ネットセキュリティニュース

　国内のユーザーを標的とした、オンラインゲームとクレジットカード会社を装ったフィッシングが続いている。オンラインゲームのフィッシングには、新たな標的も加わった。

■オンラインゲームを装うフィッシング

　オンラインゲームのアカウントを狙ったフィッシングは、同じ攻撃者が長期間にわたって執拗に攻撃を続けている。「スクウェアエニックス」「ハンゲーム」「NCSOFT」が、この半年間のターゲットだったが、昨日からこれにコーエーテクモゲームスの「GAMECITY」が新たに加わった。

　フィッシングメールは、「GAMECITYアカウント確認のお願い」という件名で届き、システムにログインするよう促すお馴染みのもの。偽装されたリンクは、一見本物に見えるが、クリックすると米国のサーバーに設置された、「GAMECITY市民認証」の偽のログインページを開く。
　本物の「GAMECITY市民認証」のページは、EV SSLに対応しているので、アクセスするとブラウザのアドレスバーに緑色の錠前マークと「KOEI TECMO GAMES CO., LTD.」という運営者名が表示される。URLの先頭が「http:」の場合には、「https:」と「s」を付けてアクセスしなおしてみよう。それでも表示されない、あるいはアクセスできない場合は、偽サイトだ。

　この攻撃者は、公式サイトのホスト名（gamecity.ne.jp）を、用意した大量のドメインに組み合わせて大量のホスト名を生成しながら、長期間にわたってフィッシングを繰り返す。今後も引き続きフィッシングメールが届くことが予想されるので、確認を促してクリックさせるメールに警戒していただきたい。

■クレジットカード会社を装うフィッシング

　クレジットカード会社を装ったフィッシングメールが、再び先週末にばらまかれた。セゾンカードに続く今回のターゲットは、セディナカードだ。どちらも同じ攻撃者が仕掛けているもので、登録確認と称してクリックさせようとするフィッシングメールは、セゾンカードやセディナの過去のフィッシングで使用したものの使い回しである。誘導先の偽サイトは、同社のOMC Plus会員サイトの登録ページを模したもので、これも以前の偽サイトの使い回しだ。ちなみに、誘導先のサーバーも同じで、セゾンカードの偽サイトも同居している。

　この攻撃者は、毎回本物に似せた紛らわしいドメイン名を用意するのだが、今回は取り違えてしまったようで、三井住友カードの擬装用に用意していたとみられるものが使われていた。同社の告知に、昨年2月のものと今回のものが掲載されているのでご覧いただきたい（関連URL参照）。今回と同じ攻撃者とみられる三井住友カードのフィッシングは、昨年7月に行われているので、引き続き警戒が必要だ。標的を変えて再攻撃を仕掛けて来るかも知れない。

（2015/03/31 ネットセキュリティニュース）

【関連URL】
・当社の会員専用ホームページをかたるフィッシング詐欺にご注意ください！（セディナ）
http://www.cedyna.co.jp/info/20150330.html
・OMC Plus をかたるフィッシング （2015/03/30）（フィッシング対策協議会）
http://www.antiphishing.jp/news/alert/omc_plus_20150330.html
・不審なサイトへ誘導するメールにご注意ください（GAMECITY）
http://www.gamecity.ne.jp/info/150331i.htm
・GAMECITY をかたるフィッシング （2015/03/31）（フィッシング対策協議会）
https://www.antiphishing.jp/news/alert/gamecity_20150331.html

　警察庁は19日、2014年中の不正アクセス行為の発生状況を公表した。全国の都道府県警が昨年1年間に確認した不正アクセス被害は、過去最多を記録した前年をさらに594件上回る3545件だった。

　発表資料によると、確認された被害の54.8％にあたる1944件を「インターネットバンキングの不正送金」が占めており、次いでアカウントの不正使用などの「他人へのなりすまし」（1009件、28.5％）、「インターネットショッピングの不正購入」（209件、5.9％）、「情報の不正入手」（177件、5.0％）と続く。

　解決した事件は、前年から5件増え150件。のべ364件（前年から616件減）の犯罪行為に関わった170人（前年から23人増）の容疑者を摘発した。364件の犯罪行為には、実際に不正アクセスを行った「不正アクセス行為」（338件）のほかに、ID/パスワードを第三者から購入したり流出したものを取得したりする「識別符号取得行為」（16件）、不正アクセスに使う目的でID/パスワードを保管する「識別符号保管行為」（2件）、偽のサイトを使ってID/パスワードを騙し取ろうとする「フィッシング行為」（8件）も含まれている。

　「不正アクセス行為」の手口は、「利用権者のパスワードの設定・管理の甘さにつけ込んだもの」が84件（24.9％）と最も多く、次いで「フィッシングサイトにより入手したもの」71件（21.0％）、「言葉巧みに利用権者から聞き出した又はのぞき見たもの」53件（15.7％）、「識別符号を知り得る立場にあった元従業員や知人等によるもの」47件（13.9％）と続く。

　警察が確認した被害や解決した事件とは別に、何らかの方法で入手したID/パスワードのリストを使ってログインを試行し、同じID/パスワードを使い回しているアカウントに不正アクセスしようとする行為が、約80万件報告されているという。

　同庁では、こうした不正アクセスを防ぐための対策として、使い回しをしない、推測が容易なものを避けるなどの「ID・パスワードの適切な設定・管理」、金融機関などを装うメールに注意するなどの「フィッシングに対する注意」、ウイルス対策ソフトの利用や各種ソフトウェアのアップデートなどの「不正プログラムに対する注意」を呼びかけている。

（2015/03/27 ネットセキュリティニュース）

【関連URL】
・平成26年中の不正アクセス行為の発生状況等の公表について[PDF]（警察庁）
http://www.npa.go.jp/cyber/statics/h26/pdf040.pdf
・不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況[PDF]（警察庁）
http://www.npa.go.jp/cyber/statics/h26/pdf041.pdf
・不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況（総務省）
http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000090.html

　実在する企業やサービスを装い偽のサイトに誘導し、アカウント情報やクレジットカード情報などを騙し取ろうとするフィッシングが、今月も活発に行われている。国内のユーザーを標的としたオンラインゲームに加え、先週末にはクレジットカード会社をかたるフィッシングも行われた。

■オンラインゲームのフィッシング

　オンラインゲームのフィッシングは、同じ攻撃者グループがいろいろなオンラインゲームの運営を装っては、不特定多数に繰り返し大量のフィッシングメールを送り付けている。常時1～2台の偽サイトが稼働を続け、そこに大量のホスト名を割り当てる手法を用いているため、大量の偽サイトが出現しているように見えるのが特徴だ。短期に集中した攻撃を断続的に仕掛ける他のフィッシングと違い、フィッシングメールの総数や見かけの偽サイトの数が極端に多く、フィッシング対策協議会の月次報告書にある「報告件数」や「URL件数」のほとんどを、このグループのものが占めているとみられる。

