ネットセキュリティニュース

　実在する企業やサービスを装ったメールやSMSで偽のWebサイトに誘導し、ログイン情報やクレジットカード情報などを騙し取るフィッシングが、7～8月も毎日休むことなく続いた。高頻度で出現するアップル、アマゾン、LINEのフィッシングに佐川急便も加わり、通信事業者やクレジットカード会社のフィッシングも相変わらず続いている。

　フィッシング対策協議会の2018年7月、8月の月次報告によると、同協議会に寄せられたフィッシング報告件数 (海外含む) は、7月が前月より32件減少の1977件、8月はさらに103件減少し1874件となった。ユニークなURL件数は、7月が前月より160件増加し996件、8月は42件減少し954件となった。悪用されたブランド件数 (海外含む) は、7月が前月より7 件増加の41件、8月は9件減少し32件となった。

　同協議会が出した緊急情報は、7月がソフトバンクとJCBの2回、8月が常連組のアマゾンとLINE、クレジットカード会社のクレディセゾンと三菱UFJニコス、新登場の佐川急便の計5回だった。このほかに、通信事業者のNTTドコモ、カード会社の楽天カード、仮想通貨のMyEtherWallet（マイイーサウォレット）のフィッシングメールやSMSも頻繁にばらまかれた。

■LINEのフィッシングアクター増殖、8月末には「第三」も登場

　アップルやアマゾンを装うフィッシングでは複数のアクター（攻撃者）が入れ代わり立ち代わりメールをばらまいているのに対し、LINEを装うフィッシングは長らく単独グループの攻撃にとどまっていた。6月に登場した新たなアクターが7～8月も引き続き参戦し、2組による攻撃が毎日のように続いた。古参組の偽サイトは、2017年3月末から「.cn」ドメインで稼働していたが、8月から「.top」へと移行。「.cc」「.com」「.jp」ドメインを使った新参組の偽サイトが加わり、偽サイトの乱立状態になった。どちらも、偽サイトにログインさせ、電話番号とSMSなどで届く4桁の認証番号を入力させてLINEを乗っ取る手口だ。8月末には第三のアクターも登場しており、さらなる警戒が必要だ。

■「キャリア決済」狙うフィッシング多発

　通信事業者を装うフィッシングが7～8月も多発した。ソフトバンク、NTTドコモ、KDDI（au）が提供するキャリア決済を狙ったもので、各社のマイページに侵入して使い込む手口と、攻撃者が用意したApple IDの支払い方法にユーザーのキャリア決済を登録させて使い込む手口とが確認された。アカウント情報や携帯電話番号、番号あてにSMSで届くコード（数字）を渡してしまうと、キャリア決済が限度額まで使い込まれてしまう。Apple IDに登録して使い込む手口では、通信事業者3社のほかに「Yahoo!ウォレット」を装う偽サイトも見つかっている。

■「偽佐川急便」がフィッシングに参戦

　キャリア決済を狙うフィッシングの仕掛け人たちは、「お客様宛にお荷物のお届けにあがりましたが不在の為持ち帰りました。下記よりご確認ください。http://sagawa-●●.com」という、宅配便の不在通知を装うSMSで佐川急便の偽サイトに誘導し、Android端末に不正なアプリ「sagawa.apk」をインストールさせる攻撃も手掛けている。この佐川急便を装う偽サイトが8月初めにリニューアルし、これまで対象外だったiPhoneに対し、フィッシングを仕掛けるようになった。

　送られてくるSMSはこれまでと同じ内容だ。リンク先にアクセスすると、Android端末にはこれまでどおりに偽アプリを投下するが、iPhoneでアクセスした場合には、別所にあるフィッシング用の偽サイトへと飛ばされる。そこでは、「Apple社から送られた製品はセキュリティ許可の認証が必要となります」と言って、携帯番号とSMSで届くコードを入力させようとする。Apple IDの支払い方法にユーザーのキャリア決済を登録させて使い込む手口のフィッシングだ。

　宅配便の不在通知を装うSMSは、7月19日頃から急増しており、8月中も連日ばらまかれた。Android端末にとっては佐川急便の偽アプリの、iPhoneにとってはフィッシングの脅威が拡大した8月となった。

■災害に便乗する「偽募金サイト」出現

　6月末から7月上旬にかけて西日本を襲った「平成30年7月豪雨」の被災地支援を募る「Yahoo!ネット募金」の偽サイトが、7月15日頃に出現した。偽サイトの募金は、クレジットカードまたは電子マネーのウェブマネー（WebMoney）で支払うようになっており、クレジットカードで支払おうとすると「カード情報」を、ウェブマネーで支払おうとすると「プリペイド番号」や「ウェブマネーウォレットのアカウント情報」を騙し取ろうとする。
　同じ手口でクレジットカード情報の詐取に特化した偽サイトが、8月以降もたびたび出現している。直近のものは9月27日にフィッシングメールがばらまかれており、偽募金サイトは28日現在も稼働中だ。

（2018/09/28 ネットセキュリティニュース）

【関連URL】
＜フィッシング対策協議会7月＞
・2018/07 フィッシング報告状況
https://www.antiphishing.jp/report/monthly/201807.html
・[更新] ソフトバンクをかたるフィッシング (2018/07/04)
https://www.antiphishing.jp/news/alert/softbank_20180704.html
・[更新] MyJCB をかたるフィッシング (2018/07/24)
https://www.antiphishing.jp/news/alert/jcb_20180724.html

＜フィッシング対策協議会8月＞
・2018/08 フィッシング報告状況
https://www.antiphishing.jp/report/monthly/201808.html
・佐川急便をかたるフィッシング (2018/08/10)
https://www.antiphishing.jp/news/alert/sagawa_20180810.html
・[更新] MUFG カードをかたるフィッシング (2018/08/13)
https://www.antiphishing.jp/news/alert/mufgcard_20180813.html
・セゾン Net アンサーをかたるフィッシング (2018/08/20)
https://www.antiphishing.jp/news/alert/saison_20180820.html
・LINE をかたるフィッシング (2018/08/24)
https://www.antiphishing.jp/news/alert/line_20180824.html
・Amazon をかたるフィッシング (2018/08/27)
https://www.antiphishing.jp/news/alert/amazon_20180827.html

