ネットセキュリティニュース

　モジラは29日、Webブラウザ「Firefox」の最新版「50.0.1」を公開した。対象となるのは、Windows、Mac、およびLinux。4段階評価で最も高い重要度「最高」の脆弱性1件が修正されている。

　修正された脆弱性は、dataスキームで同一オリジンポリシー違反が発生するおそれがあるというもの。dataスキームは、URLの先頭にある「http」などのリソースへのアクセス手段を示す部分のこと。dataスキームは「data」で始まるスキームで、その後にリソースの中身そのものを直接記述できる。

　同一オリジンポリシーは、このスキームとホスト名、ポート番号が同一のリソース間しかアクセスできないように制限する仕組みのこと。この制限により、閲覧中のサイトが勝手に別のサイトを操作したり、データを取得したりするのを防いでいる。修正された脆弱性は、dataスキームを使うと誤ったオリジンを割り当てることができてしまうというもので、悪用されると、この制限を超えてアクセスされてしまうおそれがある。

　Firefoxの最新版は自動更新機能を通じて配布されているほか、今すぐ手動で更新することも可能だ。

　Windows版の手動更新は、メニューボタン「≡」をクリック→下段のヘルプボタン「？」をクリック→表示された[ヘルプ]メニューの[Firefoxについて]を選択する。または、[Alt]キーを押してメニューバーを表示し、[ヘルプ]メニューの[Firefoxについて]を選択する。Mac OSおよびOS X版では、Firefoxメニューの[Firefoxについて]を選択する。

　自動や手動で更新した最新版は、ブラウザの再起動後に利用できるようになるので、ブラウザを起動したままでいる方は注意されたい。

（2016/11/29 ネットセキュリティニュース）

【関連URL：モジラ】
＜Firefox 50.0.1＞
・リリースノート
https://www.mozilla.jp/firefox/50.0.1/releasenotes/
・セキュリティアドバイザリ
http://www.mozilla-japan.org/security/announce/2016/mfsa2016-91.html

　しばらく鳴りを潜めていたクレディセゾンを装うフィッシングが、今月に入り再び活発化しており、同社やフィッシング対策協議会などが注意を呼びかけている。以前からあるメールを使った誘導に加え、SMSを使った誘導も始まっているので注意したい。

■メールで誘導するフィッシング――偽サイトを見破る「非HTTPS接続」

　フィッシング対策協議会が28日付の緊急情報で注意を呼びかけたのは、以前から繰り返し行われている「【重要：必ずお読みください】」や「【重要：必ずお読みください】セゾンNetアンサーご登録確認」という件名のメールで誘導するフィッシングだ。メールの本文には「この度、セゾンNetアンサーに対し、第三者によるアクセスを確認いたしました。万全を期すため、本日、お客様のご登録IDを以下のとおり暫定的に変更させていただきました」とあり、リンク先で再登録するよう促す。メールのリンクは、偽装せず誘導先の偽サイトのURLをそのまま記載しているが、公式サイトと同じ「saisoncard」という名前を織り込んだ紛らわしいものが使用されている。

　誘導先の偽サイトは、本物の「Netアンサー利用登録フォーム」をほぼそのままコピーしたもので、クレジットカード番号、有効期限、生年月日、セキュリティコード、メールアドレス、Net アンサー ID、Net アンサーパスワードの入力を求める。永久不滅プラス（ツールバー）のインストール項目がないことを除くと、見た目は現在の登録フォームそのものだ。本物はHTTPS接続なので、アドレスバーのURLがHTTPSで始まり、正常に接続すると錠前マークや「Credit Saison Co.,Ltd.」という運営者名が表示されるが、非HTTPS接続の偽サイトにはそのような表示はないので、ここに注意すれば偽物を見破ることができる。

■SMSで誘導するフィッシングも確認――大半は海外発信

　今回報告されたフィッシングメールは、先週末にばらまかれたものとみられるが、その前の週にも同じものが確認されている。先々週は、このメールで誘導するタイプのほかに「セゾンNetアンサーご登録確認」という文面にURLを添えたSMSも確認されている。こちらも誘導先には、「saison-card」という名前を織り込んだ紛らわしいものが使われていた。

　SMSは、携帯電話やスマートフォンの電話番号あてに短いメッセージを送るサービスのことで、同社ではカードの利用確認などの配信に、このSMSを利用している。SMSの配信元の電話番号は、同社の公式サイトに掲載されているので、利用されている方はアドレス帳に登録しておくと、登録名が表示され分かりやすいかもしれない。ちなみに同社の公式SMSは、いずれも03局番の都内発信であるのに対し、今回のものを含む偽SMSの大半は海外発信だ。

　誘導先の偽サイトは、本物の「Netアンサー利用登録フォーム」のスマートフォン用ではなく、PC用をコピーしたもので、PC用偽サイトからメールマガジンの項目と規約の表示が省略されている。公式サイトやPC用の偽サイトがクレディセゾンのカード番号しか入力できないようになっているのに対し、その他のカード番号も受け付ける点も異なるなど、PC用の偽サイトとは違う点もいくつかあるが、こちらもPC用偽サイトと同様、非HTTPS接続だ。錠前マークや運営者名が表示されないので、偽物を見破るのは簡単だ。

（2016/11/28 ネットセキュリティニュース）

【関連URL】
・フィッシングサイトにご注意ください！（クレディセゾン）
http://www.saisoncard.co.jp/news/pop/nc20131226_phishing.html
・セゾン Net アンサーをかたるフィッシング (2016/11/28)（フィッシング対策協議会）
https://www.antiphishing.jp/news/alert/saison_20161128.html
・SMS（ショートメッセージサービス）の配信について（クレディセゾン）
http://www.saisoncard.co.jp/news/pop/nc20160107.html

　インターネットの利用端末はパソコンからスマートフォンに、主なコミュニケーション手段はメールからFacebookやLINEなどのソーシャルメディアに移行しつつあるという（「平成28年版情報通信白書」より）。そんな世相を反映してか、スマホやSNSを標的とした攻撃が、この1～2年で目に付くようになってきた。LINEのなりすましもそのひとつだ。

　LINEのアカウントを乗っ取り、友だちリストに登録されている友人に本人になりすましたメッセージを送り、コンビニでWebMoneyやiTunesカードの購入を依頼してだまし取る詐欺騒動が起きてから、かれこれ2年半になる。この間に対策が進み、LINEアカウントの完全な乗っ取りは難しくなったものの、なりすまし被害は依然として続いている。

　昨年から目立つようになったのが、SMSで送られてくる認証番号を聞き出す手口だ。最近特によく見かけるのが、FacebookのメッセンジャーやInstagramのダイレクトメッセージなどのSNSのプライベートなコミュニケーション手段を使って電話番号を聞き出し、聞き出した電話番号でLINEを登録しようとする手口だ。

　LINEの登録時には、登録する電話番号あてにSMSまたは通話で4桁の認証番号を通知し、それをLINEの登録画面に入力することで電話番号の有効性を確認している。電話番号を聞き出した攻撃者は、次にこの電話番号の有効性確認を突破しようと、届いた認証番号を送るよう要求する。相手にこれを知らせてしまうと、その電話番号で新しいアカウントが登録されてしまい、LINEアカウントをFacebookに連携していない場合には、自身のLINEアカウントにアクセスできなくなる。LINEは、ひとつの電話番号でひとつのアカウントしか作成できないからだ。

　見かけ上は、前年のアカウント乗っ取りと同じような結果になるが、アカウント情報を引き継いでいない別アカウントなので、友だちリストなどが悪用される心配はない。ただし、あなたの電話番号アドレス帳に登録していて、なおかつその人のLINEの「友だちの自動追加」が有効になっている場合、その人の「新しい友だち」にあなたが表示され、犯人が作成したLINEアカウントの「知り合いかも」には、その人が表示される。あなたのプロフィール画像と名前を設定したなりすましたアカウントで、あなたの知り合いにメッセージを送り、詐欺をはたらくかもしれない。

