ネットセキュリティニュース

　アップルは30日、「macOS High Sierra v10.13.1」向けの「Security Update 2017-001」を緊急公開した。前日に発覚した管理者アカウントの「root」がパスワードなしで利用できるようになってしまう脆弱性が修正されている。

　同日公開されたセキュリティ情報によると、システムの全権を持つrootアカウントの有効化などの機能を提供する「ディレクトリユーティリティ」の認証ロジックに問題があり、管理者の認証を行わずに（管理者パスワードなしで）rootアカウントを有効化できてしまった。この脆弱性を突いてrootアカウントを有効にすると、本来の有効化手順に含まれるパスワードの設定プロセスを経ないため、パスワードなしで利用できる非常に危険な管理者アカウントになってしまう。

　脆弱性が影響するのは、macOS High Sierra（v10.13.1）。macOS Sierra（v10.12.6）およびそれ以前のシステムには影響しない。

　最新版へのアップデートは、自動更新や通知をクリックするか、手動で「App Store」を確認する。Appleメニューから[App Store]を選択し、ツールバーの[アップデート]ボタンをクリックすると、利用可能なアップデートが表示される。

　なお、先の記事でもご紹介した、rootアカウントをパスワードを付けて有効化しておく回避策を実施している場合には、更新後にrootアカウントを無効化しておくことをお勧めする。詳しくは、アップルのドキュメント「Mac でルートユーザを有効にする方法やルートパスワードを変更する方法」（下記）を参照していただきたい。

（2017/11/30 ネットセキュリティニュース）

【関連URL：アップル】
・About the security content of Security Update 2017-001
https://support.apple.com/ja-jp/HT208315
・Mac でルートユーザを有効にする方法やルートパスワードを変更する方法
https://support.apple.com/ja-jp/HT204012

　AppleのMac用OSの最新版「macOS High Sierra v10.13.x」に、パスワードなしで管理者としてログインできてしまう問題が見つかり、大きな問題となっている。修正されるまでの間は、回避策を実施しておくか、Macから目を離さないようご注意いただきたい。

　この問題は、トルコのソフトウェア会社の創始者レミ・オルハン・エルギン氏が29日未明にTwitterで警告したもの。macOSの「システム環境設定」の「ユーザーとグループ」を開き、左下の「変更するにはカギをクリックします」のところにある錠前アイコンをクリックする。ユーザー名に「root」を入力し、パスワードなしで「ロックを解除」を数回クリックすると、ロックが解除できてしまう。

　「root」は、macOSに標準で組み込まれている、あらゆる操作が可能な管理者アカウントで、通常は無効化されている。管理者権限を持つアカウントで有効化でき、その際にパスワードを設定するようになっている。ところが先の操作を行うと、管理者権限がなくても、rootアカウントをパスワードなしで有効化できてしまうようだ。一連の操作を行うには、Macに直接ログインしなければいけないので、目を離したすきにロックされていないMacを操作されたり、FileVaultが無効のMacにゲストユーザーでログインされたりすると攻撃を受け、第三者に管理者権限でシステムを操作されてしまう。

　問題が修正されるまでの当面の回避策としては、次が考えられる。

　(1)　第三者に操作させない
　(2)　ゲストユーザーを無効にするか、FileVaultを有効にする
　(3)　rootを有効にしてパスワードを設定しておく

　Macを操作されなければ、この脆弱性を悪用することはできない。(1)はその実践で、Macを持ち出さない、目を離さないなどの物理的な対策だ。アカウントは、必ずパスワードで保護し、少しでも席を離れる際には、必ずMacをロックする。Macのロックに関しては、下欄記載のトピックス記事「PCやスマホ、IoT機器を守る“物理的”セキュリティ対策」や、「パソコン購入後・使い始めに、必ずやっておきたいセキュリティ設定」を参照していただきたい。

　ゲストユーザーは、Macにパスワードなしでログインできるので、目を離したすきに第三者に操作されてしまう可能性がある。ただし、ディスクの暗号化機能であるFileVaultが有効の場合には、ゲストユーザーが利用できるのは「Safari」に限定される。これが(2)の対策だ。ゲストユーザーは「システム環境設定」の「ユーザーとグループ」で、FileVaultは「システム環境設定」の「セキュリティとプライバシー」で設定や変更が行える。

　(3)は、rootアカウントをあらかじめパスワード付きで有効にしておくことで、パスワードなしで有効化されることを防ぐ対策だ。rootアカウントの有効化は、「システム環境設定」の「ユーザーとグループ」から操作する。詳しくは、アップルのドキュメント「Mac でルートユーザを有効にする方法やルートパスワードを変更する方法」を参照していただきたい。

　Macから離れる際には必ずロックし、なおつ(2)か(3)のどちらかを実施しておけば、第三者のrootアカウントによる操作を防ぐことができる。

（2017/11/29 ネットセキュリティニュース）

【関連URL】
・Lemi Orhan Ergin氏の当該ツイート
https://twitter.com/lemiorhan/status/935578694541770752
・Mac でルートユーザを有効にする方法やルートパスワードを変更する方法
https://support.apple.com/ja-jp/HT204012

　実在する企業やサービスを装ったメールで偽のWebサイトに誘導し、ログイン情報やクレジットカード情報などを騙し取るフィッシングが、10月も毎日続いた。連日続くアップルやLINE、アマゾンのほか、仮想通貨関連サービスやWebメール、SMSで誘導するGooglePlayのフィッシングなども観測されている。

　フィッシング対策協議会の10月の月次報告によると、協議会に寄せられたフィッシング報告件数 (海外含む) は、982件（前月比211件減）。ユニークなURL件数は863件（前月比349件減）。悪用されたブランド件数 (海外含む) は19件（前月比9件減）。同協議会が出した緊急情報は、毎日休むことなくフィッシングメールがばらまかれているアップルと、それに準ずる頻度でばらまかれているアマゾンとLINEの3回だった。

　協議会の報告では、全ての件数が減少に転じているが、筆者の観測では、LINEとアマゾンのフィッシングの頻度が増えたため、全体の発生頻度が前月よりも若干増えるという結果になっている。協議会の報告では、減少に転じた理由は述べられていないが、同じようなブランドと手口の繰り返しでマンネリ化している、ばらまく量が少なくなったなどの可能性が考えられる。

　協議会の報告では、前月に引き続きアップルのフィッシング報告を多数受領しており、全体の約70%を占めるという。ほかに、アマゾン、LINE、ペイパル、仮想通貨関連サービスなどのブランドの報告がきているとあり、筆者の観測結果とも符合する。ちなみにペイパルのフィッシングメールは、毎日大量にばらまかれており、ほとんどが英文メールなのだが、ここに来て日本語のメールが若干見受けられるようになった。利用されている方は、気に留めておいていただきたい。

　報告書には、「これらのフィッシングサイトのなかには情報を入力すると、次回以降アクセス不能となり、後で確認や調査ができなくなるサイトもあるので注意が必要です」とあるが、意味をとれない方も多いのではないか。これは、一部のアクセス制御を備えたアップルのフィッシングサイトのことを指している。このアクセス制御は、アクセスしてきたユーザーのIPアドレスを記録し、同じIPアドレスからアクセスした場合には、公式サイトにリダイレクトするようになっている。フィッシングサイトにアクセスしてしまったかも知れないと後から気付いて確認しようとすると、2回目以降は本物のログインページに誘導されてしまう仕掛けだ。公式サイトだったと安心してしまうと、被害に気付くのが遅れてしまうかもしれない。

　10月の主なフィッシングに関しては、9月の記事でもご紹介しているので省略し、今回はあまり話題にならなかったフィッシングをご紹介する。

・2017/10 フィッシング報告状況
https://www.antiphishing.jp/report/monthly/201710.html
・2017年10月30日 LINE をかたるフィッシング (2017/10/30)
https://www.antiphishing.jp/news/alert/line_20171030.html
・2017年10月26日 Amazon をかたるフィッシング (2017/10/26)
https://www.antiphishing.jp/news/alert/amazon_20171026.html
・2017年10月23日 Apple をかたるフィッシング (2017/10/23)
https://www.antiphishing.jp/news/alert/apple_20171023.html
・9月の国内フィッシング事情（ネットセキュリティニュース）(2017/10/06-2)