＜ヤフー＞
・【重要】当社をかたるフィッシングメール、不正メールにご注意ください。
https://notice.yahoo.co.jp/donation/archives/20180717-a.html
・当社をかたるフィッシングメール、不正メールに関する注意喚起
https://security.yahoo.co.jp/news/0005.html

　Mac用アプリの公式アプリストア「Mac App Store」で、ユーザーのデータを外部に不正に送信するアプリが見つかり削除された。その後、同様のアプリが大手セキュリティ企業トレンドマイクロから複数提供されていたことが分かり、同社の全製品が配信停止になる事態に発展している。

　事の発端は、公式ストアで配布されていた「アド・ドクター（Adware Doctor）」というアプリだった。ジャン・ヨンミン（YONGMING ZHANG）名義で公開されていたこのアプリは、マルウェアや悪意のあるファイルがMacに感染するのを防ぐと説明されており、600円で販売されていた。このアプリが、ブラウザの履歴データなどを盗んで外部に送信しているとの指摘が8月にあり、今月7日、同じ開発者のアドブロック・マスター（AdBlock Master）ともども、公式ストアから姿を消した。

　その直後から、同様の不正な外部送信を行っているアプリとして、トレンドマイクロのドクター・クリーナー（Dr.Creaner、国内製品名はライト・クリーナー）、ドクター・アンチウィルス（Dr. Antivirus）、ドクター・アンアーカイバ（Dr. Unarchiver）、ハオ・ウー（Hao Wu）名義で公開されていたオープン・エニー・ファイルズ（Open Any Files: RAR Support）などの名が次々にあがってきた。

　トレンドマイクロの発表によると、このほかにドクターバッテリー（Dr. Battery）とデュプリケート・ファインダー（Duplicate Finder）も同様の機能を備えており、ユーザーがアドウェアやその他の脅威に遭遇したかを分析するなど、セキュリティの目的および製品やサービスの品質改善のために、アプリをインストールする直前の24時間以内のブラウザ履歴を一度だけ取得していたと説明している。ドクター・アンチウィルス以外には、無用なデータ取得であることはいうまでもない。

　オープン・エニー・ファイルズに関しても、同社のアプリだったことを認めており、今後は公開しないとしている。セキュリティ企業のマルウェアバイツによると、このアプリはあらゆるファイルを開くアプリになりすまし、同社のドクター・アンチウィルスの宣伝を行う詐欺的なアプリだったという。

■全アプリの配信停止という事態に

　アップルの公式ストアで、セキュリティ企業がスパイウェアやアドウェアまがいのアプリを配布していたという前代未聞の出来事は、同社の全てのアプリの配信停止という重大な事態を招いた。今月12日、問題のあった「Mac App Store」だけでなく、iPhoneなどのiOS用の公式アプリストア「App Store」で配布していた同社の全アプリが、ストアから一斉に姿を消した。iOSアプリの場合、一般の方が利用できるのは公式ストアで配布されているものに限定されるため、トレンドマイクロ製品の新規インストールやアップデートが行えない状態が続いている。

　同日、同社は製品からブラウザ履歴に関するデータを取得する機能を削除し、送信されたデータも削除したと発表。アプリの公開申請を行ったものの、20日時点でアップルからの連絡がないとしており、再配信の目処は立っていない。

（2018/09/27 ネットセキュリティニュース）

【関連URL】
・macOS、iOS向け当社アプリに関する重要なお知らせ（トレンドマイクロ）
https://www.trendmicro.com/ja_jp/about/announce/announces-20180912.html
・Trend Micro社製 macOS/iOSアプリがApp Storeから一時公開停止されている件について（トレンドマイクロ）
https://appweb.trendmicro.com/SupportNews/NewsDetail.aspx?id=3271
・Answers to Your Questions on Our Apps in the Mac App Store[英文]（トレンドマイクロ）
https://blog.trendmicro.com/answers-to-your-questions-on-our-mac-apps-store/
・Mac App Store apps are stealing user data[英文]（Malwarebytes Labs）
https://blog.malwarebytes.com/threat-analysis/2018/09/mac-app-store-apps-are-stealing-user-data/
・A Deceitful 'Doctor' in the Mac App Store[英文]（Objective-See）
https://objective-see.com/blog/blog_0x37.html

　アップルは25日、Mac用新OS「macOS Mojave v10.14」を公開し、未公表だったWebKitの脆弱性情報などを公表した。外部からシステムを乗っ取られるおそれのある深刻な脆弱性の修正が含まれている。

■Mac用新OS「macOS Mojave v10.14」

　macOS High Sierra（v10.13）の後継となるMac用新OS「macOS Mojave（マックオーエスモハベ）」では、黒を基調とした画面表示「ダークモード」やファイルを自動的に整理する「スタック」、iOSと共通のアプリ「株価」「ホーム」「ボイスメモ」の追加などの新機能やさまざまな機能強化に加え8件（同梱のSafariを除く）の脆弱性が修正されている。修正された脆弱性には、マルウェア（ウイルス）感染やシステムの乗っ取りに悪用されるおそれのある危険な問題も含まれている。

　Mojaveの公開に伴い、先行公開していたiOS 12、Safari 12などのセキュリティ情報が更新され、未公開だったiTunes 12.9 for Windowsのセキュリティ情報が公開された。追加公開されたのは、主にWebページを描画するレンダリングエンジン「WebKit」の脆弱性に関するもので、細工されたサイトの閲覧でマルウェアに感染するおそれのある深刻な問題を含む19件がそれぞれ修正されている。iOS 12ではそのほかに、Mojaveと共通の脆弱性情報も新たに公開され、修正された脆弱性は計40件となっている。

　なお、WebKitの脆弱性は、iCloud for Windowsにも影響するが、現時点で更新版は提供されていない。

■サポート終了OSは、後継OSに移行を

　アップルのセキュリティアップデートは、Mac用のOSが直近の3世代、iOSは1世代のみとなっている。今回と19日のアップデートでは、複数の深刻な問題が修正されているが、El Capitan（v10.11）以前及びiOS 11以前のシステムについては、更新される見込みがない。セキュリティアップデートが提供される上位版にアップグレードするか、使用を中止することをお勧めする。

