信した情報は拡散し、誰でも閲覧・複写可能で、自分でコントロールできない。このため安易に利用すると、炎上、誹謗中傷、個人情報の暴露といった、取り返しのつかないような事態を招く危険があることを、報告書は指摘する。

■情報拡散のメカニズム

　問題となるような投稿がされていわゆる「炎上」となった場合、以下のプロセスをたどると報告書は分析する。
・火種事例の誕生：本人または他者によるネット上への「事例」の発信、公開
・拡散期（前半）：第三者が「事例」についてSNS等で言及。一部ユーザーが会話を開始。
・拡散期（後半）：急速な拡散が始まる。一部マスコミが取り上げて拡散を助長することも。
・炎上期：「まとめサイト」登場で新規ユーザーも参加し騒動が大規模化。マスコミ報道も多数となり、さらに拡散が広がる。

　炎上期まで至ってしまった場合は、どこまで話題が継続するかは不明で、最終的には自然に鎮静化するのを待つしかない状況となる。そのため、いったん発信された情報は拡散され、発信者のコントロールが及ばなくなることを十分に理解した上で、投稿を行う慎重さが必要だとしている。

■ネット利用時の正しい認識とスタンス

　報告書は、インターネットユーザーは以下の点を認識する必要があり、判断に迷う場合はネット上に発信しないことをすすめている。
・一度発信した情報を完全に削除することは困難なので、半永久的に残ってもよいものかどうか、責任を持って判断する
・実社会で許されないことはネット上でも許されない
・インターネットにおいても投稿者、行為者は特定しうる

　このようなポイントをまとめたガイドラインやポリシーが、企業、学校、官公庁などの各機関で作成されている。同協議会も、青少年や保護者、学校関係者を対象としてガイドラインを作成・公開している。サービス提供側に対しては、青少年がネット上に発信する際に「公開しても良いですか」等の注意を促すメッセージを表示するなど、システム的な工夫を要望している。マスコミや情報を入手する側にも、事例を興味本位に話題にすることのないよう冷静な対処を検討してもらいたいとしている。

　トラブルに巻き込まれた場合や、巻き込まれそうになっている場合は、一人で悩まずに、保護者や学校関係者、または公的な相談窓口にすぐに相談するようアドバイスしている。同協議会のホームページにも窓口一覧が掲載されている。

（2014/04/08 ネットセキュリティニュース）

【関連URL：安心ネットづくり促進協議会】
・「青少年のネット上の問題行動」最終報告書 公開について
http://www.good-net.jp/investigation/working-group/net-problem/2014/094-1000.html
・青少年の安心安全なインターネット利用のために
http://www.good-net.jp/safe-internet/
・相談窓口一覧
http://www.good-net.jp/lectures/consultation/

　新年度の始まりを機に、スマートフォンを使い始めた、SNSを始めたという人も多いだろう。そんな人にぴったりの情報セキュリティについて学べる映像を、情報処理推進機構（IPA）が公開している。

　IPAでは、YouTubeのIPA Channelで「映像で知る情報セキュリティ」シリーズを公開している。3月31日に追加された新作は、スマートフォンのセキュリティ、SNSの心得などについて学べる、ドラマ仕立ての3本だ。

■「スマホ乗っ取り」の危険を学ぶ９分ドラマ

　晴れて結婚式に臨むことになったヨシオ。しかしヨシオのスマートフォンは…。約9分のドラマで、スマートフォンの乗っ取りによってどのようなことをされてしまうか、また被害にあわないための対策について取り上げている。対象はスマートフォンやタブレット型端末を利用している一般ユーザーだ。端末内の情報がネット上にばらまかれたり、勝手にメールが送られたり、ヨシオは散々な目にあってしまうが、そうならないためにはどんな対策が必要なのかを学べる。
・＜乗っ取り＞の危険があなたのスマートフォンにも！-スマートフォン・タブレット型端末のセキュリティ対策-
http://www.youtube.com/watch?v=_XiBB42q9z8

　この映像は「スマートフォンのセキュリティ」シリーズ3部作の完結編。1作目と2作目ではスマートフォンの盗難・紛失対策とウイルス対策について、同じくヨシオが主人公のドラマで学べる。
・大丈夫？あなたのスマートフォン-安心・安全のためのセキュリティ対策-
http://www.youtube.com/watch?v=AhiUC7X3VSg
・あなたのスマートフォン、ウイルスが狙っている！-スマートフォン・タブレット型端末のセキュリティ対策-
http://www.youtube.com/watch?v=0mUetZGyXUs