■仮想通貨関連サービスのフィッシング

　仮想通貨の利用には、仮想通貨と現金の換金を行う取引所や、仮想通貨の保管や支払いを行うウォレットが欠かせない。銀行やクレジットカードと同様、仮想通貨を扱うサービスもまた、フィッシングの格好のターゲットになっており、最近は、国内のユーザーを標的としたものも出現している。10月初旬には検索広告から誘導するCOMSAのフィッシングサイトが観測され、下旬には「【bitFlyer】本人認証サービス」という件名のメールで誘導するビットフライヤーのフィッシングが観測された。

　ビットフライヤーをかたるフィッシングメールは、「こんにちは！」ではじまり、「システムが安全性の更新がされたため、お客様はアカウントが凍結?休眠されないように、直ちにアカウントをご認証ください」という内容のもの。少し前まで、オンラインゲームやオンラインバンキングのフィッシングメールで頻繁に使われていたものだ。このビットフライヤーをかたるフィッシングは、11月に入ってからも2回行われているので、引き続き警戒していただきたい。

■オンラインゲームを装うフィッシング

　オンラインゲームを装うフィッシングは、前掲のビットフライヤーのフィッシングの仕掛け人たちが手を引いた昨年末以降、すっかり影をひそめている。そんな中で目立った動きをしているのが、Cygames社のオンラインゲーム「グランブルーファンタジー」のキャンペーンを装い、ソフトバンクのアカウントを騙し取ろうとするフィッシングだ。

　「10,000円クーポンプレゼント～グラブルDL1700万人突破記念～」などの件名のメールで偽のキャンペーンサイトに誘導し、MySoftbankにログイン後クーポン発行コードを入力すると、もれなく10,000円のクーポンが貰えるといってアカウント情報を入力させようとする。当事者やフィッシング対策協議会などからは、一切注意喚起が出ていないが、検索サイトで調べると、今年の初めから再三にわたり行われていたようで、9月に9回、10月1回フィッシングメールとサイトが観測された。今月は今のことろ、まだ見かけていない。
■メールアカウントを狙うフィッシング

　不定期ではあるが、Webメールのアカウントを狙うフィッシングもコンスタントに行われている。不特定多数に見境なく送るフィッシングメールと違い、大学やプロバイダになりすまして、そのドメインのメールアドレス宛にメールを送り、偽サイトへと誘導する。不特定多数に見境なく送るフィッシングメールと違いターゲットが絞られるので、やりようによっては騙しやすそうだが、いかんせん不自然な日本語のメールが多い。

　10月には、電気通信大学や千葉大学、専修大学などが、同学を装うフィッシングメールを報告しているほか、Active! Mailを装うフィッシングも報告されている。変わったところでは、メールに返信させるタイプのフィッシングが時々報告されている。実例は、10月25日付のぷららの告知に掲載されている。

・ぷららを騙る詐欺メール（フィッシングメール）にご注意ください（ぷらら）
https://www.plala.or.jp/support/info/2017/1025/

（2017/11/24 ネットセキュリティニュース）

◆実在企業装うマルウェアメール頻発――ダウンロード型、添付型それぞれの手口（2017/11/28）

　実在する会社を装い、バンキングマルウェア（ウイルス）に感染させようとする攻撃が、相変わらず続いている。先週は平日の毎日、メール内のリンクをクリックしてダウンロードするタイプと、添付ファイルを開かせるタイプの両方がばらまかれた。

　先週の攻撃では、ゆうちょ銀行、三井住友銀行と三井住友カード、みずほ銀行とオリエントコーポレーション、スルガ銀行、楽天と楽天カード、ジャパントラストと映音堂、NHKオンデマンドの名前が使われた。送信日と件名は以下の通り。これらのメールの全文は、日本サイバー犯罪対策センター（JC3）のサイトで見ることができる。なお、JC3の情報では、23日に送信日されたメールが24日送信のメールの一部に混じっているので、下記一覧では適宜23日に修正している。

＜攻撃メールの送信日とメール件名＞
11/20：ゆうちょ銀行　入金のご連絡　(N71019788477G)
11/21：［三井住友銀行］ ValueDoor電子認証設定のお願い
　「みずほ銀行カードローン」仮申し込みの審査結果のご連絡
　【スルガ銀行】リザーブドプランカードお申込み
　[楽天]会員情報変更のお知らせ
11/22：Re:お振込口座変更のご連絡（※添付：お振込口座変更のご連絡.doc）
11/23：ご注文ありがとうございました（※添付：VJA ギフトカードインターネットショップ.doc）
　【 NOD 】 ご購入手続き完了のお
11/24：ご注文ありがとうございました（※添付：お振込口座変更のご連絡.doc）
　[楽天]会員情報変更のお知らせ

■ダウンロード型：リンクを踏む→「.ZIP」→「.js」→感染というパターン

　一連のダウンロード型のメールは、「クリックしてください」「ご確認下さい」「こちら」などのリンクをクリックすると、拡張子が「.zip」の「圧縮フォルダ形式」のファイルをダウンロードしようとする。ファイルには、メールの内容に応じたそれらしい名前が付けられており、例えばNHKオンデマンドをかたった「購入手続きが完了しました」というメールでは、「注文内容をチェック.zip」というファイルが落ちてきた。

　ZIPファイルの中身は、「料金明細をチェック.DOC.js」というJavaScriptファイルが入っている。これはプログラムファイルのひとつで、開くとプログラムが実行され感染活動が始まる。他のダウンロード型も同様、「.ZIP」→「.js」→感染というパターンだが、一部「.js」が直接落ちてくるケースもあった。

■添付型：ワード文書を開かせる→マクロ実行→感染という手口

　メールに添付したファイルを開かせる添付型3件は、いずれもワードのファイルを使用したものだった。
　ジャパントラストと映音堂の2つの名前が混在する「Re:お振込口座変更のご連絡」という件名のメールでは、マクロを仕掛けたワードの文書ファイル「お振込口座変更のご連絡.doc」を開かせる。文書には、「すこし問題がありました」と書かれており、黄色いバーの「編集を有効にする」ボタンをクリックし、さらに「コンテンツの有効化」ボタンをクリックすると、閲覧できるとある。「編集を有効にする」をクリックすると、文書を安全に開く「保護ビュー」解除されてしまい、続く「コンテンツの有効化」のクリックで、感染活動を行うマクロが実行されてしまう。

　三井住友銀行および三井住友カードをかたり、VJAギフトカード1000円券300枚購入したとする偽メールは、先のリンクをクリックさせる手口と、この添付ファイルを開かせる手口のものが観測された。添付された「VJA ギフトカードインターネットショップ.doc」は、マルウェア解析サイトの解析結果から、Microsoft Officeに付属する数式エディタの脆弱性（CVE-2017-11882）を悪用したものとみられる。この脆弱性は、今月15日のセキュリティ更新プログラムで修正されたもので、コード実行のおそれがあるものの、4段階の深刻度は最も高い「緊急」ではなく、次点の「重要」と評価されていた。
　なお、JC3が掲載しているVJAギフトカード関連メールの添付ファイル「お振込口座変更のご連絡.doc」については、確認できておらず、どのようなものだったのかは不明。

　国内のユーザーを狙い、Ursnif（アースニフ：別名Gozi、ISFB、DreamBotなど）と呼ばれるマルウェアに感染させようとするマルウェアメールは、火、水、木に集中する傾向にある。このマルウェアは、国内の複数のオンラインバンキングをはじめ、クレジットカードを扱う信販会社のサイトも対象にアカウント情報などを窃取するという。メールの添付やリンク先から落ちてきたファイルは、安全なものであることを確認できたもの以外は、決して開かぬよう注意していただきたい。