　公式にサポート終了が発表されるWindowsなどでは、国内のセキュリティ機関などが大々的なキャンペーンを展開するのだが、公式発表のないアップルの場合には、アップグレードや使用中止の勧告を行わない。ユーザー自身で製品のライフサイクルを把握し、適宜上位版に移行していただきたい。

　macOS Mojaveは、App Storeで無料提供されており、MacBook（Early 2015以降）、MacBook Air（Mid 2012以降）、MacBook Pro（Mid 2012以降）、Mac mini（Late 2012以降）、iMac（Late 2012以降）、iMac Pro（2017）、Mac Pro（推奨されるMetal対応グラフィックカードを搭載したLate 2013、Mid 2010、Mid 2012モデル）で利用できる。

　自分が使用している機種は、Appleメニューの[このMacについて]の[概要]（OS X Mavericks以前は[詳しい情報]）で確認できる。機種によって使用できる機能などが異なるので、詳細は下記「macOS Mojave」のページの「アップグレード方法」を参照していただきたい。

（2018/09/26 ネットセキュリティニュース）

【関連URL：アップル】
・About the security content of macOS Mojave 10.14
https://support.apple.com/ja-jp/HT209139
・macOS Mojave
https://www.apple.com/jp/macos/mojave/
・About the security content of Safari 12
https://support.apple.com/ja-jp/HT209109
・About the security content of iOS 12
https://support.apple.com/ja-jp/HT209106
・About the security content of iTunes 12.9 for Windows
https://support.apple.com/ja-jp/HT209140

　仮想通貨を要求する日本語のセクストーション（性的脅迫）詐欺メールが送られて来たとの報告が、19日頃からネット上で相次いでおり、セキュリティ機関や企業が注意を呼びかけている。

　問題のメールは、海外で7月頃から出回っており、セキュリティ関連情報を発信するJPCERTコーディネーションセンター（JPCERT/CC）からも、英文メールに対する注意喚起が8月に出ていた。今回ばらまかれたのは、その日本語版とみられる。

　この詐欺メールは複数のパターンが確認されており、件名を変えながら連日不特定多数にばらまかれている。カスペルスキーによると、日本語や英語のほかに、ドイツ語、イタリア語、フランス語、韓国語などでも同様のメールがばらまかれているという。

　日本語版は、メールの差出人に宛先の自分のアドレスを騙っており、21日昼までに以下の件名のものが確認されている。

＜19日＞
・アカウントの問題
・あなたの秘密の生活
・セキュリティ警告
・読んだ後に電子メールを削除！

＜20日＞
・あなたのアカウントについて。
・あなたのアカウントは亀裂です
・あなたの安全は危険にさらされています！
・それはあなたの安全の問題です。
・緊急のメッセージ
・私はあなたのアカウントをハックしている

＜21日＞
・AVアラート
・あなたの心の安らぎの問題。
・すぐにお読みください！
・緊急対応！

　メール本文も複数のパターンがあるが、趣旨は「あなたのアカウントをハッキングし、閲覧したポルノサイトでウイルスに感染させた。あなたの行為をビデオに撮影し、メールやSNSから連絡先情報を収集した」などと主張するもの。削除したいなら仮想通貨のビットコインで550ドル支払うよう要求し、支払わない場合はすべての連絡先にビデオを送ると脅す。

　残念なことに、送金先に指定されたビットコインアドレス（銀行の口座番号のようなもの）には、これまでに複数からの送金があったことが確認されており、21日にばらまかれたメールでは金額が570ドルに増額している。利益があがると犯罪者は増長するので、このようなメールが来ても要求には応じないようご注意いただきたい。

　心配な方は、最寄りの消費生活相談窓口を紹介してくれる「消費者ホットライン」（電話番号「188」番）や、「警察相談電話」（短縮ダイヤル「#9110」番）に電話をかけると、いつでも無料で相談にのってくれる。

（2018/09/21 ネットセキュリティニュース）

【関連URL】
・仮想通貨を要求する日本語の脅迫メールについて（JPCERT/CC）
https://www.jpcert.or.jp/newsflash/2018091901.html
・日本語を含めた多言語で拡散する脅迫メール（カスペルスキー）
https://blog.kaspersky.co.jp/blackmail-asking-for-cryptocurrency/21616/

＜英文メール時の注意喚起＞
・仮想通貨を要求する不審な脅迫メールについて（JPCERT/CC）
https://www.jpcert.or.jp/newsflash/2018080201.html
・セクストーション詐欺の新たな手口（ソフォス）
https://nakedsecurity.sophos.com/ja/2018/07/13/sextortion-scam-knows-your-password-but-dont-fall-for-it/

　アドビシステムズは20日、PDF閲覧ソフト「Acrobat Reader」の最新版を公開した。深刻な脆弱性が修正されており、同社では早めにアップデートするよう呼びかけている。

　アップデートの対象となるのは、Windows版とMac版のAcrobat Reader DCおよびAcrobat Reader 2017。更新後のバージョンは、Acrobat Reader DCが「2018.011.20063」に、Acrobat Reader 2017が「2017.011.30102」に、Acrobat Reader DC（Classic 2015）が「2015.006.30452」になる。

　アップデートの優先度は、3段階で2番目に高い「2」。これは、過去に攻撃リスクが高いとされたことのあるタイプの脆弱性の修正ではあるが、現時点で攻撃対象になっているとの報告はなく、過去の実績から今後悪用される可能性は低いことを示している。例えば30日以内といった、短期の間にアップデートすることが推奨されている。

　最新版では、範囲外のメモリにアクセスしてしまう問題7件が修正されている。うち1件は、メモリに書き込みが可能な深刻な問題で、コード実行につながるおそれがある。緊急度は3段階で最も高い「クリティカル」。残り6件は、読み出しが可能な問題で、情報流出のおそれがある。緊急度は2番目に高い「重要」。

　現在使用しているバージョンは、Acrobat Readerを起動し、[ヘルプ]メニューの[Adobe AcrobatReader DCについて（または Acrobat Reader 2017について）]で確認できる。最新版への更新は、[ヘルプ]メニューの[アップデートの有無をチェック]から実行できるほか、同社のサイトから最新のAcrobat Reader DCをダウンロードすることもできる。

（2018/09/20 ネットセキュリティニュース）

【関連URL：アドビ】
Security bulletin for Adobe Acrobat and Reader | APSB18-34 [英文]
https://helpx.adobe.com/security/products/acrobat/apsb18-34.html
・Adobe Acrobat Reader DCのダウンロード
https://get.adobe.com/jp/reader/

