Hacking  事件簿 不正ログイン アクセス

Internet Scrapbook
Angel's share -Internet Scrapbook    (Angel's share)
SNS -Internet Scrapbook               (事件簿 SNS)
Incident -Internet Scrapbook          (事件簿)
Glossary -Internet Scrapbook         (用語解説)
コンピューターおばあちゃんに花束を ！！ -Internet Scrapbook
Link


Hacking -Internet Scrapbook

2014年06月20日




脆弱性管理ができていないWebサイトの担当者に閉鎖の検討を呼びかけ（IPA）
http://scan.netsecurity.ne.jp/article/2014/06/20/34414.html    ScanNetSecurity
独立行政法人 情報処理推進機構（IPA）は6月19日、企業・組織のホームページ担当者、個人のホームページ作成者に対し、脆弱性管理ができていないWebの閉鎖を検討するよう注意喚起を行った。これは、古いバージョンのCMSの脆弱性を狙ったWeb改ざんが横行していることを受けたもの。改ざんによりWebサイトにウイルスを仕掛けることも可能なため、問題のあるWebサイトを放置しておくことは、ウイルス拡散に悪用されかねないとしている。特に、「Web Diary Professional（WDP）」と「Movable Type」については攻撃が活発化している。
IPAでは5月以降に、両システムを用いたWebサイトの数を調査しており、その結果、WDPを使用して作成されたWebサイトは170件、特定の問題があるMovable TypeのWebサイトは70件が検出された。これはWeb改ざんのリスクを抱えるサイトであり、この件数は潜在する問題のあるサイトのごく一部に過ぎない。また IPAの脆弱性届出窓口にも、危険な脆弱性を含む古いバージョンのCMSを利用しているWebサイトに対する届出が累計241件に上っている。しかし、このうちWeb運営者に連絡が取れない、または連絡後30日以上経過しても脆弱性解消の目処が立っていないWebサイトは、6月19日現在で50件と、全体の2割を占めている。
IPA   管理できていないウェブサイトは閉鎖の検討を
http://www.ipa.go.jp/security/ciadr/vul/20140619-oldcms.html




「ファンタシースターオンライン2」DDoS攻撃でサービス一時停止　サイトにも攻撃
http://www.itmedia.co.jp/news/articles/1406/20/news077.html    ITmedia
セガ「ファンタシースターオンライン2」（PSO2）がDDoS攻撃を受け一時停止。
セガは、オンラインRPG「ファンタシースターオンライン2」（PSO2）のサーバが何者かによるDDoS（分散型サービス拒否）攻撃を受けているため、サービスを一時停止したと発表した。同ゲームの公式サイトも攻撃を受けているとして一時停止。6月20日午後1時現在、再開には時間が必要な状況という。
同社によると、DDoS攻撃は6月19日に始まり、同日夜にゲームサーバを一時停止。公式サイトにも攻撃が始まったたとして、サイトも停止した。現在も攻撃が続いており、警察に被害を報告しているという。
サイトが停止しているため、公式Twitterアカウントを情報提供に活用。当初は20日午後1時に再開の見込みについて告知する予定としていたが、再開には「まだ時間を要する状況」。同日午後6時に再度報告するとしている。
PSO2の公式Twitterアカウント
https://twitter.com/sega_pso2/

「はてな」で不正ログイン、2398件のアカウント被害、ギフト券交換申請も
http://internet.watch.impress.co.jp/docs/news/20140620_654453.html    Impress Watch
株式会社はてなは20日、パスワードリスト型攻撃によるものとみられる不正ログインが発生したとして、ユーザーに注意喚起を行った。
はてなによると、6月19日にユーザーから「メールアドレスが変更されている」という問い合わせがあり、調査の結果、複数のアカウントに不正ログインが行われていることを確認。不正ログインは6月16日から開始されており、対応として疑わしいIPアドレスからのアクセスを遮断した。
不正ログインの試行回数は約160万回（6月19日18時時点）で、不正ログインを受けたアカウント数は2398件。
被害としては、不正ログインによりメールアドレスを変更し、Amazonギフト券交換の申し込みを行ったアカウントが3件あったが、ギフト券交換はスタッフが目視で確認の上で手続きを行っているため、交換には至っていない。また、この3件以外にメールアドレスが変更されたアカウントはなかった。
それ以外のユーザーについても、不正ログインを受けたアカウントについては、はてなに登録している個人情報のうち氏名、郵便番号、生年月日が閲覧、変更された可能性や、メールアドレスが閲覧された可能性、クレジットカード情報を登録している場合はカード番号の下4桁を閲覧された可能性がある。
なお、クレジットカード情報に関して、下4桁以外の番号および有効期限が閲覧された可能性はなく、今回の不正ログインで金銭的被害は発生していないという。
はてなでは、不正ログインを受けたユーザーについては、ログイン状態を強制的に停止してログアウト状態にするとともに、パスワードをランダムな文字列に変更し、パスワードを再設定するようメールで連絡している。メールアドレスを変更されてしまった3人については、別の方法で連絡を行っている。
はてなのアカウントに対しては、何らかの方法で入手したIDとパスワードのリストを使ってログインを試みる、パスワードリスト型攻撃による不正ログインが2月に確認されており、今回も同様の攻撃が行われているとみられる。2月の不正ログインを受けて、メールアドレスの変更時には変更前のアドレスにも通知メールを送信するようにしたため、ユーザーからの指摘がいち早くあったという。
はてなでは、他社サービスと同一のID（メールアドレスまたはユーザー名）とパスワードを使用しているユーザーに対して、安全のため登録メールアドレスが自身のものであるかを確認した上で、パスワードを変更することを強く推奨している。
はてなからの案内文　　不正ログイン防止のため、パスワードと登録情報のご確認をお願いします
http://hatena.g.hatena.ne.jp/hatena/20140224/1393211701





「ニコニコ動画」閲覧者に偽Flash Player更新通知　マイクロアドの広告ネットワークが原因
http://www.itmedia.co.jp/news/articles/1406/20/news066.html    ITmedia
「niconico」内で19日未明から、Flash Playerの更新を促す偽の通知が表示され、マルウェアをダウンロードさせられるという報告が相次いでいたが、原因はマイクロアドの広告ネットワークだったという。
ドワンゴは、動画サービス「niconico」内で6月19日未明から、Flash Playerの更新を促す偽の通知が表示され、誘導に従うとマルウェアをダウンロードさせられるという報告があったと発表した。マイクロアドの広告ネットワークに埋め込まれていたスクリプトが原因で、同日正午までに同ネットワークとの通信を遮断したという。
「ニコニコ動画」や「ニコニコ生放送」を閲覧中、「このページは表示できません！　Flash Playerの最新バージョンへのアップデート！」というメッセージがポップアップ表示され、偽のFlash Player更新サイトに誘導された──という報告がネットで相次ぎ、Flash Player提供元のアドビシステムズが注意を呼びかけていた。
マイクロアドによると、同社が提供する広告配信サービス「MicroAd AdFunnel」を導入している一部のメディアで問題が起きていたという。提携している米国の広告事業社からマイクロアドの広告サービスを経由して問題の広告が配信されていたことを確認し、19日午前10時ごろに同事業者からの配信を停止したという。同事業者からは、該当の広告と関連するドメインをすべて特定し、停止処置を完了したと報告を受けたという。
被害規模や、ユーザーが被害を受けたかの判別方法、被害を受けた場合の回復方法などは、マイクロアドが調査中。ドワンゴは「マイクロアドから報告があり次第改めて周知する」としている。
ニコニコインフォの告知　　マイクロアド社広告経由のマルウェアについて
http://blog.nicovideo.jp/niconews/ni046930.html
マイクロアドの告知　　≪悪意のあるサイトへ誘導される広告表示に関して≫
http://www.microad.co.jp/info/info20140619.html

「韓国政府がLINE傍受」記事に事実無根と反論したLINE社長のブログに対してFACTA発行人が反論
http://nlab.itmedia.co.jp/nl/articles/1406/20/news049.html    ITmedia
反論のラリー。
FACTA ONLINE（FACTA）が「韓国国情院がLINEを傍受している」という内容の記事を公開したことに対してLINEの森川亮社長がブログで事実無根と反論したことについて、FACTAの発行人である阿部重夫氏は6月19日、「LINE森川亮社長の抗議について」と題したブログを公開した。
森川氏は反論の中で、「そのような事実はございません」と断ったうえで、「LINEの通信は、国際基準を満たした最高レベルの暗号技術を使って通信されていますので、記事に書かれている傍受は実行上不可能です」と否定していた。それに対して阿部氏は事実無根とした確証をどこから得たのかと疑問をていしている。
前述した「最高レベルの暗号技術」についても、それが破られているから問題なのであり、森川氏の認識が甘いとした。そして、このような形で反論する以前に、LINEは被害者なのだから韓国の国情院に対して抗議すべきと提案している。
なお、ブログ掲載時にはLINEからの正式な抗議はなく、阿部氏は「形式的に抗議せざるをえなかったのだろう」と、記事は確証があるから掲載したと自信をのぞかせている。FACTAの記事に対する森川氏の反論に対する阿部氏の反論……、さらに混迷を深めそうだ。
LINE
http://line.me/ja/
FACTA ONLINEの記事　　韓国国情院がLINE傍受　仮想空間はとうに戦場。国家の「傭兵ハッカー」たちが盗み、奪い、妨害し、破壊する無法地帯で、日本も巻き込まれた。
http://facta.co.jp/article/201407039.html





内部不正や犯罪をさせない、許さないための個人対策
http://www.itmedia.co.jp/enterprise/articles/1406/20/news036.html    ITmedia
情報セキュリティの中でも事前対策や事後対応が特に難しいのが、「内部不正」や「内部犯罪」である。前回は組織の面からお伝えしたが、今回は個人という切り口で実効力のある防止方法をお伝えする。
筆者のもとには、「セキュリティのためのシステムやソフトを導入しても効果を実感できない」という類の相談が寄せられる。多くの企業が見落としている点について、前回は「組織」の観点から解説したが、今回はその中で「個人」を切り口に解説したい。
http://www.itmedia.co.jp/enterprise/articles/1406/13/news033.html　：　内部不正や犯罪をさせない組織を作る7つの柱　2014年06月13日
最も基本的なパスワード管理
情報セキュリティの中で従業員一人一人が最も身近に感じるのは、「パスワード」である。企業内部だけでもOA端末でのログインから管理者用人事システムのパスワード、一部関係者のみしかアクセスできない業務システムのパスワード、サーバルームに入るためのドア認証でのパスワード、個人ロッカーの開錠用パスワードなど、実に様々なものがある。
こうしたパスワードの中で、個人の責任で変更・管理できるものについては、次の注意が必要となる。
1.企業で指定された「○カ月ごとに変更すること」という間隔よりも短い間隔で変更する
2.パスワード入力時に必ず周辺に人がいないことを確認してから入力する
3.周辺に人がいる場合は入力した“フリ”をする（キーに触るだけで実際には入力していない）。桁を設けて全体の入力をごまかす。（例えば3桁目と6桁目は入力した「フリ」をして、後から実際に入力をする）
4.パスワードの強度は常に最大限にする。最大の桁数や複数種類を混在させて意味のない文字列にする。ただし、複数のパスワードを必要とする場合は工夫して差分を覚えておくとよい
（例）
原本パスワード「4b%Ah5&B」
OA用：差分・11111111……「5©&Bi6(C」
業務用その1：12345678……「5d)Em1?J」
業務用その2：13131313……「5e&Di8(E」
当然ながら、パスワードの原本は自宅で管理（会社内に置かない）しておく。また、システムによって使えない特殊文字もあるので、自分用の変換テーブルを用意しておくといいだろう。
（例）
「＃％＆（）＝−＜＞　？・\」
「情報」の価値は人それぞれ
情報は相手によって「粗大ゴミ」にもなるし、「金の延べ棒」にもなることを理解する。イザヤ・ベンダサンは、その著書「日本人とユダヤ人」の中で、「日本人は安全と水はタダである」と伝えているが、筆者はそれに「情報」も加えたいと思う。
日本の国民性として、無形物に対する扱いが世界に比べて軽んじられているという節がある。現代は「情報を制する者は世界を制する」といえる状況にあり、戦車1台を配備するより、たった数グラムの紙1枚の情報の方が、はるかに価値を持つということを体で理解しておく。
「知らない」ことが最も安全
この点は、どこかの本で読んだものだが、戦争中にある人種の家族がいたとする。父、母、息子、娘の4人で、ある日に父は息子と一緒に外出し、自宅の財産のほとんどをある場所に埋めた。そして、2人はこう固く決心した――母と娘には絶対に知らせないこと――という。これが愛情であるという話だ。
ところがその話をすると、大抵の日本人はなかなか理解しないらしい。いわく、「それはおかしい。隠し場所を話しておくのが愛情ではないか」「自分だけ知っていればいいという考えが気に食わない」。
だが、世界のほとんどの人種はすぐに理解できるという。なぜなら、もし母や娘が敵に捕まり、拷問にかけられたら、「楽して死ねる」権利を欲して、すぐに自白してしまうだろうということだ。死ぬ直前に自白したことを非常に後悔しながら、悔し涙をこぼして死んでいく。しかし、知らなければ絶対に自白はできない。だから、死ぬ直前に後悔することもなく、安心して死ねるというのである。
これが会社なら、保管庫の暗証番号をある人から「教えてあげる」と言われた場合、その番号を知る必要がないなら「教えないでくれ」と主張するという考え方を身に付けてほしい。“井戸端会議”ではそういうフィルタが機能しないことが多いので注意したい。
「教えない」という友情もある
これは、上述の観点とは立場が変わった場合の考えである。筆者の実体験を例にご紹介したい。
ある会社の経営者は、社員が密かに転職活動をしていたことを知ると、内定先の会社に嫌がらせの電話をして、内定を取り消させていた（昔はそういう輩が多くいたようである）。筆者の尊敬する先輩がその被害にあったのである。先輩は転職が決まると退職届を出した。その直後、つい仕事仲間に転職先を話してしまったという。その1週間後に転職予定先の会社から内定の取り消し通知が届いた。
納得の行かない先輩はその会社の人事部長に理由を問い質したところ、「前の会社の役員から、あなたが不正をしているので倫理委員会で処分を検討していると電話で聞きました。そういう噂のある人間を当社は使いたくない。採用の取り消しは決定事項です」と答えたそうだ。
先輩のつらい体験を目の当たりにしてから筆者は、仕事仲間や友人に転職先をすぐ教えるようなことはせず、必ず入社後に伝えるようにしてきた。そのことで「あなたがそんな人間とは知らなかった」と非難されたこともある。しかし、これが友情である。うかつに話して取り返しがつかない事もあると我慢を貫いている。日本人はそういう考えをなかなか理解できないが、これも情報セキュリティでは重要な考えとなることを理解すべきだ。
管理者は言い分をしっかりと聞くこと
内部犯罪の多い企業では、管理者が管理者として機能していないケースが多い。以前、筆者がコンサルティングをしていた企業の工場で大きなトラブルが発生した。筆者は別部署で情報漏えいの防止策を指導していたのだが、偶然にも工場長と工員A氏の口論に遭遇した。
どうやら、工場長はトラブルの原因がA氏のミスだと本部に報告したらしい。工員は「絶対に違う。現場にほかの同僚（B氏）もいたから、彼にも確認すべき」ということを工場長に告げたが、工場長は取り合わず、「君しかしない」「B君は何度も表彰されている優秀な人間だが、君はどうだか……」といった体で、A氏のことを嫌っていたようだ。
筆者は副工場長に因果関係を調査するよう伝えた。その後、B氏がほぼ犯人であるという直接的な証拠が見つかったのである。ところが、そのことが判明した翌日にA氏は退職届を出した。しかも、工場では重要な納品業者データベースの内容をコピーし、ライバル企業に接触していた（その後の調査で判明した）。
幸いにも、このケースではデータがライバル企業の手に渡る前に無事回収されたが、筆者は似たような経緯で情報漏えいにつながることが多いと感じている。しかも、そのほとんどは表面化しない。管理者はくれぐれも偏見で結果を決めてはいけない。職場から内部犯罪を出さないためには、管理者による注意の意識を十分に行き渡らせておくことが不可欠である。
たった1人のルーズが会社を滅ぼす
本シリーズでも以前にお伝えしているが、社員の「情報セキュリティ教育」「コンプライアンス教育」は極めて重要だ。どんな高価な対策システムでも、それを利用し、運用するのは人間である。
仮に1000人がルールを守っていても、たった1人の社員が決められたルールから逸脱し、「自分くらい」「私は新人だから」という無責任な感覚で「11111111」などというパスワードを使っていると、ここがウィークポイントになってサイバー攻撃者の侵入を許し、社内システムの奥へ入り込まれて、大きな被害につながる。
従業員である以上は「会社のルールなんて気にしない」などという甘い考え方が絶対に許されないことを理解し、常に慎重に行動するようになってもらうことが大切だ。
パスワードの本質を見抜け
情報セキュリティ教育などで、パスワードの重要性を学んでも、実感できないという従業員が多い。それは、管理者が「〜は禁止」ということだけ教えて、その理由や行動指針をしっかり伝えないことに原因がある。例えば、「パスワードは8文字以上」というルールがよく見られるが、その理由は8文字パスワードの組み合わせが約576兆通りもあり、高性能なPCで解析しても、解読に約1年を要するためであるからだ。
しかし、ショルダーハッキング（のぞき見）で最初の3文字だけも知られてしまうと、残り5文字を解析するのは平均で2分もかからない。これがパスワードの限界である。しかも、誰かがあなたになりすまして不正をしたら、あなたは無事では済まないかもしれない。最悪の場合、職場をクビになって家族を路頭に迷わすことにもなりかねない。
パスワードは「実印」以上に大事なものであり、しっかり管理する。入力時に周囲に人がいないか確認を徹底しなければならないことを、きちんと教育しないといけない。
情報セキュリティにおけるこうした意識は、感覚としては日本人に馴染みにくい。しかし論理として頭で理解し、体でも覚える。そうすれば本当の意味を理解できるだろう。

偽の更新通知でマルウェア感染――古典的攻撃でもだまされる危険性
http://www.itmedia.co.jp/enterprise/articles/1406/20/news104.html    ITmedia
「ニコニコ動画」の画面に表示されたFlash Playerの偽の更新通知をクリックすると、マルウェアに感染する事件が起きた。海外では2000年代後半に登場した古いタイプの攻撃だが、日本で拡大する事態も想定される。
「ニコニコ動画」など一部のWebサイトで6月19日未明に、Adobe Flash Playerの更新を促すメッセージが表示され、これをクリックしたユーザーがマルウェアに感染する事態が起きた。
運営元のドワンゴとニワンゴは、動画サービスの「niconico」でマイクロアドの提供する広告配信サービス「MicroAd AdFunnel」を経由して表示された広告からマルウェアがダウンロードされる事態があったと報告。広告に含まれるスクリプトによって更新通知が表示されていたとし、同日正午に広告ネットワークとの通信を遮断する措置を講じた。
マイクロアドも同日、MicroAd AdFunnelを利用する一部の媒体社で同様の事象があったと発表。問題の広告は同社が提携する米国の広告事業社から配信されたもので、19日午前10時頃に配信を停止した。広告事業社側はこの広告と関連するドメインを全て特定し、停止処置を完了させたという。
マイクロアドは提携事業社と協議しながら、事象の徹底調査と今後の対応を検討していくと表明。ドワンゴとニワンゴは、マイクロアドと被害規模や被害を受けたかの判別方法、被害を受けている場合の対応方法については、マイクロアドと調査を進めていくと説明した。
この事象を解析したシマンテックによると、Flash Playerの更新を促すメッセージは「downloads.（削除済み）.biz」というドメインから表示されていた。ユーザーがメッセージの「OK」をクリックすると、Adobeの正規サイトに似せたFlash Playerのダウンロードサイトに誘導される。似サイトに記載されたFlash Playerのバージョンは「11.9.900.152」だが、実際の最新バージョンは「14.0.0.125」（6月20日現在）となっている。
ユーザーが偽サイトから偽の更新版をインストールすると、コンピュータがマルウェアの一種のトロイの木馬に感染する。このマルウェアはWebブラウザの詳細情報やコンピュータのGUID（グローバル一意識別子）、HDDのシリアル番号、MACアドレスなどの情報を収集して、外部サイトに送信する。また、別のファイルを呼び込み、このファイルがさらに設定ファイルをダウンロードする。設定ファイルは暗号化され、ダウンロードごとに異なるものになっていたという。
なお、ニコニコ動画の閲覧者が不正サイトに誘導されたという事象について、シマンテックでは正確なリダイレクト手法を確認できていないとし、ニコニコ動画が侵害された証拠も見つかっていないと説明している。
海外では2000年代後半から存在
ソフトウェアの更新を促す偽のメッセージでマルウェアに感染させるタイプの攻撃は、海外では2000年代後半に登場した。特にユーザーの多いMicrosoft製品やAdobe製品などが悪用されるケースが何度も報告されている。
偽の更新メッセージも、以前はソフトウェア会社になりすましたメールをユーザーに送りつける方法が使われたものの、その後は、インスタントメッセンジャーやSNSなどを通じて送りつけるようになり、2010年頃から今回の広告配信ネットワークも使われるようになった。
攻撃のタイプとしては古典的だが、上述したようにユーザーをだます手口は年々巧妙化している。今回の事件でドワンゴやシマンテックが公開したスクリーンショットを見ても、日本語の文章に不自然さは感じられず、偽サイトのデザインも正規サイトに酷似しており、一見しただけでは区別がつきにくい。かつては英語を使うケースが大半だったため、日本のユーザーは警戒がしやすかったものの、今後に日本語でも巧妙化していくと被害が広がる恐れも想定される。
こうした攻撃による被害に遭わないためには、まず次のような基本的な対策を徹底することが大事だ。
•安易にリンクをクリックしない
•正規ソフトウェア（OSやアプリケーションなど）を常に最新の状態にする
•正規のセキュリティソフトを導入し、常に最新の状態にする
•リンク先URLの文字列を確認し、正規サイトと異なる点がないかチェックする
なお、今回の攻撃は「ソフトウェア更新」の必要性を逆手に取ったともいえる。正規ソフトウェアの更新は、可能であれば「自動更新」にする設定にしておくことで、不意に更新をうながすメッセージが表示されても、慌てずに適切な対応をとることができるだろう。
また、こうしたサイバー攻撃ではユーザーが攻撃の被害に遭うだけでなく、マルウェアなどによってコンピュータを攻撃者に乗っ取られ、意図せず攻撃に加担させられてしまう場合もある。攻撃者に乗っ取られたコンピュータは「ボット」などと呼ばれ、攻撃者は数万台から数百万台のボットで構成されるネットワーク（ボットネット）を操り、今回のような攻撃や迷惑メールの大量送信、企業サイトなどをダウンさせるDoS攻撃など、さまざまなサイバー攻撃を実行する。
近年は世界各国の警察当局やITベンダー各社が連携し、攻撃者に乗っ取られたコンピュータとそのネットワークを閉鎖に追い込む作戦も展開されているが、ボットネットは深刻な問題となっている。
組織や個人を問わずユーザーとしては自身が被害に遭うだけでなく、攻撃や犯罪に加担させられる危険性も理解して、セキュリティ対策を適切に講じる必要がある。
ドワンゴ　　「niconico」における“MicroAd AdFunnel”を経由した悪意のあるサイトへ誘導される広告表示についてのご報告
http://info.dwango.co.jp/pi/ns/2014/0620/index.html
マイクロアド　　≪悪意のあるサイトへ誘導される広告表示に関して≫
http://www.microad.co.jp/info/info20140619.html
シマンテック　　偽の Flash Player に誘導されるニコニコ動画ユーザー
http://www.symantec.com/connect/ja/blogs/flash-player




2014年06月19日



LINE、改めて傍受を否定　「暗号化後データは独自形式、解読は不能」
http://www.itmedia.co.jp/news/articles/1406/19/news133.html    ITmedia
LINEの通信データが韓国政府に傍受されているとした一部報道について、LINEは6月19日、「技術的に確認したところ、これまでLINEの通信データが傍受・外部送信などにあった形跡はない」と改めて傍受を否定した。通信は暗号化されている上、暗号化後のデータは独自の形式を使用しており、仮に第三者が傍受しても解読できないとしている。
18日付けのFACTA電子版が、「韓国の国家情報院が、LINEの通信を通信回線とサーバーの間で傍受・収集している」などと報道。LINEの森川亮社長は同日、「そのような事実はない」と反論していた。
詳細についてたずねたITmediaの取材に対し、LINEは「社内で技術的な確認を行ったところ、LINEの通信データに、傍受・外部送信などの不正アクセスがあったという形跡がないことが確認できている」と説明した。
通信データの暗号化について、詳細はセキュリティ保持のため明らかにできないとしたが、「国際最高水準の暗号技術を使用して複数の学術研究者と専門家の検証を経て適用された技術」で暗号化されており、暗号化後のデータ形式も「LINE独自のデータ形式」を使用しているため、「たとえ第三者が傍受をしても、暗号化前の原文の意味や内容を理解することができる方法はない」としている。
また日本国内でのデータ送受信は、日本国内のデータセンターで日本のネットワークを通じて行われるため、「通信全体について、他国からアクセスすることは不可能」という。
FACTAへの対応は「検討中」としている。
LINE
http://line.me/ja/





「LINE」不正ログインで金銭被害、友人を装い電子マネーなどの購入を促す
http://internet.watch.impress.co.jp/docs/news/20140619_654132.html    Impress Watch
無料電話・メッセージアプリ「LINE」のアカウントが不正ログインにより第三者に乗っ取られるが被害が発生している問題で、金銭をだまし取られる被害も3件発生していることがLINEへの取材で分かった。
LINEによると、ユーザーからの「見知らぬ誰かに自分のアカウントが使われている」といった問い合わせがこれまでに413件あり、このうち303件が実際に不正ログインによりアカウントを乗っ取られていたことを確認。また、友人を装って電子マネーの購入などを促す手口で、金銭的被害も3件発生しているという。
LINEでは、警視庁サイバー犯罪対策課と連携し、不正ログインへの対処にあたっていると説明。警視庁にも不正ログインに関する相談が寄せられており、情報を収集しているという。
LINEでは、「他社から第三者にメールアドレスやパスワードが渡り、悪用されたと想定されます」として、何らかの方法で入手したID（メールアドレス）とパスワードのリストを使ったパスワードリスト攻撃が行われていると推測されると説明。LINEのアカウント情報が外部に流出した事実はないとしている。
また、ユーザーに対しては、パスワードを他社サービスとは異なるものにすることを推奨するとともに、「安全なパスワード」の目安として、電話番号や生年月日といった推測されやすいものなどは避けることなどを案内している。
LINE
http://line.me/ja/





Android版アプリ「JR東日本アプリ」にSSLサーバ証明書検証不備の脆弱性（JVN）
http://scan.netsecurity.ne.jp/article/2014/06/19/34394.html    ScanNetSecurity
独立行政法人 情報処理推進機構（IPA）および一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）は6月18日、East Japan Railway Company ICTが提供するスマートフォン向けアプリケーションである「JR東日本アプリ」に、SSLサーバ証明書の検証不備の脆弱性（CVE-2014-2001）が存在すると「Japan Vulnerability Notes（JVN）」で発表した。
Android 版アプリ「JR東日本アプリ」 1.2.0 より前のバージョンには、SSLサーバ証明書の検証不備の脆弱性が存在する。この脆弱性が悪用されると、中間者攻撃（man-in-the-middle attack）による暗号通信の盗聴などが行なわれる可能性がある。JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。
JVN  Android 版アプリ「JR東日本アプリ」における SSL サーバ証明書の検証不備の脆弱性
http://jvn.jp/jp/JVN10603428/




niconico、不正ログインを受けたアカウントのログインを一時停止
http://internet.watch.impress.co.jp/docs/news/20140618_653979.html    Impress Watch
株式会社ドワンゴと株式会社ニワンゴは18日、動画サービス「niconico」で発生している不正ログイン問題への対応として、不正ログインを受けたアカウントについてログインの一時停止措置を実施した。対象ユーザーは、パスワード変更を行うまでログインができなくなる。
niconicoでは、何らかの方法で入手したID（メールアドレス）とパスワードのリストを使用した、リスト型アカウントハッキング（パスワードリスト攻撃）と呼ばれる攻撃が発生したことを6月13日に報告。ユーザーに対して、パスワードを他のサービスと異なるものに変更するよう案内していた。
しかし、一度不正ログインを受けたアカウントはパスワード変更などの対応措置を実施しない限り、不正使用のリスクにさらされ続けることになるとして、継続的に残るリスクを回避するため、対象アカウントのログイン一時停止措置を実施。該当ユーザーにはメールで案内を行っている。
また、不正ログインについての最新状況についても公表。6月17日現在、不正ログインを受けたアカウントは29万5109件、不正ログイン試行回数は355万1370回で、6月13日の報告時（21万9926件、220万3590回）よりも増えている。
niconicoのサービスに利用できる「ニコニコポイント」の不正使用についても、6月17日現在、不正使用されたアカウント数は23件、被害総額は17万3713円としており、6月13日の報告時（19アカウント、17万3610円）よりも増えている。
niconicoでは不正ログイン対策として、乗っ取りを受けたアカウントのログイン一時停止措置とともに、6月17日はリスト型アカウントハッキングによる不正アクセスのブロックをシステム投入したという。
プレスリリース
「niconico」へのアカウント乗っ取り行為に関するご報告（続報）
(1)アカウント乗っ取り被害者へのログイン一時停止 パスワード変更手続き）のご連絡
(2)「niconico」へのアカウント乗っ取り行為に関する 最新状況のご報告
http://info.dwango.co.jp/pi/ns/2014/0618/index.html