（2017/11/28 ネットセキュリティニュース）

【関連URL】
・インターネットバンキングマルウェアに感染させるウイルス付メールに注意（JC3）
https://www.jc3.or.jp/topics/virusmail.html
・インターネットバンキングマルウェア「Gozi」による被害に注意（JC3）
https://www.jc3.or.jp/topics/gozi.html
・【重要】当行を装った不審な電子メールにご注意ください（ゆうちょ銀行）
http://www.jp-bank.japanpost.jp/news/2017/news_id001268.html
・当行を装う不審なメールにご注意ください（三井住友銀行）
http://www.smbc.co.jp/security/attention/index20.html
・「[email protected]」からの不審なメールにご注意ください。（三井住友カード）
https://www.smbc-card.com/mem/service/sec/smfg.jsp
・みずほ銀行カードローンを騙るメールにご注意ください。（みずほ銀行）
https://www.mizuhobank.co.jp/oshirase/cardloan20171114/index.html
・みずほ銀行カードローンを騙るメールにご注意ください（オリエントコーポレーション）
http://www.orico.co.jp/information/info.html?guid=announcement4_39019
・当社を装った不審な電子メールにご注意ください（スルガ銀行）
https://www.surugabank.co.jp/surugabank/kojin/topics/171121.html
・楽天を装った不審なメールにご注意ください。（会員情報変更メール）（楽天）
https://ichiba.faq.rakuten.co.jp/app/answers/detail/a_id/42754/
・楽天カードを装った不審なメールにご注意ください（楽天カード）
https://www.rakuten-card.co.jp/guide/securityinfo/
・不審なメールにご注意ください（ジャパントラスト）
http://www.jpntrust.co.jp/
・映音堂（弊社社員の名前）を騙った迷惑メールにご注意ください。（映音堂）
http://eiondo.com/
・【注意】NHKオンデマンドを装った偽メールが出回っています！（NHKオンデマンド）
http://blog.nhk-ondemand.jp/2017/11/nhk.html

　有料動画や登録料金の未払いがあるといって連絡させ、言葉巧みに誘導し金を騙し取る架空請求の被害が、今年に入ってから急増している。全国の警察が9月までに把握した有料サイト利用料金名目の架空請求被害は2600件と、昨年同期の2.5倍に膨れ上がっている。

　身に覚えのない未払い料金請求は、ある日突然舞い込むはがきやメール、電話番号あてに送られてくるSMS（ショートメッセージ、ショートメール）で始まる。詐欺師たちは、これらを使って不特定多数にアプローチし、相手に電話をかけさせるかメールに返信させる方法で接触をはかる。不安になって連絡して来る者がいたら、言葉巧みに騙し、実際にはない「未払い料金」を支払わせようとするのが、この架空請求の手口だ。ターゲットは、不安になって連絡して来る相手なので、連絡せずに無視すれば何も起きない。

　無視することが架空請求の最善の対処方法なのだが、そうできない方は、家族や知り合いなどの確かな相手に必ず相談するようにしていただきたい。無料で相談できる公的機関を利用するのも賢明な方法だ。最寄りの消費生活相談窓口を紹介する「消費者ホットライン」は、全国共通の電話番号「188」番にかければよい。「警察相談電話」は、全国共通の短縮ダイヤル「#9110」番で受け付けている。相手に連絡したり、ひとりで考え悩んだりせず、不安に思うことがあれば気軽に利用していただきたい。

　以下に、先月から今月にかけて実際に行われた、はがき、メール、SMSを使用した事例をご紹介する。不安をあおる、救済手段をちらつかせて連絡させようとする、短い期限を付けて焦らせ考える時間を与えないなど、典型的な詐欺師の手口が用いられている。

■料金未納架空請求の三大手口その１――はがき

　法務省の名をかたり、訴訟の告知と称するはがきが、5月ごろからばらまかれている。今月見かけたのは、「消費料金に関する訴訟最終告知のお知らせ」や「民事訴訟通告書」と題したもの。差出人は，「法務省管轄支局 国民訴訟告知センター」や「法務省管理組合 消費者トラブル総合センター」などと記載されているが、法務省とは一切関係がない。

　内容は、ある会社から訴訟されたというお知らせで、取り下げなど穏便な解決の相談にのるからすぐに連絡するよう求めるもの。連絡しなければ財産の差し押さえを強制的に執行するなどと不安をあおり、1～3日程度の短い期限を付けて、記載した電話番号あてに連絡させようとする。

＜関連URL＞
・法務省の名称等を不正に使用した架空請求により被害が発生しています（法務省）
http://www.moj.go.jp/hisho/kouhou/hisho06_00434.html

■料金未納架空請求の三大手口その２――メール

　FC2やDMM.comなどの実在する企業をかたる架空請求メールが、「有料視聴分の未納料金をお支払い下さい。」などの件名でばらまかれている。先ごろ見かけたFC2をかたるメールは、有料動画の閲覧終了後にログアウトしなかったため、1分100円の料金がアカウント停止処分になるまでの3日間分発生しているという内容だった。未納金と遅延損害金を含む請求額513,600円を期限までに支払わないと法的手段を取ると不安をあおる一方、本人確認を行えばアカウントを削除して債権を放棄するとして、メールに返信させようとする。期限は24時間以内だ。

＜関連URL＞
・架空請求にご注意ください（FC2）
http://fc2information.blog.fc2.com/blog-entry-1899.html
・DMMを装った架空請求について
https://terms.dmm.com/fictitious/

■料金未納架空請求の三大手口その３――SMS

　電話番号あてに短文を送ることのできるSMSは、この数年ですっかり架空請求の主要な手段になっており、先のDMM.comやFC2、ヤフー、楽天など、実在するさまざまな企業をかたったものが連日ばらまかれている。今春から急増し、今もなお最多なのがアマゾンをかたるもの。最近急増中のグーグルと、以前から多いヤフーがそれに続く。140文字という制限のあるSMSは、どれも似たような文面が使われており、有料動画や登録料などで未納料金が発生している、本日連絡がないと法的手続きに移行するという文面に、各社の窓口に見せかけた名称と連絡先の電話番号が添えられている。

　この架空請求SMSについては、全国の消費生活センターや都道府県警などから再三注意喚起が出ている。最近の例では、今月14日に、東京都と消費者庁がアマゾンの架空請求SMSについて注意喚起を出している。

＜関連URL＞
・「法的手続きに移行する」などとSMSを送る「アマゾン」を名乗る架空請求事業者にご注意ください（東京都）
http://www.shouhiseikatu.metro.tokyo.jp/torihiki/shobun/shobun171114.html
・ＳＭＳを用いて有料動画の未納料金の名目で金銭を支払わせようとする「アマゾンジャパン合同会社等をかたる架空請求」に関する注意喚起［PDF］（消費者庁）
http://www.caa.go.jp/policies/policy/consumer_policy/information/pdf/consumer_policy_information_171114_0001.pdf
・Amazon.co.jp からの連絡かどうかの識別について（アマゾン）
https://www.amazon.co.jp/gp/help/customer/display.html?nodeId=201909120

■支払いに悪用されるコンビニ

　架空請求の支払い方法には、以前は現金の送付や振り込みがよく用いられたが、現在はコンビニで扱っている、アマゾンや楽天などのプリペイドカード（ギフトカード）が用いられることが多い。プリペイドカードを購入させ、裏面のカード番号を伝えさせたり、犯人が持つプリペイドカードにコンビニでチャージさせたりする手口だ。
　昨年あたりからは、コンビニ収納（コンビニ決済）を使う手口も増えてきているという。ネット通販やネットオークションのコンビニ払いの代金を支払わせたり、コンビニ払いに対応した仮想通貨の犯人の口座に入金させたりする方法で、直接あるいは間接的に金銭を手に入れる。架空請求に限らず、支払いのためにコンビニに行くよう促されたら、詐欺を疑っていただきたい。

＜関連URL＞
・ギフト券詐欺にご注意ください（アマゾン）
https://www.amazon.co.jp/b/?node=4048518051

（2017/11/21 ネットセキュリティニュース）

　モジラは15日、Webブラウザ「Firefox」の最新版「Firefox Quantum 57」を公開した。対象となるのは、Windows、Mac、Linux、Android。法人向けの延長サポート版（ESR）「52.5」も公開されている。

　ブラウザエンジンを刷新する大規模なアップデートとなった最新版では、デザインが一新され、高速化やモリ使用量の削減など、機能面や性能面で大幅な改善が行われたほか、15件の脆弱性が修正されている。

　修正された脆弱性は、深刻度が4段階評価で最も高い「最高」が3件、次に高い「高」が1件、「中」が7件、「低」が4件。悪用されると任意のコードが実行されるおそれのある、メモリーがらみの危険な脆弱性の修正が、複数含まれている。

　ESR 52.5では、56と共通の「最高」2件と「高」1件の計3件の脆弱性が修正されている。

　デスクトップ用の最新版は、自動更新機能を通じて配布されているほか、今すぐ手動で更新することもできる。手動更新は、Windowsではメニューボタン「≡」をクリック→下段のヘルプボタン「？」をクリック→表示された[ヘルプ]メニューの[Firefoxについて]を選択する。または、[Alt]キーを押してメニューバーを表示し、[ヘルプ]メニューの[Firefoxについて]を選択する。OS Xでは、Firefoxメニューの[Firefoxについて]を選択する。