　グーグルは18日、「Google Chrome 69」の最新安定板「69.0.3497.100」を公開した。対象となるのは、Windows、Mac、およびLinux。

　最新版では、内部監査で見つかった脆弱性1件が修正されている。深刻度は4段階中2番目に高い「高」。

　最新版への更新は自動的に行われるほか、メニューの[Google Chromeについて]を選択すると、ただちに最新版の確認とアップデートが行える。Mac版はChromeメニューから、Windows版は右端の設定アイコン→[ヘルプ]と進むと選択できる。

　最新版はブラウザの再起動後に利用できるようになるので、ブラウザを起動したままでいる方は注意していただきたい。

　Android用のChrome for Android 69（69.0.3497.100）も同日公開されており、Google Playで更新できる。

（2018/09/18 ネットセキュリティニュース）

【関連URL：グーグル】
・Stable Channel Update for Desktop[英文]
https://chromereleases.googleblog.com/2018/09/stable-channel-update-for-desktop_17.html
・Chrome for Android Update[英文]
https://chromereleases.googleblog.com/2018/09/chrome-for-android-update_17.html

　アップルは19日、深刻な脆弱性を修正した「Safari 12」と「iOS 12」を公開した。すでに公開されているWindows版「iTunes 12.9」についても、脆弱性の修正が含まれているので、早急に更新していただきたい。

　最新版へのアップデートは、Macは自動更新や通知をクリックするか、手動で「App Store」を確認する。Appleメニューから[App Store]を選択し、ツールバーの[アップデート]ボタンをクリックすると、利用可能なアップデートが表示される。

　iPhoneやiPadなどのiOS端末は、[設定]アイコンから[一般]→[ソフトウェア・アップデート]と進むか、端末をパソコンに接続し、iTunes経由で行う。
　Windows用のソフトウェアは、iTunesやiCloudと一緒にインストールされている「Apple Software Update」で行う。

■Safari 12

　WebブラウザSafariの最新版「12」では、先ごろMicrosoft Edgeで修正されたなりすましの脆弱性のSafari版など、3件の問題が修正されている。アップデートの対象は、macOS High Sierra（v10.13.6）とmacOS Sierra（v10.12.6）のみとなっている。

　Mac用OSのセキュリティアップデートは、3世代のみの提供が基本だ。今月25日に公開が予定されているmacOS Mojaveのリリースに伴い、OS X El Capitanのサポートが終了する。引き続きセキュリティアップデートを受け取るためには、macOS Sierra以降のOSにアップグレードする必要がある。現時点で公開されている脆弱性情報は3件のみだが、アップデート状況からは、Webページを描画するレンダリングエンジン「WebKit」の脆弱性修正も含まれている可能性が他愛ので、El Capitanの利用者は、早急なアップグレードをお勧めする。

＜関連URL：アップル＞
・Safari 12
https://support.apple.com/ja-jp/HT209109

■iOS 12

　モバイル端末用OSの最新版「iOS 12」では、パフォーマンスの改善および様々な新機能や機能強化に加え、16件の脆弱性の修正が公表されている。修正されたのは、Safari 12と共通の2件のほか、アプリがシステム特権で任意のコードを実行できるおそれのあるメモリ破壊の問題や、情報流出の問題などの修正が含まれている。
　アップデートの対象となるのは、iPhone 5s以降、iPad mini 2以降、iPod touch第6世代以降。

＜関連URL：アップル＞
・iOS 12
https://support.apple.com/kb/HT209106

■iTunes 12.9

　脆弱性情報はまだ公開されていないが、13日に「iTunes 12.9」が先行公開されている。脆弱性の修正が含まれているようなので、必ず更新していただきたい。アップデートの対象は、Windows 7以降。

（2018/09/18 ネットセキュリティニュース）

 　グーグルは11日、「Google Chrome 67」の最新安定板「69.0.3497.92」を公開した。対象となるのは、Windows、Mac、およびLinux。

　最新版では、脆弱性が2件修正されている。1件はWebAssemblyで関数シグネチャの不整合が起こる問題で、深刻度は4段階中2番目に高い「高」。もう1件はアドレスバーのOmniboxでURLを偽装できる問題で、深刻度は3番目に高い「中」とされている。

　最新版への更新は自動的に行われるほか、メニューの[Google Chromeについて]を選択すると、ただちに最新版の確認とアップデートが行える。Mac版はChromeメニューから、Windows版は右端の設定アイコン→[ヘルプ]と進むと選択できる。

　最新版はブラウザの再起動後に利用できるようになるので、ブラウザを起動したままでいる方は注意していただきたい。

　また同日、Android用のChrome for Android 69（69.0.3497.91）も公開されている。Google Playで更新できる。

【関連URL：グーグル】
・Stable Channel Update for Desktop[英文]
https://chromereleases.googleblog.com/2018/09/stable-channel-update-for-desktop_11.html
・Chrome for Android Update[英文]
https://chromereleases.googleblog.com/2018/09/chrome-for-android-update_11.html

（2018/09/12 ネットセキュリティニュース）

　アドビシステムズは11日、コンテンツ再生ソフト「Flash Player」の最新版「31.0.0.108」を公開した。脆弱性1件が修正されており、同社はアップデートを呼びかけている。

　脆弱性の影響を受けるのは、Windows版、Macintosh版、Linux版、Google Chrome搭載版、Internet Explorer/Edge搭載版の「30.0.0.154」以前のバージョン。

　修正されたのは、情報漏えいにつながるおそれのある特権昇格の脆弱性1件で、緊急度は3段階中で2番目に高い「重要」とされている。

　システムにインストールされているFlash Playerのバージョンは、下記のバージョン確認ページにアクセスするか、コントロールパネルやシステム環境設定の「Flash Player」の[更新]タブで確認できる。最新版への更新はFlash Playerの自動更新機能を通じて行われるほか、同社サイトからダウンロードすることもできる。

　Windows 8.1/10に搭載されているInternet Explorer 11およびEdge用のFlash Playerについては、Windows Updateを通じて最新版が配布されている。Google Chromeに搭載されているFlash Playerについては、同日公開の「69.0.3497.92」とともに、自動更新機能を通じて最新版が配布されている。

