ネットセキュリティニュース

　日本人を狙うフィッシングが、ターゲットのブランドを拡大していることを昨日の記事でお伝えしたが、その後の調査で、さらなる多角経営ぶりが明らかになった。オンラインバンキングの偽サイトに「三井住友銀行」が加わり、「スクウェアエニックス」の偽サイトと同居する「ウェブマネー」の偽サイトも見つかっている。

■オンラインバンキングのフィッシングに「三井住友銀行」が追加

　昨日の記事では、「三菱東京UFJ銀行」の偽サイトと同じサーバーに「りそな銀行」の偽サイトが併設されていることをお伝えしたが、さらに「三井住友銀行」の偽サイトが25日頃に追加され、不特定多数にフィッシングメールが送りつけられていることが判明した。

　フィッシングメールは、直前のりそな銀行のものとほとんど同じ内容。「【三井住友銀行】本人認証サービス」という件名で送られ、メールアドレスの確認と称して、偽サイトへと誘導しようとする。ボタンに見せかけたリンクをクリックすると、不正アクセスを受けたと見られる一般サイトを経由し、他の2行が同居している国内の大手ISPのアクセス回線上のサーバーへと誘導される。本物そっくりの偽のログインページに続き、1行ずつ5回に分けて乱数表を全て入力させようとする手口も、他の2行と同じだ。

■「スクウェアエニックス」と「ウェブマネー」

　昨日の記事では、「ハンゲーム」の偽サイトと同居する「ウェブマネー」の偽サイトをご紹介したが、これとは別に「スクウェアエニックス」の偽サイトと同じサーバーに開設された、「ウェブマネー」の偽サイトも見つかった。

　スクウェアエニックスをかたるフィッシングは、昨夏から約1年にわたり頻繁に繰り返されている。仕掛け人は複数いるようで、手口やデザインの異なる偽サイトが存在する。フィッシングメールも、これまでに様々な文面が使われており、昨日ご紹介したハンゲーム＆ウェブマネー組の件名にあった「安全確認」が使われたこともある。

　今回同居が判明したスクウェアエニックスの偽サイトは、「アカウント確認のお願い」との件名でフィッシングメールが送られて来たもの。アカウントが何らかの取引に利用されているので、システムにログインして異常がないか確認するよう促す、ユーザーの不安を煽るタイプだ。

　メールに記載されたリンクは、見た目は正規サイトのURLだが、クリックすると本物とは全く異なるドメインの偽サイトを開く。今月の誘導先は、ドラゴンクエストXのプレーヤー専用サイト「hiroba.dqx.jp」のURLに似せた「.pw」ドメインや「.co.vu」ドメインのサイトだ。偽サイトには複数のホスト名が使われているが、どれも同じサーバーで、「ウェブマネー」の偽サイトや海外のオンラインゲーム「The Elder Scrolls（エルダー・スクロールズ ）」の偽サイトもそこに同居している。

　日本人を狙うウェブマネーのフィッシングメールは、直近のスクウェアエニックスと同様の不安を煽るタイプで、他社から会員情報が流出したので、記載したリンクをクリックして本人確認を行うよう要請するもの。この文面は、以前スクウェアエニックスやガンホー、NCSOFTのフィッシングなどで使われたものと同じだ。

　誘導先は、公式サイト「service.webmoney.jp」のURLに似せた「.co.vu」ドメインのサイトで、ハンゲームの偽サイトに同居しているものと同様、本物のウォレットのログインページに酷似した偽のログインページが登場する。微妙に異なるのは、こちらには本物と同じファブアイコンが使われ、ソフトウェアキーボードが正常に表示される点。さらに、ハンゲーム同居組がログイン後に正規サイトのトップページに移動するのに対し、こちらは本物のログインページに移動し、ログインに失敗したような錯覚をもたらすようになっている。同じような偽サイトだが、総じてこちらの方が出来がよい。

（2014/06/27 ネットセキュリティニュース）

【関連URL：各社の告知】
＜三菱東京UFJ銀行＞
・公式サイト（6月12日更新）
http://www.bk.mufg.jp/info/phishing/20131118.html?link_id=p_top_juyo_mai
・フィッシング対策協議会(6月10日)
http://www.antiphishing.jp/news/alert/mufg20140610.html
＜りそな銀行＞
・公式サイト(6月16日更新)
http://www.resona-gr.co.jp/resonabank/direct/gochui/detail/20110907.html
・フィッシング対策協議会(6月16日)
https://www.antiphishing.jp/news/alert/resona20140616.html
＜ハンゲーム＞
・公式サイト（5月26日更新）
http://info.hangame.co.jp/index.nhn?m=detail&infono=9333
・フィッシング対策協議会の告知(2月17日更新)
http://www.antiphishing.jp/news/alert/hangame20131210.html
＜スクウェア・エニックス＞
・公式サイト
http://www.jp.square-enix.com/info/1308_attention.html
・フィッシング対策協議会(6月11日)
http://www.antiphishing.jp/news/alert/square_enix20140611.html
＜ウェブマネー＞
・公式サイト（6月17日更新）
http://www.webmoney.jp/news/2014/0610_fishing.html
・フィッシング対策協議会(6月26日)
https://www.antiphishing.jp/news/alert/webmoney20140626.html

【関連記事：ネットセキュリティニュース】
・日本人を狙うフィッシングがターゲットを拡大（2014/06/26）
・りそな銀行かたるフィッシングに注意、先週末から偽サイトの稼働続く（2014/06/16）

　日本国内のユーザーを狙ったフィッシングが、ターゲットのブランドを拡大している。「三菱東京UFJ銀行」の偽サイトには「りそな銀行」の偽サイトが、「ハンゲーム」の偽サイトには「ウェブマネー」の偽サイトがそれぞれ併設され、これらに誘導するフィッシングメールが今月に入ってから不特定多数に送られている。

■「三菱東京UFJ銀行」と「りそな銀行」のフィッシング

　「三菱東京UFJ銀行」をかたるフィッシンは、昨年11月から継続しているもの。4月半ばから先月末まで一時休止していたが、今月に入り「りそな銀行」を追加して攻撃を再開した。
　これらのフィッシングは、「三菱東京ＵＦＪ銀行 - メールアドレスの確認」や「【そな銀行】本人認証サービス」と題したフィッシングメールを送り付け、不正アクセスを受けたと見られる一般サイトを経由して、国内の大手ISPのアクセス回線上に開設した偽サイトへと誘導。ログインアカウントや乱数表をだまし取ろうとする。
　偽サイトは、本物を元に作られた精巧なもので、どちらも同じサーバー内に開設されている。本物そっくりのログインページに続き、本物にはない乱数表（マイゲートご利用カード）を1行ずつ全行入力させるページが続くところは共通仕様だ。ちなみに三菱東京UFJ銀行の乱数表が10桁×10行であるのに対し、りそな銀行は5桁×5行なのだが、どちらも「○桁目の数字から10桁（確認番号）をご入力ください」という文面だったりする。

■「ハンゲーム」と「ウェブマネー」

　「ハンゲーム」をかたるフィッシングは、昨年から断続的に続いていたが、今年に入ってからは攻撃頻度が非常に高くなっている。「ハンゲームアカウントーー安全確認」などの件名でフィッシングメールを送り付け、ログインアカウントを騙し取る偽サイトへと誘導しようとする。今月に入ってからはこれに、「WebMoneyー安全確認」という件名の「ウェブマネー」をかたるフィッシングが加わった。
　どちらのフィッシングメールも、見た目は公式サイトのURLが記載されているように見えるが、実際の誘導先は、ハンゲームが主にオンラインゲーム「elsword（エルソード)」に似せた「.tk」ドメインの偽サイトへ、ウェブマネーが公式サイトの「webmoney」に似せた「.tk」ドメインの偽サイトへと誘導する。
　誘導先のURLは多数あるが、内部に偽サイト本体を表示するフレームになっており、偽サイト本体は別の場所に開設されている。現時点では、いずれも同じサーバー内に開設されている。

