ネットセキュリティニュース

　ヒューレットパッカード社のセキュリティ研究組織「ZDI（Zero Day Initiative：ゼロデイイニシアチブ）」は23日（現地時間）、アップルのマルチメディアソフト「QuickTime」に未修正の深刻な脆弱性が存在することを明らかにした。悪用されるとシステムが乗っ取られてしまうおそれがある。

　ZDIのアドバイザリーによると、この脆弱性（CVE-2014-4979）は、QuickTimeのムービーヘッダーアトムの取り扱いに関する問題。ムービーヘッダーアトムは、ムービーファイルの内部にある、再生に必要な諸情報を記録した部分のこと。ここを細工し、不正なバージョン番号とフラッグを記録すると、メモリー破壊が起きアプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。

　今のところ攻撃に悪用された形跡はなく、攻撃コードも見あたらないが、悪用されると細工されたムービーファイルを開くだけで、ウイルスに感染してしまうおそれがある。アップルからは、脆弱性を修正するパッチの提供や軽減策の提示はない。

■180日ルールで未修正のまま公表

　脆弱性情報は、通常はそれが修正されるか、未修正のまま攻撃が始まってしまった場合に公表される。ZDIの場合には、脆弱性をベンダーに報告後、パッチがリリースされるまでに180日の猶予期間を設けており、この猶予期間を過ぎると、一般に情報公開する旨をベンダーに伝えて公表に踏み切るというルールがある。今回の脆弱性は、この180日ルールに則っての公表で、アップルでは、QuickTimeのアップデートを9月に予定しているそうだ。

■攻撃発生に備えるなら一時アンインストールを

　脆弱性の存在が明らかになると、それを悪用しようとする者が現れる。現時点では攻撃を受けていなくても、9月のアップデートを待たずに攻撃される可能性がある。QuickTimeは、ブラウザのプラグインとして動作するので、攻撃が始まってしまうと、攻撃者が用意したサイトや改ざんされた正規サイトを閲覧した際に、知らない間にウイルスに感染してしまうかも知れない。

　軽減策は特に提示されていないので、QuickTimeを利用している方は、「プラグインやスクリプトを無効にする」、「QuickTimeを一時アンインストールする」といった自衛策をとることをお勧めする。

　QuickTimeは、コンテンツの購入やiPodなどへの転送などの際に使用する「iTunes」のコンポーネントとして、2011年リリースの「iTunes 10.4」まで同梱されていた。このため、iTunesと一緒にインストールしている方も多い。「iTunes 10.5」以降は、QuickTimeが不要となり同梱されなくなったが、インストール済みのQuickTimeは自動的にアンインストールされないため、そのまま残っているというケースが多々ある。iTunesのためだけにQuickTimeをインストールしていた方は、最新のiTunesを利用していればQuickTimeは不要なので、アンインストールしてかまわない。

（2014/07/31 ネットセキュリティニュース）

【関連URL】
・(0Day) Apple QuickTime 'mvhd' Atom Heap Memory Corruption Remote Code Execution Vulnerability[英文]（Zero Day Initiative）
http://www.zerodayinitiative.com/advisories/ZDI-14-264/
・Vulnerability Summary for CVE-2014-4979[英文]（NVD）
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4979
・JVNDB-2014-003577：Apple QuickTime における任意のコードを実行される脆弱性（JVN iPedia）
http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-003577.html

　シマンテックは29日、ネットバンキングのアカウント情報などを盗み取るウイルスの新しい亜種が、12の地方銀行を含む30以上の日本の金融機関を標的としていることを確認したとして注意を呼びかけた。

　国内の不正送金に使われたウイルスには、これまでに「Zeus/Zbot」「SpyEye」「Citadel」などが報告されている。シマンテックが今回注意を呼びかけているのは、昨年末ごろから国内での活動が顕著になりはじめた新手で、同社が「Snifula」と呼んでいるもの。これは、カスペルスキーやマカフィーが「Neverquest」、マイクロソフトやトレンドマイクロが「Vawtrak」、Dr.WebやESETが「Papras」と呼んでいるウイルスに相当する。

　シマンテックによれば、Snifula自体は新種のウイルスではなく、初めて出現したのは2006年だという。もともとは海外の金融機関を狙って活動していたものが、国内の金融機関にも触手を伸ばし始めた形なのだが、国内の感染数がすでに尋常ではない状況になっている。7月時点の集計で、米国を上回り、イギリス、ドイツに次ぐ第3位。全感染件数の20％を日本が占めているのだ。

　標的になっている国内の金融機関は、当初は主要行などのオンラインバンキング数件だけだったようだが、その後にクレジットカード会社の会員サイト20件が追加。今回のシマンテックの報告によれば、オンラインバンキングが17件に拡大しており、うち12件が地方銀行だという。

■多機能なSnifula

　Snifulaは、感染パソコンを外部から制御する多機能なウイルスで、ユーザーが入力したキーの取得、スクリーンショットや動画の撮影、ブラウザなどに保存されているID/パスワードの抽出、電子証明書の窃取、ブラウザが表示するページの書き換えなどの機能を備えている。
　ウイルスは、これら機能を使ってブラウザなどに保存したアカウント情報や正規サイトのログイン時に入力するアカウント情報を窃取する。必要に応じて閲覧ページを書き換え、乱数表や秘密の質問と答えなどの操作に必要な秘密情報も入力させようとする。盗み取った情報は、攻撃者が用意した外部のサーバーに送信され、不正送金などの不正アクセスに悪意されてしまう。
　Snifulaは、主要なWebメールにも対応しているので、メールを使ったワンタイムパスワードが効力を失ってしまうかも知れないし、法人向けのネットバンキング使われることの多い電子証明書を使った認証も、突破されてしまう可能性がある。

■感染予防が最大の防御

　多機能なSnifulaには、メールアドレスの収集や主要なFTPソフトのアカウント抽出機能も備えているため、感染すると知り合いにウイルスメールが送られたり、管理しているサイトがウイルス配布サイトに改ざんされたりしてしまう可能性がある。被害が自分だけにとどまらないのだ。セキュリティソフトを起動できなくしてしまう機能もあるので、感染してしまうと始末が悪い。一にも二にも、感染しないよう努めたい。

　ウイルス感染には、脆弱性を悪用されて知らない間に実行されてしまうケースと、ユーザー自身が騙されて実行してしまうケースとがある。前者は、システムや使用しているアプリケーションのアップデートを欠かさず行い、常に最新の状態で利用することによって、ほぼ防ぐことができる。特に狙われることの多いWindowsとAdobe Reader、Flash Player、JRE（Java Runtime Environment：Java実行環境）については、遅延なくアップデートを行っていただきたい。
　後者は、信頼できる添付ファイルやリンク以外は開かないことによって、感染率をかなり低減することができる。セキュリティ対策ソフトを導入し、定義ファイルを最新の状態にしておけば、事前警告も期待できる。

（2014/07/30 ネットセキュリティニュース）

【関連URL】
・日本の地方金融機関を狙い始めたトロイの木馬 Snifula（シマンテック）
http://www.symantec.com/connect/ja/blogs/snifula
・新たな標的を狙う Neverquest の進化形（シマンテック）
http://www.symantec.com/connect/ja/blogs/neverquest-0
・オンラインバンキングを狙うトロイの木馬、危険な新種の Neverquest は古い同族の進化形（シマンテック）
http://www.symantec.com/connect/ja/blogs/neverquest
・セキュアブレインが国内20のカード会社を狙うウイルスに対して注意喚起（セキュアブレイン）
http://www.securebrain.co.jp/about/news/2014/07/card-mitb.html
・5月最終週に日本を襲った2つのWeb経由攻撃：「VAWTRAK」と「AIBATOOK」（トレンドマイクロ）
http://blog.trendmicro.co.jp/archives/9236
・クレジットカード情報も狙うオンライン銀行詐欺ツール「VAWTRAK」、国内で検出報告増加を確認（トレンドマイクロ）
http://blog.trendmicro.co.jp/archives/9192
・日本で猛威を振るう「VAWTRAK」とは（トレンドマイクロ）
http://about-threats.trendmicro.com/relatedthreats.aspx?language=jp&name=VAWTRAK%20Plagues%20Users%20in%20Japan
・ネットバンキングの不正送金トロイ、日本国内で活発化の兆し（ESET）
http://canon-its.jp/product/eset/sn/sn20140401.html
・インターネットバンキングにおける不正送金の手口と対策について（ESET）
http://canon-its.jp/eset/malware_info/news/140522/
・トロイの木馬Neverquest：多数の銀行がターゲットに（カスペルスキー）
http://blog.kaspersky.co.jp/neverquest-trojan-built-to-steal-from-hundreds-of-banks/
・Windowsユーザーを脅かすTrojan.PWS.Papras.4（Dr.Web）
http://news.drweb.co.jp/?i=712&c=1&lng=ja&p=3

