ネットセキュリティニュース

　ブラウザの画面に不当な請求画面を表示し続け、問合せ先に電話をかけさせようとする新手のワンクリック詐欺が出現したとして、シマンテックは今月13日、同社の公式ブログで注意を促した。問題の詐欺サイトは、それと前後していったん閉鎖されたようだが、先週から再稼働しているので注意が必要だ。

　シマンテックのブログによると、インターネットでアダルト関連のコンテンツを検索したり、スパムメール内のリンクをクリックしたりすると、このワンクリック詐欺に引っかかってしまうらしい。アダルトサイトで特定の動画の画像をタップすると、この詐欺をホストする別のWebサイトにリダイレクトされるという。

　編集部で確認できたのは、このリダイレクト先のWebサイトのみで、同じバングラデシュのサーバーに割り当てた、5種類のドメインが見つかっている。これらは、昨年11月から今月にかけて取得されており、11月中旬頃には、すでにバングラデシュの別のサーバーで営業していたとみられる。

■アクセスするだけでブラクラ被害に～「連絡させようとする」罠に注意

　この詐欺サイトは、サイト自体が登録完了ページになっている悪質なもので、アクセスするだけで、えんえんと処理を続けるJavaScriptが実行される。いわゆるブラクラ（ブラウザクラッシャー）と呼ばれるもので、まずは、9万9800円の料金、会員ID、問合せ先の電話番号などを記載したポップアップウィンドウを表示する。[OK]ボタンを押してポップアップを閉じると、ダイヤラを起動して指定した電話番号に「186」付きで電話をかけさせようとする。「186」は、発信者番号が非通知設定でも通知するかけ方だ。

　ダイヤラを終了するとブラウザに戻って来るのだが、先のポップアップが1秒おきに表示するようになっているため再表示される。ポップアップ→ダイヤラ→ポップアップをえんえんと繰り返すようになっている。ポップアップウィンドウのメッセージには、誤作動の場合は、24時間以内に登録削除へ連絡するよう書かれており、24時間経過後は「誤作動登録の場合でもご清算頂きます」というでたらめなことをいって、電話をかけさせようとする。

　このように連絡させようとするのが、最近の架空請求や不当請求の常套手段だ。困って電話をかけて来るユーザーを狙い、お金をだまし取ろうとしているので、絶対に自分から連絡してはいけない。心配な方や連絡してしまった方、支払ってしまった方は、最寄りの消費生活センターや警察に相談していただきたい。なお、検索サイトで「消費者センター」などを検索すると、公的機関を思わせるような事業者の広告が表示されるので、こちらも間違えないよう注意していただきたい。ネット上には、困惑するユーザーを狙う罠が、あちらこちらにある。

■ブラクラへの対処方法

　マルウェア感染と違い、ブラクラは、パソコンやスマートフォン本体に継続的な被害をもたらすものではない。そのWebページを開いている間のみ影響を受けるので、そのページを閉じてしまえば問題は解決する。初めて遭遇した方は、パニックになってしまうかもしれないが、システムやブラウザが乗っ取られてしまったわけではないので、冷静に対処していただきたい。操作のポイントは2点。何らかの方法でブラウザを終了することと、同じページを再び開かない様にすることだ/

(1) ブラウザの終了方法
　以下の方法を試し、処理を終了できなくなってしまったページやブラウザを閉じることによって、ブラクラを終了させることができる。

・ブラウザの終了を試みる
　ブラウザが操作できる場合ば、ブラウザを閉じる。表示しているページのタブも操作できる場合には、先にタブを閉じてからブラウザを閉じる。タブを閉じることができれば、それ以上の作業は特に必要ないが、タブを閉じずに終了した場合は、(2) の「ページの再表示回避方法」が必要になるかもしれない。

・ブラウザの強制終了を試みる
　ブラウザが操作できない場合には、ブラウザの強制終了を試みる。パソコン環境ならば、タスクマネージャを使うと強制終了できる。
　Android端末の場合は、ホームキーが有効ならば、キーを押してホームに戻ると他の操作が行えるようになる。履歴キー（最近使ったアプリ表示キー）が利用できる場合には、押して最近使ったアプリ一覧を表示し、ブラウザを右方向か左方向にスワイプすると終了する。履歴キーが利用できない場合は、[アプリの管理]や[設定]→[アプリ]で使用していたブラウザをタップし、[強制停止]を実行すると終了する。
　iPhoneなどのiOS端末の場合は、ホームボタンを押してホームに戻ると、他の操作が行えるようになる。ホームボタンを素早く2回押すと起動中のアプリが表示されるので、ブラウザを上方向にスワイプすると終了する。

・本体の再起動を試みる
　操作を受け付けずブラウザの強制終了が行えない場合には、本体の再起動で対処する。再起動は、システムやアプリなどを稼働したまま消灯するスリープとは違い、いったん全てを終了してから、システムを起動しなおすことだ。パソコン、携帯端末ともに、たいていは電源ボタンの長押しで、再起動や電源をオフにすることができる。操作は、再起動でも、電源をオフにしてから再びオンにするでも、どちらでもかまわない。

(2) ページの再表示回避方法
　ブラウザの多くは、標準または設定により、起動時に以前表示していたページを再表示するようになっている。このようなブラウザは、起動すると再びブラクラページを開いてしまうので、再表示しないように対処しておく必要がある。

・ブラウザの設定で回避する
　ブラウザを起動しないで設定の変更が行える場合には、設定変更で対処できるかも知れない。今回のブラクラは、JavaScriptを使用して処理の繰り返しを行っているので、JavaScriptを無効にすれば、同じページを表示してもポップアップは表示されない。例えば、iOS端末で標準ブラウザの「Safari」を使用していた場合には、この方法で回避できる。[設定]→[Safari]→[詳細]と進み、[JavaScript]をオフにする。Safariを起動してもブラクラは発動しないので、問題のページを閉じることができる。
　使用していたブラウザが、終了時のページを再表示しないように設定できる場合には、再表示を無効にして起動すれば、ブラクラページを再表示することなく、ブラウザを起動できる。

・キャッシュを消去する
　Android端末のブラウザのように、ブラウザを起動せずに設定変更が行えない場合には、キャッシュを消去する方法がお勧めだ。キャッシュは、閲覧したページの内容を一時保存したもので、キャッシュがなくインターネットにも接続できなければ、ブラウザは閲覧したページを再表示することができなくなる。
　先のブラウザの強制終了の手順で、ブラウザを終了させた後、[キャッシュを消去]を実行すると、Android端末のブラウザのキャッシュが消える。[設定]から[データ通信]や[Wi-Fi]をオフにし、インターネットにアクセスできない状態でブラウザを起動する。ブラクラページは表示されないので、ページを閉じたり設定を変更したりすることができる。

・アプリのデータやアプリを消去する
　キャッシュが消去できない場合には、アプリの管理データの消去を、それもできない場合には、アプリの消去→再インストールを検討する。アプリの管理データを消去すると、開いていたページの情報がなくなるので、ブラクラページは再表示されなくなる。ただし、設定情報や閲覧履歴、クッキーなども全て消去されてしまうようだと、アプリを再インストールするのと、ほとんど変わらなくなってしまう。

（2015/01/30 ネットセキュリティニュース）

【関連URL】
・スマートフォンのブラウザをロックするように進化したワンクリック詐欺（シマンテック）
http://www.symantec.com/connect/ja/blogs-369
・全国の消費生活センター等（国民生活センター）
http://www.kokusen.go.jp/map/index.html

　Adobe Flash Playerの未修正の脆弱性を悪用した攻撃が発生している問題で、マイクロソフトは28日、Windows 8/8.1上のInternet Explorer(IE) 10/11用の更新プログラムを公開した。

　アップデートは、Windows Updateを通じて自動的に行われるが、コントロールパネルの「Windows Update」を開き、[更新プログラムの確認]をクリック後に[更新プログラムのインストール]ボタンを押せば、直ちに最新版の「16.0.0.296」に更新することができる。「Windows Update」は、コントロールパネルの検索窓に「w」と入力すれば、すぐに見つかる。

　他のブラウザ用のプラグイン、およびGoogle Chromeに搭載されたFlash Playerについては、すでに自動更新を通じて最新版が配布されており、アドビシステムズからは、本日よりダウンロード版も公開されている。