■本物の識別が簡単なオンラインバンキングとウェブマネー

　直接金銭を扱うオンラインバンキングとウェブマネーに関しては、本物のサイトと偽物のサイトを簡単に識別することができる。フィッシングに使われている偽サイトが、いずれも暗号化通信のSSLに未対応であるのに対し、本物は、EV SSLに対応しているからだ。
　EV SSL対応のサイトでは、ブラウザのアドレスバーの横に運営会社の社名が緑色で表示される。三菱東京UFJ銀行なら「The Bank of Tokyo-Mitsubishi UFJ, Ltd.」、りそな銀行なら「Resona Holdings, Inc.」、ウェブマネーなら「WebMoney Corporation」だ。この表示があることさえ確認すれば、偽サイトに騙されることはない。

（2014/06/26 ネットセキュリティニュース）

【関連URL：各社の告知】
＜三菱東京UFJ銀行＞
・公式サイト（6月12日更新）
http://www.bk.mufg.jp/info/phishing/20131118.html?link_id=p_top_juyo_mai
・フィッシング対策協議会(6月10日)
http://www.antiphishing.jp/news/alert/mufg20140610.html
＜りそな銀行＞
・公式サイト(6月16日更新)
http://www.resona-gr.co.jp/resonabank/direct/gochui/detail/20110907.html
・フィッシング対策協議会(6月16日)
https://www.antiphishing.jp/news/alert/resona20140616.html
＜ハンゲーム＞
・公式サイト（5月26日更新）
http://info.hangame.co.jp/index.nhn?m=detail&infono=9333
・フィッシング対策協議会の告知(2月17日更新)
http://www.antiphishing.jp/news/alert/hangame20131210.html
＜ウェブマネー＞
・公式サイト（6月17日更新）
http://www.webmoney.jp/news/2014/0610_fishing.html
・フィッシング対策協議会(6月26日)
https://www.antiphishing.jp/news/alert/webmoney20140626.html

【関連記事：ネットセキュリティニュース】
・りそな銀行かたるフィッシングに注意、先週末から偽サイトの稼働続く（2014/06/16）

　何らかの方法で取得したアカウントリスト（ログインIDとパスワードの組み合わせリスト）を使い、機械的にログインを試行したと見られる攻撃が先月から相次いでいる。18日付の記事では、「niconico（ニコニコ動画）」「LINE」「mixi」での被害をご紹介したが、その後も20日には「はてな」が、23日には「Ameba」が被害状況を公表している。

　「はてな」のスタッフブログによれば、不正ログインは今月16日に始まり、発覚する19日までの間に約160万回試行。2398アカウントで不正ログインが成功し、うち3アカウントではメールアドレスが変更され、Amazonギフト券交換の申し込みが行われたという。ただし、ギフト券の交換はスタッフが目視で確認し手続きを行っているため、交換には至らず未遂に終わったとのことだ。

　「Ameba」を運営するサイバーエージェントの告知によれば、「Ameba」の不正ログインは今月19日に始まり、発覚する23日までに229万3543回試行、3万8280アカウントが不正ログインされたという。登録情報が閲覧された可能性はあるが、改ざんや仮想通貨の不正利用などの被害は発生していないそうだ。

■成功率の高いアカウントリスト攻撃とその対策

　今月に入って報告されたアカウントリスト攻撃と見られる不正ログイン被害のうち、試行回数と成功数が公表されている4サービスについて、その成功率を算出してみた。

　　　　　　　成功数　　　　試行回数　　　　成功率
Niconico　　21万9926　　　220万3590　　　9.98%
Mixi　　　　26万3596　　　430万　　　　　6.13%
Ameba　　　 3万8280　　　229万3543　　　1.67%
はてな　　　　　　2398　　　160万　　　　　0.15%

　集計結果は、「はてな」以外が10～数十回の試行で1回と、かなり高い成功率であることを示している。アカウントリストを使った不正ログイン攻撃の成功率は、ユーザーの重複度やID/パスワードを使いまわしているユーザー数次第だが、異なるサービス間で同じログインIDとパスワードの組み合わせを使用していなければ、この攻撃は全く成立しない。ログインIDとパスワードの組み合わせを同じにしないことが、この攻撃のいちばんの防衛策なのだ。

　「はてな」の成功率が他のサービスより1桁低いが、他の3サービスのログインIDがメールアドレスであるのに対し、「はてな」のログインIDがユーザー指定の任意の文字列であるという点が影響しているのかも知れない。

■二次被害が続くLINE

　「niconico」と「はてな」では、不正ログインに成功したアカウントの一部で、ポイントが不正に使用されたことが報告されている。「LINE」では、本人になりすまして「友だち」に電子マネーの購入を持ちかける詐欺行為が行われていると報告されており、ネット上では、今週に入ってからも同種の報告が続いている。なりすましトークで、プリペイドカードの購入を依頼し、カードの番号を送らせるという手口だ。

　電子マネーのプリペイドカードは、コンビニなどで販売されており、記載された番号をカードのサービスサイトで入力すると、額面の金額がユーザーのウォレット（財布）にチャージされる仕組みになっている。カード自体を持っている必要はなく、番号さえわかれば自由に使えるので、なりすましトークに騙されると、電子マネーを巻き上げられてしまう結果になる。

■完全乗っ取りもあるLINEの不正ログイン、その対策は

　他のサービスと違い、LINEのログインアカウントは必須ではない。ログイン用のメールアドレスとパスワードの設定は、パソコン版のLINEを使用したり、機種や電話番号の変更時に友だち情報などを引き継いだりしたい場合に必要となるため、未設定の方も多いかもしれない。LINEの[その他]→[設定]→[アカウント]を開き、[メールアドレス登録]の欄が[未登録]になっている場合は未設定で、この場合には、第三者に直接端末を操作されない限り、不正ログイン被害を受けることはない。

　メールアドレス登録で他のサイトと共通したメールアドレスとパスワードの組み合わせを登録していたり、類推されやすい安易なパスワードを設定していたりする場合には、不正ログイン被害を受ける可能性がある。LINEの不正ログインには、パソコン版を勝手に使われ、覗き見されたり成りすましトークを送られたりするレベルと、機種変更の要領で完全に乗っ取られてしまうケースとがある。前者に関しては、先の[アカウント]を開き、ディフォルトで有効になっている[他端末ログイン許可]を解除することによっても防御可能だ。完全乗っ取りも含めて防御するためには、強固なパスワードを設定し、なおかつメールアドレスとパスワードの組み合わせを使いまわさないようにする必要がある。

（2014/06/25 ネットセキュリティニュース）

【関連URL】
・SNS「mixi」への不正ログインに関して（mixi）
http://mixi.co.jp/press/2014/0617/12217/
・「niconico」への不正ログインに関するご報告（ドワンゴ）
http://info.dwango.co.jp/pi/ns/2014/0613/
・他社流出パスワードを用いた不正ログインについて（ニコニコインフォ）
http://notice.nicovideo.jp/ni046768.html
・他社サービスと同じパスワードを設定している皆様へパスワード変更のお願い（LINE公式ブログ）
http://official-blog.line.me/ja/archives/1004331596.html
・コミュニケーションアプリのなりすまし利用にご注意ください（ウェブマネー）
http://www.webmoney.jp/news/2014/0618_app.html
・「Ameba」への不正ログインに関するご報告とパスワード再設定のお願い（サイバーエージェント）
http://www.cyberagent.co.jp/info/detail/id=9036
・はてなへのリスト型アカウントハッキングと思われる不正ログインについてのご報告と、パスワード変更のお願い（はてなの日記）
http://hatena.g.hatena.ne.jp/hatena/20140620/1403233254