　現在の攻撃は、昨年10月からほとんど休むことなく続いているもので、狙われているのは、スクウェアエニックス、ハンゲーム、NCSOFTのログイン情報だ。今月は、NCSOFTの偽サイトが休止中だが、スクウェアエニックスとハンゲームの偽サイトは現在稼働している。直近のフィッシングメールは、スクウェアエニックスが「常確認のお願い」、ハンゲームが「ハンゲーム-アカウントーー安全確認」という件名のものが送られている。

　誘導先の偽サイトは、スクウェアエニックスが「ドラゴンクエストX 目覚めし冒険者の広場」のログインページのコピー。ハンゲームが「アラド戦記」の公式サイトのコピーで、どちらも見た目は本物とそっくりに作られている。URLも「hiroba.dqx.jp」や「hangame.co.jp」といった本物のホスト名を織り込み、本物に似せようとしている。

　スクウェアエニックスのログインページは、URLが必ず「https」ではじまり、アドレスバーに緑色の錠前マークと運営者名「SQUARE ENIX CO., LTD.」が表示されるので、本物か偽物かはひと目で分かる。ハンゲームの方は、本物がhttp接続のページでログインさせようとする仕様（ログイン情報はhttpsで送信される）のため、真偽の区別をつけにくいので注意していただきたい。ちなみに今月休止中のNCSOFTの場合は、本物のログインページのURLは、先頭が必ず「https」で始まり錠前マークが表示される。スクウェアエニックスのような運営者名の表示は無いが、証明書を確認すると、運営者が「NCJAPAN K.K.」であることが確かめられる。

■クレジットカード会社のフィッシング

　フィッシングの標的として世界的に多いのが、銀行やクレジットカード会社、オンライン決済などの金銭に直結するサービスだ。ポータルサイトやSNS、通販サイトなどを装うフィッシングも、狙いはクレジットカード情報の詐取であることが多い。

　国内のユーザーを狙ったフィッシングでは、オンラインバンキングを装うものが昨年盛んに行われた。中華系中継サーバー業者の一斉摘発以降は、めっきり影を潜めてしまい、今年1月に再開したものの短期間で終息した。

　オンラインゲームのフィッシングが突出する中、金融系のフィッシングとして久しぶりにクレジットカード会社を装うフィッシングメールが先週末にばらまかれた。2013年12月以降断続的に発生している、クレディセゾンのセゾンカードを狙ったフィッシングだ。

　「セゾンNetアンサーご登録確認」という件名でばらまかれたフィッシングメールは、前回（昨年8月）使用したメールと同じもので、内容はフィッシング対策協議会の注意喚起で確認できる。誘導先の偽サイトは、同社の会員サイト「セゾンNetアンサー」の再登録フォームにメールアドレス欄とNetアンサーID欄を追加したもので、クレジットカード情報などを入力させようとする。

　この偽サイトには、公式サイトの「saisoncard.co.jp」によく似た紛らわしいホスト名が使われているので、騙されないように。同社の告知には、これまでに使われた偽サイトのホスト名が記載されているので、ご覧いただきたい。ちなみに上から順に2013年12月、2014年1月、2014年2月、続く3件が2014年8月に使用されたもので、最後が今回のものだ。このような紛らわしい名前が使われると、本物と見間違えてしまうかも知れないので、URLの確認よりもずっと確かで正確な見分け方を覚えておこう。本物の「セゾンNetアンサー」は、URLが必ず「https」ではじまり、アドレスバーに緑色の錠前マークと運営者名「Credit Saison CO,Ltd」が表示される。見た目はそっくりに作ることができても、この部分は偽物には決して真似できない。最も簡単で確実な偽物の見分け方だ。

　なお、フィッシング対策協議会の告知では、フィッシングサイトが停止したことになっているが、ずっと稼働を続けており、25日現在も稼働中だ。

（2015/03/25 ネットセキュリティニュース）

【関連URL】
・【重要】ハンゲームを装ったフィッシングメールにご注意ください（ハンゲーム）
http://info.hangame.co.jp/index.nhn?m=detail&infono=9333
・ハンゲームをかたるフィッシング (2015/03/20)（フィッシング対策協議会）
http://www.antiphishing.jp/news/alert/hangame20150320.html
・フィッシングサイトにご注意ください！（クレディセゾン）
http://www.saisoncard.co.jp/news/pop/nc20131226_phishing.html
・ゾンNetアンサーをかたるフィッシング （2015/03/23）（フィッシング対策協議会）
http://www.antiphishing.jp/news/alert/saison20150323.html

　モジラは21日、Webブラウザ「Firefox」の最新版「36.0.4」を公開した。対象となるのは、Windows、Mac、Linux、およびAndroidである。法人向けの延長サポート版（ESR）「31.5.3」も公開されている。

　修正された脆弱性は、カナダのバンクーバーで先週開催されたセキュリティカンファレンス「CanSecWest 2015」で行われた、HP Zero-Dayイニシアチブ主催のハッキングコンテスト「Pwn2Own」で報告されたもの。2日間にわたって行われたコンテストでは、Internet Explorer、Firefox、Safari、Chrome、Adobe Reader、Adobe Flash、Windowsといった主要なブラウザとプラグイン、オペレーティングシステムが軒並み攻略された。

　Firefoxは、初日に2件、2日目に1件の計3件の問題が報告されており、20日公開の「36.0.3」で、コード実行の問題と特権昇格の問題の2件を修正。特権昇格の問題の修正が不完全だったため、再修正した「36.0.4」を公開した。2件の脆弱性は、どちらも4段階評価で最も高い「最高」と評価されており、影響を受けるFirefox、Firefox ESR、Seamonkeyで修正されている。

　最新版は自動更新機能を通じて配布されているほか、手動で今すぐ更新することもできる。デスクトップ版では、メニューボタン「≡」をクリック→下段のヘルプボタン「？」をクリック→表示された[ヘルプ]メニューの[Firefoxについて]を選択する。Android版は、メニューから[設定]→[Mozilla]→[Firefoxについて]→[更新を確認]の順にタップする。