　LINEに限らず、SMSやメール、スマホアプリなどを利用した、使い捨ての暗証番号やパスワードを認証に使う場面が増えている。これに対抗すべく、リアルタイムでだまし取ろうとする行為も横行している。認証を通るために使用する、あなたしか知らないはずの「鍵」は、他人から聞かれても絶対に教えないよう注意が必要だ。万一教えてしまった場合には、一刻も早く運営会社に申告し、指示に従っていただきたい。

（2016/11/25 ネットセキュリティニュース）

【関連URL】
・【注意】 SMS認証番号を聞き出す詐欺にご注意ください（LINE公式ブログ）
http://official-blog.line.me/ja/archives/39021529.html

　大手企業が顧客サービスを提供するサイトで、不正ログインの被害が相次いだ。いずれも、他社サービスから過去に流出した可能性があるID・パスワードを利用した「パスワードリスト攻撃」によるものとみられ、「パスワードの使いまわし」を見直すよう注意が呼びかけられている。

■東北電力の会員サイトに不正ログイン、ポイント約500件が不正交換

　東北電力は16日、同社の会員向けWebサービスサイト「よりそうeねっと」で大量の不正ログインが発生、うち約500件がハッキングに成功し、顧客約500名が保持するポイントが不正に交換されたと発表した。発表によると、同社は15日午前9時55分頃、同サービスサイトへの規定値を超えたアクセスを検知してサービスを停止。また、会員向けポイント（よりそうeポイント）が見知らぬ共通ポイントに交換されたという問合わせを受けたことから、サービスの停止を継続し、原因調査を進めた。
　調査の結果、今月10日から15日にかけて、複数の特定IPアドレスから同サイトに大量の不正アクセスが試みられていた。そのほとんどは、ログインIDやパスワードが違うためにログインに成功していない。また、現時点で同社サイトからログインID・パスワードが漏えいした事実は確認されていない。これらにより、他のサービスから過去に流出したログインIDやパスワードを使った攻撃（パスワードリスト攻撃）が行われたとみられる。同社は該当する顧客約500名に個別に連絡している。また、同サービスは現在停止しているが、原因の究明と再発防止対策を講じた上で、サービス再開するとしている。

■ローソンの宅配サービスに不正ログイン、ポイント18万円分が不正使用

　ローソンは21日、同社のWeb会員向けサービスサイト「ローソンフレッシュ」で不正ログインが発生し、顧客が保持するポイント（Pontaポイント）が不正利用されたと発表した。ローソンフレッシュはインターネットを使った宅配サービスで、ポイントの不正利用被害は3件、被害額は約18万円（18万4414ポイント）という。クレジットカードの不正使用による被害は発生していない。同社によると、9月末頃からWeb会員向けサービスサイトにおいて、本人以外の第三者による不正ログインが多数発生していた。他社サービスから流出したID・パスワードを利用した攻撃（パスワードリスト攻撃）とみられ、攻撃を検知した際は直ちにアクセスをブロックする措置を講じてきたという。
　Web会員向けサービスサイトはローソンフレッシュのほか、「ローチケHMV」、「ローソントラベル」、「USEN550ch×HMV」がある。これらのサービスで他のインターネットサービスと同じパスワードを使用している場合、不正ログインを受ける危険がある。このため同社は、全顧客に対しパスワード変更を依頼する方針を固め、11月21日以降、個別にパスワード変更をお願いするメールを配信していく。また今後、ローソングループの全てのサイトにおいて、セキュリティ体制の強化を図っていくとしている。

（2016/11/22 ネットセキュリティニュース）

【関連URL】
・「よりそうｅねっと」への不正アクセスに伴うサービス停止について（東北電力）
http://www.tohoku-epco.co.jp/news/normal/1193122_1049.html
　同PDF版
http://www.tohoku-epco.co.jp/news/normal/__icsFiles/afieldfile/2016/11/16/1193122.pdf
・ローソンWEB会員向けサービスサイトご利用のお客様に向けたパスワード再設定のお願いを実施いたします（ローソン）
http://www.lawson.co.jp/company/news/detail/1284326_2504.html

　オンラインゲームのNEXONをかたるフィッシングメールが出回っているとして、運営会社のネクソンおよびフィッシング対策協議会が注意を呼びかけている。フィッシングメールに記載されたURLから推移するフィッシングサイトは21日午前11時30分現在稼働中であり、JPCERT/CC にサイト閉鎖のための調査を依頼中という。

　出回っているフィッシングメールは「【警告】異常な回数のログイン試行がありました」というタイトルで、同社が不審なログイン履歴を確認した場合にユーザーに送信している警告メール（アラートメール）を装ったもの。NEXON IDやパスワードが漏えいしている可能性があるため、「至急、NEXONポータルサイトにアクセスの上、パスワード変更やワンタイムパスワードの利用設定などのセキュリティ対策を行ってください」と促す内容となっている。NEXON IDを登録した覚えのない人にも送られているという。

　同社の調査によると、メールに記載されているURLから、同社のログインページに酷似したサイトへ推移する。そこで NEXON ID/パスワード/ワンタイムパスワードの入力を促され、入力後はエラーを表示させて同社の正規ログインページに遷移させるという。

　フィッシング対策協議会によると、偽サイトのURLは下記が確認されている。

　http://login.nexon.co.jp.●●●●-login.●●●●.cc/
　http://login.nexon.co.jp.●●●●-account.●●●●.cc/
　http://login.nexon.co.jp.account-●●●●.●●●●.cc/

　同社及び同協議会は、 このようなフィッシングサイトでアカウント情報 (NEXON ID、パスワードなど) を絶対に入力しないよう注意を呼びかけている。

（2016/11/21 ネットセキュリティニュース）

【関連URL】
・NEXON をかたるフィッシング (2016/11/21)（フィッシング対策協議会）
https://www.antiphishing.jp/news/alert/nexon_20161121.html
・【重要】ネクソンを装ったフィッシングメールにご注意ください　※11/21　16：25追記（ネクソン）
http://www.nexon.co.jp/news/detail.aspx?no=132267

　全国の消費生活センターに寄せられた相談の件数で、アダルトサイトに関するものが2015年度まで5年連続でトップだったことが分かった。2016年度も多くの相談が寄せられており、国民生活センターが注意を呼びかけている。

　同センターによると、2015年度に寄せられたアダルトサイトに関する相談の件数は、2014年度（11万1542件）よりは減少したものの、9万5549件にのぼり、同年度の全相談件数（92万5681件）の1割を占めている。

　相談内容をみると、検索結果などからアダルトサイトにアクセスしたところ、突然「登録完了」となり、料金を請求されたというケースが目立つ。また、請求画面等にある「退会はこちら」等の表示をみてアダルトサイト業者へ連絡をしたところ、「支払わないと職場に連絡する」等、支払いを迫られる場合も少なくない。

　アダルトサイトにアクセスするつもりのない消費者が、誤操作等によりトラブルに巻き込まれる場合もある。例えば、以下のようなケースがある。
・スマートフォンでインターネットニュースを見ていた際に広告に触ってしまい、アダルトサイトにつながった。突然「簡易登録完了」という表示が出て、誤登録の場合は連絡するようにとあったため、業者に電話したところ、90万円を請求された。
・パソコンで女優の名前を検索し、名前をクリックしただけでいきなり「アダルトサイト登録完了」と表示され、高額な請求を受けた。

　男性からの相談は女性の約2.3倍だった。また、他の性別・年代に比べて60歳以上の男性の相談が特に増加しており、2011年度には1万143件だったのが、2015年度には1万7729件と約1.6倍になっている。

　お金を既に支払ってしまったという相談も増加傾向にある。特に60歳以上の男性が目立っており、2011年度には225件だったのが2015年度は650件と、約2.9倍に増加している。

　1件あたりの被害額は29万2801円で、2013年度以降、高額化の傾向にある。2016年度（10月末まで）の平均被害額はさらに増え、32万9832円となっている。