　Flash Playerの更新を求めるポップアップを表示し、悪質なソフトウェアをインストールさせようとする広告が配信された。配信を受けた動画サービス「niconico（ニコニコ動画）」と配信元のマイクロアドから、経緯や被害を受けた場合の対処方法などが告知されている。

　問題の広告は、各社の広告枠を交換する米ヤフーのアドエクスチェンジに混入したものが、マイクロアドの広告配信サービスを通じて国内に配信されたもの。広告の配信は、6月19日未明から始まり、「このページは表示できません！　Flash Playerの最新バージョンへのアップデート！」というポップアップを表示する。[OK]ボタンをクリックすると、アドビの公式サイトを模した偽のFlash Playerのダウンロードサイトへと誘導し、ユーザーに「setup.exe」をダウンロード/実行させようとする。

　脆弱性を悪用したドライブバイダウンロード攻撃ではないため、勝手にインストールされてしまうことはないが、偽サイトが本物そっくりに作られているので、誤ってインストールしてしまうかもしれない。

　アドビの公式サイトが「adobe.com」であるのに対し、偽サイトは「cnmup.biz」や「wapck.biz」といった、全く違うドメイン名を使用しており、「現在インストールされている FlashPlayer のバージョンは低いですので、更新してください」というようなおかしな日本語表記も散見される。

　「setup.exe」には電子署名が入っているが、本物が「Adobe Systems Incorporated」であるのに対し、偽物は「OUTBROWSE」となっており、実行するとFlash PlayerではなくFLV Playerという名前のインストーラーが起動。ユーザーの同意を求める形で、偽セキュリティソフトや偽メンテナンスソフトなどを次々にインストールさせようとする。Flash Playerのアップデートにみせかけるという悪質な手を使い、これらをインストールさせることによってアフィリエイト報酬を得ようというのだ。

■アップデートは公式サイトで

　こうしたアップデートを装う怪しいソフトの配布は、日常的に行われており、様々な手段を使ってユーザーをだまそうとする。攻撃はもっぱら海外で行われているが、今回のFlash Playerやメディアプレーヤー、主要なブラウザなどは、日本語対応のものが出現しているため、油断していると引っかかってしまうかもしれない。ソフトウェアのアップデートは、必ず公式サイトに行って行うよう心がけていただきたい。

（2014/06/23 ネットセキュリティニュース）

【関連URL】
・「niconico」における“MicroAd AdFunnel”を経由した悪意のあるサイトへ誘導される広告表示についてのご報告（ドワンゴ）
http://info.dwango.co.jp/pi/ns/2014/0620/index.html
・マイクロアド社広告経由のマルウェアについて（ニコニコインフォ）
http://blog.nicovideo.jp/niconews/ni046930.html
・悪意のあるサイトへ誘導される広告表示に関して（マイクロアド）
http://www.microad.co.jp/info/info20140619.html
・広告配信障害に関するプレスリリースの追記に関して（マイクロアド）
http://www.microad.co.jp/news/detail.php?News_ID=252
・偽の Flash Player に誘導されるニコニコ動画ユーザー（シマンテック）
http://www.symantec.com/connect/ja/blogs/flash-player
・動画サイトを閲覧中に偽Flash Playerの更新通知が表示されマルウェアがインストールされる事象の対応方法について教えてください。（トレンドマイクロ）
http://esupport.trendmicro.com/solution/ja-JP/1103938.aspx

　サポート期間が終了したブログ作成ツール「WDP」を使ったサイトの改ざん被害が多発するなか、IPA（情報処理推進機構）は19日、管理できていないWebサイトは閉鎖を検討するよう呼びかけた。

　WDPだけでなく、旧版の「Movable Type」など脆弱性をもつCMS（コンテンツ管理システム）で作られたWebサイトは、脆弱性攻撃を受けて改ざんされ、ウイルス拡散の拠点として悪用されるおそれがある。

■「WDP」50万サイトの8割が危険な状態

　WDP（Web Diary Professional）は2009年にサポートが終了し、脆弱性が解消されない状態にある。開発者は新ツールへの移行を推奨しているが、日本語マニュアルがあるなど初心者に使い勝手がよいこともあり、移行せずに使い続けている人たちが少なくない。
　カスペルスキーの公式ブログ（6月12日付）によると、WDPを使用したと推定されるサイトは2014年4月時点で約50万件あり、うち約8割に問題があった。これらのサイトは、パスワードが外部から容易に確定可能であったり、改ざんされてスパムメール送信用ツール、DDoSツール、バックドア等が設置されていたりするなど、攻撃の踏み台とされていたことが推察できるという。
　最近では、世界遺産の「平等院」の公式サイトの一部ページが改ざんされ、偽ブランド販売サイトに誘導するプログラムが埋め込まれていたことが話題となったが、その改ざんページに使われていたのがWDPだった。改ざんサイトの放置はサイト管理者を加害者にする可能性があることを肝に銘じたい。

■「Movable Type」「WordPress」「Joomla!」にも深刻な脆弱性

　脆弱性が狙われているのは、WDP使用サイトだけではない。IPAは、WDPのほかに「Movable Type」や「WordPress」、「Joomla!」などのCMSにも深刻な脆弱性が多数あり、改ざんの危険があると警告する。
　IPAがこれまでに届け出を受けた「危険な脆弱性を含む古いバージョンの CMS を利用したWebサイト」は、累計で241件ある。このうち運営者に連絡が取れない、または連絡後30日以上経過しても脆弱性解消の目処が立たないサイトは50件あり、全体の2割を占める（6月19日現在）。これらのサイトの多くは、「自組織のWebサイトにCMSが使われている認識がない」、「古いバージョンのCMSを使用する危険性を認識していない」、「サイト管理者が不在（委託先との契約終了などで）」といった問題をかかえているという。

■脆弱性を解消できない場合、閉鎖の検討を

　IPAは、対策として、次のいずれかを実施するよう推奨している。（1）脆弱性を解消する（修正プログラムの適用）、（2）サポートが継続している製品に移行する、（3）上記の対策がとれない場合、またサイト管理者がいない場合は、契約しているサーバー業者やサイト作成委託業者に相談し、サイト公開を停止する。
　脆弱性を解消できない場合は閉鎖を検討する必要があるということで、加害者にならないためにはやむをえないことだろう。まずは、自分が開設しているブログやWebサイトがCMSを利用しているかどうかを確認し、利用していればそのバージョンを確かめるところから始めたい。

（2014/06/20 ネットセキュリティニュース）

【関連URL】
・管理できていないウェブサイトは閉鎖の検討を（IPA）
http://www.ipa.go.jp/security/ciadr/vul/20140619-oldcms.html
・日本独自のブログ作成ツールが攻撃者の標的に（カスペルスキー）
http://blog.kaspersky.co.jp/obsolete-japanese-cms-targeted-by-criminals/
・旧バージョンの Movable Type の利用に関する注意喚起（JPCERT/CC）
https://www.jpcert.or.jp/at/2014/at140024.html

　6月10日以降、大手サービスへの不正ログイン攻撃が相次ぎ明らかになった。「niconico」は10日、「LINE」は12日、「mixi」は17日、他社サービスから漏えいしたと推定されるID/パスワードで、不正ログイン攻撃を受けたことを明らかにした。

　これらサービスの運営会社は、いずれも自社からのアカウント情報漏えいはなく、他社サービスから漏えいしたID/パスワードを使ったリスト型アカウントハッキング（不正入手したIDとパスワードの組み合わせをリストのように使い、他サービスにログインを試みる攻撃）の可能性が高いとしている。

　リスト型攻撃は、「複数サービスでパスワードを使い回しているユーザー」が標的となる。サービスごとにIDが違えば、パスワードが同じでもリスト型攻撃は成功しないが、サービス側はIDとしてメールアドレスを設定することが多いため、パスワードを使いまわせば、ID（メールアドレス）とパスワードの組み合わせが共通になってしまう。

