ネットセキュリティニュース

　JPCERT/CCによると、今年1～6月に報告を受けたサイト改ざん件数は2624件で、昨秋以降、月平均400件程度の改ざん報告が続いている。実際の改ざん数は、これら報告件数よりさらに多いと推測される。8月に報じられた主な改ざん例を振り返り、注意すべき点を確認しておきたい。

■日産自動車サイト改ざん～該当期間は約2か月、思い当たる人は感染の有無確認を

　日産自動車（本社：横浜市西区）は26日、運営する「下取り参考価格シミュレーション」サイトが不正アクセスを受け、改ざんされていたことを明らかにした。改ざんされていた期間は、今年6月30日午前4時2分から8月22日午後11時22分まで。改ざん事実を確認した8月22日、同社は被害を受けたサーバーを停止し、セキュリティ専門会社による調査を開始した。現時点では、他サーバーへの侵入や情報漏えいは確認されていない。
　しかし、改ざん期間中に当該サイトへアクセスした場合、第三者サイトにリダイレクトされることが確認されている。アクセスした人のなかには、意図しないファイルをダウンロードさせられた可能性もある。一部報道によると、約2か月の改ざん期間中に当該サイトへアクセスした人は4万7822人にのぼるという。同社は、アクセスした可能性がある人は、手持ちのセキュリティソフトを最新状態にし、ウイルス感染の確認をしてほしいとしている。
＜リリース＞
・「下取り参考価格シミュレーション」サイト改ざんに関するお詫びとご報告（日産自動車）
http://www.nissan.co.jp/TOP/ANNOUNCE/

■防災科学技術研究所サイト改ざん～情報だまし取るフィッシングサイト設置

　独立行政法人の防災科学技術研究所（茨城県つくば市）は11日、今年6月1日に開設した「防災コンテスト」の参加者申し込みサイトが不正アクセスを受け、改ざんされていたことを明らかにした。9日午後0時45分頃、外部からの指摘を受けて確認したところ、意図しないページが勝手に新規作成されていることが判明した。通報者の情報によると、設置されていたのはPayPalのフィッシングサイトで、PayPalのログイン情報、続いてクレジットカード情報をだまし取ろうとするものだった。研究所は直ちにサイト運用を停止し、原因究明に取り組んだ。これまでのところ、被害の有無は確認されていない。
　26日付の更新情報によると、同研究所が開発しているグループウェア（eコミグループウェア）の一部パーツに脆弱性が確認されたという。現在、プログラムの修正を実施中で、修正完了後に再検査を実施するとしている。
＜リリース＞
・緊急メンテナンスのお知らせ（防災科学技術研究所）
http://risk.bosai.go.jp/
・防災科研公開webに対する改ざんについて[PDF]（防災科学技術研究所）
http://www.bosai.go.jp/press/2014/pdf/20140811_01.pdf

　IPAは、サイト運営者側の対策としては、サーバーソフトウェアを最新バージョンへアップデートすること、管理端末用OSやアプリケーションを最新状態にすること、サイト更新用端末を限定すること、およびSQLインジェクション攻撃への対策などを挙げている。

　一般ユーザーとしては、正規サイトであっても閲覧するだけで攻撃サイトに飛ばされたり、フィッシングサイトが設置されていたりする可能性があることを心しておきたい。セキュリティの基本である「OSやアプリケーション、ウイルス対策ソフトを最新状態にしておく」ことや、「正しい相手であることが確認できなければ個人情報は入力しない」ことなどが、こうした危険を遠ざける対策となる。

（2014/08/29 ネットセキュリティニュース）

【関連URL】
・注意喚起「ウェブサイトの改ざん回避のために早急な対策を」（JPCERT/IPA）
http://www.jpcert.or.jp/pr/2014/pr140003.html
・管理できていないウェブサイトは閉鎖の検討を（IPA）
http://www.ipa.go.jp/security/ciadr/vul/20140619-oldcms.html

　マイクロソフトは27日（米国時間）、定例外のセキュリティパッチ（更新プログラム）を公開した。13日に公開された8月度月例パッチの一部で適用後に再起動が困難になる不具合が見つかっていたが、この問題に対処したパッチだ。

　不具合があったパッチは「2982791」「2970228」「2975719」「2975331」の4つ。新しく公開されたパッチ「2993651」は、このうち「2982791」の問題を解決する。

　「2982791」は、カーネルモードドライバーの脆弱性に対処する8月度のセキュリティパッチ MS14-045の一部として公開されていた。不具合が見つかったことにより、マイクロソフトではMS14-045を含め、該当するパッチの配信を15日（米国時間）に停止。ユーザーにこれらのアンインストールを推奨している。

　「日本のセキュリティチームのブログ」および、更新されたセキュリティ情報 MS14-045によると、新パッチ「2993651」は、古いパッチ「2982791」の問題を解決するとともに、MS14-045で説明されている脆弱性に対処するものだ。

　新パッチ「2993651」は、自動更新機能を通じて配信されている。

　なお、新パッチは古いパッチ「2982791」が残っていてもインストール可能だが、マイクロソフトでは、新パッチのインストール前に古いパッチをアンインストールすることを推奨している。古いパッチをアンインストールしていない状態で新パッチをインストールすると、次の問題が発生する可能性があるためだ。
・[コントロールパネル]の[インストールされた更新プログラム]の一覧に更新プログラム 2982791が表示されたままになる。
・新パッチをインストールし、再起動が完了するまでの間に、古いパッチによる問題が発生して起動が困難になる可能性がある。

　古いパッチ「2982791」がインストールされているかどうかは、コントロールパネルから[Windows Update]を開き、左下の[インストールされた更新プログラムを表示]を選択して、右上の検索窓（虫眼鏡のある枠）に「KB2982791」と入力すると確認できる。「検索条件に一致する項目はありません」と表示されたときは対処の必要がない。2982791が見つかった場合は、名前の上で右クリックするとアンインストールできる。