　また、インターネットでトラブルの解決方法等を検索し、表示された連絡先を消費生活センター等の公的機関のものだと思い、問い合わせたところ、実際は探偵業者等だったというケースも多い。「放置していてはいけない」「個人情報が特定される」等と説明され、解決したい思いで契約をしたものの、後に必要ないと気づき解約を求めたところ、もう調査をしたので返金できないと言われた等のトラブルが発生している。

■こんなことに気を付けよう

　国民生活センターは、以下のようにアドバイスしている。

・サイト内のボタンを安易にクリック・タップしない。
　自分で「無料」「サンプル」というキーワードを含めて検索したからといって、検索結果に表示されたサイトが必ずしも無料サイトであるとは限らない。

・業者へ連絡しない。
　「退会・解約はこちら」「誤操作の方はこちら」「クーリングオフ希望の方はこちら」とあっても連絡してはいけない。連絡すると、電話番号やメールアドレス等が知られてしまったり、業者とのやり取りのなかで個人情報を聞き出されたりしてしまう場合がある。

・慌ててお金を支払わない。
　支払ってしまうと、取り戻すことは困難となる。

・不安に思ったりトラブルにあったりした場合は消費生活センターに相談する。
　消費者ホットライン（局番なしの188）に電話すると、最寄りの相談窓口を教えてもらえる。

　パソコンやスマートフォンにアダルトサイトの請求画面が表示され、消すことができないという場合は、下記に示した情報処理推進機構（IPA）の資料が役に立つ。またIPAでは、YouTubeのIPA Channelで、ワンクリック請求詐欺に引っかからないための対策と心得を紹介する動画「検証！スマートフォンのワンクリック請求」を公開している。分かりやすく、参考になるので視聴をお勧めしたい。

（2016/11/18 ネットセキュリティニュース）

【関連URL】
■アダルトサイトの相談が5年連続1位に－慌てて連絡はしない！ 焦って支払わな
い！－（国民生活センター）
http://www.kokusen.go.jp/news/data/n-20161110_1.html
・報告書本文[PDF]
http://www.kokusen.go.jp/pdf/n-20161110_1.pdf
■2015年度のPIO-NETにみる消費生活相談の概要（国民生活センター）
http://www.kokusen.go.jp/news/data/n-20160818_2.html
・報告書本文[PDF]
http://www.kokusen.go.jp/pdf/n-20160818_2.pdf
■各種相談の件数や傾向～アダルトサイト（国民生活センター）
http://www.kokusen.go.jp/soudan_topics/data/adultsite.html
■ワンクリック請求被害への対策（IPA）
https://www.ipa.go.jp/security/anshin/1click.html
■2015年4月の呼びかけ「スマートフォンでのワンクリック請求の新しい手口にご用心」（IPA）
https://www.ipa.go.jp/security/txt/2015/04outline.html
■2014年6月の呼びかけ「登録完了画面が現れても、あわてないで！」（IPA）
https://www.ipa.go.jp/security/txt/2014/06outline.html
■動画「検証！スマートフォンのワンクリック請求」（YouTube IPA Channel）
https://www.youtube.com/watch?v=f7DbLwEGX-Q

　愛媛県新居浜市が運営する観光サイトにそっくりのサイトが作られ、閲覧者がカジノの情報サイトへ誘導されていたことがわかり、市が注意を呼びかけた。

　同市は今年4月、それまで独自ドメイン「ｎｉｉｈａｍａｋａｎｋｏ．ｃｏｍ」で運用していた「新居浜市観光サイト」を市の公式サイト内へ移設。期限切れを迎えた旧ドメインを更新しなかった。このドメインを第三者が取得し、旧観光サイトのコンテンツを流用してサイトを公開。「このたび、新居浜太鼓祭りのメインスポンサーとして、新居浜観光サイトは[｛一部省略｝カジノ攻略]から協賛金を提供いただくことになりました」としてカジノ情報サイトへのリンクを貼っていた。

　市は14日、「新居浜市観光サイト」の名をかたる偽サイトの存在が確認されているとして、公式ホームページで注意を喚起した。偽サイトは、16日午後の時点では「このサイトは愛媛県新居浜市の観光案内の無料情報サイトです。新居浜市が運用しているサイトではありません」との文言を付け加えた状態で公開されていたが、現在は閉鎖されている。

■一般人は取得できない「go.jp」「lg.jp」も期限切れ後は…

　ドメインはインターネット上の住所にあたるもので、よく見かける「.com」(商業組織向け）や「.net」（ネットワーク向け）は、国籍や業種等に関係なく世界の誰でも取得することができる。「.jp」は汎用JPドメインといい、日本国内に在住していれば個人でも取得可能だ。国や地方自治体は、一般人には取得できないドメイン「go.jp」（政府系機関）、「lg.jp」（地方公共団体）を利用できる。

　取得したドメインには有効期限があり、更新料を払わず期限切れとなると、一定期間が経過した後は、早い者勝ちで同じドメインを取得することができるようになる。

　集客力のあるドメインが手放され、かつ、手放されてから間がない場合は、新しくドメインを取得した人が何もしなくてもそれなりの集客が期待できる。ドメインが手放されてしまったことを知らない訪問者や、他のサイトに残っているリンクをクリックする人、かつてのサイト名で検索を行い、訪れる人がいるからだ。

■期限切れドメインが詐欺サイトに利用されるケース

　そのため、こうしたドメインを手に入れて、宣伝目的のサイトを開設したり、悪事を働こうと企む者もいる。例えば、ある国内企業が過去に手放したドメインに現在アクセスすると、9月1日に本通信でお伝えした「本日のラッキーな訪問者はあなたです」とアンケートに答えるよう誘うサイトが表示される。同ドメインでは、昨年の春頃には、こちらも以前にお伝えした、ウイルスに感染したと偽の警告でだます詐欺サイトを表示していた。

　こうしたことから、ドメインを取得した人や組織は、廃止後も当分の間、旧ドメインを保持し、アクセス状況を見て手放す時期を考える必要がある。国や地方自治体が「go.jp」や「lg.jp」を使わずに「.com」などのドメインを運用し、それを早期に捨てるのはかなりまずい。

　ちなみに、政府系機関におけるドメインの移行方法について、内閣官房情報通信技術（IT）総合戦略室の「ドメイン管理ガイド」では、goドメイン以外を利用していた場合、「旧ドメインを1年以上運用し、新ドメインの案内を行う。また、少なくとも旧ドメイン運用停止後の1年間、旧ドメインの所有を行い、利用者が検索サイト等を経由して正規のウェブサイトになりすました不正なウェブサイトへ誘導されないよう対策を講ずる」とされている。

（2016/11/17 ネットセキュリティニュース）

【関連URL】
・「新居浜市観光サイト」を騙るホームページにご注意ください（新居浜市）
http://www.city.niihama.lg.jp/soshiki/unyu/website-attention.html
・新居浜市観光サイト（新居浜市）
http://www.city.niihama.lg.jp/kanko/
・ドメイン管理ガイド[PDF]（内閣官房 情報通信技術（IT）総合戦略室）
https://www.cio.go.jp/assets/domainmngguide-v1-1506.pdf

　モジラは16日、Webブラウザ「Firefox」の最新版「50.0」を公開した。対象となるのは、Windows、Mac、Linux、およびAndroid。法人向けの延長サポート版（ESR）「45.5」も公開されている。

　最新版では、WebM EMEがサポートされ、より多くのサイトでプラグインなしで動画を閲覧できるようになったほか、キーボードショートカットが更新された。SDKまたはSDKモジュールローダーを利用しているアドオンのパフォーマンスも向上し、アドオンをたくさん利用している場合は起動時間の短縮も期待できる。

こうした新機能の追加や機能強化に加え、脆弱性27件の修正も行われている。修正された脆弱性の重要度は、4段階評価で最も高い「最高」が3件、次に高い「高」12件、「中」10件、「低」2件。悪用されると任意のコードが実行されるおそれのある、メモリーがらみの危険な脆弱性の修正も含まれている。