　自動や手動で更新したデスクトップ版のFirefoxは、ブラウザの再起動後に最新版が利用できるようになるので、ブラウザを起動したままでいる方は注意されたい。

　Android用の最新版は、執筆時点ではまだ配信されていないが、準備が整い次第「Google Play」で配信される予定。アプリの自動更新が有効に設定されている場合には、自動的に更新されるほか、「Google Play」の「マイアプリ＆ゲーム」で「アップデート」を表示すると、手動で更新できる。

＜旧式の拡張機能＞
　Firefox 57では、新しい技術によって作られた拡張機能のみのサポートとなり、旧式の拡張機能は動作しなくなった。以前のバージョンのFirefoxのアドオンで確認すると、[旧式]とマークされていた拡張機能だ。57にアップデート後は、ツールメニューやメニューボタンから[アドオン]を開くと、[旧式の拡張機能]で利用できなくなった拡張機能が確認できる。各拡張機能の[代わりのアドオンを探す]ボタンをクリックすると、旧式の拡張機能の代わりになりそうなものが見つかるかもしれない。

（2017/11/15 ネットセキュリティニュース）

【関連URL：モジラ】
＜Firefox 57.0＞
・リリースノート（デスクトップ版）
https://www.mozilla.jp/firefox/57.0/releasenotes/
・リリースノート（Android版）
https://www.mozilla.org/en-US/firefox/android/57.0/releasenotes/
・Security vulnerabilities fixed in Firefox 57[英文]
https://www.mozilla.org/en-US/security/advisories/mfsa2017-24/
・Firefox アドオン技術の現代化
https://support.mozilla.org/ja/kb/firefox-add-technology-modernizing
＜Firefox ESR 52.5＞
・リリースノート
https://www.mozilla.jp/firefox/52.5.0/releasenotes/
・Security vulnerabilities fixed in Firefox ESR 52.5[英文]
https://www.mozilla.org/en-US/security/advisories/mfsa2017-25/
r52.4

　アドビシステムズは15日、コンテンツ再生ソフトの「Flash Player」と「Shockwave Player」、PDF閲覧ソフト「Acrobat Reader DC/Reader XI」の最新版を公開した。いずれも深刻な脆弱性が修正されており、同社では早めにアップデートするよう呼びかけている。
■Flash Player

　Windows版、Macintosh版、Google Chrome搭載版、Internet Explorer/Edge搭載版、Linux版の最新版「27.0.0.187」が公開された。

　最新版では、領域外のメモリにアクセスしてしまう問題3件と、解放したメモリにアクセスしてしまう問題2件の、計5件の脆弱性が修正されている。いずれもコード実行につながるおそれのある深刻なもので、3段階の緊急度評価で最も高い「クリティカル」と評価されている。アップデートの優先度評価は、Linex版が3段階中最も低い「3」で、任意のタイミングでの適用となっているが、それ以外は「2」で、早めのアップデートが推奨される。

　システムにインストールされているFlash Playerのバージョンは、下記のバージョン確認ページにアクセスするか、コントロールパネルやシステム環境設定の「Flash Player」の[更新]タブで確認できる。最新版への更新はFlash Playerの自動更新機能を通じて行われるほか、同社サイトからダウンロードすることもできる。

　Windows 8.1/10に搭載されているInternet Explorer 11およびEdge用のFlash Playerについては、Windows Updateを通じて最新版が配布されており、自動的に更新される。直ちに更新する場合は、コントロールパネルなどから[Windows Update]を開き、[更新プログラムの確認]または[更新プログラムのチェック]をクリックする。

　Google Chromeに搭載されているFlash Playerについては、自動更新機能を通じて最新版が配信されている。すぐに更新したい場合には、コンポーネント画面を開いて「Adobe Flash Player」の[アップデートを確認]ボタンを押す。コンポーネント画面は、アドレスバーに chrome://components と入力してEnterキーを押すと開く。

＜関連URL：アドビ＞
・Security updates available for Flash Player | APSB17-33［英文］
https://helpx.adobe.com/security/products/flash-player/apsb17-33.html
・Flash Playerのバージョン確認
http://www.adobe.com/jp/software/flash/about/
・Flash Playerのダウンロード
https://get.adobe.com/jp/flashplayer/

■Shockwave Player

　Windows版Shockwave Playerの最新版「12.3.1.201」が公開された。

　最新版では、コード実行につながるおそれのある脆弱性1件が修正されている。緊急度は、3段階中最も高い「クリティカル」、優先度は3段階中2番目に高い「2」で、早めのアップデートが推奨される。

　最新版は、下記の「Shockwave Playerのダウンロード」ページで入手できる。Shockwave Playerは、同社のオーサリングソフト「Director」で作成されたコンテンツを再生するプレーヤーだが、日本国内では、Flashコンテンツのようには普及していないため、インストールされていないパソコンも多い。

　Shockwave Playerがインストールされているかどうかは、下記の「Adobe Shockwave Playerのテストページ」で確認できる。このページのShockwave Playerのボックスでアニメーションが再生されない場合は、Shockwave Playerがインストールされていないので、新たにダウンロードしたりアップデートを行ったりする必要はない。

＜関連URL：アドビ＞
・Security update available for Shockwave Player | APSB17-40［英文］
https://helpx.adobe.com/security/products/shockwave/apsb17-40.html
・Adobe Shockwave Playerのテストページ（アドビ）
https://www.adobe.com/jp/shockwave/welcome/
・Shockwave Playerのダウンロード（アドビ）
https://get.adobe.com/jp/shockwave/

■Acrobat Reader/Reader XI

　Windows版とMac版のAcrobat Reader DC、Reader XI、Acrobat Reader 2017の最新版が公開された。

　最新版では、緊急度が「クリティカル」の脆弱性57件と、「重要」の脆弱性4件の計61件が修正されており、これらが悪用されるとリモートからのコード実行や情報漏えいなどを引き起こす可能性がある。アップデートの優先度は、3段階中2番目に高い「2」で、早めのアップデートが推奨される。

　更新後のバージョンは、Acrobat Reader DCの継続トラックが「2018.009.20044」、クラシックトラックが「2015.006.30392」、Reader XIが「11.0.23」。Acrobat Reader 2017は「2017.011.30068」となる。

　現在使用しているバージョンは、Acrobat ReaderまたはReader XIを起動し、[ヘルプ]メニューの[Adobe AcrobatReader DCについて（または Acrobat Reader 2017について、Adobe Reader XIについて）]で確認できる。

　最新版への更新は、[ヘルプ]メニューの[アップデートの有無をチェック]から実行できるほか、同社のサイトから最新のAcrobat Reader DC（継続トラック）をダウンロードすることもできる。継続トラックとクラシックトラックの違いについては、下記の「アップデート方法について」をご覧いただきたい。

　Reader XIは、今回も最新版が公開されているが、同社は、2017年10月15日をもってサポート終了とアナウンスしており、Acrobat Reader DCへの移行を推奨している。

＜関連URL：アドビ＞
・Security Updates Available for Adobe Acrobat and Reader | APSB17-36
https://helpx.adobe.com/security/products/acrobat/apsb17-36.html
・Adobe Acrobat Reader DCのダウンロード
https://get.adobe.com/jp/reader/
・アップデート方法について（Windows版 Acrobat DC/Acrobat Reader DC）
https://helpx.adobe.com/jp/acrobat/kb/cq08061501.html
・アップデート方法について（Mac OS版 Acrobat DC/Acrobat Reader DC）
https://helpx.adobe.com/jp/acrobat/kb/cq08101140.html
・Acrobat XI Pro / Acrobat XI Standard / Acrobat Reader XI をお使いの方へ
http://www.adobe.com/jp/information/acrobat/endsupport.html

（2017/11/15 ネットセキュリティニュース）

　マイクロソフトは15日、11月度の月例セキュリティパッチ（セキュリティ更新プログラム）を公開した。深刻な脆弱性が多数修正されており、同社はできるだけ早期にパッチを適用するよう呼びかけている。

