ネットセキュリティニュース

　アップルは28日、不具合の発生でアップデートを一時停止していた、「iOS 9.3」の配信を再開した。ソフトウェアアップデートが行えなかった方は、再チャレンジしていただきたい。

　アップデートを再開したのは、今月22日に公開したモバイル端末用OSの最新版「iOS 9.3」。リリース後に旧型のiPhone/iPad/iPod touchにインストールしたユーザーから、アクティベートできないという声が多数寄せられたため、同社が一時配信を停止していた。

　配信停止中は、ソフトウェアアップデートを実行しても更新できないことはいうまでもないが、「お使いのソフトウェアは最新です」と表示されたため、更新済みと勘違いしてしまった方がいらっしゃるかもしれない。更新した覚えのない方は、端末の「設定」アイコンから「一般」→「ソフトウェアアップデート」と進むか、iTunesをインストールしたパソコンに端末を接続し、確認していただきたい。

　使用中のiOSのバージョンは、[設定]→[一般]→[情報]→[バージョン]で確認することもできる。最新版は「9.3(13E237)」。「9.3」がiOSのバージョンで、括弧内の「13E237」は、アクティベート問題を修正した最新版のビルド番号だ。正常にインストールできた方は、「13E236」以前のビルド番号になっているが、気にする必要はない。

　「iOS 9.3」は、最新の端末「iPhone SE」と「iPad Pro」に合わせてリリースされたOSで、目に優しい「Night Shift」モードなどの新機能の追加に加え、「iOS 9.2.1」までのバージョンに影響する38件の脆弱性が修正されている。セキュリティアップデートを含んでおり、マルウェア感染につながるおそれのある深刻な問題が多数修正されているので、必ずアップデートしていただきたい。

（2016/03/30 ネットセキュリティニュース）

【関連URL：アップル】
・iOS 9.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT206166
・iOS 9.3 をインストール後、iPhone、iPad、または iPod touch をアクティベーションできない
https://support.apple.com/ja-jp/HT206203

　ファイルを暗号化し、解除のための金銭を要求する「ランサムウェア」に感染させようとするメールが、22日から24日にかけて大量にばらまかれた。今月は、同種のキャンペーンが断続的に行われており、今週も昨夜からメールが舞い込んでいる。うっかり添付ファイルを開いてしまうと、大切な文書ファイルや画像ファイルが開けなくなってしまうかも知れない。

　先週送られてきたのは、「Document 2」や「Image●●●.pdf」（●は十数桁の数字）といった件名のもので、拡張子が「.ZIP」のファイルが添付されている。どちらも差出人と宛先の両方が自分のメールアドレスになっており、後者は、自分のスマートフォンから送ったメールに見せかけていた。

　ほかにも、複合機からのメールに見せかけた「Message from KMBT_C224」や「Attached ●●●」（●●●はFile、Document、Picture、Imageなど）という件名のもの。ボイスメールに見せかけた「Voicemail from 07730881627 <07730881627> 00:00:24」という件名のもの。「Attached Document」「Attached document(s)」という件名のものなどが届いており、今週は、管理者（netadmin）を装った「Document (1).pdf」という件名のメールがばらまかれている。

　同種のメールは、今月に入ってから筆者のところにも頻繁に送られていたが、先週は特に数が多く、22～24日の3日間で140通ほどが迷惑メールフィルターに捕獲されていた。漏れなくブロックされていたので事なきを得たが、気付かずに開封していたらたいへんなことになっていたかもしれない。

■添付ファイルの開封は慎重に

　これらメールに添付されているZIPファイルは、ひとつまたは複数のファイルを圧縮してひとつのファイルにまとめたもので、Windowsでは「ZIP形式の圧縮フォルダー」と呼ばれている。このZIPファイルの中には、拡張子「.JS」のファイルが入っている。これが曲者で、このJSファイルを開いてしまうと、ファイルを暗号化して身代金を要求するランサムウェアのひとつ、「Locky」をインターネット上からダウンロードしてきて、システムに感染させてしまうそうだ（何をダウンロードさせるかは攻撃者次第）。

　ファイルをファイル名やアイコンだけで識別していると、感染を引き起こす実行型の危険なファイルをうっかり開いてしまう可能性が高い。特にZIPファイル内のファイルは、標準設定のWindowsで拡張子や種類が確認できないことが多いので要注意だ。確認できるように、表示設定を変更しておくことをおすすめする。詳しくは、2月25日付の記事『アイコンやファイル名に騙されないために―「拡張子」「種類」を表示する方法』を参照していただきたい。

■ZIPファイルの中身はランサムウェアのインストーラー

　ZIP圧縮フォルダーの中に入っている拡張子「.JS」のファイルは、ブラウザ内で実行するJavaScript互換の「JScript」と呼ばれるプログラミング言語で書かれたスクリプトで、Windowsが標準サポートしているWindows Script Host（WSH）がこれを実行する。WSHが実行するファイルには、「.JS」のほかに「,VBS」「.WSF」「.VBS」「.VBE」「.JSE」「.WSF」「.WSH」があり、これらも要注意ファイルだ。

　Windowsには、インターネットから取得したファイルを識別できるように、ファイルに「ZoneId」というマークを付ける機能がある。同社製をはじめとする主要なメールソフトやブラウザと、標準設定のWindowsの組み合わせであれば、ZIPファイル内のスクリプトを実行する際にZoneIdがチェックされ、必ずセキュリティの警告が表示される。そこで気付けば、実行を中止できるのだが、メールソフトやブラウザ、ZIPファイルの解凍ソフトのいずれかがZoneIdに対応していない場合には、スクリプトが警告なしで実行されてしまうので深刻だ。

　スクリプトが実行されると、外部から「Locky」本体をダウンロード／実行し、次の瞬間には、文書ファイルや画像ファイルなどが次々と暗号化されてしまう。暗号化されたファイルは、ファイル名が32桁の16進数に、拡張子が「.locky」に変更され、暗号を解除（復号）しない限り、二度と開くことはできない。

■日本語対応のランサムウェア「Locky」

　「Locky」は多国語に対応したランサムウェアで、日本語で「重要な情報」という脅迫文を表示し、有料の解除手続きを行わせようとする。指示に従って誘導先に行き「Locky Decrypter」というツールを購入すると、開けなくなったファイルが復元できるという。

　代金の支払いは仮想通貨ビットコインで、0.5BTC（約2万4千円）から。ユーザーがバックアップなどから自力でファイルを復旧できなければ、今のところは支払う以外に復旧できそうな手段はないようだ。ただし、支払っても必ずファイルが取り戻せるという保証はない。今年2月に感染被害にあった米ハリウッドの病院のように、支払うことで無事に復旧できたケースもあれば、2014年暮れに日本の少年が仕掛けたランサムウェアのように、解除手続きがうまく動作せず、復元できなくなってしまったケースもある。ファイルを取り戻せるかどうかは、試してみないとわからないのだ。

　ランサムウェアの流行に伴い、駆除や復旧をうたうソフトやサービスがネット上に散見されるようになった。これらもまた、信頼できるものかどうかは分からないので、くれぐれも注意していただきたい。役に立たないソフトや悪質なソフトを押し付けられたり、高額な請求が待っていたりするかもしれない。

　ランサムウェアの感染被害に巻き込まれないよう、「信頼できるメールや添付ファイル以外は開かない」「信頼できるサイト以外は閲覧しない」「システムやアプリを常に最新の状態にする」「ウイルス対策ソフトを導入する」などの基本的な感染予防対策で備えるとともに、万一の時に備えて、確実に復旧できる「バックアップ」を用意しておきたい。

（2016/03/29 ネットセキュリティニュース）

【関連URL】
・不正送金マルウェアとランサムウェア感染を狙ったメール攻撃が集中して発生（キヤノンITソリューションズ）
http://canon-its.jp/eset/malware_info/news/160323/
・「TeslaCrypt」「Locky」ランサムウェアの感染を狙ったメール攻撃が一週間で20万件以上の検出を確認（キヤノンITソリューションズ）
http://canon-its.jp/eset/malware_info/news/160314/
・ランサムウェア Locky、被害者を狙う攻撃が激化（シマンテック）
http://www.symantec.com/connect/blogs/locky
・新たな多言語対応ランサムウェア「Locky」が国内でも拡散中（トレンドマイクロ）
http://blog.trendmicro.co.jp/archives/12894
・Hollywood Presbyterian Medical Centerのリリース[英文][PDF]
http://hollywoodpresbyterian.com/default/assets/File/20160217%20Memo%20from%20the%20CEO%20v2.pdf

　グーグルは25日、深刻な脆弱性を修正した「Google Chrome」の最新安定板「49.0.2623.108」を公開した。最新版では、危険度が4段階中2番目に高い「高」の脆弱性4件を含む5件の脆弱性が修正されている。

　修正された「高」の脆弱性は、領域外のメモリーや解放したメモリーを使用してしまう問題と、ハッキングコンテスト「Pwn2Own」で使われたバッファオーバーフローを引き起こす問題。悪用されると、細工されたWebサイトの閲覧で、任意のコードが実行される恐れがある。