　アップデートの対象は、Windows、Mac、Linux。更新後のバージョンは、Windows版とMac版が「16.0.0.296」、Linux版が「11.2.202.440」となる。Flash Player 16を利用できないWindowsとMac向けには、13の最新版「13.0.0.264」が提供されている。

　システムにインストールされているFlash Playerのバージョンは、下記のバージョン確認ページにアクセスするか、コントロールパネルの「Flash Player」の[高度な設定]タブで確認できる。

　Flash Playerの最新版では、開放したメモリーを再利用してしまう問題2件（CVE-2015-0311、CVE-2015-0312）が修正されている。「CVE-2015-0311」は、マルウェア（ウイルス）に感染させるための攻撃に悪用されている脆弱性で、細工されたWebサイトをWindows版のIEやFirefoxで閲覧するだけで、マルウェアが強制インストールされ、システムを乗っ取られてしまうおそれがある。

（2015/01/28 ネットセキュリティニュース）

【関連URL】
・マイクロソフト セキュリティ アドバイザリ (2755801) ：Internet Explorer 上の Adobe Flash Player の脆弱性に対応する更新プログラム（マイクロソフト）
https://technet.microsoft.com/library/security/2755801
・サポート技術情報（KB3035034）（マイクロソフト）
http://support.microsoft.com/kb/3035034
・APSB15-03：Security updates available for Adobe Flash Player[英文]（Adobe）
http://helpx.adobe.com/security/products/flash-player/apsb15-03.html

　アップルは28日、OS X Yosemite v10.10.2とMavericks/Mountain Lion用の「セキュリティアップデート 2015-001」、Webブラウザの最新版「Safari 7.1.3/6.2.3」、モバイル端末用OSの最新版「iOS 8.1.3」を公開した。いずれも、深刻な脆弱性の修正が含まれている。

■「OS X Yosemite 10.10.2」、「セキュリティアップデート 2015-001」
　「OS X Yosemite 10.10.2」では47件の脆弱性が修正されたほか、WebKitの脆弱性を修正したブラウザSafariの最新版「8.0.3」が含まれている。「セキュリティアップデート 2015-001」では、Mavericksで34件、Mountain Lionで27件の脆弱性が修正されている。
　最新版への更新は、OS X Yosemiteの自動アップデートが利用できるほか、アップルメニューの[App Store]を選択し、ツールバーの[アップデート]ボタンをクリックすると、アップデートの確認と更新が行える。
＜関連URL＞
・About the security content of OS X Yosemite v10.10.2 and Security Update 2015-001[英文]
http://support.apple.com/ja-jp/HT204244

■Webブラウザの最新版「Safari 7.1.3/6.2.3」
　Webページを描画するレンダリングエンジン「WebKit」の脆弱性4件が修正されている。「Safari 7.1.3」はOS X Mavericksに、「Safari 6.2.3」はOS X Mountain Lionに対応し。最新版への更新は、Appleメニューから[App Store]を選択し、ツールバーの[アップデート]ボタンをクリックする。OS X Yosemite用の最新版「Safari 8.0.2」は、OS X 10.10.2に含まれている。
＜関連URL＞
・About the security content of Safari 8.0.3, Safari 7.1.3, and Safari 6.2.3[英文]
http://support.apple.com/ja-jp/HT204243

■モバイル端末用OSの最新版「iOS 8.1.3」
　ソフトウェア・アップデートの実行に必要なストレージ容量の低減や、いくつかの不具合の修正、機能追加に加え、レンダリングエンジン「WebKit」の問題16件をはじめとする計33件の脆弱性が修正された。最新版への更新は、端末の[設定]アイコンから[一般]→[ソフトウェアアップデート]と進むか、端末をパソコンに接続してiTunes経由で行う。
＜関連URL＞
・About the security content of iOS 8.1.3[英文]
http://support.apple.com/ja-jp/HT204245

（2015/01/28 ネットセキュリティニュース）

　国内のユーザーを標的としたオンラインゲームを装うフィッシングが、今月に入ってからも相変わらず活発に行われており、警戒が必要だ。

　しばらく休止していたオンラインバンキングを装うフィッシングも先週から始まった。いずれも過去の手口を使いまわしたものばかりだが、大量のメールが多不特定多数に送られている。

■オンラインゲームのフィッシング

　2013年から続いている、さまざまなオンラインゲームの運営を装うフィッシングメールを送りつけ、本物そっくりの偽のログインページに誘導し、アカウントを情報をだまし取ろうとするフィッシングだ。昨夏から秋にかけて暫く休止していたが、10月下旬の再開から3か月にわたり、ほとんど休むことなく攻撃が続いている。

　昨年末までは、「スクウェアエニックス」を装うフィッシングが主体だったが、年末以降は「NCSOFT」に主体が移り、今月中旬には「ハンゲーム」が、先週は「スクウェアエニックス」が、これと並行して行われた。

　直近のフィッシングメールは、「NCSOFTアカウントーー安全確認」という件名のものが昨日届いており、アカウントの異常ログインを感知したので確認するよう求め、香港のサーバに置かれた偽のログインページへと誘導する。メールに記載されたURLは、本物のURLに見えるように偽装されている上、偽サイトには本物のホスト名「ncsoft.jp」を織り込んだ、「ncsoft.jp.××××.●●●●.com」というホスト名を用いて、ごまかそうとしている（「●●●●」はランダムなアルファベットのドメイン名、「××××」は「account」や「login」などをもじったサブドメイン名）。

　NCSOFTの本物のログインページは、必ずSSL接続になるので、URLの先頭は「https:」で始まり錠前マークが表示される。証明書を確認すると、運営者「NCJAPAN K.K.」が確認できる。一方の偽サイトの方は、これまでにSSLに対応したものはひとつもなく、URLの先頭は「http:」で始まり錠前マークが表示されない。錠前マークがなければ偽物確定なのだ。

■オンラインバンキングのフィッシング

　昨年10月末を最後に、しばらく休止していたオンラインバンキングのフィッシングが、22日頃から再び始まった。現在行われているのは、「三菱東京UFJ銀行」を装うのもので、「本人認証サービス」や「メールアドレスの確認」という件名のフィッシングメールが送られて来る。メール本文は「こんにちは！」ではじまり、システムが更新されたのでアカウントが凍結されないように認証するよう求め、主に国内ISPのユーザー回線上に設置された、本物そっくりのログインページへと誘導する。騙されて偽のログインページにグインしてしまうと、続いて取引の際に使用する乱数表を1行（10桁）ずつ10行分全てを入力させるという、あり得ないことを要求され、さらに4桁の暗証番号の入力も求めて来る。

　昨秋のフィッシングでは、この暗証番号の入力後に公式サイトの特定のヘルプページを開く様になっており、同行は、ジャンプ先のページに「このページがフィッシングサイトのリンク先最終ページに設定されているようです」と記載して注意喚起を行っていた。今回は、暗証番号の入力後に偽のエラーページを表示し、ボタンを押すと本物のログインページに飛ばすように作り変えられていた。

　同行の本物のログインページは、SSLでしか接続できないので、URLの先頭は「https:」で始まり錠前マークが表示される。証明書にEV SSLという特別なものを使用しているので、錠前マークと一緒に「The Bank of Tokyo-Mitsubishi UFJ, Ltd.」という同行の英語名も表示される。この名前が表示されなければ偽物だ。

（2015/01/27 ネットセキュリティニュース）

【関連URL】
・フィッシング詐欺サイトにご注意ください（NCSOFT）
http://www.ncsoft.jp/lineage2/news/notice/view?bbsNo=32801&articleNo=759
・ハンゲームを装ったフィッシングメールにご注意ください（ハンゲーム）
http://info.hangame.co.jp/index.nhn?m=detail&infono=9333
・フィッシング詐欺サイトへ誘導するメールやメッセージにご注意ください（スクウェア・エニックス）
http://www.jp.square-enix.com/info/1308_attention.html
・パスワード等を入力させる偽メールが届いても、絶対に入力しないでください！（三菱東京UFJ銀行）
http://www.bk.mufg.jp/info/phishing/20131118.html

　グーグルは27日、同社のWebブラウザ「Google Chrome」の最新安定版「40.0.2214.93」を公開した。対象となるのは、Windows、Mac、Linux。

　同社からの告知には記載されていないが、最新版に更新すると内蔵のFlash Playerが最新の「16.0.0.296」に更新される。Flash Player最新版では、攻撃に悪用されている深刻な脆弱性が修正されている。