　NITE（ナイト：独立行政法人製品評価技術基盤機構）は24日、スマートフォン（スマホ）などの充電ケーブルのコネクターで、出火事故などが起きているとして注意を呼び掛けた。

　NITERによると、スマホなどの充電やパソコンとの接続に使用するケーブルと機器との接続端子部分で発生した事故は、昨年度までの過去5年間に48件あった。うち13件は、製品の破損に留まる事故だったが、25件は周囲の物が焼けるなどの被害に発展。やけどなどの軽傷な人的被害も10件発生している。深刻な被害こそ起きていないが、どの事故も発煙や発熱、発火のいずれかを伴っており、火災などの重大事故に発展するおそれがあるという。

　事故原因の判明しているものを見ると、コネクター内部のはんだ付け不良などの製品自体に問題のあったものが9件なのに対し、誤使用や不注意などの製品に起因しない事故が24件も起きており、ユーザーの使い方の問題を浮き彫りにしている。24件の内訳は、コネクター内部の変形によるものが21件、コネクター内部への液体などが侵入によるもののが3件だ。

■コネクターの変形

　スマホやタブレットに使われている小型のコネクターは、斜めに挿すなどの無理な力を加えると折れ曲がってしまうことがある。また、Android端末に使われているmicroUSB（マイクロユーエスビー）の場合は、アップル製品に使われているLightning（ライトニング）と違い、コネクターに裏表（接続方向）があり、逆挿しようとすると無理な力が入って変形してしまったり、端子がショートしてしまったりすることがある。通常は、プラグに刻印されたロゴが表を向くように挿せばよいはずだが、メーカーや機種によっては逆向きの製品もあり安定していないのが現状だ。機器とケーブルのコネクターの裏表を確認し、あまり力を入れずに、まっすぐ差し込んで頂きたい。機器によっては、クレドールに載せて充電できるものもあり、コネクターの挿抜よりも高い耐久性が期待できる。
　なお、いちど折れ曲がってしまったコネクターの再利用は、してはいけない。見た目は元通りに曲げ戻せても、内部でショートしていることがあり、事故を引き起こしかねない。

■異物の混入

　コネクター内に細かいゴミやホコリ、金属片などの異物や、汗や飲料水などの液体が入り込んだままの状態で使用すると、端子間がショートして発熱や発火につながることがある。ケーブルや機器本体のコネクター部分は、濡れたり異物が付着したりしないよう注意していただきたい。
　コネクター部分にキャップ（カバー）が付いた防水仕様の機器（キャップレス仕様のものを除く）もあるが、コネクターに取り付けるキャップは市販されているので、気になる方は利用するとよい。キャップには、ケーブルのプラグに取り付けるタイプと、本体のレセプタクル（プラグの挿入口）に取り付けるタイプとがあり、一般に使われているmicroUSB-B（Android端末）、Lightning（アップル端末）、USB-A（充電器、パソコン側）は、それぞれ形状が異なるので注意していただきたい。

（2014/07/29 ネットセキュリティニュース）

【関連URL】
・スマートフォン等の充電用コネクターによる事故の防止について（注意喚起）（製品評価技術基盤機構）
http://www.nite.go.jp/jiko/press/prs140724.html

　今月25日頃から、各社が相次いで模倣サイトの注意喚起を出している。編集部で調査したところ、一部の注意喚起にあるようなウイルス感染のおそれは確認できず、ゲートウェイサービスを誤認した可能性が高いことがわかった。

■各社から出された模倣サイトの注意喚起

　模倣サイトに関する注意喚起は、NTTドコモのものが大手ネットニュースで取り上げられたため、ご存じの方も多いことだろう。URLに「正規サイト.●●●.org」という、紛らわしい名前を使用した怪しいもので、アクセスするとコンピュータウィルスに感染するなどのおそれがあるとしている。
　同社の告知やニュース記事からは、事実確認を行えるだけの情報が得られないが、検索してみると、同時期に多数の企業から「.org」ドメインを使用した模倣サイトの注意喚起が出ていることがわかる。その中の「ドコモCS」と「住友商事」の告知には、当該サイトが「3s3s.org」であることが記載されていたので、このサイトを調査してみた。

■怪しいサイトだが危険な仕掛けは見当たらず

　「3s3s.org」ドメインは、今年1月に匿名で取得されたもので、連絡先はGMail、稼働中のサーバーはウクライナと、怪しさ満載のサイトだ。ところが実物を見る限りは、特に怪しい点はなく、ウイルスに感染させるような仕掛けも見当たらなかった。
　このWebサイトは、3S（Stay Safe Surfing）という名称で、ゲートウェイと短縮URLの2つのサービスを、ロシア語と英語で提供している。前者は、URLを指定すると、ユーザーに代わって指定したWebページを取得して来て表示するサービス。後者は、URLを指定すると、指定したWebページにアクセスするための短いURLを提供するサービスだ。
問題になっているのは前者のゲートウェイサービスのほうだ。

■誤解された可能性が高いゲートウェイサービス

　このゲートウェイサービスは、閲覧制限や検閲を回避したWebサイトの閲覧を目的としているとのことで、閲覧したいWebページ「ｈttp://ホスト名/リソース」を入力すると、そのページを取得し、「ｈttp://ホスト名.3s3s.org/リソース」というURLで表示する。3Sサイトに出向いてからURLを入力しなくても、この形式に則った表示用のURLを直接ブラウザに指定すれば、どのWebページでもゲートウェイ経由で表示できる（正常に表示できない場合もある）。
　国内のサービスでは、アグスネットが提供する「Aguse Gateway」が、似たような機能を提供している。こちらは、怪しいサイトや初めて訪問するサイトなどを事前に調査したり、安全な方法で閲覧したりすることを目的としたサービスで、ゲートウェイ経由の閲覧時には、それがわかるような形で表示するようになっている。ところが3Sの場合には、何の工夫もなく、本物そっくりのコピーサイトが3S内に設置されているように見えてしまうため、誤解されてしまった可能性が高い。

■昨年4月にもあった誤認騒動

　気になるのは、告知が25日ごろに集中している点だ。告知の多くが、肝心なドメイン名を伏せ字にしているため確認することができないが、このタイミングで大阪府警が通知を行ったようなので、他も誤報である可能性が高い。
　昨年4月にも、銀行を中心として似たような騒ぎがあった。昨年のケースは、中国の携帯用変換サービスで、キャッシュという形で残っていた大量の公式サイトのコピーを誤認したものだった。今回のサービスは、キャッシュせずにその都度アクセスしているようだが、いずれもサイト自体を危険と認定するような材料は見つかっていない。ただし、こうしたサイトに危険性があることだけは、認識しておきたい。

■注意点：信頼できない回線経由で重要情報や秘密情報を入力しない

　インターネットのアクセスをゲートウェイやプロキシサーバー、キャッシュサーバーなどと呼ばれるものを介して行うことがある。このような環境でのやりとりは、第三者に覗き見られたり、中継サーバーに情報を抜き取られたりしてしまう可能性がある。中継サーバー経由では、認証が必要なサービスなどを利用しないのが鉄則だ。
　外出先でWi-Fiのオープンなアクセスポイントや、ホテルなどが提供しているインターネット接続サービスを利用する際も注意していただきたい。見知らぬ第三者の回線を利用することになるので、やり取りを覗き見されてしまう可能性がある。信頼できる回線ではない環境で、どうしてもアカウント情報などを入力しなければならない場合には、必ずSSLで接続し、証明書が正しい相手のものであることを確認していただきたい。