　今回相次いだ不正ログイン攻撃では、情報漏えいやポイントの不正利用、本人になりすまして友人に電子マネー購入を勧誘するなどの被害が発生している。「LINE」および「mixi」では、現在も攻撃が継続しているようだ。こうした被害にあわないために、パスワードの使い回しをしていないか、安易なパスワード設定になっていないかなど、パスワード管理の基本を改めて見直しておきたい。

■「niconico」に不正ログイン、ポイント不正使用で17万円余の被害

　動画サービスの「niconico」は6月10日、複数アカウントに対する不正ログインを検出したと発表した。ユーザーが他のサービスで利用しているメールアドレスやパスワード等と同じものを使ったため、それを流用して行われたリスト型攻撃である可能性が高いとし、パスワードを独自のものに変更するよう注意を喚起した。同13日には、運営会社のドワンゴが一連の経緯を公表した。同社によると、ユーザーの問合わせから不正ログインを疑い、6月9日に社内調査を開始。翌10日には同一IPアドレスよる大規模な不正ログイン、および一部コンテンツ（ゲーム）でのポイント不正使用を確認し、課金停止や通知などの対策を講じた。
　不正ログインが認められた期間は5月27日から6月4日の9日間で、方法は上記のリスト型であると判明。不正ログイン試行回数は220万3590回、突破件数は21万9926アカウント。「ニコニコポイント」の不正使用は19アカウントで発生し、被害総額は17万3610円だった。同社は不正ログインで想定される被害として、ポイントの不正使用のほか、「アカウント登録情報（性別、生年月日、居住地域、メールアドレス）の閲覧」「公開範囲を限定している登録情報（性別、生年月日等）の閲覧」「登録メールアドレスやパスワードの変更」「動画やコメントなどのなりすまし投稿」をあげ、対策として「パスワードの変更」を強く推奨した。
・他社流出パスワードを用いた不正ログインについて（niconico）
http://blog.nicovideo.jp/niconews/ni046768.html
・「niconico」への不正ログインに関するご報告（ドワンゴ）
http://info.dwango.co.jp/pi/ns/2014/0613/

■「LINE」のアカウント乗っ取り、成りすまして電子マネー購入を勧誘

　無料通話アプリ「LINE」の公式ブログは6月12日、日本のユーザーから「自分のアカウントが第三者（見知らぬ誰か）により利用されている」という問い合わせが増えており、原因を調査したところ、LINEへの不正ログインと思われる事象が確認されたと発表した。報道によれば、5月下旬頃からLINEのアカウントが何者かに乗っ取られ、本人になりすまして友人らに電子マネーの購入を持ちかけられたという相談が相次いでいるという。
　同ブログは、LINEのアカウント情報（電話番号、アカウント名、LINE ID、登録メールアドレス、パスワード等）が外部に流出した事実はないため、不正ログインは他社サービスから第三者にメールアドレスやパスワード等が渡り、悪用されたものと思われるとしている。こうした悪用を防ぐ対策として、他のサービスと同じメールアドレスとパスワードをLINEでも設定しているユーザーはパスワードを変更するよう強く推奨。「より安全なパスワードの付け方」を説明し、アカウントを乗っ取られないよう注意を促している。
・他社サービスと同じパスワードを設定している皆様へパスワード変更のお願い（LINE公式ブログ）
http://official-blog.line.me/ja/archives/1004331596.html

■「mixi」に不正ログイン26万3596件、リスト攻撃は継続中

　ソーシャルネットワーキングサービスの「mixi」は6月17日、不正ログインの被害状況を公表した。5月30日に疑わしいIPから外部アタックがあり、6月2日にユーザーからの問合わせを受けて調査を行った結果、不正ログインを確認。対象ユーザーへの告知は発覚当初より実施しているが、攻撃が止まず対象者も拡大していることから、公表に至ったという。
　6月16日24時の時点で、不正ログイン試行回数は約430万回、突破件数は26万3596アカウントで、他社サービスから流出または不正取得されたアカウント情報を流用した攻撃である可能性が高い。mixiは今年2月にもリスト型不正ログイン攻撃を受けているが、そのときは乗っ取ったIDを不正使用し、「mixiボイス」で身に覚えのない投稿が多数なされるという被害があった。しかし、今回の攻撃では、そうした不正投稿、および課金やmixiポイントの不正利用は今のところ確認されていない。
　同社は、該当ユーザーのうち1か月以内にmixiにログインしているユーザー（7万8058アカウント）には、mixiメッセージでパスワード変更を依頼。1か月以内にmixiにログインしていないユーザー（16万7617アカウント）にはログイン一時停止の措置をとった。また、全ユーザーに対し、他社サービスとメールアドレス・パスワードの使い回しを避けるよう、トップページに告知を掲載した。
・SNS「mixi」への不正ログインに関して（ミクシィ）
http://mixi.co.jp/press/2014/0617/12217/

（2014/06/18 ネットセキュリティニュース）

【関連URL】
・全てのインターネットサービスで異なるパスワードを！（IPA）
http://www.ipa.go.jp/security/txt/2013/08outline.html

　りそな銀行をかたるフィッシングメール（偽メール）が先週末から出回っており、同行とフィッシング対策協議会が注意を呼び掛けている。17日午前8時現在、フィッシングサイト（偽サイト）はまだ稼働中であり、閉鎖された後も引き続き注意が必要だ。

　同行は、サイトに掲載した注意喚起メッセージ「銀行を装った、ID・パスワード等の入力を求める不審な電子メールについて」を16日付で更新し、偽メールの最新事例を2件、提示している。

　新事例では、銀行の「本人認証サービス」が必要であるとして、添付したURL等を開いて「登録」あるいは「メールアドレスの確認」をするよう促している。同行はここで、「当社インターネットバンキングのURL等が添付されていますが、絶対に開かないでください」と、赤地に白抜き文字で特段の注意を喚起している。

　もし偽メールの誘導をうっかり信じてURLをクリックしてしまうと、本物そっくりに作られた偽サイトに飛ばされ、そこでログインIDやパスワードなどの入力を促される。ここでも疑わずに入力してしまった場合、ネットバンキングを不正に操作され、預金を盗み取られる。こうした不正送金被害は、昨年は前年の30倍にもなるほど急伸している（下欄「関連記事」参照）。

　同行は、偽メールについては「絶対に開かない」「開いてしまった場合は、すぐに削除する（送信元へ返信しない）」「記載されたURLは絶対にクリックしない」「クリックした場合、開いたページへ入力等は行わず閉じる」「添付ファイルがある場合、開かない」ように、繰り返し注意を促している。また、偽メールを受信したパソコンはウイルススキャンを実行し、ウイルス感染がないかどうか確認する必要もある。

　現在稼働中の偽サイトは、閉鎖のための調査をJPCERT/CC に依頼中だが、閉鎖後も類似の偽サイトが公開される可能性があり、引き続き注意が必要だ。フィッシング対策協議会は、類似の偽サイトやメールを発見した場合、同協議会へ連絡するよう呼びかけている。

（2014/06/17 ネットセキュリティニュース）

【関連URL】
・【ご注意】銀行を装った、ID・パスワード等の入力を求める不審な電子メールについて(6月16日更新)（りそな銀行）
http://www.resona-gr.co.jp/resonabank/direct/gochui/detail/20110907.html
・りそな銀行をかたるフィッシング(2014/06/16)（フィッシング対策協議会）
https://www.antiphishing.jp/news/alert/resona20140616.html

【関連記事】
・三井住友カードをかたるフィッシングに注意（2014/04/30）
http://security-t.blog.so-net.ne.jp/2014-04-30-1
・ゆうちょ銀行かたるフィッシング、本物に似せた「ログイン画面」に注意（2014/04/02）
http://security-t.blog.so-net.ne.jp/2014-04-02
・ゆうちょ銀行かたるフィッシングメールと「偽の入力画面」に注意（2014/02/20）
http://security-t.blog.so-net.ne.jp/2014-02-20
・ネットバンク不正送金が前年の30倍に――2つの手口とその対策（2014/02）
http://www.so-net.ne.jp/security/news/newstopics_201402.html