　公開されたパッチは、深刻度が4段階評価で最も高い「緊急」4件と、次に高い「重要」7件、次に高い「警告」1件の計12件。Windows、Windows Server、Internet Explorer、Edge、OfficeとOffice ServicesおよびWeb Apps、ASP.NET Coreおよび.NET Core、Chakra Core、Adobe Flash Playerが影響を受ける。

【更新プログラムの内容】

＜緊急＞
・Windows 10/Windows Server 2016（Edgeを含む）：リモートコード実行の脆弱性
・Internet Explorer：リモートコード実行の脆弱性
・ChakraCore：リモートコード実行の脆弱性
・Adobe Flash Player：リモートコード実行の脆弱性

＜重要＞
・Windows 8.1/Windows Server 2012 R2：リモートコード実行の脆弱性
・Windows Server 2012：リモートコード実行の脆弱性
・Windows RT 8.1：リモートコード実行の脆弱性
・Windows 7/Windows Server 2008 R2：リモートコード実行の脆弱性
・Windows Server 2008：リモートコード実行の脆弱性
・Office関連ソフトウェア：リモートコード実行の脆弱性
・.NET CoreとASP.NET Core：特権昇格の脆弱性

＜警告＞
・SharePoint Enterprise Server 2016とProject Server 2013：特権昇格の脆弱性

　今回修正された脆弱性のうち、EdgeとInternet Explorerに影響するメモリ破損の脆弱性（CVE-2017-11827）、Internet Explorerに影響する情報漏えいの脆弱性（CVE-2017-11848）は、すでに一般公開されている。

　このほか、新たに「Win32/Wingbird」に対応した「悪意のあるソフトウェアの削除ツール」の更新バージョンが公開されている。

（2017/11/10 ネットセキュリティニュース）

【関連URL：マイクロソフト】
・セーフティとセキュリティセンター
https://www.microsoft.com/ja-jp/safety/default.aspx
・セキュリティ更新プログラムガイド
https://portal.msrc.microsoft.com/ja-jp/
・2017年11月のセキュリティ更新プログラム (月例)
https://blogs.technet.microsoft.com/jpsecurity/2017/11/15/201711-security-bulletin/

　国民生活センターは9日、不要になった品を梱包して業者に送付し査定、買い取りをしてもらう「宅配買取サービス」をめぐり、ウェブサイト等をきっかけにサービスを利用してトラブルになったという相談が増加しているとして注意を呼びかけた。

　同センターによると、2011年度に寄せられた相談は132件だったが、年々増加し、昨年度は314件に上った。今年度は9月末までの段階で251件の相談が寄せられており、昨年の同時期（132件）を大きく上回っている。

　契約当事者の年代は30歳代と40歳代で半数を占めているが、若年層からの相談も目立っている。送った商品は漫画本などの書籍類や、衣服類、DVDソフトやCDソフトが多かった。

　20歳代の女性は今年6月、インターネットで買い取り業者を検索し、期間限定で買い取り価格アップなどと記載があるサイトに、未開封、未展示のフィギュア4点の買い取り査定を申し込んだ。目安の価格が9000円になったので品物を送付したところ、実際の入金額は1000円強だったという。

　40歳代の女性は昨年5月、査定に不満があれば商品を送り返してくれるという業者をネットで見つけ、洋服やおもちゃ等を10箱送付。その後1か月連絡がないので問い合わせたところ、「2度電話をしたが出なかったので商品は処分した。全商品査定が0円だった」と言われたという。

　ほかに、中古本の査定額がその業者のサイトにあった目安の買い取り額より安かったため、返却を申し出たら、送料9000円を負担するよう言われたというケース、古本を査定に出したところ結果は0円で、「返送」にも「処分」にも費用を請求する取引条件だと言われたというケースや、着物を送ったが査定額の連絡が来ず、電話もつながらないというケースなどがある。

　国民生活センターは、宅配買い取りサービスは比較的新しいサービスであり、利用にあたっては注意が必要だとして、消費者に以下をアドバイスしている。

・宅配買い取りに向く商品と向かない商品がある。「処分したいが廃棄するのはもったいない」という商品の処分や査定には便利だが、思い入れの強いものや、自分が売りたい価格が決まっているものには不向きと思われる。

・一見高額で買い取られると思わせる表示があっても、条件を細かく確認する。即断せず、他の事業者のウェブサイト等にも目を通すなどして取引条件をよく確認する。特に、査定価格に納得がいかなかった際の返送料を確認しておく。

・送付する商品の記録を作っておく。

・トラブルにあった際には消費生活センターに相談する。消費者ホットライン（局番なしの188）に電話すると、最寄りの消費生活センター等を案内してもらえる。

　なお、同センターでは、「『宅配買い取り』の利用前にチェックすること」というチェックリストを公開している。下記関連URLの「報告書本文」末尾に掲載されている。

（2017/11/10 ネットセキュリティニュース）

【関連URL】
・宅配買い取りサービスのトラブルが増加しています！－段ボールひと箱分でも数十円！？「手軽に高額査定」のはずが…－（国民生活センター）
http://www.kokusen.go.jp/news/data/n-20171109_1.html
・報告書本文[PDF]（国民生活センター）
http://www.kokusen.go.jp/pdf/n-20171109_1.pdf
・消費者ホットライン 案内チラシ[PDF]（消費者庁）
http://www.caa.go.jp/region/pdf/150624_kouhyou_1.pdf

　消費者庁と東京都は10月30日、「あなたの写真が今すぐお金に変わる」「3日以内に3万円」などとうたって情報商材を販売し、さらに有料の特別コースへの勧誘を執拗に行うなどしていた「株式会社アイデア」（本店所在地：東京都渋谷区）について、不適正な取引行為を確認したとして消費者に注意を呼びかけた。

■「カシャカシャビジネス」で簡単に稼げるとアピール

　注意喚起によると、アイデアは「カシャカシャビジネス」というサイトを開設し、SNSなどで同サイトへの誘導を行っていた。サイトには「月収200万円以上稼いでいる人もいます」「写真を撮ってそれを送る。いたって簡単たったそれだけ」「既に1万人以上が実証済み」などと記載。写真を撮ってインターネットにアップするだけで簡単にお金が稼げるかのように見せかけて消費者の関心を引き、「カシャカシャブック」という解説書（PDFファイル）を2万円で購入するよう誘っていた。

■「カシャカシャブック」→「電話サポート」→「特別コース」と誘引

　カシャカシャブックには、「3日間でインスタグラムのフォロワーを●●人以上集めた方に、現金3万円をプレゼント」などと書かれており、詳細を知るためには電話サポートを受けなければならない。電話では、「カシャカシャビジネスは写真買取業者と連携を取っている。業者が欲しい写真を教えるので、その写真をインスタグラムに載せれば業者が買い取ってくれる」などと説明した上で、7～150万円を払って特別コースに入ると「インスタアップ」という集客ツール（アプリケーション）を使えるので稼ぎやすくなるとして、執拗にコース加入を勧誘していた。

　同庁と都によると、このツールを使うとインスタグラムのフォロワーは増やしやくなるものの、写真を購入するかどうかは個々の閲覧者の判断であるため、実際にはカシャカシャビジネスは誰もが簡単に稼げるような仕組みにはなっていないという。

■相談者の平均契約額は約27万円、最高額100万円

　同社のサイトには「カシャカシャブック通常価格10万円→今だけ会員様特別価格2万円」などと記載されていたが、過去にカシャカシャブックが10万円で販売されていた事実はなかった。さらに、サイトやカシャカシャブックには実際に稼げているとする人の体験談が多数記載されていたが、すべて虚偽のものだった。

　10月31日付の毎日新聞によると、同社は今年1月以降、全国の4800人と契約し、8億円を売り上げていたという。都にはこの件について、昨年10月から今年10月26日までの間に23件の相談が寄せられていた。契約者の平均年齢は約47.9歳で、26歳から82歳までと幅広い。平均契約額は約27.4万円で、最高額は100万円だった。

　アイデアの代表者は廃業する旨を申し立てており、カシャカシャビジネスのサイトは8月31日をもって閉鎖されている。ただし、10月18日現在、同社の商業登記については解散登記も清算人選任登記もなされていないという。

■「情報商材」の罠に注意、被害は今後も広がる恐れ

　消費者庁は情報商材について、中身を見るまで内容が分からないことが多く、実際に得られる情報が想定していたものとは異なる場合、トラブルになることがあると指摘。「誰でも簡単に稼げます」「稼げなかったら返金します」などと消費者に都合の良いことだけを強調する事業者には、特に注意が必要だとしている。