　ESR 45.5では、50.0と共通の「最高」2件、「高」5件、「中」2件の計9件の脆弱性が修正されている。ESR版で修正された脆弱性は、同じエンジンを使用するメールソフトThunderbirdにも影響があり、準備が整い次第「45.5」が公開される予定だ。

　それぞれの最新版は自動更新機能を通じて配布されているほか、今すぐ手動で更新することもできる。

　デスクトップ版Firefoxの手動更新は、Windowsではメニューボタン「≡」をクリック→下段のヘルプボタン「？」をクリック→表示された[ヘルプ]メニューの[Firefoxについて]を選択する。または、[Alt]キーを押してメニューバーを表示し、[ヘルプ]メニューの[Firefoxについて]を選択する。OS Xでは、Firefoxメニューの[Firefoxについて]を選択する。

　Android版は、メニューから[設定]→[Mozilla Firefox]→[Firefoxについて]→[更新を確認]の順にタップする。または、「Google Play」の「マイアプリ＆ゲーム」で、「インストール済みのアプリ」を表示する。

　自動や手動で更新したデスクトップ版のFirefoxは、ブラウザの再起動後に最新版が利用できるようになるので、ブラウザを起動したままでいる方は注意されたい。

（2016/11/16 ネットセキュリティニュース）

【関連URL：モジラ】
＜Firefox 50.0＞
・リリースノート（デスクトップ版）
https://www.mozilla.jp/firefox/50.0/releasenotes/
・リリースノート（Android版）
https://www.mozilla.jp/firefox/android/50.0/releasenotes/
・Firefox 50で修正されたセキュリティ脆弱性
http://www.mozilla-japan.org/security/announce/2016/mfsa2016-89.html

＜Firefox ESR 45.5.0＞
https://www.mozilla.jp/firefox/45.5.0/releasenotes/
・Firefox ESR 45.5で修正されたセキュリティ脆弱性
http://www.mozilla-japan.org/security/announce/2016/mfsa2016-90.htm

　「ネット社会の健全な発展に向けた連絡協議会」（以下、「連絡協議会」）が、インターネットの健全な利用促進に向けた普及啓発キャンペーンを集中的に行う、秋の一斉行動「集中キャンペーン」を7日から20日まで実施している。

　連絡協議会は今年10月5日に設立。総務省、法務省、文部化科学省、警察庁等とも協力、連携しながら、インターネット利用者のマナーおよびモラルの向上のための普及啓発行動に取り組んでいる。

　参加団体は、安心ネットづくり促進協議会、インターネットコンテンツ審査監視機構、セーファーインターネット協会、テレコムサービス協会、電気通信事業者協会、日本インターネットプロバイダー協会、日本ケーブルテレビ連盟、モバイルコンテンツ審査・運用監視機構、モバイル・コンテンツ・フォーラム。

　各団体ではキャンペーン期間中、ネットモラルキャラバン隊（文科省）の共催、青少年のインターネット利用環境づくりフォーラム（内閣府）への協力、高校生ICTカンファレンスサミットの開催、仙台市PTAフェスティバルへの協力などの活動を行っているほか、So-netを含め日本インターネットプロバイダー協会に加盟する5社は、ホームページにメッセージを掲載している。

　セーファーインターネット協会では、「Yahoo!きっずボイス」上で、「インターネットをみんなが楽しく使うには？」のテーマで子どもたちから意見を募集している。これまでに230件以上の投稿があり、個人情報を書かない、悪口を言わない、相手の気持ちを考えて書き込むといった意見が寄せられている。

（2016/11/15 ネットセキュリティニュース）

【関連URL】
・お知らせ - 集中キャンペーン（ネット社会の健全な発展に向けた連絡協議会）
http://www.fmmc.or.jp/net-shakai/information/2_2016autumn_campaign.html
・秋の一斉行動「集中キャンペーン」の開始について（セーファーインターネット協会
http://www.saferinternet.or.jp/info/892/
・テーマ インターネットをみんなが楽しく使うには？（Yahoo!きっずボイス）
http://voice.kids.yahoo.co.jp/theme/381

　コレガの無線LANルーターの一部や、アイ・オー・データ機器のネットワークカメラの一部、同じくアイ・オー・データ機器のWi-Fiストレージの一部に脆弱性が見つかった。該当する機器を使用している場合は、メーカーが推奨する対策をとっていただきたい。

■コレガの無線LANルーター「CG-WLR300NX」

　2014年4月から販売されている現行製品である。同社およびJPCERTコーディネーションセンターが11日に公開した情報によると、ファームウェアVer.1.20およびそれ以前で、アクセス制限不備、クロスサイトリクエストフォージェリ、クロスサイトスクリプティングの脆弱性が見つかっている。これらにより、第三者に任意の操作を実行されたり、細工されたページにアクセスした場合に、意図しない操作をさせられる、また、ウェブブラウザ上で任意のスクリプトを実行されたりするおそれがある。

　脆弱性に対処したファームウェア（Ver.1.30）が公開されているので、同社の情報を参照して更新を行っていただきたい。

・CG-WLR300NXの複数の脆弱性について（コレガ）
http://corega.jp/support/security/20161111_wlr300nx.htm
・CG-WLR300NXにおけるアクセス制限不備の脆弱性（JVN）
https://jvn.jp/jp/JVN23549283/index.html
・CG-WLR300NXにおけるクロスサイトスクリプティングの脆弱性（JVN）
https://jvn.jp/jp/JVN92237169/index.html
・CG-WLR300NXにおけるクロスサイトリクエストフォージェリの脆弱性（JVN）
https://jvn.jp/jp/JVN23823838/index.html

■コレガの無線LANルーター「CG-WLBARGMH」「CG-WLBARGNL」

　「CG-WLBARGMH」は2006年5月発売、「CG-WLBARGNL」は2007年6月発売で、どちらもすでに販売を終了している。同社およびJPCERTコーディネーションセンターが11日に公開した情報によると、これらにはクロスサイトスクリプティングの脆弱性があり、ウェブブラウザ上で任意のスクリプトを実行されるおそれがある。

　この2製品についてはすでにサポートが終了している。同社は、これらについては使用を停止し、本脆弱性について確認済みの製品への切り替えを検討してほしいとしている。

・クロスサイトスクリプティングの脆弱性について（コレガ）
http://corega.jp/support/security/20161111_wlbargmh_wlbargnl.htm
・コレガ製の複数の無線LANルータにおけるクロスサイトスクリプティングの脆弱性（JVN）
https://jvn.jp/jp/JVN25060672/index.html

■アイ・オー・データのネットワークカメラ「TS-WRLP」「TS-WRLA」

　「TS-WRLP」「TS-WRLA」ともに、同社「Qwatch（クウォッチ）」シリーズのネットワークカメラで、今年発売の現行製品だ。留守中の子どもの見守りや、ペットの様子の確認といった用途で一般家庭でも利用されている。同社および、JPCERTコーディネーションセンターが11日に公開した情報によると、両製品ともファームウェアVer.1.00.01およびそれ以前で情報漏えいの脆弱性があり、第三者に当該製品の認証情報などを取得されるおそれがある。

　最新のファームウェア（Ver.1.01.02）は本脆弱性の影響を受けないので、同社の情報を参照して更新を行っていただきたい。

・ネットワークカメラ「TS-WRLP」「TS-WRLA」情報漏えいの脆弱性について（アイ・オー・データ機器）
http://www.iodata.jp/support/information/2016/ts-wrlap/
・アイ・オー・データ製の複数のネットワークカメラ製品における情報漏えいの脆弱性（JVN）
https://jvn.jp/jp/JVN34103586/index.html

■アイ・オー・データのWi-Fiストレージ「WFS-SR01」

　2013年9月に発売された「ポケドラ」シリーズの製品で、脆弱性が見つかったことにより、同社では販売を停止した。挿入、接続したSDカードやUSBメモリー内のデータを、同製品とWi-Fi接続したスマートフォン、タブレット、パソコンで利用できるようにするものだが、モバイルバッテリーとしての機能や、ホテルなどの有線LANに接続してWi-Fi化するポケットルーターとしての機能も持っている。