（2014/08/28 ネットセキュリティニュース）

【関連URL：マイクロソフト】
・マイクロソフト セキュリティ情報 MS14-045 - 重要
https://technet.microsoft.com/ja-jp/library/security/ms14-045
・[MS14-045] 更新プログラム 2982791 の問題を解決する更新プログラム 2993651 を公開（日本のセキュリティチームのブログ）
http://blogs.technet.com/b/jpsecurity/archive/2014/08/28/ms14-045-re-released-2993651.aspx
・【リリース後に確認された問題】2014 年 8 月 13 日公開の更新プログラムの適用により問題が発生する場合がある [対応方法まとめ]（日本のセキュリティチームのブログ）
http://blogs.technet.com/b/jpsecurity/archive/2014/08/20/2982791-mitigations.aspx

　グーグルは26日、脆弱性50件を修正した「Google Chrome」の最新安定版「37.0.2062.94」を公開した。対象となるのは、Windows、Mac、Linux。

　最新版では機能の改善や追加が行われたほか、50件の脆弱性が修正された。解放済みメモリーの再利用など、コード実行につながるおそれのある危険な脆弱性も複数修正されている。

　うち1件は、V8、IPC、Sync、拡張機能のバグを組み合わせて悪用するとサンドボックス外で任意のコードを実行できるというもので、危険度が4段階評価で最も高い「Critical」とされている。

　最新版への更新は自動的に行われるほか、デスクトップ版ではGoogle Chromeのメニュー（右端のアイコン≡）から「Google Chromeについて」を選択すると、ただちに最新版の確認とアップデートが行える。

（2014/08/27 ネットセキュリティニュース）

【関連URL】
・Stable Channel Update［英文］（Google Chrome Releases）
http://googlechromereleases.blogspot.jp/2014/08/stable-channel-update_26.html

　全国銀行協会は22日、会員の金融機関190余行を対象に行った「インターネット・バンキングによる預金等の不正払戻し」のアンケート調査結果を公表した。個人・法人顧客が受けた不正送金被害について、今年6月末までの件数・金額をまとめ、個人顧客については補償率も明らかにした。

　アンケート結果は、預金者本人の意思によらずに預金が不正に移動された等、不正な払戻しが発生し、かつ資金移動後に振込資金がすでに引出されるなど被害者に返還できない件数･金額が計上されている。（配偶者や親族等による払戻しは除外）

■今年4～6月の個人顧客の被害件数は413件、被害額は4億4900万円

　2011年度から2013年度まで3年間の、同協会の正会員・準会員（191行）の被害の推移をみると、個人顧客の被害は、87件（1億3200万円）→ 107件（1億2000万円）→ 982件（12億5400万円）と推移している。2012年は前年より件数は多いが金額は増えていない。しかし、翌2013年になると、件数・金額とも被害は著しく増大する。この勢いは2014年度にも受け継がれ、2014年4～6月の被害件数は413件、被害額は4億4900万円となった。2014年1～3月の被害（370件・5億5000万円）を件数で上回り、3か月間の被害件数としては過去最悪を更新した。

　こうした不正払戻しに対し、銀行側から個人顧客に対する補償率は、2011年度は96.6％、2012年度は94.1％、2013年度は99％だった。2014年度については、4～6月の被害件数148件のうち138件に対して補償がなされ、補償率は93.2％となった。

■今年4～6月の法人顧客の被害件数は46件、被害額は1億9800万円

　法人顧客の場合は、2011年度から2013年度まで3年間の被害は、19件（1億300万円）→ 1件（400万円）→ 35件（1億8300万円）と推移。2012年度は1件に留まるものの、2013年度に跳ね上がった。とくに年度末の2014年1～3月は、被害件数22件、被害金額1億4100万円と急増し、同年度の被害件数の6割以上、被害額の8割近くが、この期間に集中した。この流れで2014年度に突入し、2014年4～6月の被害件数は46件、被害額は1億9800万円。この3か月間で、2013年度1年間の被害を越えてしまった。

　なお、2014年度のアンケート対象は特例会員1行を含み、192行となっている。

（2014/08/25 ネットセキュリティニュース）

【関連URL：全国銀行協会】
・盗難通帳、インターネット・バンキング、盗難・偽造キャッシュカードによる預金等の不正払戻し件数・金額等に関するアンケート結果および口座不正利用に関するアンケート結果について
http://www.zenginkyo.or.jp/news/2014/08/22113000.html
・別紙2「インターネット・バンキングによる預金等の不正払戻し」等に関するアンケート結果[PDF]
http://www.zenginkyo.or.jp/news/entryitems/news260822_2.pdf

　警察庁は21日、今年1～6月に摘発・補導した少年事件をまとめた「平成26年上半期の少年非行情勢について」を公表した。いじめに起因する事件は149件発生し、このうちインターネットを利用して行われたものは14件だった。

　同庁の発表資料によると、今年上半期にいじめが原因となって起きた事件は149件で、事件により検挙・補導された少年少女は259人。内訳は小学生35人、中学生183人、高校生41人だった。

　どのようないじめが行われたのか「罪種別」を見ると、多い順に「傷害」56件、「暴行」36件、「児童買春・児童ポルノ」15件、「恐喝」12件、「暴力行為」11件など。3番目に多い「児童買春・児童ポルノ」15件のうち、13件はインターネットを利用して行われた。このほか「侮辱」1件があり、インターネットを利用して行われたいじめは、計14件だった。

　「児童買春・児童ポルノ」15件では、中学生15人が検挙・補導され、このうち12人が女子だった。15件のうち13件はネットを利用したもので、子どものネット利用の危うさが改めて浮き彫りとなった。

　「侮辱」はインターネット利用で行われた1件のみだが、中学生2人、高校生2人、計4人の男子が検挙・補導されている。ブログやSNSなどでの書き込みによる名誉棄損、誹謗中傷などのトラブル増加が指摘されており、自他の裸の写真を撮影してネットに流してしまう「児童ポルノ」とともに、ネットリテラシー教育の必要が痛感される。