Flash Playerの偽更新メッセージに注意　悪意あるプログラムのインストール誘導
http://www.itmedia.co.jp/news/articles/1406/19/news124.html    ITmedia
アドビシステムズは6月19日、Flash Playerの更新サイトに酷似したページから悪意あるプログラムをインストールさせようとする事案が報告されているとして、Twitterで注意を呼び掛けた。
同社はダウンロードページの正しいURL（get.adobe.comで始まる）を確認し、間違えないよう注意を喚起している。
「ニコニコ動画」など一部のWebサイトを閲覧中、Flash Playerを更新するようメッセージがポップアップ表示され、偽のFlash Player更新サイトに誘導された──という報告がネットで相次いでいる。偽のサイトは「downloads.cnmup.biz」で始まるURLだったという。
ニコニコ動画を運営するドワンゴは「調査中」としている。
Togetter：ニコニコ動画などのYahoo!プロモーション広告から偽FlashPlayerをダウンロードさせられる件
http://togetter.com/li/682003
アドビ サポート担当　@AdobeSupportJ
https://twitter.com/AdobeSupportJ




サイボウズ、脆弱性発見者に報奨金　最大100万円
http://www.itmedia.co.jp/news/articles/1406/19/news074.html    ITmedia
サイボウズは6月19日、同社の提供するサービスの脆弱性発見者に最大100万円の報奨金を支払う制度を始めた。社外から広く検証を募り、品質や安全性の向上につなげていく目的だ。
ゼロデイ攻撃の可能性を未然に防ぎ、より安心・安全に利用できる体制を整える取り組み。2月に始めた常設の「脆弱性検証環境提供プログラム」で有用な報告が多数寄せられたのを受け、より広く検証を募る。
「サイボウズ Office 10」「kintone」「Garoon」など、同社のパッケージ製品とクラウド基盤cybozu.com上で提供されているサービスが対象。本番環境に影響を与えずに安全に検証するため、申込者には「脆弱性検証環境提供プログラム」を用意する。
報奨金は1万円からで、1件の報告から複数の脆弱性が検出された場合最大100万円まで。金額は共通脆弱性評価システム「CVSS v2」による評価結果を元に決定する。
2月からこれまで17人から寄せられた37件の報告にもさかのぼって報奨金を支払うという。対応が終了したものは随時サイト内で公開していく。
プレスリリース  脆弱性発見者へ報奨金をお支払いする制度を新設 〜外部専門家と連携し、製品・サービスの信頼性をさらに向上〜
http://group.cybozu.jp/news/14061901.html
サイボウズ脆弱性報奨金制度
http://cybozu.co.jp/company/security/bug-bounty/index.html





2014年06月18日





Amazonギフト券プレゼントキャンペーンを装ったフィッシング詐欺に注意
http://internet.watch.impress.co.jp/docs/news/20140618_653910.html    Impress Watch
Amazonギフト券プレゼントキャンペーンを装ったフィッシング詐欺メールが出回っており、Amazonではギフト券購入ページで注意を促している。
フィッシングメールは、Amazonで購入したギフト券が倍額になって戻ってくるキャンペーンのお知らせとの内容で、メール中はURLが書かれている。このURLをクリックすると、Amazonを装ったフィッシングサイトが表示される。サイトには、「ギフト券の番号を指定アドレスに送ると、倍額が戻ってくる」と書かれており、その方法が指示されている。
指示に従って購入したAmazonギフト券の番号を送ってしまうと、倍額のギフト券番号が戻ってこないのはもちろん、フィッシング詐欺犯に送ったギフト券を使われて終わりということになる。このためAmazon.co.jpサイトでは、ギフト券番号などを開示・送信・譲渡しないよう注意を喚起している。また、万一、フィッシングと思われるサイトやメールへギフト券を送ってしまった場合は、 Amazonカスタマーサービスへ連絡するよう呼びかけている。
編集部アドレスにもこのメールが届いたので、概要をご紹介するとともに、こうしたフィッシングサイトで注意して見るべき点をチェックしておこう。
届いたメールは怪しさ満点だが、今後より巧妙になるおそれも
届いたメールの件名は「Amazon.co.jp ギフト券プレゼントキャンペーン当選」となっており、応募していないのにタイトルに「当選」と入っている点からして怪しい。ただし、フィッシングメールの件名や送信元アドレス、フィッシングサイトのドメインなどは数時間で変わることが多い。この通りの文言でなくとも、応募した覚えのない当選メールなどには注意が必要だ。
怪しいメールは迷惑メールに分類し、「開かずに捨てる」ことが望ましい。メールを開いただけでバックドアを開けるマルウェアに感染する可能性もあるためだ。
編集部に届いたメールでは、本文中のリンクは短縮URLとなっていた。ただし、繰り返しになるが、フィッシングサイトは数時間程度で消滅することも多いため、URLで危ないかどうかを判定するのは難しい。実際、編集部に届いたメールも3時間後にはサイトが消滅していた。
怪しいメール、応募した覚えもない当選メールなどは開かずに捨てるのが最善だが、メールを開いてしまった場合も、URLはクリックしないことが重要だ。
ギフト券番号を送らせるキャンペーンなどは存在しない
届いたメールのURLをクリックすると、一見するとAmazon.co.jpサイトに見えるページが表示される。まずわかるのは、URLがAmazon.co.jpのものではないことだ。また、Amazon.co.jpサイトでページ上部に表示される共通バナー部分は見た目はそっくりだがまるごと1枚の画像となっており、この画像にamazon.co.jpトップへのリンクが貼られている。
このフィッシングサイトのページにはプレゼント応募方法が説明されているが、その応募方法というのは以下の通りだ。
1）Amazon.co.jpでEメールタイプのギフト券を購入する（応募は3万円〜50万円まで）。
2）メールでギフト券のコードが届いたら、コードをユーザーのアカウントに登録せずに（未使用の状態で）、当該メールをそのまま指定メールアドレスに転送する
ギフト券コードを送ると、金額が倍になったコードが返送されてくるとの説明になっているが、もちろんそんなものは届くわけがない。メールをそのまま転送することで、Amazon.co.jpの登録メールアドレスまでがフィッシング詐欺グループに把握されてしまうことになる。
また、赤字で繰り返し、ギフト券を登録してしまったら倍額キャンペーンに応募できないとの説明がある。登録してしまえばフィッシング詐欺犯は利用できないためだ。
Amazon.co.jpのギフト券が当たるキャンペーンやアンケートは多く見かけるが、未使用のギフト券番号を送信させるようなキャンペーンは存在しない。Amazon.co.jpにも注意がある通り、「ギフト券番号はプレゼントしたい相手以外には送らない」ということを守るだけで、類似のフィッシング詐欺が出てきた場合も被害を防ぐことができる。
サイバー犯罪についての知識があまりないユーザーも含め、ネット通販は誰もが利用するサービスとなっている。こうした手口があることを知れば、少なくともAmazonギフト券を詐取するフィッシングサイトの被害に遭う確率はほとんどなくなるだろう。家族や友人との間で「こういうフィッシング詐欺が流行っている」と話題にすることが予防につながるため、フィッシング詐欺の手口については普段から身近な人と共有しておくことをお勧めしたい。
Amazonを装ったフィッシングサイトにご注意ください（Amazon.co.jp）
https://www.amazon.co.jp/gp/help/customer/display.html/?nodeId=201541660





2014年06月17日




mixiへの不正ログイン攻撃が継続、被害アカウントは26万件を超えて拡大中
http://internet.watch.impress.co.jp/docs/news/20140617_653846.html    Impress Watch
株式会社ミクシィは17日、同社が運営するSNS「mixi」のアカウントに対して行われている不正ログイン攻撃の被害状況を発表した。16日24時までに約430万回の不正ログイン試行があり、26万3596アカウントで不正ログインを受けたとしている。
疑わしいIPからの攻撃が5月30日から発生。6月2日にユーザーからの問い合わせを受けて調査した結果、不正ログインを確認した。これを受けてミクシィでは6月5日、該当アカウントのユーザーに対してmixiのメッセージ機能で通知し、登録メールアドレスの変更とパスワードの再発行を呼び掛けていた。その時点で不正ログインを受けた可能性のあるアカウントは約4万件だったが、その後も攻撃は継続しており、対象アカウントも拡大。今後も被害アカウントが増加する可能性があるという。
ミクシィでは、不正ログイン試行の発信元IPアドレスに対してアクセス制限を実施。また、不正ログインを受けたアカウントのうち、1カ月以内にユーザーがmixiにログインしている7万8058アカウントについては、mixiメッセージでパスワードの変更を依頼。一方、1カ月以内にログインしていない16万7617アカウントについては、ログインを一時凍結する対策をとり再び不正ログインできないよう遮断したとしている。
なお、今回の不正ログインによる課金やmixiポイントの不正利用は現時点では確認されていないという。また、ミクシィのシステムではクレジットカード情報は保有していないとしている。
ミクシィによると、同社サーバーへの侵入によるユーザーアカウント情報の流出ではなく、他社サービスから流出したID・パスワードのリストを用いて不正ログイン試行する手法（いわゆる“パスワードリスト型攻撃”）とみられるという。他社サービスと同一のパスワードを使っている場合は変更するよう強く推奨している。
プレスリリース  SNS「mixi」への不正ログインに関して
http://mixi.co.jp/press/2014/0617/12217/


mixiで26万アカウントに不正ログイン　リスト型攻撃、試行430万回
http://www.itmedia.co.jp/news/articles/1406/17/news088.html    ITmedia
リスト型アカウントハッキングによる不正ログイン被害が相次いでいる。SNS「mixi」では16日までに、26万3596アカウントが不正ログインを受けた。
流出したID、パスワードのリストを使い、別のサービスへの不正ログインを行うリスト型アカウントハッキングの被害が相次いでいる。ミクシィは6月17日、SNS「mixi」がリスト型アカウントハッキングを受け、16日までに26万3596アカウントが不正ログインにあったと発表した。不正ログインの試行回数は430万回にのぼったという。17日時点でも攻撃は継続中で、対象アカウントは拡大する可能性がある。
疑わしいIPアドレスからアタックを受けたのは5月30日。6月2日にユーザーから問い合わせを受けて調査した結果、不正ログインを確認した。現時点で、課金やmixiポイントの不正利用などの被害は確認しておらず、同社システムではクレジットカード情報は保有していない。
不正ログイン対象ユーザーのうち1か月以内にmixiにログインしているユーザー7万8058アカウントには、mixiメッセージでパスワードの変更を依頼。ログインしていない16万7617アカウントはログインを一時停止した。また、不正ログインを試みるIPに対してアクセス制限を実施した。
同社からの情報流出ではなく、他社サービスから流出したID、パスワードを流用したリスト型アカウントハッキングだったとみている。mixiトップページでは、他社サービスと同じメールアドレス・パスワードを使わないよう呼びかけている。
リスト型アカウントハッキングが原因とみられる不正ログインはここ最近、国内大手サービスで急増しており、「LINE」「niconico」「楽天ダウンロード」などが被害にあっている。
ミクシィの告知　　SNS「mixi」への不正ログインに関して
http://mixi.co.jp/press/2014/0617/12217/




りそな銀行を騙るフィッシングメールを確認（フィッシング対策協議会）
http://scan.netsecurity.ne.jp/article/2014/06/17/34388.html    ScanNetSecurity
フィッシング対策協議会は6月16日、りそな銀行を騙るフィッシングメールが出回っているとして注意喚起を発表した。これは「【そな銀行】本人認証サービス」という件名のメールで、銀行のシステムが更新がされたとしてアカウント認証を行うよう、リンクをクリックさせようとする。文面には、「・」が文字化けしていると思われる「?」が表示されている。確認されているフィッシングサイトのURLは以下の通り。
http://www.●●●●.com/css/
http://www.●●●●.com/images/
http://www.●●●●.com/include/js/
http://mp.resona-gr.co.jp.rrt.●●●●.in/mypage/MPMB010X010M.mp/?BK=0010
http://mp.resona-gr.co.jp.rrn.●●●●.in/mypage/MPMB010X010M.mp/?BK=0010
6月16日12時00分の時点でフィッシングサイトは稼働しており、同協議会ではJPCERT/CCにサイト閉鎖のための調査を依頼中であるという。また、類似のフィッシングサイトが公開される恐れもあるとして注意を呼びかけている。さらに、このようなフィッシングサイトにてアカウント情報（ログインID、ログインパスワードなど）を絶対に入力しないよう呼びかけている
フィッシング対策協議会   りそな銀行をかたるフィッシング(2014/06/16)
http://www.antiphishing.jp/news/alert/resona20140616.html




「LINEの通信内容を韓国政府が傍受」報道にLINE森川社長が反論　「そのような事実ない」
http://www.itmedia.co.jp/news/articles/1406/19/news057.html    ITmedia
「韓国の国家情報院がLINEの通信を傍受している」――6月18日付けの「FACTA」電子版が伝えたこの報道に、LINEの森川亮社長が「そのような事実はない」と、ブログで真っ向から反論した。
記事には、「韓国の国家情報院が、LINEの通信を通信回線とサーバーの間で傍受し、収集したデータを欧州で保管、分析している。LINEの日本人のデータは中国Tencentにもれた恐れもある」と書かれていた。
森田社長は、「普段なら一記事についてコメントを出すことはないが、今回は看過できない」とし、18日夜にブログを更新。「韓国政府機関がLINEの通信内容を傍受している」という内容について、「そのような事実はない」と真っ向から否定した。
また、「LINEはシステム内でもシステム外の通信ネットワーク上でも安全。国際基準を満たした最高レベルの暗号技術を使って通信されているので、記事に書かれている傍受は実行上不可能」と説明。「LINEのデータが他社に漏れた」という報道についても、「全くの事実無根」としている。
森川社長は、「根拠なくユーザーを不安にさせる一部の心ないメディアに抗議する」と表明。ユーザーには「引き続き安心してご利用いただきたい」と呼び掛けている。
森川社長のブログ：本日報道の一部記事について
http://moriaki.blog.jp/archives/1988243.html

「LINE」アカウントの乗っ取り、詐欺被害の報告相次ぐ
http://www.itmedia.co.jp/news/articles/1406/17/news155.html    ITmedia
LINEユーザーのアカウントを何者かが乗っ取られ、振り込め詐欺のような被害にあったという報告が相次いでいるとして、LINEは6月16日、アプリ内で注意を呼び掛けた。他社から流出したパスワードを使った不正ログインとみている。
乗っ取ったアカウントから、そのユーザーの友人に対して「WebMoneyのプリペイドカードを買うのを手伝ってほしい」などのメッセージを送り、プリペイドカードをだまし取ろうとする被害がよく報告されているという。
同社に問い合わせがあった内容のうち、他社から流出したID・パスワードを使った不正ログインでアカウントが乗っ取られたとみられる事例が303件あったという。同社からのIDやパスワードの流出はないとしている。
アカウントが乗っ取られた場合、（1）友人に勝手にメッセージを送られる、（2）勝手に有料スタンプなどを購入される、（3）勝手にアカウントを削除される――などが起きる可能性があるとし、他社サービスと同じID・パスワードを使わないよう注意を呼びかけている。
他社サービスと同じパスワードを設定している皆様へパスワード変更のお願い
http://official-blog.line.me/ja/archives/1004331596.html




Nokia、暗号鍵を盗まれ恐喝の被害に――フィンランド報道
http://www.itmedia.co.jp/enterprise/articles/1406/19/news039.html    ITmedia
Symbian OS用アプリケーションのデジタル署名に使われていた暗号鍵を何者かが入手してNokiaを脅迫し、多額の現金を脅し取ったという。
フィンランドのテレビ局MTV Newsは6月17日、Nokiaが2007年にSymbian OSのアプリケーション署名に使っていた暗号鍵を盗まれ、多額の現金を脅し取られていたことが分かったと報じた。事件はまだ未解決だという。
MTVによると、2007年末頃に何者かがSymbian OS用アプリケーションのデジタル署名に使われていた暗号鍵を入手し、Nokiaを脅迫した。
もし暗号鍵が流出すれば、Nokiaが公認していないアプリケーションもSymbian OSに導入できる状態になり、安全性を保証できなくなる恐れがあった。当時は世界に流通していたスマートフォンの半分がNokia製だったとMTVは伝えている。
Nokiaはフィンランドの国家捜査局に通報し、犯人との交渉に応じて同国のタンペレ市内でかばんの中に現金を入れて指定された場所に置いた。かばんは犯人の手に渡り、警察は犯人を見失って現金を盗まれたという。
Nokiaが要求額を支払った時点で、相手は暗号鍵を悪用しないと約束したとされる。しかし、鍵がどのような経緯で流出したのかは分かっていない。国家捜査局は悪質な恐喝事件として捜査を続けているという。
MTV News   Nokia paid millions of euros in ransom
http://www.mtv.fi/uutiset/rikos/artikkeli/nokia-paid-millions-of-euros-in-ransom/3448918

2014年06月16日




「Baidu IME」「GOM Player」だけじゃない、まだある正規アプリ悪用事件
http://techtarget.itmedia.co.jp/tt/news/1406/16/news03.html    ITmedia
前回「更新ファイルだと思ったらマルウェア――『GOM Player事件』の脅威と対策」
http://techtarget.itmedia.co.jp/tt/news/1405/19/news02.html　：　更新ファイルだと思ったらマルウェア――「GOM Player事件」の脅威と対策　2014年05月20日
では、動画再生ソフトウェアである「GOM Player」が、標的型のマルウェアを特定企業に送り込むための「ドロッパー」として利用された例を取り上げました。アプリケーションのアップデートプロセスに潜む脅威と、セキュリティ製品でできる対策を分析しました。
今回は、主に海外で話題になった、正規アプリケーションを舞台とした攻撃の事例を紹介します。今回登場するのは、正規のリモートアクセスツールと、米Googleの正規アプリケーションストアでダウンロードできる音楽プレーヤーを悪用した攻撃です。
ケース1：正規のアプリケーション「TeamViewer」を利用した攻撃
メジャーなリモートアクセスツールである独TeamViewerの「TeamViewer」。個人用途であれば無料で使用可能な、デジタル署名された正規のソフトウェアです。主にリモートコントロールやサポート、オンラインミーティング、プレゼンテーションなどに利用されています。TeamViewerによると、200カ国以上で2億件以上インストールされているそうです。
パロアルトネットワークスが2014年6月に発表する約5500組織を対象とした最新のトラフィック調査でも、TeamViewerは約75％の組織での使用が確認された、3番目にポピュラーなリモートアクセスツールでした。幅広い支持を集める正規のアプリケーションだといえます。
そのTeamViewerを悪用した標的型攻撃が発生しました。一部の政治団体や業界団体を攻撃対象としていたとみられている、「TeamSpy」と呼ばれる標的型攻撃がそれです。
TeamViewerの通信機能を“隠れみの”に
TeamSpyではまず、攻撃者は攻撃対象のネットワークにボットを送り込みます。このボットは、TeamViewer（バージョン6）の脆弱性を利用して、TeamViewerをバックグラウンドでダウンロードして起動します。
このボットはTeamViewerをインストールすると、TeamViewerの通信機能を利用して攻撃者との通信を確立します。その後、BIOSなどのシステム情報、ファイル情報、接続している周辺機器情報などを感染端末から取得。加えて、キー入力情報やパスワード情報も記録し、外部へ送信します。
TeamViewerの制御権を握ったボットは、丁寧にもTeamViewerの脆弱性にパッチを適用します。攻撃対象に、脆弱性の存在を検知されるのを防ぐわけです。さらに攻撃に使うのはTeamViewerの通信機能なので、管理者には正規のアプリケーションであるTeamViewerの通信にしか見えません。そもそもTeamViewerはバックグラウンドで動作しているので、端末の使用者がその動作を意識することはまれです。
TeamSpyや類似攻撃を防ぐには
TeamSpyのように、正規のアプリケーションを通信手段として利用する攻撃に対処するには、攻撃の初期ステージであるボットの侵入を防ぐことが重要です。いったん侵入を許せば、後は暗号化された正規のアプリケーションの通信として全ての攻撃が進んでしまうからです。シグネチャベースやサンドボックスベースのマルウェア対策製品で侵入を防がない限り、対処が難しいといえるでしょう。
攻撃は、できるだけ早い段階で食い止めるのが望ましいことは間違いありません。その観点から考えると、クライアント型マルウェア対策製品よりも、ゲートウェイ型マルウェア対策製品／機能でマルウェアを止めることができれば、より安心だといえます。
TeamSpyで攻撃に利用されたTeamViewerは、通信をSSL暗号化し、決まったポートを使用せずにポートをダイナミックに変更（ポートホッピング）します。これを制御するためには、通信がSSLで暗号化されていても、ポートホッピングされてもアプリケーションを継続して識別できる、アプリケーション識別技術が必要になります。
ケース2： Android用正規アプリ「TTPod」がマルウェアをダウンロード
次は、標的型攻撃ではなく金銭を目的とした広範囲の攻撃の例を紹介します。中国TTPodの「TTPod」という、主に中国市場をターゲットとした正規の音楽プレーヤーで発生したマルウェア攻撃です。
TTPodは、Googleの公式アプリケーションストアである「Google Play」からダウンロードできます。TTPodによると、世界中で1000万件以上ダウンロードされています。
TTPodのインストール時には、TTPodがショートメッセージサービス（SMS）を送信することについての承認を求められます。ただし、特にAndroidの場合、インストール時の承認内容を確認せずにインストールするユーザーが多く、SMSの送信について把握しないままTTPodをインストールしたユーザーも少なくないはずです。
TTPodには、アプリケーション内課金でサードパーティーなどが開発するモジュールを追加する機能があります。その追加モジュールの中に、「Dplug」というAndroidマルウェアが含まれていました。
DplugはSMSのプロキシとして動作し、自身がSMSを送信できるだけでなく、ユーザーの全てのSMSの送受信を管理下に置きます。このマルウェアはまず、感染した端末からSIMカードの識別番号である「IMSI」や端末の識別番号である「IMEI」といった情報を読み取り、攻撃者に送信します。
攻撃者はこれらの情報と、SMSを送付するたびに各種サービスの課金をする正規の仕組みである「プレミアムSMS」を悪用して、ユーザーの課金を促します。この間、SMSによる契約確認などが発生しますが、マルウェアがプロキシとして全てのSMSを送受信しているので、ユーザーはSMSのやりとりを見ることができません。毎月の明細を注意深く見ていないと、毎月発生する小額の課金に気付かないかもしれません。
“TTPod事件”やその類似事件を防ぐには
Dplugをはじめ、正規のアプリケーション内課金で混入するマルウェアによる被害を防ぐには、モバイルデバイスで動作するマルウェアをブロック可能なゲートウェイ／クライアントアンチウイルス製品や、モバイルデバイス管理（MDM）製品などが備えるアプリケーション内課金の禁止機能を活用するのが有効です。

アイツのIDでログインできちゃった→それは「犯罪」です
http://bizmakoto.jp/makoto/articles/1406/16/news061.html　　Business Media 誠
最近、LINEやniconicoなどの大手サービスでアカウントが乗っ取られる事件が頻発しています。大きく報道されているにもかかわらず、カジュアルな不正ログインを自慢する人たちって……。
パスワードの問題は尽きることがありません。あるサイトから流出したIDとパスワードのセットを使い、別のサイトでログインを試みるパスワードリスト型攻撃で、
「niconico」や
http://www.itmedia.co.jp/news/articles/1406/13/news064.html　：　「niconico」にリスト型攻撃　不正ログイン22万件　17万円分のポイント不正使用　2014年06月13日
「LINE（参考記事）」、
http://www.itmedia.co.jp/news/articles/1406/13/news141.html　：　LINEに不正ログイン　被害規模は「調査中」　2014年06月13日
「mixi（参考記事）」
http://www.itmedia.co.jp/news/articles/1406/09/news136.html　：　「mixi」に不正ログイン　4万アカウントに影響か　2014年06月09日
など、多くのサイトが被害を受けています。
弱いパスワードを狙うのは誰？
弱いパスワードとは、「123456」とか「qwerty」とか「password」といった、誰もが思いつくような文字列を指します。もちろん誕生日や電話番号といった、第三者が簡単に推測できるようなパスワードも弱いものの代表例です。残念ながら、そのようなパスワードを使っている人も多いことでしょう。
このようなパスワードを使っている場合、ありがちなパスワードを片っ端から入力しログインを試みる「パスワード辞書攻撃」で被害に遭う可能性があります。
しかし、もっと恐ろしいのは、身近な同僚、友人、さらには家族が仕掛ける不正ログインなのではないでしょうか。Facebookで誕生日と表示されたので、試しにアイツのTwitterのアカウントに、誕生日をパスワードとして入力したらログインできちゃった……実はこれ、れっきとした不正アクセス行為、犯罪です。
「不正アクセス行為」とは、IDやパスワードによりアクセス制御機能が施されているサービスにおいて、正しい権限がないのに不正に利用できる状態にすることを指します。要するに、他人のIDとパスワードを使って、ログインした時点で「不正アクセス禁止法違反」となります。
不正アクセス行為の禁止等に関する法律は、下記のように規定されています。
（不正アクセス行為の禁止）
第三条　何人も、不正アクセス行為をしてはならない。
（罰則）
第十一条　第三条の規定に違反した者は、三年以下の懲役又は百万円以下の罰金に処する。
軽い気持ちで他人のアカウントへログインしたことで、逮捕された事例も多く存在します。不正アクセスというと、企業の情報漏えいや犯罪組織のことを想像するかもしれませんが、最近では「ソーシャルゲームで友人が使っていたアイテムが欲しかった」「SNSにログインできてしまったので勝手に投稿してみた」といった、カジュアルな不正アクセスが増えているように思えます。
家族を犯罪者にしないために
特に注意をすべきなのは、未成年による不正アクセスなのではないかと思います。強いパスワードの作り方や、パスワード使い回しの危険性を学ぶことなくSNSサービスを使い始め、ゲーム感覚で他人のアカウントにアクセスするなど、知らずに犯罪行為が行われている可能性があります。
先日、2chのスレッドに、あるタレントのTwitterアカウントとブログに不正にログインしたことを、まるで自慢するかのようにTwitterに投稿しているスクリーンショットが掲載されていました。投稿された文章から、おそらく中学生、高校生くらいの年ごろでしょう。そのタレントが弱いパスワードを設定していたがために起きた事件ではありますが、まったく悪びれる様子のない投稿に、筆者は背筋が凍りました。
子どもたちだけでなく、私たちは不正アクセスがどれだけの犯罪になるかあまり意識せずにネットを利用しているのではないかと思います。決して「ネットは何でもアリ」ではなく、モラルが必要な世界です。
パスワードを使い回さないのも重要、強いパスワードを使うのもとても重要ですが、それ以前に「他人のID／パスワードで不正にログインしない」。この当たり前のことも、誰かがちゃんと教えてあげないといけないと思うのです。

Twitter連携アプリが乗っ取られる　「ツイート数カウントくん」ユーザーが身に覚えのないブロック
http://www.itmedia.co.jp/news/articles/1406/16/news077.html    ITmedia
Twitter連携アプリ「ツイート数カウントくん」のアクセストークンが流出し、ユーザーが意図せず特定のユーザーをブロックする事態が多発していたことが分かった。作者の@bombom583さんは6月14日、同アプリを削除。15日付けの告知で、「被害にあった方々に深くお詫びする」と謝罪している。
ツイート数カウントくんは、1日のツイート数をカウントし、自動でつぶやくTwitter連携アプリ。アクセストークンは、Twitterアプリを認証した際、そのユーザーに代わってフォローやブロックなどの操作を行える鍵。この鍵が何らかの原因で流出し、ユーザーのアカウントが実質的に乗っ取られた形になった。
ブロックを受けたユーザーが13日、「一晩で大量にブロックされた」とTwitterで報告。数日で12万件のブロックを受けたという。意図せずブロックしていたユーザーに連携アプリリストを公開してもらうなどして調べたところ、同アプリが原因であることが分かった。
アプリ開発者の@bombom583さんは、「アクセストークンが流出し、悪用されていたことが発覚した」とし、14日午前10時過ぎにアプリを削除。今後、同様のなりすましが起きることはないとしている。
ユーザーに対しては、フォロー／フォロワー一覧を確認し、身に覚えのないフォローやブロックがないか確認するよう呼びかけている。また、ユーザーのパスワード表示や変更などは、Twitterの仕様上不可能だと説明している。
「サーバ自体が乗っ取られた」
流出の経緯は、「サーバ自体が乗っ取られ、ログも全て削除され」たため分からないという。また、「一部で噂されているような、私がトークンを売った等ということは、誓ってございません」としている。
ツイート数カウントくんの運営は4年ほど前にスタート。ユーザー拡大についれ運営負担も増していたが、ツイート数を話題に盛り上がっているのがうれしく、「やめるにやめられない状況」だったという。「本職がエンジニアにも関わらず、決してあってはならない事を起こしたという、自責の念で一杯」としている。
Twitter連携アプリ、再度確認を
こういった被害を防ぐため、Twitter日本法人はユーザーに対して、
連携アプリ一覧を定期的にチェックし、
https://twitter.com/login?redirect_after_login=%2Fsettings%2Fapplications　：　Twitter に要ログイン必要
もう使っていないものや、連携した記憶のないアプリは連携を切ることを推奨している。
また、Twitter連携アプリはスパマーやハッカーの標的になるケースもあるとし、
被害防止のためのガイドラインで注意を呼びかけている。
https://support.twitter.com/articles/321476-api#　：　API ディベロッパー: 乱用防止と安全性
Togetter：ツイート数カウントくんのトークンが盗まれたようです
http://togetter.com/li/679703
作者の告知　　ツイート数カウントくん アクセストークン流出に関して
http://app.xmgn.com/tweetcounter/
作者のTwitter
https://twitter.com/bombom583

阪大理学部Webサイトが改ざん　閲覧者にウイルス感染の恐れ
http://www.itmedia.co.jp/news/articles/1406/16/news110.html    ITmedia
大阪大学理学部のWebサイトが改ざんされ、閲覧者がPCにウイルスに感染した恐れ。
大阪大学はこのほど、同大理学研究科・理学部のWebサイトの一部が、第三者の不正アクセスを受けて改ざんされ、閲覧者がPCにウイルスに感染した恐れがあると発表した。
6月12日午前8時半ごろ、職員がアクセスした際、ウイルス対策ソフトがウイルス発見を警告したという。改ざんされたサーバはネットワークから隔離し、原因を調査している。
閲覧者は、意図しないファイルをダウンロードし、ウイルスやマルウェアに感染した可能性があるとし、ウイルススキャンを呼びかけている。
阪大の告知   理学研究科・理学部ウェブサイト改ざんに関するお知らせとお詫び（第一報）
http://www.osaka-u.ac.jp/ja/news/topics/2014/06/20140612-2




