ネットセキュリティニュース

　モジラは30日、Webブラウザ「Firefox」の最新版「Firefox 58.0.1」を公開した。対象となるのは、Windows、Mac、Linux、Android。

　最新版では、ページを読み込めない場合があるWindows版の不具合や、ページの読み込みが遅くなる場合があるAndroid版の不具合が解消されたほか、デスクトップ用で任意のコードが実行されるおそれのある脆弱性1件が修正されている。

　深刻度は、4段階評価で最も高い「最高」。法人向けの延長サポート版「Firefox 52 ESR」およびAndroid版に関しては、この脆弱性は影響しない。

　デスクトップ用の最新版は、自動更新機能を通じて配布されているほか、今すぐ手動で更新することもできる。手動更新は、Windowsではメニューボタン「≡」をクリックし、[ヘルプ]→[Firefoxについて]を選択する。または、[Alt]キーを押してメニューバーを表示し、[ヘルプ]メニューの[Firefoxについて]を選択する。OS Xでは、Firefoxメニューの[Firefoxについて]を選択する。

　自動や手動で更新したデスクトップ版のFirefoxは、ブラウザの再起動後に最新版が利用できるようになるので、ブラウザを起動したままでいる方は注意されたい。

　Android用の最新版は、「Google Play」で配信されている。アプリの自動更新が有効に設定されている場合には、自動的に更新されるほか、「Google Play」の「マイアプリ＆ゲーム」で「アップデート」を表示すると、手動で更新できる。

（2018/01/31 ネットセキュリティニュース）

【関連URL：モジラ】
＜Firefox 58.0.1＞
・リリースノート（デスクトップ版）
https://www.mozilla.jp/firefox/58.0.1/releasenotes/
・リリースノート（Android版）
https://www.mozilla.org/firefox/android/58.0.1/releasenotes/
・Arbitrary code execution through unsanitized browser UI[英文]
https://www.mozilla.org/en-US/security/advisories/mfsa2018-05/

　年明け早々に明らかになったCPUに起因する情報漏えい問題「Meltdown & Spectre（メルトダウンとスペクタ）」への対応が迷走している。マイクロソフトは28日、実施した対策の一部を無効化するパッチ「KB4078130」を公開した。

　Meltdown & Spectreは、3件の脆弱性からなる。これら全てに対処するためには、Windows用の更新プログラム（パッチ）を適用するとともに、パソコンメーカーなどから提供される、マイクロコードのパッチを適用する必要がある。

　前者は、Windows Updateですでに提供済みだ。後者は、CPUメーカーが開発したCPU用のパッチで、パソコンメーカー各社が、BIOS（バイオス）アップデートなどの名で公開を進めていた。ところが、これを適用した一部のパソコンで、システムが突然再起動してしまう問題が相次ぎ、各社が公開済みのパッチを取り下げる事態となった。システムが突然再起動すると、未保存のデータは失われ、保存中の場合にはデータを破壊してしまうおそれがある。

　今回マイクロソフトが公開した「KB4078130」は、適用した3つの脆弱性の緩和策のうち、再起動問題の要因となっている1件、CVE-2017-5715 (Spectre Variant 2：ブランチ ターゲットのインジェクション）の緩和策を無効化する。BIOSアップデート後に再起動問題が発生している方は、「KB4078130」を利用するとよいかもしれない。BIOSアップデートを実施していない方や、実施したが問題は発生していないという方には無用だ。

　対象は、Windows 7/8.1/10のすべてのバージョンのWindowsで、Windows Updateカタログから手動でダウンロード・実行する。なお、レジストリの設定変更で無効化/有効化が行えるほか、BIOSのリカバリーや旧BIOSの再インストールなどの手段でパソコンのハードウェア側を以前の状態に戻すことでも、再起動問題に対処できる。問題を解決した新しいBIOSアップデートが提供されるまでの暫定措置として、検討していただきたい。

（2018/01/31 ネットセキュリティニュース）

【関連URL】
＜マイクロソフト＞
・Spectre、バリエーション 2 に対して対策を無効にする更新プログラム
https://support.microsoft.com/ja-jp/help/4078130/update-to-disable-mitigation-against-spectre-variant-2
・投機的実行のサイドチャネルの脆弱性から保護するための IT プロフェッショナル向け Windows クライアント ガイダンス
https://support.microsoft.com/ja-jp/help/4073119/protect-against-speculative-execution-side-channel-vulnerabilities-in
・ADV180002 | 投機的実行のサイドチャネルの脆弱性を緩和するガイダンス
https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/ADV180002
・Microsoft Update カタログ「KB4078130」
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4078130

＜パソコンメーカー＞
・東芝
http://dynabook.com/assistpc/info/2018/201801_icpu.htm
・パナソニック
http://askpc.panasonic.co.jp/security/vuln/18-001.html
・富士通
http://azby.fmworld.net/support/security/information/sca201801/
・ACER
https://jp.answers.acer.com/app/answers/detail/a_id/53163
・DELL
https://www.dell.com/support/article/jp/ja/jpbsd1/sln308587/
・HP
https://support.hp.com/jp-ja/document/c05872418
・Lenovo
https://support.lenovo.com/jp/ja/solutions/len-18282
・NEC
http://121ware.com/navigate/support/info/20180110_1/
・VAIO
https://solutions.vaio.com/3316

　実在する企業やサービスを装ったメールやSMSで偽のWebサイトに誘導し、ログイン情報やクレジットカード情報などを騙し取るフィッシングが、2017年の年末も毎日繰り返された。常態化しているアップル、アマゾン、LINEに加え、久しぶりに週末を狙ったクレジットカード会社を装うフィッシングが観測された。

　フィッシング対策協議会の2017年12月の月次報告によると、協議会に寄せられたフィッシング報告件数 (海外含む) は、1165件（前月比231件減）。ユニークなURL件数は565件（前月比138件減）。悪用されたブランド件数 (海外含む) は、24件（前月比5件増）。同協議会が出した緊急情報は、アップルとMUFGカードの2回だけだった。仮想通貨関連サービスの報告が引き続き来ているというが、告知は出ておらず詳細は不明だ。

　協議会の報告では、アップルを装うフィッシングしか言及していないが、アップル、アマゾン、LINEの3ブランドのフィッシングが、毎日のように繰り返される状況が12月も続いた。各ブランドのフィッシングメールが観測された日数（ネットの投稿などで受信日が確認できるもので、サイトの稼働確認ができないものも含む）は、アップルが28日間、アマゾンが22日間、LINEが20日間だった。

■アップルを装うフィッシング

　複数のグループがフィッシングメールをばらまいており、1日に数種類のメールが飛び交っている。12月に使われたメールの件名は27種類（微妙な違いは除外、以下同）、文面は29種類、同日の重複を除く28日間のメールののべ数は66種類だった。相変わらず数が突出しているものの、ひところに比べると報告はかなり減っている。

　12月のアップルのフィッシングメールに使われた主な件名は、「Appleからの領収書です」が13日間、「保護のため、Apple IDは自動的にロックされます」と「あなたのアカウントのAppleStore IDは一時停止されます」がそれぞれ6日間。協議会が緊急情報を出した「あなたのApple IDのセキュリティ質問を再設定してください。」は6番目に多い3日間だった。

　メールの内容は、偽の請求書の支払いをキャンセルさせようとするタイプと、不正アクセスやアカウントの確認を求めるタイプの2種類に大別される。誘導先のフィッシングサイトは、本物のApple IDの管理サイトやApple Storeのログインページを模したもので、それぞれデザインや項目の異なるタイプが数種類ずつある。いずれも、ロングイン後にクレジットカード情報などを入力させ騙し取ろうとする。