　なお、なにをもって「いじめ」の要件とするかは、2013年9月施行の「いじめ防止対策推進法」により規定されている。2013年上半期までの警察庁の集計はそれ以降の集計方法と異なっており、旧定義による集計法では今年上半期の事件数は前年同期（142件）より7件多いが、新定義で比較すると前年同期は192件となり、今年上半期は43件（22％）減少したことになる。

（2014/08/21 ネットセキュリティニュース）

【関連URL：警察庁】
・平成26年上半期の少年非行情勢について[PDF]
http://www.npa.go.jp/safetylife/syonen/hikoujousei/H26_1.pdf

　Androidのアプリインストール時に、不正アプリを正規アプリに偽装する脆弱性「Fake ID」が発見され、多くのAndroidユーザーに影響を与えるとして、複数のセキュリティ企業が注意を喚起している。マカフィーは、この脆弱性を突く悪質アプリを検出するツール「Fake ID Detector」を無償公開した。

■Androidの脆弱性「Fake ID」とは

　「Fake ID」とは、米国のモバイルセキュリティ企業「Bluebox」が発見し、7月29日（米国時間）に公表したAndroidの脆弱性で、この脆弱性が悪用されると、不正アプリが正規アプリを偽装することを可能にしてしまう。マカフィーの公式ブログはその危険性について、次のように説明している。
　個々のアプリは固有の識別情報（電子証明書）を持っており、AndroidのOSはアプリの電子署名がそのアプリと適合しているかを確認することでアプリを検証している。「Fake ID」はこの検証プロセスを破壊し、あるアプリが別のアプリの識別情報をもって発行されたという主張を可能にする。「Fake ID」の脆弱性を悪用するアプリ開発者は、別のアプリの電子証明書をコピーし、新しいアプリの電子証明書と組み合わせて証明書チェーンを作成することで、本質的に前者のアプリのふりを可能にしてしまうのだ。
　コピーされる電子証明書によっては、悪意あるアプリが本来よりも高い権限でシステムや他のアプリにアクセスするリスクがある。端末からデータが漏えいしたり、その他の悪意ある行為が行われたりする可能性がある。

■影響を受けるバージョンと対策

　Android のバージョン2.1（Eclair）から4.3（Jelly Bean）を使用しているユーザーはこの脆弱性「Fake ID」の影響を受ける可能性がある。脆弱性を突いた悪意ある行為が行われても、Androidの最新バージョン以外では何の警告も発せられないため、ユーザーは気付くことができない。こうした危険を防ぐ重要な対策として、マカフィーは以下の3点を挙げている。

(1) Android端末を最新OSバージョン4.4.4に更新すること。ただし、これはGoogleのOEMメーカや通信キャリア会社に依存する。

(2) 端末をAndroidの最新バージョンに更新できない場合は、マカフィーが無償公開した新ツール「Fake ID Detector」によって、この脆弱性攻撃を含むアプリを検出する。
・Fake ID Detector（Google Play）
https://play.google.com/store/apps/details?id=com.mcafee.stinger.fakeid

(3) アプリを信頼できる場所からのみインストールすること。Googleは、この脆弱性攻撃を含むかどうかをアプリ公開前にチェックする仕組みを用意した。信頼できないアプリストアからのインストール、特にメールやSMSメッセージの添付ファイルやURLリンク経由でのインストールは避ける。

（2014/08/20 ネットセキュリティニュース）

【関連URL】
・Fake ID脆弱性を用いたAndroidのなりすましアプリに注意（マカフィー）
http://blogs.mcafee.jp/mcafeeblog/2014/08/fake-idandroid-3df8.html
・Androidの脆弱性「Fake ID」の危険性：正規アプリインストール後の改ざんが可能に（トレンドマイクロ）
http://blog.trendmicro.co.jp/archives/9642

　マイクロソフトの8月度パッチ（更新プログラム）を適用後、パソコンが異常終了したり、起動できなくなったりするトラブルが発生しており、同社が復旧方法を公開している。また、特に問題が発生していないパソコンでも、予防的処置のために、該当のパッチをアンインストールすることが推奨されている。

　同社によると、以下のいずれかのパッチをインストールした後、Stop 0x50エラーが発生しコンピューターが異常終了する場合がある。

・2982791 [MS14-045]カーネルモードドライバーのセキュリティ更新プログラムについて（2014年8月12日）
・2970228 Update to support the new currency symbol for the Russian ruble in Windows
・2975719 August 2014 update rollup for Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2
・2975331 August 2014 update rollup for Windows RT, Windows 8, and Windows Server 2012

　このエラーは、再起動後にも発生し起動に失敗する場合がある。パッチ適用後の最初の再起動時だけでなく、再起動を何度か行った後に起動できなくなる場合もあるようで、マイクロソフトでは、上記のパッチをアンインストールすることを推奨している。

　現在、Windows Update / Microsoft Update / 自動更新経由でのこれらのパッチの配信は停止されている。配信が停止されたのは15日とみられ、それ以降に8月度パッチを適用した場合は、問題は発生しないので対処の必要はない。

■問題発生時の復旧方法

　マイクロソフトは「日本のセキュリティチームのブログ」およびサポート技術情報（2982791）で、以下の復旧方法を紹介している。

・DVDなどのインストールメディアを使用してコンピューターを起動し、スタートアップ修復やシステムの復元を利用してパッチ適用前の状態に戻す。システムのバックアップがある場合はリストアを行う。

　この作業で復旧できない場合の対策としては、セーフモードで起動し、フォントキャッシュの削除、レジストリの編集、パッチの削除を行う方法が示されている。詳細は上記ブログを参照していただきたい。ただし、レジストリの操作は慣れない人にとっては危険な作業で、一般ユーザーには難易度が高い。