（2018/09/12 ネットセキュリティニュース）

【関連URL】
・Security updates available for Flash Player | APSB18-31[英文]
https://helpx.adobe.com/security/products/flash-player/apsb18-31.html
・Flash Playerのバージョン確認
https://get.adobe.com/jp/flashplayer/about/
・Flash Playerのダウンロード
https://get.adobe.com/jp/flashplayer/
・ADV180023 | 2018年9月のAdobe Flashのセキュリティ更新プログラム（マイクロソフト）
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/ADV180023
・Stable Channel Update for Desktop[英文]（グーグル）
https://chromereleases.googleblog.com/2018/09/stable-channel-update-for-desktop_11.html

　マイクロソフトは12日、9月度の月例セキュリティパッチ（セキュリティ更新プログラム）を公開した。深刻な脆弱性が多数修正されており、同社はできるだけ早期にパッチを適用するよう呼びかけている。

　公開されたのは、深刻度が4段階評価で最も高い「緊急」12件、次に高い「重要」1件および、C SDK for Azure IoTとMicrosoft.Data.OData用のパッチ。Windows、Windows Server、Edge、Internet Explorer、Office関連ソフトウェア、SharePoint関連ソフトウェア、.NET Framework、ChakraCore、ASP.NET Core、C SDK for Azure IoT、.Data.OData、Adobe Flash Playerが影響を受ける。

【更新プログラムの内容】
＜緊急＞
・Windows 10/Windows Server 2016（Edgeを含まない）：リモートコード実行の脆弱性
・Windows 8.1/Windows Server 2012 R2：リモートコード実行の脆弱性
・Windows Server 2012：リモートコード実行の脆弱性
・Windows RT 8.1：リモートコード実行の脆弱性
・Windows 7/Windows Server 2008 R2：リモートコード実行の脆弱性
・Windows Server 2008：リモートコード実行の脆弱性
・Edge：リモートコード実行の脆弱性
・Internet Explorer：リモートコード実行の脆弱性
・Office関連ソフトウェア：リモートコード実行の脆弱性
・.NET Framework：リモートコード実行の脆弱性
・ChakraCoreと ASP.NET Core：リモートコード実行の脆弱性
・Adobe Flash Player：リモートコード実行の脆弱性

＜重要＞
・SharePoint関連ソフトウェア：特権昇格の脆弱性

＜その他＞
・C SDK for Azure IoTとMicrosoft.Data.OData用のセキュリティ更新プログラム

　これらのうち、WindowsとWindows Serverに影響する、タスクスケジューラのALPC（アドバンストローカルプロシージャコール）の脆弱性（CVE-2018-8440）については、パッチ公開前に情報が一般に公開されており、悪用も確認されている。ほかに、WindowsとWindows Serverに影響する脆弱性1件（CVE-2018-8475）、Internet ExplorerとEdgeに影響する脆弱性1件（CVE-2018-8457）、ASP.NET Core Webアプリケーションに影響する脆弱性1件（CVE-2018-8409）についても情報が一般に公開されていたが、悪用は確認されていない。

（2018/09/12 ネットセキュリティニュース）

【関連URL：マイクロソフト】
・セーフティとセキュリティセンター
https://www.microsoft.com/ja-jp/safety/default.aspx
・セキュリティ更新プログラムガイド
https://portal.msrc.microsoft.com/ja-jp/
・2018年9月のセキュリティ更新プログラム（月例）
https://blogs.technet.microsoft.com/jpsecurity/2018/09/12/201809-security-updates/

　災害が発生したとき、インターネットは情報を受発信するために役立つが、残念なことにデマの拡散や詐欺行為にも使われてしまう。

■飛び交う不審メール、「偽募金サイト」へ誘導するものも

　携帯会社を装った「地震情報」や、気象協会をかたる「土砂災害にご注意ください」、日本ユニセフを装う「ご協力ください」といった不審なメールが出回っている。「警戒対象地域」「募金を受け付けています」といった短い本文にサイトのアドレスが書かれたものや、サイトのアドレスだけが記載されたものが多い。

　不審メールの多くは、記載されたURLをクリックさせたり、記載した連絡先に返信や問い合わせをさせたりすることを狙っている。そうした誘導にのらず、無視することが一番の対策となる。過去には、地震速報というメールを受信して詳細情報とされているアドレスをクリックしたところ、出会い系サイトにつながり料金を請求されたなどというケースもある。注意していただきたい。

　「Yahoo!ネット募金」の偽サイトへ誘導するメールも見つかっている。件名は「Yahoo!ネット募金 - 【西日本豪雨】平成30年7月豪雨緊急災害支援募金。」と書かれており、本文では「Yahoo!基金では被災地や被災地の住民の方を支援するために緊急災害支援募金を立ち上げました。」と述べ、偽の募金サイトへ誘導。クレジットカードでの募金を受け付けるとして、カード情報を記入させ、盗み取ろうとしている。11日午後の段階でも偽サイトは稼働中なので、だまされないよう注意していただきたい。

・当社をかたるフィッシングメール、不正メールにご注意ください。（Yahoo!セキュリティセンター）
https://security.yahoo.co.jp/news/0005.html
・Yahoo! JAPANカスタマーサービスのツイート
https://twitter.com/Yahoojp_CS/status/1037895324411424768

■デマ情報がSNSで拡散、「信頼できる情報源」で真偽の確認を。

　6日未明に北海道で発生した大きな地震に関しては、当日午前中から「あと4時間程度で携帯電話が使えなくなる」「札幌市内全域が6時間後に断水となる」といったデマがSNSで広がり始めた。ある政党の公式ツイッターアカウントは、所属議員の事務所からの情報として、「旭川市内の一部が断水になるかもしれない。お風呂に水をためる等、準備を」などとツイートした。その後、旭川市役所の公式ツイッターで断水の心配はない旨の投稿があり、この政党も翌日、情報はデマだったと謝罪のツイートをした。

　8日には、自衛隊や消防署の人から聞いたとして「苫小牧の方で地響きが鳴っているので〇時間後に大きい地震が来る」という情報がツイッターで広まった。苫小牧市は、被害の大きかった厚真町に隣接しており、不安になった人から問い合わせが多数寄せられたことから、市では9日、ホームページにこのデマに関する注意喚起を掲載した。

　こうしたデマに関し、内閣府は「災害時には、インターネット上に根拠のない不確実な情報いわゆるデマが投稿されることがあります。公共機関の情報を確認するなど、こうした情報に惑わされないよう注意してください。」とツイッターで呼びかけている。