　同社およびJPCERTコーディネーションセンターが2日に公開した情報によると、問題があるのはポケットルーターとして利用する場合で、同製品上で任意のコマンドを実行されたり、挿入されたSDカード等にアクセスされたりするおそれがある。スマホやタブレットと同製品をWi‐Fiで直接接続して利用する場合や、モバイルバッテリーとして利用する場合には、脆弱性の影響を受けない。

　同社はファームウェアのアップデートにより同脆弱性に対処する予定で、それまでの間、ポケットルーター機能を使用しないでほしいとしている。

・Wi-Fiストレージ「WFS-SR01」セキュリティの脆弱性につきまして（アイ・オー・データ機器）
http://www.iodata.jp/support/information/2016/wfs-sr01/
・WFS-SR01における複数の脆弱性（JVN）
https://jvn.jp/jp/JVN18228200/index.html

（2016/11/14 ネットセキュリティニュース）

　IPA（情報処理推進機構）は10日、iPhoneユーザーを狙った不正アプリによるセクストーション被害が発生しているとして注意を促した。iPhoneを“脱獄”させてから不正アプリをインストールさせる手口が使われているという。

　セクストーションとは、sex（性的な）とextortion（脅迫）を組み合わせた造語で、被害者のプライベートな写真や動画を入手し、それをばらまくなどと脅迫する行為を指す。最近ではSNSと不正アプリを用いた被害事例が増えており、IPAには2015年に19件、2016年も11月までに14件の相談が寄せられているという。

■SNSで安心させ、不正アプリで電話帳情報を窃取

　この犯罪被害は、SNSを通じて知り合った異性から、プライベートな動画を見せあおうと甘い言葉で誘われ、「このアプリをインストールしたら、また連絡してね」と、ビデオチャット機能をもつアプリのURLを示されるところから始まる。公式マーケット以外からアプリを入手するのは厳禁事項だが、それを無視してインストールしてしまうと、脅迫を受ける準備はほぼ済んだも同然となる。インストールされた不正アプリは、スマートフォンの電話帳情報を盗み取ってしまうのだ。

　インストール後に相手と連絡をとり、ビデオチャットを使って裸になるなどしてしまうと、脅迫を受ける準備は百パーセント整うことになる。電話帳情報にくわえプライベート動画も相手に渡ってしまうわけで、「友人・知人のメールアドレスと、あなたの裸の動画を入手している。動画をばらまかれたくなければ、指定の金額を払うように」という脅迫電話がいつかかってきてもおかしくない。

■安心なはずのiPhoneユーザーも不正アプリ被害に

　IPAが今回とくに注意を促しているのが、iPhoneユーザーを狙った不正アプリによる被害が発生しているということだ。この脅迫には不正アプリが不可欠だが、iPhoneでは原則として公式マーケット以外から入手したアプリはインストールできないため、これまで不正アプリによる被害は確認されていなかった。ところが今年4月、iPhoneの不正アプリを用いた手口により電話帳情報が盗まれ脅迫されているという相談があり、7月には2件、8月、10月には1件、同様の相談がiPhoneユーザーから寄せられたという。

　IPAの調査によると、被害者は相手から指示されるまま、iOSで制限されている機能を解除する行為（いわゆる脱獄）を行ってから、不正アプリをインストールしていた。脱獄後は公式マーケット以外からのアプリ入手が可能になる。

■セクストーション被害にあわないために

　IPAは、端末のOS種別を問わず、次の2点に注意するよう呼びかけている。

・アプリのインストールは公式マーケットからのみとする。
・他人に見られては困るプライベートな写真や動画は撮らない、第三者に送らない。

　いかに心を許した相手でも、プライベートな写真や動画を送れば、セクストーションやリベンジポルノに悪用される恐れがあり、ウイルス感染等により自分のパソコンからインターネット上に流出する恐れもある。IPAはそうした可能性を述べたうえで、「そもそも撮影しないことが賢明です」とアドバイスしている。

（2016/11/11 ネットセキュリティニュース）

【関連URL：IPA】
・iPhoneユーザを狙った不正アプリによるセクストーション被害が発生（2016/11）
http://www.ipa.go.jp/security/anshin/mgdayori20161110.html
・個人間でやりとりする写真や動画もネットに公開しているという認識を！ スマートフォンの不正アプリによる性的脅迫被害に注意（2014/12）
https://www.ipa.go.jp/security/txt/2014/12outline.html

　グーグルは10日、深刻な脆弱性を修正した「Google Chrome」の安定板を公開した。対象となるのは、Windows、MacおよびLinux。アップデート後は、Windows版が「54.0.2840.99」、Mac、Linux版が「54.0.2840.98」に更新される。

　最新版では、5段階の深刻度で上から2番目の「高」と評価されている、ビデオ再生エンジン「FFmpeg」でヒープメモリを破壊してしまう問題や、JavaScriptエンジン「V8」で領域外のメモリーにアクセスする問題など、計4件の脆弱性が修正されている。「高」の脆弱性は、悪用されるとクラッシュや任意のコードが実行されるおそれがある。

　最新版への更新は自動的に行われるほか、メニューの[Google Chromeについて]を選択すると、ただちに最新版の確認とアップデートが行える。Mac版はChromeメニューから、Windows版は右端の設定アイコン→[ヘルプ]と進むと選択できる。

　最新版はブラウザの再起動後に利用できるようになるので、ブラウザを起動したままでいる方は注意していただきたい。

（2016/11/10 ネットセキュリティニュース）

【関連URL】
・Stable Channel Update for Desktop[英文]（Chrome Releases）
https://googlechromereleases.blogspot.jp/2016/11/stable-channel-update-for-desktop_9.html

　アドビシステムズは9日、深刻な脆弱性9件を修正した「Flash Player」の最新版を公開した。いずれも、コード実行につながるおそれがある危険な問題だ。

　脆弱性の影響を受けるのは、Windows版、Macintosh版、Linux（PPAPI）版、Internet Explorer/Edge搭載版、Google Chrome搭載版の「23.0.0.205」以前のバージョンと、Linux版の「11.2.202.643」以前のバージョン。アップデート後は、バージョン23系は「23.0.0.207」に、バージョン11系は「11.2.202.644」に更新される。

　同社のセキュリティ情報によると、修正された脆弱性は、データ型を取り違えてしまう問題3件と、開放したメモリーにアクセスしてしまう問題6件の計9件。いずれも、マルウェア（ウイルス）感染に悪用されるおそれがあるリモートコード実行の脆弱性なので、早急にアップデートしていただきたい。

　システムにインストールされているFlash Playerのバージョンは、下記のバージョン確認ページにアクセスするか、コントロールパネルやシステム環境設定の「Flash Player」の[更新]タブで確認できる。最新版への更新は、Flash Playerの自動更新機能を通じて行われるほか、同社サイトからダウンロードすることもできる。

　Windows 8.1/10に搭載されているInternet ExplorerおよびEdge用のFlash Playerについては、Windows Updateを通じて最新版が配布されており、自動的に更新される。直ちに更新したい場合は、コントロールパネルなどから[Windows Update]を開き、[更新プログラムの確認]または、[更新プログラムのチェック]をクリックする。

　Google Chromeに搭載されているFlash Playerについては、Google Chromeの自動更新機能を通じて最新版が配信されている。今すぐ更新したい場合には、コンポーネント画面を開いて「Adobe Flash Player」の[アップデートを確認]ボタンを押す。コンポーネント画面は、アドレスバーに chrome://components と入力してEnterキーをクリックすると開く。

（2016/11/09 ネットセキュリティニュース）

【関連URL】
・APSB16-37:Security updates available for Adobe Flash Player[英文]（アドビ）
https://helpx.adobe.com/security/products/flash-player/apsb16-37.html
・MS16-141：緊急 Adobe Flash Player のセキュリティ更新プログラム（マイクロソフト）
https://go.microsoft.com/fwlink/?linkid=834404
・Flash Playerのバージョン確認（アドビ）
http://www.adobe.com/jp/software/flash/about/
・Flash Playerのダウンロード（アドビ）
http://get.adobe.com/jp/flashplayer/