■投稿写真でネット炎上、SNSの安全利用を学ぶ11分ドラマ

　パテシエールを目指してアルバイト中の女子高生英子。つい軽い気持ちでSNSに投稿した写真が災いしてネットは炎上、店にもクレームが殺到…。約11分のドラマで、SNSを安全に利用する心得について学べる。対象はSNSを利用している一般ユーザーだ。
　匿名にして書き込んでいても、過去の書き込みなどと照らして本人が特定される可能性があること、一度情報が広まってしまうと、元の情報を消してもコピーが永遠に出回りかねないことなど、SNS利用者が知っておきたいことを取り上げている。
・あなたの書き込みは世界中から見られてる-適切なSNS利用の心得-
http://www.youtube.com/watch?v=tVZSuGkmnGQ

■新入社員向けの映像も公開、DVDでの配布も予定

　この2作のほかに、企業・組織の新入社員向けの新作映像も公開されている。また3作とも、これまで公開された映像と同様に、DVDでの配布も行われる予定だ。
・3つのかばん-新入社員が知るべき情報漏えいの脅威-
http://www.youtube.com/watch?v=FljLaQA-cRU

（2014/04/07 ネットセキュリティニュース）

【関連URL】
・映像で知る情報セキュリティ ～映像コンテンツ一覧～（IPA）
http://www.ipa.go.jp/security/keihatsu/videos/
・YouTube　IPA Channel
http://www.youtube.com/user/ipajp

　マイクロソフトは4日、今月9日に公開を予定しているセキュリティ更新プログラム（修正パッチ）の概要を発表した。リリース予定の修正パッチは、4段階評価で深刻度が最も高い「緊急」2件、2番目に高い「重要」2件の計4件。

　「緊急」の脆弱性は、3月に明らかになり、すでに悪用が確認されているWordの問題と、Internet Explorerに（IE）に影響する問題。どちらもリモートからコードを実行されるおそれがある。

　「重要」の脆弱性は、全てのWindowsに影響する問題とOfficeの問題で、どちらもリモートからコードを実行されるおそれがある。

　Windows XPとOffice 2003については、9日にサポートが終了する。パッチ提供は今回が最後となり、以後、脆弱性が見つかっても修正されることはない。マイクロソフトでは、サポート終了後のセキュリティリスクに関する FAQ を公開し、注意を呼びかけている。

　このほかに「Windows Update」「Microsoft Update」などで、セキュリティ以外の優先度の高い更新プログラムと、「悪意のあるソフトウェアの削除ツール」の更新バージョンのリリースが予定されている。

（2014/04/04 ネットセキュリティニュース）

【関連URL：マイクロソフト】
・マイクロソフト セキュリティ情報の事前通知 - 2014 年 4 月
http://technet.microsoft.com/ja-jp/security/bulletin/ms14-apr
・マイクロソフト セキュリティ アドバイザリ (2953095)Microsoft Word の脆弱性により、リモートでコードが実行される
https://technet.microsoft.com/ja-jp/security/advisory/2953095
・【Windows XP、Office 2003 サポート終了まであと 6 日】あらためて、「使い続けるリスク」のまとめ
http://blogs.technet.com/b/jpsecurity/archive/2014/04/03/eos-summary-windows-xp-office-2003.aspx

【関連記事：ネットセキュリティニュース】
・Wordの未修正の脆弱性を突くゼロデイ攻撃発生～「Fix It」の適用を（2014/03/25）

　アップルは1日（米国時間）、27件の脆弱性を修正した、Webブラウザ Safariの最新版「7.0.3 / 6.1.3」を公開した。3月に開催されたHP Zero-Dayイニシアチブ主催のハッキングコンテスト「Pwn2Own」で報告された脆弱性2件も修正されている。

　「Safari 7.0.3」は OS X Mavericks 10.9.2に、「Safari 6.1.3」は OS X Mountain Lion 10.8.5 / OS X Lion 10.7.5に対応している。

　今回修正された脆弱性は、すべてレンダリングエンジン「WebKit」に起因するもの。悪用されると、任意のコードを実行されたり、ファイルを読み取られてしまったりするおそれがある。