　総務省から委託を受けて迷惑メールに関する相談や情報を受付けている迷惑メール相談センターは、災害時のデマに関して情報を集めたページを公開している。同センターは、報道や行政機関のウェブサイト等の信頼できる情報源で情報の収集に努め、真偽を確かめて、冷静に対処して欲しいと呼びかけている。

・内閣府（防災担当）のツイート
https://twitter.com/CAO_BOUSAI/status/1037538251299479552
・災害に関連するデマ情報に注意しましょう（迷惑メール相談センター）
https://www.dekyo.or.jp/soudan/contents/eq/index.html
・札幌市水道局　9月6日の地震による断水・給水情報
http://www.city.sapporo.jp/suido/riyosya/saigai/dansui.html
・旭川市役所のツイート
https://twitter.com/asahikawa_jp/status/1037518064042930176
・苫小牧市　災害警戒・対応状況
http://www.city.tomakomai.hokkaido.jp/kurashi/bosai/jishin/keikai/saigaikeikai.html

（2018/09/11 ネットセキュリティニュース）

　国民生活センターは6日、同センターのホームページ上に開設されている「消費者トラブルメール箱」に2017年度に寄せられた情報の概況を発表した。寄せられた情報は1万245件で、大手通販サイトなどをかたる架空請求に関するものが目立った。

　同センターによると、「トラブルメール箱」はインターネットを用いた情報収集システムのため、例年、インターネット通販に関するものや情報通信関連の情報提供が多いのが特徴。センターでは寄せられた情報をもとに、一般的な対応方法や各種相談先の情報を提供するFAQのコーナーを設置している。被害拡大が考えられるものや、新商品や新たな手口にまつわる情報については、情報提供者や事業者への追跡調査も行っている。

　トラブルメール箱に情報を送信した人を見ると、59.3％が男性だった。また、年代別では40歳代（34.8％）と30歳代（26.0％）で約6割を占めている。2017年度に寄せられた情報の件数（1万245件）は、2016年度（9387件）を大きく上回った。一日当たりの受信件数は28件だった。以下、寄せられた情報のうち、インターネットが絡んだものについて見てみよう。

●SMSで届く架空請求――「有料動画料金が未納、法的措置とる」
　利用した覚えのない「コンテンツ利用料」や「サイト利用料」などといった名目で請求メールが届く事例が、相変わらず寄せられている。2017年度は、「大手通販サイトをかたって『有料動画の料金が未納、本日付で連絡しないと法的措置をとる』という文面の請求メールがSMSで届いた」などという事例が目立った。

●ネット通販トラブル：「商品が届かない」「模倣品が届いた」「連絡不能」
　インターネット通販に関しては、前払いに関する商品の未着や連絡不能といったトラブルの情報提供が前年度に続いて多く寄せられた。中でも、「業者に繰り返し電話をしてもつながらず、住所も特定できない」「注文したものとは違う模倣品と思われる商品が届いた」など、悪質な通販会社による詐欺的なトラブルと考えられるケースが目立った。

●ネット通販トラブル：「お試し」のはずが「定期購入契約」に
　健康食品や化粧品のインターネット通販において、「お試し」ということで通常価格より安い価格で購入したところ、実際は定期購入の契約をしたことになっており、思ってもみない金額を請求されたという情報も引き続き寄せられた。

●情報商材トラブル：「簡単にお金が稼げる」はずが「全然稼げなかった」
　「お金のもうけ方」や「異性にモテる方法」などさまざまなノウハウを提供すると称する「情報商材」についての事例も寄せられており、「内容が理解できず使い物にならない」「簡単にお金が稼げるとのことだったが、全然稼げなかった」などといったトラブルが目立った。

●オンラインゲームやアプリのトラブル
　オンラインゲームやアプリについては、ゲーム運営事業者の対応に関する不満、「ガチャ」等の課金や表示に関するトラブルや、フリマサイトなど個人売買の仲介をするアプリで行う個人間取引のトラブルなどが目立って寄せられた。

●海外旅行予約でもトラブル
　「旅行会社のサイトで海外格安航空券を申し込んだが、自分で記入した英字氏名のつづりがパスポートと異なっていたため航空券の再予約が必要と言われ、数万円の変更手数料を求められた」「代行業者のサイトとは気付かず、ESTA（米国への電子渡航認証）の申請手続を行い、数千円の費用がかかってしまった」といったトラブル事例も寄せられている。

　追跡調査を実施した事案の中には、「IDとパスワードを失念した際のオンライン大学受験講座の解約方法がわかりづらい」というもの、「化粧品の定期購入サービスでサイト上に解約方法について記載がない」というものなどがあった。

（2018/09/11 ネットセキュリティニュース）

【関連URL：国民生活センター】
・「消費者トラブルメール箱」2017年度のまとめ
http://www.kokusen.go.jp/news/data/n-20180906_2.html
・報告書本文[PDF]
http://www.kokusen.go.jp/pdf/n-20180906_2.pdf
・消費者トラブルメール箱
http://www.kokusen.go.jp/t_box/t_box.html
・メールでよくある情報提供と回答
http://www.kokusen.go.jp/t_box/t_box-faq.html

　東京都は8月23日、オーディションをきっかけに勧誘されるタレント・モデル契約のトラブルに注意するよう呼びかけた。都には今年4月から8月27日までの間に、オーディションに関連したタレント養成講座やタレント所属契約に関する相談が94件寄せられている。また都は、こうした勧誘を行っていた業者に8月28日、業務の一部停止命令を出した。

　都が紹介している相談事例によると、20歳代の男性は求人サイトで「映画に出演できるオーディション」を見つけ、応募して合格。事務所に出向いたところ、半年間50万円のレッスンを受ける必要があると言われて契約した。3週間後に解約を申し出ると、解約はできるが入学金の35万円は支払ってもらうと言われたという。

　20歳代の女性は、ファッション雑誌の発行業者がモデルオーディションを行っているとのSNS広告を見て応募。一次審査に合格し、面接を受けに事務所に行ったところ、「事務所に所属したらファッションショーにも出してあげる。レッスン料は無料だが、マネジメント料が55万円かかる」と言われ、契約書にサインしてしまったが解約したいと相談を寄せた。