　最新版への更新は自動的に行われるほか、メニューの[Google Chromeについて]を選択すると、ただちに最新版の確認とアップデートが行える。Mac版はChromeメニューから、Windows版は右端の≡アイコン→[ヘルプ]と進むと選択できる。

　なお、最新版はブラウザの再起動後に利用できるようになるので、ブラウザを起動したままでいる方は注意されたい。

（2016/03/25 ネットセキュリティニュース）

【関連URL】
・Stable Channel Update[英文]（Chrome Releases）
http://googlechromereleases.blogspot.jp/2016/03/stable-channel-update_24.html

　警察庁は24日、2015年の不正アクセス行為の発生状況を公表した。認知件数は前年より減少したが、検挙件数は増加しており、検挙事件数・人員数は不正アクセス禁止法施行後、最多となった。

　2015年1月1日から12月31日までの1年間、都道府県警察から警察庁に報告のあった不正アクセス行為をまとめたデータが公表された。毎年3月、警察庁と総務省、経産省が不正アクセス禁止法に基づいて公表しているもので、同時にアクセス制御機能に関する技術の研究開発状況も公表されている。

　認知された不正アクセス行為後に最も多く行われたのは「ネットバンキング不正送金」で、検挙された不正アクセス行為で最も多く利用されたサービスは「オンラインゲーム、コミュニティサイト」だった。

■認知件数の減少、検挙件数の増加

　2015年の不正アクセス行為の認知件数は2051件で、2014年の3545件から約1500件も減少した。2014年は知人になりすましての情報発信が多発したが、無料通話アプリの認証セキュリティが強化され、そうした不正行為が減少したためという。
　一方、不正アクセス禁止法違反として検挙に至った検挙件数は373件（前年より9件増）、検挙人員は173人（同3人増）、事件単位ごとにカウントした検挙事件数は173件（同23件増）と、いずれも増加した。検挙事件数と検挙人員は2000年の同法施行後、最も多い数値となった。

■検挙された違反行為で不正利用されたサービス

　検挙された件数・人員について、違反行為の内訳をみると、「不正アクセス行為」332件・154人、「フィッシング行為」が14件・14人の2項目が多く、識別符号（ID/パスワード）の「提供（助長）行為 」「取得行為」「保管行為」については、それぞれ5件・5人、10件・1人、12件・2人だった。
　上記「不正アクセス行為」332件の手口をみると、他人のID/パスワードを入力して不正に利用する「識別符号窃用型」が331件、セキュリティの脆弱性を突いて操作指令を与えるなどの「セキュリティ・ホール攻撃型」は1件だった。
　この「識別符号窃用型の不正アクセス行為」331件について、不正利用されたサービスの内訳をみると、最も多いのは「オンラインゲーム、コミュニティサイト」116件で、次に「電子メール」64件、「インターネットショッピング」54件、「インターネットバンキング」30件、「社員用等の内部サイト」20件、「インターネット・オークション」20件、「インターネット接続サービス」11件、「ウェブサイト公開サービス」9件の順となった。

■認知された不正アクセス後の行為

　認知された不正アクセス行為は上記の通り2051件あったが、その後に行われた行為をみると、最も多いのは「インターネットバンキングでの不正送金」1531件で、次いで「インターネットショッピングでの不正購入」167件、「オンラインゲーム、コミュニティサイトの不正操作」96件、「メールの盗み見等の情報の不正入手」92件、「知人になりすましての情報発信」83件、「ウェブサイトの改ざん・消去」34件、「インターネット・オークションの不正操作」20件の順となっている。

■被疑者プロフィール－－最年少は12歳、動機の最多は「好奇心」

　不正アクセス禁止法違反の被疑者の年齢をみると、最も多いのは「14～19歳」53人、次いで「20～29歳」43人、「30～39歳」41人、「40～49歳」29人、「50～59歳」5人、「60歳以上」2人の順となり、若い人ほど多い。同法違反として14歳未満の少年8名が補導されており、最年少者は12歳だったという。
　不正アクセス行為の動機をみると、最も多いのは「好奇心を満たすため」76件、次いで「顧客データの収集等情報を不正に入手するため」72件、「料金の請求を免れるため」58件、「不正に経済的利益を得るため」52件の順だった。

■不正アクセスを防ぐ対策

　不正アクセスの手口として最も多いのは「利用権者のパスワード、設定・管理の甘さにつけ込んだもの」117件で、次いで「インターネット上に流出・公開されていた識別符号を入手したもの」57件、「識別符号を知り得る立場にあった元従業員や知人等によるもの」51件の順となる。
　同庁は、不正アクセスを防ぐための対策として、第一に、パスワードの適切な設定・管理（推測が容易なパスワードを避ける、複数サイトで同じパスワードを使用しない等）を挙げている。また、フィッシングに対する注意（発信元が怪しいメール、金融機関等を装ったメールに注意する）、不正プログラムに対する注意（添付ファイルは不用意に開かない、信頼できないサイト上に蔵置されたファイルはダウンロードしない等）、不正プログラム対策（ウイルス対策ソフトの利用、OSや各種ソフトウェアのアップデート等）を呼びかけている。

（2016/03/25 ネットセキュリティニュース）

【関連URL】
・平成27年における不正アクセス行為の発生状況等の公表について[PDF]（警察庁）
http://www.npa.go.jp/cyber/pdf/H280324_access.pdf
・不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況[PDF]（警察庁、総務省、経産省）
http://www.npsc.go.jp/hightech/H280324.pdf

　オラクルは24日、脆弱性1件を修正したJRE（Java RuntimeEnvironment：Java実行環境）の最新版、JRE 8 Update 77（1.8.0_77）を公開した。

　脆弱性の影響を受けるのは、Windows、Mac OS X、Solaris、Linux用のJRE 7 Update 97以前のバージョンと、JRE 8 Update 74以前のバージョン。

　Javaのコードをシステムのコードに変換して実行するJava仮想マシン「ホットスポット」の処理に問題があり、リモートから任意のコードを実行されるおそれがある。悪用されると、細工されたWebサイトを閲覧するだけで、マルウェア（ウイルス）に感染してしまうかもしれない。

　JRE 7の無料アップデートはすでに終了しており、一般向けには、脆弱性を修正したJRE 8 Update 77が提供されている。JREのアップデート機能（自動更新機能や、Javaコントロールパネルの[更新]タブの[今すぐ更新]ボタン）を使って無料で入手できるほか、同社サイトからダウンロードすることもできる。

　システムにインストールされているJREのバージョンは、下記「Javaのバージョンの確認」ページで確認できる。ただし、JREのプラグインをサポートしていないGoogle ChromeとWindowss 10のEdgeブラウザは、このページを利用できない。プラグインをサポートするInternet ExplorerやSafari、Firefoxでアクセスしていただきたい。

　Windows 8.1のInternet Explorerの場合は、デスクトップモードでアクセスしていただきたい。64bit版のWindows環境の場合は、32bit版と64bit版の両方のブラウザやプラグインが混在していることがある。32bit版と64bit版の双方のブラウザで、JREの確認と更新を行っていただきたい。

（2016/03/24 ネットセキュリティニュース）

【関連URL】
・Oracle Security Alert for CVE-2016-0636[英文]（オラクル）
http://www.oracle.com/technetwork/topics/security/alert-cve-2016-0636-2949497.html
・Oracle Java SE の脆弱性 (CVE-2016-0636) に関する注意喚起（JPCERT/CC）
https://www.jpcert.or.jp/at/2016/at160015.html
・Oracle Java の脆弱性対策について(CVE-2016-0636)（IPA）
https://www.ipa.go.jp/security/ciadr/vul/20160324-jre.html
・Javaのバージョンの確認（オラクル）
http://www.java.com/ja/download/installed.jsp
・Javaのダウンロード（オラクル）
http://java.com/ja/download/

　2015年のサイバー犯罪の検挙件数は前年より191件増加した。ネットワーク利用犯罪では「児童ポルノ」「児童買春」「脅迫」の検挙件数がここ6年間で一度も減少せず増加を続けていること、いったん減少をみせていたオークション利用詐欺がここ2年間で増加に転じていること等が分かった。

　警察庁は、「不正アクセス禁止法違反」、「コンピュータ・電磁的記録対象犯罪及び不正指令電磁的記録に関する罪」、「ネットワーク利用犯罪」の3つを合わせて「サイバー犯罪」と呼んでいるが、いずれの検挙件数も前年より微増しており、サイバー犯罪全体では191件の増加となった。サイバー犯罪中で最も多い「ネットワーク利用犯罪」の検挙件数は7483件で、前年より134件増加している。

■増加続ける「児童ポルノ」「児童買春」「脅迫」、再び増加の「オークション詐欺」

　「ネットワーク利用犯罪」の内訳をみると、最も多いのは「児童ポルノ」1295件で、2010年の783件以来、883件→1085件→1124件→1248件→1295件と増加を続けてきた。同じくこの6年間に増加を続けているものに「児童買春」と「脅迫」がある。児童買春は2010年の783件以降、883件→1085件→1124件→1248件→1295件へ、脅迫は同じく2010年の67件以降、81件→162件→189件→313件→398件へ、一度も減少することなく増え続けている。