（2015/03/23 ネットセキュリティニュース）

【関連URL：モジラ】
・リリースノート（デスクトップ版）[英文]（モジラ）
https://www.mozilla.org/en-US/firefox/36.0.4/releasenotes/
・リリースノート（Android版）[英文]（モジラ）
https://www.mozilla.org/en-US/mobile/36.0.4/releasenotes/
・セキュリティアドバイザリ（モジラ）
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox.html
＜Firefox ESR 31.5.3＞
・リリースノート[英文]（モジラ）
https://www.mozilla.org/en-US/firefox/31.5.3/releasenotes/
・セキュリティアドバイザリ（モジラ）
http://www.mozilla-japan.org/security/known-vulnerabilities/firefoxESR.html
・Pwn2Own 2015: Day One results[英文]（HP Security Research Blog）
http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/Pwn2Own-2015-Day-One-results/ba-p/6722204
・Pwn2Own 2015: Day Two results[英文]（HP Security Research Blog）
http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/Pwn2Own-2015-Day-Two-results/ba-p/6722884

　アップルは19日、10日に公開したOS X Yosemite（v10.10.2）用の「セキュリティアップデート2015-002」を「セキュリティアップデート2015-003」として再リリースした。

　Yosemite用の「セキュリティアップデート2015-002」では、当初5件の脆弱性を修正したことになっていたが、うち2件の修正が撤回され3件のみの修正に改められた。

　修正された3件は次の通り。1つは、システム特権で任意のコードが実行されるおそれのある、OAcceleratorFamilyの「ひとつずれエラー」の問題。1つは、メモリー配置のランダム化による保護機構が回避されるおそれのある、Kernelの問題。もう1つは、SSL/TLSで輸出グレードの弱い暗号方式を受け入れてしまう、いわゆるFREAK問題。

　今回公開された「セキュリティアップデート2015-003」は、これら3件に撤回された2件を追加し、当初の公表通りの内容にしたものである。任意のコードが実行されるおそれのあるiCloudキーチェーンのバッファオーバーフローの問題と、システム特権で任意のコードが実行されるおそれのあるIOSurfaceの型の取り違えの問題の2件の修正が、改めて追加された。

　アップデートは、自動更新や通知のクリックで行えるほか、手動で「App Store」を確認し更新することもできる。アップルメニューから「App Store」を選択し、ウインドウの上部にあるツールバーの「アップデート」ボタンをクリックすると、利用可能なアップデートが表示される。

（2015/03/23 ネットセキュリティニュース）

【関連URL：アップル】
・About Security Update 2015-003［英文］
https://support.apple.com/ja-jp/HT204563

　セキュリティ企業のマカフィーは、2014年の第4四半期（10月から12月）に、日本で数多く検出されたモバイルマルウェアやPUP（不審なプログラム）のトップ3を紹介し、注意を促した。

　同社は先月公開した「2014年第4四半期の脅威レポート」のなかで、人気のモバイルアプリに暗号化の脆弱性が存在すること、その脆弱性が解決されていないため、数百万のモバイルユーザーに脅威がおよぶ可能性があることを警告した。

　また、世界中の数百万台のモバイル端末からデータを収集し、アフリカ、アジア、オーストラリア、ヨーロッパ、北米、南米といった地域別のモバイルマルウェアの感染率を公表した。ここでいうマルウェアとは、ウイルス、トロイの木馬、PUP（不審なプログラム）を意味する。

　その集計データをさらに分析したところ、日本における2014年第4四半期のモバイルマルウェアの感染率は約1％だったという。アジア地域全体の10％と比べるとかなり低い数値ではあるが、モバイルマルウェアは確実に増加傾向にあり、油断はできない。同社は日本ではどういったアプリケーションでモバイルマルウェアが多く検出されているかを紹介し、注意を促している。日本での感染数（検出数）1位から3位は次の通り。

■1位「DeaiFraud」：悪質な出会い系アプリ
　悪質な出会い系サイトに一度メールアドレスを登録してしまうと、大量のスパムメールを受信することになる。「Android/DeaiFraud」は悪質な出会い系サイトに誘導するためのアプリケーションで、詳細についてはマカフィーの公式ブログで「Google Play上で増え続ける悪質なアダルト出会い系アプリ」「しつこく続く女性狙いのメール副業詐欺」「様々なジャンルのモバイルアプリで罠を仕掛ける悪質出会い系業者」で紹介している。

■2位「Adware.AirPush」・3位「Adware.Domob」：過剰に情報収集するアドウェア
　2位と3位にランクインした「Android/Adware.AirPush」と「Android/Adware.Domob」は、ともに端末情報やユーザー情報を過剰に収集するアドウェア。広告収入を得る目的で、アプリ開発者がアプリに組込んでいるもので、端末の認証番号であるIMEI番号やIMSI番号、端末の詳細な位置情報、端末の電話番号、端末にインストールされているアプリの一覧、IPアドレスやMACアドレスといった広範囲にわたる情報を収集している。

　同社は、ユーザーは無料でアプリを利用できる対価として自身のプライバシー情報を提供していることを自覚し、インストールしているアプリケーションがどのような端末情報にアクセスしているのか、一度確認してみるようアドバイスしている。

（2015/03/20 ネットセキュリティニュース）

【関連URL：マカフィー】
・脅威レポート: 日本におけるモバイルの脅威について
http://blogs.mcafee.jp/mcafeeblog/2015/03/post-e8dc.html
・2014年第四四半期の脅威レポート
http://www.mcafee.com/jp/threat-center/report/download89.aspx
・マカフィー公式ブログ
http://blogs.mcafee.jp/mcafeeblog/

　アップルは18日、複数の深刻な脆弱性を修正したブラウザ「Safari」の最新版「8.0.4/7.1.4/6.2.4」を公開した。「8.0.4」は OS X Yosemite v10.10.2、「7.1.4」は OS X Mavericks v10.9.5、「6.2.4」は OS X Mountain Lion v10.8.5に対応している。

　最新版では、レンダリングエンジン「Webkit」に含まれる問題17件が修正されている。メモリー破壊を引き起こす深刻な脆弱性が多数含まれており、悪用されると細工されたWebサイトを閲覧するだけで任意のコードを実行されるおそれがある。

　最新版は自動更新や通知のクリックで更新できるほか、手動で「App Store」を確認し更新することもできる。Appleメニューから「App Store」を選択し、「App Store」ウインドウの上部にあるツールバーの「アップデート」ボタンをクリックすると、利用可能なアップデートが表示される。

（2015/03/19 ネットセキュリティニュース）

【関連URL】
・About the security content of Safari 8.0.1, Safari 7.1.1, and Safari 6.2.1[英文]（アップル）
http://support.apple.com/ja-jp/HT6596

　警察庁は13日、児童のインターネット上の不適切な書き込みをサイバーパトロールによって発見し、注意・指導する「サイバー補導」の現状と今後の取組みについて発表した。

　サイバー補導は、2013年4月に試行が始まり、同年10月から全国で実施されるようになった。捜査員は、インターネット上で援助交際を求めたり下着の売買を持ちかけたりする書き込みをサイバーパトロールによって見つけ出し、立場を伏せて児童と接触して注意・指導を行う。2014年末までに、13歳から17歳までの児童597人が補導された。