　また、「詳しくは電話でお問い合わせください」などと記載して、電話をかけてきた消費者に言葉巧みに他の商品やサービスを購入するよう執拗に勧誘し、その支払いを迫る事業者も存在するとして、お金を支払う前に商品やサービスの内容を書面等でしっかり確認してほしいとしている。

　都は、アイデア以外にも情報商材に関する相談は数多く寄せられており、今後別の事業者が今回の事案と同様の手口で消費者被害を引き起こす蓋然性が高いとして、注意を呼びかけている。昨年度、都に寄せられた情報商材に関する相談は442件。今年度は10月26日の段階ですでに370件となっており、今後増加する可能性があるという。

（2017/11/09 ネットセキュリティニュース）

【関連URL】
・「あなたの写真が、今すぐお金に変わる！」などとうたい消費者に情報商材等の購入を持ちかけ、多額の金銭を支払わせる事業者に関する注意喚起[PDF]（消費者庁）
http://www.caa.go.jp/policies/policy/consumer_policy/information/pdf/consumer_policy_information_171030_0001.pdf
・「写真を撮るだけ3日で3万」などと広告を掲載して情報商材を販売する事業者に注意してください（東京都）
http://www.metro.tokyo.jp/tosei/hodohappyo/press/2017/10/30/08.html
・別添資料（東京都）
http://www.metro.tokyo.jp/tosei/hodohappyo/press/2017/10/30/08_01.html

　実在する会社を装い、メール内のリンクをクリックさせてマルウェア（ウイルス）に感染させようとする攻撃が9月下旬から断続的に続いているが、6日から7日にかけてまた、複数パターンのメールがばらまかれた。

　今回の攻撃では、佐川急便、楽天、ジェーシービー、バリューコマースの名前が使われた。送信日と件名は以下の通り。これらのメールの全文は、日本サイバー犯罪対策センター（JC3）のサイトで見ることができる。

　11/06　： [佐川急便]　請求内容確定のご案内
　11/06　：[楽天]会員情報変更のお知らせ
　11/07　：JCBカード2017年11月10日分お振替内容確定のご案内
　11/07　：クレジットカード決済が完了しました

　「クレジットカード決済が完了しました」という件名のメールは、バリューコマースと、同社が提供するサービス「ストアマッチ」をかたったものだ。

　それぞれのメールには「詳しくはこちら」「お問い合わせ」「サポートへのログインはこちら」など、メールの内容に合わせた複数のリンクが記載されており、これをクリックすると、ファイル拡張子が「.zip」の「圧縮フォルダ形式」のファイルがダウンロードされる。

　zipファイルの中身は「支払い情報をチェック.DOC.js」または「料金明細をチェック.DOC.js」という名前のJavaScriptファイルで、開くとプログラムが実行され、外部からマルウェア本体をダウンロードしパソコンに感染させてしまう。

　メールの宛先に複数のアドレスが列挙されていることと、リンク先が各企業とは無関係なサイトで、意味不明な英数字が連なる長いURLであることが、怪しいと気付くためのポイントだ。また、メールはほぼ適正な日本語で書かれているが、よく見ると「こちらをクリックして、ご請求を詳しく説明してください」「ログインの詳しくはこちら」「詳しくの情報はこちら」といった微妙な表現も使われている。

■攻撃はバンキングマルウェアUrsnifへの感染が目的

　一連のマルウェアメールは、バンキングマルウェア「Ursnif」（アースニフ：別名Gozi、ISFB、DreamBotなど）への感染を目論んで送り付けられているとみられる。Ursnifは金融機関関連の情報を盗み取るなどの機能がある不正プログラムで、感染した端末を使用してインターネットバンキングを利用すると、銀行口座から不正送金が行われてしまうおそれがある。下記関連URLにあるJC3のサイト「インターネットバンキングマルウェア『Gozi』による被害に注意」で、被害にあわないための対策が紹介されている。

　Ursnifとその攻撃活動については、IBMが7日に情報を公開している。同社のセキュリティ研究開発チームX-Forceによると、Ursnifは日本において過去5年間で最も活発なマルウェアだという。Ursnifを送り込むためには、日本では、金融機関やクレジットカード会社と偽ってメールを送り付ける手口が使われている。メールには、マルウェアが組み込まれたOfficeファイルを添付するタイプと、今回のようにメール内のリンクをクリックさせるタイプがある。X-Forceのデータでは、メールの数は1週間周期で跳ね上がり、通常、火曜日の夜にピークがあるという。また、実際の攻撃行動は、木曜日と金曜日にピークを迎え、週末から週明けの数日間は比較的静かになるという。

　なお、標準状態のWindowsは、ネットからダウンロードした.jsファイルを開こうとすると、「このファイルを開きますか？」という「セキュリティの警告」を表示するようになっている。ここでキャンセルすれば感染には至らないが、環境によっては問い合わせなしで実行してしまうので注意が必要だ。詳しくは、下記「関連記事」の「セキュリティトピックス」で解説しているのでご覧いただきたい。

（2017/11/08 ネットセキュリティニュース）

【関連URL】
・佐川急便を装った迷惑メールにご注意ください（佐川急便）
http://www2.sagawa-exp.co.jp/whatsnew/detail/721/
・楽天を装った不審なメールにご注意ください。（会員情報変更メール）（楽天）
https://ichiba.faq.rakuten.co.jp/app/answers/detail/a_id/42754
・JCBを装った不審なメールにご注意ください（ジェーシービー）
http://www.jcb.co.jp/news/20171107
・利用した覚えのないご請求について（バリューコマース）
https://www.valuecommerce.co.jp/news/c_news/4266/
・インターネットバンキングマルウェアに感染させるウイルス付メールに注意（JC3）
https://www.jc3.or.jp/topics/virusmail.html
・インターネットバンキングマルウェア「Gozi」による被害に注意（JC3）
https://www.jc3.or.jp/topics/gozi.html
・日本に迫る金融系マルウェアUrsnif 攻撃キャンペーンの波（IBM）
https://www.ibm.com/blogs/security/jp-ja/ursnif-campaign-waves-breaking-on-japanese-shores/

　NTTドコモが提供するモバイルルーター「Wi-Fi STATION L-02F」に、バッファオーバーフローの脆弱性があることが分かった。ソフトウェアが最新版になっていない場合は早急にアップデートを行う必要がある。

　「Wi-Fi STATION L-02F」は、2014年2月に発売された製品。脆弱性対策情報ポータルサイトのJVNで6日に公開された情報によると、ソフトウェアのバージョンが「L02F-MDM9625-V10h-JUN-23-2017-DCM-JP」およびそれ以前の場合、脆弱性の影響を受ける。

　細工されたパケットを受信した際にバッファオーバーフローが発生し、結果としてシステム権限で任意のコードが実行される可能性があるという深刻な問題で、IPAも6日、攻撃が行われた場合の影響が大きい問題であるとしてアップデートを呼びかけている。

　ドコモによると、ソフトウェアが9月25日公開の最新版になっていれば、脆弱性の影響を受けることはない。最新版のバージョンは「L02F-MDM9625-V10i-SEP-08-2017-DCM-J」。バージョンの確認方法とアップデートの手順については、関連URLに記載したドコモのサイトで確認していただきたい。同製品は自動更新に対応していないため、手動でアップデートを行う必要がある。

（2017/11/07 ネットセキュリティニュース）

【関連URL】
・「Wi-Fi STATION L-02F」をご利用のお客様へ、ソフトウェアアップデート実施のお願い（NTTドコモ）
https://www.nttdocomo.co.jp/info/notice/page/170710_01_m.html
・Wi-Fi STATION L-02Fの製品アップデート情報（NTTドコモ）
https://www.nttdocomo.co.jp/support/utilization/product_update/list/l02f/index.html
・JVN#23367475 Wi-Fi STATION L-02F にバッファオーバーフローの脆弱性（JVN）
https://jvn.jp/jp/JVN23367475/index.html
・「Wi-Fi STATION L-02F」にバッファオーバーフローの脆弱性(JVN#23367475)（IPA）
https://www.ipa.go.jp/security/ciadr/vul/20171106-jvn.html

　グーグルは7日、「Google Chrome 62」の最新安定版「62.0.3202.89」を公開した。対象となるのは、Windows、Mac、およびLinux。