　最新版への更新は自動的に行われるほか、メニュー（右端のアイコン≡）から「Google Chromeについて」を選択すると、ただちに最新版の確認とアップデートが行える。

（2015/01/27 ネットセキュリティニュース）

【関連URL】
・Stable Channel Update[英文]（Google Chrome Releases）
http://googlechromereleases.blogspot.jp/2015/01/stable-channel-update_26.html
・APSA15-01：Security Advisory for Adobe Flash Player[英文]（Adobe）
http://helpx.adobe.com/security/products/flash-player/apsa15-01.html

　Adobe Flash Playerの未修正の脆弱性を悪用した攻撃が発生している問題で、アドビシステムズは25日、自動更新機能を通じ、この問題を修正したFlash Playerの最新版「16.0.0.296」の配布を開始したと発表した。

　攻撃に悪用されているのは、Windows版とMacintosh版の16.0.0.287以前のバージョン、13.0.0.262以前のバージョン、Linux版の11.2.202.438以前のバージョンに影響する、深刻なコード実行の脆弱性（CVE-2015-0311）である。Windows環境の閲覧者のパソコンにマルウェア（ウイルス）を強制的にインストールしようとする攻撃に、この脆弱性が悪用されているとの報告が、セキュリティ研究者のkafeine氏からあり、セキュリティ企業などが注意を呼びかけていた。

　アドビシステムズは、修正版の配布を今週と予告していたが、ひと足早く自動更新に載せたらしく、編集部でも昨夜、Windows 7環境の「16.0.0.287」が最新の「16.0.0.296」にアップデートされたことを確認している。

　26日午後現在、同社のダウンロードサイトやバージョン確認ページはまだ更新されていないが、現地での業務が始まる今夜から明日にかけて、手動で更新することもできるようになると思われる。同社は、パートナー企業とも協力しているとしており、Google ChromeおよびWindows 8/8.1に搭載されているInternet Explorer 10/11用のFlash Playerについても、準備が整い次第アップデートされる予定だ。

　Flash Playerの自動更新は、特に変更していなければ標準で有効に設定されており、パソコンの起動中は1時間おきに自動的に更新チェックが行われる。Flash Playerが使用中だと更新できないので、ブラウザを閉じた状態で待機していただきたい。

　システムにインストールされているFlash Playerのバージョンは、コントロールパネルの「Flash Player」の[高度な設定]タブで確認できるほか、下記「Flash Playerのバージョン確認」のページにアクセスすると、そのブラウザで有効なFlash Playerのバージョンが確認できる。複数のブラウザを使用している場合は、ブラウザごとにFlash Playerのバージョン確認とアップデートを行う必要がある。

　最新版への更新は、今のところ同社から直接配布されているプラグイン版の自動更新のみだが、準備が整い次第、下記「Flash Playerのダウンロード」ページでもダウンロードできるようになる。Google Chrome用のFlash Playerについては、Google Chromeの自動更新を通じて、Windows 8/8.1に搭載されているInternet Explorer 10/11用のFlashPlayerについては、Windows Updateを通じて配布されることになっており、準備が整い次第、自動的に更新される予定だ。

　今回は、未修正の脆弱性を悪用する攻撃コードが汎用の攻撃ツールに組み込まれるという、極めて危険な状態なので、Flash Playerの一時的なアンインストールや無効化、実行時に許可を求めるようにブラウザを設定にするなどの方法で急場をしのぎ、最新版が入手できるようになり次第、速やかにアップデートしていたきだたい。

（2015/01/26 ネットセキュリティニュース）

【関連URL】
・APSA15-01：Security Advisory for Adobe Flash Player[英文]（Adobe）
http://helpx.adobe.com/security/products/flash-player/apsa15-01.html
・Flash Playerのバージョン確認（アドビ）
http://www.adobe.com/jp/software/flash/about/
・Flash Playerのダウンロード（アドビ）
http://get.adobe.com/jp/flashplayer/

　Adobe Flash Playerの未修正の脆弱性を突く攻撃コードが、「Angler」というエクスプロイトキットに組み込まれていることがわかり、発見したセキュリティ研究者やセキュリティ企業が注意を呼びかけている。

　アドビシステムズは本日、この問題とは別の脆弱性1件を修正する、Flash Playerの緊急アップデートを公開したが、より深刻な問題がまだ解決されていないので、Flash Playerの無効化や一時的なアンインストール、実行時に許可を求めるように設定にするなどの安全策を講じておくことをお勧めする。

■23日公開の緊急アップデートについて

　定例外で公開されたFlash Playerの最新版は、コード実行の脆弱性攻撃を受けにくくするためにWindowsが備えている、メモリーのランダム化が回避されてしまう問題（CVE-2015-0310）を解決する。この脆弱性は、他の脆弱性と併用すると効果的なもので、すでに攻撃に悪用されていたという。

　アップデートの対象は、Windows、Mac、Linux。更新後のバージョンは、Windows版とMac版が「16.0.0.287」、Linux版が「11.2.202.438」となる。Flash Player 16を利用できないWindowsとMac向けには、13の最新版「13.0.0.262」が提供されている。

　システムにインストールされているFlash Playerのバージョンは、下記のバージョン確認ページにアクセスするか、コントロールパネルの「Flash Player」の[高度な設定]タブで確認できる。最新版は、同社サイトで配布されている。

　Windows 8/8.1に搭載されているInternet Explorer 10/11用のFlashPlayerについては、Windows Updateを通じて最新版が配布されており、自動的に更新が行われる。Google Chrome用のFlash Playerについては、最新版を同梱した「Google Chrome 40.0.2214.91」が公開されており、こちらも自動的に更新される。

【関連URL】
・APSB15-02：Security updates available for Adobe Flash Player[英文]（Adobe）
http://helpx.adobe.com/security/products/flash-player/apsb15-02.html

■攻撃に悪用されている未修正の脆弱性について～アップデートは来週

　Flash Playerの未修正の脆弱性を悪用した攻撃コードは、セキュリティ研究者のkafeine氏が、「Angler」というエクスプロイトキットに組み込まれているのを発見し報告したもの。エクスプロイトキットは、さまざまな脆弱性攻撃をパッケージ化した攻撃用のツールだ。闇市場で売買されており、改ざんした正規サイトなどから、こうしたツールで構築された攻撃サイトへと誘導し、閲覧者のパソコンにマルウェア（ウイルス）をインストールしようとする。そんなエクスプロイトキットのひとつから、最新Flash Playerに影響する攻撃コードが見つかったという。

　アドビのセキュリティアドバイザリによると、悪用されているのは、本日公開したWindows/Macintosh/Linux版の最新版および以前のバージョンに影響するコード実行の脆弱性（CVE-2015-0310）で、システムを乗っ取られるなどの深刻な事態を招くおそれがある。

　kafeine氏のブログによると、この脆弱性攻撃に使われている細工されたSWFファイルは、Google Chromeでは発動しないが、Windows XP/7/8上のInternet Explorer（IE）やFirefoxでは脆弱性の悪用に成功し、マルウェアの強制インストールを行うという。攻撃コードは、改良が進められているそうなので、攻略環境はさらに拡大するかもしれない。

　アドビでは、修正版を来週公開する予定だが、それまでの間は、Flash Playerの無効化や一時的なアンインストール、実行時に許可を求めるようにブラウザを設定にするなどの安全策を講じておくことをお勧めする。

【関連URL】
・APSA15-01：Security Advisory for Adobe Flash Player[英文]（Adobe）
http://helpx.adobe.com/security/products/flash-player/apsa15-01.html
・Unpatched Vulnerability (0day) in Flash Player is being exploited by Angler EK[英文]（Malware don't need Coffee）
http://malware.dontneedcoffee.com/2015/01/unpatched-vulnerability-0day-in-flash.html
・Adobe Flash Player に未確認のゼロデイ脆弱性（シマンテック）
http://www.symantec.com/connect/blogs/adobe-flash-player-0
・Flash Greets 2015 With New Zero-Day[英文]（TrendLabs Malware Blog）
http://blog.trendmicro.com/trendlabs-security-intelligence/flash-greets-2015-with-new-zero-day/
・Flash 0-day being distributed by Angler Exploit Kit[英文]（Websense）
http://community.websense.com/blogs/securitylabs/archive/2015/01/22/flash-0-day-being-distributed-by-angler-exploit-kit.aspx
・New Adobe Flash Zero-Day found in the Wild[英文]（Malwarebytes）
https://blog.malwarebytes.org/exploits-2/2015/01/new-adobe-flash-zero-day-found-in-the-wild/