■アマゾンを装うフィッシング

　アップルほど多くはないが、こちらも複数のグループが仕掛けており、何パターンかのフィッシングメールと偽サイトが確認されている。12月に使われたメールの件名は18種類（微妙な違いは除外、以下同）、文面は8種類、同日の重複を除く22日間のメールののべ数は36種類だった。

　12月のアマゾンのフィッシングメールに使われた主な件名は、「Amazon.co.jpを利用していただきありがとうございます」が10日間、「新しい場所からの不審なログイン。」と「お客様のアカウントで疑わしいアクティビティを検出しました。」が3日間など。

　いずれも、不正アクセスやアカウントの確認を求める内容で、本物のログインページを模した偽サイトへと誘導してクレジットカード情報などを騙し取ろうとする。

■LINEを装うフィッシング

　アップルやアマゾンのフィッシングと違い、仕掛けているのは単独の攻撃グループで、ログイン情報と電話番号、認証コードを入力させてLINEを乗っ取ろうとする。乗っ取ったLINEに登録されている友だちにメッセージを送り、コンビニでプリペイドカードを購入させ、番号を送らせて騙し取ろうというのだ。

　20日間にばらまかれたフィッシングメールでは、類似を含む5種類の件名が使用された。同じものを何日か使いまわしており、古いものから順に「LINE Customer Care」（2日間）、「LINE Customer」（3日間）、「[LINE] Customer」（3日間）、「[LINE] 問題報告」（7日間）、「[LINE] 問題送信」（6日間）。

「最近アカウントが盗まれる事件が多くあり、当社はお客様のアカウントの安全を確保するために、二段階パスワードの設置いたしました。」（原文ママ）という文面で、リンク先で「二段階パスワード」設定するよう求める。

■クレジットカード会社を装うフィッシング

　最近のフィッシングは、クレジットカード情報の詐取を目的としたものが多い。先のアップルやアマゾンのフィッシングもそうだが、それ以前から続いているのが、クレジットカード会社を装うフィッシングだ。12月は、15日から「MUFGカード」や「三菱東京UFJ銀行」をかたるフィッシングメールが、22日からクレディセゾンの「Netアンサー」を装うフィッシングメールがばらまかれた。いずれも金曜日の夜からという週末を狙った攻撃で、注意喚起やサイト閉鎖が週明けになってからと、対応の遅れが気になった。それぞれのフィッシングについては、末尾の関連記事に詳しい。

■グーグルを装うフィッシング完全停止

　SMS（ショートメッセージ、ショートメールとも）を使い、2016年の夏ごろからグーグルの偽サイトに誘導するフィッシングを仕掛けていたグループの摘発が、2017年7月に報じられた。

　このグループが仕掛けていたグーグルを装うフィッシングは、クレジットカード情報の詐取とコンビニ決済を悪用した代金詐取を目的としたもので、毎日のように繰り返された攻撃も、ようやく終焉と思われた。ところが仲間が残っていたようで、8月には早くも再開してしまった。以前ほど高頻度ではないが、SMSのばらきは11月中旬まで断続的に続き、12月6日、残党1名の逮捕報道が流れた。一連のフィッシングでの逮捕者は計4名、被害総額は2000万円以上と見られている。その後SMSのばらまきは確認されておらず、ようやく完全停止したようだ。

（2018/01/30 ネットセキュリティニュース）

【関連URL：フィッシング対策協議会】
・2017/12 フィッシング報告状況
http://www.antiphishing.jp/report/monthly/201712.html
・MUFG カードをかたるフィッシング (2017/12/18)
https://www.antiphishing.jp/news/alert/mufgcard_20171218.html
・[更新] Apple をかたるフィッシング (2017/12/15)
https://www.antiphishing.jp/news/alert/apple_20171215.html

【関連記事：ネットセキュリティニュース】
・クレカ会員サービスの「ご登録確認」装うフィッシングに注意（2017/12/19）
・週末狙うクレカ会員サイトのフィッシングメールに注意――簡単に見分けるポイント（2017/12/25）
・11月の国内フィッシング事情――大手3社は常態化、仮想通貨関連サービス等でも観測（2017/12/21）
・グーグルを騙るフィッシング、仕掛け人の摘発でついに終焉（2017/07/28）

　グーグルは25日、「Google Chrome 64」の最新安定版「64.0.3282.119」を公開した。対象となるのは、Windows、Mac、およびLinux。Android版「64.0.3282.116」の公開も前日にアナウンスされており、Google Playを通じて順次更新できるようになる。

　最新版では、勝手に別のページに飛ばしてしまう「リダイレクト広告」のブロック機能や、サイト別に音声の再生を許可する機能などの新機能に加え、53件の脆弱性が修正されている。修正された脆弱性には、マルウェア（ウイルス）感染に悪用されるおそれのあるメモリーがらみの問題などの、危険度の高い脆弱性が複数含まれている。また、「Meltdown & Spectre（メルトダウンとスペクタ）」と呼ばれている、CPUの設計に起因する情報漏えい問題に対する攻撃の緩和策も導入されているという。

　最新版への更新は自動的に行われるほか、メニューの[Google Chromeについて]を選択すると、ただちに最新版の確認とアップデートが行える。Mac版はChromeメニューから、Windows版は右端の設定アイコン→[ヘルプ]と進むと選択できる。

　最新版はブラウザの再起動後に利用できるようになるので、ブラウザを起動したままでいる方は注意していただきたい。

（2018/01/25 ネットセキュリティニュース）

【関連URL：グーグル】
・Stable Channel Update for Desktop[英文]
https://chromereleases.googleblog.com/2018/01/stable-channel-update-for-desktop_24.html
・Chrome for Android Update[英文]
https://chromereleases.googleblog.com/2018/01/chrome-for-android-update.html

　モジラは24日、Webブラウザ「Firefox」の最新版「Firefox 58.0」を公開した。対象となるのは、Windows、Mac、Linux、Android。法人向けの延長サポート版（ESR）「52.6」も公開されている。

　最新版では、レンダリング処理の改良による大幅なパフォーマンスの改善やスクリーンショット機能の改良などに加え、32件の脆弱性が修正されている。

　修正された脆弱性は、深刻度が4段階評価で最も高い「最高」が4件、次に高い「高」が12件、「中」が13件、「低」が3件。悪用されると任意のコードが実行されるおそれのある、メモリーがらみの危険な脆弱性の修正が複数含まれている。

　ESR 52.6では、58と共通の「最高」2件と「高」7件、「中」1件と、ESR版固有の「高」1件の計11件の脆弱性が修正されている。

　デスクトップ用の最新版は、自動更新機能を通じて配布されているほか、今すぐ手動で更新することもできる。手動更新は、Windowsではメニューボタン「≡」をクリックし、[ヘルプ]→[Firefoxについて]を選択する。または、[Alt]キーを押してメニューバーを表示し、[ヘルプ]メニューの[Firefoxについて]を選択する。OS Xでは、Firefoxメニューの[Firefoxについて]を選択する。

　自動や手動で更新したデスクトップ版のFirefoxは、ブラウザの再起動後に最新版が利用できるようになるので、ブラウザを起動したままでいる方は注意されたい。

　Android用の最新版は、執筆時点ではまだ配信されていないが、準備が整い次第「Google Play」で配信される予定。アプリの自動更新が有効に設定されている場合には、自動的に更新されるほか、「Google Play」の「マイアプリ＆ゲーム」で「アップデート」を表示すると、手動で更新できる。