　2015年で2番目に検挙件数が多い犯罪は「詐欺」951件で、このうち5割以上を占める511件が「オークション利用詐欺」だ。オークション利用詐欺は2010年の677件以降、389件→235件→158件と減少してきたが、2014年には381件と増加に転じ、2015年もさらに130件増えた511件になってしまった。
　2015年で3番目に検挙件数が多い犯罪は「わいせつ物頒布等」835件、以下「青少年保護育成条例違反」693件、「著作権法違反」593件と続く。

■案じられる青少年によるサイバー犯罪

　警察庁は検挙事例として4件を紹介しているが、うち2件は18歳と19歳の少年によるものだ。19歳の無職少年は、掲示板サイトで入手した他人のIDとパスワードを使って会員向けサービスに不正アクセスし、他人の登録メールアドレスを変更。不正アクセス禁止法違反等で検挙されている。18歳の少年は、身代金要求型ウイルス「ランサムウェア」作成ツールを、ランサムウェ配付目的で保管していた等として、不正指令電磁的記録保管等で検挙されている。

■「相談件数」は前年より1万件増、過去最多に

　都道府県警察の相談窓口に寄せられるサイバー犯罪に関する相談件数は12万8097件となり、過去最高だった前年の11万8100件を1万件近く上回り、過去最高を更新した。
　相談内容の最多は「詐欺・悪質商法」6万7026件で、「迷惑メール」1万6634件、「名誉毀損・誹謗中傷等」1万398件、「ウイルス」7089件、「オークション」6274件、「違法・有害情報」4854件など。

　詐欺・悪質商法に関する相談では、ネットショッピングで商品を購入して指定口座へ代金を支払ったが商品が届かず相手とも連絡が取れないという例、登録した覚えのない有料サイトの料金を請求されたという例が紹介されている。名誉毀損、誹謗中傷に関する相談では、掲示板サイトに個人を誹謗中傷する内容を書き込まれた、無断で顔写真を掲載されたという例が、また不正アクセス等に関する相談では、オンラインゲームのアカウントを乗っ取られゲーム内のアイテムを勝手に利用されたという例が紹介されている。

（2016/03/23 ネットセキュリティニュース）

【関連URL：警察庁】
・平成27年におけるサイバー空間をめぐる脅威の情勢について
http://www.npa.go.jp/kanbou/cybersecurity/H27_jousei.pdf

　アップルは22日、Mac OS X El Capitan v10.11.4と、Yosemite/Mavericks用の「セキュリティアップデート 2016-002」、Webブラウザの最新版「Safari 9.1」、モバイル端末用OSの最新版「iOS 9.3」を公開した。

■「OS X El Capitan 10.11.4」「セキュリティアップデート 2016-002」

　El Capitanで57件（同梱のSafariを除く）、YosemiteとMavericksで22件の脆弱性が修正されている。
　各OS X共通のカーネルでメモリー破壊が発生する問題やXMLライブラリ「libxml2」の問題など、任意のコードが実行されるおそれのある深刻な問題の修正が多数含まれている。
　アップデートは、自動更新や通知のクリック、または手動で「App Store」を確認する。Appleメニューから[App Store]を選択し、ツールバーの[アップデート]ボタンをクリックすると、利用可能なアップデートが表示される。

＜関連URL：アップル＞
・About the security content of OS X El Capitan v10.11.4 and Security Update 2016-002
https://support.apple.com/ja-jp/HT206167

■「Safari 9.1」

　Webブラウザの最新版「Safari 9.1」では、Webページを描画するレンダリングエンジン「WebKit」やXMLライブラリ「libxml2」の問題など、計12件の脆弱性が修正されている。悪用されると、マルウェア（ウイルス）感染やプライバシー侵害のおそれのある問題が含まれている。
　Safariの最新版への更新は、El CapitanはOS Xに同梱。YosemiteとMavericksは、自動更新や通知のクリック、または手動で「App Store」を確認する。Appleメニューから[App Store]を選択し、ツールバーの[アップデート]ボタンをクリックすると、利用可能なアップデートが表示される。

＜関連URL：アップル＞
・About the security content of Safari 9.1
https://support.apple.com/ja-jp/HT206171

■「iOS 9.3」

　同日発表のiPhone SEとiPad Proをサポートする「iOS 9.3」では、いくつかの新機能の追加に加え、OS XやSafariで修正された問題と同じ34件を含む、計38件の脆弱性が修正されている。マルウェア感染やプライバシー侵害につながるおそれのある問題が、多数含まれている。
　アップデートの対象となるのは、iPhone 4s以降、Pad 2以降、iPad mini、iPod touch第5世代以降。最新版への更新は、端末の「設定」アイコンから「一般」→「ソフトウェア・アップデート」と進むか、端末をパソコンに接続し、iTunes経由で行う。
　なお、最新のiPhone SE、iPad Proとの同期をサポートする「iTunes 12.3.3」が、同日より公開されている。OS X版は「App Store」で、Windows版はiTunesのヘルプメニューにある「更新プログラムを確認」、または同梱の「AppleSoftware Update」で、最新版に更新できる。

＜関連URL：アップル＞
・About the security content of iOS 9.3
https://support.apple.com/ja-jp/HT206166

（2016/03/22 ネットセキュリティニュース）

　ファイルやシステムを使えないようにロックし、ユーザーに解除料の支払いを求めるタイプのマルウェア（ウイルス）「ランサムウェア」の被害が、国内のユーザーの間に広がっている。ネット上では、これまでのWindowsパソコンに加えて、Android端末での被害も報告されている。

　かつては言語の違いや決済手段の問題から、国内への影響が少なかったランサムウェアだが、日本語化や決済手段の普及、対応などが進んでおり、もはや対岸の火事ではすまされない状況になっている。ある日突然パソコンやスマートフォンが人質にとられ、身代金を要求される被害が国内でも現実に起きているのだ。

　最近ネット上で話題になった、Windows版、Mac OS X版、Android版のランサムウェアをご紹介する。ウイルス感染対策と大切なデータのバックアップの二本立てで、万一に備えていただきたい。感染対策については、末尾の関連記事「ランサムウェア感染被害が増加傾向－－データの定期的バックアップを」に詳しい。ただし、この記事で紹介している「バックアップ時の重要な留意事項」3点の履行には、市販のバックアップソフトが必須なので注意していただきたい。システムの標準機能や無料のソフトで行える範囲のバックアップついては、別の機会にご紹介する。

■Windowsを狙う「TeslaCrypt」「Locky」

　ESETのセキュリティ製品を販売するキヤノンITソリューションズは今月14日、ランサムウェア「TeslaCrypt」と「Locky」の感染を狙った不審メールが、2日から9日にかけて20万件以上確認されたとして注意を呼びかけた。

　「TeslaCrypt」は、昨年12月、国内での感染報告がネット上で拡散され話題になったもの。文書や画像などの特定の拡張子を持つファイルを暗号化し、暗号の解除（複合化）料を要求する。昨年末に話題になった時には、暗号化したファイルの拡張子が「.vvv」に変更されたことから「vvvウイルス」と呼ばれたが、拡張子には様々なバリエーションがある（直近は.mp3）。支払いを求める脅迫文は日本語に対応しておらず、支払いはビットコインだ。

　「Locky」もまた、特定の種類のファイルを暗号化して人質にするタイプで、暗号化したファイルの拡張子が「.locky」に変更される。身代金の支払いは、「TeslaCrypt」と同様ビットコインだが、日本語を含む多国語に対応しており、感染パソコンに合わせた言語で脅迫文を表示する。

　これらランサムウェアの拡散には、メールのほかにも改ざんされたサイトや広告経由で知らない間に感染してしまうドライブバイダウンロード、動画再生ソフトや更新ソフトなどの有用なソフトウェアに見せかけ、ユーザーをだまして実行させるやり方など、様々な手口があるので注意したい。

＜関連URL＞
・「TeslaCrypt」「Locky」ランサムウェアの感染を狙ったメール攻撃が一週間で20万件以上の検出を確認（キヤノンITソリューションズ）
http://canon-its.jp/eset/malware_info/news/160314/index.html
・新種ランサムウェア「Locky」の感染が国内で急増（キヤノンITソリューションズ）
http://canon-its.jp/eset/malware_info/news/160218/
・新たな多言語対応ランサムウェア「Locky」が国内でも拡散中（トレンドマイクロ）
http://blog.trendmicro.co.jp/archives/12894
・スパムで送信される新しいTeslaCryptランサムウェアに注意（マカフィー）
http://blogs.mcafee.jp/mcafeeblog/2016/02/post-4a82.html

■Mac OS Xを狙う「KeRanger」

　ランサムウェアとは無縁だったMacにも、魔の手が及んでいたことが明らかになった。セキュリティ企業の Palo Alto Networksと、ファイル共有ソフト「BitTorrent」のクライアントソフトを開発しているTransmissionプロジェクトが今月7日、OS Xを狙うランサムウェア「KeRanger」の感染被害を発表した。