　マイクロソフトは9日、11月度の月例セキュリティパッチ（セキュリティ更新プログラム）を公開した。攻撃に悪用されていた「重要」レベルの脆弱性の修正も含まれている。

　公開されたセキュリティパッチは、深刻度が4段階評価で最も高い「緊急」6件と、次に高い「重要」8件の計14件。影響を受けるのは、Windows、Windows Server、Internet Explorer、Edge、Office製品（Mac版を含む）、SharePoint Server、SQL Server。

　このほかにセキュリティ以外の更新プログラムと、新たに「Soctuseer」「Barlaiy」に対応した「悪意のあるソフトウェアの削除ツール」の更新バージョンも公開されている。

【更新プログラムの内容】
＜緊急＞
[MS16-129]Edge：リモートコード実行の脆弱性
[MS16-130]Windows：リモートコード実行の脆弱性
[MS16-131]ビデオコントロール：リモートコード実行の脆弱性
[MS16-132]Graphicsコンポーネント：リモートコード実行の脆弱性
[MS16-141]Adobe Flash Player：リモートコード実行の脆弱性
[MS16-142]Internet Explore：リモートコード実行の脆弱性
＜重要＞
[MS16-133]Office：リモートコード実行の脆弱性
[MS16-134]共通ログファイルシステムドライバー：特権昇格の脆弱性
[MS16-135]Windowsカーネルモードドライバー：特権昇格の脆弱性
[MS16-136]SQL Server：特権昇格の脆弱性
[MS16-137]Windows認証方式：特権昇格の脆弱性
[MS16-138]仮想ハードディスクドライバー：特権昇格の脆弱性
[MS16-139]Windowsカーネル：特権昇格の脆弱性
[MS16-140]ブートマネージャー：セキュリティ機能バイパスの脆弱性

　＜重要＞に分類されているWindowsカーネルモードドライバーの脆弱性（MS16-135）のうちの1件（CVE-2016-7255）は、Flash Playerのゼロデイ攻撃に併用され、Googleによって脆弱性情報が公開されたもの。＜緊急＞に分類されているInternet Exploreの脆弱性（MS16-142）のうちの1件（CVE-2016-7199）は、悪用は確認されていないが、パッチの提供前に脆弱性情報が公開されていたという。

（2016/11/09 ネットセキュリティニュース）

【関連URL：マイクロソフト】
・セーフティとセキュリティセンター
https://www.microsoft.com/ja-jp/safety/default.aspx
・2016年11月のセキュリティ情報の概要
https://technet.microsoft.com/ja-jp/library/security/ms16-nov
・2016年11月のセキュリティ情報 (月例) - MS16-129～MS16-142
https://blogs.technet.microsoft.com/jpsecurity/2016/11/09/201611-security-bulletin/

　警視庁は7日、マルウェア（ウイルス）添付メールの配信を早期に把握し、件名や本文などの情報を提供して注意を促す「早期警戒情報」サービスを開始した。情報は警視庁と警察庁の公式Twitterアカウントで配信されるほか、日本サイバー犯罪対策センター（JC3）のサイトからも発信される。

　サービスがスタートした7日、警視庁と警察庁の公式Twitter、およびJC3のサイトは、「添付写真について」という件名のメールに注意するよう呼びかけた。このメールに添付されているファイルは写真を装ったマルウェアで、ファイルを開くと感染し、ネットバンキングの不正送金被害にあうおそれがある。

　注意を呼びかけたメール件名などの情報は、メール拡散前に、警視庁の監視システムがキャッチしたものだ。

■ボットネットに感染端末を潜入させ情報キャッチ

　警視庁が拡散前のメール情報を把握できるようになったのは、迷惑メールを拡散させるボットネットの仕組みを逆手に取ったもの。感染パソコンのネットワークであるボットネットに、警視庁が故意に感染させた端末を潜入させ、攻撃者側の情報を把握できる監視システムを構築した。このシステムにより、拡散前のメール件名や本文を把握できるようになったという。

　警視庁は今後、広報課と犯罪抑止対策本部の公式Twitterアカウントで、把握した情報を速報していく。また、警察庁とJC3も警視庁と情報を共有し、速報で注意喚起を行う。

　警視庁広報課（@MPD_koho）
　https://twitter.com/MPD_koho
　警視庁犯罪抑止対策本部（@MPD_yokushi）
　https://twitter.com/MPD_yokushi
　警察庁（@NPA_KOHO）
　https://twitter.com/NPA_KOHO
　JC3（インターネットバンキングマルウェアに感染させるフィッシングメールに注意）
　https://www.jc3.or.jp/topics/phishingmail.html

（2016/11/08 ネットセキュリティニュース）

　グーグルは2日、深刻な脆弱性を修正した「Google Chrome」の安定板を公開した。対象となるのは、Windows、MacおよびLinux。アップデート後は、Windows、Mac版が「54.0.2840.87」、Linux版が「54.0.2840.90」に更新される。

　最新版では、JavaScriptエンジン「V8」で領域外のメモリーにアクセスする問題が修正されている。悪用されると、クラッシュや任意のコードが実行されるおそれがある。

　最新版への更新は自動的に行われるほか、メニューの[Google Chromeについて]を選択すると、ただちに最新版の確認とアップデートが行える。Mac版はChromeメニューから、Windows版は右端の設定アイコン→[ヘルプ]と進むと選択できる。

　最新版はブラウザの再起動後に利用できるようになるので、ブラウザを起動したままでいる方は注意していただきたい。

（2016/11/04 ネットセキュリティニュース）

【関連URL】
・Stable Channel Update for Desktop[英文]（Chrome Releases）
https://googlechromereleases.blogspot.jp/2016/11/stable-channel-update-for-desktop.html

　実在する企業やサービスを装ったメールやSMSで偽のWebサイトに誘導し、アカウント情報やクレジットカード情報などをだまし取ろうとするフィッシングが、10月も繰り返し行われた。執拗な攻撃を繰り返していたグループが活動を再開するも、以前のような勢いはなく、10月は今年最も穏やかな月となった。

　フィッシング対策協議会の10月の月次報告にも、同様の傾向が表れている。それによると、協議会に寄せられたフィッシング報告件数 (海外含む) は126件（前月比291件減）。ユニークなURL件数は236件（前月比348件減）、悪用されたブランド件数 (海外含む) は15件（前月比10件減）だったという。いずれも、いずれも今年に入ってから最低の件数だ。報告件数減少の大きな原因として、金融機関をかたるフィッシングとオンラインゲームをかたるフィッシングの減少をあげている。

■活発なフィッシンググループに変化～オンラインゲームはまた終息

　海外でフィッシングを行っていた特定のグループが、2013年に日本人を標的にするようになった。以後、さまざまなブランドを装うオンラインゲームとオンラインバンキングのフィッシングが、これまでにない勢いで展開されるようになる。彼らの攻撃は、長期間に渡り連日繰り返す、大量のメールをばらまく、大量のホストやドメイン名、中継サイトを投入するなど、大規模かつ活発な活動が特徴だ。国内ユーザーを狙うフィッシングはそれほど多くはないため、彼らの活動状況は国内のフィッシング事情に色濃く反映されることとなる。

　このグループが仕掛けるオンラインバンキングのフィッシングは、8月末の攻撃を最後に途絶えており、10月も観測されなかった。9月後半に再開したオンラインゲームのフィッシングは、10月に入ってからもスクウェア・エニックスを装うものがしばらく続いたが、頻度や投入するドメインは、以前の2～3分の1に減少している。飽きられて話題にならなくなったのか、フィッシングメールが減ったのかは定かではないが、ネット上での報告も以前ほど多くはない。