（2018/01/24 ネットセキュリティニュース）

【関連URL：モジラ】
＜Firefox 58.0＞
・リリースノート（デスクトップ版）
https://www.mozilla.jp/firefox/58.0/releasenotes/
・リリースノート（Android版）
https://www.mozilla.org/en-US/firefox/android/58.0/releasenotes/
・Security vulnerabilities fixed in Firefox 58[英文]
https://www.mozilla.org/en-US/security/advisories/mfsa2018-02/

＜Firefox ESR 52.6＞
・リリースノート
https://www.mozilla.org/en-US/firefox/52.6.0/releasenotes/
・Security vulnerabilities fixed in Firefox ESR 52.6[英文]
https://www.mozilla.org/en-US/security/advisories/mfsa2018-03/

　アップルは7日、深刻な脆弱性を修正した「macOS High Sierra 10.13.3」と「セキュリティアップデート2018-001 Sierra」、「セキュリティアップデート2018-001 El Capitan」、「Safari 11.0.3」、「iOS 11.2.5」、「iTunes 12.7.3 for Windows」「iCloud for Windows 7.3」を公開した。

　最新版へのアップデートは、Macは自動更新や通知をクリックするか、手動で「App Store」を確認する。Appleメニューから[App Store]を選択し、ツールバーの[アップデート]ボタンをクリックすると、利用可能なアップデートが表示される。

　iPhoneやiPadなどのiOS端末は、[設定]アイコンから[一般]→[ソフトウェア・アップデート]と進むか、端末をパソコンに接続し、iTunes経由で行う。
　Windows用のソフトウェアは、iTunesやiCloudと一緒にインストールされている「Apple Software Update」で行う。

■macOS High Sierra 10.13.3、セキュリティアップデート2018-001（Sierra/El Capitan）

　Mac用OSの最新版「macOS High Sierra 10.13.3」では、CVEベースで13件（同梱のSafariを除く）の脆弱性が修正されている。修正された脆弱性には、マルウェア（ウイルス）感染に悪用されるおそれのあるコード実行の脆弱性や、細工したテキストメッセージを処理するとクラッシュしてしまう問題など、深刻な問題が含まれている。
　「セキュリティアップデート2018-001」では、以下の脆弱性が修正されており、これらにも深刻な問題の修正が含まれている。macOS Sierra（v10.12.6）用がHigh Sierra 10.13.2と共通の脆弱性8件を含む9件。El Capitan（v10.11.6）用が共通の脆弱性4件を含む5件。
　Sierra/El Capitan固有の修正となった1件は、メルトダウンと呼ばれているCPUに起因する情報漏えい問題に対処するもの。High Sierraは、昨年12月のアップデートでこの問題に対処していた。

＜関連URL：アップル＞
・macOS High Sierra 10.13.3, Security Update 2018-001 Sierra, and Security Update 2018-001 El Capitan
https://support.apple.com/ja-jp/HT208465

■Safari 11.0.3

　macOS High Sierraに同梱されているWebブラウザSafariの最新版「11.0.3」が、macOS SierraとEl Capitan用に提供されている。
　最新版では、Webページを描画するレンダリングエンジン「WebKit」の脆弱性3件が修正されている。脆弱性が悪用されると、細工されたWebページを閲覧するだけで、マルウェアに感染してしまうおそれがある危険な問題だ。

＜関連URL：アップル＞
・Safari 11.0.3
https://support.apple.com/ja-jp/HT208475

■iOS 11.2.5

　モバイル端末用OSの最新版「iOS 11.0.3」では、High SierraおよびSafariで修正された脆弱性14件を含む16件の脆弱性が修正されている。マルウェア（ウイルス）感染に悪用されるおそれのある深刻な問題や、細工したテキストメッセージでクラッシュしてしまう問題の修正も含まれている。iOS固有の問題2件は、ヘッドフォンやApple Watchなどのワイヤレス接続に利用しているBluetoothの問題で、これらも任意のコードが実行されるそれがある深刻なものだ。
　アップデートの対象となるのは、iPhone 5s以降、iPad mini 2以降、第6世代のiPod touch。

＜関連URL：アップル＞
・iOS 11.2.5
https://support.apple.com/ja-jp/HT208463

■Windows用iTunes 12.7.3、iCloud 7.3

　アップルがWebページの描画に使用しているレンダリングエンジン「Webkit」は、Windows版のiTunesやiCloudにも使われており、それぞれWindows用の最新版が提供されている。macOSやSafari、iOSで修正されたWebKitの脆弱性は3件あり、Windows版では、そのうちの2件が修正されている。脆弱性が悪用されると、細工されたWebページを閲覧するだけで、マルウェアに感染してしまうおそれがある危険な問題だ。

＜関連URL：アップル＞
・iTunes 12.7.3 for Windows
https://support.apple.com/ja-jp/HT208474
・iCloud for Windows 7.3
https://support.apple.com/ja-jp/HT208473

（2018/01/24 ネットセキュリティニュース）

　年末からしばらく途絶えていたボットネットを使ったマルウェアメールの拡散が、再び活発化している。ランサムウェアを拡散するボットネットが11日から、不正送金マルウェアを拡散するボットネットが16日から再始動し、メールのばらまきを続けている。

　ボットネットは、マルウェア（ウイルス）を使って乗っ取った多数のパソコンをネットワーク化したもので、外部から操り、さまざまなサイバー攻撃を仕掛ける。迷惑メールの配信もその悪行のひとつで、ランサムウェアを拡散する英文メールや、不正送金マルウェアを拡散する日本語メールなどが、断続的に国内のユーザーの元に届いている。国内のマルウェアメールのばらまきに使われているボットネットについては、末尾の関連URLにあるラックの「サイバー救急センターレポート 第1号」に詳しい。

■ランサムウェアの拡散メール

　ランサムウェアは、感染したパソコンのファイルを暗号化するなどしてシステムを人質に取り、復旧するために身代金の支払いを要求するマルウェアのこと。英文メールや添付ファイルのみのメールとして、国内のユーザーの元にも頻繁に届いている。

　先月29日の「Scan」という件名のメールを最後にしばらく停止していたが、今月11日から「Document Noランダムな数字」や「Unpaid invoice [ID:ランダムな数字]」などの件名で、ばらまきが再開している。添付した拡張子「.7z」などの圧縮フォルダ形式のファイルの中に、拡張子「.vbs」などのスクリプトファイルを入れてばらまくことが多く、スクリプトファイルを実行すると、外部からマルウェア本体をダウンロードして来て感染してしまう。
　感染するのはWindowsのみだが、標準状態のWindowsは7Z形式に対応していないので、添付ファイルを開くことができない。「Lhaplus」などの圧縮解凍ソフトをインストールしている場合には、添付ファイルを開いて中身を警告なしで実行してしまうことがあるので、注意していただきたい。

■不正送金マルウェアの拡散メール

　不正送金マルウェアを拡散するメールは、日本サイバー犯罪対策センター（JC3）のサイトや警視庁のTwitterで逐次報告されており、JC3のサイトで実際に送られたメールを見ることができる。「Ursnif」や「DreamBot」と呼ばれるマルウェアに感染させようとするメールで、感染するとネットバンキングなどの利用時などにアカウント情報を盗まれ、不正送金を行われるおそれがある。メールは日本語で、ファイルを添付したタイプとリンクをクリックさせてダウンロードさせるタイプとがある。実在する企業を装う本物のメールそっくりの精巧なものもあるので、騙されないよう注意していただきたい。