（2014/07/28 ネットセキュリティニュース）

【関連URL】
・NTTドコモのコーポレートサイトを模倣したウェブサイトにご注意ください（NTTドコモ）
https://www.nttdocomo.co.jp/info/notice/pages/140725_00.html
・大阪府警察ホームページを模倣したウェブサイトにご注意！（大阪府警察）
http://www.police.pref.osaka.jp/15topics/caution_domain.html
・模倣したウェブサイトにご注意ください。（ドコモCS）
https://www.worldke-tai.com/
・当社ホームページになりすましたウェブサイトに関する注意喚起（住友商事）
http://www.sumitomocorp.co.jp/company/important/detail/id=27964
（このほかにも多数の注意喚起が出ています）

　IPA（情報処理推進機構）は24日、今年4～6月の「ソフトウェア等の脆弱性関連情報に関する活動報告レポート」を公開した。今期の届出件数は、ソフトウェア製品40件、Webサイト（Webアプリケーション）289件で、合計329件。Webサイトの脆弱性では、古いバージョンのCMSを利用したサイトの危険が浮き彫りになった。

　IPAが脆弱性情報の届出受付を始めたのは10年前（2004年7月）で、今年6月までの累計は、ソフトウェア1828件、Webサイト8019件、合計9847件。Webサイトが全体の81％を占める。Webサイトの脆弱性については、その危険性について管理者が認識していないケースが多いことに、IPAは警鐘を鳴らしている。

■「古いCMS」利用サイトの危険

　同レポートによると、この10年間で受理したWebサイトの脆弱性7842件のうち、241件が「Movable Type」や「WordPress」など、古いバージョンのCMS（コンテンツ管理システム）利用に起因する脆弱性だった。241件のうち85件は今期の届出で、そのうち71件はIPAが自らの調査によって発見したものだ。

　IPAは、昨年第3四半期以降、古いバージョンのCMSに起因する脆弱性が継続して届出されていることや、古いバージョンのCMS利用サイトの改ざん報告がJPCERT/CCに多数寄せられていることなどから、今期、古いバージョンのCMSを利用したサイトの調査を行った。その結果、古いバージョンの「Movable Type」の利用に起因する脆弱性があるサイト71件が確認された。

　古いバージョンのCMS、つまり脆弱性が解消されていないCMSを利用してサイトを運用している場合、攻撃者によって脆弱性を突かれ、サイトが改ざんなどの被害を受ける可能性が高い。

■サイト管理者がCMS利用自体を認識せず、危険も知らない

　IPAは、受理した脆弱性についてサイト運営者へ通常メールで連絡している。メールで連絡が取れない場合、電話や郵送でも連絡を試みる。それでも連絡が取れない「取扱不能」案件が、今期は10件あった。今期中に「修正完了」したものは149件で、うちサイト管理者が当該ページを削除することにより対応したものは24件だった。

　脆弱性への対応はサイト管理者にかかっているわけだが、IPAから古いバージョンのCMSを使用しているWebサイト管理者に連絡した結果、「自サイトにCMSが使われているという認識がない」、「脆弱性がある古いバージョンのCMSを使用する危険性を認識していない」、または「委託先との契約終了などの理由でサイト管理者が不在である」という状況が浮き彫りになったという。

■適切に管理できない場合、サイト閉鎖の検討も必要

　IPAは、サイト運営者への要望として、「自サイトで利用しているソフトウェア製品を把握し、脆弱性対策を実施し、最新の状態を保つ」ことを挙げている。サイト管理者が不在等で適切な管理ができない場合は、専門業者に管理を委託するか、サイト閉鎖も検討してほしいとしている。脆弱性を放置したWebサイトは、運営者だけでなくインターネット利用者全てに被害が及ぶためだ。一般ユーザーに対しては、IPAなどで脆弱性情報を参照し、日ごろからパッチ適用を心がけてほしいとしている。

（2014/07/25 ネットセキュリティニュース）

【関連URL】
・ソフトウェア等の脆弱性関連情報に関する届出状況[2014年第2四半期（4月～6月）]（IPA）
http://www.ipa.go.jp/security/vuln/report/vuln2014q2.html
・ソフトウェア等の脆弱性関連情報に関する活動状況レポート[PDF]（IPA）
http://www.ipa.go.jp/files/000040517.pdf
・旧バージョンの Movable Type の利用に関する注意喚起（JPCERT/CC）
https://www.jpcert.or.jp/at/2014/at140024.html

　モジラは22日、Webブラウザー「Firefox」の最新版「31.0」を公開した。対象となるのは、Windows、Mac、Linux、およびAndroid。法人向けの延長サポート版（ESR）「31.0」「24.7.0」と、メールソフト「Thunderbird」の「31.0」「24.7.0」も同時に公開されている。

　デスクトップ版Firefox 31.0では、ダウンロードされたファイル中のマルウェアがブロックされるようになった。ほかにも、新しいタブを開いたときに検索欄が表示されるようになるなど、新機能が追加されたほか、脆弱性も11件修正されている。脆弱性の重要度は、4段階評価で最も高い「最高」が3件、次に高い「高」が5件、「中」が2件、「低」が1件。悪用されると任意のコードが実行されるおそれのある、危険な問題が含まれている。

　ESR版は、バージョン移行期間に入った。ほぼ年に1回のペースで提供されるメジャーアップデートとして「ESR 31.0」が公開されたほか、24系の更新版「ESR 24.7.0」も公開されている。ESR 24.7.0では、通常版のFirefoxと共通する脆弱性6件を修正。こちらも、悪用されると任意のコードが実行されるおそれのある危険な問題が含まれている。ESR 24系のサポートは10月14日で終了する予定なので、31系への移行を検討しよう。

　それぞれの最新版は自動更新機能を通じて配布されているほか、手動で更新することも可能。デスクトップ版では、メニューボタン「≡」をクリック→下段のヘルプボタン「？」をクリック→表示された[ヘルプ]メニューの[Firefoxについて]を選択する。Android版は、[設定]→[Mozilla]→[Firefoxについて]の順に選択し[更新を確認]をタップする。ESR版 31.0は、モジラのサイトからダウンロードできる。

　メールソフトThunderbirdも、バージョン移行期間に入った。メジャーアップデート版として「31.0」が公開されたほか、24系の更新版「24.7.0」も公開されている。24.7.0では、ESR版 Firefox 24系と共通の脆弱性6件が修正されている。

（2014/07/23 ネットセキュリティニュース）

【関連URL：Mozilla Japan】
・FirefoxとThunderbirdの法人向け延長サポート版
http://www.mozilla.jp/business/downloads/
＜Firefox 31.0＞
・リリースノート（デスクトップ版）
http://www.mozilla.jp/firefox/31.0/releasenotes/
・リリースノート（Android版）
http://www.mozilla.jp/firefox/android/31.0/releasenotes/
・セキュリティアドバイザリ
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox.html
＜Firefox ESR 24.7.0＞
・リリースノート
http://www.mozilla.jp/firefox/24.7.0/releasenotes/
・セキュリティアドバイザリ
http://www.mozilla-japan.org/security/known-vulnerabilities/firefoxESR.html
＜Firefox ESRのダウンロード＞
https://www.mozilla.org/ja/firefox/organizations/all/
＜Thunderbird＞
・24.7.0リリースノート
http://www.mozilla.jp/thunderbird/24.7.0/releasenotes/
・31.0リリースノート
http://www.mozilla.jp/thunderbird/31.0/releasenotes/
・セキュリティアドバイザリ
http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird.html

　インターネット利用者からの連絡等を元に、違法情報や有害情報が掲載されたサイト管理者への削除要請や、警察への通報を行う「SafeLine（セーフライン）」が、「いじめ」や「リベンジポルノ」にも対応を始めた。