　最新版への更新は、アップルメニューの「ソフトウェア・アップデート」から行える。

（2014/04/03 ネットセキュリティニュース）

【関連URL：アップル】
・About the security content of Safari 6.1.3 and Safari 7.0.3［英文］
http://support.apple.com/kb/HT6181

　Windows XPとOffice 2003のサポートが、2014年4月9日に終了する。IPA（情報処理推進機構）は、自身のパソコンがサポート終了の対象か否かの確認方法、および乗り換えの選択肢を紹介している。

　IPAは1日、4月の呼びかけとして「『あなたのパソコンは4月9日以降、大丈夫？』～使用中パソコンの判別方法、乗り換えプランを紹介～」を公開した。サポート終了の意味と想定される脅威、また、やむなくサポート終了後にWindows XPおよびOffice 2003を使い続ける場合の制限事項についても解説している。

■サポート終了とは？ どんなリスクが想定される？

　サポート終了後は、セキュリティ上の弱点（脆弱性）が見つかっても、修正プログラムが提供されなくなる。新たに脆弱性が発見されても放置されることになるため、以後、ウイルス感染、不正アクセスの被害にあう可能性が高まってしまう。
　たとえば、ウイルス感染によって、銀行口座のIDとパスワードが流出し、自分の銀行口座に不正にログインされて、他口座に勝手に送金されるかもしれない。不正アクセスを受けて、遠隔操作によって自分のパソコンから他のコンピュータへの攻撃が行われ、自身が加害者になってしまう可能性もある。

■XP、Office 2003がインストールされているかどうかの判別方法

　自分のパソコン環境が不明な人に対し、「OSがWindows XPかどうか」「パソコンにOffice 2003がインストールされているかどうか」を確認する方法も図入りでわかりやすく示されている。
　XPの識別方法としては、起動時のロゴ、スタートボタンのデザイン、[システムのプロパティ]での確認方法を紹介。Office 2003については、[スタート]→[すべてのプログラム]からの確認方法と、[コントロールパネル]→[プログラムの追加と削除]から確認する方法の2つが紹介されている。

■乗り換えの選択肢

　XPからの乗り換えについては、パソコンの新規購入、OSのアップグレード、タブレットやスマートフォンへの乗り換えという3つの選択肢を紹介し、それぞれのメリットとデメリットを挙げている。
　Office 2003からの乗り換えについては、現行バージョンへ乗り換えるか、他社製オフィスソフトや無料のオフィスソフトを利用することを挙げている。Officeを使用しない場合は、Office 2003を削除してしまうことも選択肢の一つとなる。

■どうしても使い続ける場合

　IPAでは、「サポートが終了した製品の使用は推奨しない」とした上で、“インターネットに一切接続しない”、“LANから切り離して使用する”、“USBメモリなどの外部記憶媒体にも一切接続しない”という利用形態で、他のパソコンとデータのやり取りを一切行わないならば安全に使用することが可能だとしている。
　安全な使用例としては、ワープロ専用機として使用し、印刷する際はプリンターケーブルを用いてプリンターと直結して印刷することや、パソコンゲーム専用機としてオフラインで使用することが挙げられている。

　このほか、サポート終了に関してよくある相談と回答も紹介されている。

（2014/04/03 ネットセキュリティニュース）

【関連URL：IPA】
・2014年4月の呼びかけ「あなたのパソコンは4月9日以降、大丈夫？」～使用中パソコンの判別方法、乗り換えプランを紹介～
http://www.ipa.go.jp/security/txt/2014/04outline.html

　フィッシング対策協議会は1日、ゆうちょ銀行をかたるフィッシングメールが出回っているとして、緊急情報を出し、注意を呼びかけた。この偽メールに記載されたURLをクリックするとフィッシングサイトに誘導され、「お客さま番号」の入力を求められる。

　同協議会によると、同行をかたる偽メールが誘導するフィッシングサイトは、1日午後5時30分現在、稼働中だ。この偽サイトの閉鎖のための調査を、JPCERT/CCに依頼している。しかし、閉鎖された後も類似のフィッシングサイトが公開される可能性があり、引き続き注意が必要だ。

　同行をかたるフィッシング詐欺は繰り返し行われており、本通信は2月20日にも注意喚起の記事を掲載した（下欄参照）。このときのフィッシングメールは同銀行のカスタマーセンターを名乗り、「ログイン画面リニューアルのお知らせ」があると騙してフィッシングサイトに誘導。フィッシングサイトでは「ログイン画面がリニューアル致しました」として、「お客様番号」「合言葉1」「合言葉2」「ログインパスワード」「インターネット用暗証番号」の全てを入力させようとするものだった。