　添付ファイル型は、マイクロソフトエクセルの文書ファイルなどが添付されていることが多く、開いて一定の操作を行うと外部からマルウェア本体をダウンロードして来て感染してしまう。添付型のメールは、先月27日に「12月度発注書送付」などの件名でばらまかれたメールが最後で、年明けはまだ確認されていない。防御方法などは末尾に挙げた関連記事（セキュリティトピックス）の『危険な「添付ファイル」――感染を防ぐ基本設定、誤開封後の対処法』を参照していただきたい。

　ダウンロード型は、メールのリンクをクリックすると、拡張子「.js」のスクリプトファイルか、それを入れた拡張子「.zip」の圧縮フォルダ形式のファイルがダウンロードされる。スクリプトファイルを実行すると、外部からマルウェア本体をダウンロードして来て感染してしまう仕掛けだ。このタイプは、先月29日の楽天カードを装う「カード利用のお知らせ」という件名のメールを最後にしばらく停止していたが、今月16日に再開。同じ件名でほぼ同じ内容のメールが、16、17、23日にばらまかれた。本物の差出人に偽装した精巧なメールなので、騙されてクリックしないよう注意していただきたい。リンクにマウスポインターを重ねる、右クリックメニューでURLをコピーするなどの方法で、事前にリンク先を確認すると、URLが楽天カード「rakuten-card.co.jp」とは無関係なサイトであることがわかる。

■アップルのフィッシングメールも再開

　不正送金マルウェアの拡散メールを送っているボットネットは、昨年10月以降、「あなたのApple IDのセキュリティ質問を再設定してください。」という件名のアップルのフィッシングメールもばらまいている。JC3のサイトでは、ウイルスメールと一緒にこのフィッシングメールも逐次報告している。

　アップルをかたるフィッシングメールは、複数の攻撃者が入れ代わり立ち代わり、連日何種類ものメールをばらまいている。その中のひとつがこの件名のメールだが、先月28日を最後に一時休止していた。他のアップルのフィッシングメールが、年明け2日から次々に再開するも休止状態が続いていたが、マルウェアメール再開の翌週、フィッシングメールも再開してしまった。

　22日にばらまかれたフィッシングメールは、これまでと同様、岐阜や静岡から不正アクセスがあったことを知らせる内容で偽サイトへと誘導しようとするもの。差出人の表示名やメールアドレスを本物に偽装しているので注意が必要だ。リンク先を確認すれば、公式サイトの「apple.com」や「icloud.com」ではないことがわかる。ただし、「apple」や「icloud」の文字を織り込んだ紛らわしい名前を使用しているので、うっかりすると見間違えてしまうかもしれない。

　本物と違い暗号化通信に対応していないので、URLの最初が「https://」ではなく「http://」と「s」がないところもポイントだ。リンクをクリックすると、本物のAppleアカウントの管理ページそっくりに作られた偽のログインページが登場するが、本物と違い、アドレスバーに錠前マークや「Apple Inc.」という運営者名は表示されない。

（2018/01/24 ネットセキュリティニュース）

【関連記事】
・インターネットバンキングマルウェアに感染させるウイルスメールに注意（JC3）
https://www.jc3.or.jp/topics/virusmail.html
・サイバー救急センターレポート 第1号（ラック）
https://www.lac.co.jp/lacwatch/report/20171124_001430.html
・[更新] Apple をかたるフィッシング (2018/01/23)（フィッシング対策協議会）
https://www.antiphishing.jp/news/alert/apple_20180123.html

　クレジットカード会社を装い、カード情報などを騙し取ろうとするフィッシングメールが先週末から相次いでいる。カード会社がメールの誘導先でカード情報を入力させることはないので、騙されないよう注意していただきたい。

　ネット上で相次ぎ報告されたフィッシングメールは、MUFGカード（金、土、日、月）、クレディセゾン（月）、楽天カード（金、日）の3社を装うもの。うち三菱UFJニコスのフィッシングに関しては、本日付でフィッシング対策協議会から緊急情報が出ている。

■MUFGカードを装うフィッシング

　三菱UFJニコスのMUFGカードを装うフィッシングは、先週末から週明けまで連日ばらまかれた「【重要：必ずお読みください】」という件名のメールと、月曜日にばらまかれた「Important」という件名のメールの2種類がある。

　前者は、第三者によるアクセスがあったため登録IDを暫定的に変更したので、ログインして再変更するよう促す内容のもの。2013年から繰り返し使われているメールで、同社を装う同じ内容のメールが先月もばらまかれた。差出人名を「MUFGカード」に偽装しているが、メールアドレスには無関係な国内のプロバイダメールのもが記載されている。誘導先は、本物に似せた「cr-mufg」という文字を織り込んだ、「.pro」や「.biz」など計7種類のドメインを用意しており、メールには、それぞれの誘導先のURLが偽装せずにそのまま記載されていた（月曜日までにすべてアクセスできなくなった）。

　三菱UFJニコスは、複数のブランドのカードを扱っており、ブランド別の複数の会員登録ページが用意されている。偽サイトは、これらをほぼそのままコピーしており、各ブランドの偽登録ページで、クレジットカード情報や個人情報などの登録情報一式を騙し取ろうとする。見た目は本物そっくりだが、暗号化通信には対応していないためHTTPSでは接続できず、本物に表示されるはずの錠前マークや「Mitsubishi UFJ NICOS Co., Ltd.」（JCBカードの場合は「JCB Co.,Ltd」）という運営者名の表示がない。

　「Important」という件名のメールで誘導する後者のフィッシングは、昨年6月以来のもの。出来の良くない日本語メールだが、差出人名を「Bank of Tokyo-Mitsubishi UFJ」と三菱東京UFJ銀行に偽装しており、メールアドレスも同行のものに偽装していた。リンク先も同行のURLに偽装しており、埋め込まれたリダイレクタ経由でMUFGカードの偽登録ページを開く。HTTPS接続なので錠前マークが表示されるが、リダイレクタも転送先も、同行や同社とは無関係なドメイン名なので、よく見ればわかる。ちなみに同じサイト内には、アップルの英語版のフィッシングサイトも併設されていた。22日16時現在、どちらも稼働中だ。

■クレディセゾンを装うフィッシング

　「【重要：必ずお読みください】」という件名のフィッシングメールは、MUFGカードのほかに、クレディセゾンやセディナのフィッシングにもよく使われる。先のMUFGカードのフィッシングに続き、月曜日には、クレディセゾンの会員サイト「Netアンサー」の偽登録ページに誘導するフィッシングメールがばらまかれた。件名は同じ「【重要：必ずお読みください】」で、名称以外はほぼ同じ内容だ。
　リンク先は、「saisoncard」という文字を織り込んだ紛らわしい名前だが偽装しておらず、HTTPS接続ではないので、よく見ればわかるだろう。22日16時現在、稼働中だ。

■楽天カードを装うフィッシング

　「注意：【楽天】不正アクセスを検知したため、パスワードを見直し、お支払い方法の再登録をお願いします」という件名で、金曜日と日曜日にフィッシングメールがばらまかれている。同じような件名でアマゾンのフィッシングメールをばらまいているグループの仕業で、昨年7月、アマゾンのフィッシングの合間に、この楽天カードのフィッシングが行われている。