　こうした「オーディション商法」は以前からあり、電話やメールで呼び出して契約を迫るアポイントメントセールスや、街で声をかけて事務所などに連れて行き契約させるキャッチセールスの手口が使われている。近年は、ネット上の広告を見て、あるいはオーディションの情報を検索するなどして、自ら応募したことがトラブルのきっかけとなっていることが多い。

　都は、オーディションのために出向いた事務所で「合格です。うちで売り出してあげる」などと言われたとしても、高額な費用がかかるレッスン契約やマネジメント契約を「その場ですぐに結ぶ」ことは止めるようにアドバイスしている。特に、高額な入学金や申込費用を設定している事業者は、解約時にトラブルになりがちなので、注意が必要だという。

　また、こうした契約について少しでも不安や疑問を感じた場合は、消費生活センターに相談してほしいと呼びかけている。消費者ホットライン（局番なしの188）に電話すると、最寄りの消費生活センター等を案内してもらえる。

・すぐにタレントになれると思ったら、高額費用がかかる！？～オーディションをきっかけに勧誘されるタレント・モデル契約のトラブルに注意！～（東京都）
https://www.shouhiseikatu.metro.tokyo.jp/sodan/kinkyu/180823.html

■オーディション商法で勧誘を行っていた業者に業務一部停止命令

　都は8月28日、タレント養成会社のクリード（東京都渋谷区）に対し、6か月の業務一部停止命令を出した。また、同社の代表取締役と営業部課長に対し、同じ期間、当該停止を命じた範囲の業務を新たに開始することの禁止を命じた。

　同社は、DWE（ドリームワークスエンターテイメント）、Major（メジャー）、Top（トップ）の屋号で、「映画出演」「歌手デビュー」のオーディションサイトを開設。オーディション後の最終面談時に突然レッスンの話を持ち出し、受講契約を結ぶよう勧誘していた。また勧誘の際、オーディション参加者のうち7～8割を最終面談に呼び出していたにもかかわらず、あたかも多数の参加者から特別に選ばれたかのような嘘を告げていた。同社は2016年6月から翌年5月までの間に2億1000万円を売り上げていたという。

　同社については2016年度以降、都に76件の相談が寄せられていた。相談者の平均年齢は25歳、平均契約額は80万円だった。

・オーディション商法でレッスン契約を勧誘していた事業者に業務停止命令、代表者等に業務禁止命令（東京都）
https://www.shouhiseikatu.metro.tokyo.jp/torihiki/shobun/shobun180828.html
・相談事例（株式会社クリード）（東京都）
https://www.shouhiseikatu.metro.tokyo.jp/torihiki/shobun/jirei180828.html

（2018/09/10 ネットセキュリティニュース）

　モジラは6日、Webブラウザ「Firefox」の最新版「Firefox 62」を公開した。対象となるのは、Windows、Mac、Linux、Android。法人向けの延長サポート版（ESR）「60.2」も公開されている。

　Firefox 62では、CSS（Cascading Style Sheets）で幾何学図形を表現するCSSシェイプやCSS可変フィンの新機能のサポートやパフォーマンスの改善が行われたほか、9件の脆弱性が修正されている。修正された脆弱性は、深刻度が4段階評価で最も高い「最高」が1件、次に高い「高」が3件、「中」が2件、「低」が3件の計9件。深刻度「最高」の脆弱性をはじめ、悪用されると任意のコードが実行されるおそれのある、メモリーがらみの危険な問題が複数修正されている。

　ESR 60.2では、62と共通する「最高」1件、「高」2件、「中」2件、「低」1件の計6件の脆弱性が修正されている。なお「Firefox ESR 52」のサポートは終了した。セキュリティアップデートは提供されないので注意していただきたい。

　デスクトップ用の最新版は、自動更新機能を通じて配布されているほか、今すぐ手動で更新することもできる。手動更新は、WindowsではFirefoxのメニューボタン「≡」をクリックし、[ヘルプ]→[Firefoxについて]を選択する。または、[Alt]キーを押してメニューバーを表示し、[ヘルプ]メニューの[Firefoxについて]を選択する。OS Xでは、Firefoxメニューの[Firefoxについて]を選択する。

　自動や手動で更新したデスクトップ版のFirefoxは、ブラウザの再起動後に最新版が利用できるようになるので、ブラウザを起動したままでいる方は注意していただきたい。

　Android用の最新版は、準備が整い次第「Google Play」から順次配信される。アプリの自動更新が有効に設定されている場合には、自動的に更新されるほか、「Google Play」の「マイアプリ＆ゲーム」で「アップデート」を表示すると、手動で更新できる。

（2018/09/06 ネットセキュリティニュース）

【関連URL：モジラ】
＜Firefox 62.0＞
・リリースノート（デスクトップ版）
https://www.mozilla.jp/firefox/62.0/releasenotes/
・リリースノート（Android版）
https://www.mozilla.jp/firefox/android/62.0/releasenotes/
・Security vulnerabilities fixed in Firefox 62
https://www.mozilla.org/en-US/security/advisories/mfsa2018-20/

＜Firefox ESR 60.2＞
・リリースノート
https://www.mozilla.jp/firefox/60.2.0/releasenotes/
・Security vulnerabilities fixed in Firefox ESR 60.2
https://www.mozilla.org/en-US/security/advisories/mfsa2018-21/

　グーグルは5日、深刻な脆弱性の修正を含む「Google Chrome 69」の最新安定版「69.0.3497.81」を公開した。対象は、Windows、Mac、およびLinux。

　Google Chrome 69では、丸みを帯びたデザインに一新され、HTTPS接続時のアドレスバーのインジケータが一部変更されたほか、強いパスワードを自動生成するツールなどが新たにサポートされた。

　アドレスバーのインジケータの変更は、暗号化されたHTTPS接続時に表示していた「保護された通信」の表示と、URLの先頭の「https://」の表示がなくなり、シンプルになった。南京錠アイコンとEV-SSL証明書の運営者名は、これまで緑色で表示していたが、規定色の白黒表示に変更されている。次のChrome 70からは、暗号化されていないページで入力しようとすると赤色の警告表示になる予定だ。