　発表によると、Transmissionプロジェクトが配布していた「Transmission バージョン2.90」のインストーラーが、この「KeRanger」に汚染されており、実行すると3日後に特定の形式のファイルが暗号化されるという。日本語には対応しておらず、先のWindows版と同様の身代金をビットコインで支払うタイプだが、Mac版の登場が初めてだったうえ、回避が難しい正規ソフト経由の感染だったことから、日本国内でも注目を集めた。OS Xには、悪質なソフトのインストールを防ぐ「GateKeeper」という仕組みが備わっているが、今回はこの安全策も機能しなかったという。汚染されたTransmissionに正規の署名があったため、「Mac App Store」と確認済みの開発元からのものを許可する標準設定では、ブロックできなかったのだ。

＜関連URL＞
・Mac OS X を狙う暗号化型ランサムウェアを初確認（トレンドマイクロ）
http://blog.trendmicro.co.jp/archives/12984
・New OS X Ransomware KeRanger Infected Transmission BitTorrent Client Installer[英文]（Palo Alto Networks）
http://researchcenter.paloaltonetworks.com/2016/03/new-os-x-ransomware-keranger-infected-transmission-bittorrent-client-installer/
・Read Immediately!!!![英文]（Transmission）
https://www.transmissionbt.com/
・Transmission 2.92(2016/03/06)[英文]（Transmission）
https://trac.transmissionbt.com/wiki/Changes#version-2.92

■Androidを狙う「Fusob」

　先週からネット上で話題になっているのが、Android端末に感染するランサムウェアだ。「Fusob」「Locker」「SLocker」「PornLoc」などの名前が付けられたこのランサムウェアは、昨年から海外で流通していたもの。今回は、その日本語版の感染報告が相次いでおり、トレンドマイクロは16日、公式ブログで注意が呼びかけた（トレンドマイクロ名は「Locker」）。

　「Fusob」は、端末を操作できないようにロックするタイプのランサムウェアで、何らかのアプリを装い、ユーザー自身にインストールさせる手口で感染を広げているらしい。感染すると端末に応じた言語でMINISTRY OF JUSTICE（法務局）を装う警告を表示し、支払い以外の操作ができないように端末をロック。解除するために罰金を支払うよう要求する。パソコン版のランサムウェアがビットコインで0.5～1BTC（約2万4千～4万8千円前後）の支払いを要求するのに対し、こちらは1万円（米ドル版は100ドル）のiTunesギフトカードのコードを要求する。

　コンビニなどでも販売されている各種オンラインサービスのギフトカード（プリペイドカード）は、カードに記載されているコードを使用して額面の金額をチャージする仕組みになっている。コードを相手に伝えるだけで瞬時に現金の受け渡し相当の結果が得られるこの方法は、国内の各種詐欺でもしばしば用いられている。

　感染した端末は、このギフトカードのコードを入力してロックを解除するまで、他の操作ができなくなってしまうのだが、端末をセーフモードで再起動するとアンインストールできたという投稿がいくつかあり、トレンドマイクロもその可能性を示唆している。アンインストールできないケースもあるらしいが、試してみる価値はありそうだ。

　セーフモードは、余分なものをロードせず必要最小限のシステムを起動する機能。電源ボタンの長押しやメニューの長押しなど、通常とは異なる操作を行うのだが、操作方法は機種ごとに異なる。お使いの端末のマニュアルや販売店、製造元などで操作方法を確認していただきたい。

＜関連URL＞
・日本語表示に対応したモバイル版ランサムウェアを初確認、既に国内でも被害（トレンドマイクロ）
http://blog.trendmicro.co.jp/archives/13041

（2016/03/18 ネットセキュリティニュース）

　撮影された人の同意なくインターネット上に性的画像等を公開するいわゆるリベンジポルノ（復讐目的のポルノ）について、警察庁は17日、2015年の相談状況、検挙状況等を明らかにした。被害にあった場合の対処法は、以前に比べ大きく前進している。

　警察庁の公開資料（下欄「関連URL」参照）によると、2015年に全国の警察に寄せられたリベンジポルノに関する相談件数は1143件で、被害相談の9割が女性、1割が男性だった。被害者の年齢は多い順に20代（38％）、30代（23％）、19歳以下（20％）で、加害者の年齢は30代（23％）、20代（22％）、40代（18％）が多く、19歳以下は10％に留まる。

■被害の最多は「公表する」という脅し
　相談内容（複数回答）をみると、もっとも多いのは「画像を公表すると脅された」502件、次いで「画像を所持されている、撮影された」343件、「画像を送りつけられた」245件が続き、実際に画像を公表されてしまったという相談は188件あった。28件ある「その他」には、「画像の購入要求」などが含まれる。

■加害者で2番目に多い「ネット関係のみ」の知人友人
　被害者と加害者の関係で最も多いのは交際相手（元含む）で、725件（63％）が該当する。2番目に多いのは「ネット関係のみ」の知人友人で、一度も会ったことがない相手に問題となる画像を送信していたことに起因する被害が130件（11％）あった。以下、ネットのみではない「知人友人」113件（9.9%）、「その他（客と従業員等）」57件、「配偶者（元含む）」53件と続く。

■303件が検挙され、画像削除等の対応も
　相談等を受けた1143件のうち、2014年11月施行のリベンジポルノ法（私事性的画像被害防止法違反）で53件が検挙された。このほか、250件が同法以外の刑法・特別法（脅迫罪、児童買春・児童ポルノ禁止法違反等）で検挙されている。また被害者への防犯指導・助言、画像削除を含む加害者への注意・警告等が行われている。

■「削除依頼」相談はできるだけ早く
　インターネットで公表されてしまった画像は、プロバイダー等を通じて削除を要請できる。もよりの警察署のほか、セーフライン（下欄にURL）も削除相談を受け付けている。削除要請が遅くなればなるほどネットでの拡散を許してしまうので、相談はできるだけ早いほうが高い効果を期待できる。

（2016/03/18 ネットセキュリティニュース）

【関連URL】
・平成27年におけるストーカー事案及び配偶者からの暴力事案等の対応状況について[PDF]（警察庁）
http://www.npa.go.jp/safetylife/seianki/stalker/seianki27STDV.pdf
・「私事性的画像記録の提供等による被害の防止に関する法律」が施行されました（警察庁）
http://www.npa.go.jp/safetylife/seianki/shiseigazouboushi/
・リベンジポルノの被害にあわれたら（セーフライン）
http://www.safe-line.jp/against-rvp/
・統計情報（セーフライン）
http://www.safe-line.jp/statistics/

　アドビシステムズは10日、多数の深刻な脆弱性を修正した「Flash Player」の最新版を公開した。脆弱性のひとつは、すでに攻撃に悪用されているという。

　脆弱性の影響を受けるのは、Windows版とMacintosh版の「20.0.0.306」以前のバージョンと、Linux版の「11.2.202.569」以前のバージョン。アップデート後はWindows版とMacintosh版が「21.0.0.182」に、Linux版は「11.2.202.577」に更新される。延長サポート版の「18.0.0.329」以前のバージョンにも影響があり、最新の「18.0.0.333」が提供されている。

　同社のセキュリティ情報によると、最新版では23件の脆弱性が修正されている。いずれもコード実行につながる危険な脆弱性で、悪用されるとシステムが乗っ取られるおそれがある。その中のひとつ、整数オーバーフローの問題（CVE-2016-1010）を悪用した標的型攻撃が、すでに発生しているという。

　システムにインストールされているFlash Playerのバージョンは、下記のバージョン確認ページにアクセスするか、コントロールパネルやシステム環境設定の「Flash Player」の[更新]タブで確認できる。最新版への更新はFlash Playerの自動更新機能を通じて行われるほか、同社サイトからダウンロードすることもできる。

　Windows 8.1/10に搭載されているInternet ExplorerおよびEdge用のFlash Playerについては、Windows Updateを通じて最新版が配布されており、自動的に更新される。直ちに更新する場合は、コントロールパネルなどから[Windows Update]を開き、[更新プログラムの確認]をクリックすると確認とアップデートが行える。

　Google Chromeに搭載されているFlash Playerについては、自動更新機能を通じて最新版の配信が行われており自動的に更新される。今すぐ更新したい場合には、コンポーネント画面を開いて「pepper flash」の[アップデートを確認]ボタンを押す。コンポーネント画面は、アドレスバーに chrome://components と入力してEnterキーを押すと開く。

（2016/03/11 ネットセキュリティニュース）

【関連URL】
・APSB16-08:Security updates available for Adobe Flash Player［英文］（アドビ）
https://helpx.adobe.com/security/products/flash-player/apsb16-08.html
・MS16-036：Adobe Flash Playerのセキュリティ更新プログラム(3144756)（マイクロソフト）
https://technet.microsoft.com/library/security/MS16-036
・Flash Playerのバージョン確認（アドビ）
http://www.adobe.com/jp/software/flash/about/
・Flash Playerのダウンロード（アドビ）
http://get.adobe.com/jp/flashplayer/

　フィッシング対策協議会は9日、スクウェア・エニックスをかたるフィッシングメールが出回っているとして、注意を呼びかけた。誘導先は、ドラゴンクエストⅩプレイヤー専用サイト「目覚めし冒険者の広場」のログインページそっくりに作られた偽サイトで、9日午後3時45分現在、稼働中だ。