　フィッシングメールは、差出人を「【楽天】」に偽装しているが、メールアドレスがYahooメールという、偽アマゾンと同じお粗末な構成。リンクは偽装しておらず、「rakuten-co-jp」や「rakuten-card-co-jp」という紛らわしい文字を織り込んだ誘導先のURLを、そのまま記載している。不可解なことに、2回とも誘導先のIPアドレスが引けず、アクセスすることができなかった。以前の攻撃と同じ偽サイトを使用している場合には、「楽天e-NAVI」そっくりの偽サイトにログインさせ、サービス開始手続きと称してクレカ情報等を入力させるものと見られる。繰り返し仕掛けているグループなので、楽天カードもしくはアマゾンのフィッシングが、今後も続く可能性が高い。引き続き警戒していただきたい。

（2018/01/22 ネットセキュリティニュース）

【関連URL：フィッシング対策協議会】
・MUFG カードをかたるフィッシング (2018/01/22)
https://www.antiphishing.jp/news/alert/mufgcard_20180122.html

　18日朝から、宅配便の不在通知を装うSMSが大量にばらまかれた。リンクをタップすると、偽サイトに誘導され、怪しいAndroidアプリのインストールを促される。騙されてインストールしないよう注意したい。

　SMS（Short Message Service）は、ショートメッセージやショートメールとも呼ばれる、携帯電話やスマートフォンの電話番号あてに短文を送る機能のこと。昨日ばらまかれたのは、「お客様宛にお荷物のお届けにあがりましたが不在の為持ち帰りました。」「配送物は下記よりご確認ください。」という文面に、URLを記載したものだった。

　短縮URLサービスを用いたURLでは、実際の接続先が分からないが、URLに「sagawa」の文字が入っているので、佐川急便だと思い開いてしまうかもしれない。すると、期待通りの佐川急便そっくりな偽サイトが登場する。同社がテレビCMに起用している俳優、織田裕二さんのイメージ画像を載せた、本物そっくりの偽サイトだ。URLも、本物の「sagawa-exp」に似せた文字列を織り込んでいるので、うっかりしていると見過ごしてしまうかもしれない。本物が「sagawa-exp.co.jp」なのに対し、偽物は「gnway.cc」と全く異なるドメインだ。

　この偽サイトにはもうひとつ、どこをタップしても「sagawa.apk」をダウロードしようとする挙動不審な点がある。拡張子が「.apk」のファイルは、Androidアプリのインストールに使用するパッケージファイルのこと。Android端末以外には無害なファイルだが、偽サイトはアクセス制御を行っておらず、iPhoneやパソコンなどでアクセスしても、見境なく同じAndrpodアプリを投下する。

■提供元不明のアプリのインストールは厳禁

　標準設定のAndroid端末は、公式のアプリストア以外のアプリ（提供元不明のアプリ）をインストールできないようになっており、ダウンロードやインストールを行う際には警告を表示する。「sagawa.apk」も例外ではないが、ご丁寧にも偽サイトには、それを無視してイントールを完了させる手順がアニメーションで解説されている。真に受けてその通りに操作してしまうと、偽の「佐川急便」アプリがインストールされる仕掛けだ。

　カスペルスキーのブログによると、インストールされたアプリは、端末情報や電話番号などを外部に送っており、SMSや連絡先リストなども送信する可能性があるという。その後にどのような被害が待ち受けているかは不明だが、怪しいアプリなのでインストールしないよう注意したい。

　アマゾンのAndroidアプリストアなどを利用している方は、「提供元不明のアプリ」のインストールを許可したままになっているかも知れないので、特に注意していただきたい。[設定]アイコンの[セキュリティ]などのメニューにある[提供元不明のアプリ]の「インストールを許可する」をオンにしている方は、誤ってインストールしてしまわないようにオフにしておくことをお勧めする。

■メールやSMSのリンク先に注意

　不審なAndroidアプリをインストールさせようとする偽佐川急便のSMSは、昨年末から断続的ばらまかれており、確認できたものだけでもこれで5回目になる。同社からは、昨年末に注意喚起が出ており、今年に入ってからは、12日にカスペルスキーから、15日にトレンドマイクロから注意喚起が出ている。

　偽佐川急便のほかにも、13～14日頃には「ocn.apk」をインストールさせようとする「２０００万ダウンロード突破記念、Amazonギフト券２万円分プレゼント！ 」という件名のアマゾンを装うメールが確認されている。15～16日頃には、「楽天カードお申し込み受け付を完了しました。」「楽天カード発行状況確認は下記よりご確認ください。」というSMSで、「rakuten-card.apk」をインストールさせようとする攻撃も確認されている。いずれも同じ攻撃者によるもので、同様の攻撃がまだまだ続くかもしれない。

　メールやSMSに記載されたリンクをタップ（クリック）する際には、リンク先をよく確認していただきたい。メールのリンクは、見た目を偽装していることがあるので、スマホならリンクの長押し、パソコンならリンクにマウスポインタを重ねるマウスオーバーや右クリックメニューのリンクのコピーなどの方法で、本当のリンク先を確認するよう心掛けたい。

　短縮URLが使われている場合は、転送先を取得するサービスやブラウザの拡張機能などを利用してアクセス前に判断するか、アクセス後にアドレスバーの表示をよく確認する。アプリのインストールを促されても、決して従ってはいけない。「提供元不明のアプリ」のインストールを求めるなど論外なのである。

（2018/01/19 ネットセキュリティニュース）

【関連URL】
・佐川急便を装った迷惑メールにご注意ください（佐川急便）
http://www2.sagawa-exp.co.jp/whatsnew/detail/721/
・Androidを狙った、日本の宅配業者アプリを装うマルウェア（カスペルスキー）
https://blog.kaspersky.co.jp/malicious-android-app-hitting-japan/19236/
・実例で学ぶネットの危険：「通知　お客様宛にお荷物のお届きました」（トレンドマイクロ）
http://blog.trendmicro.co.jp/archives/16787

　オラクルは17日、四半期ごとに行っている定例アップデートの一環として、JRE（Java Runtime Environment：Java実行環境）の最新版、JRE 8 Update 161（1.8.0_161）を公開した。

　最新版では、Update 152以前に影響する脆弱性21件が修正されている。修正された脆弱性には、脆弱性評価システム（CVSS）のスコアが9.0以上の「緊急」の脆弱性こそないが、それに次ぐ「重要」（スコア7.0～8.9）の脆弱性が5件含まれている。21件の脆弱性のうち18件は、ネットワーク上から認証なしで攻撃されるおそれがある。

　アップデートの対象となるのは、Windows、v10.7.3以降のMac OS X（Mac OS）、Linux、Solarisである。JREのアップデート機能（自動更新機能や、「Javaコントロール・パネル」の[更新]タブの[今すぐ更新]ボタン）を使って更新できるほか、同社サイトから無料でダウンロードすることもできる。

■バージョンの確認とアップデートの方法

　システムにインストールされているJREのバージョンは、下記「Javaのバージョンの確認」ページで確認できる。ただし、JREのプラグインに対応していないブラウザ（Google Chrome、Firefox、Edge）は、このページを利用できない。プラグインをサポートするInternet ExplorerやSafariでアクセスするか、「Javaコントロール・パネル」を利用していただきたい。

　Windows 8.1のInternet Explorerの場合には、デスクトップモードでアクセスしていただきたい。スタート画面のInternet Explorerを使っている場合には、右下のスパナアイコン→[デスクトップで表示する]の順に操作すると、デスクトップモードのInternet Explorerに切り替わる。