　不適切な書き込みによって大人と出会い、児童買春等の被害にあう可能性がある児童を保護し、非行を未然に防ぐことが、サイバー補導の最大の目的だ。また、補導した児童の約半数は過去に児童買春等の福祉犯被害にあっていることから、その聴取情報を基に、児童買春等の検挙に至る例も少なくないという。

■補導された児童の6割以上は非行・補導歴がない

　これまでに補導された児童597人のうち、援助交際目的の書き込みは366人（うち男子24人）、下着売買は223人（うち男子1人）、両方を求める書き込みは8人が行っていた。児童の年齢は、13歳（13人）、14歳（34人）、15歳（85人）、16歳（212人）、17歳（253人）で、女子高校生（389人）が全体の65％を占める。児童の6割以上は非行・補導歴がないが、援助交際目的の児童は下着売買目的の児童と比べ、非行・補導歴をもつ割合、有職・無職（中学・高校、専門学校の生徒ではない）の割合が多くなっている。

■書き込みはスマホ利用97％、コミュニティサイト利用95％

　補導された児童の97％（2014年4月以降に調査した330人中の320人）は援助交際等の書き込みにスマートフォンを使用している。また、補導された597人のうち567人（95％）がコミュニティサイトに書き込んでおり、出会い系サイト利用は30人と少ない。コミュニティサイトの内訳は、無料通話アプリのIDを交換する掲示板利用が460人、SNS（ソーシャルネットワーキングサービス）利用が107人だった。

　サイバー補導は街頭での補導とは異なり、児童と接触できないことがあるなど手間がかかるという。しかし、非行を未然に防ぐことで保護者から感謝されたり、児童への継続的な助言・指導により問題行動が改善されたりするなどの効果をあげている。警察庁は今後も、実施方法を工夫するなどしてサイバー補導を積極的に推進していく方針だ。また、これまでの事例等を参考に、効果的な児童の立ち直り支援について検討していくという。

（2015/03/18 ネットセキュリティニュース）

【関連URL：警察庁】
・サイバー補導の現状と今後の取組について[PDF]
http://www.npa.go.jp/safetylife/syonen/cyberhodou/genjototorikumi.pdf

　警察庁は12日、2014年のサイバー犯罪の状況について発表した。検挙件数は前年よりやや減少したが、「ネットワーク利用犯罪」は10％増加した。また、サイバー犯罪に関する相談件数は前年より約4割増加し、過去最高を記録した。

■「ネットワーク利用犯罪」1割増、昨年11月「リベンジポルノ防止法」成立

　2014年中のサイバー犯罪（注1）の検挙件数は7905件で、前年比208件（2.6％）の減少となったが、これは「不正アクセス禁止法違反」364件、「コンピュータ・電磁的記録対象犯罪及び不正指令電磁的記録に関する罪」192件が、それぞれ前年比で63％、60％減少したことによるもので、サイバー犯罪中で最も多い「ネットワーク利用犯罪」7349件は、前年より10％増加している。
　「ネットワーク利用犯罪」の最多は「児童ポルノ」1248件で、以下「詐欺（オークション利用詐欺含む）」1133件、「わいせつ物頒布等」840件、「著作権法違反」824件、「青少年保護育成条例違反」657件、「児童買春」493件、「脅迫」313件などとなっている。
　2014年は元交際相手の裸の画像をネット上に流出させて逮捕に至った例（名誉毀損罪）、「裸の写真をインターネット上にばらまく」などと脅したり復縁を迫ったりして逮捕された例（脅迫罪・強要未遂罪）が発生した。こうしたいわゆる「リベンジポルノ」と呼ばれる嫌がらせを防止する法律（私事性的画像記録の提供等による被害の防止に関する法律）が、2014年11月に成立した。今年1月には、同法違反で初の逮捕例が出ている。
（注1）サイバー犯罪：高度情報通信ネットワークを利用した犯罪やコンピュータまたは電磁的記録を対象とした犯罪

■「相談件数」過去最多、海外偽サイトによる被害も多発

　都道府県警察の相談窓口に寄せられるサイバー犯罪に関する相談件数が10万件を突破し、過去最高となった。前年の8万4863件から11万8100件に急増したもので、相談内容は「詐欺・悪質商法」2万2103件を筆頭に、「迷惑メール」1万4185件、「名誉毀損・誹謗中傷等」9757件、「ウイルス」9550件、「オークション」8545件、「違法・有害情報」5080件など。
　警察庁はインターネット利用にかかわるリスクが拡大している例として、「リスト型攻撃」「危険ドラッグ」「SNSの利用」などとともに、インターネットオークション詐欺の急増を挙げている。オークション詐欺被害は年々減少していたが、2013年中の被害件数は前年の約2倍、2014年は過去最高の3234件を記録したという。また、海外サーバーを通じてネット上に掲載された、実在企業のサイトを模したサイトや、ネットショッピングに係る詐欺や偽ブランド品販売を目的とするサイト（以下、海外偽サイト等）にかかわる被害も多発していることから、同庁は都道府県警察が相談等で受理した海外偽サイト等のURLなどを集約。ウイルス対策ソフト事業者等に提供し、これらのサイトを閲覧しようとする利用者のコンピュータ画面に警告を表示する対策を、2013年12月より実施している。

　このほか、警察が把握した「標的型メール攻撃」1723件は前年比約3.5倍増、「不審アクセス」491.6件は前年比58.5％増、インターネットバンキングの不正送金が過去最悪の約29億1000万円となるなど、サイバー犯罪の活発化が改めて確認された。

（2015/03/17 ネットセキュリティニュース）

【関連URL：警察庁】
・平成26年中のサイバー空間をめぐる脅威の情勢について[PDF]
http://www.npa.go.jp/kanbou/cybersecurity/H26_jousei.pdf
・「私事性的画像記録の提供等による被害の防止に関する法律」施行
http://www.npa.go.jp/safetylife/seianki/shiseigazouboushi/index.html

　アドビシステムズは12日、Windows版、Mac版、Linux版「Flash Player」の最新版を公開した。11日にはInternet Explorer/Google Chrome内蔵版の自動更新が始まっており、これで最新版が出揃ったことになる。

　最新版では、メモリー破壊の問題、解放したメモリーの再使用の問題など、コード実行につながるおそれのある脆弱性を含め、11件の脆弱性が修正されている。アップデートの優先度は、Windows版、Mac版、Google Chrome内蔵版、Internet Explorer内蔵版で最も高い「1」とされており、すでに攻撃の対象となっているか、攻撃対象となる危険性が高いことを示している。