「niconico」がリスト型アカウントハッキングによる不正ログイン被害、ニコニコポイントの不正使用も確認(ドワンゴ、ニワンゴ)
http://scan.netsecurity.ne.jp/article/2014/06/16/34383.html    ScanNetSecurity
「niconico」が不正ログイン被害……21万超のアカウントが被害に
ドワンゴおよびニワンゴは13日、両社が運営する動画サービス「niconico」が、「リスト型アカウントハッキング」による不正ログインを受けたことを公表した。
6月1日に2件、9日に1件の計3件、ユーザーからの問い合わせがあったことで、不正ログインの疑いが発生。社内調査の結果、翌10日に登録ユーザー以外の第三者による不正ログイン試行を検出し、同一IPアドレスよる大規模な不正ログインが確認された。さらに一部のコンテンツ（ゲーム）において、登録ユーザー以外の第三者によるニコニコポイントの使用（不正使用）も確認された。
不正ログインが認められた期間（試行を含む）は5月27日〜6月4日で、不正ログイン件数は219,926アカウント（ID）、不正ログイン試行回数は2,203,590回となっている。このうちニコニコポイントを不正に使用されたアカウント（ID）数は19アカウント（ID）で、被害総額は173,610円となっている。
今回の不正ログインによって、アカウント登録情報（性別、生年月日、居住地域、メールアドレス）の閲覧、登録メールアドレスやパスワードの変更、動画やコメントなどのなりすまし投稿、所有しているニコニコポイントの不正使用などが行われた可能性があるという。なおクレジットカード情報は保有されていないとのこと。
同社では、全ユーザーに対し被害防止の対応策として、パスワード変更を強く推奨している。また警察当局および弁護士と相談のうえ、今後の対応等について検討中。
「niconico」への不正ログインに関するご報告  「niconico」への不正ログインに関するご報告  2014年6月13日
http://info.dwango.co.jp/pi/ns/2014/0613/index.html





Android向け不正アプリの検出数、5月の1カ月で700万件を超える（Dr.WEB）
http://scan.netsecurity.ne.jp/article/2014/06/16/34380.html    ScanNetSecurity
株式会社Doctor Web Pacific（Dr.WEB）は6月16日、2014年5月のモバイル脅威について発表した。5月1日から31日の間にDr.Web for Androidによって検出された脅威は700万5,453件となった。4月と同様に、利益を得るために開発者自身によってアプリケーションに組み込まれた広告モジュールが多く検出された。中でも「Adware.Leadbolt」ファミリーが最も多く全体の9.81％を占め、「Adware.Airpush（9.06％）」「Adware.Revmob」が続いた。
2014年5月に最も多く検出されたAndroidを標的とするマルウェアは「Android.SmsBot.120.origin（3.36％）」「Android.Backdoor.69.origin（2.71％）」「Android.SmsBot.105.origin（1.89％）」となっている。なお、最も多い検出数は5月17日に記録された29万2,336件で、一方、最も少ない検出数は5月8日の18万9,878件となっている。
Dr.WEB   2014年5月のモバイル脅威
http://news.drweb.co.jp/show/?i=741&lng=ja&c=2





入口対策の再構築、アプリケーションレイヤからセキュリティに取り組む意味（F5ネットワークス）
http://scan.netsecurity.ne.jp/article/2014/06/16/34378.html    ScanNetSecurity
「アンチウイルスソフトは死んだ」と主張するセキュリティベンダが存在するように、昨今のセキュリティ対策は高度化する攻撃手法と、仮想化環境やクラウドプラットフォームなど、新しいコンピューティングスタイルへの対応が迫られている。
そのひとつに侵入前提で考える防御としての出口対策がある。多重認証、ログ解析、ふるまい検知、サンドボックス／エミュレーターなどが代表的なテクノロジーである。
この背景にはアンチウイルスソフトやファイアウォールなど入口対策の限界があるとされている。しかし、その一方でWebアプリケーションファイアウォールや次世代ファイアウォール、さらに包括的な防御としてUTM（Unified Threat Management）といったソリューションも注目されている。出口対策をすれば入口対策をないがしろにしていいほど攻撃者の手はぬるくない。
そんな中、一般的なセキュリティベンダとは異なるテクノロジーを持つポジションから、入口対策に取り組む企業がF5ネットワークスだ。F5というと多くの読者はロードバランサーを思い浮かべるだろう。平均的なロードバランサーでも、SYNfloodのようなネットワークベースのシンプル攻撃なら吸収できるが、同社のソリューションはセキュリティ対策「にも」なります、というような売り手の都合だけのものではない。それは、同社のテクノロジーの成り立ちからすると、セキュリティは、むしろ現在のインフラ環境の変化に対応する自然なソリューションだという。
「L2、L3スイッチなどのネットワーク機器を扱うベンダは基本的には、“つながるため”の機能にフォーカスしています。しかし、当社はつながった後のことを重点に考えたソリューションを展開しています。ユーザがデータやアプリをどのように活用したいのか、サービスをどのように使っていくのか、といった視点です。考え方の基本は、アプリケーションをいかに安定して、速く動かし、ユーザの利便性を上げられるかにあります。その延長線上でL4からL7の処理を対象としたロードバランサー、WAF、VPN、FW、シングルサインオンといった技術を展開しています。」（F5ネットワークスジャパン株式会社 帆士敏博氏）
サービスやシステムの可用性を語る場合、信頼性や安全性、堅牢性と切り離して議論することはできないだろう。また、可用性はシステムの機密性、完全性とともに重要とされる三大要素でもある。帆士氏は、このようにネットワーク機器ベンダがセキュリティにかかわる必然性を説明する。そして、この動きを後押しするもうひとつの業界動向もあるという。それは仮想化に始まるクラウドコンピューティングによる企業システムや業務プロセスの変化だ。
「サーバーの仮想化に始まり、ストレージやネットワークといったインフラの仮想化や抽象化が進んでいます。並行してモバイルデバイスやパブリッククラウドが企業ITシステムの基盤として浸透しつつあります。これらの動きは、アプリケーションのホスティング環境に変化をもたらし、サーバー、ストレージ、ネットワークのようなインフラは、もはや自分で一から作るものではなく、クラウドから切り出して好きなように使うという時代といえます。このような現状を踏まえて企業のセキュリティを考えると、VDI(仮想化されたデスクトップ)のエンドポイントはどう特定するか、ユーザの本人確認をどう厳格に行うか、など新しい課題が増えているといえるでしょう。また、DC内のセキュリティデバイスが増えすぎたことで、デバイスごとに複数レイヤのチェックが必要になる点や、これに伴うオーバーヘッドの増加も問題です。」（帆士氏）
そのうえで帆士氏は、アプリケーションの利用・運用形態が変化しているのに、防御形態が従来のままでは不十分ではないか、とも言う。
「一般的なファイアウォール製品は、スイッチベースのものが多く概ねL4までのパケット処理を行っています。これらの製品はアプリケーションをどう活用すべきなのか、つまり 誰が・どのアプリケーションを、どこから使うのかというコンテキストの分析ができません。
これらの分析を行うには、L4からL7、アプリケーションレイヤの動作をチェックする必要があります。当社の主要製品であるBIG-IPは、目的がアプリケーションの可用性や信頼性を向上させることにあるため、アプリケーションの詳細な状態を把握できます。
なぜそのようなアプリケーションレイヤの管理や制御が可能かというと、BIG-IPシリーズにはTMOSという独自開発のOSがプラットフォームとしてあるからです。ロードバランサーやWAFといった機能はTMOSプラットフォーム上に構築されます。
そして、TMOSにはiRulesというTclベースのプログラミング言語があり、任意の制御アルゴリズムや機能設定をカスタマイズすることもできます。TMOSとiRulesによって、一般的なWAFのような機能だけでなく、特定の攻撃パターンの検出や、特定URLだけに対する制御や防御までが可能になっています。」(帆士氏)
アプリケーションを深いレベルで管理できるという点で、UTMや次世代ファイアウォールとの違いはどうだろうか。
「UTMや次世代ファイアウォールはもともとネットワークファイアウォールのアーキテクチャをベースとしています。そこにIDS/IPS、URLフィルタリング、ウイルス対策、アプリケーション可視化などのゲートウェイとして必要な機能を統合したものです。ただし、アプリケーションレベルでの処理プロセスは、あくまでL4までのヘッダ処理を実施後、そのデータペイロードを抽出し、シグネチャマッチング等による更に深い解析を加えて処理をするアーキテクチャとなっています。原理的にはアプリケーションレベルの動作をチェックすることができますが、アプリケーションのセッションやHTTPやDNS等のメッセージそのものを解析している訳ではありません。それに対して、TMOSはアプリケーションレイヤの処理をする専用OSとして開発されており、HTTPやDNS等のメッセージそのものを解析するアーキテクチャとなっています。たとえば、HTTPのセッション管理にCookieが利用されていた場合、そのセッションを識別して管理することが可能です。これにより、一連の通信は誰の操作なのかといった事がわかります。例えば、パスワードリストなどによる攻撃で送信元のIPアドレスを変えてくるもの、NAT越しの攻撃を受けた場合でも、IPアドレスのフィルタリングに頼ることなく、Cookieをベースとしたセッションベースで攻撃を防御することができます。解析は双方向なので一定の出口対策も可能ともいえますが、強調したいのはiRulesを活用することによって運用変更への対応、新しいタイプの攻撃への対応（カスタマイズ）がユーザ側でできる点です。業務要件ごとの細かいチューニングが可能です。」
企業におけるITインフラと情報セキュリティの概念はますます連動する必要性が増しており、ネットワークを含む仮想化やクラウド化が進む現状において、物理的なセグメントや境界ごとにセキュリティボックスのような機器を設置することが難しくなってきている。さらに、モバイルデバイスの増加は、エンドポイントでの管理コストを増大させている。
このような現状に対して、ネットワークの境界上にアプリケーションを誰が、どのような場所から、どんなデバイスで使うのかというコンテキストを理解できるセキュリティ機能を集約するゲートウェイを設置するというアプローチは有効かもしれない。





2014年06月13日




パスワード管理、手帳などに手書きメモが44.2％で最多、次いで記憶が36.5％
http://internet.watch.impress.co.jp/docs/news/20140613_653295.html    Impress Watch
トレンドマイクロ株式会社は12日、パスワードの利用実態調査の結果を発表した。ID・パスワードによるログインが必要なウェブサービスのユーザー518人を対象に5月末に調査したもので、パスワードの使い分け状況やパスワードの管理方法について聞いている。
利用するすべてのサービスで異なるパスワードを設定していると回答したのは6.9％にとどまり、9割以上のユーザーが複数サービスでパスワードを使い回していることが分かった。中でも多いのは2〜3種類のパスワードでほぼすべてのサービスを利用しているという人で、56.4％と半数を占めた。また、1種類だけという人も15.8％いた。
2013年には、複数のサービスで同じID・パスワードを使い回すユーザーのアカウントに不正ログインを仕掛ける“パスワードリスト攻撃”“アカウントリスト攻撃”が目立ったが、今回の調査結果から、多くのユーザーが少数のパスワードを使い回している高リスクな状況にあるとしている。
普段のパスワードの管理方法（複数回答）としては、「手帳やノートにメモする」が最多で44.2％、次いで「書いたり、保存せずに覚えておく」の36.5％だった。「ウェブサービスのパスワードというデジタル情報の管理に、手書きのメモや、記憶に頼るという、アナログな方法をとるユーザーが依然多い」としている。
以下は、「携帯電話のメモなどに保存する」16.0％、「パソコン上の文書ファイルなど（メモツール含む）に保存する。※ファイルは暗号化していない」12.0％、「メモした紙をデバイスの近く、あるいは見えるところに張っている」7.5％、「ウェブブラウザーの管理機能（オートコンプリート機能など）を使う」6.4％、「自分あてにメールを送付、あるいはドラフトとして保存する」5.4％、「パソコン上の文書ファイルなど（メモツール含む）に保存する。※ファイルは暗号化している」5.0％、「パスワードを管理できるサービス・ソフト・アプリで管理している」4.2％。
このほか、パスワードに関する意識で、「パスワードを設定しても忘れてしまう」という人が77.8％（「そう思う」30.1％と「どちらかというとそう思う」47.7％の合計）に上った。また、「新しいパスワードが思い浮かばない」とした人も77.4％（「そう思う」32.8％と「どちらかというとそう思う」44.6％の合計）に上った。
プレスリリース　　−パスワードの利用実態調査 2014−約7割が自分のパスワード管理にセキュリティ上リスクがあると認識4割以上がパスワードを手帳やノートにメモして管理
http://www.trendmicro.co.jp/jp/about-us/press-releases/articles/20140609010140.html





データ保護を主眼としたセキュリティソリューションを提供（日本オラクル）
http://scan.netsecurity.ne.jp/article/2014/06/13/34375.html    ScanNetSecurity
日本オラクル株式会社は6月12日、同社のセキュリティに対する最新の取り組みについて発表した。セキュリティ犯罪は量的、質的に劇的に変化しており、その攻撃対象はサービス停止（DoS）でなければデータベース内のデータを狙う傾向にある。また、取り扱うべきデータベース内のデータ量は毎年倍増し、その中で取り扱う機密情報（会員情報、クレジットカード情報、機密情報、経営情報、センサー情報など）も増加している。こうした機密情報をデータベースに格納している組織は66％であり、その80％のITシステムはデータベースにセキュリティ対策を行っていない。一方でデータベースを狙う攻撃や、インシデント件数、内部犯行も増加傾向にある。
内部不正対策はデータベースにより近いところでの保護が必要であるが、攻撃者はサーバへ直接アクセスするためネットワークセキュリティやアプリケーションセキュリティでは保護できない。また、ストレージ暗号化はOSからは暗号化されていない状態で見えるため役に立たない。さらに特権ID（台帳管理）は悪意を持つユーザには対処できない。同社ではこういった課題を解決するソリューションとして「Oracle Maximum Security Architecture」を提案している。本ソリューションは、不正SQLを探知および遮断する「Audit Vault and Database Firewall」、証跡管理を行う「Audit Vault and Database Firewall」、DB管理者 職務分掌の「Database Vault」、アクセス管理を行う「Label Security」などで構成される。同社は、最高レベルのデータ保護まで提供できる唯一の企業であるとしている。
日本オラクル
http://www.oracle.com/jp/index.html




標的型メールを3つの組織に送れば成功率は9割以上、人の脆弱性を狙う
http://www.itmedia.co.jp/enterprise/articles/1406/13/news079.html    ITmedia
Verizonが毎年発表しているデータ侵害の分析調査の最新版によれば、セキュリティインシデントの92％は、9種類のサイバー攻撃パターンに分類できるという。
米Verizonは毎年、世界各地のデータ侵害事件を分析した実態調査報告書「Data Breach Investigations Report」を発表している。同社日本法人のベライゾンジャパンが6月12日に同報告書の日本語版を公開した。報告書執筆メンバーの米Verizon RISKチーム ディレクター、ブライアン・サーティン氏がデータ侵害の最新動向を解説している。
この報告書は2008年から毎年公開され、英語による最新版は4月に米国で発表された。
http://www.itmedia.co.jp/enterprise/articles/1404/23/news039.html　：　情報流出の背景にスパイ攻撃やWebアプリ攻撃の増加　2014年04月23日
今回は95カ国で起きた6万3437件のセキュリティインシデントや1367件のデータ侵害／漏えい事案などについて分析している。
2013年の概要は既報の通りだが、サーティン氏は過去10年間に発生した4217件の事案についての分析結果を紹介した。
それによると、データ侵害を実行する人間は、「組織外部」「組織内部」「パートナー」に大別される。事案全体に占めるそれぞれの割合は、2004〜2008年まで大きな差がみられないものの、2009年から組織外部の占める割合が拡大。組織外部の人間データを侵害する動機は「金銭目的」が主流であるが、その割合は年々低下する一方で、2010年から「スパイ活動」の割合が高まり続けている。
機密情報を狙うスパイ行為
データ侵害の手法は、2010年からハッキング、マルウェア、ソーシャルエンジニアリングの3つの台頭が著しい。サーティン氏は、「水飲み場型攻撃」と「スピアフィッシング」の組み合わせが増えていると解説する。
「水飲み場型攻撃」とは、趣味や仕事など特定の目的を持ったユーザーがアクセスするWebサイトを改ざんし、閲覧者をマルウェアに感染させることを狙う攻撃。水飲み場に集まってくる動物を狙って猛獣が攻撃を仕掛ける様に例えた言葉だ。「スピアフィッシング」とは、ごく少数の標的をだます手法の総称。槍（スピア）の鋭い先端で標的を突く様になぞられたものである。
「犯罪者は、まずシステムの脆弱性を攻撃して30分程度で突破できなければ、次に人間の脆弱性を狙う。実際にはその方が簡単だからだ。スピアフィッシングのメール（標的型攻撃メール）を3つの組織に送れば、90％くらいの確率で成功する」（サーティン氏）
つまり、「水飲み場型攻撃」を仕掛けることで、犯罪者の狙う属性を持った人間のコンピュータにマルウェアを感染させることができる。犯罪者は、マルウェアやその他の手段を使ってあらゆる情報を収集し、本当の標的とする人間に近付くためのスピアフィッシングのような手法を実行する。こうして標的を絞りこんでいき、最終目標の情報を盗み出すというわけだ。
2008年の脅威再び
また過去5年間の動向でみると、2008年に脅威トップ5に入った「RAMスクレーパー」が、2013年に“復活”した。2009〜2012年はランク外にあった。
RAMスクレーパーは、システムのメモリ領域に格納されたりや転送されたりしているデータを盗み出す不正プログラム。データベースなどにあるデータは暗号化されている場合が多く、犯罪者が盗み取っても悪用できないことがほとんど。しかし、メモリ上などのデータは処理のために暗号化されておらず、犯罪者はここを狙ってデータを盗む。
サーティン氏によれば、特に小売業などペイメントカード（クレジットカードやデビッドカードなど）情報の取り扱いが多いPOSシステムが狙われる。
脅威の92％は9つのパターンで分類可能
は、過去10年間の脅威を整理すると92％は9つの基本パターンで説明することができ、パターンの傾向を業界別に読み解くことで、実践的なセキュリティ対策を検討するためのヒントが得られると説明する。
例えば、ホテル業界での脅威の75％は「POSへの侵入」で、10％の「DoS（サービス妨害）攻撃」が続く。小売業での脅威はDoS（サービス妨害）攻撃が33％、POSへの侵入が31％という具合だ。このほかにも、医療業界では「盗難・紛失」（46％）が多く、情報産業では「Webアプリへの攻撃」（41％）や「クライムウェア」（31％）といった業界別の違いがみられる。また、脅威別では特に「国家のスパイ活動」が製造業と鉱業、専門サービス業、運輸業で20％以上にもなっている。
なお、これらの業界分類は米国を基準にしたものだが、日本企業にも参考になりそうだ。また、各業界における脅威はそれぞれのパターンが組み合わさり、データ侵害につながっているという。「金銭狙いの場合、犯罪者はネットワークやシステムに痕跡を残すまいとする。逆にスパイ行為ではあらゆる経路から侵入が試み、侵入後も長期間潜伏活動を展開する」（サーティン氏）
同氏は、報告書を通じて「自社の環境に即した脅威の理解と対策指針に役立ててほしい」と語った。
『2014年度データ漏洩/侵害調査報告書』の一部を抜粋。
http://www.verizonenterprise.com/resources/reports/rp_dbir-2014-executive-summary_ja_xg.pdf
ベライゾンジャパン
https://www.verizonenterprise.com/jp/DBIR/2014/

Feedlyに第2波攻撃、「第2の防衛線で無力化」と報告
http://www.itmedia.co.jp/enterprise/articles/1406/13/news038.html    ITmedia
「犯罪集団は執拗に金銭をゆすり取ろうとしたが、われわれは断固として要求を拒んだ」とFeedly。
サービス妨害（DDoS）攻撃を受けてユーザーがアクセスできない状態に陥ったFeedlyは米国時間の6月12日、いったんサービスを復旧させた後、第2波の攻撃を受けたことを明らかにした。
http://www.itmedia.co.jp/enterprise/articles/1406/12/news030.html　：　EvernoteやFeedly、DDoS攻撃で一時ダウン――金銭の要求も　2014年06月12日
現地時間の11日午前2時過ぎ、「DDoS攻撃を仕掛けられ、金銭を要求されている」という告知をブログに掲載。同日午後3時過ぎには「攻撃を無力化し、feedly.comやモバイルアプリからFeedlyにアクセスできるようになった」と伝えた。
しかし12日朝にかけて再び攻撃に見舞われたといい、対策チームはこの攻撃も無力化するため、「第2の防衛線」を構築して対応した。第2波の攻撃は、最初の攻撃に比べてさらに強力だったという。
同日午前11時半には、第2の防衛線が稼働して攻撃は無力化され、Feedlyにアクセスできるようになったと報告した。「犯罪集団は執拗に金銭をゆすり取ろうとしたが、われわれは断固として要求を拒み、より強いFeedlyの構築に力を注いだ」とFeedlyは述べている。
一方、Feedlyと同時に攻撃されたEvernoteは現地時間の12日までにサービスを復旧させ、「今は全ユーザーが全プラットフォームでEvernoteにアクセスできるはず」とツイートしている。
Feedlyブログ　　Denial of service attack [Neutralized]
http://blog.feedly.com/
Evernote公式Twitterアカウント
https://twitter.com/evernote

LINEで不正ログイン、パスワードの使い回しに注意
http://nlab.itmedia.co.jp/nl/articles/1406/13/news124.html    ITmedia
他社サービスから流出したとみられるログイン情報を使った不正ログインがLINEで増えている。
LINEは6月12日、同社のメッセージングアプリ「LINE」で、他社サービスから流出したとみられるログイン情報を使った不正ログインが増えているとして注意を促した。
ここ数日同社に対し、「自分のアカウントが第三者に利用されている」との問い合わせが増えたことから調査したところ、他社サービスから流出したと思われるメールアドレスやパスワードを使った不正ログインが確認された。規模は明らかにしていない。LINEのアカウント情報（電話番号やアカウント名、LINE IDなど）の外部への流出はなかったとしている。
LINEでほかのインターネットサービスと同じメールアドレス・パスワードを使っている場合は、パスワードを変更するよう同社は推奨している。
ドワンゴも13日、「niconico」において、他社サービスから流出したID・パスワードを使った不正ログインが発生したことを報告している。
http://nlab.itmedia.co.jp/nl/articles/1406/13/news074.html　：　ニコニコで不正ログイン約22万件、被害17万円　リスト型アカウントハッキングで　2014年06月13日
他社サービスと同じパスワードを設定している皆様へパスワード変更のお願い
http://official-blog.line.me/ja/archives/1004331596.html
LINE公式ブログ
http://official-blog.line.me/ja/

毎日放送のWebサイトに不正アクセスか　「トラブルのため現在作業中」
http://nlab.itmedia.co.jp/nl/articles/1406/13/news075.html    ITmedia
PC用のサイトから一時リダイレクトされるようになっていた。
毎日放送（MBS）の公式サイトに6月13日早朝、不正アクセスとみられる異変が発生し、一部ネットユーザー間で騒ぎになっていた。正午時点では「トラブルのため現在作業中です」として一時閉鎖されている。
トラブルが起こったのは公式サイト「http://www.mbs.jp」。午前4時ごろ、PC用のサイトにアクセスすると、「http://www.mbs.jp/index.html」にリダイレクトされ、「恒心綜合法律事務所」のトップページの文言が表示される状態になっていた。現時点では詳細は不明。
午後2時30分追記
毎日放送の公式サイトが復旧したが、この件について今のところ説明などは掲載されていない。

クラウドから新製品情報がごっそり流出？　勝手ツールが企業にもたらす“悲劇”
http://www.itmedia.co.jp/news/articles/1406/13/news023.html    ITmedia
業が管理していないITツールを仕事で勝手に使う「シャドーIT」が広がりつつある。これによって企業が陥る“悲劇”とは？　今回は実際に想定されるケースをもとに、どの企業でも起こりうる最悪のパターンを紹介したい。
企業が管理していないITツールを仕事で“勝手”に使うこと。こうした行為は「シャドーIT」とも呼ばれ、企業に情報漏えいなどさまざまなリスクをもたらす可能性があるとされている。その代表的な脅威は前回の記事（日本企業をひそかに襲う「シャドーIT」の脅威）で紹介した通りである。
http://www.itmedia.co.jp/news/articles/1404/18/news037.html　：　日本企業をひそかに襲う「シャドーIT」の脅威　2014年04月18日
今回は、シャドーITの代表格ともいえる「ファイル共有ツール」を例にとり、シャドーITが実際に現場でどのような問題を引き起こすのか、仮想ケースをもとに紹介したい。
気鋭の女子社員・仁美が落ちた“甘い罠”
仁美は、大手製造業の○×社で営業を担当している入社5年目の社員。最近は重要な顧客を多く任されるようになり、多忙な日々を送っていた。
順調な仕事ぶりに見える仁美だったが、実は1つの悩みを抱えていた。というのも、○×社は端末管理が厳しく、ノートPCは社外持ち出し禁止。会社支給のスマートフォンは社外持ち出しを許されていたものの、仕事に関する作業ができないようになっていた。
社内での期待に比例して増える業務量と外出時間。仁美はいつしか「自宅でも仕事をしたい」と考えるようになっていた。そこで、情報システム部門に勤める同期入社の和男に相談する。
仁美　最近、仕事が回らなくてさ。家でも仕事をしたいんだけど、PCを持ち帰る許可がもらえないんだよね。
和男　そりゃ、PCを外出先で紛失して顧客情報を漏えいさせられたら大変だからね。会社に残って仕事すればいいじゃないか。
仁美　終電までに終わらないよ……。毎日タクシーで帰るわけにもいかないし。それじゃ、仕事のファイルをクラウドサービスのDropboxに入れて自宅のPCから仕事してもいいのかな。
和男　ああ、そういう有名なクラウドサービスはウチの会社のルールで利用禁止になっているし、社内のPCからアクセスできないようにしてあるよ。
仁美　えー、それはもはや業務妨害レベルだよ。少しはこっちのことも考えてよ。じゃ、またね。
　　　あきらめられない仁美はその後、さまざまなクラウドストレージサービスをチェックし続けた。そしてとうとう、新興サービスの「Storage A」（仮称）は社内ネットワークでもアクセスできることを見つけたのだった。
仁美　あ、これ利用できるじゃん。ふふ、うちの情シスもまだまだだな。よし、ここにファイルをアップロードして家で仕事しよう。これで仕事もできるし、タクシー代も浮くし、便利な世の中バンザーイ！
　　　こうして仁美は、顧客と商談を進めている新製品（半年後に発売予定）に関する情報を、Storage A上に保存し始めた。
気付かぬ設定、便利さの裏にある“落とし穴”
その後しばらく、仁美はStorage Aを利用して仕事をこなしていった。結果として深夜残業も減ったため、上司からは仕事ができるようになったと評価されていた。
そんなある日、○×社に激震が走る。
新製品の情報が、商談を進めていた顧客名とともにネット上に出回っていたのだ。
○×社では急いで犯人探しが行われ、名簿が流出した顧客の担当である仁美が真っ先に疑われた。一方情シス部門もネットワークのアクセス情報から、この時点で情報流出元がStorage Aであることを発見。仁美がそこにアクセスしていた事実を知る。
こうして、張本人である仁美、上司である佐々木、IT部門から和男の3人で緊急会議が開かれた。
佐々木　仁美、これはどういうことなんだ！　わが社の新製品情報はネットに流出してしまうし、顧客はカンカンに怒ってこの商談は流れてしまったぞ。どう責任を取るんだ！
仁美　本当に申し訳ありません。ただ私自身、なぜこのような情報が流出してしまったのか分からないのです。
和男　でも、仁美はStorage Aを使ってたよね。そこに新製品情報も顧客名もアップしてたんだろ？
仁美　確かに使っていたけど、あのサービスでは、他の人から自分のファイルを見られないように設定していたはずだし……。
和男　自分ではそう設定していたかもしれないけど、この手のサービスは機能変更が頻繁にあってね。調べてみると、2週間前の機能変更で、それまで“非公開設定”だったファイルも全公開になっていたらしい。その時にあらためて非公開に設定し直さないといけなかったんだ。
仁美　知らなかった……。
佐々木　とにかく、この問題をどうしてくれるんだ！　仁美、お前にはもう新製品や重要顧客は任せん。そもそも和男、お前ら情シスがしっかり管理してないから悪いんだぞ。俺は上に情シス部門にも責任ありと報告するからな。
仁美　はい。本当に申し訳ありません。
和男　（ふざけんなこのオヤジ……。）原因究明と対策は部に持ち帰って検討します。
進化の激しいWebサービス、対応が遅れる情シス部門
今回の事件を踏まえ、情シス部門では原因究明と対策について協議を始めた。和男は情シス部長である岡田に事件のてん末を報告する。
和男　今回の情報流出事故の背景は、あまりにも進化の早いWebサービスの世界に情シスが対応できなかったことにあります。Storage Aはまだ新興サービスにすぎず、われわれも認知していなかったため利用禁止にしていませんでしたし、アクセスログ分析でも特に引っかかっていませんでした。これは、仁美だけの問題とは言い切れません。
岡田　そうか、これがいわゆる「シャドーIT」問題だな。とはいえ、われわれのように少数の情シス部員だけで世界中の新しいWebサービスに目を光らせるわけにもいかんし……。根深い問題だな。
和男　おっしゃる通りです。ひとまずStorage Aは利用禁止リストに加えましたが、世界中の類似サービスを全て把握するのは不可能です。加えて、今後また社員がシャドーITに手を出したとして、こちらで問題として把握することも不可能です。
岡田　もう1つの問題は、こうした個人向けITツールでは頻繁に機能変更があり、ITに詳しいはずの若手社員ですらついていけていないことだな。仁美は別にITオンチではなかったんだろ？
和男　その通りです。彼女は逆にIT利用に積極的でしたし、新しいサービスにも詳しいタイプの社員でした。
岡田　そうだよな。ちょっと上に最終報告をする前に、問題背景と解決策を考えてくれるかね。今週中に頼むよ。
和男　えー、今週中にですか。でも佐々木さんのあの勢いを考えたら仕方ないですね……。分かりました。
　　　とは言ったものの、和男は1人で机に戻って頭を抱えるのだった。
和男　原因究明はいいとして、解決策を出せと言われても……。雨後のタケノコのように出てくるWebサービスを網羅して対処するのも無理だし、“スピードは完璧さに勝る”なんて創業者が公言してるWebサービスだってあるから機能変更なんて突然だし。正直どうしたらいいか分からないよ。Google先生も解決策は教えてくれないし……。
このような事件は、どの会社でも起こりうる事態である。