　64bit版のWindows環境の場合には、32bit版と64bit版の両方のブラウザやプラグインが混在していることがある。32bit版と64bit版の双方のブラウザで、JREの確認と更新を行っていただきたい。

（2018/01/17 ネットセキュリティニュース）

【関連URL：オラクル】
・Oracle Critical Patch Update Advisory - January 2018[英文]
http://www.oracle.com/technetwork/security-advisory/cpujan2018-3236628.html#AppendixJAVA

 　パスワード管理ソフトの開発などを行う米SplashDataが、「2017年の最悪なパスワード」を公開している。同年に流出したパスワードから、よく使われているもの100件をリストアップしたもので、同社では毎年このランキングを発表している。2017年の1位は「123456」、2位は「password」で、前年と同じだった。

　よく使われているパスワード、つまり誰でも思いつくような安易なパスワードは、パスワードを破ろうとする攻撃者がまず試してみるパスワードでもある。SplashDataが発表した、危険なパスワードのトップ20は以下の通りだ。

1位「123456」
2位「password」
3位「12345678」
4位「qwerty」
5位「12345」
6位「123456789」
7位「letmein」
8位「1234567」
9位「football」
10位「iloveyou」

　11位から20位までは「admin」、「welcome」、「monkey」、「login」、「abc123」、「starwars」、「123123」、「dragon」、「passw0rd」、「master」となっている。

　数字だけのものや、キーボードの横並びの配列そのままの文字列、単純な単語が目につく。100位までを確認したい方は、関連URLを参照していただきたい。

　これらのほかにありがちなのが、自分の名前や誕生日、電話番号などを使うケースで、これらも危ない。名前と誕生日から推測可能なパスワードを使用していた複数の芸能人が、SNSやデータ保管サービスに不正ログインされてメールや写真をのぞき見されてしまったという事件を覚えている方も多いだろう。

　もうひとつ気をつけたいのが、パスワードを使い回さないということだ。複数のサービスで同じIDとパスワードを使っていると、どこか1か所からこれらが流出したときに、別のサービスでも不正にログインされてしまうおそれがある。

　安全なパスワードの作り方と管理方法について知りたいという方は、IPA（情報処理推進機構）が公開しているサイト「チョコっとプラスパスワード」をご覧になるようおすすめする。

（2018/01/12 ネットセキュリティニュース）

【関連URL】
・100 Worst Passwords of 2017 & More Password Freebies[英文]（SplashData）
https://www.teamsid.com/worst-passwords-2017-full-list/
・チョコっとプラスパスワード（IPA）
https://www.ipa.go.jp/chocotto/pw.html

　IPA（情報処理推進機構）が行ったWeb調査で、パソコンの習熟度が低い人ほどセキュリティ対策の実施率が低く、特にセキュリティパッチ更新実施率では、習熟度が高い人と低い人との間に大きな差があることが明らかになった。

　IPAは2017年12月14日、「2017年度情報セキュリティに対する意識調査」の調査報告書を公開した。情報セキュリティの「脅威」と「倫理」の2分野についてWeb調査を実施したもので、今回が16回目となる。調査対象は、13歳以上のパソコンおよびスマートデバイスのインターネット利用者で、パソコンユーザー5000名、スマートデバイスユーザー5000名から有効回答を得た。

■セキュリティ対策の実施率、習熟レベルが最も低い層では著しく低い結果に

　「情報セキュリティの脅威」についての調査では、パソコンの習熟度を「レベル1：入門・初心者」、「レベル2：基本操作は習熟」、「レベル3：習熟している」、「レベル4：非常に習熟している」の4つのレベルに分け、回答を分析している。

　Windows Updateなどセキュリティパッチ更新の実施率を見ると、レベル1が21.1%、レベル4は81.3％と非常に大きな差があった。「セキュリティソフト・サービスの導入・活用」についても、レベル1が29.3％、レベル4が75.5％と差が大きい。

　セキュリティパッチの更新をしない理由（複数回答）について、全体で最も多かったのは「書かれている内容が分からない」（29.0％）だった。セキュリティソフト・サービスの導入・活用をしない理由では、「費用がかかる」（25.4％）が最多だった。

　レベルが低い人では、パソコンの設定は家族や知人、業者に任せているのでよくわからないという場合も多いと思われる。しかし、自分の意志でコントロールできる部分でも、習熟度が低い人ほど危険なことをしてしまっている。例えば、「不審な電子メールの添付ファイルは開かない」とした人は、レベル1では22.9％、レベル4では64.8％だった。また、「よく知らないウェブサイトではファイル（ソフトウェア）をダウンロードしない」とした人は、レベル1では19.6%、レベルでは60.0％だった。

■情報セキュリティに関する被害・トラブル経験率は4割近く

　過去1年間の情報セキュリティに関する被害・トラブルについてパソコン利用者にたずねた設問では、「被害にあったことはない」と答えた人が全体の42.4％で最も多かった。以下、「被害にあったかどうかわからない」（20.0％）、「全く知らない差出人から大量のメールが送られてきた」（16.5％）、「身に覚えのない料金の支払いを要求するメールが送られてきた」（10.5％）となっている。パソコン習熟度でみると、レベル1では「被害にあったかどうかわからない」（35.2％）が、全体に比べて15.2ポイント高かった。

　金銭的被害の経験率は全体の4.2％で、前年（5.0％）と同程度だった。平均被害額は5万3446円で、前年より7万2348円減少している。「知らない間に、クレジットカードが利用されていた」人が21名でもっと多く、中には60万円の被害を受けた人もいた。

■IPAが着目・指摘したその他のポイント

　「脅威」に関する調査では、スマートデバイスの利用者において、公衆無線LANの利用率が5.0%増加して36.5%になったことが挙げられている。2014年以降、年々増加を続けており、IPAでは、2020年の東京オリンピック開催に向けた公衆無線LANの普及に伴い、さらに増加していくものと推測する。そのうえで、公衆無線LANは不特定多数が同じネットワークを利用するため、漏えい・窃取されると困る情報のやりとりは控えるのが賢明だとしている。

　「倫理」に関する調査の結果については、以下を指摘している。

・悪意ある投稿経験者の投稿後の心理で、最も多いのは「気が済んだ、すっとした」の35.6%（前年比4.3%増）。特に10代は45.5%、20代は40.5%と他世代より高い傾向が見られた。なお悪意ある投稿の経験者は、ネットでの投稿経験がある人のうち22.6%。投稿理由では、「人の投稿やコメントを見て不快になったから」（前年比5.7%増）、「いらいらしたから」（前年比6.6%増）の増加が目立つ。

・恋人など相手が非常に近しい間柄であれば「自身の性的な姿を撮影した写真や動画」をSNSで共有しても構わないと考える人は、スマートデバイス利用者では7.4%、パソコン利用者では5.3%だった。データは一度でも流出してしまうと完全に回収、消去するのが不可能であることから、安易なデータの提供は避け、原則、ネットを介したプライベートな写真・動画のやり取りは行わないのが賢明である。

・「SNSで自身の性的な写真や動画を撮影して投稿」することを問題があると認識している人は、パソコン利用者で57.5%（前年比12.4％増）、スマートデバイス利用者で57.6%（前年比10.5％増）。モラル意識の向上がみられたが、それでも半数程度に留まっている。