　脆弱性の影響を受けるのは、Windows版とMacintosh版、Internet Explorer/Google Chrome内蔵版の「16.0.0.305」以前のバージョンと、Linux版の「11.2.202.442」以前のバージョン。アップデート後は、それぞれ「17.0.0.134」「11.2.202.451」に更新される。延長サポート版の「13.0.0.269」以前のバージョンも影響を受けるため、最新の「13.0.0.277」が提供されている。

　システムにインストールされているFlash Playerのバージョンは、下記のバージョン確認ページにアクセスするか、コントロールパネルの「Flash Player」の[高度な設定]タブで確認できる。最新版への更新は、Flash Playerの自動更新機能を通じて行われるほか、同社サイトからダウンロードすることもできる。

　Windows 8/8.1に搭載されているIE 10/11用のFlash Playerについては、Windows Updateを通じて配布されており、自動的に更新が行われる。Google Chrome用のFlash Playerについては、最新版を同梱した「Google Chrome 41.0.2272.89」が公開されており、こちらも自動的に更新される。

（2015/03/13 ネットセキュリティニュース）

【関連URL】
・APSB15-05：Security updates available for Adobe Flash Player［英文］（アドビ）
https://helpx.adobe.com/security/products/flash-player/apsb15-05.html
・Flash Playerのバージョン確認（アドビ）
http://www.adobe.com/jp/software/flash/about/
・Flash Playerのダウンロード（アドビ）
http://get.adobe.com/jp/flashplayer/
・マイクロソフトセキュリティ アドバイザリ（2755801）：Internet Explorer 上の Adobe Flash Playerの脆弱性に対応する更新プログラム（マイクロソフト）
https://technet.microsoft.com/library/security/2755801
・Stable Channel Update[英文]（Google Chrome Releases）
http://googlechromereleases.blogspot.jp/2015/03/stable-channel-update_10.html

　東京都は6日、「携帯電話を契約するだけで高額なバイト代を払うと知人から持ちかけられ、スマートフォンやタブレットを複数台購入して譲り渡したところ、後に高額な請求がきた」という相談が寄せられているとして、注意を呼びかけた。

■被害例－－「7万円の謝礼」と「数十万円の請求」

　20歳代の男性は、知人から「通信会社の営業成績をあげる仕事をしているので手伝ってほしい。迷惑はかけない」と言われ、「店員に聞かれたら、営業の仕事を始めるので複数の携帯電話が必要と答えるように」と指南を受けて、携帯電話会社3社からスマートフォン15台を購入。スマートフォンはその場で知人に渡し、アルバイト代7万円を受け取った。後日、携帯電話会社から15万円の請求書が届き、あわてて知人に電話したが、連絡がとれなくなっていた。
　20歳代の女性も、知人から「営業成績をあげたい」と同様の誘いを受け、スマートフォンとタブレット計13台をカードで購入。契約書とともにその場で知人に渡し、7万円を受け取った。後にカード会社から33万円を請求され、携帯電話会社との契約が解約されていないことを知り、知人に連絡しようとしたが、連絡がつかなくなっていた。
　このような「携帯電話契約の名義貸し」については、これまでにも警視庁、消費者庁、国民生活センター、各地の消費者センターなどから注意が呼びかけられている。

■金銭被害だけでなく、「詐欺罪」で逮捕、犯罪加担の可能性も

　実際に使用するつもりも、購入代金や利用料金を支払う意思もないのに、携帯電話等を契約し、販売店からだまし取るこうした行為については、携帯電話販売店に対する詐欺罪が成立する。2014年4月には北海道で、名義貸しを持ちかけた男と、自分の名義でスマートフォン等を購入して男に渡し、代金を支払わなかった大学生ら男女10人が詐欺の疑いで逮捕されている。
　「料金は会社が払う」「請求書は無視してもらえばいい」などと言われ、だまされて契約したのだとしても、端末代金や通信料、解約料は名義人が支払わなければならない。払わずに放置していると、もともと自分が使っている携帯電話が使えなくなり、今後、新たな契約ができなくなることもある。
　さらに、無断で転売された携帯端末は、振り込め詐欺等に悪用されるおそれがあり、知らないうちに犯罪に加担してしまう可能性もある。

■勧誘する「知人」や「広告」に注意

　名義貸しをしてしまうことになったきっかけは、知人や大学の先輩から勧められた、SNSで知り合った人に誘われた、街で声をかけられた、街中の広告を見た、インターネットの掲示板や闇サイトで見つけた、買い物代行員を募集するというメールが届いたなど、さまざまだ。
　都は、不審な勧誘を受けた場合は、すぐに最寄りの消費生活センターに相談するよう呼びかけている。また国民生活センターは、自己名義の携帯電話を他人に渡してしまったら、被害の拡大を防ぐため、すぐに携帯電話会社に連絡して利用停止の手続を取るとともに、犯罪に利用される可能性もあることから、警察へ申し出ておくようアドバイスしている。

（2015/03/12 ネットセキュリティニュース）

【関連URL】
・「スマホを契約するだけで高額なバイト代」？・・・甘い誘いに注意！～携帯電話等を販売店からだまし取る行為は犯罪です～（東京都）
http://www.shouhiseikatu.metro.tokyo.jp/sodan/kinkyu/150306.html
・携帯電話等を販売店からだまし取る行為は犯罪です！（警視庁）
http://www.keishicho.metro.tokyo.jp/haiteku/haiteku/haiteku413.htm
・儲け話に注意！～5.携帯電話契約の名義貸し（消費者庁）
http://www.caa.go.jp/region/kashikin.html#m05
・アルバイトを口実に携帯電話を契約させられ、高額な料金請求－消費者も刑事責任を問われかねない－（国民生活センター）
http://www.kokusen.go.jp/news/data/n-20080918_3.html
・携帯電話の複数契約の誘いには注意を！！［PDF］（北海道立消費者センター）
http://www.do-syouhi-c.jp/img/news%20release.pdf
・～アルバイトと持ちかけられた携帯電話やタブレット契約にご注意！～（さいたま市）
http://www.city.saitama.jp/001/012/003/005/001/p037217.html

　グーグルは11日、同社のWebブラウザ「Google Chrome」の最新安定版「41.0.2272.89」を公開した。対象となるのは、Windows、Mac、Linux。

　最新版への更新は自動的に行われるほか、メニュー（右端のアイコン≡）から「Google Chromeについて」を選択すると、ただちに最新版の確認とアップデートが行える。

　同社からの告知には記載されていないが、最新版に更新すると内蔵のFlash Playerが最新の「17.0.0.134」に更新される。Flash Playerの更新について、アドビからはまだ情報が示されていないが、マイクロソフトが11日に公開した、Internet Explorer 10/11に搭載されているFlash Playerの更新に関するセキュリティアドバイザリによると、準備が整い次第、「Adobeセキュリティ情報 APSB15-05」が公開されるとみられる。