　モジラは10日、Webブラウザー「Firefox」の最新版「30.0」を公開した。対象となるのは、Windows、Mac、Linux、およびAndroid。法人向けの延長サポート版（ESR）「24.6.0」と、メールソフトの「Thunderbird 24.6.0」も同日公開されている。

　Firefox 30.0では新機能が追加されたほか、脆弱性7件が修正された。脆弱性の重要度は、4段階評価で最も高い「最高」が5件、次に高い「高」が2件。ESR版では、30.0と共通の「最高」3件が修正された。悪用されると任意のコードが実行されるおそれのある、危険な問題が含まれている。

　それぞれの最新版は自動更新機能を通じて配布されているほか、手動で更新することも可能。デスクトップ版では、メニューボタン「≡」をクリック→下段のヘルプボタン「？」をクリック→表示された[ヘルプ]メニューの[Firefoxについて]を選択する。Android版は、[設定]→[Mozilla]→[Firefoxについて]の順に選択し[更新を確認]をタップする。

　ESR版Firefoxで修正された脆弱性3件は、同じエンジンを使用するメールソフトThunderbirdにも影響があり、こちらも最新版の「24.6.0」が公開されている。

（2014/06/11 ネットセキュリティニュース）

【関連URL】
＜Firefox 30.0＞
・リリースノート（デスクトップ版）
http://www.mozilla.jp/firefox/30.0/releasenotes/
・リリースノート（Android版）
http://www.mozilla.jp/firefox/android/30.0/releasenotes/
・セキュリティアドバイザリ
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox.html
＜Firefox ESR 24.6.0＞
・リリースノート
http://www.mozilla.jp/firefox/24.6.0/releasenotes/
・セキュリティアドバイザリ
http://www.mozilla-japan.org/security/known-vulnerabilities/firefoxESR.html
＜Thunderbird 24.6.0＞
・リリースノート
http://www.mozilla.jp/thunderbird/24.6.0/releasenotes/
・セキュリティアドバイザリ
http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird.html

　グーグルは11日、深刻な脆弱性を修正した「Google Chrome」の最新安定版「35.0.1916.153」を公開した。対象となるのは、Windows、Mac、およびLinux。

　最新版では、ファイルシステムで開放したメモリーを再使用してしまう問題や、ネットワークプロトコルのSPDYで境界外の読み取りが起こる問題、クリップボードでバッファオーバーフローが起こる問題など、4件の脆弱性が修正された。危険度が4段階評価で2番目に高い「High」の問題も含まれている。

　同梱のAdobe Flash Playerも、最新版の「14.0.0.125」に更新された。

　最新版への更新は自動的に行われるほか、デスクトップ版ではGoogle Chromeのメニュー（右端のアイコン）から「Google Chromeについて」を選択すると、ただちに最新版の確認とアップデートが行える。

（2014/06/11 ネットセキュリティニュース）

【関連URL】
・Stable Channel Update［英文］（Google Chrome Releases）
http://googlechromereleases.blogspot.jp/2014/06/stable-channel-update.html

　マイクロソフトは11日、6月度の月例セキュリティパッチ（セキュリティ更新プログラム）を公開した。公開されたパッチは、深刻度が4段階評価で最も高い「緊急」2件と、次に高い「重要」5件の計7件。Windows、Windows Server、Internet Explorer、Word、Lync、Lync Serverが影響を受ける。

【更新プログラムの内容】
＜緊急＞
・[MS14-035]Internet Explorer用累積パッチ：リモートコード実行の脆弱性
・[MS14-036]Graphicsコンポーネント：リモートコード実行の脆弱性

＜重要＞
・[MS14-030]リモートデスクトップ：改ざんの脆弱性
・[MS14-031]TCPプロトコル：サービス拒否の脆弱性
・[MS14-032]Lync Server：情報漏えいの脆弱性
・[MS14-033]XMLコアサービス：情報漏えいの脆弱性
・[MS14-034]Word：リモートコード実行の脆弱性

　このほか、Windows 8/8.1、RT/RT 8.1、および、Server 2012/Server 2012 R2上のInternet Explorer 10/11に搭載されている「Adobe Flash Player」の更新プログラムと、新たに「Necurs」に対応した「悪意のあるソフトウェアの削除ツール」の更新バージョンが公開された。

　Internet Explorer用の累積パッチは、すでに一般に公開されている脆弱性2件と、非公開でMicrosoftに報告された脆弱性57件を解決する。公開済みの脆弱性のうち1件は、ZDI（Zero Day Initiative：ゼロデイイニシアチブ）が指摘していた問題。これまでにこれらの脆弱性を悪用する攻撃は確認されていない。

■手動で更新を行っている場合は注意が必要

　今回から、Windows 8.1 Update / RT 8.1 UpdateがインストールされていないWindows 8.1端末とRT 8.1端末には、Windows Update / Microsoft Updateからパッチが配信されなくなった。ダウンロードセンターにもパッチは公開されない。Windows 8.1 Update / RT 8.1 Updateは2014年4月に公開されており、自動更新を有効にしてあれば、すでにこれらが自動的にインストールされている。一般ユーザーのほとんどは特に何もする必要がないのだが、手動で更新を行っている人は注意していただきたい。

　また、パッチ2929437（2014年4月公開）がインストールされていないWindows 7上でInternet Explorer 11を実行している場合も、上記と同様に、Windows Update / Microsoft Update からパッチは配信されず、ダウンロードセンターでの公開も行われなくなった。こちらも自動更新を有効にしてあれば何もする必要はない。

（2014/06/11 ネットセキュリティニュース）

【関連URL：マイクロソフト】
・セーフティとセキュリティセンター
http://www.microsoft.com/ja-jp/security/default.aspx
・2014年6月のセキュリティ情報
https://technet.microsoft.com/ja-jp/library/security/ms14-jun
・Microsoft Update
http://windowsupdate.microsoft.com/
・2014年6月のセキュリティ情報 (月例) - MS14-030～MS14-036
http://blogs.technet.com/b/jpsecurity/archive/2014/06/11/201406-security-bulletin.aspx
・セキュリティアドバイザリ（2755801）Internet Explorer上のAdobe Flash Playerの脆弱性に対応する更新プログラム
https://technet.microsoft.com/ja-jp/library/security/2755801
・最新のWindows 8.1 Updateをインストールする
http://windows.microsoft.com/ja-jp/windows-8/install-latest-update-windows-8-1
・Windows 7 および Windows Server 2008 R2 の Internet Explorer 11 のセキュリティ更新プログラムについて
https://support.microsoft.com/kb/2929437/ja

　アドビシステムズは10日、脆弱性6件を修正した「Flash Player」の最新版を公開した。Windows版とMac版、Google Chrome用ではアップデートの優先度が「1」とされており、すでに攻撃の対象となっているか、攻撃対象となる危険性が高いことを示している。

　対象となるのは、Windows版、Mac版、Linux版のFlash Player。更新後のバージョンは、Windows版とMac版が「14.0.0.125」、Linux版が「11.2.202.378」となる。Flash Player 14系を利用できないWindowsとMac向けには、「13.0.0.223」が提供されている。

　また、Windows 8/8.1/RTに搭載されているInternet Explorer 10/11用のFlash Playerについては、Windows Updateを通じて最新版が配布されており、自動的に更新が行われる。Google Chrome用のFlash Playerについては、最新版を同梱した「Google Chrome 35.0.1916.153」が公開されており、こちらも自動的に更新される。

　最新版では、クロスサイトスクリプティングの問題3件、セキュリティを迂回される問題2件、メモリー破壊の問題1件が修正された。セキュリティ緊急度は、4段階中で最も高い「クリティカル」とされている。