（2018/01/11 ネットセキュリティニュース）

【関連URL】
・「2017年度情報セキュリティに対する意識調査」報告書について（IPA）
https://www.ipa.go.jp/security/fy29/reports/ishiki/index.html

　アドビシステムズは9日、コンテンツ再生ソフト「Flash Player」の最新版を公開した。脆弱性1件が修正されており、同社では最新版への更新を呼びかけている。

　修正されたのは領域外のメモリーにアクセスしてしまう問題1件で、悪用されると情報漏えいが起きるおそれがある。影響を受けるのは、Windows版、Macintosh版、Linux版、GoogleChrome搭載版、InternetExplorer/Edge搭載版の「28.0.0.126」以前のバージョンで、アップデート後は「28.0.0.137」となる。

　システムにインストールされているFlash Playerのバージョンは、下記のバージョン確認ページにアクセスするか、コントロールパネルやシステム環境設定の「Flash Player」の[更新]タブで確認できる。最新版への更新はFlash Playerの自動更新機能を通じて行われるほか、同社サイトからダウンロードすることもできる。

　Windows 8.1/10に搭載されているInternet Explorer 11およびEdge用のFlash Playerについては、Windows Updateを通じて最新版が配布されている。直ちに更新する場合は、コントロールパネルなどから[Windows Update]を開き、[更新プログラムの確認]または[更新プログラムのチェック]をクリックする。

　Google Chromeに搭載されているFlash Playerについては、自動更新機能を通じて最新版が配信される。すぐに更新したい場合には、コンポーネント画面を開いて「Adobe Flash Player」の[アップデートを確認]ボタンを押す。コンポーネント画面は、アドレスバーに chrome://components と入力してEnterキーを押すと開く。

（2018/01/10 ネットセキュリティニュース）

【関連URL：アドビ】
・Security updates available for Flash Player | APSB18-01［英文］
https://helpx.adobe.com/security/products/flash-player/apsb18-01.html
・Flash Playerのバージョン確認
http://www.adobe.com/jp/software/flash/about/
・Flash Playerのダウンロード
https://get.adobe.com/jp/flashplayer/

　マイクロソフトは10日、1月度の月例セキュリティパッチ（セキュリティ更新プログラム）を公開した。同社は、できるだけ早期にパッチを適用するよう呼びかけている。

　マイクロソフトによると、公開されたパッチは、深刻度が4段階評価で最も高い「緊急」6件と、次に高い「重要」7件の計13件。Windows、Windows Server、Internet Explorer、Edge、OfficeとOffice ServicesおよびWeb Apps、SQL Server、ChakraCore、.NET Framework、.NET Core、ASP.NET Core、Adobe Flash Playerが影響を受ける。

　このうち、Windows、Edge、Internet Explorer、SQL Serverのパッチは、年明け早々に明らかになったCPUに起因する情報漏えい問題「Meltdown & Spectre（メルトダウンとスペクタ）」の影響を緩和するために、すでに定例外で公開済みだ。

　なおマイクロソフトはWindows 7のユーザーに対し、ウイルス対策ソフトを導入していない場合は、同社が無料で提供している「Security Essentials」または、他社製のウイルス対策ソフトをインストールすることを推奨している。これが導入されていない場合、パッチを受け取るには手動でレジストリキーを設定する必要があり、設定の操作を誤ると深刻な問題が生じるおそれがある。

　こうした扱いは、Meltdown & Spectreに対処するパッチと一部のウイルス対策ソフトで、互換性の問題が生じたことによる。マイクロソフトでは現在、互換性がある（＝問題が生じない）と確認されたウイルス対策ソフトが実行されている端末にのみ、パッチを提供している。ウイルス対策ソフトがレジストリキーの設定を行なうことにより、パッチを受け取れるようになるという仕組みだ。つまり、ウイルス対策ソフトを導入していない端末や、互換性のないウイルス対策ソフトを利用している端末では、ユーザー自らがレジストリキーの設定を行わない限り、パッチを受け取ることができない。

　Windows 8.1およびWindows 10では、同社製のウイルス対策ソフト「Windows Defender」が搭載されて標準状態で有効になっているため、特に設定をいじっていなければパッチを受け取ることができる。Windows 7にもWindows Defenderが搭載されているが、名前は同じでもこちらはスパイウェア対策の機能しかもっておらず、別途、ウイルス対策ソフトを導入する必要がある。

　また、一部のAMDプロセッサーを搭載した端末に対しては、パッチの送信が一時的に停止されている。これは、上記の定例外パッチをインストールした後、端末が起動できなくなるという問題が生じたため。マイクロソフトは、AMDと協力してできるだけ早期にこの問題を解決し、影響を受けるAMDデバイスにWindows Updateを介してパッチを再び提供できるように取り組んでいるとしている。

【更新プログラムの内容】
＜緊急＞
・Edge：リモートコード実行の脆弱性
・Internet Explorer：リモートコード実行の脆弱性
・ChakraCore：リモートコード実行の脆弱性
・Office関連コンポーネント：リモートコード実行の脆弱性
・SharePoint：リモートコード実行の脆弱性
・Adobe Flash Player：リモートコード実行の脆弱性

＜重要＞
・Windows 10/Windows Server 2016（Edgeを含まない）：特権昇格の脆弱性
・Windows 8.1/Windows Server 2012 R2：特権昇格の脆弱性
・Windows Server 2012：特権昇格の脆弱性
・Windows 7/Windows Server 2008 R2：特権昇格の脆弱性
・Windows Server 2008：特権昇格の脆弱性
・.NET Framework：サービス拒否の脆弱性
・.NET CoreとASP.NET Core：特権昇格の脆弱性

（2018/01/10 ネットセキュリティニュース）

【関連URL：マイクロソフト】
・セーフティとセキュリティセンター
https://www.microsoft.com/ja-jp/safety/default.aspx
・セキュリティ更新プログラムガイド
https://portal.msrc.microsoft.com/ja-jp/
・2018年1月のセキュリティ更新プログラム（月例）
https://blogs.technet.microsoft.com/jpsecurity/2018/01/10/201801-security-updates/
・2018年1月4日にリリースされたWindowsセキュリティ更新プログラムとウイルス対策ソフトウェアに関する重要情報
https://support.microsoft.com/ja-jp/help/4072699/january-3-2018-windows-security-updates-and-antivirus-software
・一部のAMDベースのデバイスに対するWindowsオペレーティングシステムのセキュリティ更新プログラムの提供停止
https://support.microsoft.com/ja-jp/help/4073707/windows-os-security-update-block-for-some-amd-based-devices

　アップルは9日、CPUに起因する情報漏えい問題を緩和する「macOS High Sierra 10.13.2追加アップデート」、macOS SierraとEl Capitan用の「Safari 11.0.2」アップデート、および「iOS 11.2.2」を公開した。

　先週明らかになった、CPUに起因する情報漏えい問題「Meltdown & Spectre（メルトダウンとスペクタ）」のうち、Spectreに対処した。アップルはSpectreについて先週、脆弱性の悪用は極めて難しいものの、Webブラウザで実行されるJavaScriptを悪用される可能性があるとし、影響緩和策として、macOSやiOSのSafari向けのアップデートを近日中にリリースするとしていた。

　今回のアップデートで、macOS High Sierra 10.13.2では、Safariがバージョン11.0.2（13604.4.7.1.6）またはバージョン11.0.2（13604.4.7.10.6）に更新される。macOS Sierra 10.12.6用のSafariはバージョン11.0.2（12604.4.7.1.6）に、OS X El Capitan 10.11.6用のSafariはバージョン11.0.2（11604.4.7.1.6）となる。iOSでは、SafariとWebKitに修正が加えられている。