「niconico」にリスト型攻撃　不正ログイン22万件　17万円分のポイント不正使用
http://www.itmedia.co.jp/news/articles/1406/13/news064.html    ITmedia
動画サービス「niconico」が21万9926件の不正ログインを受け、ユーザーが保有していた17万円相当のポイントが不正利用された。他社から流出したID、パスワードを使ったリスト型攻撃だったとしている。
ドワンゴは6月13日、動画サービス「niconico」が21万9926件の不正ログインを受け、ユーザーが保有していた17万円相当のポイントが不正利用されたと発表した。不正ログインの試行は220万3590回もあったといい、他社から流出したID、パスワードを使ったリスト型攻撃だったとしている。
不正ログインがあったのは5月27日〜6月4日。6月1〜9日にユーザーから3件問い合わせがあり、10日、同一IPアドレスによる大規模な不正ログイン試行を確認。niconico内で提供しているゲームで、第三者によるニコニコポイントの不正使用を確認した。ニコニコポイントを不正に使用されたID数は19、不正使用の被害総額は17万3610円だったという。
不正ログインを受けたユーザーは、ポイントの不正使用のほか、（1）性別、生年月日、居住地域、メールアドレスなどの登録情報の閲覧、（2）登録メールアドレスやパスワードの変更、（3）動画やコメントなどのなりすまし投稿――の被害を受けた可能性があるとしている。クレジットカード情報は同社システムでは保有していないという。
不正ログインの対象となったIDのユーザーは、課金機能を停止するなど対策を行い、個別に連絡してパスワードの変更を依頼した。同社は今後、セキュリティ体制の強化を行うとしている。また、他社サービスと同じID、パスワードを利用しないよう呼びかけている。
リスト型攻撃による不正ログインは今年に入って急増しており、4月以降だけでも「mixi」「楽天ダウンロード」「ソニーポイント」「My Softbank」などが被害にあっている。
niconico　　他社流出パスワードを用いた不正ログインについて
http://notice.nicovideo.jp/ni046768.html

Facebook、ターゲティング広告でユーザーの外部サイトでの履歴も参照へ
http://www.itmedia.co.jp/news/articles/1406/13/news047.html    ITmedia
Webブラウザとアプリの履歴がFacebookのターゲティング広告に反映されるようになることに合わせ、Facebookはユーザーが広告表示をコントロールするためのツールを改善する。
米Facebookは6月12日（現地時間）、ターゲティング広告にユーザーの外部サイトやアプリの利用履歴を反映させると発表した。まずは米国で数週間後から開始する。
Facebookはこれまで、Facebook内でのユーザーのアクティビティやユーザーが「いいね！」したFacebookページなどのデータに基いてターゲティングした広告を表示してきたが、ユーザーにとってより関連性の高い広告を表示するためにデータの範囲を拡大することにしたという。このようないわゆる「interest-based advertising（関心に基づく広告）」は既に多くの企業が実施しているとFacebookは説明する。
例えばユーザーがテレビの購入を検討してWebブラウザやモバイルアプリでテレビを検索すると、Facebookを開いた際にテレビや関連するスピーカーなどの家電製品の広告が表示されるようになる。
同社はターゲティング広告の強化に合わせ、ユーザーが「なぜこの広告が表示されるのか」を確認するための機能を追加する。各広告の右上にあるプルダウンメニューに「Why am I seeing this?」という項目が表示され、これを選択すると、その広告が表示された理由のおおまかな説明と、類似する広告を非表示にするための編集機能が開く。
この機能はまず米国で提供を開始し、将来的には提供地域を拡大していく計画という。
Facebookに関連性の高い広告を表示したくない場合は、オプトアウトする必要がある。Webブラウザでオプトアウトするには、
Facebookが提携しているDigital Advertising Allianceのオプトアウト設定ページの「Companies Customizing Ads For Your Browser」タブでFacebookを選択し、リストの下にある「Submit your choices」をクリックする。
http://www.aboutads.info/choices/#completed　：　OPT OUT FROM ONLINE BEHAVIORAL ADVERTISING (BETA)
Androidでは、「Google設定」アプリで［広告］→［インタレストベース広告をオプトアウト］を有効にすれば、Facebookを含むインタレストベースの広告をオプトアウトできる。
iOS 7では、［設定］→［プライバシー］→［広告］→［追跡型広告を制限］を有効にする。
説明文　　Making Ads Better And Giving You More Control
https://www.facebook.com/help/585318558251813?locale=en_US
Facebook広告に関するヘルプ（日本語）　　Facebookで、私に表示される広告はどのように決まるのですか。
https://m.facebook.com/help/562973647153813

株価予想もビッグデータで　Twitter分析、市場の“ムード”予測
http://www.itmedia.co.jp/news/articles/1406/13/news046.html    ITmedia
ビッグデータの活用が株価にも及んできた。NTTデータはTwitterを分析して市場のムードを予想。カブドットコムは株取引ソフトに「リアルタイム株価予測」という機能を盛り込んでいる。
インターネットなどで集めた膨大な情報を分析する「ビッグデータ」の活用が、予測不可能とされる株価にも及んできた。
NTTデータは、短文投稿サイト「ツイッター」のつぶやきを分析、株式市場のムードの変化をとらえる指標を開発。ネット証券大手のカブドットコム証券は、同社の株取引ソフトに「リアルタイム株価予測」という機能を盛り込み、個人投資家に提供している。新技術が投資のあり方を変えるか、試行錯誤が始まっている。
NTTデータは米ツイッターと契約しており、日本語での全投稿を活用できる。株価予想に使えるかの検証は、3年分の数百億件について、日経平均株価採用銘柄の社名や株式関連のつぶやきを抽出。ポジティブまたはネガティブな言葉が含まれているつぶやき数をみた。
その結果、全体に占めるネガティブな比率の増減などが、投資家が見込む株価の変動の大きさを示す指数「日経平均ボラティリティー・インデックス」と相関性が高いことが判明した。
指標を共同開発したNTTデータ数理システムの鍋谷昴一主任研究員は「つぶやきの数を詳しく見ていくことで、株価を下げる出来事があったときに、その余韻の大きさなどをみる手がかりになり得る」と強調する。
NTTデータは、3年後に100億円規模の事業に育てたい考え。機関投資家が株価動向を予測するに当たり、この要素を加えて精度を高めることが期待されるほか、金融機関などに顧客の個人投資家に提供する情報の一つとして活用してもらうことが想定される。「市場関係者から意見を聴いて、提供するサービスの形態を検討している」（ソーシャルビジネス推進室の佐藤勇一郎課長）という。
一方、カブドットコム証券のリアルタイム株価予測は、約2年前に提供を始めた。予測に用いるデータは、証券各社が東京証券取引所と契約して取得している株式の全売買注文情報。東証によると、1日の注文数は2000万〜2500万件程度。
このサービスの特徴は「仮想で売買注文をつき合わせて、瞬時に計算する技術」（システム部の中沢康至課長代理）だ。例えば取引開始前には、その時点での売買注文から、各銘柄の開始時の予想価格を算出、その日に売買が増えそうな銘柄や業種を抽出。取引中にも、その時点での終値の予想価格が表示されるため、相場の流れをつかみやすくなるという。
もっとも注文が次々と入ることで予想価格も変わっていくため、売買量の少ない銘柄では当初予想から乖離（かいり）していく可能性がある。
海外では、株価水準などに応じてコンピューターが自動的に売買注文を出す機関投資家のアルゴリズム取引でネット上の情報などが応用されている。ビッグデータによる株価予測の精度が向上するかが注目される。

毎日放送Webサイトが改ざん被害　弁護士事務所の画像に転送
http://www.itmedia.co.jp/news/articles/1406/13/news108.html    ITmedia
毎日放送（MBS）は6月13日、公式サイトが改ざん被害にあったことを明らかにした。一時サイトを閉鎖し、午後0時半までに復旧した。
13日午前4時前、掲示板サイト「2ちゃんねる」にMBSサイトが改ざんされているとの報告があった。MBSサイトにアクセスすると、都内の弁護士事務所の紹介のような画像にリダイレクトされるようになっていた。この弁護士はネット上の誹謗中傷事件に詳しいとして、2chの一部でしばしば中傷の対象になっている。
MBSは13日午前、公式サイトを一時停止した上で復旧させた。
毎日放送
http://www.mbs.jp/

cookieや履歴を要求する拡張機能をチェック、Googleのデバッグツールに新機能
http://www.itmedia.co.jp/enterprise/articles/1406/13/news039.html    ITmedia
米Googleは、開発者向けのデバッグツール「Chrome Apps & Extensions Developer Tool」の更新版に、アプリや拡張機能の詳細な挙動を表示させられるパワーユーザー向けの機能が加わったと発表した。
アプリや拡張機能の中には、Webブラウザのcookieや履歴といったセンシティブなデータへのアクセスを要求するものがある。このため開発者やユーザーがこうした挙動をチェックして、アプリや拡張機能がブラウジングに及ぼす影響を調べられるようにした。
同ツールをインストールすると、ユーザーが使っている拡張機能やアプリの挙動をローカルでチェックして、それぞれの過去数日の挙動を一覧表示する。「Behavior」のリンクをクリックすると、リアルタイムの挙動が表示される。
この画面の「プライバシー関連履歴」の項目では、cookieの読み込みや開いているタブの検索、Webサイトの改変などユーザー情報にかかわる項目が表示される。URLを検索して、Webページが拡張機能によって改変されていないかどうかを確認することもできる。
Google Online Security Blog   See what your apps & extensions have been up to
http://googleonlinesecurity.blogspot.jp/2014/06/see-what-your-apps-extensions-have-been.html

なぜGoogleで「ロリ」が検索できなくなったのか　SEO専門家の見方
http://www.itmedia.co.jp/news/articles/1406/13/news136.html    ITmedia
「ロリ」関連ワードをGoogleで検索すると、結果がほとんど表示されなくなった。SEO専門家の辻正浩さんは、「一部の有名サイト以外が徹底的に消された」と話す。その背景は――。
Google検索で6月上旬、「ロリ」に性的なワードを加えて検索した際、結果がほとんど表示されなくなったとネットユーザーの間で話題になった。6月13日午後6時現在も、「ロリ　エロ」で20件、「ロリ　陵辱」だと10件――など、表示される検索結果が極端に少なくなっており、表示されるサイトも、Twitterやニコニコ動画、Amazonなど、一部の有名サイトに限られている。
児童ポルノの単純所持を禁止する児童ポルノ法改定案が衆院を通過したこともあり、Googleが「ロリ」関連ワードの検索結果を検閲しているのでは、と推測する人もいた。
Googleは当初、「特定ワードを検閲することはない」と説明していたが、
http://www.itmedia.co.jp/news/articles/1406/10/news047.html　：　Google検索で「ロリ」がブロック？　「特定ワードの検閲はしない」とGoogle　2014年06月10日
その後、「アルゴリズムの要素として、特定のキーワードを使うことはある」と認めた。ただ、「ロリ」関連ワードをめぐる変化についての詳細は明かしていない。
3万近くのキーワードについて、検索結果の変遷を日々チェックしているSEO専門家の辻正浩さんは、「ロリ」関連ワードで「一部の有名サイト以外が徹底的に消された」と話す。背景にはGoogleがグローバルに行っている児童ポルノ対策があるとみている。
「ロリ」検索結果から「ロリ」が消える？
辻さんによると、「ロリ」の検索結果が激変したのは6月5日〜7日ごろ。このころを境に「ロリ」関連ワードの検索結果から、中小サイトや一部の投稿サイトが消え、有名サイトのみに変わったという。
実際の検索結果を見てみよう。6月4日に「ロリ」で検索した上位20位までを見ると、中国の動画投稿サイト「youku」の動画や、イラスト投稿サイト「pixiv」のタグ、「livedoor blog」を使った2ちゃんねるまとめサイトの記事、DMM.comのアダルトゲームなど雑多なサイトが含まれていたが、13日午後6時の時点ではそれらがごっそり消え、Wikipediaやニコニコ大百科、Twitter、YouTubeなど、有名／大手サイトのコンテンツのみに変わっている。
検索結果の数も激減したようだ。「ロリ」では13日現在、検索結果が3ページ目までしか表示されず、それ以上の結果を知るには再検索が必要だ。性的なワードを掛け合わせた場合はさらに結果が少なく、「ロリ　エロ」は2ページ、「ロリ　陵辱」は1ページで終了。再検索してもそれ以上の結果は出ない。
Microsoftの検索エンジン「Bing」を使うと、「ロリ」「ロリ エロ」「ロリ 陵辱」とも大量の検索結果がヒットするなど、これらのワードに関連するコンテンツは大量に存在することは確かだ。にも関わらずGoogle検索でヒットしないのは、Googleが何らかの意図をもって、検索結果を制御しているとみられる。
児童ポルノ対策が目的か
「ロリ」の検索結果が激変した背景には、児童ポルノに対するGoogleの姿勢の変化があると、辻さんはみている。
昨年7月、英国のデビッド・キャメロン首相から児童ポルノ対策の強化を求められたGoogleは、児童ポルノ画像が検索結果に出づらくするアルゴリズムの変更を実施。この対策を表明英語以外の150カ国語にも反映させていくと明らかにしていた。
「このアルゴリズムの変更が、日本のGoogleにも反映されたのでは」と辻さん。どうやらGoogleは、「ロリ」など児童ポルノに関連しそうなキーワードの検索結果に、信頼性の高い一部の大手サイトのみを表示し、それ以外は一律で非表示にすることで、児童ポルノ画像などが表示されるリスクを防いでいるようだ。
ただ、日本では、少女を性愛の対象に描いた漫画やアニメ、ゲームなど2次元のコンテンツも多く、「違法な児童ポルノを規制するために、合法な2次元の表現まで一律に規制するのはやり過ぎで、表現の自由の侵害につながりかねない」という意見もある。
辻さんは、「今のGoogleのやり方は、日本の実情に合わない面はある」と認めつつも、「アルゴリズムは基本的に世界共通。日本向けに2次元と3次元を判別させるのは現実的ではなく、こうなってしまうのは理解できる」と話す。
一方で、「ポロリ」の検索結果も激減するなど、「ロリ」という文言を含む無関係のワードまで規制対象になっており、アルゴリズムの調整がうまくいっていない面もあると指摘。「ロリ」の検索結果も日々変わっており、「今は過渡期で、今後調整されていくだろう」とみている。
「信頼性の高いサイト」を上位に　Googleの傾向
大手サイトや公的機関の検索順位を上げ、中小サイトは表示されづらくする――「ロリ」で今回行われたような検索結果の調整はここ2〜3年、命や財産に関わるセンシティブなキーワードについて、何度か行われてきたという。
例えば「がん」というキーワードで検索した際、数年前までは、「がんに効く」とうたう怪しげな健康食品も上位に入っていたが、最近は、国立がん研究センターやがんを研究している医療機関など、公的な情報が上位に並んでいる。「警察」なども同様で、検索上位には各地の警察署がずらりと並ぶ。
「生命や財産、法律に関わるキーワードで、信頼性の高いサイトを優先的に表示するのは、個人的にはいいことだと思う」と辻さん。その結果、ユーザーが必要としている情報が上位に来ないケースもあるが、「万人が納得する検索結果はない。Googleがユーザーの使いやすさに注力しているのは確かだと思う」と話す。
リブセンスが受けた「風評被害」
検索順位に関連する話題では、今年5月中旬、上場企業の株価を揺るがす事態も起きた。
リブセンスの運営するアルバイト情報サイト「ジョブセンス」が、「アルバイト」で検索した際に上位に表示されないことが判明し、「生命線のSEOがたたき落とされた」などとセンセーショナルにネットで語られ、株価が急落したのだ。
これは「風評被害だった」と辻さんは振り返る。確かに、リブセンスの検索順位は一時期と比べると落ちているが、大きく下がったのは業績が好調だった昨年以前。話題になった今年5月ごろにはほとんど動きがなかったという。
また「アルバイト」で検索すると確かに100位以下に落ちていたが、アルバイトを探している人は「アルバイト　職種」「アルバイト　地域」などより詳細なワードで検索する傾向が強く、それらのワードの多くで10位前後をキープしている。
米国では、検索順位の低下がセンセーショナルに報じられて株価が下がり、企業トップが反論する事例もある。今後、日本のネット企業も同様な対応が迫られる可能性があると辻さんはみている。







内部不正や犯罪をさせない組織を作る7つの柱
http://www.itmedia.co.jp/enterprise/articles/1406/13/news033.html    ITmedia
最近の企業セミナーは、「サイバー攻撃」や「内部不正」を題材にしたものが増加している。簡単にいえば、「この○○システム（もしくはソフト）を導入すればサイバー攻撃の防御（もしくは内部不正）の防止になる」というものだ。
確かに、これらのシステムやソフトを有効利用して大きな成果を得ている企業は多い。その一方、筆者のもとには「導入したが、セキュリティの向上を実感できない。何が悪いのだろうか」という類の相談が寄せられている。実際にコンサルティングと調査・分析を実施することが望ましいが、多くの企業が見落としていると思われる点もある。今回はその中で「会社の組織」を切り口に解説したい。
1:「セキュリティ」担当の部署
セキュリティ一般となると、その対象は相当に幅が広く、警備会社の契約やビル管理、指紋認証ドアの保守なども含まれる。「情報セキュリティ」と括っても結構広い。例えば、「ウイルス対策ソフトの決定権は？」「サーバセキュリティの権限は？」「ログ分析の権限は？」「情報漏えい時の業務フローの中心は？」など、インシデントによっても様々である。
大抵の企業における担当部署は昔からの流れで、決まっているインシデント（例えばPCの内部設定の検討や管理者権限の承認など）と、最近の新しいインシデント（サイバー攻撃の疑いがある場合の担当部署やSNS炎上の事件の担当部署など）に分かれているだろう。
しかし、混沌とした状態にある企業は相当数存在する。いざ何らかの事件が惹起された場合に、現場では相当な混乱に陥る。予め決められた担当部署でも管理者によっては、「部内にその専門スキルがない」「人手が全くないので、○○部に作業させた方がいい」などと話される。
セキュリティに関する対応において、まずは事件・事故が起こる前に予想されるインシデントや作業項目を拾い上げ、実効力のある責任部署を予め決めておく。予算についても、その体制を整えるための「人・物・金」を考慮しておくべきである。
ある製造業では「指紋認証ドア」や「監視カメラ」などの「物理セキュリティ」などの権限が昔から総務部に委ねられていた。よって、企業全体のセキュリティのバランスが個別に議論されてきたため、極めてアンバランスになっていた。企業全体を防御（トータルセキュリティ）するという視点では、「防御」「抑止」「検知」「攻撃」「その他」などの切り口でありとあらゆることを議論し、組織の外部と内部それぞれ面から様々な対応が求められる。筆者の経験では以下に挙げる項目が必要だと感じている。
トータルセキュリティでの検討項目（例）
・セキュリティ分類コード
・具体的な施策
・起案部署
・検討部署
・運用部署
・実績
・予定
・備考
例えば「監視カメラ」では以下のようになる。
コード：02−07−04
施策：（例）横浜支所3階のサーバルーム入口への監視カメラ設置
起案部署：監視カメラのターゲットエリア担当部署もしくはセキュリティ検討委員会
検討部署：起案部署および建物管理部署、総務部、セキュリティ検討委員会、CIO
運用部署：総務部（記録媒体管理はコンプライアンス部○○課）
実績：（例）横浜支所の監視カメラ（ダミーを含む）設置状況
予定：（例）中期業務計画上でのセキュリティ強化策の一環
備考：（例）現在のサーバルームに指紋認証ドアは設置済み。今回は強化策の第二弾であり、今回は約200万円で今期予算として計上済み案件。業者は横浜支所を一括して工事している○○としたい。現在見積り中。
2：「情報セキュリティ」専門部署は極力外に出す
一部の企業は、その成り立ち上から「情報システム部」や「サーバ管理部」などの中に「情報セキュリティ対策室」などの様な名前でセキュリティ担当組織を設置している。しかし、このような運営ではその部署の“呪縛”から逃れることができない。
セキュリティに関する作業の大部分は地道なものだが、例えば、「情報漏えい事案」が発覚した場合は様相がガラリと変わる。その対応主幹が「情報セキュリティ対策室」だとしても、可及的早期に対応策を検討・実践しなければならない場合、「情報セキュリティ対策室」が「情報システム部」の一部分となっていては、作業がスムーズに進まない。部長の承認といった煩雑な作業があまりに多いためだ。特に内部犯行が大きく疑われるケースでは、なおさらである。
一方、「情報セキュリティ対策室」がシステムに関係のない「経営企画部」などの中にある場合や、インシデント専門プロジェクトの組成を速やかに実施できる体制であれば、その対応をスピーディーにできる可能性がある。
3：経営側と直接コンタクトできる体制に
筆者が数年前に遭遇した実例では、被疑者が情報システム部長だった。この企業には「情報セキュリティ調査課」なるものが設置され、コンプライアンス統括部の中に存在していた。直接の上下関係にはなかったが、調査課の担当者は、作業内容を情報システム部長と同期のコンプライアンス統括部長に報告するのがとても苦痛だったという。
こういう事件の場合は、そのことを知っている関係者が少なければ少ないほど良い。つまり、この調査課のような部署が「課」でも「係」でも「チーム」でも何でも構わないが、その指揮系統はCIOや社長の直属ということが望ましい。
4：他言無用を貫く
社内のインシデントや事件について、家族であっても直接関係のない立場なので、余計な話をしてはいけない（過去の話などは構わないかもしれないが）。情報セキュリティ関連の作業は、どうしても通常の作業と異なり、他言無用になるケースが多い。筆者の経験上から、一番に漏れやすいのは役員であるが、担当者としての守秘義務があることを忘れないでほしい。
5：相互牽制がしっかりしている
内部犯罪の少ない企業は、組織上から企業内における権限がある程度分散しており、それぞれの役割においての相互牽制がしっかりしている。例えば、個人同士におけるセキュリティ検査、チーム単位のセキュリティチェック、検査部が行うセキュリティ監査など、それぞれのレイヤで必ず検査し合う状況が確立され、形骸化していない。こうなると、やはり犯罪は起こしにくいのである。
6：「見える化」が企業風土になっている
特に隠ぺい体質というほどでもないが、企業としてしっかり「見える化」ができていないところでは総じて内部犯罪が多い（表面化せず、事実は闇の中という場合も多いが）。隣にいた人がいつの間にか懲戒免職され、その理由などが全く表面化しないといった組織なら、要注意かもしれない。
7：教育現場を見れば分かる
従業員などに対する「情報セキュリティ教育」や「コンプライアンス啓蒙教育」の現場を見学すると、企業自体の真剣度や従業員の浸透具合を把握しやすい。特に、実際に事件や事故が発生した企業の現場をみると、事件や事故につながった理由がみえてくる。その傾向は次の通りである。
・講師（システム部の課長とか人事部の次長などが多い）は「仕事でしている」という顔であり、総じて時間まで淡々と話している
・受講者である従業員は、「強制だから」という顔付きであり、開講後わずか10分で寝ている人も散見され、講師は見て見ぬ振りをしている
・テキストが型通りでつまらない。何年も同じテキストを使っている
・「〜は禁止」という話ばかりで、それが「〜だからしてはいけません」という理由説明がほとんどない。説明口調も平坦でメリハリがない
さて、読者の企業ではいかがだろうか。高額で導入したセキュリティのための機器やソフトを有効に活用するためにも、その土台となる「組織」をこのような観点でぜひ見直しをされてはいかがだろうか。

2014年06月12日





3万件の顧客情報流出の恐れ＝ウイルス感染で―共同通信グループ
http://getnews.jp/archives/597173　  ガジェット通信
共同通信社のグループ会社で、企業の広報資料などを報道機関に配信する「共同通信ＰＲワイヤー」（東京）は12日、業務用パソコンがウイルスに感染し、約3万件の顧客情報が流出した可能性があると発表した。メールアドレスが悪用される恐れがあり、同社は顧客におわびした。
共同通信社によると、感染したパソコンは１台で、顧客の担当者名やメールアドレスなどの情報が約3万件保存してあった。9日に外部から指摘を受けて調査したところ、3日に感染し、5日以降、複数の外部サーバーと不正な通信を繰り返した形跡が見つかった。ウイルスは既に駆除したという。
共同通信ＰＲワイヤーの話　誠に申し訳ない。原因究明と再発防止に取り組む。






EvernoteやFeedly、DDoS攻撃で一時ダウン――金銭の要求も
http://www.itmedia.co.jp/news/articles/1406/12/news030.html    ITmedia
EvernoteやFeedlyが相次いで障害に見舞われた。Feedlyは攻撃を止める条件として金銭を要求されたという。
EvernoteやFeedlyが米国時間の6月10日から11日にかけてサービス妨害（DDoS）攻撃を受け、ユーザーがアクセスできない状態に陥った。Feedlyは攻撃を止める条件として、金銭を要求されていることを明らかにした。
Evernoteでは10日ごろからユーザーがノートを同期ができなくなるなどの問題が発生。同社はTwitterの公式アカウントで、「サービス攻撃をかわすために対応中」と伝え、数時間後に「Evernoteは復旧した。今後24時間は多少の障害があるかもしれない」と報告した。
一方、Feedlyは現地時間の11日未明、ブログで「犯罪集団がFeedlyにDDoS攻撃を仕掛け、攻撃を止める条件としてわれわれから金をゆすり取ろうとしている。われわれは要求には屈しない」と説明した。
Feedlyはネットワークプロバイダーの協力を得て、インフラに変更を加えるなどサービス復旧に向けた対策を講じているという。攻撃によってデータが不正アクセスされたり流出したりした事実はないとしている。
Feedlyブログ　　Denial of service attack [Neutralized]
http://blog.feedly.com/
Evernote公式Twitterアカウント
https://twitter.com/evernote






TweetDeckにXSSの脆弱性、ワーム増殖の状態に
http://www.itmedia.co.jp/news/articles/1406/12/news029.html    ITmedia
TwitterのTweetDeckサービスが一時的にダウンした。「悪意のあるツイートを作成して自己増殖する『ワーム』攻撃」の発生が伝えられている。
米TwitterのTweetDeckで米国時間の6月11日にセキュリティ問題が発生し、サービスが一時的にダウンした。セキュリティ企業などは、クロスサイトスクリプティング（XSS）の脆弱性を突くワームが増殖している状態だと伝えている。
TweetDeckの公式アカウントには同日、「TweetDeckで発生したセキュリティ問題が修正された」という告知が掲載され、修正を適用するためにTweetDeckからいったんログアウトして、ログインし直すよう呼びかけた。
しかしその後も問題の報告が相次いだことから、「セキュリティ問題について調査するためTweetDeckのサービスを一時的にダウンさせた」とツイート。数時間後に「セキュリティ問題の修正を確認し、TweetDeckのサービスを復旧させた」と告知した。
セキュリティ企業Kaspersky Labのニュースサービス「threatpost」によれば、この事態に関連して多数のユーザーに、TweetDeckのXSSについて警告する内容のポップアップが表示された。
XSS攻撃では、WebページやWebベースサービスに不正なコードを仕掛けてユーザーのWebブラウザで実行させる手口が使われる。今回のケースでは、攻撃者がユーザーのアカウントを乗っ取り、ツイートの投稿や削除、アカウントの改ざんができてしまう状態だったという。
実際に悪用コードのツイートが出回って、大量の自動リツイートが発生したとthreatpostは報告。Rapid7の専門家の話として、「悪意のあるツイートを作成して自己増殖する『ワーム』の攻撃が発生した」と伝えている。
TweetDeck公式アカウント
https://twitter.com/TweetDeck





「ドラゴンクエストX」関連のフィッシングメール、報告相次ぐ　偽ログインページへの誘導に注意
http://nlab.itmedia.co.jp/nl/articles/1406/12/news050.html    ITmedia
スクウェア・エニックスをかたるフィッシングメールにご注意ください。
フィッシング対策協議会が、スクウェア・エニックスをかたる「ドラゴンクエストX」関連のフィッシングメールが出回っているとして、注意喚起しています。
メールは「ドラゴンクエストX」の運営を装ったもので、偽ログインページへのログイン試行を促す内容となっています。偽サイトでIDやパスワードを入力してしまった場合、フィッシング業者によって悪用される恐れがありますので、ご注意ください。
スクウェア・エニックス（ドラゴンクエストX）をかたるフィッシング（フィッシング対策協議会）
https://www.antiphishing.jp/news/alert/square_enix20140611.html