　セキュリティ面では、5段階評価の深刻度が上から2番目に高い「高」の脆弱性7件を含む、計40件の脆弱性が修正されている。深刻度「高」の脆弱性は、JavaScriptエンジンの「V8」やWebページのレンダリングエンジン「Blink」、オーディオ機能「WebAudio」などで発生する、領域外のメモリーへのアクセス、解放したメモリーのへのアクセス、整数オーバーフローの問題で、マルウェア（ウイルス）感染に悪用されるおそれがある。

　最新版への更新は自動的に行われるほか、メニューの[Google Chromeについて]を選択すると、ただちに最新版の確認とアップデートが行える。Mac版はChromeメニューから、Windows版は右端の設定アイコン→[ヘルプ]と進むと選択できる。

　最新版はブラウザの再起動後に利用できるようになるので、ブラウザを起動したままでいる方は注意していただきたい。

　Android用のChrome for Android 69（69.0.3497.76）のリリースもアナウンスされており、準備が整い次第、順次Google Playで更新できるようになる。

（2018/09/06 ネットセキュリティニュース）

【関連URL：グーグル】
・Stable Channel Update for Desktop[英文]
https://chromereleases.googleblog.com/2018/09/stable-channel-update-for-desktop.html
・Chrome for Android Update[英文]
https://chromereleases.googleblog.com/2018/09/chrome-for-android-update.html

　細工したQRコードを特定のリーダーアプリで読み取ると、端末のGPSが計測した精密な位置情報などが外部に送信され、無断で第三者に提供されていたことがわかった。サービスの運営会社は、8月28日までに取得情報の提供を中止、9月4日未明にはAndroid用アプリの位置情報使用も停止した。

　QRコードは、デンソーウェーブが開発したバーコードの平面版のこと。小さなドットで構成された四角い図形を対応アプリで読み取ると、図形に埋め込まれた情報が取得できる仕組みだ。標準で読み取り機能に対応したスマートフォンも多く、URLや連絡先の取り込が簡単に行えるほか、チケットや決済などにも使われている。

　様々な用途に広く利用されるも見た目では中身も違いも全く分からないQRコードに、通常の読み取りアプリでは分からない細工をすることができ、実際にそれが公式アプリで行われていたことがわかり、ネット上で大きな話題となった。

　問題が見つかったのは、同社とアララ社が共同開発した「公式QRコードリーダー“Q”」。 公式のQRコード作成・解析サイト「QR Codeメーカー」で「アクセス解析」付きで作成したQRコードを読み込むと、読み込み時点の経緯度情報などがサーバーに送信され、そのQRコードの作成者に取得した情報が提供されるようになっていた。アプリは「App Store」や「Google Play」で無料配布されており、説明では、「位置情報を地図のQRコードの読み取り、作成に使用する」としていたが、読み取り時に外部に送信し、QRコードの作成者に提供するとの説明は一切なかった。

　QRコード作成者に提供していた解析情報は、経緯度情報のほかに、読み取り日時、ユーザーID、IPアドレスなど。犯罪への悪用も懸念され、8月27日にネット上で騒ぎになった。同日、解析サイトでの経緯度情報の提供が停止。翌28日には、ダウンロード提供していた生データの提供も中止したが、その後もアプリで読み取るたびに、位置情報の送信が続いていた。

■今すぐ位置情報の使用を停止したい場合

　「Google Play」で配布していたAndroid用の公式アプリは、9月3日付で更新され、位置情報の使用が中止された。「App Store」で配布中のiOS用公式アプリは、4日午後時点ではまだ更新されていないが、準備が整い次第、位置情報の使用を中止した最新版が公開されると見られる。今すぐ位置情報の使用を停止したい場合は、[設定]アイコンから[プライバシー]→[位置情報サービス]と進み、「QR Code」アプリをタップ。位置情報の利用を「許可しない」に設定する。地図上の場所からQRコードを生成する際に、現在位置に移動しなくなる以外に特に弊害はない。

■「不要なアクセスは許可しない」設定法

　使用目的を説明せずに、あるは偽って、必要以上のアクセス権を求めるアプリがある。不審なアプリは使わないに越したことはないが、それでも使用する場合には、アクセス許可を制限することも可能だ。

　インストールしたアプリのアクセス制御は、iPhoneなどのiOSとAndroid 6以降の端末で利用できる。アプリの起動時やプライバシーなどに関わる機能の利用時に、システムが利用を許可するかどうかを確認して来るので、許可しなければその機能が利用されることはない。QRコードの読み取りアプリならば、「カメラ」の使用許可さえ与えれば事足りるはずだ。

　許可済みのもの（インストール時に一括して許可したものを含む）は、iOS端末は[設定]の各アプリアイコンでアプリ別に、[プライバシー]で使用する機能別に設定できる。Android端末は、[設定]からアプリ関係のメニューに進むと、[アプリ情報]などでアプリ別に、[アプリの権限]などで使用する機能別に設定できる。

　一部のAndroid端末は、アプリごとにバックグランドでのデータ通信やモバイルデータ通信、Wi-Fiデータ通信の使用を制限できるものもある。通信できないようすれば、取得されても外部に送信されずに済むかも知れない。iOSは、バックグランド更新、モバイルデータ通信は個別に制限できるが、Wi-Fiは制限できない。通信を全て遮断したい場合には、機内モードを利用すると良い。通信制限機能のないAndroid端末も機内モードであれば外部にデータを送信されずに済む。

　データ通信を遮断するとアプリが利用できなくなってしまったり、機能に制限が生じたりすることもあるので注意が必要だ。例えば「公式QRコードリーダー“Q”」の場合は、通常のQRコードの読み取りに支障はないが、「フレームQR」の読み取りや地図表示などのデータ通信に依存する機能が利用できなくなってしまう。

（2018/09/04 ネットセキュリティニュース）

【関連URL】
＜発端となった投稿＞
・「公式」QRコードリーダーを使うと読み取り時の位置情報がQRコード作成者に提供される（スラド）
https://srad.jp/submission/78134/
・mala氏のツイート（twitter）
https://twitter.com/bulkneets/status/1033790836494876672

＜QRコードメーカーの告知＞
2018/08/27 アクセスログCSVに記載されていた緯度経度情報の提供終了について
2018/08/28 アクセスログCSVダウンロードサービスの提供終了について
https://m.qrqrq.com/service/news/
・公式QRコードリーダー“Q”（アララ）
http://www.arappli.com/service/q/
・QRコードメーカー（デンソーウェーブ、アララ）
https://m.qrqrq.com/