　最新版へのアップデートは、Macは自動更新や通知をクリックするか、手動で「App Store」を確認する。Appleメニューから[AppStore]を選択し、ツールバーの[アップデート]ボタンをクリックすると、利用可能なアップデートが表示される。
　iPhoneやiPadなどのiOS端末は、[設定]アイコンから[一般]→[ソフトウェア・アップデート]と進むか、端末をパソコンに接続し、iTunes経由で行う。

　なおアップルによると、Meltdownについては、12月に公開済みのiOS 11.2、macOS 10.13.2、tvOS 11.2において、すでに緩和策が導入されている。

（2018/01/09 ネットセキュリティニュース）

【関連URL：アップル】
・macOS High Sierra 10.13.2 Supplemental Update
https://support.apple.com/ja-jp/HT208397
・Safari 11.0.2
https://support.apple.com/ja-jp/HT208403
・About the security content of iOS 11.2.2
https://support.apple.com/ja-jp/HT208401
・ARMベースおよびIntel CPUの投機的実行の脆弱性について
https://support.apple.com/ja-jp/HT208394

【関連記事：ネットセキュリティニュース】
・マイクロソフト、Windowsのセキュリティ更新プログラムを緊急公開（2018/01/05）
・モジラ、CPUに起因する情報漏えい問題を緩和する「Firefox 57.0.4」公開（2018/01/05-1）

　モジラは5日、Webブラウザ「Firefox」の最新版「57.0.4」を公開した。対象となるのは、Windows、Mac、Linux、およびAndroid。最新版では、CPUに起因する情報漏えい問題の緩和策が盛り込まれている。

　この問題は、「Meltdown & Spectre（メルトダウンとスペクタ）」という名で今月4日、3件の脆弱性情報が公開されたもの。いずれも、CPUの設計に起因する問題で、悪用されると、保護されているはずのシステムや他のアプリケーションのメモリー内容を、間接的に読み出せる可能性がある。

　影響するのは、処理の結果を待たずに次の処理を実行する、投機的実行機能を持つCPU全般。脆弱性を悪用した攻撃は今のところ確認されていないが、ブラウザのJavaScriptを使った攻撃も想定され、ブラウザ側での対応も進められている。

　脆弱性を悪用した攻撃には、精密な時間の計測が必要となるため、Firefox 57.0.4では、タイマーの無効化や精度の劣化、高解像度タイマーの代替になるSharedArrayBufferの無効化といった、EdgeやInternet Explorerと同様の措置がとられている。4段階評価の深刻度は、上から2番目に高い「高」。

　デスクトップ用の最新版は、自動更新機能を通じて配布されているほか、今すぐ手動で更新することもできる。手動更新は、Windowsではメニューボタン「≡」をクリックし、[ヘルプ]→[Firefoxについて]を選択する。または、[Alt]キーを押してメニューバーを表示し、[ヘルプ]メニューの[Firefoxについて]を選択する。OS Xでは、Firefoxメニューの[Firefoxについて]を選択する。

　自動や手動で更新したデスクトップ版のFirefoxは、ブラウザの再起動後に最新版が利用できるようになるので、ブラウザを起動したままでいる方は注意されたい。

　Android用の最新版は、「Google Play」で配信されている。アプリの自動更新が有効に設定されている場合には、自動的に更新されるほか、「Google Play」の「マイアプリ＆ゲーム」で「アップデート」を表示すると、手動で更新できる。

（2018/01/05ネットセキュリティニュース ）

【関連URL】
＜モジラ＞
・Firefox 57.0.4 リリースノート（デスクトップ版）
https://www.mozilla.jp/firefox/57.0.4/releasenotes/
・Firefox 57.0.4 リリースノート（Android版）
https://www.mozilla.org/en-US/firefox/android/57.0.4/releasenotes/
・Speculative execution side-channel attack ("Spectre")[英文]
https://www.mozilla.org/en-US/security/advisories/mfsa2018-01/
＜その他＞
・VNVU#93823979：投機的実行機能を持つ CPU に対するサイドチャネル攻撃（JVN）
http://jvn.jp/vu/JVNVU93823979/
・Meltdown and Spectre[英文]（キャンペーンサイト）
https://meltdownattack.com/
・Mitigating speculative execution side-channel attacks in Microsoft Edge and Internet Explorer[英文]（マイクロソフト）
https://blogs.windows.com/msedgedev/2018/01/03/speculative-execution-mitigations-microsoft-edge-internet-explorer/

　マイクロソフトは4日、CPUに起因する情報漏えい問題に対処するWindowsのセキュリティ更新プログラムを緊急公開した。Windows Updateを通じて自動、または手動で更新できる。

　この問題は、グーグルの研究者らが昨年発見し水面下で対策を進めていたようだが、「Meltdown & Spectre（メルトダウンとスペクタ）」という名で同日、3件の脆弱性情報が公開された。いずれも、CPUの設計に起因する問題で、悪用されると、保護されているはずのシステムや他のアプリケーションのメモリー内容を、間接的に読み出せる可能性がある。

　影響するのは、処理の結果を待たずに次の処理を実行する、投機的実行機能を持つCPU全般。今のところ悪用攻撃は確認されていないが、近年のCPUの大半が該当するため、各社が対応に追われている。

　マイクロソフトが同日リリースしたセキュリティ更新プログラムは、WindowsおよびWebブラウザのInternet Explorer、Edgeでの対策が盛り込まれている。Windows Updateを通じて自動、または手動で更新できるが、互換性の問題が発生する可能性のあるウイルス対策ソフトを使用している場合には、インストールされない。

（2018/01/05ネットセキュリティニュース ）

【関連URL】
＜マイクロソフト：一部のコンテンツは利用規約の確認と同意が必要です＞
・セーフティとセキュリティセンター
https://www.microsoft.com/ja-jp/safety/default.aspx
・セキュリティ更新プログラムガイド
https://portal.msrc.microsoft.com/ja-jp/
・January 2018 Security Updates
https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/858123b8-25ca-e711-a957-000d3a33cf99
・セキュリティアドバイザリ：DV180002 | Vulnerability in CPU Microcode Could Allow Information Disclosure
https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/ADV180002
・2018 年 1 月 3 日にリリースされた Windows のセキュリティ更新プログラムおよびウイルス対策ソフトウェアに関する重要な情報
https://support.microsoft.com/ja-jp/help/4072699/important-information-regarding-the-windows-security-updates-released
・投機実行サイド チャネルの脆弱性から保護するために Windows サーバーのガイダンス
https://support.microsoft.com/ja-jp/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution-s
・投機実行サイド チャネル上の脆弱性から保護するための IT プロフェッショナル向け Windows クライアントのガイダンス
https://support.microsoft.com/ja-jp/help/4073119/windows-client-guidance-for-it-pros-to-protect-against-speculative-exe
・Mitigating speculative execution side-channel attacks in Microsoft Edge and Internet Explorer[英文]
https://blogs.windows.com/msedgedev/2018/01/03/speculative-execution-mitigations-microsoft-edge-internet-explorer/

＜その他＞
・VNVU#93823979：投機的実行機能を持つ CPU に対するサイドチャネル攻撃（JVN）
http://jvn.jp/vu/JVNVU93823979/
・Meltdown and Spectre[英文]（キャンペーンサイト）
https://meltdownattack.com/