■該当パッチの適用状況確認とアンインストール方法

　コントロールパネルから[プログラムと機能]のアイコンを選択し（カテゴリ別表示にしている場合は、[プログラム]カテゴリの[プログラムのアンインストール]を選択）、左横の[インストールされた更新プログラムを表示]を選択。右上の検索窓（虫眼鏡のある枠）を使って、該当のパッチ（2982791、2970228、2975719、2975331）がインストールされているかどうか1つずつ確認する。

　「検索条件に一致する項目はありません。」と表示された場合は、対処の必要がない。該当のパッチがあった場合は、パッチの名前の上で右クリックして[アンインストール]をクリックする。

（2014/08/19 ネットセキュリティニュース）

【関連URL：マイクロソフト】
・【リリース後に確認された問題】2014年8月13日公開の更新プログラムの適用により問題が発生する場合がある（日本のセキュリティチームのブログ）
http://blogs.technet.com/b/jpsecurity/archive/2014/08/16/2982791-knownissue3.aspx
・カーネルモードドライバー用のセキュリティ更新プログラムのMS14-045: 説明:2014 年8月12日
https://support.microsoft.com/kb/2982791/ja

　アップルは13日（米国時間）、7件の脆弱性を修正した、WebブラウザーSafariの最新版「7.0.6 / 6.1.6」を公開した。

　最新版では、レンダリングエンジン「Webkit」に含まれる問題7件が修正された。いずれもメモリー破壊を引き起こす深刻なもので、細工されたWebサイトを閲覧するだけで任意のコードを実行されるおそれがある。

　「Safari 7.0.6」は OS X Mavericks 10.9.4に、「Safari 6.1.6」は OS X Mountain Lion 10.8.5 / OS X Lion 10.7.5に対応している。

　アップデートは、アップルメニューの「ソフトウェア・アップデート」から実行できる。同社のサポートダウンロードページから最新版を入手することもできる。

（2014/08/14 ネットセキュリティニュース）

【関連URL】
・About the security content of Safari 6.1.6 and Safari 7.0.6［英文］（アップル）
http://support.apple.com/kb/HT6367

　グーグルは12日、脆弱性26件を修正した「Google Chrome」の最新安定版「36.0.1985.143」を公開した。対象となるのは、Windows、Mac、Linux。

　最新版では、12件の脆弱性が修正されている。Webソケットで解放後のメモリーを使用してしまう問題や、通信プロトコルのSPDYにおいて情報漏えいが起こる問題も修正されており、これらは危険度が4段階評価で2番目に高い「High」とされている。同梱のAdobe Flash Playerも、最新版の「14.0.0.177」に更新された。

　最新版への更新は自動的に行われるほか、デスクトップ版ではGoogle Chromeのメニュー（右端のアイコン≡）から「Google Chromeについて」を選択すると、ただちに最新版の確認とアップデートが行える。

（2014/08/13 ネットセキュリティニュース）

【関連URL】
・Stable Channel Update［英文］（Google Chrome Releases）
http://googlechromereleases.blogspot.jp/2014/08/stable-channel-update.html

　アドビシステムズは12日、PDF閲覧ソフト「Adobe Reader」および、コンテンツ再生ソフト「Flash Player」の最新版を公開した。どちらも深刻な脆弱性が修正されており、同社は最新版へのアップデートを呼びかけている。

■Adobe Reader XI / Adobe Reader X

　アップデートの対象となるのは、Windows版のAdobe Reader XI（11.0.07）およびそれ以前のバージョンと、同じくWindows版のAdobe Reader X（10.1.10）およびそれ以前のバージョン。更新後はそれぞれ「11.0.08」「10.1.11」となる。Windows版のみに影響する、サンドボックスを迂回される問題が修正されている。アドビでは、この脆弱性を悪用する限定的な標的型攻撃をすでに確認しているという。

　使用中のAdobe Readerのバージョンを確認するには、Adobe Readerを起動し、[ヘルプ]メニューの[Adobe Reader XIについて（または Xについて）]を開く。最新版への更新は、[ヘルプ]メニューの[アップデートの有無をチェック]から実行できる。同社のサイトから最新版をダウンロードすることもできる。

＜関連URL＞
・Security Updates available for Adobe Reader and Acrobat[英文]（アドビ）
http://helpx.adobe.com/security/products/reader/apsb14-19.html
・Adobe Readerのダウンロード（アドビ）
http://get.adobe.com/jp/reader/

■Adobe Flash Player

　アップデートの対象はWindows版、Mac版、Linux版のFlash Player。更新後のバージョンは、Windows版のInternet Explorer用およびMac版が「14.0.0.176」、Windows版のFirefox用が「14.0.0.179」、Windows版のGoogle Chrome用が「14.0.0.177」、Linux版が「11.2.202.400」となる。最新版では、メモリーリークの問題や、セキュリティを迂回される問題、解放したメモリーの再使用の問題が修正されている。

　システムにインストールされているFlash Playerのバージョンは、下記のバージョン確認ページにアクセスするか、コントロールパネルの「Flash Player」の[高度な設定]タブで確認できる。最新版は同社サイトで配布されている。

　Windows 8 / 8.1搭載のInternet Explorer 10 / 11用と、Google Chrome用のFlash Playerについては、それぞれ自動的に更新が行われる。

＜関連URL＞
・Security updates available for Adobe Flash Player［英文］（アドビ）
http://helpx.adobe.com/security/products/flash-player/apsb14-18.html
・Flash Playerのバージョン確認（アドビ）
http://www.adobe.com/jp/software/flash/about/
・Flash Playerのダウンロード（アドビ）
http://get.adobe.com/jp/flashplayer/
・セキュリティアドバイザリ（2755801）Internet Explorer上のAdobe Flash Playerの脆弱性に対応する更新プログラム（マイクロソフト）
http://technet.microsoft.com/ja-jp/security/advisory/2755801
・Stable Channel Update[英文]（Google Chrome Releases）
http://googlechromereleases.blogspot.jp/2014/08/stable-channel-update.html