　スクウェア・エニックスをかたるフィッシングは、2013年から2年以上にわたって継続して行われているおなじみのものだが、今回出回った偽メールと誘導先の偽サイトは協議会のページで確認できる。

　偽メールは「[スクウェア・エニックス アカウント]のお知らせ」という件名のhtmlメールで、ドラクエの画像が使われている。メール本文「スクウェア・エニックス アカウントの検証を確認するためには、下記のURLをクリックしてください」の下に記載されたURLは「https」で始まっていて本物と思わせるが、実際にクリックすると公式サイトのドメイン「square-enix.com」とは全く異なるドメインの偽サイトへ誘導される。

　偽サイトのURLは下記が確認されており、「目覚めし冒険者の広場」のホスト名「ｈｉｒｏｂａ．ｄｑｘ．ｊｐ」を織り込んだホスト名が使われている。

http://hiroba.dqx.jp.mcsu.●●●●.cc
http://hiroba.dqx.jp.xsml.●●●●.cc/account/app/svc/login.html
http://hiroba.dqx.jp.msxcx.●●●●.cc/account/app/svc/login.html

　偽ページはログイン画面を模したもので、スクウェア・エニックスのID、パスワード、ワンタイムパスワードの入力を促している。偽サイトに使われ続けてきたこのログイン画面も、近々リニューアルが予定されているという。偽サイトも追随する可能性があり、注意が必要だ。

■稼働中の銀行フィッシングにも注意

　協議会の緊急情報には記載されていないが、三井住友銀行とりそな銀行のフィッシングが今週も継続して行われている。三井住友銀行、りそな銀行をかたるSMSやメールがばらまかれており、10日午後4時現在も偽サイトは稼働中だ。騙されないよう、注意していただきたい。

（2016/03/10 ネットセキュリティニュース）

【関連URL：フィッシング対策協議会】
・スクウェア・エニックス（ドラゴンクエストX）をかたるフィッシング (2016/03/09)
http://www.antiphishing.jp/news/alert/_squareenix20160309.html
・【重要】フィッシング詐欺サイトへ誘導するメールやメッセージにご注意ください（スクウェア・エニックス）
http://www.jp.square-enix.com/info/1308_attention.html

　グーグルは9日、深刻な脆弱性を修正した「Google Chrome」の最新安定板「49.0.2623.87」を公開した。最新版では、危険度が4段階中2番目に高い「高」の脆弱性3件が修正されている。

　修正されたのは、Webページを画面に表示するレンダリングエンジン「Blink」の処理に関する問題2件と、PDFのレンダリングエンジン「PDFium」の処理に関する問題1件。悪用されると、細工されたWebサイトの閲覧で、任意のコードが実行される恐れがある。

　最新版への更新は自動的に行われるほか、メニューの[Google Chromeについて]を選択すると、ただちに最新版の確認とアップデートが行える。Mac版はChromeメニューから、Windows版は右端の≡アイコン→[ヘルプ]と進むと選択できる。

　なお、最新版はブラウザの再起動後に利用できるようになるので、ブラウザを起動したままでいる方は注意されたい。

（2016/03/09 ネットセキュリティニュース）

【関連URL】
・Stable Channel Update[英文]（Google Chrome Releases）
http://googlechromereleases.blogspot.jp/2016/03/stable-channel-update_8.html

　モジラは9日、Webブラウザ「Firefox」の最新版「45.0」を公開した。対象となるのは、Windows、Mac、Linux、およびAndroid。法人向けの延長サポート版（ESR）「38.7」も公開されている。

　新版では、ビデオ通話「Firefox Hello」でのタブの共有や、他の端末のタブと同期する「同期タブ」機能の強化などに加え、計22件の脆弱性が修正されている。

　修正された脆弱性の重要度は、4段階評価で最も高い「最高」が8件、次に高い「高」7件、「中」6件、「低」1件。悪用されると任意のコードが実行されるおそれのある、危険な脆弱性の修正が含まれている。

　ESR版では、Firefox 45と同じ「最高」の脆弱性7件と、「高」3件、「中」2件、「低」1件と、Firefox 40で修正された「最高」1件、 Firefox 43で修正された「高」1件の計15件の脆弱性が修正されている。

　それぞれの最新版は自動更新機能を通じて配布されているほか、今すぐ手動で更新することもできる。

　デスクトップ版Firefoxの手動更新は、Windowsではメニューボタン「≡」をクリック→下段のヘルプボタン「？」をクリック→表示された[ヘルプ]メニューの[Firefoxについて]を選択する。または、[Alt]キーを押してメニューバーを表示し、[ヘルプ]メニューの[Firefoxについて]を選択する。OS Xでは、Firefoxメニューの[Firefoxについて]を選択する。

　Android版は、メニューから[設定]→[Mozilla]→[Firefoxについて]→[更新を確認]の順にタップする。または、「Google Play」の「マイアプリ」で、「インストール済みのアプリ」を表示する。

　自動や手動で更新した最新版は、ブラウザの再起動後に利用できるようになるので、ブラウザを起動したままでいる方は注意されたい。

（2016/03/09 ネットセキュリティニュース）

【関連URL：モジラ】
＜Firefox 45.0＞
・リリースノート（デスクトップ版）
https://www.mozilla.jp/firefox/45.0/releasenotes/
・リリースノート（Android版）
https://www.mozilla.jp/firefox/android/45.0/releasenotes/
・セキュリティアドバイザリ
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox.html
＜Firefox ESR 38.7.0＞
https://www.mozilla.jp/firefox/38.7.0/releasenotes/
・セキュリティアドバイザリ
http://www.mozilla-japan.org/security/known-vulnerabilities/firefoxESR.html
＜ヘルプトピック＞
・タブグループ機能は終了します
https://support.mozilla.org/ja/kb/tab-groups-removal

　アドビシステムズは9日、深刻な脆弱性を修正したPDF閲覧ソフト「Acrobat Reader DC」「Adobe Reader XI」の最新版を公開した。対象は、WindowsおよびMac用のデスクトップ版。

　最新版では、メモリー破壊などのコード実行につながる危険な脆弱性3件が修正されている。細工されたPDFファイルを開くと、システムが乗っ取られるおそれがある。

　更新後のバージョンは、Acrobat Reader DCの継続トラックが「15.010.20060」、クラシックトラックが「15.006.30121」、Reader XIが「11.0.15」となる。

　使用しているバージョンは、Acrobat Reader DCまたはReaderを起動し、[ヘルプ]メニューの[Adobe Acrobat Reader DCについて（または Adobe Reader XIについて）]で確認できる。Acrobat Reader DCのバージョン表記は、「バージョン 2015.xxx.xxxxx」というように、先頭が4桁のリリース年になっている。これは、2桁表記になっている同社のセキュリティ情報の「15.xxx.xxxxx」と同じものだ。

　最新版への更新は、[ヘルプ]メニューの[アップデートの有無をチェック]から実行できるほか、同社のサイトから最新のAcrobat Reader DC（継続トラック）をダウンロードすることもできる。継続トラックとクラシックトラックの違いについては、関連URLの「アップデート方法について」をご覧いただきたい。

（2016/03/09 ネットセキュリティニュース）

【関連URL：アドビシステムズ】
・ APSB16-09:Security Updates Available for Adobe Acrobat and Reader[英文]
https://helpx.adobe.com/security/products/acrobat/apsb16-09.html
・Adobe Acrobat Reader DCのダウンロード
https://get.adobe.com/jp/reader/
・アップデート方法について（Windows 版 Acrobat DC/Acrobat Reader DC）
https://helpx.adobe.com/jp/acrobat/kb/cq08061501.html
・アップデート方法について（Mac OS 版 Acrobat DC/Acrobat Reader DC）
https://helpx.adobe.com/jp/acrobat/kb/cq08101140.html

　マイクロソフトは9日、3月度の月例セキュリティパッチ（セキュリティ更新プログラム）を公開した。

　公開されたパッチは、深刻度が4段階評価で最も高い「緊急」5件と、次に高い「重要」8件の計13件。Windows、Windows Server、Internet Explorer、Edge、Office製品、SharePoint Server、Office Web Apps、.NET Frameworkが影響を受ける。

【更新プログラムの内容】

＜緊急＞
・[MS16-023]Internet Explorer：リモートコード実行の脆弱性
・[MS16-024]Edge：リモートコード実行の脆弱性
・[MS16-026]グラフィックフォント：リモートコード実行の脆弱性
・[MS16-027]Windows Media：リモートコード実行の脆弱性
・[MS16-028]PDFライブラリ：リモートコード実行の脆弱性

＜重要＞
・[MS16-025]Windowsライブラリ：リモートコード実行の脆弱性
・[MS16-029]Office：リモートコード実行の脆弱性
・[MS16-030]Windows OLE：リモートコード実行の脆弱性
・[MS16-031]Windows：特権昇格の脆弱性
・[MS16-032]セカンダリログオンサービス：特権昇格の脆弱性
・[MS16-033]USBマスストレージクラスドライバー：特権昇格の脆弱性
・[MS16-034]Windowsカーネル：特権昇格の脆弱性
・[MS16-035].NET Framework：セキュリティ迂回の脆弱性