（2015/01/23 ネットセキュリティニュース）

　グーグルは22日、深刻な脆弱性を修正した「Google Chrome」の最新安定版「40.0.2214.91」を公開した。対象となるのは、Windows、Mac、Linux。モバイル版のGoogle Chrome 40も、iOS版が前日、Android版が同日公開されている。

　デスクトップ版のChrome 40では、62件の脆弱性が修正されている。修正された脆弱性には、リモートコード実行につながるメモリーがらみの危険な問題が多数含まれており、悪用されるとシステムが乗っ取られるなどの深刻な事態を招くおそれがある。

　最新版への更新は自動的に行われるほか、Chromeメニュー（右端のアイコン≡）から[Google Chromeについて]を選択すると、ただちに最新版の確認とアップデートが行える。

■NPAPIプラグインの全ブロック開始

　サポート停止に向けて段階的な廃止措置がとられている、NPAPI（Netscape Plugin API）プラグインが、今回から標準で全てブロックされるようになった。

　NPAPIは、1990年代に人気の高かったWebブラウザ「Netscape Navigator」が搭載した、さまざまな機能をブラウザに組み込むための仕組みのこと。多くのブラウザに採用され、異なるブラウザ上で同じNPAPIプラグインが利用できるようになった。しかし、設計が古く性能や安全性の問題が顕著になりはじめたことから、Chromeでは、より安全なPPAPI（Pepper Plugin API）を提供し、移行を呼びかけるとともに、NPAPIプラグインの段階的な廃止措置を開始した。

　2014年1月からは、NPAPIプラグィンが標準でブロックされるようになった。ただし、マイクロソフトのSilverlightなどの一部のプラグインはホワイトリスト化され、ブロックの対象外になっていた。今回からは、このホワイトリストで許可されていたものも含め、すべてのNPAPIプラグインがブロックの対象となり、ユーザーが許可を与えなければ実行できなくなった。今年4月に公開予定の「Google Chrome 42」からは、NPAPIプラグインのサポート自体が標準で無効化される予定だ。

　Chromeにインストールされているプラグインの管理は、Chromeメニュー（右端のアイコン≡）から[設定]を選択し、[詳細設定を表示]をクリック。[プライバシー]セクションの[コンテンツの設定]をクリックして、[プラグイン] セクションで行う。ここでは、プラグインの標準動作（自動実行/クリック再生/ブロック）を選択。[例外の管理]では、ホスト別の例外指定が、[プラグインを個別に無効にする]では、インストールされている個々のプラグインの動作が指定できる。

（2015/01/23 ネットセキュリティニュース）

【関連URL：グーグル】
・Stable Channel Update [英文]
http://googlechromereleases.blogspot.jp/2015/01/stable-update.html
・Chrome for Android Update [英文]
http://googlechromereleases.blogspot.jp/2015/01/chrome-for-android-update.html
・Chrome for iOS Update [英文]
http://googlechromereleases.blogspot.jp/2015/01/chrome-for-ios-update.html
・Upcoming changes to NPAPI support in Chrome, impact on audio dialing in Google Talk [英文]
http://googleappsupdates.blogspot.jp/2015/01/upcoming-changes-to-npapi-support-in.html

　JPCERTコーディネーションセンター（JPCERT/CC）は、2014年第4四半期（2014年10～12月）に受け付けたインシデントレポートを発表した。「Webサイト改ざん」「フィッシング」は前四半期より減少したが、弱点を探索する「スキャン」は大幅増加、閲覧するだけで感染する「マルウエアサイト」も増加し、インシデント報告件数は全体で34％増加した。

　JPCERT/CCは、国際的な調整・支援が必要なコンピューターセキュリティのインシデント（脅威となる案件）について、日本の窓口組織として調整活動を行っており、国内外のインシデントの報告を受け付けている。14日に発表された昨年10～12月（2014年第4四半期）のレポートによると、寄せられたインシデントの報告件数は6231件で、前四半期4638件より34％増加、前年同期と比較すると29％増加している。

　カテゴリ別にみると、「Webサイト改ざん」は781件（前四半期968件）、「フィッシングサイト」は406件（同417件）で、それぞれ前期より減少した。増加が顕著なのは、システムの弱点を探索するスキャンの対象となる「スキャン」3592件で、前期の1948件から84％増加している。閲覧するだけで感染してしまう「マルウエアサイト」も312件（同271件）と、前期より15％増加した。

■Webサイト改ざん－－修正された脆弱性による感染を確認

　JPCERT/CCは、昨年11月後半から12月半ばにかけて、Windows OLEの脆弱性（MS14-064）を悪用した感染事例を複数確認したという。改ざんサイトから誘導されるページに、この脆弱性を悪用してマルウエアに感染させるコードが埋め込まれていた。この脆弱性は昨年11月12日のセキュリティアップデートで公表されたもので、公表時点でパッチを適用していれば、その後の感染は防げたはず。JPCERT/CCは、セキュリティアップデートの公開後は、攻撃の被害を防ぐために、できる限り早く適用するようアドバイスしている。
　12月初めごろからは、不審サイトに誘導する改ざん（難読化されたJavaScriptをページ末尾に埋め込む）が行われたサイトが多数確認されている。他にも、「SEOポイズニング」目的とみられる改ざんサイトや、薬の販売や宣伝目的とみられるサイトへの転送設定が記述されたページの設置事例などが多数確認された。

■フィッシング－－国内金融機関の偽サイト減少、国外ブランドは25％増加

　フィッシングサイトの報告件数406件のうち、国内ブランドの偽サイトは75件で、前四半期の139件から46％減少した。国外ブランドの偽サイトは236件で、前四半期の189件から25％増加した。国内ブランドの大幅な減少は、国内金融機関の偽サイトの減少が原因だという。国内金融機関の偽サイトは前四半期では非常に多く確認されていたが、昨年10月には減少し、11月以降には確認されなかった。国内オンラインゲームサービスを装ったフィッシングサイト数も前四半期に比べて減少したが、こちらは昨年10月末以降、継続的に報告が寄せられているという。偽サイトの割合をブランド種別でみると、もっとも多いのは金融機関サイト（47.9％）で、次位のポータルサイト（21.5％）と合わせ全体の約7割を占める。他には、Eコマース（6.4％）、通信事業者（5.8％）、ゲーム（5.8％）、SNS（2.3％）、企業（1.9％）など。
　偽サイトの調整先の割合は、国内70％、国外30％で、前四半期(国内58％、国外42％)に比べ、国内調整が増加した。

　JPCERT/CCはこの他、「国内Webサイトのドメイン名ハイジャックに関する対応」「国内組織のデータベース情報がアップロードされた文書共有サイトに関する対応」「12月前半に発生したSSHブルートフォース攻撃に関する対応」の3つの対応事例を挙げ、それぞれのインシデントの原因究明と調整のプロセスを報告している。

（2015/01/22 ネットセキュリティニュース）

【関連URL：JPCERT/CC】
・インシデント報告対応レポート [2014年10月1日～2014年12月31日] [PDF]
http://www.jpcert.or.jp/pr/2015/IR_Report20150114.pdf

　オラクルは21日、複数の深刻な脆弱性を修正したJRE（Java Runtime Environment：Java実行環境）の最新版、JRE 8 Update 31（1.8.0_31）を公開した。

　最新版では、Update 25以前のJRE 8（1.8.0_25）および Update72以前のJRE 7（1.7.0_72）に含まれる、19件の脆弱性が修正されている。脆弱性評価システム（CVSS）のスコアが最高値の「10.0」とされている、危険性の高いコード実行の脆弱性が4件含まれており、悪用されると外部からの攻撃でシステムが乗っ取られてしまうなどの深刻な被害が発生するおそれがある。

　対象となるのは、Windows、v10.7.3以降のMac OS X、Linux、Solaris。JREのアップデート機能（自動更新機能や、Javaコントロールパネルの[更新]タブの[今すぐ更新]ボタン）を使って更新できるほか、同社サイトから無料でダウンロードすることもできる。

　なお、JRE 7の一般向けアップデートは、今年4月に終了が予定されており、今回のリリースからは、JRE 8に自動更新される。JRE 7の環境でアップデート機能を利用した場合には、JRE 8に更新され、JRE 7は削除されるので、注意していただきたい。何らかの事情で今しばらくJRE 7を使い続けたい場合には、自動更新は行わず、下記の「Java 7のダウンロード」ページから最新版（Update 75）をダウンロードし、手動でインストールする。