（2014/08/13 ネットセキュリティニュース）

　マイクロソフトは13日、8月度の月例セキュリティパッチ（セキュリティ更新プログラム）を公開した。

　公開されたパッチは、深刻度が4段階評価で最も高い「緊急」2件と、次に高い「重要」7件の計9件。Windows、Windows Server、Internet Explorer、Windows Media Center、OneNote、SQL Server、SharePointServer、.NET Frameworkが影響を受ける。

【更新プログラムの内容】
＜緊急＞
・[MS14-043]Windows Media Center：リモートコード実行の脆弱性
・[MS14-051]Internet Explorer用累積パッチ：リモートコード実行の脆弱性

＜重要＞
・[MS14-044]SQL Server：特権昇格の脆弱性
・[MS14-045]カーネルモードドライバー：特権昇格の脆弱性
・[MS14-046].NET Framework：セキュリティ機能バイパスの脆弱性
・[MS14-047]リモートプロシージャコール（LRPC）：セキュリティ機能バイパスの脆弱性
・[MS14-048]OneNote：リモートコード実行の脆弱性
・[MS14-049]Windows Installerサービス：特権昇格の脆弱性
・[MS14-050]SharePoint Server：特権昇格の脆弱性

　このほか、Windows 8/8.1/RT/RT 8.1およびServer 2012/Server 2012 R2上のInternet Explorer 10/11に搭載されている「Adobe Flash Player」の更新プログラムと、新たに「Lecpetex」に対応した「悪意のあるソフトウェアの削除ツール」の更新バージョンが公開された。

　「緊急」に分類されているInternet Explorer用のパッチでは、26件の脆弱性が修正されている。そのうち1件はすでに悪用が始まっているという。

　また事前に予告されていた通り、Internet Explorer用のパッチには、古いバージョンのActiveXコントロールについて警告を表示しブロックするセキュリティ強化が含まれている。ただし現時点ではこの仕組みは有効化されていない。9月10日から、古いバージョンのJava ActiveXコントロールがブロックされるようになる予定だ。

（2014/08/13 ネットセキュリティニュース）

【関連URL：マイクロソフト】
・セーフティとセキュリティセンター
http://www.microsoft.com/ja-jp/security/default.aspx
・2014年8月のセキュリティ情報
https://technet.microsoft.com/ja-jp/library/security/ms14-aug
・Microsoft Update
http://windowsupdate.microsoft.com/
・2014年8月のセキュリティ情報（月例）-MS14-043～MS14-051
http://blogs.technet.com/b/jpsecurity/archive/2014/08/13/201408-security-bulletin.aspx
・セキュリティアドバイザリ（2755801）Internet Explorer上のAdobe Flash Playerの脆弱性に対応する更新プログラム
http://technet.microsoft.com/ja-jp/security/advisory/2755801

　国民生活センターや全国の消費生活センター等が2013年度に受け付けた消費者からの苦情相談のうち、最も件数が多かったのはアダルト情報サイトに関する相談で、全相談（93万5224件）の8.6％にあたる8万316件だった。3年連続で、第1位となっている。

　国民生活センターによると、アダルト情報サイトに関する相談の件数は、2011年度に、集計開始以来最多の9万5634件を記録。2012年度には6万5375件まで減少したが、2013年度、前年度の1.23倍にあたる8万316件まで増加した。今年度も6月30日の時点で、前年同期よりも5000件近く多い1万8868件の相談が寄せられている。

　利用料がかかるという認識がないままサイトを進んで登録となり、料金を請求されたという相談がほとんどだった。スマートフォンの普及に伴い、スマートフォンからアダルトサイトを利用したという相談も増加している。

■最近の相談事例

・スマートフォンで無料動画を閲覧したら登録となった。業者に電話をかけたら20万円を請求され、クレジットカードで決済したが払いたくない。
・スマートフォンでアダルトサイトを閲覧したら突然、会員登録になり9万9800円を請求する表示が出た。対処方法を教えてほしい。
・友人と共有しているSNSのリンク先を見るため、スマートフォンの画面をタッチしたらアダルトサイトに入会になってしまった。お金を払いたくない。
・アルバイト先の客が私のスマートフォンを使ってアダルトサイトにアクセスしてしまった。料金請求画面が出たらしい。どうすべきか。

　相談は高齢者からも寄せられている。80歳代の男性のケースでは、パソコンで湿疹の薬について検索していた際、一覧に出たサイトをクリックしたところ、アダルトサイトにつながった。無料とあったのでサンプル画像をクリックすると「登録完了」画面が表示され、請求画面が張り付いて消えなくなったという。

■困ったときは

　国民生活センターでは、焦って業者に連絡し自分の個人情報を相手に伝えてしまうと、さらに迷惑メールや不当請求につながるおそれもあるとして、自分から連絡しないよう呼びかけている。また、困ったときは、まず住んでいる自治体の消費生活センター等に相談することをすすめている。

（2014/08/12 ネットセキュリティニュース）

【関連URL：国民生活センター】
・2013年度のPIO-NETにみる消費生活相談の概要
http://www.kokusen.go.jp/news/data/n-20140807_2.html
・報告書本文［PDF］
http://www.kokusen.go.jp/pdf/n-20140807_2.pdf
・各種相談の件数や傾向～アダルトサイト
http://www.kokusen.go.jp/soudan_topics/data/adultsite.html
・思わぬ落とし穴！？高齢者にもアダルトサイトの請求トラブル
http://www.kokusen.go.jp/mimamori/mj_mailmag/mj-shinsen185.html
・全国の消費生活センター等の相談窓口
http://www.kokusen.go.jp/map/index.html

　「バンドメンバー募集」「タレント募集」といった情報を見て事務所に出向いたところ、プロモーションCD製作費用やレッスン料などとして高額な費用を請求された――こうした相談が消費生活センターに寄せられている。