　このほかに、セキュリティ以外の更新プログラムと、新たに「Fynloski」「Vonteera」に対応した「悪意のあるソフトウェアの削除ツール」の更新バージョンが公開されている。

（2016/03/09 ネットセキュリティニュース）

【関連URL：マイクロソフト】
・セーフティとセキュリティセンター
https://www.microsoft.com/ja-jp/security/default.aspx
・2016年3月のマイクロソフトセキュリティ情報の概要
https://technet.microsoft.com/ja-jp/library/security/ms16-mar

　昨年1年間のインターネットバンキングの不正送金被害が、過去最悪だった前年を上回り30億円を超えたことが3日、警察庁のまとめでわかった。国内初のSMSを使って偽サイトに誘導する手口も確認された。

　同庁の発表によると、昨年1年間に発生した不正送金被害は1495件と、前年の1876件から20％減ったが、被害額は約30億7300万円と、前年の約29億1000万円を6％上回る過去最悪の結果になった。特に信用金庫の法人口座被害が急増しているという。

　マルウェア（ウイルス）やフィッシングによるネットバンキングの不正送金被害は、国内犯によるものが2005年から問題化しており、2007年に最初のピークを迎える。その後しばらく沈静化していたが、海外からの攻撃が2011年に激化し、この年から同庁が被害状況をまとめるようになった。この年の被害は、165件（3億800万円）。多くはマルウェアよるものだったが、フィッシングによる被害もあった。

　翌2012年は減少に転じたが、2013年に再び激化。被害は、2012年の64件（4800万円）から、2013年の1315件（14億600万円）へと、これまでにない急激な拡大を見せた。2013年末から2014年初頭にかけて、被害はピークを迎える。個人口座に集中していた被害が法人口座にも波及し、フィッシングが盛んに行われるようになったのもこの頃から。被害件数、被害額ともに、2014年は過去最高を記録した。

　その後、被害はピークが過ぎ減少傾向にあったが、昨年初頭から再び増加に転じ、前年を上回る最悪の被害額を記録する結果となった。バンキングマルウェアに感染させようとするなりすましメールや不正な広告、改ざんサイト、偽サイトへと誘導するフィッシングメールなどが多数報告されており、電話番号宛に短文を送るSMS（ショート・メッセージ・サービス）を使って偽サイトに誘導するフィッシングが、国内で初めて確認された。

　これら攻撃は、今年に入ってからも続いており、気を緩めることのできない状況が続いている。ネットバンキング側が提供しているセキュリティ対策を積極的に利用するとともに、「システムやアプリを常に最新の状態にする」「セキュリティソフトを導入する」「メールやWebサイトの不自然さを察知し騙されないよう行動する」といった、ユーザー自身による基本的なマルウェア対策やフィッシング対策を実施し、被害にあわないようにしていただきたい。

■不正送金を防ぐ口座のセキュリティ対策

　同庁の発表では、不正送金被害を受けた口座のセキュリティ対策実施状況として、個人口座向けに提供されているワンタイムパスワードと、法人口座向けの電子証明書の利用状況がまとめられている。

　ワンタイムパスワードは、個人の被害口座1222件中118件（9.7％）が利用していたが、916件（75.0％）は利用していなかったという。電子証明書は、法人の被害口座273件中47件（17.2％）が利用していたが、185件（67.8％）は利用していなかったという。

　全体の利用状況と比較しないと効果の程が確かめられないが、ID/パスワードを盗んだ後、それを使ってアカウントにログインして口座を操作するオーソドックスな不正送金は、これらの利用で確実に防ぐことができる。

　金融庁の昨年3月時点のまとめでは、個人向けネットバンキングの96.9％、法人向けの91.7％がワンタイムパスワードを導入している。法人向けはやや低いが、電子証明書を含めば97.7％が導入済みだ。ただし、こうした対策を利用するためには、事前に申し込みや設定が必要なことが多い。この機会にご利用の口座を点検し、未使用の場合はぜひ利用するようにしたい。

■知っておきたい「ワンタイムパスワード」の種類と弱点

　個人の口座の9.7％はワンタイムパスワードを、法人口座の17.2％は、電子証明書を利用していたにもかかわらず、被害が発生している。これら対策を実施していても防げないことがあるのだ。

　認証のたびに異なるパスワード（暗証番号）を使用するワンタイムパスワードには、あらかじめ配布した数字の書かれた表の中から、特定の場所の数字を入力させる「乱数表方式」、一定時間だけ有効なパスワードを自動生成するハードウェアやスマホアプリを使う「トークン方式」、メールやSMSを使ってその都度送る「メール方式」がある。これに企業向けの電子証明書を加え、それぞれの弱点について解説する。弱点を突かれると守り切れなくなってしまうので、十分注意を払うとともに、マルウェア対策やフィッシング対策なども合わせ、二重三重の安全策で口座を守っていただきたい。

・「電子証明書」の弱点

　特定の端末にインストールした電子証明書で正規のユーザーを確認するこの方式は、電子証明書を盗まれると成りすまし可能なのが弱点だ。国内の不正送金に使われたバンキングマルウェアには、この電子証明書を盗み出す機能を備え持つものがある。盗めないように設定されている場合にはいったん削除し、新しい電子証明書をインストールするタイミングで盗み出そうとする機能まで備わっているという。

・「乱数表方式」の弱点

　事前に配布した数字が書かれた表の中から、その都度異なる場所の数字を入力させる方式で、表を盗まれてしまうと効果を失う。乱数表のすべての数字を入力させようとする攻撃が、マルウェア、フィッシングともに発生しているが、本物のネットバンキングでこのような操作を要求されることはない。全て入力させられそうになったら直ちに操作を中止し、サポート窓口に連絡して指示を仰いでいただきたい。

・「メール方式」の弱点

　その都度異なる数桁の番号をメールやSMSで送る方式で、メールで送るタイプは送信先のメールを乗っ取られると効果がなくなる。マルウェアの中には、ネットバンキングとメールの両方のアカウントを盗み出す機能を備えたものがあり、国内の不正送金にも使われていると報告されている。SMSで送るタイプは、端末の監視アプリや遠隔操作アプリ、類似機能を持つマルウェアを仕掛けられると効果を失う。これは、メールで送るタイプの無力化にも有効な手段だ。
　メールやSMSを受け取る端末で、ネットバンキングを操作する場合には、安全性が著しく低下するので注意したい。通帳と印鑑を一緒に持ち歩いたり、キャッシュカードに暗証番号をメモしておいたりするようなものなので、端末の盗難や不正操作対策を厳重に行っていただきたい。

・「トークン方式」の弱点

　専用のハードやアプリをインストールしたスマートフォンに口座を結び付ける方式で、物理的な鍵と同じような高い安全性があり、基本的にはハードを直接操作されない限り安全だ。しかし、有効なワンタイムパスワードをユーザー自身に入力させる方法で突破される事例が発生している。偽の画面を表示してユーザーにワンタイムパスワードを入力させ、その裏でリアルタイムに送金処理等を実行してしまうやり方だ。「中間者攻撃」と呼ばれるこの手口は、マルウェアでもフィッシングでも仕掛けることができ、騙されると従来のワンタイムパスワード方式は全て無力なものにしてしまう。
　ワンタイムパスワードの生成とネットバンキングの操作を同じ端末内で行う場合、安全性が低下するので注意したい。アプリの中には、ワンタイムパスワードの生成と取引の両機能を備えたものがあるので、知らずに使用していると危険だ。端末の盗難や不正操作対策を厳重に行っていただきたい。

・「トランザクション認証方式」の仕組みと弱点

　みずほ銀行や住信SBIネット銀行、じぶん銀行なのどの一部のネットバンキングでは、上記の「中間者攻撃」に対抗するトランザクション認証と呼ばれる方式を導入している。この方式では、間に入ったマルウェアや偽サイトが勝手な取引を行えないように、取引内容を含む形でユーザーが実行許可を与える仕組みになっている。

　みずほ銀行のトランザクション認証の場合は、電卓のようなカード型のハードウェアを使用する。取引実行時にカードに表示された暗証番号を入力する点は、通常のワンタイムパスワードと同じだが、振込先の口座番号をカードに入力して暗証番号を発生させる点が異なる。送金先情報を含んだワンタイムパスワードなので、中間者攻撃で任意の口座に勝手に送金させることができなくなる。

　住信SBIネット銀行やじぶん銀行のトランザクション認証の場合は、スマホのアプリを使用する。振込などの実行時には、このアプリに取引内容が通知されるので、ユーザーがそれを確認して承認ボタンをタップし、取引を完了させる。これらアプリには、ログインロック機能も用意されており、この機能を有効にすると、アプリでロックを一時的に解除しなければ、ネットバンキングにログインすることもできなくなる。

　安全性がかなり高くなるのだが、乱数表がキャッシュカードの裏に印刷されていたり、乱数表を無効化できなかったりという弱点がある。キャッシュカードの盗難や乱数表の弱点を突かれると、ネットバンキングのセキュリティ対策が無効化されてしまうおそれがあるのだ。