　最新版では、悪用されると任意のコードが実行されるおそれのある、深刻な脆弱性2件が修正されている。1件はWeb向けの新しい通信規格「QUIC」（Quick UDP Internet Connections）でスタックベースのバッファオーバーフローが起こる問題で、深刻度は4段階中で最も高い「最高」。もう1件はJavaScriptエンジン「V8」が解放したメモリーを使用してしまう問題で、深刻度は2番目に高い「高」。どちらも外部の研究者から指摘を受け、修正に至った。

　最新版への更新は自動的に行われるほか、メニューの[Google Chromeについて]を選択すると、ただちに最新版の確認とアップデートが行える。Mac版はChromeメニューから、Windows版は右端の設定アイコン→[ヘルプ]と進むと選択できる。最新版はブラウザの再起動後に利用できるようになるので、ブラウザを起動したままでいる方は注意していただきたい。

（2017/11/07 ネットセキュリティニュース）

【関連URL】
・Stable Channel Update for Desktop [英文]（Google Chrome Releases）
https://chromereleases.googleblog.com/2017/11/stable-channel-update-for-desktop.html

　文書ファイルを悪用したマルウェア感染に、先月からDDE（本文中で解説）を悪用した新たな手口のものが見られるようになった。罠を仕掛けた文書ファイルは、国内のユーザーにもばらまかれている、ランサムウェアのキャンペーンメールから見つかっており、操作を誤るとパソコン内のファイルが暗号化されてしまうおそれがある。

　迷惑なこのキャンペーンメールでは、これまでJavaScriptファイル（.js）などのプログラムを、圧縮ファイル内に格納したものがよく使われていた。中のプログラムを開くと、外部からマルウェア本体をダウンロードし実行する手口だ。

　これに代わり10月中旬頃からは、Microsoft Wordの文書ファイル（.doc）を添付したものが見られるようになった。電気通信大学情報基盤センターのWebサイトで実際の事例が紹介されている。英文メールなので、開くことなくゴミ箱直行となるケース、迷惑メールフィルターがブロックしているケースも多いだろう。誤って文書ファイルを開いてしまっても、ただちに感染してしまうわけではないが、操作を誤ると感染活動が始まるので注意したい。今回の手口では、他の文書ファイルとは異なる警告メッセージが表示されるので、改めて解説しておく。

■文書ファイルを使う手口

　マルウェアに感染させる文書ファイルに仕掛けられた罠には、マクロやスクリプトと呼ばれるアプリのプログラミング機能を使用したものや、文書内に他の文書やスクリプト、ショートカットなどを埋め込んだものがある。いずれも、外部からマルウェア本体をダウンロードして実行するのが、細工した文書ファイルの役割だ。先月から頻発している新手口は、同様のことをWordの文書内に埋め込んだDDEフィールドで行う。

　DDE（Dynamic Data Exchange）は、アプリケーション間を連携するWindowsの仕組みのひとつで、アプリから特定のアプリにコマンドを送ったり、応答を受け取ったりすることができる。マルウェアメールに添付されていたWordの文書ファイルには、開いた際に自動的に他のファイルからデータを取得して更新する、DDEAUTOフィールドが埋め込まれており、アプリにコマンドを送る要領で、Windowsの標準機能「PowerShell」を使ってマルウェア本体をダウンロードして実行するコマンドを発行していた。

■感染には「ユーザーの関与」が必須

　WordやExcelには、インターネットからダウンロードしたファイルやメールの添付ファイルなどの外部から取得したファイルを開く際に、ほとんどの機能を無効にした「保護ビュー」という機能があり、ファイルを安全に開くようになっている。このモードでは、閲覧以外のほとんどすべての機能が無効なので、マクロや埋め込み、DDEは機能しない。

　保護ビューで開いた文書には、メッセージバーに「注意－インターネットから入手したファイルは、ウイルスに感染している可能性があります。編集する必要がなければ、保護ビューのままにしておくことをお勧めします」というメッセージが表示される。「編集を有効にする」をクリックすると、保護ビューが解除されるので注意していただきたい。安全であることが分かっている場合以外は、解除してはいけない。

　文書内にマクロが仕掛けられている場合は、さらに「セキュリティの警告」が表示される。マクロは、「コンテンツの有効化」をクリックしなければ実行されず、感染には至らない。今回使用しているDDEの場合には、「この文書には、他のファイルへのリンクが含まれています。リンクされたファイルのデータでこの文書を更新しますか？」というダイアログボックスが表示される。「いいえ」を選択すれば、更新を行わないので感染することはない。

　ここで「はい」をクリックすると、DDEを使ってフィールドを更新しようとするが、データは取得できず、「遠隔データ（○○○）はアクセスできません。アプリケーション△△△を起動しますか？」というダイアログボックスが表示される。△△△は起動するアプリ名、○○○はアプリに渡すコマンドだ。ここで「はい」をクリックしてしまうと、感染活動を行うコマンドが実行される。「いいえ」を選択すれば阻止できる

■自動更新の無効化と手動更新の方法

　文書ファイルを使った他の手口と同様、DDE攻撃もまたユーザーが数回クリックしなければ感染活動は始まらない。それでも心配だという方は、フィールドの自動更新を無効にしておくこともできる。

　Wordのオプションを開き、「詳細設定」を選択してスクロールして行くと「全般」の欄に「文書を開いたときにリンクを自動的に更新する」という項目がある。このチェックボックスのチェックを外しておくと、自動更新は行われない。更新したい場合には、フィールドを選択して[F9]を押すか、マウスの右クリックメニューから「フィールドを更新」を選択し、手動で更新する。フィールドが複数ある場合には、[Ctrl]＋[A]で全フィールドを選択してから更新を実行すると、まとめて更新できる。

　なお、ソフォスの記事によると、リッチテキスト形式（RTF）のメールや予定表の招待状を使用してOutlookにDDE攻撃を仕掛けることができる可能性があるという。Outlookの場合には、保護ビューの解除ステップはないが、残り2種類のダイアログボックスが表示されるようなので、「いいえ」を選択すれば攻撃を阻止できる。

（2017/11/06 ネットセキュリティニュース）

【関連URL】
・マクロを必要としない Microsoft Office の DDE 攻撃（ソフォス）
https://sophos-insight.jp/blog/20171030
・Microsoft Outlook DDE (別名 DDEAUTO) 攻撃（ソフォス）
https://community.sophos.com/kb/ja-jp/127711

＜事例紹介：電気通信大学情報基盤センター＞
【2017/10/19 20:20】ばらまき型攻撃メールに関する注意喚起
https://www.cc.uec.ac.jp/blogs/news/2017/10/20171019malwaremail.html
【2017/10/31 20:15】ばらまき型攻撃メールに関する注意喚起
https://www.cc.uec.ac.jp/blogs/news/2017/10/20171031malwaremail.html
【2017/11/1 9:55】ばらまき型攻撃メールに関する注意喚起
https://www.cc.uec.ac.jp/blogs/news/2017/11/20171101malwaremail.html
【2017/11/3 3:10】ばらまき型攻撃メールに関する注意喚起
https://www.cc.uec.ac.jp/blogs/news/2017/11/20171103malwaremail.html

 　アップルは1日、深刻な脆弱性を修正した「macOS High Sierra 10.13.1」と「セキュリティアップデート2017-001 Sierra」、「セキュリティアップデート2017-004 El Capitan」、「Safari 11.1」、「iOS 11.1」、「iTunes for Windows 12.7.1」、「iCloud for Windows 7.1」を公開した。

　最新版へのアップデートは、Macは自動更新や通知をクリックするか、手動で「App Store」を確認する。Appleメニューから[App Store]を選択し、ツールバーの[アップデート]ボタンをクリックすると、利用可能なアップデートが表示される。

　iPhoneやiPadなどのiOS端末は、[設定]アイコンから[一般]→[ソフトウェア・アップデート]と進むか、端末をパソコンに接続し、iTunes経由で行う。
　Windows用のソフトウェアは、iTunesやiCloudと一緒にインストールされている「Apple Software Update」で行う。

■macOS High Sierra 10.13.1、セキュリティアップデート2017-001 Sierra、セキュリティアップデート2017-004 El Capitan