　東京都では4日、インターネットの掲示板や雑誌広告をきっかけとしたこのようなトラブルについて、事例を挙げて注意を呼びかけた。

　30歳代の男性は、ネット掲示板でバンドメンバー募集の記事を見て応募。2000円を払ってオーディションを受けたところ、合格した。社長と会い、「当社にはメジャーデビューした歌手がいる。あなたもプロモーションCD製作費を50万円支払えば、歌手として売り出せるようにする。」と言われ、支払ったが、後日、この事務所からメジャーデビューした者はいない事実を知ったという。

　10歳代の女性は、インターネットで芸能事務所のオーディションを知り、応募。一次、二次審査を通過し、三次審査の面接に保護者同伴で参加した。見込みがあると言われマネジメント契約を結んだところ、タレント養成所への入学を勧められ、入学金40万円を支払って申し込んだ。入学金を半年で返せるくらい仕事を積極的に紹介すると言われていたが、仕事の応募条件が複雑で、応募できる仕事はほとんどなかったという。

　都は、芸能界における現実の厳しさとかけ離れた説明を受けて、高額な契約を行い、トラブルとなっているケースが目立つとして、以下の3点をアドバイスしている。

(1) レッスン契約などを締結すると、ケースによっては解約が困難
　特定商取引法上の取引に該当すれば、クーリング・オフにより支払った代金を取り戻せる場合があるが、それ以外の場合は、途中で解約したくなっても簡単に中途解約が受け入れられるわけではない。

(2) 必ず有名タレントになれるかのような勧誘トークには、注意が必要
　芸能界の仕事を紹介すると約束されても、応募条件がいろいろあって簡単には仕事が見つからない場合がほとんど。売り出すために必要だからと高額な費用がかかる契約を勧められた場合は熟慮が必要。

(3)少しでも疑問に思ったら、消費生活センターに相談する。

　消費生活センターでは、商品やサービスなど消費生活全般に関する苦情や問合せなど、消費者からの相談を専門の相談員が受付けている。具体的な相談先については下記の「全国の消費生活センター等」をご覧いただきたい。また東京都では、都内在住、在勤、在学を対象とした通報窓口「悪質事業者通報サイト」を開設しており、窓口に相談するほどでもないけど困った経験をしたといった場合でも情報を寄せてほしいとしている。

（2014/08/11 ネットセキュリティニュース）

【関連URL】
・タレントオーディション合格？そこに落とし穴はありませんか！―高額な事務所所属契約やレッスン契約に注意―（東京都）
http://www.shouhiseikatu.metro.tokyo.jp/sodan/kinkyu/20140804.html
・全国の消費生活センター等（国民生活センター）
http://www.kokusen.go.jp/map/index.html
・悪質事業者通報サイト（東京都）
https://www.shouhiseikatu.metro.tokyo.jp/tsuho/honnin-form.html

　マイクロソフトは8日、今月13日に公開を予定しているセキュリティ更新プログラム（修正パッチ）の概要を発表した。リリース予定の修正パッチは、4段階評価で深刻度が最も高い「緊急」2件、2番目に高い「重要」7件の計9件。

　「緊急」の脆弱性2件は、Internet Explorerに（IE）影響する問題1件と、Windows MediaおよびWindows Media Centerに影響する問題1件。いずれも、リモートからコードが実行されるおそれがある。

　「重要」の脆弱性7件は、Microsoft OneNoteに影響するリモートコード実行の問題1件。Windowsに影響する特権昇格の問題2件。SQL ServerとSharePoint Serverに影響する特権昇格の問題各1件。Windowsと.NET Frameworkに影響するセキュリティ迂回の問題各1件。

　このほかに、「Windows Update」「Microsoft Update」などで、セキュリティ以外の更新プログラムと、「悪意のあるソフトウェアの削除ツール」の更新バージョンのリリースが予定されている。

■IEに古いActiveXコントロールを無効化する仕組み導入

　13日に公開予定のIEのセキュリティ更新プログラムでは、古いバージョンのActiveXコントロールを無効化するセキュリティ強化が導入される予定だという。これは、IEが同社のホストスする無効化対象リストを参照し、該当する旧版をインターネットゾーンで実行しようとした際に警告を表示する仕組みで、自動更新機能を持たないActiveXコントロールが古いまま利用され、脆弱性が悪用される被害が増えていることに対するセキュリティ強化策だとしている。
　無効化の対象は、当初は古いJava ActiveXコントロールだけだが、他の古いActiveXコントロールについても、今後追加して行く予定だという。

（2014/08/08 ネットセキュリティニュース）

【関連URL】
・2014年8月のマイクロソフトセキュリティ情報事前通知（マイクロソフト）
https://technet.microsoft.com/library/security/ms14-aug
・2014年8月13日のセキュリティリリース予定 (月例)（日本のセキュリティチーム）
http://blogs.technet.com/b/jpsecurity/archive/2014/08/08/201408-security-bulletin-advanced-notification.aspx
・Internet Explorer begins blocking out-of-date ActiveX controls[英文]（IEBlog）
http://blogs.msdn.com/b/ie/archive/2014/08/06/internet-explorer-begins-blocking-out-of-date-activex-controls.aspx

　流出した個人のID・パスワードが不正アクセスに悪用される「パスワードリスト攻撃」が多発していることから、IPA（情報処理推進機構）はインターネットサービスにおける本人認証の実態調査を行い、「オンライン本人認証方式の実態調査」を公開した。利用者側とサービス提供側それぞれが抱える問題を明らかにし、対策を提言している。

　利用者側の調査は、インターネットモニタ会社の台帳から20～60代を層別均等に選定した2060名に対し、Webアンケートを行った。サービスサイトの調査については、金融や通販、交通、情報配信など8サービスについて、国内から100サイト、海外から30サイト、計130サイトを選び、利用者登録等を実施して情報収集した。調査期間は、利用者側は2014年4月4～7日、提供側は2013年11月～2014年3月。