（2015/03/11 ネットセキュリティニュース）

【関連URL】
・Stable Channel Update[英文]（Google Chrome Releases）
http://googlechromereleases.blogspot.jp/2015/03/stable-channel-update_10.html
・セキュリティアドバイザリ（2755801）Internet Explorer上のAdobe Flash Playerの脆弱性に対応する更新プログラム
http://technet.microsoft.com/ja-jp/security/advisory/2755801

　マイクロソフトは11日、3月度の月例セキュリティパッチ（セキュリティ更新プログラム）を公開した。公開されたパッチは、深刻度が4段階評価で最も高い「緊急」5件と、次に高い「重要」9件の計14件。Windows、Windows Server、Internet Explorer、Office、SharePoint Server、Exchange Serverが影響を受ける。

【更新プログラムの内容】
＜緊急＞
・[MS15-018]Internet Explorer用累積パッチ：リモートコード実行の脆弱性
・[MS15-019]VBScriptスクリプトエンジン：リモートコード実行の脆弱性
・[MS15-020]Windows：リモートコード実行の脆弱性
・[MS15-021]Adobeフォントドライバー：リモートコード実行の脆弱性
・[MS15-022]Office：リモートコード実行の脆弱性

＜重要＞
・[MS15-023]カーネルモードドライバー：特権昇格の脆弱性
・[MS15-024]PNG処理：情報漏えいの脆弱性
・[MS15-025]カーネル：特権昇格の脆弱性
・[MS15-026]Exchange Server：特権昇格の脆弱性
・[MS15-027]NETLOGON：なりすましの脆弱性
・[MS15-028]タスクスケジューラ：セキュリティ機能バイパスの脆弱性
・[MS15-029]Photo Decoderコンポーネント：情報漏えいの脆弱性
・[MS15-030]リモートデスクトッププロトコル：サービス拒否の脆弱性
・[MS15-031]Schannel：セキュリティ機能バイパスの脆弱性

　重要に分類されているSchannel用のパッチ（MS15-031）は、先日明らかとなった、SSL/TLS実装の脆弱性「FREAK」に対処するもの。FREAKは、SSL/TLSで保護されたデータの解読につながるおそれのある脆弱性で、マイクロソフトでは「セキュリティアドバイザリ3046015」を公開して回避策を示していた。

　マイクロソフトの日本のセキュリティチームのブログによると、この回避策を適用したシステムにMS15-031のパッチを適用すると、大多数のインターネットサービスが利用できなくなる場合がある。同ブログでは、回避策を実行していた場合、MS15-031を適用する前に回避策を解除するよう求めている。解除方法は、「セキュリティ情報 MS15-031」で確認できる。

　このほか、新たに「Alinaos」「CompromisedCert」に対応した「悪意のあるソフトウェアの削除ツール」の更新バージョンと、Windows 8/8.1/RT/RT 8.1およびServer 2012/Server 2012 R2上のInternet Explorer 10/11に搭載されている「Adobe Flash Player」の更新プログラムが公開されている。Flash Playerの更新について、アドビからはまだ情報が示されていないが、準備が整い次第、「Adobeセキュリティ情報 APSB15-05」が公開される予定だ。

（2015/03/11 ネットセキュリティニュース）

【関連URL：マイクロソフト】
・セーフティとセキュリティセンター
http://www.microsoft.com/ja-jp/security/default.aspx
・2015年3月のセキュリティ情報
https://technet.microsoft.com/ja-jp/library/security/ms15-mar
・2015年3月のセキュリティ情報（月例）-MS15-018～MS15-031（日本のセキュリティチームのブログ）
http://blogs.technet.com/b/jpsecurity/archive/2015/03/11/201503-security-bulletin.aspx
・セキュリティアドバイザリ（3046015）Schannelの脆弱性により、セキュリティ機能のバイパスが起こる
https://technet.microsoft.com/ja-jp/library/security/3046015
・セキュリティ情報 MS15-031 Schannelの脆弱性により、セキュリティ機能のバイパスが起こる
https://technet.microsoft.com/library/security/MS15-031
・セキュリティアドバイザリ（2755801）Internet Explorer上のAdobe Flash Playerの脆弱性に対応する更新プログラム
http://technet.microsoft.com/ja-jp/security/advisory/2755801

　アップルは10日、OS X Yosemite/Mavericks/Mountain Lion用の「セキュリティアップデート 2015-002」および、モバイル端末用OSの最新版「iOS 8.2」を公開した。いずれも深刻な脆弱性の修正が含まれており、先日明らかとなったSSL/TLS実装の脆弱性「FREAK」も修正されている。

■セキュリティアップデート 2015-002

　Yosemiteで5件、MavericksとMountain Lionで3件の脆弱性が修正されている。任意のコードが実行されるおそれのある深刻な脆弱性や、SSL/TLSで保護されたデータの解読につながるおそれのある「FREAK」の脆弱性も修正されている。
　アップデータは、アップルメニューの「ソフトウェア・アップデート」で自動インストールできるほか、同社の「サポートダウンロード」ページからも入手できる。
・About Security Update 2015-002［英文］
https://support.apple.com/ja-jp/HT204413

■iOS 8.2

　6件の脆弱性が修正されており、任意のコードが実行されるおそれのある深刻な脆弱性や、ファイルシステムの信頼できる場所にフォルダーを作られるおそれのある脆弱性、「FREAK」の脆弱性も修正されている。最新版への更新は、端末の[設定]アイコンから[一般]→[ソフトウェアアップデート]と進むか、端末をパソコンに接続してiTunes経由で行う。
・About the security content of iOS 8.2［英文］
https://support.apple.com/ja-jp/HT204423

（2015/03/10 ネットセキュリティニュース）

　暗号化通信の仕組み「SSL/TLS」をめぐり、今となっては数時間で解読可能な、古く弱い暗号を強制的に使わせることができる脆弱性が見つかった。「FREAK」と呼ばれるこの脆弱性を悪用されると、SSL/TLS通信が盗聴されたり、改ざんされてしまう恐れがある。

　オンラインで行われるショッピングや金融取引では、一般に「SSL」方式でデータを暗号化し、情報をガードしている。このSSLをサービスに組み込むために広く使われているソフトウェア「OpenSSL」の旧バージョンや、同様の働きをするソフトウェア数種に脆弱性が存在し、これらが組み込まれたサーバーや、Windows、Mac、iOS端末、Android端末などが影響を受けることがわかった。

　かつて、米政府は暗号輸出に厳しい規制をかけていた。輸出規制は1990年代の後半には緩和されたが、互換性の問題から、「輸出グレード」の弱い暗号もサポートされ続けてきた。