　システムにインストールされているFlash Playerのバージョンは、下記のバージョン確認ページにアクセスするか、コントロールパネルの「Flash Player」の[高度な設定]タブで確認できる。最新版は同社サイトで配布されている。

（2014/06/11 ネットセキュリティニュース）

【関連URL】
・APSB14-16：Security updates available for Adobe Flash Player［英文］（アドビ）
http://helpx.adobe.com/security/products/flash-player/apsb14-16.html
・Flash Playerのバージョン確認（アドビ）
http://www.adobe.com/jp/software/flash/about/
・Flash Playerのダウンロード（アドビ）
http://get.adobe.com/jp/flashplayer/
・マイクロソフトセキュリティアドバイザリ（2755801）Internet Explorer上のAdobe Flash Playerの脆弱性に対応する更新プログラム（マイクロソフト）
https://technet.microsoft.com/ja-jp/security/advisory/2755801
・Stable Channel Update［英文］（Google Chrome Releases）
http://googlechromereleases.blogspot.jp/2014/06/stable-channel-update.html

　メールマガジンの原稿を作成する内職に応募したら、ホームページを開設するよう勧誘され、高額の費用を要求されたという相談が国民生活センターに寄せられている。消費者金融で借金をして200万円以上を払ったというケースもある。

　同センターによると、全国の消費生活センターには昨年度、424件のこうした相談が寄せられた。主に20歳代から40歳代の女性がトラブルにあっており、2013年度の契約購入金額の平均は約89万円だった。きっかけとなるメルマガ作成内職への応募は、インターネットのほかフリーペーパーの求人欄や雑誌広告を見て応募したケースもある。

■典型的なケース

　同センターは典型的ケースとして、次のような事例を紹介している。――初期費用無料の広告を見てメルマガ作成の仕事に申し込んだところ、『あなたの文章はレベルが高いので歩合制の仕事をしないか』とすすめられた。『もうからなければ返金する』と言われ、ホームページ作成等の費用を、業者の指示どおり消費者金融で借金するなどして支払ったが、全くもうからない。
　こうした騙しになぜ多くの人がひっかかってしまうのか、以下にその手口を見てみよう。

■「信用させる手口」と「脅す手口」

　仕事に応募すると業者から電話で連絡があり、その後のやりとりも基本的に電話で行われる。メルマガの原稿を作成して提出すると「とても良い文章だ」「反響がすごい」などとほめあげられ、実際に数千円程度が「給料」として振り込まれるため、業者を信用してその後の勧誘に応じてしまうとみられる。
　何度か原稿を提出した後、自分のホームページを開設して歩合制の仕事をしないかと勧誘される。開設にかかる費用は40万円ほど。開設後は、アクセスが集中しているためサーバーを拡張しなければならないなどとしてさらに数百万円を請求される。これらの勧誘の際に業者は、すぐに元がとれる、収入がない場合は返金すると説明。お金がないと断ると、消費者金融での借り入れを指示されることもある。

　思ったような収入が得られない等の理由で支払ったお金の払い戻しを求めると、業者から「さらに支払いが必要な費用があるので、それを支払うまでは返金できない」などとさらなる請求をされ、結局返金には応じてもらえない。また、仕事を始める前に履歴書、免許証や保険証のコピーや写真を提出するよう求められるため、騙されたと分かった後にこれらの悪用を心配しているケースも多い。解約を申し出たところ、副業していることを勤務先にばらす、学校に連絡するなどと脅されたという相談もある。

■業務停止命令を受けた業者も

　消費者庁では2013年8月30日、こうした行為を行っていた業者 1社について注意喚起を行い、同10月3日には特定商取引法に基づく業務停止命令を行っている。消費者庁の公表文に事例が詳しく紹介されているので参考にしていただきたい。

■消費者へのアドバイス

　国民生活センターはこうしたケースについて、消費者に次のようにアドバイスしている。

(1) 安易に内職の申し込みをしたり、個人情報を提供したりしないこと
(2) 高額な初期費用のかかる内職契約は極力避け、勧誘されてもきっぱりと断ること
(3) 「○○万円の収入は確実」「収入がない場合は返金する」など業者の言葉を信用しないこと
(4) 追加の費用を請求されたり、脅されたりしても次々に契約して支払わないこと
(5) 一人で抱え込まずに、家族や消費生活センター等に相談を

　特に(1) について、インターネットや電話で内職を申し込む場合は、事前の情報収集を行い、よくわからない業者との契約を避けるなど、申し込みをする前に慎重に検討することをおすすめする。業者の中には、有名企業と非常にまぎらわしい名称を使用しているところもあるので、この点にも注意していただきたい。

　なお、群馬県も過去にメルマガ内職に関するトラブルについて注意喚起を行っており、全ての業者が悪質な業者ではないが、悪質な業者による被害を受けないためには「初心者でも稼げる」「楽に稼げる」「誰でも高収入が得られる」などというような甘い言葉を簡単に信用しないようにとアドバイスしている。

（2014/06/10 ネットセキュリティニュース）

【関連URL】
・借金をさせてまで支払わせるメルマガ作成内職－20代から40代の女性に100万円以上の借金をさせる事例も！－（国民生活センター）
http://www.kokusen.go.jp/news/data/n-20140605_1.html
・報告書本文［PDF］（国民生活センター）
http://www.kokusen.go.jp/pdf/n-20140605_1.pdf
・副業を希望する消費者にウェブサイト開設を持ちかける「株式会社リミテッド」に関する注意喚起［PDF］（消費者庁）
http://www.caa.go.jp/adjustments/pdf/130830adjustments_1.pdf
・特定商取引法違反の電話勧誘販売業者に対する業務停止命令（6か月）について［PDF］（消費者庁）
http://www.caa.go.jp/trade/pdf/131003kouhyou_1.pdf
・誰でも自宅で高収入？メルマガ内職に関するトラブル～甘い言葉に騙されないで～（群馬県）
http://www.pref.gunma.jp/05/c0900244.html

　ネットバンク不正送金に使用されるウイルス「Game Over Zeus」（以下、GOZ）に国内のパソコンが最大で20万台感染している。全世界では50万台から100万台が感染しており、世界各国の捜査当局が連携してGOZの活動を停止させるための活動を行っている。

　GOZに感染したパソコンからネットバンクにログインしようとすると、偽のログイン画面が表示され、ID/パスワードなどを入力するよう要求される。偽の画面と気付かずに入力するとこれらを盗み取られ、口座から不正送金が行われてしまう。

　さらに、GOZに感染したパソコンは、攻撃者が管理するネットワーク（ボットネット）に組み込まれ、ウイルスの配布、迷惑メール送信、サービス妨害攻撃などに悪用される。

　米国連邦捜査局（FBI）は、GOZが1億ドルを超える損失をもたらしているとみている。世界中の感染端末のうち約20％は日本にあり、感染台数は最大で20万台にのぼるとみられる。

■各国の捜査当局が連携、ボットネット閉鎖へ

　GOZのボットネットを無効化するために、FBIと欧州刑事警察機構（ユーロポール）を中心に、日本の警察庁を含めた各国の捜査当局や民間企業が協力して活動を行っている。警察庁ではこの活動を「国際的なボットネットのテイクダウン作戦」と呼び、ホームページで情報を公開している。

　FBIや米司法省、英国家犯罪対策庁が6月2日（現地時間）に発表したところによると、各機関の連携によりGOZのボットネットをダウンさせることに成功し、首謀者とみられるロシアに住む男が指名手配された。

　男は身代金要求型ウイルス「Cryptolocker」の拡散にも関わっているとみられ、GOZのボットネットがCryptolocker拡散に利用されていたことが分かっている。

■ユーザーは今こそ「駆除と感染予防」実行のチャンス

　GOZのボットネットは再構築されて復活するおそれがある。パソコンユーザーにとっては、ボットネットがダウンしている今が、GOZの駆除や感染予防策を実行するチャンスだ。英国家犯罪対策庁では2日の時点で、ユーザー各自が2週間以内に防御策をとるよう呼びかけている。ボットネットが復活するまでの期間を2週間と予測しているためだ。