　SafeLineを運営しているのは、ヤフー、アルプスシステムインテグレーション、ピットクルーの三社共同で昨年11月に設立された、一般社団法人セーファーインターネット協会。SafeLineはこれまで、違法情報（わいせつ、薬物、振込詐欺、不正アクセス）、および有害情報（人を自殺に誘引・勧誘する情報を含め、違法行為を引き起こすおそれがある情報）を対象に活動を行ってきた。

　セーファーインターネット協会は、今月17日にSafeLineのガイドラインを改定。新たに児童等の「いじめ行為」や「リベンジポルノ」に関する情報などを取組みの対象として追加した。スマートフォン利用の急速な拡大に伴い、スマートフォンを利用した様々なトラブルが報告されるようになったことや、特に青少年のスマートフォン利用トラブルが深刻化していることが、改定の背景となっている。

　新たに対象となったのは、違法情報としては「児童のいじめに関する画像等」「リベンジポルノに関する画像等」。有害情報としては「脱法ハーブ等の販売・譲渡」「児童を対象としたいじめ行為の勧誘・誘引情報」。

　また、海外サーバーに蔵置されている日本向け違法サイトが問題視されていることから、海外のプロバイダに対しても直接削除要請（送信防止措置要請）を行うことを明らかにした。特に、児童ポルノ画像等の深刻な被害をもたらすデータに対しては、対応が行われるまで継続して削除要請を行うことで、削除の実効性を確保するという。

　なお、インターネット上の違法・有害情報の通報受付窓口としてはほかに、一般財団法人インターネット協会が警察庁から委託を受けて運営している「インターネット・ホットラインセンター」がある。

（2014/07/22 ネットセキュリティニュース）

【関連URL】
・SafeLine
http://www.safe-line.jp/
・「SafeLine（セーフライン）」のガイドラインを改定～新たに「いじめ行為」や「リベンジポルノ」などにも対応し、より安心・安全なインターネット社会の実現に貢献～（セーファーインターネット協会）
http://www.saferinternet.or.jp/info/426/
・インターネット・ホットラインセンター
http://www.internethotline.jp/

　セキュリティ専門企業のセキュアブレインは16日、金融機関を狙う不正送金ウイルスVAWTRAK（Paprasと呼ばれることも）が更新され、国内20のカード会社も攻撃対象とするようになったとして注意を呼びかけた。

　VAWTRAKに感染したパソコンで攻撃対象のサイトにログインすると、IDとパスワードが攻撃者のサーバーに送信された上で、偽の入力画面が表示される。

　この画面には、カード番号、有効期限、セキュリティコードなどを入力させる欄があり、利用者がこの画面を本物と思い込んで入力すると、それらが攻撃者に渡ってしまう。攻撃者はこれらの情報を悪用し、偽造カードを作成して現金を引き出したり、本人になりすまして不正な取引をしたりする。

　セキュアブレインによると、攻撃対象として確認されたカード会社は以下の通り（五十音順）。
イオンカード
出光カード
NTTグループカード
エポスカード
OMCカード
オリコカード
JCBカード
JP BANKカード
セゾンカード
TS CUBICカード
DCMX
日産カード
ポケットカード
Honda Cカード
三井住友VISAカード
三菱UFJニコス
UCSカード
ライフカード
楽天カード
りそなカード

　同社は、多くのカード会社では、通常1つの画面でセキュリティコードまでの入力を求めることはないとし、そのような画面が表示された場合は、入力を停止するよう呼びかけている。また、この画面が出る前に入力したIDとパスワードは既に攻撃者のサーバーに送信されているので、すぐに変更するようアドバイスしている。

■利用者にできることは

　同社は防御策として、パソコンを常にウイルスに感染していないクリーンな状態に保つこと、ウイルス対策ソフトを必ず使用し、ウイルス定義ファイルを最新の状態にしておくこと、使用しているカード会社の正しい画面を把握し、異変に気が付くよう警戒心を持っつことを挙げている。

　VAWTRAKによって表示される偽画面の例は、同社のリリースや、以下のカード会社のページで見ることができる。共通して「あなたのIDを登録されるため下のフォームを記入してください」という、日本語としてはおかしな文が使われている。

・TS3カードモールに似せた画面を表示させ会員さまの情報を盗み取ろうとする犯罪にご注意ください。（TS CUBIC CARD）
http://www8.ts3card.com/information/detail.php?id=413
・不正な画面を表示させてお客様の情報を盗み取ろうとする犯罪にご注意ください（三井住友VISAカード）
https://www.smbc-card.com/mem/cardinfo/cardinfo8090414.jsp
・不正にポップアップ画面を表示させて個人情報を盗み取ろうとする犯罪にご注意ください。（ライフカード）
http://www.lifecard.co.jp/info/140526.html
・不正な画面を表示させて会員様の情報を盗み取ろうとする犯罪にご注意ください（楽天カード）
http://www.rakuten-card.co.jp/info/news/20131002/

　日本クレジット協会の資料「あなたのクレジットカード情報を狙う犯罪行為にご注意ください！」および、VAWTRAKに関するセキュリティベンダーの資料も参考にしていただきたい。

　もしも偽画面が表示された場合は、カード番号などを入力してしまった場合もしなかった場合も、早急にカード会社のコンタクトセンター/サービスデスク、またはカード裏面に記載してある電話番号に連絡しよう。偽画面に入力をしていなくても、ログイン用のIDとパスワードは攻撃者に渡ってしまっているため、IDの失効と再発行の手続きが必要となる。

（2014/07/18 ネットセキュリティニュース）

【関連URL】
・セキュアブレインが国内20のカード会社を狙うウイルスに対して注意喚起（セキュアブレイン）
http://www.securebrain.co.jp/about/news/2014/07/card-mitb.html
・あなたのクレジットカード情報を狙う犯罪行為にご注意ください！（日本クレジット協会）
http://www.j-credit.or.jp/customer/attention/attention_02.html
・日本で猛威を振るう「VAWTRAK」とは（トレンドマイクロ）
http://about-threats.trendmicro.com/relatedthreats.aspx?language=jp&name=VAWTRAK%20Plagues%20Users%20in%20Japan

　グーグルは16日（米国時間）、脆弱性26件を修正した「Google Chrome」の最新安定版「36.0.1985.125」を公開した。対象となるのは、Windows、Mac、Linux。

　最新版では、機能の追加や改善が行われたほか、26件の脆弱性が修正されている。

　最新版への更新は自動的に行われるほか、デスクトップ版ではGoogle Chromeのメニュー（右端のアイコン≡）から「Google Chromeについて」を選択すると、ただちに最新版の確認とアップデートが行える。

　Android版についても、数日以内にGoole Playで「36.0.1985.122」が公開される予定。Android版では、機能が追加されるほか、危険度が4段階中で2番目に高い「High」のものも含め、脆弱性2件が修正される。

（2014/07/17 ネットセキュリティニュース）

【関連URL】
・Stable Channel Update［英文］（Google Chrome Releases）
http://googlechromereleases.blogspot.jp/2014/07/stable-channel-update.html
・Chrome for Android Update［英文］（Google Chrome Releases）
http://googlechromereleases.blogspot.jp/2014/07/chrome-for-android-update.html

　オラクルは米国時間15日、複数の脆弱性を修正したJRE（Java Runtime Environment：Java実行環境）の最新版、JRE 7 Update 65（1.7.0_65）を公開した。同社は、全てのユーザーに最新版への更新を推奨している。

　JRE 7 Update 65では20件の脆弱性が修正され、バグの修正も行われた。脆弱性のうち1件は、脆弱性評価システム「CVSS」のスコアが最高値の10.0とされている。これらの脆弱性を悪用されると、パソコンを乗っ取られるなどの深刻な被害が発生するおそれがある。