　今回明らかとなった脆弱性は、攻撃者が「中間者攻撃」を仕掛けることにより、輸出グレードの暗号を強制的に使用させることができるというもの。輸出グレードの暗号は、現在では数時間で解読することができるため、暗号化したはずの情報が盗み取られたり、改ざんされるといった被害が発生する恐れがある。

■攻撃が成立するのは

　脆弱性の影響を受けるブラウザから、輸出グレードの暗号をサポートしているサーバーに接続した場合、攻撃を受ける恐れがある。ただし攻撃が成立するには、さらに、ブラウザーとサーバー間の通信に第三者が介入できることと、サーバーが同じ公開鍵を使い続けていることが必要だ。

　輸出グレードの暗号は、「サーバーが一時的に生成した公開鍵を用意する」という形で利用することが推奨されている。公開鍵が一時的なものであれば、解読に要する数時間のうちにほとんどの通信は終わってしまうことから、さほど大きな問題とはならない。しかし実際は、同じ公開鍵を使い続ける実装になっているサーバーが多いとみられ、事前に公開鍵を入手しておいてから中間者攻撃をしかけることが可能となっているため、攻撃が現実味を帯びてくる。

■パッチが提供されたらすぐに適用を

　Windowsの全バージョンや、アップルのOS XとiOSも、この脆弱性の影響を受けることが明らかにされており、まもなくパッチが公開される予定だ。ブラウザでは、Internet Explorer、Safari、最新版になっていないGoogle Chrome、Opera、Android端末の標準ブラウザが影響を受けることがわかっている。

　FREAKを悪用する攻撃が始まったとの報告はないが、これらのパッチが公開されたらすぐに適用することをおすすめする。

（2015/03/10 ネットセキュリティニュース）

【関連URL】
・[FREAK] セキュリティアドバイザリ 3046015 「Schannel の脆弱性により、セキ
ュリティ機能のバイパスが起こる」を公開（日本のセキュリティチーム）
http://blogs.technet.com/b/jpsecurity/archive/2015/03/06/sa3046015.aspx
・マイクロソフト セキュリティ アドバイザリ 3046015（マイクロソフト）
https://technet.microsoft.com/ja-jp/library/security/3046015
・Vulnerability Note VU#243585 SSL/TLS implementations accept export-grade RSA keys（FREAK attack）［英文］（CERT）
http://www.kb.cert.org/vuls/id/243585
・freakattack.com［英文］
https://freakattack.com/
・SSL/TLS通信時の脆弱性「FREAK」、その影響度は？（トレンドマイクロ）
http://blog.trendmicro.co.jp/archives/11009

　警察庁は2月17日から19日までの3日間、ファイル共有ソフト等を使用した著作権法違反事件について一斉集中取締りを実施し、133箇所を捜索、昨年より7人多い40人を検挙した。

　ファイル共有ソフト等を使用した著作権法違反の一斉集中取締りは2009年に始まり、今回で6回目となる。今年は38府県警察が133箇所を捜索し、映画、音楽、アニメ、漫画、ゲーム、ビジネスソフト等の著作権法違反容疑で40人を検挙した。昨年の一斉集中取締りでは45都道府県警察が123箇所を捜索し、33人を検挙した。今年は前年より捜索箇所が10箇所増え、検挙人数が7人増えている。

■音楽ファイルの違法アップロード

　日本音楽著作権協会 (JASRAC)によると、音楽ファイルの違法アップロードによる著作権侵害で、7名が逮捕・送致された。被疑者は、JASRACの管理著作物である音楽ファイルまたはアニメ等の動画ファイルを、ファイル共有ソフトを用いて大量にアップロードし、不特定多数のユーザーに対して送信できるようにし、著作権(公衆送信権)を侵害した疑いがもたれている。使用していたソフトや被疑者のプロフィール等は次の通り。

　・青森県警察本部保安課サイバー犯罪対策室および青森警察署が逮捕：「Share」を使用していた東京都杉並区在住の会社員男性(30歳)
　・福岡県警察本部サイバー犯罪対策課および博多警察署が逮捕：「Share」を使用していた群馬県桐生市在住の派遣社員男性（53歳)
　・大阪府警察本部サイバー犯罪対策課および住吉警察署が大阪地方検察庁に送致：いずれもファイル共有ソフト「μTorrent」を使用していた、大阪市住吉区在住の男子大学生（21歳）および大阪府大東市在住の派遣社員男性 (24歳)
　・三重県警察本部サイバー犯罪対策課および津警察署が津地方検察庁に送致：「Cabos」を使用していた三重県津市在住の会社員男性(29歳)
　・愛媛県警察本部生活環境課サイバー犯罪対策室および伯方警察署が松山地方検察庁に送致：「Cabos」を使用していた愛媛県今治市在住の会社員男性(28歳)
　・大分県警察本部生活環境課サイバー犯罪対策室および大分中央警察署が大分地方検察庁に送致：「Cabos」を使用していた大分県大分市在住のアルバイト男性(64歳)

■映画ファイルの違法アップロード

　日本国際映画著作権協会 (JIMCA)によると、映画ファイルの違法アップロードによる著作権侵害容疑で、和歌山県有田市の無職の男性（65歳）が2月17日、逮捕された。和歌山県警察本部生活環境課によるサイバーパトロールで、男性が「Share」上に米国映画協会（MPAA）に加盟する大手映画会社の作品の映画ファイルを違法にアップロードしていることが確認され、JIMCAは映画ファイルを鑑定するなど捜査に協力した。同日の一斉集中取締りで有田警察署が男性の自宅を家宅捜索し、パソコンなどを押収した。男性は調べに対し、容疑を認めているという。

　警察庁は、音楽、映画、アニメ、ゲームソフトなどの著作物を、ファイル共有ソフトの利用者が自由にダウンロードできる状態にする行為（公衆送信権侵害）、有償著作物等をダウンロードする行為（私的使用のための複製）が違法であることを説明し、インターネットの適法・適正な利用を呼びかけている。

（2015/03/05 ネットセキュリティニュース）

【関連URL】
・ファイル共有ソフト等を使用した著作権法違反事件の一斉集中取締りの実施について[PDF]（警察庁）
http://www.npa.go.jp/cyber/warning/h27/150220.pdf
・ファイル共有ソフト等を使用した著作権法違反事件の一斉集中取締りの実施について (コンピュータソフトウェア著作権協会：ACCS)
http://www2.accsjp.or.jp/criminal/2014/1160.php
・ファイル共有ソフト「Cabos」、「Share」および「μTorrent」を用いた著作権侵害　全国6警察が音楽ファイルの違法アップロード者7名を逮捕、送致（日本音楽著作権協会：JASRAC）
http://www.jasrac.or.jp/release/15/02_2.html
・映画を違法にアップロードしたとして和歌山県有田市の男性を逮捕（日本国際映画著作権協会：JIMCA）
http://www.jimca.co.jp/news/#201502232
・ファイル共有ソフトを悪用した著作権侵害について（ファイル共有ソフトを悪用した著作権侵害対策協議会：CCIF）
http://www.ccif-j.jp/infringement.html