（2015/01/21 ネットセキュリティニュース）

【関連URL：オラクル】
・Oracle Critical Patch Update Advisory - January 2015[英文]
http://www.oracle.com/technetwork/topics/security/cpujan2015-1972971.html
・Javaのバージョンの確認
http://www.java.com/ja/download/installed.jsp
・Javaのダウンロード
http://java.com/ja/download/
・Java 7のダウンロード
http://www.java.com/ja/download/manual_java7.jsp
・Oracle Java SEサポート・ロードマップ
http://www.oracle.com/technetwork/jp/java/eol-135779-ja.html

　ジャパンネット銀行は昨年11～12月にネットバンキングのセキュリティに関する意識調査を行い、その結果を今月8日に発表した。被害・危険の経験がある個人は4割以上にのぼり、この2年間で情報流出経験は3.2倍、不正出金経験は2.3倍に増えた。ネットバンキングにスマートフォンを利用する人は5割を超えている。

　同行は2012年11月にも同趣旨の意識調査を個人顧客対象に行っている。今回の調査対象は同行に口座を持つ、20代～50代の男女3939名の個人に加え、425社の法人も対象とした。調査方法はインターネット調査で、個人は2014年11月5～9日、法人は同12月2～4日に実施した。以下、その要旨を紹介する。（2年前の調査結果との比較は、すべて個人を対象としたもの）

■個人の4割超が「被害・危険」を経験、法人の4割が偽メールを受信

　「インターネットバンキングに関わる被害・危険」に遭遇した経験を尋ねると、個人の42.2％、法人の36.5％が「経験あり」としている。前回調査（19.4％）と比べ、2.2倍の増加となった。被害・危険の内容について尋ねた結果（複数回答）をみると、目を引くのが「フィッシングメール受信」の多さで、法人では40.9％、個人では25.5％が経験している。前回調査（9.3％）と比べ、2.7倍の増加である。フィッシングメールと同じく被害の前段階の危険といえる「スパイウェアへの感染」については、個人が15.4％、法人が5.6％で、前回調査（6.4％）より2.4倍増加した。

■「情報流出」は3.2倍、「不正出金」は2.3倍に増加

　ネットバンキング被害の前駆症状と言える偽メールやスパイウェアが2年前より倍増していることがわかったが、被害の核心である口座情報の流出や不正出金についてはどうか。「個人情報や口座情報の流出」は、個人の15.8％（前回調査4.9％）、法人の1.2％が経験したと回答しており、2年前より3.2倍の増加となった。「預金の不正出金」は、個人の2.1％（前回調査0.9％）法人の0.7％が経験ありと回答しており、2年前の2.3倍である。被害の前駆症状が増加するのに比例して、被害そのものも増加していることがわかる。

■スマホでのネットバンキング利用は5割超

　どの端末でネットバンキングを利用しているかを個人に尋ね結果（複数回答）は、「パソコン」93.2％、「スマートフォン」50.3％、「タブレット」13.7％、「携帯電話」7.1％だった。スマホが5割を超え、携帯電話が1割を切っている。スマホにアプリ（ゲームやSNSなどアプリ全般）をインストールすることに不安を感じるかという個人への質問には、「不安を感じる」32％、「どちらかといえば感じる」38.1％、「どちらかといえば感じない」19.6％、「感じない」10.4％だった。「感じる」と「どちらかといえば感じる」を合わせると70.1％となり、前回調査ではこの2つの合算は88.8％だったので、アプリに不安をもつ人は20％近く減少したことになる。同行は、スマホ普及に伴ってアプリが身近になったことを示すものとしている。

■銀行に求めるもの－－「セキュリティ」が1位、手数料や利便性も重視

　ネットバンキング利用で銀行を選ぶ際に重視することを尋ねると、「セキュリティ」が個人（73.5％）、法人（72.5％）とも1位だった。前回調査（80.6％）と比べ、7.1％減少している。代わりに上昇している項目は「手数料」と「サービス内容」で、前者は1％伸びて60.4％に、後者は6.1％上昇して27.6％となっている。法人では「手数料」「振り込みなど決済の利便性」「金利」を重視する割合が個人よりも高い。同行は、危険が高まっている状況にありながら「セキュリティ」を重視する人が減った理由として、この2年間でセキュリティ対策を強化した銀行が増えたことにより、「セキュリティ対策は当然のこと」として認識されていることが考えられるとしている。

（2015/01/20 ネットセキュリティニュース）

【関連URL：ジャパンネット銀行】
・第2回インターネットバンキングに関する意識調査を実施
http://www.japannetbank.co.jp/company/news2015/150108.html
・PDF版
http://www.japannetbank.co.jp/company/news2015/pdf/150108.pdf

　IPA（情報処理推進機構）は15日、企業の情報セキュリティ被害や対策について調べた「2014年度情報セキュリティ事象被害状況調査」を公表した。ウイルス遭遇率、サイバー攻撃遭遇率とも前回より増加しているが、クライアントパソコンやサーバーのセキュリティパッチ適用状況はまだ不十分な状況にある。

　この調査は1989年度から実施されており、今回は通算25回目となる。業種別・従業員数別に抽出した1万3000社を対象に、情報セキュリティ体制・対策の現状と、ウイルス・サイバー攻撃による被害状況（対象期間：2013年4月～同3月）について問うもので、昨年8月～10月に実施し、1913件の回答を得ている（有効回収率14.7％）。

■ウイルス遭遇、サイバー攻撃遭遇とも前回より増加

　コンピュータウイルスの遭遇経験（感染または発見）は、「ウイルスに感染した」が16.6％、「ウイルスを発見したが感染に至らなかった」が53.7％で、遭遇率は70.3％となり、前回調査より2.3ポイント増加した。サイバー攻撃については、「被害にあった」とする回答は4.2％、「発見のみ」とする回答は15.1％で、遭遇率は19.3％となり、前回から5.5ポイント増加した。
　ウイルスの侵入経路は、インターネット接続（ホームページ閲覧など）」が65.4％、「電子メール」60.6％、「USB メモリ等の外部記憶媒体」が34.5％の順となった。サイバー攻撃の手口は、「DoS 攻撃」が43.2％、「標的型攻撃」30.4％、「脆弱性（パッチの未適用）を突かれたことによる不正アクセス」15.8％「SQLインジェクション」9.2％の順だった。
　ウイルスの直接的被害をみると、「個人の業務停滞」42.3％が最多で、「パソコン単体の停止」31.2％、「特になし」29.7％、「システム停止・性能低下」14.8％などとなっている。サイバー攻撃を受けた企業の被害内容は、「Webサイトのサービスの機能が低下させられた」22.5％、「業務サーバのサービスの機能が低下させられた」20.0％、「Webサイトが改ざんされた」12.5％などで、Webサイトに関する被害が多数を占めた。

■標的型攻撃の手口は巧妙なメール

　前述のサイバー攻撃に遭遇した19.3％（368社）のうち、30.4％（112社）が標的型攻撃を受け、うち18.8％（21社）が、ウイルス感染や不正アクセス、情報漏えい等の被害にあっている。従業員の規模別にみると、300人以上の企業では23.8％、300人未満の企業では3.6％となり、従業員数が多い企業での被害率は約6倍になる。
　標的型攻撃の手口は、「同僚や取引先、サービス事業者からのメールを装い、添付したウイルスファイルを開かせる」が54.5％と最も多く、次いで「メールに表示されたURL経由で攻撃用のウェブサイトに誘導される」40.2％、「公的機関からのメールを装い、添付したウイルスファイルを開かせる」27.7％だった。開封を促すための文面等が巧妙になっており、攻撃を受けた企業が1年間（2013年度）に受けた「標的型攻撃と思われる電子メール」の件数は、「10～99 通」が34.8％で最も多く、次いで「1～9通」29.5％、「100～999通」13.4％だった。