　対象となるのは、Vista SP2以降のWindows、バージョンが10.7.3以上のMac OS X、Linux、Solaris。Windows XPはサポート対象外となっている。JREのアップデート機能（自動更新機能や、Javaコントロールパネルの[更新]タブの[今すぐ更新]ボタン）を使って更新できるほか、同社サイトから最新版を無料でダウンロードすることもできる。

　なお、同日、JRE 8 Update 11も公開されているが、JRE 8は開発者向けのバージョン。一般ユーザー向けの推奨バージョンは、JRE 7 Update 65だ。

　JREのアップデート方法および、安全に使うための設定については、2014年6月のトピックス内でご紹介している。参考にしていただきたい。

（2014/07/16 ネットセキュリティニュース）

【関連URL：オラクル】
・July 2014 Critical Patch Update Released［英文］
https://blogs.oracle.com/security/entry/july_2014_critical_patch_update
・Oracle Critical Patch Update Advisory - July 2014［英文］
http://www.oracle.com/technetwork/topics/security/cpujul2014-1972956.html
・Java のバージョンの確認
http://www.java.com/ja/download/installed.jsp
・Javaのダウンロード
http://java.com/ja/download/

　「代金を振り込んだが商品が届かない」「ブランド品の偽物が届いた」などの詐欺的なインターネット通販に関する相談が、2013年度、東京都および都内区市町村の消費生活センターに4003件寄せられた。2012年度の相談は1425件で、約2.8倍に急増している。

■相談が多い「運動ぐつ」「婦人用バッグ」、年代は30代が最多

　こうした相談を商品別に見ると、最も多かったのはスニーカーなどの「運動ぐつ」で504件。これは前年度の4.5倍にあたる。以下、件数の多い順に「婦人用バッグ」361件（前年の2倍）、「靴」342件（同1.8倍）、「財布類」294件（同2.5倍）、「腕時計」182件（同3.5倍）だった。契約当事者の年代は、30歳代が34.5%で最も多い。次に多いのが40歳代で、24.3％。以下、20歳代（21.5％）、50歳代（11.0％）、60歳以上（5.4％）、20歳未満（3.3％）だった。

＜相談事例＞
　30歳代の男性は、たまたま見つけたスニーカーのディスカウントサイトで、通常の半額以下となっていたブランド品のスニーカーを注文。代金は中国人と思われる個人名の銀行口座に振り込んだ。届いた商品は別のブランドのサイズ違いのものだった。この事例では、入金確認のメールがたどたどしい日本語で、サイトに事業者名や住所の記載がなかったという。

■被害にあわないために

　自宅に居ながらにして商品を購入できる便利なネット通販だが、詐欺的なサイトが多数見つかるのが現状だ。詐欺的なサイトの被害にあわないために、前払いで振込先が個人名の場合は特に注意していただきたい。現金が即座に渡ってしまう銀行振込の場合には、だまされたと気付いても代金を回収できないことが多いためだ。クレジットカード払いで申し込んだのに、後日、メールで銀行振り込みへの変更を求めてくるケースもあるので気をつけていただきたい。

　少しでも不審な点がある場合には、サイトや運営者情報、振込先口座などを検索してみたり、利用者の評判を聞いたりすることをおすすめする。業者が実在していることを確認しておくことも重要だ。所在地を地図サイトやGoogleストリートビューで調べたり、直接業者に電話をかけたりして、実在する信頼できそうなショップであることを確かめよう。消費者庁が公表している「悪質な海外ウェブサイトの一覧」や、日本通信販売協会（JADMA）が公開している「詐欺サイトで被害に逢わないための事前の対処法」も参考にしていただきたい。

　万一被害にあってしまった場合は、地元の警察の相談窓口に相談しよう。JADMAも相談窓口「通販110番」を設置しており、JADMAの会員でない業者に対する相談も受け付けている。

（2014/07/15 ネットセキュリティニュース）

【関連URL】
・平成25（2013）年度消費生活相談概要（東京都）
http://www.shouhiseikatu.metro.tokyo.jp/sodan/tokei/h25_sodan_g.html
・平成25年度消費生活相談概要 本文［PDF］（東京都）
http://www.shouhiseikatu.metro.tokyo.jp/sodan/tokei/documents/h25g_all.pdf
・悪質な海外ウェブサイト一覧［PDF］（消費者庁）
http://www.caa.go.jp/adjustments/pdf/140620adjustments_1.pdf
・詐欺サイトで被害に逢わないための事前の対処法［PDF］（日本通信販売協会）
http://www.jadma.org/tsuhan-kenkyujo/files/cope.pdf
・都道府県警察本部のサイバー犯罪相談窓口等一覧（警察庁）
http://www.npa.go.jp/cyber/soudan.htm
・通販110番（日本通信販売協会）
http://www.jadma.org/DM110/index.html

　RealNetworksは6月27日、同社のメディアプレーヤー「RealPlayer」の脆弱性について情報を公開した。Windows 7/8を対象に脆弱性を修正した更新版が提供されており、同社はアップデートを呼びかけている。

　脆弱性の影響を受けるのは、Windows用RealPlayerの「17.0.8.22」およびそれ以前のバージョン。MP4ファイルの処理に問題があり、不正なMP4ファイルを再生するとバッファオーバーフローが発生。コード実行につながるおそれがある。

　同社はこの脆弱性を修正した「RealPlayer Cloud for Windows 17.0.10.8」を5月に公開しており、さらに6月17日、最新の「17.0.11.0」を公開している。現在使用しているRealPlayerのバージョンは、ヘルプメニューの[バージョン情報]から確認できる。最新版は、同社ダウンロードページから入手できる。

　なお、最新のRealPlayerは、Windows 7/8を対象とした「RealPlayer Cloud for Windows」として提供されており、XP/Vistaでは利用することができない。XP/Vista向けには「RealPlayer Classic」が提供されているが、こちらは昨年8月で更新が止まっており、脆弱性の影響を受ける危険な状態だと思われる。

（2014/07/14 ネットセキュリティニュース）

【関連URL】
・RealNetworks, Inc.、セキュリティ脆弱性に対応するアップデートをリリース（RealNetworks）
http://service.real.com/realplayer/security/06272014_player/ja/
・RealPlayer ダウンロード（RealNetworks）
http://jp.real.com/?mode=rp
・RealNetworks RealPlayerにおけるバッファオーバーフローの脆弱性（JVN）
http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-003218.html

　JNSA（NPO日本ネットワークセキュリティ協会）は7月7日、2012年の個人情報漏えい事件・事故の調査分析結果を公開した。2012年の漏えい件数は2357件、漏えい人数は972万65人。発生が多い業種は「金融・保険業」「公務」「教育、学習支援業」の順で、この3種で全体の8割を占めた。

　この調査は、インターネット上に公開された個人情報漏えい事件・事故（インシデント）を手作業で集計し、漏えいした組織の業種、漏えい人数、漏えい原因、漏えい経路などを分類・評価するもの。2005年から毎年継続して行われており、2012年版は1年遅れの公開となったが、今後も調査報告は継続される。

■平均想定損害賠償額は4万4628円、最多業種は金融・保険業

　2012年の漏えい件数は2357件（前年比806件増）、漏えい人数は約972万人（前年比345万人増）と、大きく増加した。想定損害賠償総額は約2133億円で、1件あたりの漏えい人数は4245人、1件あたりの平均想定損害賠償額は9313万円、1人あたりの平均想定損害賠償額は4万4628円と算出された。「1人あたりの想定損害賠償額」は、インシデントごとにJOモデル（JNSA Damage Operation Model for Individual Information Leak）を用いて算出されている。算出法の詳細は、下欄の報告書（本編）を参照されたい。

　業種別のインシデント件数は、多い順に「金融業、保険業」46.6％、「公務」20.6％、「教育、学習支援業」12.8％で、全体の8割を占める。ただし、「公務」「教育、学習支援業」は、発生件数は多いが、1件あたりの漏えい人数は小規模だ。漏えい人数が突出して多い業種は「情報通信業」で、次に「金融業、保険業」「製造業」が続く。