　グーグルは4日、深刻な脆弱性を修正した「Google Chrome」の最新安定版「41.0.2272.76」を公開した。対象となるのは、Windows、Mac、Linux。

　最新安定版では、開発者向けの機能の強化や安定性とパフォーマンスの向上に加え、51件の脆弱性が修正されている。

　修正された脆弱性には、割り当てられたメモリー領域の境界を越えて書き込んでしまう問題や、開放したメモリーを再使用してしまう問題など、リモートコード実行につながるメモリーがらみの危険な問題が多数含まれており、悪用されるとシステムが乗っ取られるなどの深刻な事態を招くおそれがある。

　最新版への更新は自動的に行われるほか、Chromeメニュー（右端のアイコン≡）から[Google Chromeについて]を選択すると、ただちに最新版の確認とアップデートが行える。

（2015/03/04 ネットセキュリティニュース）

【関連URL】
Stable Channel Update（Google Chrome Releases）
http://googlechromereleases.blogspot.jp/2015/03/stable-channel-update.html

　フィッシング対策協議会は2日、2015年2月の月次報告書を公開した。報告件数は1月度の約4分の1以下となり、フィッシングサイトのURL件数も23％減少した。ブランド別では金融機関の割合が減少し、オンラインゲームをかたる割合が増加した。

　同協議会に寄せられた2月のフィッシング報告件数（海外含む）は、1月より1658件減少し、498件となった。4分の1以下へ急減である。だが、1月の件数は前月より4倍に急増した突出したものであったので、2月はそれ以前のレベルに戻っただけともいえる。2014年の8月から12月までは、500～600件台で推移していた。

　攻撃者がユーザーを誘導する偽サイトのURL件数（重複なし）は、前月より90件減少し、309件だった。前月比で約23％の減少である。フィッシングに悪用されたブランド件数（海外含む）は11件で、こちらは前月より4件増加している。

　ブランドの最多を占めるオンラインゲームは、昨年12月は全体の9割以上にもなていたが、今年1月には75％に減少、2月には増加して85％以上となった。背景に金融機関をかたるフィッシングの減少がある。

　同協議会は、3月以降も引き続き、オンラインゲームをかたるフィッシングメールが続く可能性があるとして、注意を呼びかけている。

（2015/03/04 ネットセキュリティニュース）

【関連URL：フィッシング対策協議会】
・2015/02 フィッシング報告状況
https://www.antiphishing.jp/report/monthly/201502.html

　IPA（情報処理推進機構）は2日、「情報セキュリティの脅威について正しい認識と対策を」とする呼びかけを公開した。基本的なセキュリティ対策をしていないユーザーが3割程度存在することが「情報セキュリティに対する意識調査」で判明したことをふまえ、基本対策をとることの重要性を訴えている。

■約3割が無防備－－「アップデート」「対策ソフト導入」実施せず

　IPAが2月17日に公開した「2014年度 情報セキュリティの脅威に対する意識調査」では、Windows Update等によるセキュリティパッチの更新を実施している人は約67%、セキュリティソフトを導入している人は約74%だった。この結果から、ウイルス感染対策の基本（アップデート対応、セキュリティソフト導入）を実施していない人は、3割程度存在すると考えられるとした。IPAはそうした人たちに向け、「ウイルス感染」「故障、紛失、盗難」「インターネット安全利用」の3つについて、基本対策をアドバイスしている。

■ウイルス感染対策－－最も重要な「最新状態の維持」「バージョン管理」

　基本ソフト（OS）やソフトウェアに脆弱性があると感染リスクが高まるため、常に最新状態にアップデートしておく必要がある。セキュリティソフトも常に最新状態で使用し、有効期限切れや定義ファイルの更新忘れに注意が必要だ。
　前掲調査で「Java」や「Flash Player」などのバージョンアップが未実施である人にその理由を尋ねたところ、「アップデートの方法がわからない」とする人が約10%だった。IPAは、無償提供しているツール「MyJVNバージョンチェッカ」を活用するなどしてバージョン管理を実施するよう勧めている。パソコンにインストールされているソフトウェアが最新状態かどうか、どのようにアップデートを行えばよいかが確認できる。

■「故障、紛失、盗難」対策－－必須の「定期的バックアップ」「画面ロック」

　IPAは、パソコンやスマートフォンの物理的な故障や紛失、盗難といった万が一の事態に備え、データの定期的バックアップを勧める。前掲調査では、パソコンのデータのバックアップをとっている人は約48%と半数以下に留まる。定期的バックアップは、ハードディスクの故障でデータにアクセスできなくなってしまった場合や、ランサムウェアなどのウイルスに感染してパソコンを初期化しなければならなくなった場合などにも役立つ。
　また、スマートフォンの画面ロックも強く推奨している。スマートフォンには多くの個人情報が保存されているが、常時持ち歩くため外出先での紛失・盗難リスクが高い。にもかかわらず、前掲調査では8割弱の人が画面ロックを設定していないという結果だった。万一の時に後悔しないように、画面ロック機能は必ず設定しておきたい。

■ネットの安全利用－－「添付ファイル」「怪しいサイト」に注意

　前掲調査では、「不審な電子メールの添付ファイルは開かない」「怪しいと思われるウェブサイトにはアクセスしない」という2項目の必要性を感じない人が約19%確認されたという。不審な添付ファイルをうっかり開いてウイルスに感染してしまう例、怪しいサイトにアクセスして感染したり詐欺にあったりする例は枚挙にいとまなく、この2項目はインターネット利用時の基本対策といえる。

　IPAは、今月18日まで開催されるサイバーセキュリティ月間（下欄参照）を契機として情報セキュリティに対する認識を深め、対策内容を再確認してほしいとしている。

（2015/03/03 ネットセキュリティニュース）

【関連URL】
・2015年3月の呼びかけ「情報セキュリティの脅威について正しい認識と対策を」（IPA）
http://www.ipa.go.jp/security/txt/2015/03outline.html
・「2014年度情報セキュリティに対する意識調査」報告書について（IPA）
http://www.ipa.go.jp/security/fy26/reports/ishiki/index.html
・サイバーセキュリティ月間（内閣サイバーセキュリティセンター）
http://www.nisc.go.jp/security-site/month/index.html