■正しい知識を持ちながら、実際の設定には反映されない

　利用者がパスワードを作成する際に安全性を高めるために必要な事柄について尋ねた結果は、「英字、数字、記号を組み合わせた文字列にする」「名前や誕生日など推測されやすい文字列は使わない」については70％超、「文字数は8文字以上である」は67％の認識があった。「他のサイトで用いたパスワードを流用しない」については41％が認識していた。
　一方、利用の実態をみると、クレジットカードや銀行口座など「金銭に関連したサービスサイト」でのパスワード構成は、「ランダムな英数字の組み合わせ」が27％で最も多く、次いで「自身・家族等の名前にちなんだもの」19％、「自身・家族等の誕生日にちなんだもの」17％と続く。安全と認識されている「ランダムな英数字と記号の組み合わせ」は13％にとどまり、正しい知識があっても実際には生かされていないことがわかる。

■利用者の4割が「パスワード使い回し」、理由は「忘れてしまうから」

　「金銭に関連したサービスサイト」でのパスワードの使い回しについては、「他のサービスサイトと同一のパスワードは利用していない」が43％で最も多い。しかし、「金銭に関連したサービスサイト」と同一のパスワードを利用しているという回答が25％、金銭に関連していない他のサービスサイトと同一のパスワードを利用しているという回答も12～13％あり、全体として41.8％がパスワードを使い回している結果となった。
　パスワードを使い回す理由については、「（同一にしないと）パスワードを忘れてしまうから」が64％と最も多く、次いで「複数のパスワードを管理するのが手間だから」51％、「一つのパスワードを利用していると簡単だから」42％と続く。

■業者側の問題：パスワード設定条件が甘く、半数以上がメアドをIDに設定

　調査では、事業者側の問題として、利用者が設定できるパスワードの条件が十分ではないことが明らかになった。「パスワードを設定する際の最少桁数」を6桁以下に設定しているサイトは、全体の57％を占めた。8桁未満は58％で、「通販・物品購入」サービスに限定すると79％となる。「パスワードに使用可能な文字種」は、「半角英数のみ」が69％と7割を占め、「半角英数＋記号」としているサイトは11％にすぎない。
　メールアドレスをIDとして利用することは、流出した場合にスパムメールや標的型メールなどの攻撃に悪用される可能性もあり、問題視されている。しかし、今回の調査では、メールアドレスをIDとして設定可としているサイトが全体の55％を占めた。「情報配信・提供」サイトでは72％、「通販・物品購入」サイトでは69％がメールアドレスをIDとしている。

■利用者が許容できるパスワードは8桁以上12桁未満、多要素認証は不評

　この調査では、利用者の「認証方式変更への考え方」を知るため、ショッピングサイトを利用していると仮定して、認証方式の変更がどの程度であれば許容できるかを調べている。その結果は、「8文字以上のパスワード設定」には72％が許容、「英字、数字、記号の組み合わせのパスワード設定」も49％が許容している。しかし、「12文字以上のパスワード設定が必要」については25％に下がり、「IDをメールアドレス以外のものにする」場合も33％にとどまる。「複数のパスワードが必要」は15％、「トークンや使い捨てパスワード等の他の認証が必要」は14％と、多要素認証への許容も低いものとなった。

■利用者への提言

　報告書は、安全なオンラインサービス利用のため、次の4項目を優先して実施するよう、利用者に提言している。

　(1) 使い回さない：サービスごとに異なるアカウント（ID/パスワード）を設定する
　(2) 強いパスワード：8桁以上、英字（大・小文字）＋数字＋記号、推測が容易でない文字列とする
　(3) 適切な管理　：アカウントをパソコンに保存する場合は暗号化する。管理ツールの利用も検討する
　(4) 定期的な変更：定期的にパスワードを変更する

　また、サービス事業者に対しても、利用者が安全なパスワードを設定できるように、少なくとも最低文字数を8文字以上とすること、文字種を増やすことを求めている。さらに、サイトが扱う情報やサービスに合わせて、適切な認証手段を提供する必要があることを訴えている。

（2014/08/07 ネットセキュリティニュース）

【関連URL：IPA】
「オンライン本人認証方式の実態調査」報告書について
http://www.ipa.go.jp/security/fy26/reports/ninsho/index.html
・調査報告書全文[PDF]
http://www.ipa.go.jp/files/000040778.pdf
・プレスリリース[PDF]
http://www.ipa.go.jp/files/000040798.pdf

　法人口座の不正送金被害が急増している。IPA（情報処理推進機構）は1日、ネットバンキングを行う端末をウイルスに感染させて「電子証明書」を窃取する新手口が使われているとして、感染しない対策をとるよう呼びかけた。

　全国銀行協会のアンケート結果によると、法人口座の不正送金被害は今年に入り、急増している。2012年、2013年の発生件数は0～5件で推移しているが、2014年は1～3月だけで21件の被害が発生し、被害額もこの3か月間で140億円と、過去2年間の累計金額である47億円の約3倍にも達した。

　被害急増の理由の1つが、法人向けネットバンキングの認証に使われている電子証明書を窃取するウイルスだ。電子証明書は、ネットバンキングを利用する端末が正当であることを証明する“身分証明書”のようなもの。電子証明書がない他の端末から不正送金を試みようとしても認証されず、送金できない。このため電子証明書を使う法人向けネットバンキングはセキュリティレベルが高いとされてきたが、端末をウイルスに感染させて電子証明書を窃取する新しい手口が出現し、この評価を揺るがせている。

■電子証明書を窃取する2つの手口

　ブラウザに格納するタイプの電子証明書を使ったネットバンキングを、1台ではなく複数端末で利用したいというとき、それぞれの端末に電子証明書が格納されていなければならない。このとき電子証明書のエクスポートを「可」に設定すると、現在利用している端末以外の端末に電子証明書を格納できる。しかし、複数端末での利用を可能にするエクスポート設定を「不可」としている銀行もある。不正送金に悪用されるリスクが高まるためだ。