　警察庁によると、FBI等が構築したシステムで国内でもGOZ感染端末が特定されつつあり、プロバイダーを通じて、感染端末のユーザーに駆除を促しているという。警察庁は、GOZに感染している旨の通知があった場合には、プロバイダー等の指示に従い適切に対処してほしいとしている。

　今年に入ってから5月9日までの時点で、過去最多であった昨年の被害を超える14億1700万円の不正送金被害が発生している。警察庁は、金融機関関連情報を盗み取る機能を持つウイルスはGOZだけではないことから、インターネットバンキング利用者は以下の対策を講じる必要があるとしている。

・パソコンにウイルス対策ソフトを導入し、パターンファイルを常に最新の状態に更新
・パソコンの基本ソフト（OS）や、ウェブブラウザなどのインストールされている各ソフトウェアを常に最新の状態に更新
・インターネットバンキングにログインした際に不審な入力画面等が表示された場合、ID/パスワード等の情報を入力せず、金融機関等に通報
・ワンタイムパスワードを利用し、ワンタイムパスワードをメールで受信している場合には、フリーメール等のパソコンで受信できるメールアドレスではなく、携帯電話のメールアドレス等を登録

（2014/06/09 ネットセキュリティニュース）

【関連URL】
・国際的なボットネットのテイクダウン作戦（警察庁）
http://www.npa.go.jp/cyber/goz/index.html
・GameOver Zeus Botnet Disrupted［英文］（FBI）
http://www.fbi.gov/news/stories/2014/june/gameover-zeus-botnet-disrupted/gameover-zeus-botnet-disrupted
・U.S. Leads Multi-National Action Against “Gameover Zeus” Botnet and “Cryptolocker” Ransomware, Charges Botnet Administrator［英文］（米司法省）
http://www.justice.gov/opa/pr/2014/June/14-crm-584.html
・Two-week opportunity for UK to reduce threat from powerful computer attack［英文］（英国家犯罪対策庁）
http://www.nationalcrimeagency.gov.uk/news/news-listings/386-two-week-opportunity-for-uk-to-reduce-threat-from-powerful-computer-attack
・ボットネット型マルウェア「Gameover Zeus」と身代金要求型マルウェア「CryptoLocker」を摘発（マカフィー）
http://www.mcafee.com/japan/security/mcafee_labs/blog/content.asp?id=1415
・Gameover Zeusボットネット「閉鎖」? いま成すべきこと（カスペルスキー）
http://blog.kaspersky.co.jp/gameover_botnet_takedown/
・国際的な摘発作戦で Gameover Zeus のサイバー犯罪ネットワークに打撃（シマンテック）
http://www.symantec.com/connect/ja/blogs/gameover-zeus
・FBIがオンライン銀行詐欺ツール「Gameover」のネットワークを閉鎖、トレンドマイクロも協力（トレンドマイクロ）
http://blog.trendmicro.co.jp/archives/9234
・マイクロソフトが GameOver Zeus ボットネットのクリーンアップで FBI に協力（マイクロソフト）
http://blogs.technet.com/b/jpsecurity/archive/2014/06/04/microsoft-helps-fbi-in-gameover-zeus-botnet-cleanup.aspx

　マイクロソフトは6日、今月11日に公開を予定しているセキュリティ更新プログラム（修正パッチ）の概要を発表した。リリース予定の修正パッチは、4段階評価で深刻度が最も高い「緊急」2件、2番目に高い「重要」5件の計7件。

　「緊急」の脆弱性は、Internet Explorerに（IE）影響する問題と、Windowsおよびコミュニケ―ションソフトのLive MeetingとLyncに影響する問題。どちらもリモートからコードが実行されるおそれがある。

　なおIEに関しては、ZDI（Zero Day Initiative：ゼロデイイニシアチブ）が未修正の深刻な脆弱性（CVE-2014-1770）の存在を指摘していたが、MSRC（Microsoft Security Response Center）のブログによると、この問題についての修正も行われるという。

　「重要」の脆弱性5件は、Microsoft Word 2007とOffice互換機能パックに影響するリモートコード実行の問題。Windowsに影響する情報漏えいの問題。Lync Server 2010/2013に影響する情報漏えいの問題。Windowsに影響するサービス拒否の問題。Windowsに影響する改ざんの問題。

　このほかに、「Windows Update」「Microsoft Update」などで、セキュリティ以外の優先度の高い更新プログラムと、「悪意のあるソフトウェアの削除ツール」の更新バージョンのリリースが予定されている。

（2014/06/06 ネットセキュリティニュース）

【関連URL】
・2014 年 6 月のマイクロソフト セキュリティ情報事前通知（マイクロソフト）
https://technet.microsoft.com/library/security/ms14-jun
・Advance Notification Service for the June 2014 Security Bulletin Release[英文]（MSRC）
http://blogs.technet.com/b/msrc/archive/2014/06/05/advance-notification-service-for-the-june-2014-security-bulletin-release.aspx

　IPA（情報処理推進機構）は2日、今月の呼びかけとして「登録完了画面が現れても、あわてないで！」を公開した。スマートフォン（スマホ）でのワンクリック請求に関する相談件数が増加しており、とくに「登録完了画面」に驚いて業者に連絡してしまい、メールアドレスや電話番号を知られてしまった不安を訴えるケースが多いという。

　2014年4～5月にかけてIPAに寄せられたワンクリック請求の相談件数は593件で、うちスマホを使ったものが162件と全体の約3割を占めた。IPAは、パソコンのワンクリック請求と比較し、スマホでは「登録完了画面」を恐れる必要はないこと、およびその表示に遭遇した場合の解決策を教えている。

■パソコンとスマホで異なる「ワンクリック請求」の手口

　パソコンの場合：ワンクリック請求の登録画面が表示されるまで、ユーザー何度も「はい」ボタンをクリックして次の画面に進んでいく。最後に「セキュリティの警告」メッセージが表示された時点で、促されるままに「実行」ボタンをクリックすると、不正にパソコンの設定を変えられてしまう。この設定変更により、数秒または数分おきに登録完了画面が表示される事態となり、「×」ボタンで消しても繰り返し登録完了画面が出てきてしまう。

　スマホの場合：「登録完了」と記載されたWebページがブラウザ上で表示されているだけで、スマホの設定が変更されたわけではない。このため、登録画面が勝手に繰り返し表示されることはないのだが、ユーザーは「登録完了」画面が表示されると、慌ててスマホのホームボタンを押すことが多い。この操作では画面は消去されず、Webサイト閲覧をしようとすると、隠れていた画面が再び表示される。単に、ブラウザがWebページを表示しているだけなのだが、ユーザーは画面が消せなくなったと思い込んでしまう。

■「登録完了」画面でユーザーが業者に連絡してしまう仕掛け

　IPAがスマホでワンクリック請求にあった相談者を調査した結果では、なぜ業者に連絡してしまうのか、巧妙な手口がうかがえた。ユーザーは検索サイトにある“急上昇”というボタンをタップした後、何度かタップを繰り返し、興味ある動画にたどりついて再生ボタンを押す。しかし動画は再生されず、「年齢認証」画面が表示され、次の画面で「登録完了」のメッセージと請求料金が表示される。この登録完了画面で“OK”をタップすると、［誤作動登録の方］、［退会希望の方］、［電話サポート］などのボタンが表示される。
　不安になったユーザーは、それらのボタンをタップし、その結果、電話番号やメールアドレスが業者に知られてしまう事態となる。IPAは、契約について不安になった場合は消費生活センターへ相談するよう勧め、間違っても業者に連絡したりお金を振り込んだりしないようアドバイスしている。