■ヒューマンエラー対策、「悪意ある内部者」対策を

　漏えいの原因は「管理ミス」「誤操作」「紛失・置き忘れ」で全体の9割を占め、ヒューマンエラー対策が重要となる。1件あたりの人数が最も多いのは「設定ミス」で、1件あたり約4万人の情報が漏えいした。これは、スマートフォン（スマホ）用電話番号検索アプリが引き起こしたインシデントの漏えい人数の多さ（76万人）が影響している。「不正アクセス」1万9033人、「内部犯罪・内部不正行為」4666人、「不正な情報持ち出し」2772人など、悪意による漏えい原因も1件あたりの人数の多さが目立つ。

　ファイルやデータベースを操作しえる立場にある者が悪意をもった場合、漏えい規模は大きくなる。今月7日に公表されたベネッセホールディングスの漏えい事件も内部者の関与が指摘されており、確定漏えい人数760万件（可能性は最大2070万件）と、前例がないほど大規模なものとなった。IPAは、組織の内部関係者の不正行為による情報漏えいを防止するため、セキュリティ対策の見直しを呼び掛けている（下欄参照）。

■詐取方法の変化－－企業だけでなく個人が負うリスクも増大

　2012年には、インストールすると勝手に電話帳情報を抜き出してしまう不正アプリなど、個人から情報が詐取される事件も相次いだ。報告書は、これまでは企業のIT環境から個人情報が漏えいするリスクが大きかったが、今後は個人のIT環境に蓄積された個人情報が漏えいするリスクも増大するとして、スマホ利用者のセキュリティリテラシー向上の必要を訴えている。

（2014/07/11 ネットセキュリティニュース）

【関連URL】
・2012年 情報セキュリティインシデントに関する調査報告書 ～個人情報漏えい編～（セキュリティ被害調査ワーキンググループ）（JNSA）
http://www.jnsa.org/result/incident/index.html
・本編[PDF]（JNSA）
http://www.jnsa.org/result/incident/data/2012incident_survey_ver1.0.pdf
・付録[PDF]（JNSA）
http://www.jnsa.org/result/incident/data/2012_apx.pdf
・お客様情報の漏えいについてお詫びとご説明[PDF]（ベネッセホールディングス）
http://www.benesse-hd.co.jp/ja/about/release_20140709.pdf
・組織の内部関係者の不正行為による情報漏えいを防止するため、セキュリティ対策の見直しを！（IPA）
http://www.ipa.go.jp/security/announce/20140710-insider.html

　アドビシステムズは9日、3件の脆弱性を修正した「Flash Player」の最新版を公開した。緊急度は、最も高い「クリティカル」。アップデートの優先度は、Windows版とMac版、および、Google ChromeとInternet Explorerの搭載版が最も高い「優先度1」とされており、すでに攻撃の対象となっているか、攻撃対象となる危険性が高いことを示している。

　今回修正された脆弱性は、セキュリティがバイパスされる深刻な問題2件と、異なるドメイン間でデータを取得する仕組みに関する問題1件。後者は、発見者が詳細な情報と実証ツールを公開しており、悪用されると他のサイトのデータを盗み取られるおそれがある。

　アップデートの対象となるのは、Windows版、Mac版、Linux版のFlash Playerで、更新後のバージョンはWindows版とMac版が「14.0.0.145」、Linux版が「11.2.202.394」となる。Flash Player 14を利用できないWindowsとMac向けには、13の最新版「13.0.0.231」が提供されている。

　システムにインストールされているFlash Playerのバージョンは、下記のバージョン確認ページにアクセスするか、コントロールパネルの「Flash Player」の[高度な設定]タブで確認できる。最新版は同社サイトで配布されている。

　Windows 8/8.1に搭載されているInternet Explorer 10/11用のFlash Playerについては、Windows Updateを通じて「14.0.0.145」が配布されており、自動的に更新が行われる。Google Chrome用のFlash Playerについても、コンポーネントアップデートを通じた自動更新がアナウンスされており、「14.0.0.125」に更新される予定。

（2014/07/09 ネットセキュリティニュース）

【関連URL】
・APSB14-17：Security updates available for Adobe Flash Player[英文]（アドビ）
http://helpx.adobe.com/security/products/flash-player/apsb14-17.html
・Flash Playerのバージョン確認（アドビ）
http://www.adobe.com/jp/software/flash/about/
・Flash Playerのダウンロード（アドビ）
http://get.adobe.com/jp/flashplayer/
・マイクロソフト セキュリティ アドバイザリ (2755801) Internet Explorer 上の Adobe Flash Player の脆弱性に対応する更新プログラム（マイクロソフト）
https://technet.microsoft.com/library/security/2755801
・Flash Player Update（Google Chrome Releases）
http://googlechromereleases.blogspot.jp/2014/07/flash-player-update.html

　マイクロソフトは9日、7月度の月例セキュリティパッチ（セキュリティ更新プログラム）を公開した。

　公開されたパッチは、深刻度が4段階評価で最も高い「緊急」2件と、2番目に高い「重要」3件、次に高い「警告」1件の計6件。WindowsおよびWindows Server、Internet Explorerが影響を受ける。

【更新プログラムの内容】
＜緊急＞
・[MS14-037]Internet Explorer用累積パッチ：リモートコード実行の脆弱性
・[MS14-038]Windows Journal：リモートコード実行の脆弱性
＜重要＞
・[MS14-039]スクリーン キーボード：特権昇格の脆弱性
・[MS14-040]Ancillary Function ドライバー (AFD) ：特権昇格の脆弱性
・[MS14-041]DirectShow：特権昇格の脆弱性

＜警告＞
・[MS14-042]Service Bus：サービス拒否の脆弱性

　Internet Explorer用の累積パッチで修正される24件の脆弱性のうち1件と、Service Busの脆弱性1件については、脆弱性情報がパッチの提供前に一般に公開されていたが、これらの脆弱性を悪用する攻撃は確認されていない。

　このほかにWindows 8/8.1、RT/RT 8.1、およびWindows Server 2012/2012 R2上のInternet Explorer 10/11に搭載されている「Adobe Flash Player」の更新プログラムと、新たに「Bepush」と「Caphaw」に対応した「悪意のあるソフトウェアの削除ツール」の更新バージョンが公開された。

（2014/07/09 ネットセキュリティニュース）

【関連URL：マイクロソフト】
・セーフティとセキュリティセンター
http://www.microsoft.com/ja-jp/security/default.aspx
・2014年7月のセキュリティ情報
https://technet.microsoft.com/library/security/ms14-jul
・Microsoft Update
http://windowsupdate.microsoft.com/
・2014年7月のセキュリティ情報(月例) - MS14-037～MS14-042
http://blogs.technet.com/b/jpsecurity/archive/2014/07/09/201407-security-bulletin.aspx
・セキュリティアドバイザリ（2755801）Internet Explorer上のAdobe Flash Playerの脆弱性に対応する更新プログラム
https://technet.microsoft.com/ja-jp/library/security/2755801

　東京都は7月1日、消費者に誤解を招くおそれがあるインターネット上の広告・表示について、2013年度の監視結果を発表した。健康食品、化粧品、美容関連サービス、外国語教室、有料老人ホームの広告など、443件・375事業者が指導対象となった。

　都が行っているインターネット上の広告・表示に関する監視活動は、「不当景品類及び不当表示防止法」（以下、景品表示法）の観点から、2009年度より年間を通して実施されている。

　昨年度、都の改善指導の対象となった443件の内訳は、「優良誤認のおそれ」313件、「有利誤認のおそれ」205件、「その他誤認されるおそれのある表示」15件、「過大な景品類の提供のおそれ」6件である（重複があるため指導件数の合計とは一致しない）。それぞれの内容を見てみよう。

○「優良誤認」のおそれ－－健康食品、化粧品、除菌・消臭剤など
　実際のものよりも著しく優良な内容であると一般消費者に誤認される表示は、「景品表示法」第4条第1項1号で禁じられている。サプリメントの広告で「症状を緩和しながら花粉に強い体質にチェンジ！！」など、合理的根拠を示さないまま著しい効能効果をうたうものなどが該当する。昨年度は、健康食品、化粧品、除菌・消臭剤などについて、こうした誇大表示が多数確認された。