■LINEを装うフィッシング

　このグループは、7月に新たなターゲットとして、ライフカードのプリペイドカード「Ｖプリカ」の会員を狙ったフィッシングを始めた。このフィッシングは、8～9月も続いたが頻度は少なく、10月は完全休止だった。8月には、りそな銀行、福岡銀行、ジャパンネット銀行、京都銀行、静岡銀行のフィッシングを新たに仕掛けるも、長くは続いていない。そんな中、彼らの仕業とみられる、LINEを装うフィッシングメールが、10月下旬にばらまかれた。今のところは、これも後が続かず単発で終わっている。

　「LINEーー安全確認」という件名で届くこのメールは、「システムはお客様のアカウントが異常ログインされたことを感知しました」という文面でアカウントを検証するよう促し、記載したリンクをクリックさせようとする。メールは、HTML形式になっており、見た目のリンク先は公式サイトの「ｌｉｎｅ．ｍｅ」ドメインだが、実際には全く関係のない「ｎｕｉｉ．ｐｗ 」ドメインの偽サイトへと誘導される。本物のログインページを真似、URLの先頭に「ｌｉｎｅ．ｍｅ．ｌｏｇｉｎ」を付けて本物っぽく見せかけようとしているが、本物と違いHTTPS接続ではないので、錠前マークが表示されない。これを見逃さなければ、すぐに偽サイトだとわかる。

　公式サイトのヘルプページ「迷惑トーク・メール」の「LINEを騙った連絡が届いた」には、同社から送信しているメールのドメイン一覧が掲載されている。送信者のメールアドレスは偽装できる項目なので、本物の判定には使えない。ただし、今回のフィッシングメールは、送信元の表示名は【LINE】に偽装しているものの、メールアドレスは偽装していないため、メールアドレスのドメイン名から偽メールだということがわかる。本物を識別するのは難しくても、偽物をふるい落とすのは比較的簡単なので、ありえないことを察知して偽物に気づいていただきたい。同社は、LINEでは不正なログインを確認するためにメールを送ることはないとしている。

■スマホユーザーを狙うアマゾンのフィッシング続く

　フィッシング対策協議会の月次レポートでは、このLINEのフィッシングにまつわり、「フィッシングサイトでスマホでの利用者をターゲットとしたページ構成となっており、今後も同様にスマホ等のユーザーを狙った攻撃が発生する可能性がある」としている。ところが今回のLINEの偽サイトは、スマートフォンでアクセスしても本物のようにスマホ用のページにはならず、PC用のページが表示されるだけだった。同協議会の緊急情報に掲載された偽サイトの画像は、一見スマホ用のログインページに見えるのだが、PC用の偽サイトの画面の一部と完全一致するので、一部を切り取ったものではないかと思われる。

　LINEのフィッシングについては、スマホユーザーを狙った攻撃とはいえないが、スマホユーザーを意識したフィッシングは、昨年あたりから増えつつある。10月に行われたものでは、「第三者による不正アクセスを検知したため、パスワードを見直し、お支払方法の再登録をお願いします」というSMSで誘導するアマゾンのフィッシングがそれだ。このフィッシングは、アマゾンの偽のトップページからログインさせ、クレジットカード情報などをだまし取ろうとするもの。偽サイトには、PC用のページとスマホ用のページが用意されており、端末に応じて振り分けるようになっている。10月は観測されなかったが、過去にはSMSやメールで誘導するオンラインバンキングのフィッシングで、PC用とスマホ用のページを用意したものが多数見つかっている。

　10月に観測されたグーグルのフィッシングも、SMSで誘導するタイプだ。「GoogleよりGoogle playアカウントのお支払方法登録のお願いです」というSMSで誘導し、ログイン情報やクレジットカード情報などをだまし取るフィッシングだが、SMSで誘導するにも関わらず、偽サイトはスマホ用のデザインになっていない。いまひとつ詰めが甘いが、断続的に毎月数回来ているので注意したい。

■大学のメールアカウントを狙うフィッシング

　どこかで毎月必ず発生しているのが、メールアカウントを狙うフィッシングだ。大学やプロバイダのメールアカウントが乗っ取られると、迷惑メールの送信所にされてしまうのが常で、その結果ブラックリストに登録され、まともなメールまで不達になってしまうという悲劇を招くことがある。メールアカウントが他のサービスと共通のアカウントになっている場合には、さらなる悲劇も待っている。

　関西学院大学の職員がフィッシングでIDとパスワードを盗まれ、学生や卒業生ら1466人分の個人情報が漏えいしたというニュースが10月に流れた。最近の大学や企業には、マイクロソフトやグーグルのクラウドサービスを利用するところも多い。こうしたサービスは、「シングルサインオン」などといって、一度のユーザー認証でいろいろなサービスが利用でき便利なのだが、肝心なそのアカウントを盗まれると、すべてのサービスが被害を受けることになる。同学の場合も、システムにOffice 365を利用しており、メールアカウントを盗まれた結果、クラウドストレージに保存されていたファイルにアクセスされてしまったものとみられる。

　ローカルとクラウドをシームレスに使え、ひとつのアカウントでさまざまなサービスが利用できるのは確かに便利だが、それだけに、アカウントを確実に守るよう努めなければいけない。「HTTPSで接続し、錠前マークとURLが正しい、またはサーバ証明書の運営者が正しいことが確認できたサイト以外では、ログインしてはいけない」ことを、しっかり脳裏に刻み付け、常に気をつけるようにしていただきたい。

（2016/11/04 ネットセキュリティニュース）

【関連URL】
・2016/10 フィッシング報告状況（フィッシング対策協議会）
http://www.antiphishing.jp/report/monthly/201610.html

【告知】
[2016/10/03]〔注意喚起〕名古屋大学附属図書館を装ったフィッシングメールについて（名古屋大学）
http://lws.nul.nagoya-u.ac.jp/news/centrallib/2016/161003-4
[2016/10/04]【注意喚起】中央大学を装ったフィッシング詐欺メールについて
http://www.chuo-u.ac.jp/aboutus/informational/itcenter/it_kourakuen/news/2016/10/47683/
[2016/10/07]フィッシングサイトへのアクセスによる個人情報漏えいについて（関西学院大学）
http://www.kwansei.ac.jp/notice/2016/notice_20161007_013525.html
[2016/10/07]本学図書館員を装ったフィッシング詐欺メールが送付されています（筑波大学）
http://www.tsukuba.ac.jp/news/l20161007.html
[2016/10/10]メール管理者を騙った詐欺メールに関する注意（電気通信大学）
https://www.cc.uec.ac.jp/blogs/news/2016/10/20161010phising.html
[2016/10/11]メール管理者を騙った詐欺メールに関する注意（電気通信大学）
https://www.cc.uec.ac.jp/blogs/news/2016/10/20161011phising.html
[2016/10/31]LINE をかたるフィッシング（フィッシング対策協議会）
https://www.antiphishing.jp/news/alert/line_20161031.html
[2016/11/--]LINEを騙った連絡が届いた（LINE）
https://help.line.me/line/?contentId=20000293

　グーグルは1日、Adobe Flash Playerのゼロデイ攻撃に併用されていた、Windowsのカーネルの未修正の脆弱性情報を公開した。マルウェア感染の引き金となるFlash Playerの脆弱性を解消していれば、この脆弱性の悪用には至らないが、悪用されると感染被害が甚大なものになるおそれがある。

　1日未明に公開されたグーグルセキュリティブログによると、Flash PlayerとWindowsの未知の脆弱性を悪用した攻撃が観測され、10月21日（現地時間）にアドビシステムズとマイクロソフトに報告したという。

　Flash Playerの脆弱性（CVE-2016-7855）は、リモートからコードが実行されるおそれのある危険な問題で、28日までにすべてのプラットホームのFlash Playerが更新されている。未更新のままでいると、Webサイトを閲覧するだけで知らない間にマルウェア（ウイルス）に感染してしまうおそれがあるので、直ちにアップデートしていただきたい。