■まだ十分でないセキュリティパッチ適用状況

　クライアントパソコンへのセキュリティパッチ適用状況は、「常に適用し、適用状況も把握」が43.3％と、前回より7.3ポイント増加した。しかし、「実際の適用状況は不明」29.7％、「各ユーザに適用を任せている」13.6％と、実際に適用を確認していない企業が4割超で存在している。脆弱性が残るパソコンが標的にされ、サイト閲覧だけで感染させる攻撃が相次いでいることから、パッチ適用は十分とは言えない状況だ。
　また、外部に公開しているサーバーがパッチを「ほとんど適用していない」割合は6.3％だが、組織内部で利用しているサーバーにパッチを「ほとんど適用していない」割合は16.8％だった。内部サーバーは外部から直接攻撃されることはないと考え、現状設定のまま変更したくない意識が働いていると推測されるという。しかし、前述のように、ウイルスの侵入経路として「USBメモリ等の外部記憶媒体」が34.5％もあることから、組織内での感染拡大防止のためにも、適切な管理が求められるとIPAは警告している。

（2015/01/19 ネットセキュリティニュース）

【関連URL：IPA】
・「2014年度情報セキュリティ事象被害状況調査」報告書について
http://www.ipa.go.jp/security/fy26/reports/isec-survey/index.html
・「2014年度情報セキュリティ事象被害状況調査」報告書[PDF]
http://www.ipa.go.jp/files/000043418.pdf

　モジラは13日、Webブラウザ「Firefox」の最新版「35.0」を公開した。対象となるのは、Windows、Mac、Linux、およびAndroid。法人向けの延長サポート版（ESR）「31.4.0」と、メールソフト「Thunderbird」の「31.4.0」も公開されている。

　デスクトップ版Firefox 35.0では、「HTTP公開鍵ピンニング」の機能が拡張され、暗号化通信を行うサーバの認証がより安全・確実に行われるようになるなど、機能の追加が行われたほか、9件の脆弱性が修正されている。

　脆弱性の重要度は、4段階評価で最も高い「最高」が3件、次に高い「高」が1件、「中」が4件、「低」が1件。サンドボックスが回避されてしまう問題、解放したメモリーを使用してしまう問題など、悪用されると任意のコードが実行されるおそれのある危険な脆弱性が含まれている。

　ESR版では、35.0と共通する「最高」2件、「高」2件、計4件の脆弱性が修正された。ESR版Firefoxで修正された脆弱性のうち3件は、同じエンジンを使用するメールソフトThunderbirdにも影響があり、こちらも最新版の「31.4.0」が公開されている。

　それぞれの最新版は自動更新機能を通じて配布されているほか、手動で今すぐ更新することもできる。デスクトップ版では、メニューボタン「≡」をクリック→下段のヘルプボタン「？」をクリック→表示された[ヘルプ]メニューの[Firefoxについて]を選択する。Android版は、[設定]→[Mozilla]→[Firefoxについて]の順に選択し[更新を確認]をタップする。Thunderbirdは、[ヘルプ]メニューの[Thunderbirdについて]を選択すると、最新版の確認とアップデートが行える。

（2015/01/14 ネットセキュリティニュース）

【関連URL：モジラ】
＜Firefox 35.0＞
・リリースノート（デスクトップ版）
http://www.mozilla.jp/firefox/35.0/releasenotes/
・リリースノート（Android版）
http://www.mozilla.jp/firefox/android/35.0/releasenotes/
・セキュリティアドバイザリ
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox.html
＜Firefox ESR 31.4.0＞
・リリースノート
http://www.mozilla.jp/firefox/31.4.0/releasenotes/
・セキュリティアドバイザリ
http://www.mozilla-japan.org/security/known-vulnerabilities/firefoxESR.html
・Firefox ESRのダウンロード
https://www.mozilla.org/ja/firefox/organizations/all/
＜Thunderbird 31.4.0＞
・リリースノート
http://www.mozilla.jp/thunderbird/31.4.0/releasenotes/
・セキュリティアドバイザリ
http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird.html

　アドビシステムズは13日（米国時間）、9件の脆弱性を修正した「Flash Player」の最新版を公開した。緊急度は、最も高い「クリティカル」。アップデートの優先度は、Windows版、Mac版、Google Chrome搭載版、Internet Explorer搭載版で最も高い「1」とされており、すでに攻撃の対象となっているか、攻撃対象となる危険性が高いことを示している。

　最新版では、メモリー破壊の問題、ヒープベースのバッファオーバーフローが起こる問題などコード実行につながるおそれのある脆弱性や、キーストロークをキャプチャされるおそれのある脆弱性などが修正されている。

　アップデートの対象となるのは、Windows版、Mac版、Linux版のFlash Playerで、更新後のバージョンはWindows版とMac版が「16.0.0.257」、Linux版が「11.2.202.429」となる。Flash Player 16を利用できないWindowsとMac向けには、13系の最新版「13.0.0.260」が提供されている。

　システムにインストールされているFlash Playerのバージョンは、下記のバージョン確認ページにアクセスするか、コントロールパネルの「Flash Player」の[高度な設定]タブで確認できる。最新版は同社サイトで配布されている。

　Windows 8/8.1に搭載されているInternet Explorer 10/11用のFlash Playerについては、Windows Updateを通じて「16.0.0.257」が配布されており、自動的に更新が行われる。Google Chrome用のFlash Playerについては、最新の「16.0.0.257」を同梱した「Google Chrome 39.0.2171.99」が公開されており、こちらも自動的に更新される。

（2015/01/14 ネットセキュリティニュース）

【関連URL】
・APSB15-01 Security updates available for Adobe Flash Player[英文]（アドビ）
http://helpx.adobe.com/security/products/flash-player/apsb15-01.html
・Flash Playerのバージョン確認（アドビ）
http://www.adobe.com/jp/software/flash/about/
・Flash Playerのダウンロード（アドビ）
http://get.adobe.com/jp/flashplayer/
・マイクロソフトセキュリティアドバイザリ（2755801）Internet Explorer上のAdobe Flash Playerの脆弱性に対応する更新プログラム（マイクロソフト）
https://technet.microsoft.com/ja-jp/security/advisory/2755801
・Stable Channel Update[英文]（Google Chrome Releases）
http://googlechromereleases.blogspot.jp/2015/01/stable-channel-update.html

　グーグルは13日（米国時間）、同社のWebブラウザ「Google Chrome」の最新安定版39.0.2171.99」を公開した。対象となるのは、Windows、Mac、Linux。

　最新版への更新は自動的に行われるほか、メニュー（右端のアイコン≡）から「Google Chromeについて」を選択すると、ただちに最新版の確認とアップデートが行える。

　最新版では複数のバグが修正されたほか、内蔵のFlash Playerが最新の「16.0.0.257」に更新された。Flash Player最新版では、コード実行につながるおそれのある深刻なものも含め、脆弱性9件が修正されている。

（2015/01/14 ネットセキュリティニュース）

【関連URL】
・Stable Channel Update[英文]（Google Chrome Releases）
http://googlechromereleases.blogspot.jp/2015/01/stable-channel-update.html
・APSB15-01 Security updates available for Adobe Flash Player[英文]（アド
ビ）
http://helpx.adobe.com/security/products/flash-player/apsb15-01.html

　マイクロソフトは14日、1月度の月例セキュリティパッチ（セキュリティ更新プログラム）を公開した。公開されたパッチは、深刻度が4段階評価で最も高い「緊急」1件と、次に高い「重要」7件の計8件。Windows、Windows Serverが影響を受ける。

【更新プログラムの内容】
＜緊急＞
・[MS15-002]Windows Telnetサービス：リモートコード実行の脆弱性

＜重要＞
・[MS15-001]Windowsアプリケーションの互換性のキャッシュ：特権昇格の脆弱性
・[MS15-003]Windows User Profile Service：特権昇格の脆弱性
・[MS15-004]Windowsコンポーネント：特権昇格の脆弱性
・[MS15-005]Network Location Awarenessサービス：セキュリティ機能バイパスの脆弱性
・[MS15-006]Windowsエラー報告：セキュリティ機能バイパスの脆弱性
・[MS15-007]ネットワークポリシーサーバーのRADIUS実装：サービス拒否の脆弱性
・[MS15-008]Windows カーネルモードドライバー：特権昇格の脆弱性

　「重要」のWindowsコンポーネントの脆弱性（MS15-004）は、すでに他の脆弱性と組み合わせて限定的な攻撃に使用されている。

　このほか、Windows 8/8.1/RT/RT 8.1およびServer 2012/Server 2012 R2上のInternet Explorer 10/11に搭載されている「Adobe Flash Player」の更新プログラムと、新たに「Dyzap」「Emotet」に対応した「悪意のあるソフトウェアの削除ツール」の更新バージョンが公開された。