　「可」「不可」どちらの場合にも対応して電子証明書を窃取するウイルスが登場している。(1) エクスポート設定を「可」としている場合、ウイルスが電子証明書をエクスポートして攻撃者のサーバーに送信する。(2) エクスポート設定を「不可」としている場合は、まずウイルスが電子証明書を削除して無効にしてしまう。困った利用者が電子証明書の再発行手続きを行うことを見越した作戦で、利用者が再発行された電子証明書をインポートする際に、ウイルスは電子証明書をコピーして攻撃者のサーバーに送信する。

　(1) の場合は、気付かないうちに電子証明書が窃取されてしま危険がある。(2) の場合は、電子証明書が不自然な形で無効となった時点でウイルス感染を疑うことができれば、電子証明書の窃取を防ぐことができる。

■感染を防ぎ、不正送金を許さない対策を

　IPAは、パソコンをウイルスに感染させない基本対策（A）が最も重要であるとし、そのうえで、「ネットバンキングに利用する端末は、ネット接続をネットバンキングに限定する」ことや、「銀行が提供する中でセキュリティレベルの高い認証方法を採用する」「銀行が指定した正規の手順で電子証明書を利用する」ことを推奨する。さらに、全国銀行協会が推奨する対策（B）も確実に実施することが望ましいとしている。

＜A：端末をウイルスに感染させない基本対策＞
・OSやアプリケーションソフトの脆弱性を解消する
・ウイルス対策ソフトでウイルスの侵入を防止する
・簡単にメールの添付ファイルを開かない
・IDやパスワードを使い回さない

＜B：全国銀行協会が推奨する対策＞
・ネットバンキングに使う端末はインターネットの利用をネットバンキングに限定する
・パソコンや無線 LAN のルータ等について、未利用時は可能な限り電源を切断する
・取引の申請者と承認者とで異なるパソコンを利用する
・振込や払戻し等の限度額を必要な範囲内でできるだけ低く設定する
・不審なログイン履歴や身に覚えがない取引履歴、取引通知メールがないかを定期的に確認する

（2014/08/06 ネットセキュリティニュース）

【関連URL】
・法人向けインターネットバンキングの不正送金対策、しっかりできていますか？（IPA）
http://www.ipa.go.jp/security/txt/2014/08outline.html
・法人向けインターネット・バンキングにおける預金等の不正な払戻しに関する補償の考え方について（全国銀行協会）
http://www.zenginkyo.or.jp/news/2014/07/17174000.html
・銀行および法人のお客さまに求められるセキュリティ対策事例[PDF]（全国銀行協会）
http://www.zenginkyo.or.jp/news/entryitems/news260717_1.pdf

　Webサイトの構築に使用しているコンテンツ管理システム（CMS：Content Management System）が古い場合や、使用していないにもかかわらず稼働していた場合などに、Webサイトに侵入され、ウイルスの配布やフィッシングサイトの設置などに悪用されてしまう事例が多数見つかっている。根本的な問題を解決しないために、再改ざんや再設置されるところも多い。

　一般のWebサイトが不正アクセスを受け、ウイルスやフィッシングサイトのホスティング、迷惑メールの送信などに悪用されてしまうことがある。筆者が継続的に観測しているフィッシングサイトを例にとると、国内のサーバー上で稼働していた偽サイトの6割強が不正アクセスを受けたとみられる一般サイト上に設置されたものだ。

　観測されるこの種の偽サイトは、平均すると月30件程度だが、7月は大幅に増加し、今年に入ってからの最高値57件を記録した。外部からの観測だけでは、原因の分からないものも多いが、約半数は、WordPress（ワードプレス）やJoomla!（ジュームラ）などのCMSからの侵入とみられるものだった。

　20件あったWordPressを見てみると、最新版を使用していたのは1件のみで、残りは2年前のバージョン「3.4」から直前の「3.8.3」まで、バリエーションに富んだ旧版が使われていた。WordPressは、ブログのシステムとして人気が高く、システムに機能を追加するプラグインも多数流通している。ところが、本体やプラグインの旧版には、不正アクセスを許してしまう脆弱性が多数あり、アップデートせずに使い続けていると、第三者にサイトを悪用されてしまうことがある。

■CMSのアップデートは誰が行うのか？

　レンタルサーバーなどで使用するCMSには、(1) CMSの用意やセットアップ、アップデートなど全てをホスティング会社や管理会社が行い、ユーザーはただそれを使うだけのタイプ。(2) 提供されているCMSをユーザーがセットアップして利用するタイプ。(3) CMSの調達からセットアップやアップデートまで、全てユーザー自身で行うタイプがある。
　(2) にはさらに、セットアップ後のアップデートは、ホスティング会社や管理会社側が行うタイプ(2-A) と、最新版を用意され、ユーザーがアップデートするタイプ(2-B) がある。(1) と(2-A) を除くと、最新版への更新はユーザー自身で行わなければいけないので注意していただきたい。
　最新版が提供されるところならそれを、自身で探して来るところなら公式サイトなどをこまめにチェックし、脆弱性のない最新の状態で使用するよう心がけたい。

■危険な「使わないCMSの稼働」「初期アカウントの放置」

　WordPressが稼働しているサイトの中には、WordPressを利用している様子が全くないところがいくつかあった。使用していないのに、意味なく稼働しているのだ。最新版を使用していたサイトもそのひとつで、ここはインストール直後の状態のままだった。間違ってインストールしてしまったのか、あるいは試しにインストールしたが使い方が分からなかったのか原因は定かではないが、このようなインストール直後の状態で放置されているところも多い。
　WordPressに限らず、こうしたサーバーソフトには、ディフォルトの管理アカウントがあり、初期値は広く知られたユーザー名とパスワードであることが多い。変更せずそのままの状態にしていると、脆弱性攻撃をせずとも正面玄関から堂々と入れてしまう。
　Webサイトを開いている方は、使わないものが稼働したままになっていないか、初期状態のアカウントが放置されていないか、いまいちどチェックしていただきたい。

（2014/08/01 ネットセキュリティニュース）