サイバー攻撃のパターンはわずか9つだけ?!　Verizonが調査報告書を公開
http://cloud.watch.impress.co.jp/docs/news/20140612_653092.html    Impress Watch
米Verizon Communicationsは12日、サイバー攻撃に関する調査報告書「2014年度データ漏えい／侵害調査報告書」の日本語要約版（エグゼクティブサマリー）を公開した。攻撃方法が多様化する一方、侵入を発見するまでのスピードが改善されていないなど、さまざまなセキュリティの傾向が分かったという。なお、6月下旬には、報告書の日本語完全版も公開する予定。
報告書のとりまとめにあたって、Verizonでは世界各国のセキュリティ企業や法執行機関など50団体と協力した。調査対象となるのは6万3437件におよぶセキュリティインシデントで、このうち1367件で実際にデータ漏えいや侵害が確認された。
報告書の著者の1人であるブライアン・サーティン氏（Verizon RISKチームディレクター）は、12日に都内で開催された記者向けイベント「IT Roundtable」（株式会社経済産業新報社主催）のプレミアムプレゼンテーションに登壇。報告書で注目すべきポイントを、過去10年分のデータと比較しながら解説した。
攻撃されても気付けない?!
サーティン氏に寄せられる報告書関連の質問のうち、最もポピュラーなものが「サイバー攻撃の実行者は誰なのか」だという。調査によれば、最も割合が多いのが「外部」の攻撃者。「内部」や「パートナー」は少数派だ。
サーティン氏は「サイバー攻撃といえば企業内部の関係者を想像しがちだが、件数はずっと少ない。ただ、内部からの攻撃者は（機密情報などをそもそも知っているため）被害規模が大きくなりやすい」と説明。件数と被害規模の双方を意識する必要があるとした。
サイバー攻撃の大半を占める「外部の実行者」は、多くの場合、金銭目的であることが報告書でも言及されているが、その割合は年々減少。対して、国家によるスパイ活動とみられる事案が増えている。また、サーティン氏は「（政治目的のハッキング行為である）ハクティビスムもここ2年ほど増えている」と補足した。
データ漏えい／侵害が実際に発生した場合の手口として、最も多いのが「ハッキング」。以下「マルウェア」「ソーシャル」「物理的」「人的ミス」が続いた。近年は、これらの手法を複合的に組み合わせる事例も増加。「攻撃者は、まず15分くらいシステムの脆弱性を探し、見つからなかったら（特定ユーザーを狙い撃ちしてIDやパスワードを詐取する）スピアフィッシングを試す。まるで（ボクシングの）ワンツーパンチだ」（サーティン氏）。
また、攻撃の手法は年々変化するものだが、サーティン氏はフィッシングとキーロガーという、いわば定番的な攻撃が近年になっても使われ続けていることに注目。一方、暗号化データがメモリ上などで瞬間的に平文になったことを検知する「RAMスクレーパー」については、それほど知られた手法ではないものの、2009年以降使われ続けており、警戒が必要とした。
サイバー攻撃による被害を受けてから、実際に発見するまでの時間が長いのも大きな問題。サーティン氏によれば「侵害があってから実際に気付くまで、平均で7カ月近くかかる」という。被害があったことを企業（内部）自ら発見する割合自体そもそも低く、法執行機関や第三者に指摘されて気付くケースも多い。
攻撃パターンは9種類、そのうち3種類を業種に応じて優先対策
今回Verizonが発表した2014年度版報告書では、過去10年分のインシデントの詳細分析を実施した。結果、その92％において、攻撃の形態を9つに分類できることが分かった。具体的な分類は、1）POS（レジ）への侵入、2）Webアプリケーション攻撃、3）内部者による不正使用、4）物理的窃取／損失、5）人的ミス、6）クライムウェア、7）カードスキミング、8）DoS攻撃、9）国家スパイ活動となっている。
また、何らかの攻撃の痕跡が見つかる「インシデント」の発生件数と、実際のデータ漏えいが発生してしまう比率は必ずしも一致しない。例えば、2013年の全インシデント数は6万3437件で、そのうち国家スパイ活動関連のインシデントは1％。しかし、データ漏えい件数1367件に対しては、国家スパイ活動関連が22％を占める。逆に、人的ミスは全インシデントの25％だが、すべての漏えい事例に対する割合は2％にとどまる。
加えて、被害の事例を業種別に分析したところ、ほぼすべての業界で、9つの事例パターンのうち上位3種類が発生インシデントの50％以上を占めていた。一例として、金融業で確認された全インシデントの75％が、Webアプリケーション攻撃、DoS攻撃、カードスキミングのいずれかだった。つまり、金融業では、これら3つについての対策を人的ミス対策などよりも優先した方が、費用対効果が高くなる。
サーティン氏は「報告書を活用すれば、サイバー攻撃に対するイメージが本当に正しいかどうか、把握することができる。また、対策予算をむやみに使うのではなく、前もって“レシピ”を組み立ててから実行すれば、効果は上がるだろう」と説明した。
最後にサーティン氏は、インシデントの早期発見が重要であることをあらためて指摘。「実際に攻撃されたことを数分単位の遅れで検知できるようになれば、セキュリティの概念はまた変わってくるだろう」と将来を展望していた。
2014年度データ漏えい／侵害調査報告書（2014 Data Breach Investigations Report）
http://www.verizonenterprise.com/jp/DBIR/2014
ベライゾンジャパン
http://www.verizonenterprise.com/jp/

feedlyとEvernote、脅迫的DDoS攻撃から復旧、金銭要求に屈せず
http://internet.watch.impress.co.jp/docs/news/20140612_652997.html    Impress Watch
RSSリーダーサービスの米feedlyと、ノート記録クラウドサービスの米Evernoteが、日本時間の6月11日から12日にかけて激しいDDoS攻撃の被害に遭い、サービスを一時停止する事態に陥った。両サービスともに現在は復旧している。
feedlyは公式ブログで「攻撃者はそれを止める代わりに金銭を要求しようとしている。我々は屈することを拒否し、攻撃を緩和するために当社ネットワークプロバイダーと協力しながら最善を尽くしている」とコメントし、何らかの犯罪グループからの金銭的脅迫を受けていることを明らかにした。
なお、feedlyとEvernoteの攻撃が同じ犯行グループによるものかは不明だ。ただ、feedlyは「我々は同じグループの他の被害者や法執行機関と並行しながら事態に取り組んでいる」と説明しており、攻撃が同じものであることを示唆した。
feedlyのTwitter公式アカウントによれば、feedlyに対する攻撃は日本時間の6月11日18時4分に開始され、半日後の6月12日7時7分にサービスの全面復旧が公式に発表された。ただし、登録されている約4000万フィードがアップデートされるにはまだ「数時間が必要」で、攻撃再開に備えた監視活動も行っていると説明している。そして「コミュニティの皆様の驚くべき支援に感謝します！」と文を結んだ。なお、顧客データの流出はないとしている。
一方、Evernoteに対する攻撃は、同社Twitter公式アカウントによると、日本時間の6月11日7時9分に始まった模様で、8時28分にDDoS攻撃に遭っていることを公式に確認。その後、11時20分にサービスは復旧したが、「今後24時間は『しゃっくり』のひとつやふたつは起きるかもしれない」とユーザーに理解を求めていた。
著名な独立系セキュリティ研究者でSophosやMcAfeeでの経験を持つGraham Cluley氏は、今回の攻撃に関して「私は、feedlyの態度を賞賛していると認めざるを得ない。クラウドサービスに対して、金を払うか、さもなくばDDoS攻撃によってオフラインにされるかと要求する、本質的には恐喝と何ら変わりないゆすり屋に屈服しないのは正しいことだ」と述べ、正面から攻撃に立ち向かったfeedlyの姿勢を称賛した。
さまざまなウェブサービスが犯罪者による脅迫を受けていることは容易に想像される。しかし、攻撃が原因でサービスがダウンしたことは、少なくともその会社が犯罪者の要求に屈しなかったことの証拠にはなると言えるだろう。
Cluley氏は、一般ユーザーであってもコンピューターのセキュリティを強化し、ウイルスに感染してボットネットに組み込まれないようにすることにより、自分の分を果たすことができることも指摘している。
feedly公式ブログの該当記事（英文）　　Denial of service attack [Neutralized]
http://blog.feedly.com/2014/06/11/denial-of-service-attack/
feedlyのTwitter公式アカウン
トhttps://twitter.com/feedly
EvernoteのTwitter公式アカウント
https://twitter.com/evernote
Evernoteの日本公式アカウント
https://twitter.com/EvernoteJP
Evernoteによる攻撃確認発表（英文）
We're actively working to neutralize a denial of service attack. You may experience problems accessing your Evernote while we resolve this.
https://twitter.com/evernote/status/476508672135143424

DNSソフト「BIND 9.10.x」に危険度の高い脆弱性、管理者は速やかに更新を
http://internet.watch.impress.co.jp/docs/news/20140612_653090.html    Impress Watch
株式会社日本レジストリサービス（JPRS）は12日、DNSソフトウェア「BIND 9」の脆弱性について緊急の技術情報を公開した。BIND 9.10.xを利用している場合、サービス不能（DoS）攻撃を受ける可能性があるもので、脆弱性を修正したバージョンへの更新を呼び掛けている。
脆弱性は、EDNS0のオプションの処理に不具合があり、特別に作成されたDNS問い合わせの処理において、namedが異常終了を起こす障害が発生するもの。この脆弱性により、DNSサービスの停止が発生する可能性がある。攻撃はリモートから可能で、キャッシュDNSサーバー、権威DNSサーバーの双方が対象となる。
また、脆弱性はBIND 9に付属のDNSライブラリ内に存在するため、該当ライブラリを使用しているnamed以外のプログラムやアプリケーションも影響を及ぼす可能性がある。
JPRSでは、この脆弱性は影響が大きく、キャッシュDNS／権威DNSの双方が対象となることから、該当システムの運用者は関連情報の収集やバージョンアップなど、適切な対応を速やかにとることを強く推奨するとしている。
脆弱性の影響を受けるのは、BIND 9.10系列（9.10.0〜9.10.0-P1）。開発元のISC（Internet Systems Consortium）では、この脆弱性を修正したバージョン「BIND 9.10.0-P2」を公開している。
JPRSの技術情報　　■（緊急）BIND 9.10.xの脆弱性（DNSサービスの停止）について（2014年6月12日公開） - キャッシュ／権威DNSサーバーの双方が対象、バージョンアップを強く推奨
http://jprs.jp/tech/security/2014-06-12-bind9-vuln-edns-option.html

日本のブログツール「Web Diary Professional」が標的に、改ざん多発
http://internet.watch.impress.co.jp/docs/news/20140612_653135.html    Impress Watch
Kasperskyは12日、日本で広く使われているブログツール「Web Diary Professional（WDP）」に潜在する問題を悪用したサイトの改ざんが多発しているとして、注意を促した。
WDPは、マニュアルやユーザーインターフェイスが日本語で用意されているため、日本で広く使われているが、現在はすでにサポートが終了しており、開発者は別のツールへの移行を推奨している。しかし、新しいツールに移行せず、サポート終了となったWDPを使っているサイト管理者が少なからず存在し、攻撃の格好のターゲットとなっているという。
Kasperskyの調査では、WDPを使用している可能性がある特定のキーワードでGoogle検索してみたところ、2014年4月の時点で約50万件がヒットし、検索結果上位のサイトを確認した限りではほとんどがWDPを使用しており、重複もわずかだった。
また、これらのサイトのうち約8割が、ユーザー認証に使用するパスワードのハッシュなどを記載したファイルが外部から閲覧可能な状態となっていたという。設定されているパスワードが簡単なものであった場合、このファイル内の情報はパスワードクラックツールによって短時間で解読されてしまい、管理者パスワードが判明すればサイトは自由に編集可能となってしまう。
実際に、改ざん被害に遭っているウェブサイトも見つかっており、こうしたサイトではコンテンツの改ざんのほか、攻撃者のメッセージを示すファイルや、スパムメール送信用ツール、DDoSツール、バックドアなどが設置されていたという。
確認できた中で最悪のケースとしては、1つのサーバーで数百のウェブサイトが設置・運営されており、その中のあるウェブサイトにバックドアが設置されていた事例を紹介。このバックドアを使えば、同一サーバー内にある他のウェブサイトに対しても、コンテンツの改ざんや情報の窃盗行為が可能な状態であった可能性が高いとしている。
Kasperskyでは、WDPはすでにサポートが終了し、新しいツールへの移行が推奨されていると指摘。どうしても使い続けなければならない場合には、セキュリティを向上させる方法が開発者のサイトで紹介されているとして、自分が管理しているウェブサイトやサービスでWDPを使用している場合は、すみやかに対策を講じることを強く推奨している。
カスペルスキー公式ブログの該当記事　　日本独自のブログ作成ツールが攻撃者の標的に！
http://blog.kaspersky.co.jp/obsolete-japanese-cms-targeted-by-criminals/
WDPの開発提供元、Web Libertyのサイト
http://www.web-liberty.net/

ネットでのサッカー感染に注意、検索で危険な選手ランキング発表 　日本代表では香川50位、本田54位
http://internet.watch.impress.co.jp/docs/news/20140612_653050.html    Impress Watch
マカフィー株式会社は12日、サッカー選手を検索した際にマルウェアに感染する危険度を調査したランキングを発表した。
ワースト1位はクリスティアーノ・ロナウドで、危険度は3.76％。これは、クリスティアーノ・ロナウド選手の最新コンテンツをインターネットで検索すると、3.76％の確率でスパイウェアやアドウェア、スパム、フィッシング、ウイルスなどの脅威が存在するウェブサイトにたどり着くことを意味する。
以下は、リオネル・メッシ、イケル・カシージャス、ネイマール、カリム・ジアニらが続く。マカフィーでは、W杯ブラジル大会出場予定選手の中で危険度が高い11人を「レッドカードクラブ」と命名し、リストアップしている。
日本人選手では、50位に香川真司（危険度1.64％）、54位に本田圭佑（同1.57％）らがランキングに入っている。
マカフィーによると、スクリーンセーバーのダウンロードや選手の神業的な技術を紹介するビデオが視聴できると謳っているサイトを訪問した場合が最も危険だと説明。また、「無料ダウンロード」は、ウイルスに感染する危険性が最も高い検索ワードだとしている。
マカフィーでは、閲覧時に何らかのダウンロードを促すコンテンツには注意し、ストリーミングビデオを見たり、コンテンツをダウンロードする時やニュースを見る際は公式コンテンツプロバイダーのサイトを利用すること、個人情報を簡単に提供しないことなど、“感染せずに観戦”するための基本的なセキュリティのアドバイスを示している。
プレスリリース　　サッカー選手のオンライン検索に「ちょっと待った！」マカフィー、マルウェア感染のリスクが高いサッカー選手ランキングを発表
http://www.mcafee.com/japan/about/prelease/pr_14a.asp?pr=14/06/12






LINEのアカウントが乗っ取られた！　絶対に知っておきたい対処法と予防策
http://www.itmedia.co.jp/mobile/articles/1406/12/news081.html    ITmedia
LINEのアカウントが突然乗っ取られた、なんて経験はないだろうか。人ごとだと思っているアナタ、いま一度セキュリティを確かめてみた方がいいかもしれない。
「突然LINEにログインできなくなった！」「友だちに身に覚えのないメッセージを送っていた！」などの経験はないだろうか。もしくは、回りにそのような経験を持つ人はいないだろうか。スマートフォンユーザーなら利用するのが当たり前になりつつあるLINEアプリだが、実はLINEのアカウントは第三者から乗っ取られる可能性がある。
どういった場合にアカウントを乗っ取られるのか、乗っ取られるとどうなるのか、その後の対処方法はどうするのか、予防策はないのかなど、気になる点を順に確認していきたい。事前に対策を打っておけば乗っ取りの可能性を限りなくゼロに近づけることができる。安心してLINEを使うためにも、改めてセキュリティ回りを見直してみよう。
アカウントを乗っ取られると、どうなる？
第三者にアカウントを乗っ取られると、送ったはずのないメッセージがLINE上の「友だち」に送られる、読んでいないメッセージに既読が付くなど、いわゆる“なりすまし”が行われる。また、自分のスマホでLINEアプリが使えなかったり、第三者のPCからメッセージを盗み見されたりということもある。URL付きのスパムメッセージなどいかにも怪しいものが送られることもあるが、スタンプなど気軽にメッセージをやり取りできるLINEは、相手のアカウントが乗っ取られているかどうか判断しにくい。不審なメッセージが来た場合は、たとえ仲のいい友だちのアカウントだとしても十分注意しよう。
アカウントが乗っ取られるのはどんなとき？
LINEのアカウントが第三者に乗っ取られるのは、どんな場合があるのだろうか。自分の手を離れたスマホを直接操作されてメールアドレスとパスワードを変更されたり、ほかのSNSなどと同様にメールアドレスとパスワードが流出したりすると、乗っ取りは容易に行われる。
スマホを直接操作され、第三者のメールアドレスを設定される
LINEはSIMの電話番号とアカウントがひも付けられているが、新たにメールアドレスとパスワードを登録すると、後者の情報さえあればログインが可能になる仕様だ。そのため、まだメールアドレスの登録を行っていないLINEアカウントの場合は、直接スマートフォンを操作されて登録を行われると事実上乗っ取りが可能になる。
メールアドレスの登録は、「その他」→「設定」→「アカウント」→「メールアドレス登録」から行える。登録方法はこちらの記事でも紹介した。
http://www.itmedia.co.jp/mobile/articles/1402/19/news039.html　：　 LINEユーザー必見！　機種変で絶対失敗しないためにすべき2つのこと　2014年02月19日
メールアドレスとパスワードが第三者に流出
PC版のLINEを使用している人や、機種変更によるアカウント引き継ぎを行った人などは、すでにメールアドレスとパスワードを登録しているはずだ。当然、それらの情報が流出してしまった場合は、ほかの端末からのログインが可能になる。LINEに限らないが、パスワードはなるべく推測されにくく複雑なものにするか、ほかのサービスと同じものを使うことを避けるようにしたい。
ここまで見てきたように、いくつかの方法でLINEのアカウントは乗っ取られることがある。ただし、ほかの端末がログインしている場合は自分がログインできなくなるため、不正利用に気付くことは難しくない。またPCでも同じアカウントでログインできるのは1台だけなので、ログインしていたはずの自分のアカウントが知らない間にログアウトしていた場合、第三者のPCがログインしたことが分かる。
では次に、乗っ取りに気付いてから行うべき対処法を見ていこう。
乗っ取られたアカウントを取り戻す方法
アカウントが乗っ取られると、自分以外の第三者がLINEに常時ログインしている状態になる。LINEは原則的に1端末1アカウントであるため、複数の端末から同一アカウントを利用することはできない。では、乗っ取られた場合はどうすればいいのだろうか。
既存のメールアドレスとパスワードでログイン
LINE広報によると、第三者がログインしている場合でも「メールアドレスとパスワードが変わっていなければ自分の端末からログインはできる」という。ただ自分と第三者が同じメールアドレスとパスワードを使っていれば、また乗っ取られることもある。その際、乗っ取りを防止するために「既存のメールアドレスやパスワードを変更するよう推奨しています」（LINE広報）ということだ。
ログインできない場合は、LINEに直接問合せ
逆に、第三者によってすでにメールアドレスとパスワードが変更されていた場合、ログインする方法がなくなってしまう。新たにアカウントを新規作成し、前のアカウントのデータが完全に消えてしまうことは何とか避けたいはず。自分ではどうにもできないときは、LINEに不具合の事例として問い合わせることで問題を解決できる場合がある。
LINEヘルプページを見ても問題が解決できない場合は、LINEアプリを起動し、「その他」→「設定」→「ヘルプ」→「登録メールアドレスが無効な場合には？」と選び、文中にある「問題報告フォーム」をタップする。必要項目を記入したら「送信」を選ぼう。LINE広報によると、「各問題への対処はケースバイケースになります」ということだ。
アプリのロックやマメなメアド・パスワード変更で予防
普段からできる予防策にはどういったものがあるのだろうか。
・LINEアプリにロックをかける
・パスワードを頻繁に変える
・「他端末ログイン許可」をオフにする
・第三者にスマホを触らせない
など、簡単に実行できるものが考えられる。
アプリにパスコードを設定する方法には、ホーム画面の「その他」→「設定」→「プライバシー管理」と選び、「パスコードロック」をオンにする。すると、4桁のパスコードの入力を求められる。これにより、アプリを起動するたびにパスコードの入力が必要になる。
ただし、パスコードを忘れてしまった場合は、LINEアプリを削除して再インストールする必要がある。その際、過去のトーク履歴は全て削除されてしまうので注意したい。
また、パスワードを変更する場合は、「その他」→「設定」→「アカウント」→「メールアドレス登録」から「パスワードの変更」をタップする。「現在のパスワード」と「新しいパスワード」を入力すると変更できる。
「他端末ログイン許可」は、「その他」→「設定」→「アカウント」と選び、「他端末ログイン許可」の項目のチェックを外すとオフにできる。PC版のLINEを利用しないなら常にオフにしておこう。
LINEは毎日のように利用したり、身近な友だちの情報が入っていたりと無くてはならない存在。アカウントが乗っ取られると自分がなりすましや盗み見の被害に遭うだけでなく、友だちを思わぬトラブルや犯罪に巻き込んでしまう危険性もある。セキュリティには特に注意したいところだ。少しの工夫で安全性を高めることができるので、いま一度設定を見直してみるといいだろ




2014年06月11日




Evernote、サービス妨害攻撃でアクセス困難に……現在は復旧
http://www.rbbtoday.com/article/2014/06/11/120712.html　  RBB TODAY
Evernote Japanは11日午前、Evernoteのサーバーが第三者によるサービス妨害攻撃を受けていることを公表した。Twitter公式アカウント「＠EvernoteJP」でのツイートにより告知された。
これにより、同期に失敗するなど、Evernoteへアクセスしにくい状態が発生していた。その後、技術チームが対応し、10時26分にサーバのアップデートを実施。サービスを復旧させた。
今後24時間以内は、一時的なサービスの中断が発生する可能性がまだあるとのこと。





「ドラゴンクエストX 目覚めし冒険者の広場」のフィッシングサイトに注意
http://internet.watch.impress.co.jp/docs/news/20140611_652923.html    Impress Watch
スクウェア・エニックスをかたるフィッシングメールが出回っているとして、フィッシング対策協議会が11日、緊急情報を出し、注意を呼び掛けている。
このフィッシングメールは、「お客様のアカウントは何らかの取引に利用されている恐れがありますので、お手数ですが、システムにログインして異常がないかご確認いただきますようお願いします」という本文のもの。その後に記載されている誘導先のサイトは「ドラゴンクエストX 目覚めし冒険者の広場」の偽ログインページで、IDやパスワード、ワンタイムパスワードを入力させる。
フィッシング対策協議会によると、11日13時時点でこのフィッシングサイトは稼働中。このようなフィッシングサイトでアカウント情報を入力してしまわないよう注意を呼び掛けている。
フィッシング対策協議会の緊急情報    スクウェア・エニックス（ドラゴンクエストX）をかたるフィッシング(2014/06/11)
https://www.antiphishing.jp/news/alert/square_enix20140611.html




「niconico」に不正ログイン　情報流出やポイント不正利用の可能性も
http://www.itmedia.co.jp/news/articles/1406/11/news135.html    ITmedia
ドワンゴは6月10日、複数の「niconico」アカウントに対する不正ログインを検出したと発表した。経緯や件数などは「調査中」としており、12日にも改めて発表する。同社からのIDやパスワードの流出は確認しておらず、他社から流出したIDやパスワードを流用した不正ログインとみている。
不正ログインを受けたアカウントでは、（1）「ニコニコポイント」の利用、（2）メールアドレスやパスワードの変更、（3）動画やコメントなどの投稿、（4）公開範囲を限定している登録情報（性別、生年月日など）の閲覧――が起きる可能性があるとしている。
身に覚えのないニコニコポイントの利用や登録情報の変更など不審な点があった場合は、「niconicoヘルプ」を見た上で、問い合わせフォームから問い合せてほしいとしている。他社サービスと同じパスワードを使っているユーザーに対しては、パスワードを変更するよう呼びかけている。
ニコニコインフォの告知　　他社流出パスワードを用いた不正ログインについて
http://notice.nicovideo.jp/ni046768.html





「JUSTオンラインアップデート」が不正なモジュールを実行してしまう脆弱性
http://internet.watch.impress.co.jp/docs/news/20140611_652939.html    Impress Watch
株式会社ジャストシステムは11日、同社ソフトウェア製品とともに提供しているオンラインアップデートソフトに脆弱性が見つかったとして、修正バージョンを公開し、ユーザーに対して更新するよう呼び掛けている。
このソフトは、個人ユーザー向けの「JUSTオンラインアップデート」と、法人ユーザー向けの「JUSTオンラインアップデート for J-License」および「JUSTオンラインアップデート for J-License 管理ツール」。
ワープロソフト「一太郎」や日本語入力ソフト「ATOK」、統合オフィスソフト「JUST Office」をはじめとしたジャストシステム製品に添付して配布されているもので、それらのソフトのアップデートモジュールを受信して適用する機能を持っている。
内部処理の不具合により、アップデートモジュールの電子署名が不正だった場合でも、アップデートプログラムを実行するケースがあることが分かった。なお、各ソフト本体の問題ではなく、オンラインアップデートソフト側の問題だとしている。
ジャストシステムのセキュリティ情報　　[JS14002] ジャストシステム商品に添付のオンラインアップデート機能の脆弱性対策
http://www.justsystems.com/jp/info/js14002.html
JVNの脆弱性情報　　複数のジャストシステム製品同梱のオンラインアップデートプログラムに任意のコード実行可能な脆弱性
http://jvn.jp/jp/JVN50129191/index.html





2014年06月10日





三菱東京UFJ銀行をかたるフィッシングサイトに注意　「注意喚起」までそっくりそのままコピー
http://nlab.itmedia.co.jp/nl/articles/1406/10/news154.html    ITmedia
「Eメールでパスワードの入力をお願いすることは絶対にない」とのこと。
三菱東京UFJ銀行は6月10日、同銀行をかたるフィッシングメールが出回っているとして、警戒を呼び掛けている。なお、2014年6月10日現在もフィッシングサイトは稼働中とのこと。
偽サイトは注意喚起までそっくりそのままコピーされており、本サイトと区別がつかないほど。三菱東京UFJ銀行は「Eメールでパスワードの入力をお願いすることは絶対にない」とし、情報を入力しないよう訴えている。
現在、コンピュータセキュリティを扱う「JPCERT/CC」にサイト閉鎖のための調査を依頼しているとのこと。しかし、サイト閉鎖後も類似のフィッシングサイトが公開される可能性もあるとして、引き続き注意を呼び掛けている。
なお、フィッシング対策協議会は「『三菱東京UFJ銀行のパスワードを入力してしまった』『身に覚えのない出金があった』などの場合には、至急緊急連絡先（0120-111-082）まで連絡してほしい」としている。
三菱東京UFJ銀行では、本サイトの見分け方も提示している。
【インターネットバンキング】パスワードを入力させる偽メールが届いても、絶対に入力しないでください！（平成26年6月10日更新）
http://www.bk.mufg.jp/info/phishing/20131118.html
三菱東京UFJ銀行
http://www.bk.mufg.jp/index.html






2014年06月09日




Androidスマホの写真やムービーを暗号化し「人質」にして身代金を要求するマルウェアが発見される
http://gigazine.net/news/20140609-android-simplocker/    GIGAZINE
2014年5月にiPhoneをリモートでロックされ、「ロックを解除して欲しければPaypalで金を振り込め」というスマートフォンを「人質」に身代金を請求するハッキングが発生しましたが、Androidにもスマートフォンのデータを暗号化し「データ質」として身代金の振り込みを要求する極悪マルウェアが含まれているアプリが発見されました。

ESET analyzes Simplocker Android malware
http://www.welivesecurity.com/2014/06/04/simplocker/

◆データ暗号化マルウェア
セキュリティソフトウェア会社のESETは、公式ブログでAndroidスマートフォンの写真やムービーなどのデータを暗号化して「暗号を解読してほしければ金を振り込め」という警告を画面表示させるマルウェア「Android/Simplock.A」の存在を公表し、注意を呼びかけています。
Android/Simplock.AはAndroid端末で実行されると、SDカード内のファイルをスキャンして、jpeg・jpg・png・bmp・ gif・pdf・doc・docx・txt・avi・mkv・3gp・mp4という拡張子を持つファイルをAESによって暗号化した上で、「暗号を解除して欲しければ金を振り込め」という警告アラートを表示させるとのこと。
以下の画像は、Android/Simplock.Aによって表示された警告アラート。身代金を要求するメッセージはロシア語で書かれており、ウクライナの通貨であるフリヴニャでの支払を指定しています。
　この端末は、児童ポルノ・動物性愛その他の変態コンテンツを閲覧したためにロックされました。ロックを解除して欲しければ260UAH(約2200円)を支払う必要があります。
　1.最寄りのキオスク端末の位置を確認する
　2.「MoneXy」を選択
　3.「REDACTED」をタップ
　4.260UAHを送金
　領収書を受け取ることをお忘れなく。送金完了後、24時間以内にロックが解除されます。なお、入金がない場合、端末上のすべてのデータが失われます！
また、ESETの分析によると、Android/Simplock.Aは外部のネットワークにIMEIなどの端末識別情報を送信しており、送信先は匿名性の高い暗号化されたネットワークであるTor上にあることが判明しています。
ESETはAndroid/Simplock.Aのアラートの表記がロシア語でありウクライナ通貨での支払いを要求していることから、Android/Simplock.Aはロシア・ウクライナ地域のユーザーをターゲットにしていると推測しています。なお、Android/Simplock.Aが発見されたのは「Sex xionix」というアプリで、Google Playストアでは配布されていないいわゆる「提供元不明アプリ」とのこと。そのため、Android/Simplock.Aに感染した端末はまだ、それほど多くないと考えられています。
◆ランサムウェア対策
もっとも身代金を要求するタイプのマルウェア「ランサムウェア」にはAndroid/Simplock.Aのようにデータを暗号化する手法以外にも、端末をロックして使用不能にするロック型マルウェアもあり、こちらも世界的に流行の兆しが見られます。このようなロック型のランサムウェアの場合、一切端末操作できなくなるため画面をロックしたアプリをアンインストールすることが困難です。
そこで、Android端末がランサムウェアなどの不正なマルウェアによってロックされ操作不能になった場合には、アプリの起動を停止した状態で起動できる「セーフモード」機能を使ってアプリのアンインストールを試みると有効なことがあるので、いざというときのために覚えておくと損はありません。
Nexus 5でのセーフモードによる起動方法は、電源ボタンを長押しして表示される「電源を切る」を長押しします。
すると「再起動してセーフモードに変更」というウィンドウが表示されるので「OK」をタップして再起動すればOK。
再起動後に画面左下に「セーフモード」という文字が表示されていればセーフモードでの起動に成功。セーフモードではすべてのサードパーティ製アプリが無効になった状態なので、画面ロック型のランサムウェアも起動しておらず問題のアプリをアンインストールすることが可能というわけです。
いずれにせよ、ランサムウェアによってスマートフォンを人質にとられないためには、アプリのインストール時に表示される権限表示に注意を払い、提供元が不明なアプリなどの怪しいアプリをインストールしないように気をつけるなどの予防が大切だと言えそうです。