（2015/01/14 ネットセキュリティニュース）

【関連URL：マイクロソフト】
・セーフティとセキュリティセンター
http://www.microsoft.com/ja-jp/security/default.aspx
・2015年1月のマイクロソフトセキュリティ情報の概要
https://technet.microsoft.com/ja-jp/library/security/ms15-jan
・セキュリティアドバイザリ（2755801）Internet Explorer上のAdobe Flash Playerの脆弱性に対応する更新プログラム
http://technet.microsoft.com/ja-jp/security/advisory/2755801

　東京都は5日、架空・不当請求の相談が増加しているとして注意を呼びかけた。また、スマートフォンのワンクリック請求をめぐり、「行政の相談窓口だと思って相談したら料金を請求された」という相談が寄せられているとして、こちらにも注意を呼びかけている。

■性別や年代問わずあらゆる層が被害に

　都によると、2014年度上期、都の消費生活センターには架空・不当請求の相談が2980件寄せられた。前年同期と比べて26.3％増加しており、中でもスマートフォンに関連した架空・不当請求の被害が増加した。また、架空・不当請求は性別・年代問わず、あらゆる人が被害にあっているのが特徴だ。東京都の情報サイト「東京くらしWEB」では「架空請求対策」が常にアクセスランキング第1位となっており、関心の高さがうかがわれるという。

■自分から電話、メールするのは厳禁

　架空・不当請求には様々な手口があるが、共通しているのは、あたかも契約が成立したかのように装って不安をあおり、自分から連絡をさせるように仕向けている点。こちらから連絡してしまうと、詐欺を仕掛けている事業者は言葉巧みに名前や住所等の個人情報を聞きだそうとする。
　スマートフォンやパソコンの画面に、「誤作動で登録の方はこちら」、「退会手続きはこちら」、「未成年なら解約可能」、「24時間以内なら退会可能」、「消費者相談窓口」等と表示して、電話やメールをさせようとしている場合もあるが、これも個人情報を聞き出す罠である。絶対に連絡をしてはいけない。

■個人情報を抜き取る悪質アプリも――アプリのインストールは慎重に

　不正アプリを使ったスマホ特有の手口もある。このアプリをインストールすると、メールアドレス、電話番号、電話帳、位置情報など端末内の個人情報を盗み取られてしまう。架空・不当請求事業者はその情報を悪用して、料金督促のショートメール（SMS）やEメールを送りつけたり、電話をかけてきたりする。都ではこの手口について、スマートフォンユーザーに以下の対策を呼びかけている。
　・ウイルス対策ソフトを入れて、常に最新の状態を保っておく。
　・作成者や提供元が不明のアプリはダウンロードしない。
　・アプリをインストールするときはアクセス許可を確認して、不必要なアクセス権限を求められている場合はインストールしない。

■行政の窓口だと思って相談したら料金を請求されたという相談も

　都では、請求内容に疑問、不安を感じたら、すぐに最寄りの消費生活センターに相談するよう呼びかけている。ただし、ここにも落とし穴がある。

＜相談事例1＞
　スマートフォンを操作中に意図せずアダルトサイトに接続してしまい、利用料金を支払うよう表示された。あわててインターネットで「消費者センター」を検索し、上位に表示された相談先に電話した。対応した人から助言を受け、さらに「書類を送付する」というので依頼した。届いた書類を確認してみると、「委任契約書」となっており、事業者名と数万円の料金が記載されていた。自治体の相談窓口ではないのか。

＜相談事例2＞
　スマートフォンで漫画サイトを見ていたら突然アダルトサイトに接続され、料金請求の表示が出た。検索サイトを使って行政の相談窓口を探したところ、「相談無料」と記載された行政書士事務所のサイトをみつけた。事務所に電話したところ「端末から個人情報が漏えいしている。こちらで解決する。サイトと話をつける」と言われ、4万円近い料金を支払って「架空請求の履歴の削除」を依頼した。後日、その事務所から解決した旨の報告を受けたが、連絡したサイト名や相手先住所などを聞いても答えてもらえず、不審だ。

　都ではこうした相談をめぐり、以下のようにアドバイスしている。

・インターネット検索結果の画面に公的な機関を推測させるような名称が表示されていたとしても、行政のサイトではなく、事業者の広告の場合もある。行政の消費者相談窓口を利用するときには、住んでいる自治体のホームページ内のリンクを使って電話番号を調べるか、自治体の代表電話にかけて尋ねるとよい。

・行政書士が事業者と「交渉」することはできない。行政書士の業務は、他人の依頼を受け報酬を得て、官公署に提出する書類その他権利義務または事実証明に関する書類を作成すること等とされている。弁護士のように、被害者に代わって事業者と交渉することはできないので、注意が必要。

　なお、全国の消費生活センター等の所在地、電話番号等は、国民生活センターホームページ内の以下のページから探すこともできる。

（2015/01/13 ネットセキュリティニュース）

【関連URL】
・架空請求の「ワナ」に気を付けて！（東京都）
http://www.shouhiseikatu.metro.tokyo.jp/trouble/trouble37-kakuuseikyu-150105.html
・行政の相談窓口だと思って相談したら、料金を請求された！～「ワンクリック詐欺」被害に遭っても、あせらず、あわてず対応しましよう～（東京都）
http://www.shouhiseikatu.metro.tokyo.jp/sodan/kinkyu/141209.html
・全国の消費生活センター等（国民生活センター）
http://www.kokusen.go.jp/map/index.html

　マイクロソフトは9日、セキュリティ更新プログラム（修正パッチ）の概要を一般ユーザーに事前に提供していた事前通知サービスを廃止すると発表した。プレミアサポートのユーザーに対しての通知サービスは、今後も継続するという。

　同社では、月の第二水曜日にWindowsやOffice製品などの定期的なアップデートを行っている。この月例パッチに先立ち、2004年11月からは、公開を予定しているパッチの概要を第一金曜日に提供する事前通知サービスが始まった。事前にパッチの適用プランを立てられるよう配慮したこのサービスが、昨年12月までの約10年間にわたって行われていた。

　この間に、WindowsのアップデートにOffice製品などのアップデートも統合され、自動更新に未対応だった古いWindowsは、サポート期限を終えて一掃された。一般ユーザーのほとんどは、標準で有効に設定されている自動更新機能を使ってパッチを適用しており、事前に特別な準備作業を行うユーザーは、ほとんどいないのだという。

　こうした経緯から、一般ユーザー向けの事前通知サービスは廃止し、今後は、企業向けに提供しているプレミアサポートの契約ユーザーと、脆弱性情報などをセキュリティ関連企業などと共有するための「Microsoft Active Protections Program（MAPP）」の参加企業向けにのみ提供するという。

　なお同社では、プレミアサポートを契約していない一般ユーザー向けに、「myBulletins」というサービスの利用を勧めている。無料のマイクロソフトアカウントで利用できるこのサービスは、ユーザーが選択・設定したOSやアプリケーション関する公開されたセキュリティ情報を集約し、閲覧できるようにするもの。英語版のサービスだが、翻訳済みのセキュリティ情報は日本語で表示できる。

（2015/01/09 ネットセキュリティニュース）

【関連URL】
・2015 年にマイクロソフトの事前通知サービス (ANS) を変更（日本のセキュリティチーム）
http://blogs.technet.com/b/jpsecurity/archive/2015/01/09/evolving-microsoft-s-advance-notification-service-ans-in-2015.aspx
・Evolving Microsoft's Advance Notification Service in 2015[英文]（Microsoft Security Respopnse Center）
http://blogs.technet.com/b/msrc/archive/2015/01/08/evolving-advance-notification-service-ans-in-2015.aspx

　IPA（情報処理推進機構）は7日、「スマートフォン」「クラウドサービス」「インターネットバンキング」の3つの脅威について、それぞれの危険性と対策をまとめ、「利便性 となり合わせの 危険性」というコンクール優秀賞の標語を用い、十分な注意をするよう呼びかけた。

　IPAは毎月、その時期に最も注意すべき危険について解説する「今月の呼びかけ」を公開しているが、昨年は「スマートフォン」について4回（5月、6月、9月、12月）、「クラウドサービス」と「インターネットバンキング」は2回（前者は2月と10月、後者は7月と8月）取り上げている。今年1月の「呼びかけ」では、重要度が高かったその3つのテーマをまとめて取り上げ、注意すべき点を改めて解説している。