○「有利誤認」のおそれ－－美容サービス、外国語教室など
　実際のものよりも著しく有利な取引であると一般消費者に誤認される表示は、「景品表示法」第4条第1項2号で禁じられている。実際は継続して実施している割引キャンペーンについて、「今だけの期間限定！今月末まで」などとうたい、期間限定と思わせる広告などが該当する。昨年度は、美容関連サービス、外国語教室などで、こうした不当な割引キャンペーン表示が多数確認された。

○「その他の誤認」のおそれ－－有料老人ホーム広告の「記載不備」
　有料老人ホームについては、「景品表示法」第4条第1項第3号に基づいて「有料老人ホームに関する不当な表示」が規定されている。土地や建物、施設・設備、居室利用、医療機関との協力関係、介護サービス、介護職員等の数、管理費等についての表示が明瞭に記載されていない場合、不当表示となる。たとえば、広告で「24時間看護師常駐」とのみ表示し、「夜間における最少の介護職員等の数」について明瞭に記載していない場合などが該当する。昨年度、都は15件の有料老人ホームについて、こうした必要事項の記載不備の指導を行った。

○「過大な景品類の提供」のおそれ－－化粧品新規購入時のプレゼントなど
　過大な景品類の提供は「景品表示法」第3条で禁じられている。たとえば、化粧品販売の際に「新規購入者にもれなく景品をプレゼント」など、取引価格の20％を超えた景品を提供していたケースなどで、昨年度は6件が都からの指導対象となった。

　都はこの結果を受け、消費者庁およびインターネット関係事業者に対し、適正化のための要望を提出した。また、消費者に対しては、インターネット上の誇大広告に注意すること、表示内容をうのみにせず、よく確認した上で商品やサービスを選択するようにアドバイスしている。

（2014/07/08 ネットセキュリティニュース）

【関連URL】
・平成25年度インターネット広告・表示（年間24,000件）の監視結果（東京都）
http://www.metro.tokyo.jp/INET/OSHIRASE/2014/07/20o71300.htm
・表示規制の概要（消費者庁）
http://www.caa.go.jp/representation/keihyo/hyoji/hyojigaiyo.html#m01
・有料老人ホームに関する不当な表示[PDF]（消費者庁）
http://www.caa.go.jp/representation/pdf/100121premiums_19.pdf
・「有料老人ホームに関する不当な表示」の運用基準[PDF]（消費者庁）
http://www.caa.go.jp/representation/pdf/100121premiums_33.pdf

　オンラインバンキングの不正送金被害が増加傾向にあることを受け、IPA（情報処理推進機構）が「今月の呼びかけ」で、最新の手口と被害から身を守るための対策を呼びかけている。

　オンラインバンキングについての注意喚起は、2日付の記事で警察庁のものをご紹介している。警察庁の呼びかけは、フィッシングが先月から増加していることを受けたものだが、IPAのものは、先々月話題になった被害額の急増とウイルスの新手口を受けての注意喚起だ。

　警察庁のまとめによると、オンラインバンキングの不正送金被害は、昨年、過去最高の14億600万円を記録した。今年に入ってからは、それを上回る勢いで増え続けており、5月9日時点で、昨年1年を上回る14億1700万円に達したという。そんな警察発表と前後して、三井住友銀行からは、ウイルスによる新たな手口の被害が報告された。

■進化するウイルス攻撃

　不正送金を目的とした攻撃が目に見えて活発化し出したのは、2011年の春からだ。当初は、ウイルスに感染したパソコンからアカウント情報を盗みだす手口が使われ、夏頃からは、本物そっくりに作られた偽のサイトに誘導してアカウント情報などをだまし取る、フィッシングが頻発するようになる。

　現在主流のウイルス攻撃は、ログイン時に不正なポップアップ画面を表示し、不正送金を行うのに必要な情報（第二暗証番号や乱数表の数字、秘密の合言葉など）を入力させて窃取する。日本向けにカスタマイズされたZeus/Zbot系のウイルスを使ったこのタイプの攻撃は、2011年10月に登場し、2012年に本格化する。昨年は、その場限りの使い捨ての暗証番号（ワンタイムパスワード）をメールで送るタイプの認証に対応すべく、一部のWebメールのアカウントを窃取する機能が実装される。メール方式のワンタイムパスワードは、その送付先を乗っ取ってしまえば無力化してしまうのだ。

　ウイルスを使ったここまでの手口は、いずれもIDやパスワードなどを盗み取った後、攻撃者がユーザーに成りすましてアクセスし、不正な送金を試みるというものだった。5月に公表された新たな手口では、入力させたその場でウイルスが不正送金を試みるようになったという。リアルタイムで処理するため、短時間で無効になるはずのワンタイムパスワードが有効期間内に使われてしまう。三井住友銀行の発表によれば、この種の攻撃が今年3月から行われていたという。

■おかしな「ふるまい」を察知しよう

　少しずつ高度化しているウイルス攻撃ではあるが、今のところはまだ「偽の画面」を表示して必要な情報を窃取するという、旧来からの手法が用いられている。基本的なセキュリティ対策（OSやソフトウェアのアップデート、ウイルス対策ソフトの導入など）を実施し、ウイルスに感染しないようにするのが最重要課題だが、たとえウイルスに感染してしまっても、この「偽の画面」に気付きさえすれば被害にあわずに済む。

　IPAでは、オンラインバンキングサイトの「正しい画面」と「画面遷移」を把握することを勧めている。詳しくは、IPAの「今月の呼びかけ」を参照していただきたい。編集部では、いつもと違うふるまいに「おかしい」と気付くことができるよう、秘密の情報（パスワードや秘密の質問と答えなど）に関して、どのタイミングで何をどれだけ入力するのか把握しておくことをお勧めしたい。

　乱数表やメール、パスワード発生機などを使った追加認証のパスワードは、いつ入力するのが正解なのか。乱数表は、何か所入力するのか正解なのか。秘密の質問と答えは、いつどうやって入力するのか、といったことをしっかり把握しておく。そうしておくと、たとえば追加認証を取引確定時に行うところなら、ログイン直後の要求はおかしい。乱数表は指定された2か所を入力するところなら、丸ごととか1行全部とかの要求はおかしい。秘密の合言葉は、いつもと違うパソコンやブラウザーでアクセスした際に登録済みの質問がひとつ表示され、ユーザーがその答えを入力するところなら、いつもと同じ環境で要教されたり、ユーザーに質問を選択させたり、複数の質問と答えを入力させようとしたりするのはおかしいと気付くことができる。

　ありえないことや普段と違うおかしなことが起きた場合には、それ以上操作せず、銀行に問い合わせるよう心がけると、被害を未然に防ぐことができる。それでも誤って入力してしまったなら、口座を不正操作されるおそれがあるので、すみやかに銀行に申し出て、不正操作の確認やパスワードの変更、乱数表などの再発行の手続きをとっていただきたい。

（2014/07/04 ネットセキュリティニュース）

【関連URL】
・2014年7月の呼びかけ「オンラインバンキングの正しい画面を知って、金銭被害から身を守りましょう！」（IPA）
http://www.ipa.go.jp/security/txt/2014/07outline.html

　マイクロソフトは4日、今月9日に公開を予定しているセキュリティ更新プログラム（修正パッチ）の概要を発表した。リリース予定の修正パッチは、4段階評価で深刻度が最も高い「緊急」2件、2番目に高い「重要」3件、3番目に高い「警告」1件の計6件。

　「緊急」の脆弱性2件は、Internet Explorerに（IE）影響する問題と、Windowsに影響する問題で、どちらもリモートからコードが実行されるおそれがある。

　「重要」の脆弱性3件は、いずれもWindowsに影響する特権昇格の問題だ。「緊急」の脆弱性は、Windows Serverにアプリケーション間のメッセージング機能を提供するService Bus（サービスバス）に影響するサービス拒否の問題だ。