　今回のフィッシングは、フィッシングメールの内容は同じだが、誘導先のフィッシングサイトは本物のログイン画面と同じく「お客さま番号」だけを入力させ、「次へ」のクリックを促すものとなっている。騙されないように注意していただきたい。

　同協議会は、こうしたフィッシングサイトでアカウント情報 (お客様番号、合言葉、ログインパスワードなど) を絶対に入力しないよう、注意を繰り返している。また、類似のフィッシングサイトやメールを発見した場合は連絡するよう呼びかけている。

（2014/04/02 ネットセキュリティニュース）

【関連URL】
・ゆうちょ銀行をかたるフィッシング(2014/04/01)（フィッシング対策協議会）
https://www.antiphishing.jp/news/alert/20140401jpbank.html
・【重要】ゆうちょダイレクトの認証を装って暗証番号を盗み取ろうとする犯罪にご注意ください（ゆうちょ銀行）
http://www.jp-bank.japanpost.jp/direct/pc/drnews/2014/drnews_id000050.html

　警察庁は、2013年の不正アクセス行為の発生状況を公表した。不正アクセスの認知件数は2951件で、前年より1700件増加した。このうちネットバンキングの不正送金が1325件で、45％を占める。

　2013年1月1日から12月31日までに、全国の警察から警察庁に報告のあった不正アクセス行為（認知件数）は2951件で、2012年と比べ、1700件増加した。うち検挙件数は980件（前年比で437件増）、検挙事件数は145件（前年比で9件増）にとどまり、検挙人員は前年の154人から7人減少している。これら都道府県警察からの報告をまとめた不正アクセス行為とは別に、事業者から報告があった「連続自動入力プログラムによる不正ログイン攻撃」による不正アクセス行為は、約80万件にのぼった。

■不正アクセス行為後の行為
　不正アクセス行為後の行為として最も多いのは、ネットバンキングの不正送金1325件（44.9％）で、次位はネットショッピングの不正購入911件。以下、オンラインゲーム・コミュニティサイトの不正操作379件、ホームページの改ざん・消去107件、情報の不正入手92件、ネットオークションの不正操作36件などとなっている。

■不正アクセス行為の手口
　検挙した不正アクセス行為の手口をみると、パスワードの設定・管理の甘さにつけ込んだものが最も多く、前年の122件から767件に跳ね上がった。言葉巧みに聞き出す、またはのぞき見したものは64件で、前年の229件から大きく減少した。ほかに、識別符号を知り得る立場にあった元従業員や知人等によるもの(56件）、共犯者等から入手したもの（35件）、スパイウェア等のプログラムを使用して識別符号を入手したもの（25件）、フィッシングサイトにより入手したもの（9件）なども一定数あり、前年にはなかった「他人から購入したもの」も7件発生している。

■不正アクセス被害を防ぐ対策
　ユーザーがとるべき対策として、3項目が挙げられている。

・安易に個人情報を入力しない（フィッシング対策）
　金融機関等がメールで口座番号や暗証番号、個人情報を問い合わせることはない。これらの情報入力を求めるメールはフィッシングメールであり、入力してはいけない。金融機関等が提供するワンタイムパスワード等の個人認証方法を積極的に利用する。

・パスワードの適切な設定・管理
　複数サイトで同じパスワードを使わない、推測が容易なパスワードを避ける。パスワードを他人に教えない、パスワードを定期的に変更する。

・不正プログラムに対する注意
　不正プログラムに感染させて、ID・パスワードを奪う事案が多発している。メールに添付されたファイルを不用意に開いたり、信頼できないサイトからファイルをダウンロードしたりしない。ウイルス対策ソフトの利用、OSや各種ソフトウェアのアップデート等を適切に行う。

（2014/04/01 ネットセキュリティニュース）

【関連URL】
・平成25年中の不正アクセス行為の発生状況等の公表について（警察庁）
http://www.npa.go.jp/cyber/statics/h25/pdf040.pdf
・不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況（警察庁）
http://www.npa.go.jp/cyber/statics/h25/pdf041.pdf
・不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況を取りまとめました（経済産業省）
http://www.meti.go.jp/press/2013/03/20140327009/20140327009.html
・不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況（総務省）
http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000072.html