（2016/03/07 ネットセキュリティニュース）

【関連URL】
・平成27年中のインターネットバンキングに係る不正送金事犯の発生状況等について[PDF]（警察庁）
http://www.npa.go.jp/cyber/pdf/H280303_banking.pdf
・偽造キャッシュカード問題等に対する対応状況（平成27年3月末）[PDF]（金融庁）
http://www.fsa.go.jp/news/27/ginkou/20150828-5/01.pdf

　グーグルは3日、複数の深刻な脆弱性を修正した「Google Chrome」の最新安定板「49.0.2623.75」を公開した。

　最新版では、スクロールを滑らかにする「Smooth Scrolling（滑らかなスクロール）」機能のディフォルト有効化や、ページを閉じた後もバックグラウンドで通信を継続できる「Background Sync」のサポートなどに加え、26件の脆弱性が修正されている。

　修正された脆弱性には、レンダリングエンジン「Blink」の処理に関する問題など、危険度が4段階中2番目に高い「高」の問題8件が含まれている。

　最新版への更新は自動的に行われるほか、メニューの[Google Chromeについて]を選択すると、ただちに最新版の確認とアップデートが行える。Mac版はChromeメニューから、Windows版は右端の≡アイコン→[ヘルプ]と進むと選択できる。

　なお、最新版はブラウザの再起動後に利用できるようになるので、ブラウザを起動したままでいる方は注意されたい。

（2016/03/03 ネットセキュリティニュース）

【関連URL】
・Stable Channel Update[英文]（Google Chrome Releases）
http://googlechromereleases.blogspot.jp/2016/03/stable-channel-update.html
・Chrome 49 ベータ版: CSS Custom Properties、Background Sync、ES2015 の新機能など（Google Developers Japan）
http://googledevjp.blogspot.jp/2016/02/chrome-49-css-custom.html

　クレジットカード情報を騙し取るアマゾンのフィッシング、アンケートフォームを使った「OCN」の偽サイトも観測された。

■クレカ情報をだまし取るアマゾンのフィッシング

　対策協議会の月次報告では、オンラインゲームや通信事業者と、アマゾンをかたるフィッシングが発生したとしている。これらの中で協議会から唯一緊急情報が出されたのは、1月末に始まったアマゾンのフィッシングだ。　

　 このアマゾンのフィッシングでは、差出人を「Amazon」に偽装した「Notification ID: ＃＃＃＃」（＃＃＃＃は番号）という件名で、同社のロゴをあしらった次の内容（主要部分を抜粋）のフィッシングメールがばらまかれた。

◎アマゾンをかたる偽メール例
私たちはあなたのオンラインアクセスが一時的に無効にされた原因先のアカウントにあまりにも多くの不正なログインが発生しています。
私たちの監視システムはまた、すべてのアカウントの注文やサービスをブロックする原因となるアカウントの活動の不規則なパターンを検出しました。
あなたのオンラインアクセスとアカウントサービスを再度有効にするために、以下のリンクにアクセスして、アカウントを認証してください。

　酷い日本語だが、どうやら不正アクセスでアカウントを一時無効にしたので、再認証が必要らしい。機械翻訳丸出しのこの怪しい日本語を受け入れ、リンクをクリックしてしまうと、アマゾンの日本語のログインページを模した偽サイトへと誘導される。本物に似せた「amazomjp．co」というドメインを使用している点や、アクセスするたびに異なるフォルダに誘導される点が、この偽サイトの特徴だ。偽のログインページの後には、個人情報とクレジットカード情報の入力ページが続く。

■アンケートフォームを使った「OCN」の偽サイト

　月次報告にあるオンラインゲームのフィッシングに関しては未確認だが、通信事業者に該当する「OCN」のフィッシングが2回観測された。送信元を「OCN MAIL」に偽装した、次のような内容のフィッシングメールが届く。

◎OCNをかたる偽メール例
OCNのお客様各位
あなたはまだあなたの電子メールアカウントを使用している場合は アップグレードのために、我々は、 私たちのサイト内のすべての電子メールユーザーを閉鎖している。 あなたのメールアドレスとパスワードを再度アクティブには ここ をクリックして ください。 24時間以内に確認されないならば、 我々はあなたの電子メールアカウントを一時停止しなければならな い。
忠実なOCNのメールユーザーいてくれてありがとう。

　アカウントのアップグレードなどと称して誘導するよくあるパターンで、これも酷い日本語だ。誘導先の偽サイトは、マイクロソフトのオンラインストレージサービス「OneDrive」のアンケートフォームを使って作られているのが特徴で、メールアドレスとパスワードをだまし取ろうとする。OneDriveやGoogleDriveのアンケートフォームを使った偽サイトは、海外のフィッシングでしばしば見かけるが、国内のフィッシングに使われるのは珍しい。

　アンケートフォームサービスは、簡単にアンケートの入力ページを作成でき、回答をExcelの集計表にまとめてくれる便利なサービスだ。見た目やURLを本物に似せるのは困難で、アドレスバーの横にはEV-SSL証明書に記載された「Microsoft Corporation」の名前が表示され、「パスワードは絶対に他の人には教えないでください」というアンケートフォームの警告まで書かれている。これらを無視して入力すると、「ご利用ありがとうございました。回答が送信されました」というアンケートフォーム標準のメッセージまで登場する始末だ。

　なお、同じ内容のOCNを装うフィッシングメールが、昨日（3月2日）からまたばらまかれているようなので、注意していただきたい。

（2016/03/03 ネットセキュリティニュース）

【関連URL】
・2016/02 フィッシング報告状況（フィッシング対策協議会）
https://www.antiphishing.jp/report/monthly/201602.html
・OCNの注意喚起（2016年2月22日）
http://www.ocn.ne.jp/info/announce/2016/02/22_1.html

　SMSで誘導するフィッシングもえんえんと続いており、昨年末の一時休止を経て、三井住友銀行を装うフィッシングが1月に再開された。2月初めから2週間ほど休んでいたが、中旬に再開し、今週も毎日攻撃が続いている。

■三井住友銀行を装うSMSとメール

　送られてくるメッセージは、「注意：ダイレクトのパスワードが翌日に失効し、三井住友のメンテナンスサイト（URL）により、更新をお願いします」というワンパターンの内容だが、先週は、メールを使った誘導も確認された。メール版は、「登録変更完了のお知らせ」という件名で、パスワードの変更通知を装う次のような内容だ。

◎メール版の内容（主要部分を抜粋）
このメールは登録パスワードを変更された方へのメールです。
確認のためにメールを送信しています。
お客さまご自身で変更した場合は、このメールを無視しても問題ありません。
お客さまご自身で変更していない場合は盗用の可能性がございます。
至急以下のURLをクリックしてください。
（PC?スマートフォンからご利用ください。）

　誰かにパスワードを変更されたのではないかと考え、慌ててリンクをクリックしてしまうと攻撃者の思うツボである。本物らしく見える偽装されたリンクをクリックすると、SMS版と同様の「smbc●●●．com」というパターンの紛らわしいいドメインの偽サイトに誘導される。偽サイトは、パソコン用とスマートフォン用にデザインされた個別のページが用意されており、どちらでアクセスしても違和感はない。

　平日に毎日行われているこの三井住友銀行のフィッシングに加え、2月は、SMSで誘導する三菱東京UFJ銀行を装うフィッシングが1回観測された。連続する様子はないが、同行のホームページには、同じフィッシングが1月に行われたとの報告がある。

（2016/03/03 ネットセキュリティニュース）

【関連URL】
・2016/02 フィッシング報告状況（フィッシング対策協議会）
https://www.antiphishing.jp/report/monthly/201602.html
・三井住友銀行の注意喚起（2015/12/14更新）
http://www.smbc.co.jp/security/index.html
・三菱東京UFJ銀行（2016/1/28更新）
http://www.bk.mufg.jp/info/phishing/20131118.html?link_id=p_top_visual_caution4

　実在する企業やサービスを装ったメールやSMSで偽のWebサイトに誘導し、アカウント情報やクレジットカード情報などをだまし取ろうとするフィッシングが2月も繰り返し行われた。

　フィッシング対策協議会の2月の月次報告によると、同協会に寄せられたフィッシング報告件数は2935件（前月比1459件増）、ユニークなURL件数は458件（前月比161増）、悪用されたブランド件数 は28件（前月比8件増）だったという。

　この月次報告に出てくる件数をフィッシングの発生状況に直接結び付けてしまうのは事実誤認であり、報告ベースの件数からフィッシングの増減を知ることはできないので注意したい。これまでのデータと、国内のフィッシングの発生状況とを照合すると、大規模かつ執拗な攻撃を繰り返している特定のグループの活動状況が、報告件数やユニークなURL件数の大きな変動をもたらしていることがわかる。

■メールで誘導するオンラインバンキングのフィッシング

　このグループが仕掛ける国内のオンラインバンキングのフィッシングは、2013年11月に起きた「三菱東京UFJ銀行」を装うフィッシングが最初だ。フィッシングメールの「こんにちは！」の書き出しは、当時から使われており、休息をはさみながら続いている。昨日もフィッシングメールがばらまかれており、偽サイトが今も稼働中だ。