　Mac用OSの最新版「macOS High Sierra 10.13.1」では、新しい絵文字の追加や不具合の修正、パフォーマンスの改善に加え、CVEベースで99件（同梱のSafariを除く）の脆弱性が修正されている。修正された脆弱性には、マルウェア（ウイルス）感染に悪用されるおそれのあるコード実行の脆弱性などの、深刻な問題が含まれている。
　「セキュリティアップデート2017-001 Sierra」「セキュリティアップデート2017-004 El Capitan」では、macOS High Sierra 10.13、および10.13.1と共通の問題を含む脆弱性が、Sierra用では141件、El Capitan用では47件修正されており、これらにも深刻な問題の修正が含まれている。
　なお、今回のアップデートでは、深刻度はそれほど高くないもののメディアなどで話題になっていた、KRACKと呼ばれている無線LAN（Wi-Fi）の脆弱性（関連記事参照）も修正されている。

＜関連URL：アップル＞
・macOS High Sierra 10.13.1, Security Update 2017-001 Sierra, and Security Update 2017-004 El Capitan
https://support.apple.com/ja-jp/HT208221

■Safari 11.1

　WebブラウザSafariの最新版「11.1」では、WebKitの脆弱性13件と、アドレスバーが偽装されるおそれのある問題や「WebKit」で任意のコードが実行されるおそれのある問題など、計15件の脆弱性が修正されている。
　WebKitは、Webページを描画するレンダリングエンジンのこと。脆弱性が悪用されると、細工されたWebページを閲覧するだけで、マルウェアに感染してしまうおそれがある。
　アップデートの対象となるのは、OS X El Capitan（v10.11.6）とmacOS Sierra（v10.12.6）。macOS High Sierra 10.13については、最新の10.13.1に同梱されている。

＜関連URL：アップル＞
・Safari 11.1
https://support.apple.com/ja-jp/HT208223

■iOS 11.1

　モバイル端末用OSの最新版「iOS 11.1」では、新しい絵文字の追加や不具合の修正、パフォーマンスの改善に加え、20件の脆弱性が修正されている。
　修正された脆弱性は、macOSおよびSafariと共通のコード実行の細工されたWebページを閲覧するだけでマルウェアに感染してしまうおそれがあるWebKitの脆弱性など16件と、iOS固有の問題4件。
　共通の問題には、KRACK脆弱性の修正も含まれている。固有の問題には、ロック画面で写真が閲覧できてしまうメッセージの問題や、非表示の通知内容を読み上げてしまうSiriの問題などの修正が含まれている。
　アップデートの対象となるのは、iPhone 5s以降、iPad mini 2以降、iPod touch第6世代以降。

＜関連URL：アップル＞
・About the security content of iOS 11.1
https://support.apple.com/ja-jp/HT208222

■Windows版「iTunes 12.7.1」「iCloud 7.1」

　iPhoneなどのiOS端末と連携するメディア管理・再生ソフトの「iTunes」と、同社のクラウドサービス「iCloud」のクライアントソフトには、Windows版も提供されている。これらは、Webページを描画するレンダリングエンジンにSafariやiOSと同じWebKitを使用しており、最新版の「iTunes 12.7.1 for Windows」と「iCloud for Windows 7.1」では、SafariやiOSと共通のWebKitの脆弱性13件が修正されている。
　アップデートの対象となるのは、Windows 7以降。

＜関連URL：アップル＞
・iTunes 12.7.1 for Windows
https://support.apple.com/ja-jp/HT208224
・iCloud for Windows 7.1
https://support.apple.com/ja-jp/HT208225

（2017/11/01 ネットセキュリティニュース）

 　昨年11月以来、毎日のように続いているLINEを装うフィッシングメールとサイトが、先週末にリニューアルした。これを受け、フィッシング対策協議会は30日、注意を呼び掛ける緊急情報を公開した。

　LINEのフィッシングは、不特定多数にメールを送り偽サイトへと誘導し、LINEのアカウント情報（メールアドレスとパスワード）と電話番号、SMSで送られて来る認証番号を入力させるもの。指示に従って操作すると、その場でLINEのアカウントを乗っ取られ、「友だち」に登録された知り合いに、コンビニ行って電子マネー「WebMoney」の購入を依頼するメッセージが送られる。自身のLINEが使えなくなってしまうだけでなく、騙された知り合いに金銭被害が及ぶおそれがあり、全国の都道府県警からも度々注意喚起が出ている。

　これまでに行われたLINEを装うフィッシングメールとフィッシングサイトの同時リニューアルは、偽サイトへと誘導する理由が変わり、偽サイトがそれに合わせたデザインに変更さてきた。アカウントが異常ログインされたので確認するよう促す初期型の「安全認証」は、今年5月にアカウントの変更申請が行われたので本人以外の操作なら申請を解除するよう促す「変更確認」メールになった。

　7月には、2段階パスワードを設置したので設定するよう促す「二段階パスワード設置」メールに変わった。この二段階パスワードは、偽サイト上では、いわゆる「秘密の質問と答え」として実装されており、その後メールが「アカウント保護の質問設定」という実態に合わせた内容に変更されている。

　今回のリニューアルでは、パスワード変更と生年月日登録を求める内容のメールに変わり、偽サイトもそれに合わせたデザインに変更されている。

■「パスワード変更」と「生年月日登録」を求める不自然な日本語メール

　30日までに確認されたメールの件名は、「LINEへのメールアドレス」「LINEアドレス」「LINEシステム配信」の3種類。文面はどれも同じで、次のような不自然な日本語の内容となっている。

　「システムのテストによりますと、あなたのアカウントのパスワードは簡単しすぎて、安全問題がらごさいます。すぐにパスワードを改正して、アカウントをログインするための二級必要パスワードとして、個人の生年月日を設置してください」（原文のまま引用）

　メールの差出人やリンクの偽装はこれまで通りだが、バリエーションが多いのが最近の特徴だ。特に差出人のメールアドレスに関しては、LINE公式に偽装したもののほかに、実在するいろいろな企業のメールアドレスが頻繁に使われている。

■「真のリンク先URL」は「非HTTPS接続」の中国ドメイン

　リンク先の長押し（スマートフォン）、またはリンク先にマウスポインタを重ねる（パソコン）方法で、「真のリンク先URL」を確認していただきたい。今年4月以降は、一貫して 中国のドメイン「.cn」を使用しており、大半が正規サイトを装った「www.line●●.cn」という形式のホスト名になっている。URLの先頭も、暗号化通信の「https:」ではなく、暗号化されない「http:」だ。

　不自然な日本語、無関係なメールアドレスとURL、非HTTPS接続と、怪しさ満載のメールだが、騙されてリンクをクリックしてしまうと、シンプルな公式サイトのログインページよりもさらに簡素化された偽のログインページが出現する。騙されてログインすると、メールにあった「新しいパスワード」と「生年月日」の入力を求めてくるのだが、間に紛れて「電話番号」の入力欄があり、これを入力しないと先に進めない。

　電話番号も入力して「次へ」をクリックすると、SMSで届いた認証番号の入力を求められる。同時に、指定した電話番号には公式からのSMSが届く。『認証番号を他人に教えるとアカウントが悪用される危険があります。本人確認を続ける場合、認証番号「●●●●」をLINEアプリで入力して下さい』という内容のSMSだ。

　攻撃者は、この認証番号の入力を求めているのだが、届いたSMSの警告通り、認証番号はLINEアプリで入力するものであり、決して他人に教えてはいけない。指示に従って認証番号を入力してしまうと、次の瞬間にLINEが乗っ取られ、自身のLINEは利用できなくなってしまう。LINEは、他の端末で同じアカウントを利用できないようになっているため、先に利用していた自分は追い出され、端末に保存された情報は全て削除されてしまう。

　ちなみにこのLINEのフィッシングでは、アカウントの移行手続きと同じ操作を行ってユーザーのLINEを乗っ取る。この操作は、その場で認証番号を受け取って端末を操作しなければならないため、攻撃者はフィッシングサイトの裏側で、リアルタイムで応対しているとみられる。そのような関係からか、LINEのフィッシングサイトは他のフィッシングサイトのような24時間営業ではなく、サイトにつながるのは朝から宵の口までとなっている。

（2017/11/01 ネットセキュリティニュース）

【関連URL】
・LINE をかたるフィッシング (2017/10/30)（フィッシング対策協議会）
https://www.antiphishing.jp/news/alert/line_20171030.html
・LINEを騙った連絡が届いた（LINEヘルプ）
https://help.line.me/?contentId=20000293