警察のPCがマルウェアに感染、ファイルが暗号化されて身代金を要求される事案が発生
http://gigazine.net/news/20140610-ransomware-infects-police-computer/    GIGAZINE
スマートフォンのアプリを装ってマルウェアに感染させ、iPhoneを操作できないようにロックして身代金を要求する事案やAndroidスマホの写真やムービーを暗号化して身代金を要求するマルウェアが発見されるなどの被害が発生していますが、アメリカ・ニューハンプシャー州ダーラムの警察では業務に使用しているPCがマルウェアに感染し、全てのPCのデータがロックされて身代金を要求されるという事案が発生しました。

Virus Infects Police Computer System In Durham NH « CBS Boston
http://boston.cbslocal.com/2014/06/06/virus-infects-police-computer-system-in-durham-nh/

Cryptowall attacks Durham police files | SeacoastOnline.com
http://www.seacoastonline.com/articles/20140607-NEWS-406070322

攻撃を受けたのは、警察内のネットワークに接続されて住民からの相談メールなどを受信していた業務用PCで、事案は2014年6月5日の午後10時頃に発生しました。ダーラム警察署のメールアドレスに届いていたメールを職員が閲覧し、添付されていたファイルを開いたところ、まずそのPCに保存されているデータが暗号化されて操作できなくなるという被害が発生。そして翌朝までの短時間のうちに、署内のネットワークにつながるPCに被害が拡大して業務用ネットワークがほぼ停止状態に陥るという事態につながりました。
ダーラムの行政官であるトッド・セリグ氏は「警察には主に住民からの相談メールが多く届くものです。そういったメールに添付されている画像は、被害を相談するために撮影された道路にできた陥没穴の写真であることもよくあるものです」と判断の難しさを語ります。
今回の攻撃に用いられたマルウェアはCryptowallと呼ばれているもので、感染したPC内のデータを暗号化してしまい、そのデータの復元をネタに500ドルから1000ドル(約5万円〜10万円)の身代金を所定の口座などに振り込ませるものとなっています。ダーラム警察のケースでもそのような指示が画面が表示される事態になったのですが、ダーラム警察ではもちろんその指示に従うはずもなく、署内のIT部門のエンジニアによる復旧作業が行われることになりました。感染したPCをネットワークから隔離してマルウェアを除去し、日々作成されるバックアップファイルからデータの復旧が進められています。調査の結果、感染による被害を受けていたのは署内のメールシステムとWordやExcelといった文書データで、犯罪記録のような重要なデータに被害はなかったとのこと。
セリグ氏はバックアップの重要性について「この例からもわかるように、バックアップをとることは非常に重要です。我々の仕事は、最悪の状況を念頭に置きながら最良の結果を望むというものですが、もし最悪の事態が起こったとしても、私たちにはそれに対する対抗策があります」と語っています。
この手の被害から身を守るためには、セキュリティソフトを常に最新の状態にしておくこと、仮に感染した場合は速やかにPCを隔離して被害の拡大を防ぐこと、そしてそのような場合に備えて可能な限りこまめにバックアップをとっておく、という基本的な対策を地道に続けるのがもっとも確実な方法と言えそうです。

iOS端末乗っ取り事件、ロシアで容疑者拘束
http://www.itmedia.co.jp/news/articles/1406/10/news038.html    ITmedia
ロシア内務省は6月9日、AppleのiOS端末を乗っ取って被害者から金銭を脅し取ろうとした疑いで、モスクワに住む容疑者2人を拘束したと発表した。5月下旬には主にオーストラリアで、
iPadやiPhoneが何者かに乗っ取られ、身代金を要求される被害が続発していた。
http://www.itmedia.co.jp/enterprise/articles/1405/28/news038.html　：　iPadやiPhoneの乗っ取り被害多発、ロック解除に「身代金払え！」　2014年05月28日
ロシア内務省の発表によると、今回の事件では、iOS端末をなくしたり盗まれたりした場合の「iPhoneを探す（Find My iPhone）」機能が悪用され、端末がロックされる被害が発生した。
被害者はフィッシング詐欺や電子メールへの不正アクセス、ソーシャルエンジニアリングなどの手口によってApple IDのアカウントに不正侵入され、自分の端末のロックを解除できなくなっていたという。
乗っ取られたiCloudのアカウントには別の端末が登録され、大量のコンテンツ購入に使われたり、転売されたりしていた。
ロシア当局はこうした手口の犯行を繰り返していた集団を摘発し、モスクワに住む1991年生まれと1998年生まれの容疑者を拘束。自宅を捜索してコンピュータ機器や犯行に使ったとされる電話などを押収したと発表した。2人は容疑を認めているという。
オーストラリアの事件では、iPadやiPhoneに突然、「端末はハッキングされた」というメッセージが表示され、ロックを解除したければ指定の口座に現金を送金するよう要求されたという訴えが相次いでいた。
プレスリリース（ロシア語）
http://mvd.ru/news/item/2280611/





POS端末にサイバー攻撃、国内初確認　カード暗証番号盗難の危険
http://www.itmedia.co.jp/news/articles/1406/10/news043.html    ITmedia
POS端末を標的にしたサイバー攻撃が国内でも初めて確認され、関係者はセキュリティ対策の強化を訴えている。
小売店や飲食店などでクレジットカード決済や売り上げ記録のデータ管理に使われる「POS端末」を標的にしたサイバー攻撃が、国内で初めて確認されたことが7日、分かった。顧客が入力したカードの暗証番号を暗号化される前に盗み出す最新鋭ウイルスで、米国では昨年、大手スーパーの顧客情報が流出する事態に発展。飲食店などでPOS端末が広く利用される日本への初上陸を受け、関係者はセキュリティー対策の強化を訴えている。
ウイルス対策ソフト「ウイルスバスター」を開発・販売するソフト会社、トレンドマイクロが確認した。
POS端末は国内では百貨店やコンビニエンスストア、スーパー、飲食店などのレジに設置され、年間13万台超が出荷されている。
トレンド社は今年1〜3月、国内のPOS端末のウイルス調査を実施したところ、端末内で顧客が入力したクレジットカードの暗証番号を盗むウイルス数件を検出した。暗証番号はPOS端末に入力されると瞬時に暗号化されるが、このウイルスは入力のタイミングを監視し、暗号化の直前に暗証番号を抜き取るという。盗まれた情報は、攻撃者のサーバーに自動的に送信される仕組みだった。
今のところ、国内では顧客情報の流出などの被害は明らかになっていないが、同様のウイルスは欧米で急増しており、世界では今年1〜5月だけで昨年1年間（22件）の9倍以上の208件が検出されている。
昨年12月には、米大手スーパーチェーン「ターゲット」のPOS端末がウイルス感染し、顧客のクレジットカードの暗証番号など約1億1千万件が流出した。専門家は「盗まれた暗証番号が売買されたり、クレジットカードで勝手に買い物されたりする恐れがある」と注意を呼びかけている。
◇
POS端末　商品名や販売数量、在庫状況など店舗の販売情報を記録できる端末。「Point　of　sale　terminal」の略。複数の店舗の販売動向の比較が可能で、人件費削減のため小売り・サービス業界で世界的に導入が加速している。近年はクレジットカード決済などの機能も拡充されている。





道路の電光掲示板に改ざん相次ぐ、「前方にゾンビ」の表示も
http://www.itmedia.co.jp/enterprise/articles/1406/10/news037.html    ITmedia
米国で幹線道路の電光掲示板が乗っ取られ、表示内容が改ざんされる事件が相次いだ。国土安全保障省の産業制御システムセキュリティ担当機関ICS-CERTは、道路の電光掲示板制御に使われるソフトウェアに関するアラートを出して注意を呼び掛けている。
セキュリティ情報サイトの「Krebs on Security」は今回の事件に関連して、サイバー攻撃に関する米自治体の情報共有組織MS-ISACのアラートを入手したと伝えた。それによると、5月30日から6月1日にかけて米3州で11カ所の電光掲示板の標識が改ざんされ、「Hack By Sun Hacker」などの文字が表示される事件が発生。このうち少なくとも2州では、Daktronics社の制御システムが狙われていたことが分かったという。
道路の電光掲示板の改ざんは珍しいことではなく、過去には「前方にゾンビ」と表示されたこともあるという。今回の事件についてはサウジアラビアにいる特定の人物の関与が疑われるとMS-ISACは指摘し、この人物は数年前から「モノのインターネット」に関心を示していたとしている。
ICS-CERTは6月5日、電光掲示板制御に使われるソフトウェア「Daktronics Vanguard」に関するアラートを公開した。米連邦道路管理局（FHA）からの情報では、ハードコード化されたパスワードが原因で幹線道路の電光掲示板に不正アクセスされ、表示内容を改ざんされる恐れがあると伝えられていたという。
ただ、ICS-CERTがDaktronics社に確認を求めたところ、パスワードはハードコード化されておらず、インストールの際にデフォルトのパスワードを変更できるとの回答があったという。
今回の攻撃についてはコンセプト実証コードも出回っているとされ、ICS-CERTなどは対策として、インフラ制御システムのネットワークへの露出は最小限に抑え、インターネットからアクセスできないようにすることなどを呼び掛けている。
Krebs on Security　　They Hack Because They Can
http://krebsonsecurity.com/2014/06/they-hack-because-they-can/
ICS-CERT　　Alert (ICS-ALERT-14-155-01A)　Daktronics Vanguard Default Credentials (Update A)
http://ics-cert.us-cert.gov/alerts/ICS-ALERT-14-155-01A





三菱東京UFJ銀行をかたるフィッシング詐欺に注意
http://internet.watch.impress.co.jp/docs/news/20140610_652546.html    Impress Watch
三菱東京UFJ銀行をかたるフィッシング詐欺メールが出回っているとして、フィッシング対策協議会が10日、緊急情報を出した。6月10日午前10時30分現在もフィッシングサイトは稼働中のため、こうしたサイトに契約番号やログインパスワードなどを絶対に入力しないよう注意を呼び掛けている。
メールは、「お使いのメールアドレスを確認してください」といった文面で、メールアドレスを確認するURLが記載されているもの。
サイトのURLは、「http://www.jxdp.●●●●.cn/css/index.htm」「http://www.●●●●.com/Img/」など三菱東京UFJ銀行とは無関係のものだが、リンク先のページは三菱東京UFJ銀行に似せた偽サイトとなっている。
フィッシング対策協議会では、こうしたフィッシング詐欺サイトに契約番号やログインパスワードなどのアカウント情報を絶対に入力しないように注意してほしいとしており、誤ってアカウント情報を入力した場合には、三菱東京UFJ銀行に問い合わせてほしいとしている。
フィッシング対策協議会の緊急情報　　三菱東京UFJ銀行をかたるフィッシング(2014/06/10)
https://www.antiphishing.jp/news/alert/mufg20140610.html






サイバー犯罪の被害総額は4,000億ドル、米国20万人の雇用に相当
http://headlines.yahoo.co.jp/hl?a=20140610-00000099-mycomj-sci    マイナビニュース
サイバー犯罪が企業や政府に及ぼす被害総額は4,000億ドル(約41兆円)、米国では約20万人分の雇用に相当する――このような内容を伝えるレポートが公開された。インターネット経済が経済全体に占める比率が大きくなっているなか、サイバー犯罪はその約20%を奪っているという。
この内容は、米国のシンクタンクである戦略国際問題研究所(CSII:Center for Strategic and International Studies)と米McAfeeが6月9日(米国時間)に発表した報告書「Net Losses ? Estimating the Global Cost of Cybercrime」によるものだ。
この報告書では、DDoS攻撃やフィッシングなど、インターネットを利用して行われるサイバー犯罪がもたらす被害についてまとめている。インターネット経済がもたらす経済効果は年間約2兆ドルから3兆ドルに上る一方、サイバー犯罪はインターネットが創出する規模の約15から20%を奪うと算出されている。
2013年、米国では約3,000の企業がハッキングなどの被害を報告したという。また、米国では個人情報が本人の合意なしに漏洩した人が全体の15%にも達しているという。
こうした個人情報の漏洩は世界的に問題となっており、そのために費やすコストは1,600億ドルと報告されている。CSIIらによると、サイバー犯罪は「復旧コスト」とされるクリーンアップのためのコストが最も大きいとのこと。「犯罪者は窃盗したすべての情報を収益に変えることはできないが、被害者は大きな損害を被る」としている。
これらサイバー犯罪が与える最大の被害は、企業の業績と経済へのダメージだそうだ。全体として、サイバー犯罪は貿易や取引、競争優位性、イノベーション、グローバル経済の成長などに影響を及ぼすとしているが、なかでも大きいのが知的所有権(IP)への影響だ。IP創出とIP主導の産業を奨励している国々は、農業などの第一次産業ベースの国々と比較してサイバー犯罪で被る影響は大きいとしている。
GDPに占める被害額比率が高かったのはドイツ(1.6%)、オランダ(1.5%)などで、米国は0.64%、中国は0.63%となっている。ちなみに、日本は0.02%と低いレベルとなっている。被害額を過小評価する傾向なども関係あるとしている。






詐欺サイトもジューンブライド狙う、高額なドレス「80％オフ」を売り文句に
http://internet.watch.impress.co.jp/docs/news/20140610_652707.html    Impress Watch
悪意のあるコンテンツをリアルタイムで検出するサービス「Internet SagiWall」で、“ジューンブライド”に便乗した詐欺サイトを検知したとして、BBソフトサービス株式会社が注意を呼び掛けている。
Internet SagiWallでの検知データに基づいた、5月度のインターネット詐欺レポートとして6月10日に発表したもの。ジューンブライド需要を狙い、一般的には高額なウェディングドレスやパーティードレスを「80％オフ」などの売り文句で呼び込み、詐欺行為を行う手口だという。
今年2月にはランドセル格安販売をうたう詐欺サイトが検知されていたことを、BBソフトサービスではすでに同レポートで報告している。「犯罪者はシーズンによって需要のある商材を取り上げた詐欺サイトを立ち上げる傾向が強く、注意が必要」という。
Internet SagiWallによる5月の総検知数は84万182件で、前月比4.1％の減少。検知したサイトの内訳は、ワンクリック・不当請求詐欺サイトが93.3％、フィッシング詐欺サイトが2.6％、マルウェア感染サイトが1.0％、ボーガスウェア（偽セキュリティソフト）配布サイトが1.2％、脆弱性悪用サイトが1.9％。
プレスリリース　　インターネット詐欺リポート（2014年5月度） 〜 ジューンブライドに便乗した詐欺サイトが登場 〜
http://www.onlinesecurity.jp/reports/2014/201406.html







IT部門が不安視するコンシューマITを利用した情報交換
http://www.itmedia.co.jp/enterprise/articles/1406/10/news015.html    ITmedia
情報の共有や交換において、コンシューマ向けのサービスが使われるシーンが広がっている。その理由は利便性や生産性の向上だが、管理性やセキュリティの不安を理由に、導入や活用に後ろ向きなIT部門は多い。本連載では目的達成のためにIT部門が考慮すべきポイントを解説していく。
スマートフォンやクラウドサービスの台頭により、コンシューマのIT環境が一変している。利用者に圧倒的な利便性をもたらすこれらのツールやサービスは企業にも普及しつつある。一方で、情報漏えいをはじめとするセキュリティリスクの増大を恐れ、従業員のモバイルや外部クラウドサービスの業務利用に、消極的な意見を持つIT管理者は少なくない。本連載では全3回にわたり、クラウド・モバイル時代における従業員の安全な情報共有・交換手段の在り方について考察する。第1回目は、多様化する情報交換手段の企業活用におけるIT管理者の懸念をひもとく。
多様化する従業員の情報交換手段とそこに起こる新たなセキュリティリスク
スマートデバイスの普及によって起きたことの一つが、「情報交換手段の大変革」だ。スマートフォンひとつで、いつどこにいても多種多様・大容量のデータにアクセスができる。ユーザーが手にした情報はSNSを通じて瞬く間に拡散、ボーダレスに共有される。インターネット上の情報交換において、いわゆる「場所・物・時間」の制約が取り払われつつある
読者の職場で、この新たな「情報交換の自由」はどこまで認められているだろうか。自前のタブレットやスマートフォン、プライベートで利用しているGmailやDropboxなどを、（勝手に使うのは別として）業務でも自由に使うことを認められている人は少ないであろう。
実際、トレンドマイクロが2013年末に企業のセキュリティ管理者や担当者を対象として行った調査では、個人向けクラウドストレージの業務利用（※1）やBYOD（※2）を全従業員に認めている会社は、いずれも全体の1割に満たなかった
※1：個人向けクラウドストレージ：DropboxやOneDriveなど一定容量まで無料で使えるコンシューマ向けのクラウドストレージ
※2：BYOD（Bring Your Own Device）：従業員が私物の携帯機器やタブレットなどを企業内に持ち込んで業務に活用する行為
企業ITが変化している
スマートデバイスやSNSが企業の業務で活用されるなど、元々コンシューマ向けに開発されたツールやサービスが企業で利用されている状況を「コンシューマライゼーション」と呼ぶ。
コンシューマ向けのツールやサービスは、消費者のニーズを満たすために、使いやすさや利用時の楽しみといった要素が徹底的に追求されている。当然ながら、便利で（しかも使っていて楽しい）ツールやサービスを業務でも利用したいという従業員の欲求は自然に高まる。
実際、メールに添付できない大容量のファイルをクラウド上で手軽にやり取りできるなど、多くの人にとってプライベートで使い慣れたツールやサービスでの作業は、これまで以上に業務効率が上がると期待するわけだ。コンシューマライゼーションで従業員が享受する利便性は、単に便利という言葉では片付けられない。もはや業務を遂行する上で、それらのツールやサービスの利用が必然となっている従業員もいるだろう。
企業としてコンシューマライゼーションを業務の効率化やビジネスチャンスの拡大に生かすという判断もある。その反面、コンシューマライゼーションが進むことにより、情報の伝達、保管手段が多様化し、業務に関わる情報が分散化することが懸念される。
そもそもコンシューマ向けのツールやサービスでは、「統制」「や「管理」といった企業利用で必須となる要素が、製品・サービス開発の段階で想定されていないため、元々の機能として備わっていない。コンシューマライゼーションを活用してビジネスメリットを創出しようとする企業において、IT管理者は導入するツールやサービスの管理、とりわけ企業の情報資産を守るためのセキュリティ対策について頭を悩ますことになる。
このように、従業員と管理者における意識が相反する中で従業員の欲求が高まっていくと、企業として許可していないツールやサービス――つまり、IT管理者の統制・管理下にないツール・サービスを従業員が勝手に業務で利用する「シャドーIT」の問題が発生しかねない。また、ビジネスメリットの創出というプラスの側面が検討されることなく、これらのツールやサービスの利用が全面的に禁止されてしまうと、企業としての競争力強化の機会を知らず知らずのうちに失ってしまうだろう。
グラフ1の設問ではBYODと個人向けクラウドストレージの利用に関し、シャドーIT（可能性も含め）が存在するとの各回答が約1割、会社として導入是非を未決定との各回答が約1割、全面的に禁止しているとの各回答が約半数にのぼっている。
コンシューマライゼーションにおける管理者のセキュリティ不安
コンシューマライゼーションにおいて、IT管理者の想定するセキュリティ上の懸念とはどのようなものだろうか。この点に関しても調査を行った。調査結果をみると、IT管理者の実に半数以上が、BYODや個人向けクラウドストレージの業務利用にセキュリティ上の不安を感じており、利用に対して消極的な意向（※3）を示していることが分かる
※3セキュリティ上の不安を感じるため、なるべく控えたい＋全面的に禁止したいと答えた割合の合計、個人向けクラウドストレージの業務利用：24.6％＋35.0％=59.6％、BYOD：31.6％＋35.4％=67.0％
なぜBYODや個人向けクラウドストレージの業務利用に関して消極的なのか、その理由について聞いたところ、「具体的にはなし」、「何があるかわからない」、「すべて」といった漠然としたセキュリティへの不安を上げた回答者が、「情報漏えいの懸念」に次いで2番目に高い回答となった。
上述の調査結果からも明らかなように、企業がコンシューマライゼーションによるビジネスメリットを創出していくためには、まず情報漏えいのリスクを踏まえた対策を検討することは重要である。さらに、新たなITシステムの導入について、最も優先されるべきは「ビジネスへ貢献するか否か」という視点だ。これに対し、今回の調査結果では漠然としたセキュリティへの懸念によって、新たなツールやサービスの導入を「全面的に禁止したい」という声が多く挙がっている。
はたして企業にとっては、スマートデバイスやクラウドストレージといった新たなITの潮流に対し、情報漏えいをはじめとしたセキュリティリスクの観点から利用を全面的に禁止して、従来どおりのIT環境を維持することが最適解なのだろうか。
コンシューマライゼーションにおいては、従業員の利便性向上と管理者によるセキュリティの維持・強化の相反が課題として取り上げられがちである。しかし利便性の向上、セキュリティの維持・強化のいずれもが、それ自体は単にビジネスゴールを達成するための手段でしかない。
本質的な問題は企業におけるコンシューマライゼーションの利用意義を定める前に、これらの議論が行われていることである。管理者が情報漏えい対策を重視した結果として、従業員の業務効率が著しく損なわれることも、従業員が利便性を追求し過ぎて無秩序にツールやサービスを利用した結果として、企業としてのセキュリティレベルが著しく低下することも、ビジネスの発展や継続を阻害してしまう。





2014年06月09日




国内の金融機関9社をターゲットとしたオンライン不正送金手口を検証（FFRI）
http://scan.netsecurity.ne.jp/article/2014/06/09/34335.html    ScanNetSecurity
株式会社FFRIは6月4日、ワンタイムパスワードによる認証を突破し、ネットバンキング利用者の口座から不正送金を行うMITB（Man in the Browser）攻撃マルウェアを入手し、解析・検証を実施した結果を発表した。また、同社のMITB攻撃対策製品「FFRI Limosa」による防御が有効であることも確認したという。MITB攻撃は、ネットバンキング利用者のPC端末に感染したマルウェアがWebブラウザに侵入することが必要となる。Webブラウザへの侵入後は、利用者が正規の手順で認証を済ませた後、ブラウザの処理を横取りすることが可能なため、ワンタイムパスワードなどによる認証の強化は十分な対策とはならない。実際に、2014年春以降のMITB攻撃ではワンタイムパスワードを利用している利用者においても被害が発生している。
今回、同社が入手したMITB攻撃マルウェアを解析した結果、国内の主要銀行4行と信販会社5社の利用者を標的としていることが判明したため、実際に標的とされている銀行のアカウントで検証し、「FFRI Limosa」で防御できることを確認した。具体的には、FFRI Limosaによって保護されたWebブラウザの利用時にMITB攻撃マルウェアによるWebブラウザへの侵入を阻止し、FFRI Limosaが適用されていない状態で検証した際に表示されていたプログレスバーやワンタイムパスワードを要求する偽画面が表示されないことを確認している。
FFRI、国内主要金融機関9社の利用者を狙うオンライン不正送金手口を検証 〜MITB攻撃対策製品「FFRI Limosa」の有効性を確認〜
http://www.ffri.jp/news/release_20140604.htm
FFRI
http://www.ffri.jp/index.htm




2014年の情報セキュリティ市場、2013年より鈍化するものの4％台成長を予測（JNSA）
http://scan.netsecurity.ne.jp/article/2014/06/09/34334.html    ScanNetSecurity
NPO日本ネットワークセキュリティ協会（JNSA）は6月6日、セキュリティ市場調査ワーキンググループによる「2013年度 情報セキュリティ市場調査報告書」を発表した。本調査は従来方式を一部簡略化し、個別推計調査、インタビュー調査、ワーキンググループメンバーによる議論を踏まえて全体集計・推計作業を行い、2014年5月に取りまとめたもの。これによると、2013年度はアベノミクスと日銀による大胆な金融緩和などの経済情勢と、引き続きサイバー脅威への備えを充実させる経営判断が期待できることから、情報セキュリティ投資も継続、市場の拡大基調は維持されているとみている。
2013年度の市場規模は、セキュリティツールが市場が4,055億円（前年度比成長率5.3％）と初めて4,000億円規模に達し、情報セキュリティサービス市場が3,607億円（同4.1％）と過去最高を更新したものとみている。2014年度はセキュリティ投資もある程度堅調に推移すると考えられ、ツールについては2013年よりは鈍化するものの前年度比成長率4.8％程度、サービスについては同3.4％にとどまると予測している。金額規模では、ツールが4,248億円、サービスが3,730億円と本統計開始以来、最大規模に達するとみている。これにより市場全体では4.1％と4％台の成長率を維持する。
JNSA　2013年度 情報セキュリティ市場調査報告書（セキュリティ市場調査ワーキンググループ）
http://www.jnsa.org/result/2014/surv_mrk/2013_mrk-report_v1.0.pdf
JNSA
http://www.jnsa.org/





mixiで約4万アカウントに不正ログインの可能性、パスワードリスト攻撃か
http://internet.watch.impress.co.jp/docs/news/20140609_652408.html    Impress Watch
株式会社ミクシィが運営するSNS「mixi」で、不正なログインが行われているとして、ユーザーに対して注意喚起が行われている。
ミクシィによると、5月31日からmixiに対する不正ログインが確認されており、不正ログインが行われた可能性のあるアカウントは約4万件。現時点では、ログインが行われたのみで、ユーザー情報の変更や課金などの被害は報告されていないという。
ミクシィでは6月5日に、該当ユーザーに対してmixiのメッセージ機能で通知を行い、登録メールアドレスの変更とパスワードの再発行を呼び掛けている。
ミクシィでは、mixiのサーバーに対しての不正アクセスなどは確認されておらず、メールアドレスとパスワードのリスト（パスワードリスト）による不正ログインが行われていると思われると説明。今後、ミクシィのトップページなどで、今回の件の注意も含め、パスワードの使い回しを行わないよう注意喚起を行っていくとしている。
mixi
http://mixi.jp/
株式会社ミクシィ
http://mixi.co.jp/






2014年06月08日




量子暗号とスマートフォンを組み合わせて、データの安全な伝送と伝送後のデータの絶対安全な保存を実現(NICT)
http://scan.netsecurity.ne.jp/article/2014/06/08/34330.html    ScanNetSecurity
NICT、量子暗号とスマホを組み合わせた個人認証システムを開発
情報通信研究機構（NICT）は4日、量子暗号とスマートフォンを組み合わせることで、個人データ等の高い秘匿性が求められるデータの安全な伝送と、伝送後のデータの絶対安全な保存を可能とするシステムの開発に、世界で初めて成功したことを発表した。
このシステムでは、情報理論的に絶対安全なデータ暗号化用と個人認証用の2つの鍵（共通乱数）を生成し、スマートフォンに転送・保存することで、個人データへのアクセス権設定・データの安全な保存などが可能となる。データを暗号化する範囲や運用条件に応じて暗号化用の鍵の設定を変えることもできる。これにより、データへの多様なアクセス管理を実現した。
本技術により、クラウド上のデータ・サーバに保存された電子カルテなど、高度に秘匿すべき個人データを効率的かつ安全に管理することが可能となる見込みだ。NICTでは、その他の応用についての共同研究開発を広く募集する予定。
世界初、量子鍵配送・スマートフォンを用いた認証・データ保存システムの開発に成功　〜安全な鍵をスマートフォンに転送、重要情報へのアクセス権の設定、安全な情報保存を可能に〜
http://www.nict.go.jp/press/2014/06/04-1.html




遠隔操作ウイルス「自宅で作った」…片山被告
http://headlines.yahoo.co.jp/hl?a=20140607-00050164-yom-soci　　読売新聞
パソコン遠隔操作事件で、威力業務妨害罪などに問われている元ＩＴ関連会社社員・片山祐輔被告（32）が、犯行に使用した遠隔操作型ウイルスについて、「2012年の最初の犯行後、自宅のパソコンで作った。簡単に他人のパソコンを操るためだった」と話していることが、弁護団への取材でわかった。
東京地検は、不正指令電磁的記録（ウイルス）作成罪を適用できるか検討している。
片山被告と接見した主任弁護人の佐藤博史弁護士によると、被告は12年7月、ほぼ１か月かけて、遠隔操作型ウイルス「iesys．exe」を作った。検察側は「勤務先のパソコンで開発、作成した」と主張していたが、自宅のパソコンで作成後、勤務先やインターネットカフェのパソコンで動作確認を行い、改良を重ねたという。

POS端末にサイバー攻撃　カード暗証番号盗難の危険
http://headlines.yahoo.co.jp/hl?a=20140608-00000057-san-soci　　産経新聞
小売店や飲食店などでクレジットカード決済や売り上げ記録のデータ管理に使われる「POS端末」を標的にしたサイバー攻撃が、国内で初めて確認されたことが7日、分かった。顧客が入力したカードの暗証番号を暗号化される前に盗み出す最新鋭ウイルスで、米国では昨年、大手スーパーの顧客情報が流出する事態に発展。飲食店などでPOS端末が広く利用される日本への初上陸を受け、関係者はセキュリティー対策の強化を訴えている。
ウイルス対策ソフト「ウイルスバスター」を開発・販売するソフト会社、トレンドマイクロが確認した。
POS端末は国内では百貨店やコンビニエンスストア、スーパー、飲食店などのレジに設置され、年間13万台超が出荷されている。
トレンド社は今年1〜3月、国内のPOS端末のウイルス調査を実施したところ、端末内で顧客が入力したクレジットカードの暗証番号を盗むウイルス数件を検出した。暗証番号はPOS端末に入力されると瞬時に暗号化されるが、このウイルスは入力のタイミングを監視し、暗号化の直前に暗証番号を抜き取るという。盗まれた情報は、攻撃者のサーバーに自動的に送信される仕組みだった。
今のところ、国内では顧客情報の流出などの被害は明らかになっていないが、同様のウイルスは欧米で急増しており、世界では今年1〜5月だけで昨年1年間（22件）の9倍以上の208件が検出されている。
昨年12月には、米大手スーパーチェーン「ターゲット」のPOS端末がウイルス感染し、顧客のクレジットカードの暗証番号など約1億1千万件が流出した。専門家は「盗まれた暗証番号が売買されたり、クレジットカードで勝手に買い物されたりする恐れがある」と注意を呼びかけている。