　このほかに、「Windows Update」「Microsoft Update」などで、セキュリティ以外の優先度の高い更新プログラムと、「悪意のあるソフトウェアの削除ツール」の更新バージョンのリリースが予定されている。

（2014/07/04 ネットセキュリティニュース）

【関連URL】
・2014 年 7 月のマイクロソフト セキュリティ情報事前通知（マイクロソフト）
https://technet.microsoft.com/library/security/ms14-jul

　警察庁は6月30日、金融機関などのフィッシングサイトが6月から増加しているとして注意を呼びかけた。

　同庁の発表資料によれば、同庁で観測したフィッシングサイトは、今年3月中旬以降減少し、ゲーム運営企業のフィッシングサイトが4月に観測されたものの、金融機関のフィッシングサイトについては、観測されなかったという。6月以降は増加に転じ、ゲーム運営企業のほか、複数の金融機関と電子マネー運営企業のフィッシングサイトを観測。ひとつのサーバーに複数の金融機関のフィッシングサイトが設置されていることもあったという。

■フィッシング被害に遭わないための対策

　同庁は、フィッシングサイトが減少と増加を繰り返していることから、オンラインバンキングなどを利用する場合には、常に注意を払う必要があるとし、被害にあわないための対策と正規サイトの確認方法を紹介。ウィルスに感染による被害も続いているため、基本的なセキュリティ対策も重要だとしている。以下に、同庁の発表資料を引用する。

＜対策＞
・正規のサイト管理者が電子メールで口座番号や暗証番号の入力を促すことはないことから、そのような電子メール内のリンク先は安易にクリックしない。
・認証を必要とするサイトには、正規のURLを直接入力するなどして、表示されているメニューから操作する。

＜正規サイトの確認方法＞
・ブラウザに表示されているURLが正規のものであるか確認する。
・個人情報等を入力する場合は、サイトがSSL/TLS（URLが「https」から始まっています。）により、暗号化されていることを確認する。
・サイトの証明書を表示し、証明書の発行先が金融機関等の正規のサイト管理者であることを確認する。

＜基本的なセキュリティ対策＞
・ウィルス対策ソフトをインストールし、パターンファイルを最新のものにしておく。
・OS やソフトウェアのセキュリティ修正プログラムを適用しておく。
・インターネット上のファイルやメールの添付ファイルで不審なものは実行しない。

　正規サイトの確認方法については、3項目全てを確認するよう指示しているが、国内の金融機関はEV SLLという特別な証明書を使用していることが多いので、より簡単で確実な確認方法をご紹介しておく。

　EV SLLのサイトにhttpsで接続すると、アドレスバーの横に運営会社の名前が緑色で表示される。ここに正規サイトの運営会社の名前が表示されていれば、正規サイトであることが確認できる。地銀や信金などのオンラインバンキングでは、外部のシステムを利用しているところが多く、その場合は銀行名ではなく運営会社の名前が表示されることがあるので注意していただきたい。

■国内ユーザーを狙うフィッシングの状況（上半期）

　警察庁のフィッシングサイト観測状況は、編集部のものと符合しており、ほぼ同じ状況をとらえたものと考えられる。編集部の観測状況を元に、今年に入ってからの国内ユーザーを狙う大規模なフィッシングの動向について、もう少し詳しく解説しよう。

　編集部の観測状況と照らし合わせると、警察庁発表の「ゲーム運営企業」は、主に「スクウェアエニックス」と「ハンゲーム」、「金融機関1」は「三菱東京UFJ銀行」、「金融機関2」は「りそな銀行」、「金融機関3」は「三井住友銀行」、「電子マネー運営企業」は「ウェブマネー」で間違いないだろう。

　今年に入ってからは、前年から続いていたオンラインゲームのスクウェアエニックスとオンラインバンキングの三菱東京UFJ銀行を装うフィッシングが先行する。これらは、偽サイトが同じサーバー上に設置されていたこともある。三菱東京UFJ銀行のフィッシングは、1月下旬から約1か月間の休止後に再開するも、4～5月は再び休止状態となる。

　2月以降は、オンラインゲームの「ハンゲーム」を装うフィッシングが多発する。スクウェアエニックスのフィッシングが減少する中、3月から4月にかけて高頻度の攻撃を繰り返した。5月以降は、これらオンラインゲームのフィッシングもすっかり減り、三井住友カードを装うフィッシングは検出されるも、オンラインバンキングについては皆無だった。

　そんな状況が、6月に入って一変する。三菱東京UFJ銀行を装うフィッシングが10日頃から始まり、14日には同じサーバー上にりそな銀行の偽サイトが、25日には三井住友銀行の偽サイトが設置される。サーバーのホスティングに、国内のプロバイダのアクセス回線を使用しているのが特徴で、以前の三菱東京UFJ銀行や4月までのスクウェアエニックスのフィッシングと同じ手法だ。

　スクウェアエニックスとハンゲームのフィッシングも続いており、6月中旬から下旬にかけ、それぞれにウェブマネーの偽サイト（両者は若干異なる）が併設された。

（2014/07/02 ネットセキュリティニュース）

【関連URL】
・金融機関等のフィッシングサイトの増加について[PDF]（警察庁）
http://www.npa.go.jp/cyberpolice/detect/pdf/20140630.pdf

　アップルは30日（米国時間）、OS X Mavericks 10.9.4とMountain Lion/Lion用の「セキュリティアップデート 2014-003」、およびブラウザの最新版「Safari 6.1.5/7.0.5」、モバイル端末向けOSの最新版「iOS 7.1.2」を公開した。いずれも深刻な脆弱性の修正が含まれている。

■OS X Mavericks 10.9.4 / セキュリティアップデート2014-003

　不具合や機能改善に加え、複数の深刻な脆弱性が修正されている。修正された脆弱性は、OS X Mavericks 10.9.4が18件、Mountain Lion（OS X 10.8.5）用の「セキュリティアップデート2014-003」が8件、Lion（OS X 10.7.5）用の「セキュリティアップデート2014-003」が2件。任意のコードが実行されるおそれのある、危険な脆弱性が多数含まれている。
　アップデータは、アップルメニューの「ソフトウェア・アップデート」で自動インストールできるほか、同社の「サポートダウンロード」ページからも入手できる。
・サポートダウンロード（アップル）
http://support.apple.com/ja_JP/downloads/
・Apple セキュリティアップデート (Apple Security Update)
http://support.apple.com/kb/HT1222

■Safari 6.1.5/7.0.5

　レンダリングエンジン「Webkit」に含まれる、コード実行のおそれのある問題10件、ローカルファイルの内容が漏えいするおそれのある問題1件、アドレスバーが偽装されるおそれのある問題1件、の計12件の脆弱性が修正された。
　「Safari 6.1.5」は、OS X Mountain Lion 10.8.5 / OS X Lion 10.7.5に対応しており、アップルメニューの「ソフトウェア・アップデート」で自動インストールできるほか、同社の「サポートダウンロード」ページからも入手できる。
　「Safari 7.0.5」は、OS X Mavericks 10.9.4に同梱されている。
・Safari 6.1.5 および Safari 7.0.5 のセキュリティコンテンツについて（アップル）
http://support.apple.com/kb/HT6293

■iOS 7.1.2

　11のモジュールで計44件の脆弱性が修正された。レンダリングエンジン「WebKit」では、メモリー破壊を引き起こす脆弱性28件が修正されており、悪用されると細工されたWebサイトを閲覧するだけで任意のコードを実行されるおそれがある。
　アップデートの対象となるのは、iPhone 4以降、iPad 2以降、iPad mini、第5世代のiPod touch。最新版への更新は、端末の「設定」アイコンから「一般」→「ソフトウェアアップデート」と進むか、端末をパソコンに接続してiTunes経由で行う。
・iOS 7.1.2 のセキュリティコンテンツについて（アップル）
http://support.apple.com/kb/HT6297
・iOS 7.1.2（アップル）
http://support.apple.com/kb/DL1750

（2014/07/01 ネットセキュリティニュース）