　Windowsの脆弱性は、カーネルで発生するローカルの特権昇格の問題だ。カーネルはシステムの中枢部のことで、この脆弱性を悪用すると、ユーザーの権限で実行している通常のプログラムが、システムと同じ権限を持てるようになる。Flash Playerの脆弱性を悪用して実行したマルウェアがこれを悪用すれば、システムを完全に制御できるようになり、プログラムのインストールやデータの操作、アカウントの作成などが自由に行えるようになってしまう。

　ローカル特権昇格の脆弱性は、悪用されると被害が甚大なものになるが、外部から直接悪用できるものではない。悪用するためには、他のリモートコード実行の脆弱性と組み合わせる、ユーザーをだましてユーザー自身に実行させるなどの方法でシステムに侵入する必要がある。このため、ユーザーの操作なしで外部からコード実行の悪用が行われる可能性のある脆弱性に比べ、深刻度は低くなる。「緊急」「重要」「警告」「注意」の4段階で評価するマイクロソフトの深刻度評価では、併用された先のFlash Playerの脆弱性は、最も高い「緊急」だが、こちらは「重要」と評価されるタイプだ。マイクロソフトのブログによると、今月9日（現地時間8日）に公開を予定しているセキュリティ更新プログラム（修正パッチ）で修正予定だという。

　悪用されにくい脆弱性ではあるが、未修正のまま公開されてしまったたため、悪用されるリスクは少なからず高まっている。「システムやブラウザ、Flash Playerをはじめとするプラグインをアップデートし、常に最新の状態に保つ」「アプリを利用する場合には、信頼できるところで配布・販売されている、安全性が確認できているものだけをインストールする」「メールの添付ファイルは、安全性が確認できたもの以外は開かない」「システムやブラウザが警告を出した場合には、作業を止めてそれ以上先に進まない」といった基本を心がけていただきたい。

（2016/11/02 ネットセキュリティニュース）

【関連URL】
・Disclosing vulnerabilities to protect users[英文]（Google Security Blog）
https://security.googleblog.com/2016/10/disclosing-vulnerabilities-to-protect.html
・Our commitment to our customer's security[英文]（Microsoft Malware Protection Center）
https://blogs.technet.microsoft.com/mmpc/2016/11/01/our-commitment-to-our-customers-security/

　総務省と一般社団法人ICT-ISACは10月31日、マルウェア感染の注意喚起と除去ツールの配布を行うACTIVE活動の偽メールが出回っているとして、注意を呼びかけた。指示に従って除去ツールを実行すると、マルウェアに感染するという。

　ACTIVE（Advanced Cyber Threats response InitiatiVE）は、総務省とISP、セキュリティ企業などが協力し、2013年から実施しているマルウェア（ウイルス）対策プロジェクトのこと。この活動のひとつに、マルウェア感染端末のユーザーに感染を知らせ、駆除方法案内する「マルウェア駆除活動」がある。

　問題の偽メールは、昨年4月から実際に行われた、国内のネットバンキングを標的とするマルウェア「VAWTRAK」感染端末のユーザーに対する注意喚起の取り組みを真似たもの。「一般社団法人ICT-ISAC　セキュリティ本部」をかたり、「【重要】総務省共同プロジェクト　インターネットバンキングに係るマルウェアへの感染者に対する注意喚起および除去ツールの配布について」という件名のメールを送り付けるという。メールの本文は、本物と見紛うまともな日本語で書かれており、マルウェア(VAWTRAK)に感染しているので、メールの添付資料に記載されている手順に従って除去するよう促す。

　フトバンク・テクノロジーの辻伸弘氏の個人サイト「(n)inja csirt」で公開している調査資料によると、添付資料には、セキュリティソフトやWindows Difenderをすべて停止させ、指定したURLから「マルウェア(VAWTRAK)除去ツール.zip」をダウンロード→展開→実行するよう促す内容だ。この添付ファイルもまともな内容なので、信じてしまうかもしれない。指示通りに操作すると、ファイルの暗号化とハードディスクの暗号化機能を持つ、身代金要求型のマルウェア「ランサムウェア」に感染するという。

　ACTIVEのマルウェア駆除活動では、感染端末が見つかると該当端末が接続しているプロバイダに情報を提供し、プロバイダがユーザーを特定して注意喚起を実施する。ICT-ISACが直接連絡することはないので、偽メールに騙されないよう注意していただきたい。

（2016/11/02 ネットセキュリティニュース）

【関連URL】
・「一般社団法人 ICT-ISAC」名で発信されたマルウェア感染に係る注意喚起及び除去ツールの配布に関する不審なメールにご注意ください。（総務省）
http://www.soumu.go.jp/menu_kyotsuu/important/kinkyu02_000251.html
・[注意喚起]当法人になりすました偽メールについて（ICT-ISAC）
https://www.ict-isac.jp/news/news20161031.html
・【注意喚起】ACTIVE活動に関する偽メールについて（ACTIVEプロジェクト）
https://www.active.go.jp/active/news/info/entry-254.html
・ICT-ISACを騙った偽メール調査メモ（(n)inja csirt）
http://csirt.ninja/?p=991
・マルウェア駆除活動について（ACTIVEプロジェクト）
http://www.active.go.jp/active/removal.html
・「【重要】マルウェア（ウイルス）駆除のお願い」というメールが届いた（So-net）
http://faq.so-net.ne.jp/app/answers/detail/a_id/3085

　9月から10月にかけて、オンラインゲームのチート（ずる）行為にからんだ摘発が相次いだ。換金性の高いゲームのアイテムやキャラクターは、反社会勢力の資金源になることもあり、チートツールの配布やそれを使ったアイテムなどの不正入手、パラメータの不正改ざんなどの行為は、犯罪として立件されることがある。

■9月23日（千葉県警）

　チートツールを使いミクシィが運営するオンラインゲーム「モンスターストライク」に不正なデータを送信したとして、群馬県、埼玉県、富山県の男性4人を、「私電磁的記録不正作出・供用」の疑いで千葉地検に書類送検した。

■9月29日（千葉県警）

　先の事件にからみ、男性らにチートツールを使えるようにシステムを改変（「脱獄」と呼ばれる処理）したiPhoneを販売していた富山県の男性を、私電磁的記録不正作出・供用のほう助罪での立件を視野に、商標法違反の疑いで逮捕した。

■10月4日（奈良県警）

　チートツールを使い、カプコンが運営する「モンスターハンターフロンティアＧ」のアイテムの不正入手代行を行ったとして、奈良県の男性を私電磁的記録不正作出・供用の疑いで逮捕したと発表した。男性は、愛知県と千葉県の男性から請け負い、彼らのゲームデータを改変したという。

■10月13日（警視庁）

　チートツールを使い、スクウェア・エニックスが運営する「ドラゴンクエストX」に不正な指示を出して希少なアイテムを不正入手したとして、山口県の高校生など男女4人を私電磁的記録不正作出・供用罪で、4人にチート行為を教えた東京都の男性を同ほう助罪で書類送検したと発表した。
　このチート行為は、ネット掲示板で昨年10月に話題になり、翌月同社から警察に相談して捜査を進めていたもの。同社は、関与した29件のアカウントを永久停止処分にしたとしている。

　各社の規約で禁止しているチート行為は、発覚すればアカウントの停止処分になるだけでなく、違法性があれば刑事事件として扱われ処罰されることがある。ゲーム運営会社に損害が発生すれば、損害賠償請求される可能性もある。チートツールなどを提供する行為も同様だ。たかがゲームの中のことと考えて手を出すと、実社会で取り返しのつかない事態になるので、くれぐれも注意していただきたい。

（2016/11/01 ネットセキュリティニュース）

【関連URL】
・チート行為はやめましょう！（警視庁）
http://www.keishicho.metro.tokyo.jp/kurashi/cyber/notes/cheat.html
・不正プログラム(チートツール)利用によるチート代行者の逮捕に関するお知らせ（モンスターハンターフロンティアＧ）
http://cog-members.mhf-g.jp/sp/news/11596.html
・不正行為および、それを拡散する行為について（ドラゴンクエストX）
http://hiroba.dqx.jp/sc/topics/detail/65cc2c8205a05d7379fa3a6386f710e1/