■スマホで「登録画面」を消去する方法

　スマホでは、消したはずの「登録画面」が、ホームからブラウザに切り替えると再表示されるが、画面表示を消す作業を行えば表示されなくなる。IPAは、「iPhoneの場合」と「Androidの場合」について、登録画面の削除方法を図説しているので、参照されたい。

　「呼びかけ」の最後には、実際に業者に連絡してしまったユーザーが、業者からの返信が自分の名前宛てに届いたことにショックを受け、個人情報が漏えいしたのではと心配している例が紹介されている。IPAはその心配はないことを説明し、「慌てないこと」の大切さを強調している。

（2014/06/04 ネットセキュリティニュース）

【関連URL：IPA】
・「登録完了画面が現れても、あわてないで！」～スマートフォンでのワンクリック請求に注意！
http://www.ipa.go.jp/security/txt/2014/06outline.html

　コンピュータ周辺機器メーカーのバッファロー（本社：名古屋市中区）は2日、同社のダウンロードサイトが改ざんされ、ファイルをダウンロードしたユーザーにウイルス感染の恐れがあることを明らかにした。感染後にネットバンキングへアクセスすると、アカウント情報を盗み取られて不正送金される可能性もあるとして、対応を呼び掛けている。

　同社によると、5月27日午前10時頃、顧客より同社サポート窓口宛てに、ダウンロードしたソフトウェアを実行したところ中国語のメッセージが表示される旨の連絡があった。同社はファイル改ざんとウイルス感染の疑いを確認し、サービス停止を委託先へ指示。同日午後1時にはダウンロードサイトを停止し、案内をホームページに掲載した。

　その後の調査により、委託先サーバーの感染が判明。同社は全データのウイルスチェック、別事業者へのサーバー移管などの対策をとり、5月31日午後10時半、サービスを再開した。

■感染の可能性と想定される被害

　同社および解析調査を行ったシマンテックによると、5月27日の午前6時16分から午後1時までの間、10個の改ざんファイル（下記）が、540件のIPアドレスから計856回ダウンロードされた。この間、これらの改ざんファイルをダウンロード、解凍・実行したユーザーは、ウイルス（Infostealer.Bankeiya.B）に感染した可能性が高い。改ざんファイルの解凍時には中国語が表示される。なお、今回の攻撃は、ソフトウェアの脆弱性を突いたものではないことが判明している（下欄のシマンテックブログ参照）。
　このウイルスに感染した状態で、ネットバンキングを利用した場合、ログイン情報、IDやパスワードが盗まれ、不正送金の被害を受ける恐れがある。ワンタイムパスワードを利用しているユーザーは、被害の心配はない。

■感染の可能性がある場合の対処法

　同社は感染の可能性がある状態でネットバンクにアクセスしないこと、まずはウイルスを駆除し、その後にネットバンキングのパスワードを変更するよう呼びかけている。ウイルス駆除の方法としては、シマンテック社とマカフィー社のウイルス対策ソフトを最新版にして実行するようアドバイスし、対処法が不明な場合は専用窓口への連絡を求めている。

■改ざんファイル名

　上記期間にウイルスが混入していた製品名は次の通り。

＜無線LAN製品＞
・エアナビゲータ２ライト Ver.1.60 (ファイル名：airnavi2_160.exe)
・エアナビゲータライト Ver.13.30 (ファイル名：airnavilite-1330.exe)
・エアナビゲータ Ver.12.72 (ファイル名：airnavi-1272.exe)
・エアナビゲータ Ver.10.40 (ファイル名：airnavi-1040.exe)
・エアナビゲータ Ver.10.30 (ファイル名：airnavi-1030.exe)
・子機インストールCD Ver.1.60 (ファイル名：kokiinst-160.exe)

＜外付ハードディスク製品＞
・DriveNavigator for HD-CBU2　Ver.1.00 (ファイル名：drivenavi_cbu2_100.exe)

＜ネットワークハードディスク(NAS)製品＞
・LinkStationシリーズ ファームウェア アップデーターVer.1.68 (ファイル名：ls_series-168.exe）

＜CPUアクセラレータ製品＞
・HP6キャッシュ コントロール ユーティリティ Ver.1.31 (ファイル名：hp6v131.exe)

＜マウス付属Bluetoothアダプタ製品＞
・BSBT4D09BK・BSBT4PT02SBK・BSMBB09DSシリーズ
（マウス付属USBアダプタ）ドライバーVer.2.1.63.0 (ファイル名：bsbt4d09bk_21630.exe)

　なお、同社は現在、すべてのファイルのウイルスチェックを終了し、ダウンロードサービスを再開している。

（2014/06/03 ネットセキュリティニュース）

【関連URL】
・バッファローダウンロードサイトのウイルス混入によるお詫びとご報告（バッファロー）
http://buffalo.jp/support_s/20140602.html
・ご参考：これまでの経緯（バッファロー）
http://buffalo.jp/support_s/20140602_2.html
・脆弱性を悪用しないマルウェア Bankeiya が日本のユーザーを狙う（シマンテック）
http://www.symantec.com/connect/ja/blogs/bankeiya

　IPA（情報処理推進機構）は2日、コンテンツ再生ソフト「Adobe Flash Player」の脆弱性を突く攻撃が国内で拡大しており、感染するとネットバンキングのユーザー情報を奪われる恐れがあるとして、注意を呼び掛けた。この脆弱性はすでに修正プログラムが公開されており、更新すれば被害を受ける恐れはない。

　IPAは先月、Webを閲覧するだけで DoS 攻撃や任意のコードを実行される可能性がある脆弱性がFlash Player に存在し、アプリケーションが異常終了したり、パソコンが制御されたりするおそれがあると警告していた。今月2日の更新版では、この脆弱性を悪用した感染攻撃が国内で拡大しているとし、至急、修正プログラムを適用するよう呼びかけている。

■閲覧するだけで感染の恐れ（ドライブバイダウンロード攻撃）

　セキュリティベンダーのシマンテックは、5月30日付の公式ブログで、Flash Player の脆弱性を悪用し、銀行口座情報を狙う攻撃が大規模に行われていることを明らかにした。同社調査によると、この攻撃の90％以上は日本のユーザーを標的に仕掛けられている。

　最近、日本の大手旅行代理店、ブログサービス、動画共有サービスなどの正規Webサイトが相次いで改ざんされた。これらのサイトを閲覧したユーザーはドライブバイダウンロード攻撃により、パソコンにインストールされているFlash Playerが古いバージョンのままであった場合、「Infostealer.Bankeiya.B」に感染させられてしまう。このウイルスはネットバンキングで使われるユーザー情報を収集し、盗み取る。

■最新版かどうかを確認し、旧版であれば更新を

　アドビシステム社は先月14日、Flash Playerの最新版を公開している。最新版に更新していれば、脆弱性を突く攻撃を受けてもウイルスに感染する恐れはない。最新版は、Windows版とMac版が「13.0.0.214」、Linux版が「11.2.202.359」。

　システムにインストールされているFlash Playerのバージョンは、次のバージョン確認ページにアクセスするか、コントロールパネルの「Flash Player」の[高度な設定]タブで確認できる。
・Flash Playerのバージョン確認（アドビ）
http://www.adobe.com/jp/software/flash/about/

最新版は同社サイトでダウンロードできる。
・Flash Playerのダウンロード（アドビ）
http://get.adobe.com/jp/flashplayer/

　Windows 8/8.1搭載のInternet Explorer 10/11用と、Google Chrome用のFlash Playerについては、自動的に更新が行われる。

（2014/06/02 ネットセキュリティニュース）

【関連URL】
・更新：Adobe Flash Player の脆弱性対策について(APSB14-13)(CVE-2014-0515)（IPA）
http://www.ipa.go.jp/security/ciadr/vul/20140430-adobeflashplayer.html
・Adobe Flash の脆弱性を悪用して日本のユーザーの銀行口座情報を狙う攻撃（シマンテック）
http://www.symantec.com/connect/ja/blogs/adobe-flash-2