2014年06月07日



ダウンロードサイト内の一部ファイルが改ざん被害、PCがウイルス感染する可能性(バッファロー)
http://scan.netsecurity.ne.jp/article/2014/06/07/34326.html    ScanNetSecurity
バッファロー、ユーザー向けサポートツールにウイルス混入……サイトが改ざん被害
バッファローは2日、同社のダウンロードサイト内の一部ファイルが改ざんされていたことを公表した。ダウンロードしたユーザーは、最悪の場合、PCがウイルス感染する可能性があるという。
ウイルスは「Infostealer.Bankeiya.B」と呼ばれるもので、感染した後に、オンラインバンキングへアクセスすると、ログイン情報（IDやパスワード）が不正に取得される。
5月27日の午前6:16〜午後1:00までの間に対象ファイルをダウンロードし、ファイルを解凍・実行したユーザーが該当する。なお不正なファイルは解凍時に中国語が表示されるとのこと。
改ざんされたのは、無線LAN製品向けの「エアナビゲータ2ライトVer.1.60（ファイル名：airnavi2_160.exe）」「エアナビゲータライトVer.13.30（ファイル名：airnavilite-1330.exe）」「子機インストールCD Ver.1.60（ファイル名：kokiinst-160.exe）」、外付ハードディスク製品向けの「DriveNavigator for HD-CBU2 Ver.1.00（ファイル名：drivenavi_cbu2_100.exe）」、ネットワークハードディスク（NAS）製品向けの「LinkStationシリーズ ファームウェア アップデーターVer.1.68（ファイル名：ls_series-168.exe）」、CPUアクセラレータ製品向けの「HP6キャッシュ コントロール ユーティリティVer.1.31（ファイル名：hp6v131.exe）」、マウス付属Bluetoothアダプタ製品向けの「BSBT4D09BK・BSBT4PT02SBK・BSMBB09DSシリーズ（マウス付属USBアダプター）ドライバーVer.2.1.63.0（ファイル名：bsbt4d09bk_21630.exe）」など。
同社では、すべての掲載ファイルのウイルスチェックを実施し、別の事業者のサーバへ切り替えを行い、ダウンロードサービスを再開した。改ざんの経緯などについては現在調査中。
ダウンロードサイトのウイルス混入に関するご報告（6/5付続報）
http://buffalo.jp/support_s/20140605.html

スマートフォンでの「ワンクリック請求」に注意を呼びかけ(IPA)
http://scan.netsecurity.ne.jp/article/2014/06/07/34324.html    ScanNetSecurity
スマホのワンクリック詐欺が増加傾向……画面は「表示されているだけ」
情報処理推進機構（IPA）は2日、2014年6月の呼びかけ「登録完了画面が現れても、あわてないで！」を公開し、スマートフォンでの「ワンクリック請求」について、注意を呼びかけた。
「ワンクリック請求」（ワンクリック詐欺）とは、サイトに登録して契約が成立したと思わせて、利用者を慌てさせサイト使用料の名目でお金を支払わせるものだ。2014年4月と5月にかけてIPAに寄せられたワンクリック請求の相談件数は合計593件。そのうちスマートフォンでのワンクリック請求に関する相談件数は162件で、全体の約3割を占め、増加傾向にあるという。
「スマートフォンでのワンクリック請求」は、アプリなどが常駐する「パソコンでのワンクリック請求」と異なり、“登録完了”と記載されたウェブページがブラウザ上で表示されているだけのものがほとんどだ。そのため、正しい手順でタブを消去したり、履歴を消去すれば、それで次からは表示されなくなる。
しかし、動揺した相談者が、あわててワンクリック請求業者に電話やメールで連絡した結果、電話番号やメールアドレスなどの情報が相手業者に知られたことを不安に思う相談が多いと、IPAでは指摘している。
IPAでは、ワンクリック請求の登録画面が表示されても慌てないこと、こういった“脅し”にのって自ら業者に連絡をしたりお金を振り込まないこと、不安に思う場合は最寄の消費生活センターへ相談することを呼びかけている。
2014年6月の呼びかけ　「 登録完了画面が現れても、あわてないで！  〜 スマートフォンでのワンクリック請求に注意！ 〜
http://www.ipa.go.jp/security/txt/2014/06outline.html

出会い系サイト規制法の「抜け穴」　スマホアプリが広がり、性被害も増える
http://www.j-cast.com/2014/06/07206462.html?p=all　　J-CAST
スマートフォンアプリでの出会いがきっかけになった性犯罪被害が増えている。未成年も含まれるため、子どもを持つ親にとっては深刻な問題だ。
「出会い系サイト」を規制する法律があるのに、なぜアプリ経由の「出会い」が根絶されないのか。
「急に寂しくなった」「暇してる人絡んでください」
ネットで知り合った女子中高生にわいせつ行為をする事件でも、最近はスマホアプリを使用したケースが特に目立つ。「出会い系サイト」ではなく、コミュニティを通じて連絡を取り合う仲になり、実際に相手と会った結果、犯罪に巻き込まれることがあるようだ。
警視庁が2014年2月に発表した資料によると、13年中の「出会い系サイト」に起因する事犯の検挙件数は726件（前年比-122件、同-14.4％）と減少した一方で、コミュニティサイトに起因した児童の犯罪被害検挙数は1804件（前年比＋493件、＋37.6％）と増加している。コミュニティサイトの中でも特に「無料通話アプリのIDを交換する掲示板」の犯罪被害が増えている。
ID交換掲示板はコミュニティサイトの中でも特に「出会い」目的の傾向が強い。プロフィールと顔写真、短いメッセージ、通話アプリのIDだけが掲載できる。同様の機能を備えたID交換専用スマホアプリもあり、「急に寂しくなった」「暇してる人絡んでください」といった投稿がズラリと表示される。気に入った人のIDをコピーして、通話アプリで検索をかければ、見ず知らずの相手といきなり個別に連絡が取れるというわけだ。通話アプリ業者はこうした掲示板などは提供していないが、別の業者によって「暇つぶし」「友達探し」サービスとして運営されている。
通話アプリ側としても頭を抱えているのが現状で、LINEは公式ブログで、
「面識のない異性との出会いや交際を目的とする利用方法は利用規約で禁止しております。非公認サービスの利用をきっかけとして、LINEで面識のない異性との出会いや交際を求めることも利用規約違反となりますのでご注意ください」
と非公認サービスを名指しで列挙した。
また、18歳未満のユーザーを対象にID検索機能を停止し、検索結果にも表示されない措置をとるなどの対策をしている。連絡先を交換するにはBluetooth通信、QRコードの読み取り、電話帳連携による自動登録に限られる。それでも、QRコードをツイッター経由で送信したり、LINE以外の通話アプリを利用したりと、さまざまな抜け道を使って交流するユーザーは少なくない。
「出会い系サイトだけを規制する意味はない」
コミュニティサイトを規制して未成年被害者を減らそうにも、そう簡単ではない。現在の「出会い系サイト規制法」は目的が異なるからだ。そもそも正式名称が「インターネット異性紹介事業を利用して児童を誘引する行為の規制等に関する法律」で、警視庁ウェブサイトによると「インターネット異性紹介事業」の定義を満たさなければいけない。このため、問題のアプリはこの中に入らないらしい。
奥村徹弁護士はYahoo!個人のページで「出会い系サイト規制法」について、「ただの掲示板で異性が誘い合っていても１対１の通信でないので出会い系サイトには該当しない」と述べている。その上で、「元々ザル法だった出会い系サイト規制法から、コミュニティサイト・出会い系アプリへと利用者が完全にシフトしてしまっていて、もはや出会い系サイトだけを規制する意味はないのではないかと考えている」
と指摘している。






2014年06月06日




OpenSSLにまた重大な脆弱性、直ちにパッチ適用を
http://www.itmedia.co.jp/news/articles/1406/06/news034.html    ITmedia
脆弱性を悪用された場合、クライアントとサーバ間のトラフィックの暗号を解除され、改ざんされる恐れがある。
オープンソースのSSL／TLS実装ライブラリ「OpenSSL」に新たな脆弱性が見つかり、6月5日（米国時間）に修正パッチがリリースされた。脆弱性はサーバとクライアントの両方が影響を受け、OpenSSLで保護していたはずの情報が漏えいする恐れがある、
OpenSSLは同日公開したセキュリティ情報で、6件の脆弱性を修正したことを明らかにした。中でも「SSL/TLSの中間者攻撃の脆弱性」では、攻撃者にクライアントとサーバ間のトラフィックの暗号を解除され、改ざんされる恐れがある。
この脆弱性はクライアントではOpenSSLの全バージョンが影響を受ける。サーバではOpenSSL 1.0.1／1.0.2-beta1のみに影響が確認されているが、1.0.1より前のバージョンを使っている場合も念のためにアップグレードするよう勧告している。
脆弱性はOpenSSLのバージョン0.9.8za、1.0.0m、1.0.1hで修正された。
この脆弱性は、日本のネットワークセキュリティ技術・研究開発企業レピダムの菊池正史氏が発見した。同社が6月6日に公開した情報によれば、OpenSSLのChangeCipherSpec（CCS）メッセージの処理に脆弱性があり、悪用された場合、第三者が通信に介在し、第三者が知り得る弱い鍵をOpenSSLに使用させることが可能だという。
この攻撃を実行するためには、標的とするクライアントとサーバの両方に脆弱性があり、サーバはバージョン1.0.1以降である必要がある。脆弱性のあるバージョンのOpenSSLを使って通信を保護していたWeb閲覧、メールの送受信、VPNといったソフトウェアは、通信内容や認証情報などを詐取・改ざんされる危険性がある。レピダムは「攻撃方法には十分な再現性があり、標的型攻撃などに利用される可能性は非常に高い」と警告している。
OpenSSLのセキュリティ情報ではこの他にも5件の脆弱性について解説している。このうちDTLSフラグメントに関する脆弱性は、任意のコードを実行される可能性が指摘されている。
OpenSSLの脆弱性は、影響が極めて広範に及ぶ。米US-CERTは6月5日の時点でFreeBSDやRed Hat、Ubuntuへの影響を確認。米SANS Internet Storm Centerも直ちにパッチを適用するよう呼び掛けている。
OpenSSL Security Advisory [05 Jun 2014]
https://www.openssl.org/news/secadv_20140605.txt
CCS Injection Vulnerability（レピダム）
http://ccsinjection.lepidum.co.jp/ja.html
OpenSSL is vulnerable to a man-in-the-middle attack（US-CERT）
http://www.kb.cert.org/vuls/id/978508
JVN#61247051：OpenSSLにおけるChange Cipher Specメッセージの処理に脆弱性
http://jvn.jp/jp/JVN61247051/index.html

OpenSSLにまた危険度の高い脆弱性、中間者攻撃につながる恐れ、修正版が公開
http://cloud.watch.impress.co.jp/docs/news/20140606_652157.html    Impress Watch
OpenSSL Projectは5日、オープンソースのSSL/TLSライブラリ「OpenSSL」に関する6件の脆弱性情報を公表し、脆弱性を修正したバージョン（1.0.1h、1.0.0m、0.9.8za）を公開した。中間者攻撃（MITM：Man-in-the-middle）により暗号通信の内容が第三者に読み取られたり、内容が改ざんされたりする可能性のある、危険度の高い脆弱性の修正も含まれている。
中間者攻撃につながる恐れのある脆弱性（CVE-2014-0224）は、Change Cipher Spec（CCS）メッセージの処理に関するもの。OpenSSLにはCCSプロトコルの実装に問題があり、鍵情報の交換の前にCCSメッセージを受け取ると、空の鍵情報を使って暗号化鍵を生成してしまう。
この脆弱性を発見した株式会社レピダムの菊池正史氏によると、クライアントとサーバーがともにバグが存在するバージョンのOpenSSLを使用しており、サーバー側がバージョン1.0.1以降の場合に、通信の盗聴・改ざんを行う攻撃が行われる恐れがある。サーバーだけがバグの存在するバージョンの場合は、クライアントの偽装を行う攻撃が行われる恐れがあるという。
レピダムでは、この脆弱性の攻撃方法には十分な再現性があり、標的型攻撃などに利用される可能性は非常に高いと考えられると警告している。
このほか、最新版のOpenSSLでは、無効なDTLSハンドシェイクを送信することでDoS攻撃につながる恐れのある脆弱性や、任意のコード実行につながる恐れのあるDTLSの不正フラグメントの脆弱性などが修正されている。
JVNによる脆弱性情報
http://jvn.jp/jp/JVN61247051/index.htmlCCS
Injection脆弱性(CVE-2014-0224)の概要・対策・発見経緯について（株式会社レピダム）
http://lepidum.co.jp/news/2014-06-05/news-CCS-Injection/OpenSSL
Projectによるセキュリティアドバイザリ（英文）
http://www.openssl.org/news/secadv_20140605.txt

「mixi」約4万人に不正ログインの可能性--課金などの被害は未確認
http://headlines.yahoo.co.jp/hl?a=20140606-35049054-cnetj-sci    CNET Japan
ミクシィが運営するSNS「mixi」において、何者かにより、不特定多数を狙った不正なログインが試みられていることが取材により明らかとなった。
ミクシィによると、5月31日から現在でも行われているとされ、不正ログインが行われた可能性のあるアカウントは約4万件。現時点で、課金やアカウント情報の変更などの被害を受けたという報告は受けていないという。なお、実際に不正にログインされた件数は調査中とのことだ。
mixi運営事務局では、不正ログインが行われたアカウントに対し、mixi内のメッセージ機能を使って、登録メールアドレスとパスワードの再発行を促している。現在は不正ログインが試みられたユーザーにのみ通知しているが、今後、mixiトップページでも注意喚起する予定だという。
ミクシィは「サーバに対して不正アクセスがあったわけではない」とし、サーバからユーザー情報などが奪われていないことを強調。この一連の不正ログインを「特定ユーザーを狙ったものではない」との見解を示している。

携帯電話基地局になりすましてスマホの個体識別情報や位置情報を集める捜査手法「スティングレー」の実態
http://gigazine.net/news/20140606-stingray-cell-phone-tracker/    GIGAZINE
アメリカ国家安全保障局(NSA)が1日で全世界50億台の携帯電話の現在地を追跡していたことが判明しているように、いまや犯罪捜査においては携帯電話やスマートフォンからの情報取得が不可欠といえるものになっています。そんな捜査の一例として、強力な電波を発することによって携帯電話網の基地局になりすまし、一般市民にはほとんど気付かれることなく個人の位置情報などを特定してしまう「Stingray(スティングレー)」と呼ばれる捜査手法の実態が明らかにされました。

VICTORY: Judge Releases Information about Police Use of Stingray Cell Phone Trackers | American Civil Liberties Union
https://www.aclu.org/blog/national-security-technology-and-liberty/victory-judge-releases-information-about-police-use

これは、一度は非公開とされた裁判記録について、アメリカ・フロリダ州の裁判所が公開を命じた決定によって明らかにされたもの。公開を求めたのはアメリカにおける言論の自由を守ることを目的とした団体である「アメリカ自由人権協会(ACLU)」で、一度は合衆国政府の意向に基づいて非公開とされた情報が異議申し立てにより公開されることとなりました。
ACLUはこの数か月前、フロリダ州タラハシーの警察が実施した捜査で、令状が出ていないにもかかわらずスティングレーが用いられたことを確認。その事件の裁判では捜査担当者がスティングレーの使用を証言していましたが、裁判所は連邦政府からの要請を受け入れる形で審議を非公開とし、記録書類を機密扱いとしました。
ACLUはこの動きに対し、合衆国憲法 修正第1条の規定に基づいて情報公開を求める緊急動議を発動。これに対してアメリカ政府は、2002年にブッシュ政権の下で制定された国家安全保障法などに基づいて情報非公開の正当性を主張しましたが、ACLUは「このケースは州レベルの判決に対するものであるため、同法の規定は及ばない」と反論を行いました。
その結果、裁判所は記録書類の公開を命じる決定を下すことに。公開された書類によって捜査内容が明らかにされ、以下のようなスティングレーの実際の使用方法や使用の実態が明らかにされました。
◆スティングレーは携帯電話基地局になりすまし、範囲内に存在するあらゆる端末をそのネットワーク内に登録させる。そして、本来の基地局になりかわって各端末の位置情報や個体識別情報を収集する。
◆スティングレーは、各端末が通話を行う場合のみならず、電源がONになった瞬間からトラッキングを開始できる。
◆スティングレーは各端末に対し、スティングレーとの通信をフルパワーで行うように強制できるので、バッテリー消費が速くなる。消費スピードが速くなっている場合は、警察がスティングレーを使っている可能性が考えられる。
◆実際の使用時には、圏内にある全ての端末の評価が行われる。そのため、捜査対象者以外の無関係の住民に対しても同様の調査が実施されてしまう。
◆このケースの場合には、警察車両に搭載する車載タイプと手持ち可能な2タイプのスティングレーが用いられている。捜査にあたり、警官はまず警察車両に乗ってエリア内を周回して容疑者が住む住居の絞り込みを行う。次に、手持ちタイプのスティングレーを用いて、疑いのあるエリア内全ての住居のドアの前で捜査を行い、どの部屋に容疑者が住んでいるのかを特定する。これはいわば、「警察が住民の住居に対し、窓の外から電波を照射して中に住む人の情報を抜き取っている」ということになる。
◆証言に立ったタラハシーの刑事は、2007年の春から2010年8月までの間に同様の手法が200回以上用いられた、と明らかにしている。
ACLUでは、この情報開示を命じた判例によって政府によるスティングレーを用いた捜査手法の非公開には根拠がないことを指摘。同時に、合衆国政府が州政府の公的記録の公開に干渉する根拠がないとしています。
携帯電話の仕組みを用いることで、従来では考えられなかったレベルで個人の行動が追跡されてしまうことが明るみにされた事例となったわけですが、公の利益と個人の利益にまつわる争いは今後も続きそうです。

shrturl.coで本物そっくりの偽サイトを作り放題―「2660億ドルでYC買収」の偽TC記事も
http://headlines.yahoo.co.jp/hl?a=20140606-00028399-techcr-sci    TechCrunch Japan
ノー。Andreessen Horowitzは2660億ドルでY Combinatorを買収していない。 このページはおそろしいほど完璧にTechCrunchのフォーマットになっているが、TechCrunchの記事ではない。第三者のジョークだ。
レイアウト、ロゴ、見出し、Facebookを利用したコメントまで、記事の本文以外、すべて本物そのままだったから多くの読者が疑いをもたなかったのも無理はない。バイラルに大反響を呼び起こし12時間で2万5000ページビューを記録した。いったいどうやってこれほど精巧なサイト偽造ができたのだろう？　
この偽造を可能にしたのはインターネットに存在するもっとも邪悪なツールの一つ、shrturl.coというサービスだ。
TheNextWeb.comのデザイナー、Alexander Griffioenが作ったShrtURLを使うと、インターネット上のどんなサイトでも見た目をそのままにコピーしてテキストを勝手に書き換えることができる。スタイル、デザインは元のサイトとまったく同じだ。Facebookコメントなどのウィジェットまで本物同様に動作する（500 Startupsのファウンダー、Dave McClureまでがおもしろがってコメントしている）。
私はShrturlを試してみたが、なるほど簡単にどんなサイトでもコピーできる。iOS 8はハードウェアなしで動くというTechCrunch記事がすぐに作れた。そこでiMacを無料で提供中.という偽Appleストアや当社はFacebookを買収しましたというGoogleブログも作ってみた。
もちろんこういう記事は一見してジョークと分かる。 しかし社会を混乱させたり個人に迷惑をかけたりするような使い方はいくらでもあるだろう。現にこんな偽ツイートが現れている（John Biggs記者はヘルペスに罹っていない）。
ただしShrturlで作製されたページは48時間後に自動的に削除される。.
それでもこのサービスを悪用する可能性は無限だ。このサイトで作られるページのURLは http://shrturl.co/(characters)となるので、正当なURL短縮サービスと紛らわしい。その上サイトのデザインが本物と完璧に同一なのだから、記事の内容が少々奇妙でも信じこんでしまう訪問者が出るのはやむを得ない。
Y Combinator買収のとんでもなく馬鹿げた記事がJordan Crook名義で書かれていたおかげで、今日は私はTwitterでさんざんな目にあった（偽記事を作ったのはこの人物。ただし、仲間内のジョークのつもりで、これほど大きな騒ぎになるとは思っていなかったようだ）。
その上、ShrturlのリンクをBit.lyでさらに短縮してしまえばいよいよもって正常なリンクに見える。謎の中の謎の中のジョークというわけだ。
昔からインターネットにジョークは付き物だった。もし「面白すぎる」話にでくわしたら―ウェブページであろうと友だちのツイートであろうと―ソースのURLをきちんとチェックすることが必要だ。そのURLがShrtURL.coだったらあなたはかつがれているのだ。
しかしGriffioenはそのうちURLをもっとうまく誤魔化す方法を考えつくかもしれない。ご用心、ご用心。

遠隔操作ウイルス事件、コードプロファイリングから浮かぶ「気持ち悪さ」
http://www.atmarkit.co.jp/ait/articles/1406/09/news013.html　  ＠IT
IT関係者の関心も集めた遠隔操作ウイルス事件の意外な幕切れについて、クレイジーワークス 代表取締役 総裁の村上福之氏が緊急寄稿した。
トロイの木馬「iesys.exe」に感染させた他人のPCを踏み台にしてインターネット掲示板に犯行予告などの書き込みを行い、4人が誤認逮捕された「PC遠隔操作ウイルス事件」。その真犯人として2013年2月、元IT会社員の片山祐輔被告が逮捕・起訴された。
その後片山被告は一貫して容疑を否認してきたが、2014年5月、事態が大きく動いた。弁護士やマスメディアに「真犯人」を名乗る人物からのメールが届いたのだ。捜査上の問題点なども指摘されていたことから、一時は別に真犯人がいるのではないかという意見も浮上したが、事件は意外な形で幕を閉じた。保釈中の片山被告が、メールを送信したスマートフォンを河川敷に埋める様子が捜査関係者に見つかり、これまで無罪を訴えてきた同被告は、「言い逃れできない」と一転して起訴内容を全て認めた。
IT関係者の関心も集めたこの事件の意外な幕切れについて、クレイジーワークス 代表取締役 総裁の村上福之氏が緊急寄稿した。
iesys.exe、コードに基づくプロファイリングは当たっていたのか？
正直、ゆうちゃんこと片山祐輔被告が捕まったとき、iesys.exeを開発した別の人間がいるのではないかと思ったことがありました。iesys.exeの命名規則が“オッサン臭い”上に、片山氏のC#のプログラミング能力がさほど高くないという記事を読んだからです。
　Knowledge base func
　遠隔操作ウイルスから学ぶ命名法
　http://iteahelper.com/blog/2013/02/24/%E9%81%A0%E9%9A%94%E6%93%8D%E4%BD%9C%E3%82%A6%E3%82%A4%E3%83%AB%E3%82%B9%E3%81%8B%E3%82%89%E5%AD%A6%E3%81%B6%E5%91%BD%E5%90%8D%E6%B3%95/
　とっくり新聞
　片山祐輔を、事件に使われたウイルスから読み解く
　http://kakugecom.blog87.fc2.com/blog-entry-2098.html
なぜコードを「オヤジ臭い」と感じたか
なぜオヤジ臭いと感じたか、その根拠をもう少し説明します。iesys.exeの作成には「Visual Studio」「.NET Framework」「C#」が使われています。これはWindowsで動作する高度なプログラムを作るのに適した組み合わせです。
　江川紹子のあれやこれや
　【PC遠隔操作事件】C#でのプログラム作成能力を巡って（第6回公判メモ）
　http://bylines.news.yahoo.co.jp/egawashoko/20140415-00034530/
　おごちゃんの日記
　遠隔操作裁判に行って来た
　https://www.shortplug.jp/profile/ogochan/diaries/3386
iesys.exeのメソッド一覧を見たときは、後述する通りオッサン臭い部分がある上に、命令規則が統一されておらず気持ち悪いと思いました。コードの8割が「encByUid」などのように、マイクロソフトの命名規則を無視してローワーキャメルケースの命名方法を用いており、どちらかというとJava臭かったです。
残りの1割程度が、マイクロソフトらしく、「GetUnixTime」のようにアッパーキャメルケースを使用していました。昔のPCのプログラムのように動詞を省略して命名していたことから、「作者は40代以上のプログラマーではないか」という憶測も一部のブログで流れました。僕も同じような印象を持ったもの事実です。
あえてC#を使ったのは、ブラウザーの遠隔操作がかなり楽に実装できる上に、.NET FrameworkがインストールされたWindowsで動作するからだと思われます。
もし、Javaで遠隔操作プログラムを作っても、そもそもJVMがインストールされていないWindowsが多く、ここまで大きな影響力を及ぼすことは難しかったことでしょう。もっとも、当時のXPを含む全てのWindowsでの動作を保障するならば、.NET Frameworkを使ったものではなくC++でWin32のネイディブコードを書く必要がありましたが、この作業はJavaエンジニアからすれば面倒くさくて気がおかしくなると思います。
それほど高度ではなかった実装
多くのブロガーがiesys.exeについて、プログラミングに非常に高度な技術を要するかのように書いていました。
しかし僕が見た限り、遠隔操作そのものの実装は、さほど難しくないものでした。“黒い”広告代理店がよく使っているようなTwitterフォロワー増殖ツールやアカウント無限作成ツールなどと同じような構造です。
具体的には、アプリケーションフォームにIEコンポーネントを貼り付けて、それに対してDOM操作するだけのプログラムです。iOSでいう「UIWebview」、Androidでいう「Webview」であり、要は見えないところでブラウザーを表示して、操作するだけです。遠隔操作のコマンドの一部は、.NET FrameworkのWebBrowserクラスのメソッドのラッパーでしかないので、ブラウザーの遠隔操作だけならば実装は難しくないと思っています。
Webサイトの構造によっては動作しないことがあるでしょうが、2ちゃんねるのようなシンプルなHTMLや、自治体のフォームに犯行予告を書き込む程度ならば十分に動作するように思います。逆に、Facebookのように複雑怪奇なJSで作られたサイトには、あまり向かないといえそうです。その意味からも、実装はそれほど高度なものとはいえないと思います。
　Internet Watch
　遠隔操作ウイルス、犯人素人説も〜ラックの西本氏が主催して私的勉強会
　http://internet.watch.impress.co.jp/docs/news/20121029_569333.htm
　弁護士 落合洋司　（東京弁護士会）　の 「日々是好日」
　自称真犯人からのメール（本日午前11時37分に送付されてきた）
　http://d.hatena.ne.jp/yjochi/20140516
まとめると作者は、アプリケーションエンジニア的にはある程度のスキルを持っているように見えます。が、逆にいうとアプリケーション以上のスキルはありません。いわゆるウイルスでは当たり前に使われている、解析者に見つからないようにする難読化などの機能を実装するスキルは欠けていたようです。
ただ、実装もある程度は考えられている（＝面倒くさい）し、使う方に立ってみても、コマンドを送る際にはある程度気を使わないといけない上に高機能なのがiesys.exeです。おそらく、手順を踏めないアホな人では、iesys.exe経由の投稿に失敗するのではないかと思います。実際、失敗していたケースもあるのではないかと思います。
このようにコマンドの数々が異様に細かく、機能もてんこ盛りなので、「iesys.exeくらいコピペで作れるだろう」というと、判断は難しいというのが正直なところです。コアモジュールはコピペでも、実装の過程でいろいろと試行錯誤はあったと思いますし、それなりに慎重な部分はあるように見えます。このアタリと、片山氏の実際の挙動との間に、非常に大きな違和感を感じています。
なお各種報道の中で、iesys.exeのことを「アイシス」と呼ぶマスコミがありましたが、「Internet Explorer System」を略した「IE-Sys」という意味で、「アイイーシス」というのが本当の呼び方なんだろうと思います……たぶん。
iesys.exeの「慎重さ」と片山被告が最後に見せた「雑さ」
さてさて、iesys.exeという、スキル的には中途半端なのに高機能なウイルスのおかげで、誤認逮捕が4人も生み出され、日本中の警察の“イット”スキルの低さも露呈したことはいうまでもありません。
しかし事件の最後の最後の幕引きは、非常にローテクなものになってしまいました。警察が片山被告を尾行し、河原でスマホを埋めているところを見つかったのがきっかけとなり逮捕されるという、何だかとてもしまらない形です。
しかも肝心の「真犯人メール」は、無記名SIMを刺したスマホから、Yahoo.co.jpのSMTPサーバー経由で送るという、ものすごく足が付きやすい方法で送信されています。SMTPサーバーなんて世界中にあるのに、あえて日本のYahoo Japan!を選んだというのも意味が分かりません。
正直、僕はこの部分が気持ち悪いと思っています。
今後の報道の中で、あえて足の付きやすいこの方法を使った理由が明らかになるのかもしれません。けれど、どうして今まで通り、Torで身元を分からないようにした上でメールを送らなかったのでしょうか？ 供述によると、「いったんパソコンでメールを書いてからスマホで送った」そうですから、本人はパソコンも使える環境にあったようです。Torを使っての時間指定送信もやってやれないこともないので、どうしてそうしなかったのか、疑問ばかりが残ります。
まるでデスノートの「第2のキラ」
これね、まるで漫画「デスノート」の「第2のキラ」みたいですよね。今まで、身元が分からないように完璧を期してメッセージを送っていたのに、突然、雑な方法で送信したことに、言いようのない気持ちが悪さを感じます。
iesys.exeのコードに見られるそこそこの「慎重さ」と、片山氏の行動の「雑さ」とのギャップは非常に気になるところです。
例えば、証言によると、江ノ島のネコに首輪をつける際は、身元が割れないようにするためか、わざわざ首輪を万引きしたそうです。なのになぜ、真犯人メールについてはこんな雑な方法を採ったのか。
　Business Journal 江川紹子の「事件ウオッチ」第4回
　【PC遠隔操作】我々が完全に騙された片山被告の“巧妙なウソ”の手口と、事件解明のカギ
　http://biz-journal.jp/2014/05/post_4943.html
その上、指紋を付けたままスマホを埋めるというのもよく分からない。
イザ！ 産経デジタル
ＰＣ遠隔操作公判　片山被告、無罪主張を撤回「指紋が出る、言い逃れできないと」
http://www.iza.ne.jp/kiji/events/news/140522/evt14052211370013-n1.html
強いて挙げれば、犯人と片山氏に類似点が見られるのは、矢野さとる氏が指摘しているようにメールの言葉遣いぐらいです。
　satoru.net
　『遠隔操作真犯人』と『のまねこ』事件の犯行予告の類似点
　http://d.hatena.ne.jp/satoru_net/20130221/1361387978
何でしょう、この雑な感じ。
最初の逮捕時に尾行されても気付かない、今回も尾行されていても気付かない。遠隔操作時のアクセス全てにTorを使って、DOMを解析してコマンドを作って、わざわざしたらば掲示板経由で操作するという、そこそこ手の込んでいるiesys.exeの実装と、片山氏の適当で雑な感じの挙動の落差が気になって気になって仕方ありません。
何だろう、このモヤモヤ感……そんなことをいっているところに、6月1日にまた、真犯人と名乗る人から謎のメールが来たそうです。
　satoru.net
　【安部銃蔵】真犯人の名乗る人物からのまたメール（全文＋ヘッダー）
　http://d.hatena.ne.jp/satoru_net/20140601
この件について片山被告は関与を否定しており、模倣犯による「いたずら」という見方が示されています。けれど、デジタル捜査の在り方やら、司法のIT知識やら、取り調べの在り方やらといった課題も含め、まだまだひと悶着ありそうです。