　昨年11月、約4か月間途絶えていたこのグループの攻撃が再開すると、ネット上の報告や協議会への報告が激増した。「住信SBIネット銀行」や「横浜銀行」など、次々とターゲットを変えながら攻撃が連日続き、年末の「楽天銀行」を装うフィッシング（公式発表は年明け）を最後に、1月中旬の「じぶん銀行」のフィッシングまで小休止が続いた。1月23日にターゲットを「りそな銀行」に変えてからは、今日にいたるまで、ほぼ連日この同行を装うフィッシングが続いている。協議会の月次報告にある報告件数の大幅な増減は、こうした事情とほぼ足並みをそろえている。

　一連の攻撃では、連日新しいドメインを投入しており、メールにはこの偽サイトに転送する中継サイトのURLが埋め込まれている。本体のURLに加え、この中継サイトのURLが大量投入されるため、1回の攻撃でユニークなURL件数が大量発生してしまう。

■2月に話題となった「埼玉りそな銀行」版、「貴様」版

　連投続きでマンネリ感の強いフィッシングだが、ときどきターゲット変更などがあり、その都度話題になる。2月の話題は、「埼玉りそな銀行」版と、「貴様」版のフィッシングメールの登場だ。

　フィッシングメールは、本物らしく見せるために差出人の表示名を偽装することが多い。このフィッシングでは、一部メールアドレスも偽装している。2月は、この表示名を「埼玉りそな銀行」に変えたメールも使われた。表示名以外は、「りそな銀行」版と同一で、誘導先も同じ偽サイトだ。
　メールの本文は、2013年の攻撃当初から「こんにちは！」で始まるものが使われており、最近は主に以下の2種類の内容だ。どちらも以前からの使いまわしで、本物のURLに偽装したリンクをクリックさせようとする。

◎「こんにちは！」で始まる偽メール例(1)
こんにちは！
(2016年○月○日)更新　「りそな銀行」のシステムが安全性の更新がされたため、お客様はアカウントが凍結?休眠されないように、直ちにアカウントをご認証ください。
以下のページより登録を続けてください。

◎「こんにちは！」で始まる偽メール例(2)
こんにちは！
最近、利用者の個人情報が一部のネットショップサーバーに不正取得され、利用者の個人情報漏洩事件が起こりました。
お客様のアカウントの安全性を保つために、「りそな銀行システム」がアップグレードされましたが、お客様はアカウントが凍結されないように直ちにご登録のうえご確認ください。
以下のページより登録を続けてください。

　これら「こんにちは！」版に加え、次の内容のメールが先週から使われるようになった。これも以前からの使いまわしで、「本人認証サービス」と書かれたリンクをクリックさせようとする。

◎特異さで報告が増えた？「貴様」使用の偽メール例
2016年「りそな銀行」のシステムセキュリティのアップグレードのため、貴様のアカウントの利用中止を避けるために、検証する必要があります。

　人気ブランドのフィッシングメールが大量にばらまかれると、ネット上で数多く報告されが、同じパターンがえんえんと続くと、報告はじり貧となる。りそな銀行のフィッシングも例にもれずその傾向を示していたが、この「貴様」メールがウケたようで、報告が激増した。フィッシングメールを受信したユーザーがそれを報告するか否かは、こうしたことも大きく影響する。

（2016/03/03 ネットセキュリティニュース）

【関連URL】
・2016/02 フィッシング報告状況（フィッシング対策協議会）
https://www.antiphishing.jp/report/monthly/201602.html

＜各社の注意喚起＞
・三菱東京UFJ銀行（2016/1/28更新）
http://www.bk.mufg.jp/info/phishing/20131118.html?link_id=p_top_visual_caution4
・りそな銀行（2016/2/26更新）
http://www.resonabank.co.jp/direct/gochui/detail/20110907.html
・埼玉りそな銀行（2016/2/26更新）
http://www.saitamaresona.co.jp/direct/gochui/detail/20110907.html

＜フィッシング対策協議会の注意喚起＞
・埼玉りそな銀行をかたるフィッシング (2016/02/22)
https://www.antiphishing.jp/news/alert/_20160222saitamaresona.html
・[更新] りそな銀行をかたるフィッシング (2016/02/26)
https://www.antiphishing.jp/news/alert/_20160226_resonabank.html

　内閣府は26日、2015年度の「青少年のインターネット利用環境実態調査」の調査結果（速報版）を発表した。それによると、スマートフォンによるインターネットの利用率の総数が初めて半数を超えた。

　この調査は、青少年が安全に安心してインターネットを利用できる環境の整備を推進するための基礎データを得ることを目的に、2009年度から実施しているもの。昨年11月7日から12月6日にかけ、満10歳から満17歳までの青少年5000人とその保護者を対象に、面接、Web調査、郵送による調査を実施し、青少年の68.8％と保護者の72.8％から有効な回答を得た。

　今回の調査では、スマートフォンの利用率（以下「所有率」）が前年度比4.5ポイント増の53.3％、スマートフォンによるインターネットの利用率（以下「ネット利用率」）が前年度比4.7ポイント増の50.4％と、どちらも初めて半数を超えた。学校種別のスマホ所有率とネット利用率は次の通り。小学生の伸び率が著しく、他の機器も含んだ小学生のネット利用率は、前年比8.3ポイント増の61.3％となっている。

＜スマートフォンの所有率とネット利用率＞
　高校生：所有率93.6％（＋2.9）、利用率92.3％（＋4.1）
　中学生：所有率45.8％（＋3.9）、利用率42.7％（＋2.9）
　小学生：所有率23.7％（＋6.6）、利用率19.4％（＋6.9）

　１日あたりのネット利用時間は、前年度と比べ横ばいで、全機器の平均利用時間は約142分。1日2時間以上の利用は50.5％。スマートフォンに限ると平均141.8分、2時間以上の利用者50.5％だった。学校種が上がると長時間利用する傾向にあり、最も長い高校生では、全機器で平均192.4分、2時間以上の利用者70.3％。スマートフォンで、平均157.7分、2時間以上の利用者66.8％だった。

■穴だらけのスマホのフィルタリング

　青少年がスマートフォンを利用する保護者のうち、84.5％は何らかの方法でネット利用に関する取組みを実施している（複数回答）。最多は、前年度と同様、閲覧を制限する「フィルタリング」の使用だが、前年度から2ポイント減の41.4％だった。次いで、「子供のネット利用状況を把握している」35.7％（＋1.6）、「大人の目の届く範囲で使わせている」29.6％（＋3.6）、「利用時間等のルールを決めている」22.2％（+4.4）と続く。
　実施者が半数に満たないフィルタリングだが、保護者が使わせているつもりでいても機能していないことがある。詳しくは下記トピックスを参照していただくとして、ここでは要点を述べておく。

　内閣府の今回の調査では、スホ利用者の82.6％が無線LANを利用していると回答しているが、携帯各社が提供している各社の回線上で行う従来型のフィルタリングは、この無線LAN回線経由でのアクセスでは機能しない。無線LAN回線でもフィルタリングが機能するようにするためには、通常はフィルタリング機能付きの専用ブラウザを使うようにする必要がある。
　専用ブラウザのフィルタリング機能は、そのブラウザで閲覧している時だけ有効に機能する。他のブラウザを使用した場合には、このフィルタリングは機能しない。特に注意しなければいけないのが、LINEやTwitterなどの人気のスマホアプリが、アプリ内にブラウザを内蔵している点だ。専用ブラウザのフィルタリングは、アプリの内蔵ブラウザには機能しないため、アプリ内からの閲覧を制限することができない。アプリ側で対処していないと、ブロックされるつもりの危険なWebサイトや有害なWebサイトにアクセスできてしまう。

　ちなみに内閣府の今回の調査によると、スマートフォンでの利用内容で最も多いのが「コミュニケーション」83.4％、次いで「動画視聴」74.1％、「ゲーム」72.3％、「音楽視聴」69.9％と続く。これら人気のサービスはたいてい専用アプリを用意しており、ブラウザ機能を内蔵しているものも多い。
　フィルタリングしているから放っておいても安心とはならない。何よりも重要なのは、こうしたフィルタリングの必要性や有効性、ネットの危険や危険を察知する術、回避する術などを、日頃から親子で話し合っておくことではないだろうか。

■すべてのアクセスに有効なiOSの機能制限

　iPhoneなどのiOS端末が備える「機能制限」には、特定のWebサイトへアクセスを制限したり、許可したサイト以外へのアクセスを制限したりする機能がある。この機能によるアクセス制限は、標準ブラウザだけでなく、他のブラウザアプリやアプリ内蔵のブラウザにも有効だ。決して高機能とはいえないが、利用するのも一考だ。[設定]→[一般]→[機能制限]と進み、[機能制限パスコード]を設定すると、この機能を含む機能制限機能が利用できるようになる。Webのアクセス制限は、[Webサイト]で[アダルトコンテンツを制限]または[指定したWebサイトのみ]を選択。必要に応じて、許可するサイトや禁止するサイトを追加する。

（2016/03/01 ネットセキュリティニュース）

【関連URL：内閣府】
・青少年のインターネット利用環境実態調査
http://www8.cao.go.jp/youth/youth-harm/chousa/net-jittai_list.html