■スマートフォンのセキュリティ

　スマートフォンの世帯保有率は2013年末で62.6％となり、2011年の29.3％の2倍を超えた。それに伴ってIPAの安心相談窓口に寄せられるスマートフォンに関する相談件数も増加し、2011年は128件だったものが、2014年には1084件と急増した。端末の紛失や盗難対策、不正アプリによる情報の窃取などの被害を防ぐためには、「端末（画面）ロックを設定する」「スマートフォンを他人に操作させない」「アプリは公式マーケットなどの信頼できる場所から入手する」ことが重要だ。スマートフォンの利用にはアプリが不可欠だが、便利なアプリと偽った不正アプリも存在することから、不用意にアプリをダウンロード、インストールしないよう注意していただきたい。
＜参考情報＞
・あなたのスマートフォン、のぞかれていませんか？（5月）
http://www.ipa.go.jp/security/txt/2014/05outline.html
・登録完了画面が現れても、あわてないで！（6月）
http://www.ipa.go.jp/security/txt/2014/06outline.html
・非公認のスマートフォンアプリに不用意にアカウント情報を登録していませんか？（9月）
http://www.ipa.go.jp/security/txt/2014/09outline.html
・個人間でやりとりする写真や動画もネットに公開しているという認識を！（12月）
http://www.ipa.go.jp/security/txt/2014/12outline.html

■クラウドサービスのセキュリティ

　昨年9月、米国の著名人のプライベート画像流出事件があり、クラウドサービスの不正利用の例として一般に認識された。IPAは、データをパソコンに保存する場合とクラウドに保存する場合の利便性とリスクを説明し、その特性を理解したうえでクラウドサービスを利用するよう呼びかけている。具体的には、クラウドサービスの「公開範囲」や「公開対象」などを事前によく確認すること。当然ながら安易なパスワードを使わないなどアカウント情報の管理に留意すること。さらに、万一のことを考え、外部に公開しても問題のないデータのみ利用するようにアドバイスしている。
＜参考情報＞
・知らない間に情報を外部に漏らしていませんか？（2月）
http://www.ipa.go.jp/security/txt/2014/02outline.html
・クラウドサービスからの情報漏えいに注意！（10月）
http://www.ipa.go.jp/security/txt/2014/10outline.html

■インターネットバンキングのセキュリティ

　ネットバンキングの不正送金被害は2013年4月以降増え続けており、2014年の総被害額は、2014年9月末の時点で2013年の総被害額の2倍以上となってしまった。「電子証明書」を窃取するウイルスが出現し、一度の取引額が高い法人口座が狙われたことが、被害額を押し上げる一因となった。ネットバンキングのセキュリティ対策のポイントは、ウイルス感染対策を徹底すること。「サポートの終了したOSやソフトウェアがインストールされているパソコンは利用しない」「使用しているパソコンにインストールされているソフトウェアは常に最新バージョンに更新し、脆弱性を解消する」「セキュリティソフトを導入し、ウイルス定義ファイルを最新に保つ」「安易にメールに添付されたファイルやメール本文中のURLをクリックしない」など、セキュリティの基本を守ることが大切だ。
＜参考情報＞
・あなたのパソコンは4月9日以降、大丈夫？（4月）
http://www.ipa.go.jp/security/txt/2014/04outline.html
・オンラインバンキングの正しい画面を知って、金銭被害から身を守りましょう！（7月）
http://www.ipa.go.jp/security/txt/2014/07outline.html
・法人向けインターネットバンキングの不正送金対策、しっかりできていますか？（8月）
http://www.ipa.go.jp/security/txt/2014/08outline.html

（2015/01/08 ネットセキュリティニュース）

【関連URL：IPA】
・2015年1月の呼びかけ「利便性 となり合わせの 危険性」
http://www.ipa.go.jp/security/txt/2015/01outline.html

　フィッシング対策協議会は6日、2014年12月の月次報告書を公開した。フィッシング報告件数等が減少する一方、オンラインゲームをかたるフィッシング報告件数の割合が増加し、年明けもフィッシングの報告が続いているという。

　2014年12月に同協議会に寄せられたフィッシング報告件数（海外含む）は、前月の11月より48件少ない503件だった。攻撃者がユーザーを誘導する偽サイトのURL件数（重複なし）も前月より16件減少し、385件となった。

　フィッシングに悪用されたブランド件数（海外含む）は9件で、前月度より3件減少している。注目されるのは、金融機関をかたるフィッシングの報告件数が減少し、相対的にオンラインゲームをかたるフィッシングの報告件数の割合が増加していること。当該月のオンラインゲームの報告件数は、全体の報告件数の9割以上を占めた。

　年末に引き続き、年明けもオンラインゲームをかたるフィッシングメールの報告が寄せられているとして、同協議会は注意を呼び掛けている。

（2015/01/07 ネットセキュリティニュース）

【関連URL：フィッシング対策協議会】
・2014/12 フィッシング報告状況
https://www.antiphishing.jp/report/monthly/201412.html
・[更新] スクウェア・エニックス（ドラゴンクエスト X）をかたるフィッシング
https://www.antiphishing.jp/news/alert/square_enix20140611.html

　新年早々、個人情報漏えいの報告が相次いだ。福袋予約客4517件の漏えいではメール送信プログラムの設定ミスが、カードゲーム大会参加者2888件の漏えいではUSBメモリーの紛失が原因だった。

■チャコット、2015年福袋予約客の個人情報が漏えい

　バレエ用品等の通販サイト「チャコットオンラインショップ」および「チャコットオンラインショップ楽天市場店」において、2015年福袋を予約した顧客の個人情報が漏えいしたことがわかった。運営会社のチャコット（本社：東京都渋谷区）が1月3日に発表したところによると、2014年12月30日、同社の業務委託先より、同福袋の配送手配が完了した旨のメールを一斉送信した際、本人以外の個人情報が記載された状態で配信された。漏えいした情報は、氏名、住所、電話番号、受注商品明細など。クレジットカード番号や金融機関の口座情報などは漏えいしていない。全送信件数は4517件で、午前10時から10分ごとに1000件単位で送信し、11時までに全件送信が完了した。本人以外の情報は、一人あたり（1メールあたり）最大999件となる。
　原因はプログラムの設定ミスで、正常な状態では1件送信完了ごとに、宛先、注文内容が消去されて次の宛先に送信されるが、消去する前件の情報が残ったまま送信され、件数が増えるごとに情報が積み重なった状態で届いてしまった。設定ミスは、今回の一斉送信にあたり元のシステムをコピーしてアレンジを加えた際、初期化されるプログラムが一行コピー漏れをしたために発生したという。同社は当該顧客に対し、順次お詫びと当該メールの削除を依頼するメールを送信している。
・【お客様への重要なお知らせ】お客様情報の漏えいに関するお詫びとご説明
http://www.chacott-jp.com/j/company/consumer-information/detail2283

■タカラトミー、カードゲーム大会参加者の個人情報含むUSBメモリー紛失

　タカラトミー（本社：東京都葛飾区）が主催し、小学館集英社プロダクション（東京都千代田区）が運営するイベント「デュエル・マスターズ全国大会2014デュエマ甲子園」参加者の個人情報を記録したUSBメモリーが所在不明となっていることがわかった。両社が1月5日に発表したところによると、2014年12月23日、同イベントの「エリア代表決定戦関西大会」が京都市勧業館「みやこめっせ」で開催された。翌24日、運営協力会社社員の報告により、開催当日に当該USBメモリーを紛失していたことが判明した。各所の探索を行ったが、発見に至っていない。
　USBメモリーには、同イベントの全国店舗予選でエリア代表決定戦出場権を獲得した顧客2888件の個人情報（氏名、住所、電話番号、年齢、学年、性別）が記録されている。イベント運営に際しては、USBメモリーに保存する個人情報データは暗号化するルールだったが、運営協力会社は暗号化していなかった。専門会社に依頼して個人情報漏えいの調査をしたところ、現時点では漏えい事実は確認されていないという。両社は該当顧客をすべて特定しており、お詫びの手紙を送付した。また、問い合わせ窓口を設置して該当顧客に対応している。
・お客様の個人情報紛失に関するお詫びとお知らせ[PDF]
http://www.takaratomy.co.jp/support/oshirase/dmdata150105.pdf

（2015/01/06 ネットセキュリティニュース）