2014年06月05日




Androidを狙う“身代金要求”不正アプリ、SDカード内のファイルを勝手に暗号化
http://internet.watch.impress.co.jp/docs/news/20140605_652049.html    Impress Watch
ESETは4日、Android端末を標的にした初のファイル暗号化型ランサムウェア「Android/Simplock.A」を発見したと報告した。
ランサムウェアとは、端末をロックして使用不能にしたり、端末内のファイルを勝手に暗号化するなどして、元に戻すための費用として金銭の支払いを要求する身代金要求型のマルウェアのこと。2013年5月には画面をロックするタイプのAndroid向け偽セキュリティアプリが発見されており、2014年5月にはPC向けのランサムウェア「CryptoLocker」と関連すると思われるAndroid向けのランサムウェアが報告されたが、ファイルを暗号化するものではなかったという。
今回、ESETが発見した「Android/Simplock.A」は、実行するとSDカード内の文書や画像、動画ファイルを検索し、それらのファイルを暗号化してしまう。その上で、これらのファイルの“身代金”として金銭を要求するもので、メッセージはロシア語で表示され、代金にはウクライナ通貨（260UAH、約21ドル）での支払いを要求することから、この地域を標的にしていると考えられると分析している。
また、Android/Simplock.Aは匿名ネットワークの「Tor」を使用している点も特徴で、Android/Simplock.Aが接続するC&Cサーバー（司令サーバー）は、Torネットワーク上のonionドメインで運用されているという。
ESETでは、今回分析したランサムウェアのサンプルは公式マーケットのGoogle Playでは発見されておらず、現時点での感染率は非常に低いと推定。ユーザーに対しては、モバイル向けセキュリティアプリを使うことや、デバイスをバックアップしておくといった予防策を実施することを薦めている。
ESET公式ブログの該当記事（英文）　　ESET Analyzes First Android File-Encrypting, TOR-enabled Ransomware
http://www.welivesecurity.com/2014/06/04/simplocker/

Web閲覧やファームウェア更新でのウイルス感染に注意喚起（IPA）
http://scan.netsecurity.ne.jp/article/2014/06/05/34318.html    ScanNetSecurity
独立行政法人 情報処理推進機構（IPA）は6月4日、Web閲覧やファームウェア更新でのウイルス感染について注意喚起を発表した。2014年5月末から6月にかけて、Webサイトを改ざんされウイルスを仕掛けられていたと複数の企業（旅行代理店、パソコン周辺機器メーカー、ブログサービス、ゲーム関連など）から発表があった。普段利用しているWebサイトが改ざんされることで、Webの閲覧やダウンロードしたファイルの実行をきっかけにPCがウイルス感染する事例が発生している。
また、PC周辺機器メーカーの発表によると、外部のホスティング事業者が管理していたファイルが改ざんされたため、PC周辺機器（無線LAN製品やNAS製品など）のファームウェアを更新しようとした利用者が、改ざんに気づかずにファイルをダウンロードして実行しウイルスに感染したことが明らかになっている。ウイルスに感染した場合、PCが扱う情報が盗まれたり、攻撃者にPCを遠隔操作されたり、新たなウイルスがダウンロードされる。また、オンラインバンキングのログイン情報を盗むウイルスに感染するという情報もある。
IPAでは、こういった被害に遭わないための対策として、修正プログラムの適用による脆弱性の解消、セキュリティソフトの導入を挙げており、またウイルスの感染確認と駆除には、セキュリティソフトによるスキャンやオンラインスキャンツールの利用を挙げている。
IPA　　ウェブ閲覧やファームウェア更新でのウイルス感染に注意
http://www.ipa.go.jp/security/ciadr/vul/20140604-webkaizan.html





ネットバンキングを狙う「Gameover Zeus」、FBIや10カ国以上が摘発作戦を実行
http://internet.watch.impress.co.jp/docs/news/20140605_651959.html    Impress Watch
米司法省は2日、世界各国でインターネットバンキングを標的としたマルウェア「Gameover Zeus」の活動停止（テイクダウン）に向け、大規模な摘発作戦を実行したと発表した。作戦には米連邦捜査局（FBI）や日本の警察庁など10カ国以上の法執行機関が参加し、マイクロソフトやセキュリティベンダー各社など多数の民間企業が支援を行っているという。
Gameover Zeusは、インターネットバンキングを標的としたマルウェア「Zeus」の亜種で、P2Pネットワークとドメイン生成アルゴリズムを利用してC&Cサーバー（司令サーバー）に接続し、同種のマルウェアに比べて感染端末の特定が困難な点が特徴。Gameover Zeusによるインターネットバンキングの不正送金では、世界全体で1億ドル以上の被害が発生しているとみられる。
セキュリティ研究者の調査によると、世界中で50万〜100万台のPCがGameover Zeusに感染。感染PCの所在国は米国が約25％で最も多く、日本が約20％で2番目に多いと推定されている。
今回、FBIや各国の法執行機関が共同で実行した作戦では、Gameover Zeusの主要なサーバーを押収するとともに、首謀者とみられるロシア在住の男を起訴した。この男は、ランサムウェア「Cryptolocker」の拡散にも関与しているとみられている。
ランサムウェアとは、実行するとPC内のファイルを勝手に暗号化したり、PCをロックして使用不能にしてしまい、元に戻すための費用として金銭の支払いを要求する身代金要求型のマルウェアのこと。Cryptolockerが要求する金額は700ドル程度で、2013年9月の出現以来、2700万ドルが“身代金”として支払われ、2014年4月だけでも23万4000台が被害に遭っているという。
米司法省のプレスリリース（英文）  　U.S. Leads Multi-National Action Against “Gameover Zeus” Botnet and “Cryptolocker” Ransomware, Charges Botnet Administrator
http://www.justice.gov/opa/pr/2014/June/14-crm-584.html
警察庁 国際的なボットネットのテイクダウン作戦　　
インターネットバンキングに係る不正送金事犯に関連する不正プログラム等の感染端末の特定及びその駆除について〜国際的なボットネットのテイクダウン作戦〜
http://www.npa.go.jp/cyber/goz/index.html
マイクロソフト 日本のセキュリティチームブログの該当記事　　マイクロソフトが GameOver Zeus ボットネットのクリーンアップで FBI に協力
http://blogs.technet.com/b/jpsecurity/archive/2014/06/04/microsoft-helps-fbi-in-gameover-zeus-botnet-cleanup.aspx
シマンテック Security Responseブログの該当記事　　　国際的な摘発作戦で Gameover Zeus のサイバー犯罪ネットワークに打撃
http://www.symantec.com/connect/ja/blogs/gameover-zeus

「メルマガ作成内職」に注意、内職を入り口にして費用を支払わせる手口
http://internet.watch.impress.co.jp/docs/news/20140605_652009.html    Impress Watch
独立行政法人国民生活センターは5日、メールマガジン（メルマガ）の原稿を作成する内職の求人サイトを入り口として、ホームページ作成に費用が必要であるなどとして次々に代金を請求する手口（メルマガ作成内職）に関する相談が年々増加しているとして、注意を促した。
全国消費生活情報ネットワークシステムPIO-NETに寄せられたメルマガ作成内職に関する相談は、2011年度が347件、2012年度が370件、2013年度が424件。主に20代から40代の女性がトラブルに遭っているという傾向が見られ、2013年度の契約購入金額の平均は約89万円。
典型的な手口としては、消費者がインターネットで「在宅ワーク」「副業」などと検索して見つけた業者の求人サイトに応募すると、業者から電話がかかってくる。仕事の内容は、「メルマガの原稿を1つ作成すると約1000円の収入が得られる」というもので、相談事例では、仕事をした後には実際に数千円程度の“給料”が支払われている場合が多いという。
その後、業者が「あなたの文章は評判がいい。自分のホームページを持って仕事をしないか」「今は仕事が紹介できないので、ホームページを作って情報商材のアフィリエイトをしないか」などと勧めてくるが、ホームページ作成などの代金は約40万円と高額で、消費者が断ると「すぐに元がとれる」「収入がない場合は返金する」と、消費者金融での借り入れを案内される場合が多い。
業者はその後、「あなたのホームページにアクセスが集中して、ホームページを見られない人がいる。サーバー拡張が必要だ」などとして、さらに何百万円もの費用を請求。消費者が返金を求めても、「さらに支払いが必要な費用があるので、それを支払うまでは返金できない」などとさらなる請求をされ、返金されない。また、解約を申し出ると、「副業があることを職場にばらす」などと脅されて、支払ってしまったというケースも見られるという。
国民生活センターでは、安易に内職の申し込みをしたり、個人情報を提供しないことや、高額な初期費用のかかる内職契約は極力避け、勧誘されても断ること、「○○万円の収入は確実」「収入がない場合は返金する」といった業者の言葉を信用しないことなどをアドバイスとして挙げている。また、契約してしまった場合は、追加の費用を請求されたり脅されたりしても支払わないこと、一人で抱え込まずに家族や消費生活センターなどに相談することを呼び掛けている。
プレスリリース　　借金をさせてまで支払わせるメルマガ作成内職−20代から40代の女性に100万円以上の借金をさせる事例も！−
http://www.kokusen.go.jp/news/data/n-20140605_1.html





リアルタイムの予測分析により攻撃を検知する防御ソリューション（シスコ）
http://scan.netsecurity.ne.jp/article/2014/06/05/34321.html    ScanNetSecurity
シスコシステムズ合同会社（シスコ）は6月5日、顧客の広範なネットワークのすべてを対象としたリアルタイムの予測分析を行うことで、攻撃を検知し高度なマルウェアに対する防御を行う「マネージド スレット ディフェンス サービス」を発表した。本サービスは、ハードウェア、ソフトウェア、脅威の監視、記録、分析を行うための分析機能で構成されるオンプレミス ソリューション。専門家を配備した複数のセキュリティ オペレーション センター（SOC）からサービスを監視し、インシデント対応分析、エスカレーション、修復に関するアドバイスを提供する。
また、ストリーミング テレメトリをリアルタイムに記録することで、アンチウイルス機能が認識しない未知の攻撃からネットワークを保護するほか、Hadoop2.0を利用して、顧客ごとの独自のネットワーク プロファイルを対象に異常パターンを検出する予測分析を実施し、疑わしい振る舞いを特定する。さらに、サブスクリプションベースのビジネスモデルを通して、インシデントの追跡と報告を行うことにより、セキュリティのテクノロジー、プロセス、人材に対するシスコの継続的な投資が利用され、運用コストの削減が期待できるとしている。
シスコ（英語サイト）　　Cisco Launches Managed Threat Defense Service
http://newsroom.cisco.com/press-release-content?type=webcontent&articleId=1408164

Web閲覧やファームウェア更新でのウイルス感染に注意喚起（IPA）
http://scan.netsecurity.ne.jp/article/2014/06/05/34318.html    ScanNetSecurity
独立行政法人 情報処理推進機構（IPA）は6月4日、Web閲覧やファームウェア更新でのウイルス感染について注意喚起を発表した。2014年5月末から6月にかけて、Webサイトを改ざんされウイルスを仕掛けられていたと複数の企業（旅行代理店、パソコン周辺機器メーカー、ブログサービス、ゲーム関連など）から発表があった。普段利用しているWebサイトが改ざんされることで、Webの閲覧やダウンロードしたファイルの実行をきっかけにPCがウイルス感染する事例が発生している。
また、PC周辺機器メーカーの発表によると、外部のホスティング事業者が管理していたファイルが改ざんされたため、PC周辺機器（無線LAN製品やNAS製品など）のファームウェアを更新しようとした利用者が、改ざんに気づかずにファイルをダウンロードして実行しウイルスに感染したことが明らかになっている。ウイルスに感染した場合、PCが扱う情報が盗まれたり、攻撃者にPCを遠隔操作されたり、新たなウイルスがダウンロードされる。また、オンラインバンキングのログイン情報を盗むウイルスに感染するという情報もある。
IPAでは、こういった被害に遭わないための対策として、修正プログラムの適用による脆弱性の解消、セキュリティソフトの導入を挙げており、またウイルスの感染確認と駆除には、セキュリティソフトによるスキャンやオンラインスキャンツールの利用を挙げている。
IPA　　ウェブ閲覧やファームウェア更新でのウイルス感染に注意
http://www.ipa.go.jp/security/ciadr/vul/20140604-webkaizan.html





「ドラクエ」を勝手に購入される被害続出　楽天「ID、パスワード流出の事実はない」
http://www.j-cast.com/2014/06/05206877.html?p=all　　J-CAST
PCソフトやゲームをオンライン購入できる「楽天ダウンロード」で、身に覚えのないものがクレジットカード決済されたという報告がネットで相次いでいる。その多くは「ドラゴンクエストX」のダウンロード版だ。
被害に遭った人が自身のブログやQ＆Aサイトで詳細を書いたことで話題になり、中には同じソフトを大量購入されたケースもあった。
「楽天ダウンロード」未利用者も被害
「ドラゴンクエストX」が勝手に購入されたことに、多くの人は「【楽天ダウンロード】購入確認」というお知らせのメールが届いてから気づいている。Yahoo!知恵袋に2014年1月18日に被害相談した人の場合、「楽天市場」を利用したことはあったが、「楽天ダウンロード」を使ったことがなかったという。
「装ったメールかと思っていたのですが、クレジットカード決済となっており、不安になり確認していたところ何日か後にクレジットカードサイトの利用履歴にも楽天ダウンロードからの請求が反映されておりました」
と状況を説明した。ログイン履歴を確認すると、購入完了メールが届いた時間帯には、明らかに他者のIPアドレスが記録されていたそうだ。楽天市場にクレジットカード情報を登録してあったため、ログインすればすぐにカード決済できる状況だったが、カードの紛失はなかった、としている。
3月2日に被害に遭った人の場合は、「ドラゴンクエストX」がなぜか6本も購入履歴に並んでいた。1本あたりが税込3990円で、計2万3940円分が知らないうちに使われていたことになる。
被害に遭ったら「カード会社へお問い合わせいただきたい」
楽天の広報担当者によると、身に覚えのないゲーム購入については2013年秋から年末にかけて問い合わせがあるというが、「日々様々なお問い合わせをいただいておりますため、本件だけのお問い合わせに関しては把握しておりません」としている。
また、ネットの一部で楽天からの流出が原因という説も出たが、
「楽天からID、パスワードが流出したという事実はございません。他のサービスから流出したID、パスワードと同じものを楽天会員のID、パスワードとして使用されている方が被害に遭われている可能性が考えられます」
と否定した上で、
「今回の商品に関しては、カード会社の本人認証システムである3Dセキュアを導入しており、そのカード会社の本人認証まで破られてしまっておりますが、その原因に関しては弊社では把握できておりません」
と答えた。
もし同様の被害に遭ってしまったときには
「他のサービスで使用しているID、パスワードと同じものを楽天会員ログインでも使用している場合、パスワードの変更を行なっていただきたいと思います。今回の商品に関してはカード会社の本人認証システムである3Dセキュアを導入しており、カード会社から補償するかたちになるので、カード会社へお問い合わせいただきたいと思います」
と呼びかけている。
被害防止のためには、「他社サービスと同じID、パスワードを利用しない」、「ログインのたびにメールを送信するサービスや、ログイン履歴確認サービスを利用し、不正なログインをチェックする」といった心がけが必要だという。





2014年06月04日



Google、Webメール暗号化ツール「End-to-End」のα版公開
http://www.itmedia.co.jp/enterprise/articles/1406/04/news036.html    ITmedia
米Googleは6月3日、GmailなどのWebメール経由で送受信するメールの内容を手軽に暗号化できる新ツール「End-to-End」のα版を公開した。WebブラウザChromeの拡張機能として提供する。
End-to-Endを利用すると、Chrome経由で送信されるデータが暗号化され、意図した相手が暗号を解除するまでその状態が保たれる。自分あてに送信されたメールも同様。WebブラウザはChromeが必要だが、メールサービスはGmailに限らず、他社のWebメールサービスでも利用できるという。
エンド・トゥ・エンドの暗号化ツールは既に「PGP」「GnuPG」などが存在しているが、使いこなすには相当の技術的ノウハウが必要で手間もかかると、Googleは説明する。そこでエンドユーザーがもっと手軽に暗号化を利用できるよう、多数の暗号化ツールでサポートされているオープン標準の「OpenPGP」を使ったChromeの新しい拡張機能を提供することにしたという。
ただ、まだChrome Web Storeでの提供は開始せず、まずコミュニティでテストしてもらい、安全性を検証してもらいたいとしている。End-to-Endのセキュリティ問題を見つけた場合、報奨金支給制度の対象になるとも明言した。
Google Online Security Blog　　　Making end-to-end encryption easier to use
http://googleonlinesecurity.blogspot.jp/2014/06/making-end-to-end-encryption-easier-to.html


米Google、送受信者以外読めないGmail暗号「End-To-End」プロジェクトを発表 〜Chrome拡張機能のアルファ版ソースコードを公開
http://internet.watch.impress.co.jp/docs/news/20140604_651655.html    Impress Watch
米Googleは3日、Gmailのメールを送受信者以外読めないようにエンドツーエンドで暗号化できるChrome拡張機能「End-To-End」のアルファ版ソースコードを公開した。将来的には誰もが簡単にエンドツーエンド暗号化機能を利用できるように、Chromeウェブストアで公開する予定だ。
エンドツーエンド暗号化とは、メール送信者が暗号化してウェブブラウザーで送信した暗号を、メール受信者がウェブブラウザー上で解読するまで誰も読むことができないという意味だ。理論的に暗号鍵保有者以外は誰もメールを読むことができないため、鍵をなくした場合には誰であれ二度と解読できないことになる。
これまでのエンドツーエンド暗号化ソフトには「PGP」や「GnuPG」等が有名だ。しかしこれらのソフトを利用するには高度な技術力が必要で、お世辞にも誰もが利用できるソフトとは言えなかった。「End-To-End」は、オープンな標準規格「OpenPGP」を使った同等の暗号化機能を誰もが利用できるようにすることを目標とする。
公開されたソースコードはまだアルファ版だ。Googleでは、まず公開することにより、十分にテストと評価が行われ、安心して使用できるレベルの安全性が確認されることが重要だと考えている。それでGoogleは「End-To-End」を「Vulnerability Reward Program」に加えた。これはセキュリティ脆弱性発見者に賞金を与えるGoogleのプログラムだ。
「End-To-End」が採用したのは、新たに開発されたJavaScriptによる暗号化ライブラリ、OpenPGP標準規格、IETF RFC 4880。機能としては鍵生成、暗号化、復号化、デジタル署名、署名検証を有する。
暗号化はメール本文のみで、添付ファイルには適用されない。なお、もともとOpenPGPによるメールでは、メールタイトルと受信者リストは暗号化されない。また、現時点で「End-To-End」はChrome拡張機能として実装されているため、拡張機能のないモバイル向けChromeでは利用できない。
文字化け対策は行われているが、まだ完全でないそうだ。特に日本語利用者には改良が必要となりそうだ。
米Google Online Security公式ブログの該当記事（英文）　　Making end-to-end encryption easier to use
http://googleonlinesecurity.blogspot.jp/2014/06/making-end-to-end-encryption-easier-to.html
End-To-End　プロジェクトページ（英文）　End-To-End¶
https://code.google.com/p/end-to-end/

ヤフーからCCCへの情報提供オプトアウトに不備、ユーザーは改めて申請を 　本人以外も手続き可能な状態となっていたためフォームを一時停止
http://internet.watch.impress.co.jp/docs/news/20140604_651700.html    Impress Watch
ヤフー株式会社は3日、カルチュア・コンビニエンス・クラブ株式会社（CCC）へのユーザー情報提供を望まないユーザーが提供の停止を申請するためのフォームについて、公開を一時停止した。
公開したフォームが、Yahoo! JAPAN IDでログインしなくても手続きができる状態となっており、本人以外でも手続きが可能だったことから、公開を停止したもの。このため、既にフォームで提供停止の手続きを行ったユーザーについても、フォームの再開後に改めて手続きを行ってほしいとしている。
ヤフーでは2日、ヤフーとCCCの間で相互にユーザー情報の提供を行うことなどを目的として、Yahoo! JAPANのプライバシーポリシーを改定。情報の提供は、Yahoo! JAPANでTポイント（Tカード）の利用手続きを行っているユーザーに限定される。
ヤフーではCCCに対して、ユーザーが閲覧したページや広告の履歴、ヤフーが独自の基準で分類したユーザーの興味関心分野に関する情報、ヤフーとCCCが共同で行うキャンペーンへの参加・登録情報を提供するとしている。
この改定に伴い、ヤフーではCCCへの情報提供を望まないユーザー向けに、情報提供を停止するオプトアウト手続きのためのフォームを公開していたが、このページにはYahoo! JAPAN IDによるログインをしなくても直接アクセスができ、オプトアウト／インするYahoo! JAPAN IDを手入力できる状態になっていたという。
ヤフーでは、3日の20時40分ごろにフォームを一時停止。それまでの間に提供停止の希望などを申請したユーザーについても、改めてフォームの再開後に手続きを行ってほしいとしている。また、フォームの再開まで、CCCへの情報提供は行わないとしている。
CCCへのYahoo! JAPAN情報提供の停止、再開の要望フォーム
http://form.ms.yahoo.co.jp/bin/ccc_optout_preference/feedback



ヤフー、CCCへの情報提供オプトアウト機能を一時停止　ログインなしで操作できる問題受け
http://www.itmedia.co.jp/news/articles/1406/04/news031.html    ITmedia
ヤフーからCCCへの情報提供を停止／再開できるフォームが一時公開停止に。Yahoo！JAPAN IDでログインしなくても停止／再開でき、本人以外が操作できる状態だったためで、再開後に申請をやり直すよう求めている。
ヤフーは6月3日夜、同社からカルチュア・コンビニエンス・クラブ（CCC）にWeb閲覧履歴などの提供を希望しないユーザーが提供停止を申請できるフォームの公開を一時停止した。Yahoo！JAPAN IDでログインしなくても申請できる状態で公開されており、本人以外が操作することも可能だったためで、これまでの申請は受け付けず、再開後にもう一度申請し直すよう求めている。
プライバシーポリシーの改定と合わせ、2日に公開したフォーム。ユーザーは、情報提供の停止（オプトアウト）か再開をラジオボタンで指定できた。
他人でも操作できる状態だったため、3日午後8時40分ごろまでに手続きした全ユーザーについて、停止／再開の要望は受け付けられないとして、再開後に再度申請を行うよう求めている。再開まで、CCCへの情報提供は行わないとしている。
ヤフーが2日付けで改定したプライバシーポリシーには、
http://docs.yahoo.co.jp/docs/info/terms/chapter1.html#cf2nd　：　Yahoo！JAPAN　第2章　プライバシーポリシー
Yahoo！JAPANで「Tポイント」連携の手続きをしたユーザーについて、ヤフーが保有するWebページ閲覧履歴などをカルチュア・コンビニエンス・クラブ（CCC）に提供するなどの内容が追加されており、情報提供を希望しないユーザー向けに、オプトアウト申請フォームを用意していた。
ニュースリリース　　「プライバシーポリシー」ページにおける不具合について　Yahoo! JAPANは、6月2日付けで「プライバシーポリシー」を改定いたしました。
http://pr.yahoo.co.jp/release/2014/06/03a/





「GnuTLS」に新たな脆弱性、主要Linuxディストリビューションに影響
http://www.itmedia.co.jp/enterprise/articles/1406/04/news034.html    ITmedia
Red Hat、Debian、Ubuntuなどの主要Linuxディストリビューションに使われているオープンソースのSSL／TLSライブラリ「GnuTLS」に新たな脆弱性が見つかり、修正パッチがリリースされた。悪用された場合、クライアントサイドで任意のコードを実行される可能性が指摘されている。
Red Hatが公開したセキュリティ情報によれば、この脆弱性に関する情報は5月28日に公開され、6月3日までに修正パッチが公開された。GnuTLSでTLS/SSLハンドシェイクのServer HelloパケットからのセッションIDを解析する方法に脆弱性があり、不正なサーバを使って過度に長いセッションIDを送り付けることにより、GnuTLS経由で接続しているTLS/SSLクライアントをバッファオーバーフロー状態に陥れ、クラッシュを誘発させたり任意のコードを実行したりできてしまう恐れがあるという。
この脆弱性はセキュリティ企業のCodenomiconが発見した。
同社は「Heartbleed」と呼ばれるOpenSSLの重大な脆弱性を発見した企業。
http://www.itmedia.co.jp/enterprise/articles/1404/09/news041.html　：　OpenSSLの脆弱性、影響は極めて重大――パスワードや秘密鍵の流出も　2014年04月09日
脆弱性はGnuTLSのバージョン3.1.25、3.2.15、3.3.3で修正された。Red Hatも「Red Hat Enterprise Linux 6」「Red Hat Enterprise Linux 5」のGnuTLSパッケージを更新してこの問題に対処している。
Red Hat Bugzilla　　gnutls: insufficient session id length check in _gnutls_read_server_hello (GNUTLS-SA-2014-3)
https://bugzilla.redhat.com/show_bug.cgi?id=1101932




4月はEカード、FAX受信のメール通知を装ったスパムが流通--スパムレポート（カスペルスキー）
http://scan.netsecurity.ne.jp/article/2014/06/04/34312.html    ScanNetSecurity
株式会社Kaspersky Labs Japan（カスペルスキー）は6月4日、ロシアKasperskyが5月27日に公開したリリースの抄訳として、2014年4月のスパムレポートを発表した。これによると、4月にはEカードおよびファックス受信のメール通知を装った悪質なスパムが流通した。イースターのお祝いカードを装ったトロイの木馬「Fareit.aonw」は、トロイの木馬自体は限定的な機能しか持たないが、さらに危険な「Zbot Trojan-Spy（サーバを攻撃して個人情報を盗むマルウェア）」をダウンロードし起動する。もうひとつのケースでは、有名なオンラインファックスサービスからの偽メールで、このメールには小型のダウンローダー型トロイの木馬が仕込まれており、悪名高い Zeus/Zbot ファミリーのマルウェアをインストールするものであった。
4月にフィッシング攻撃の対象となったカテゴリートップ 3は、メールおよび検索エンジンサイト（31.9％）、ソーシャルネットワーキングサイト（23.8％、3 月から0.2ポイント減）、金融・決済機関（13％、3月から0.2ポイント減）であった。攻撃の最大の標的となったのは、インターネット経由のサービスを提供する中国の「Tencent」であった。同社はインスタントメッセンジャー「QQ」の技術サポートを提供している。詐欺師たちは、「リンクをクリックして自分のアカウントへのアクセスを復活させてください」というようなよくある手口を使い、顧客のログイン名とパスワードを手に入れていた。実際には、そのリンク先はフィッシングサイトであった。このメールは、スパムフィルタを回避し、かつ本物らしく見えるように画像の形式で送信されていたという。
カスペルスキー   4月のスパムレポート：マルウェアが仕込まれているマトリョーシカ風トロイの木馬
http://www.kaspersky.co.jp/about/news/spam/2014/sp04052014

CDNサービス利用者のサイト改ざんについて発表（シーディーネットワークス・ジャパン）
http://scan.netsecurity.ne.jp/article/2014/06/04/34311.html    ScanNetSecurity
株式会社シーディーネットワークス・ジャパンは6月3日、セキュリティ侵害が発生したと発表した。これは、同社がコンテンツ・デリバリ・ネットワーク（CDN）サービス「ウェブ・パフォーマンス・スイート」のオプションサービスとして付加的に提供している、コンテンツのアップロードサービスの一部において発生したものであり、同サービスを利用している顧客において限定的な範囲で影響を及ぼしたというもの。これにより、同社の顧客がアップロードしたコンテンツの一部が改ざんされたことが確認されたとしている。
同社ではセキュリティ侵害発生の発覚後、直ちに本サービスの提供環境を、セキュリティが強化された新しいネットワークおよびプラットフォームに移設し、改ざんされたファイルに加え、本サービスを利用するすべての顧客の全ファイルにおいて改ざんの有無を検証した。また、外部セキュリティベンダとの連携に基づき、セキュリティ対策ガイドを同社の顧客向けに提供したという。
シーディーネットワークス・ジャパン　　セキュリティ侵害に関するお知らせ
http://www.cdnetworks.co.jp/pressrelease/2207/

警察庁とプロバイダによるボットネット「GOZ」テイクダウン作戦を開始（警察庁）
http://scan.netsecurity.ne.jp/article/2014/06/04/34310.html    ScanNetSecurity
警察庁は6月3日、「国際的なボットネットのテイクダウン作戦」について発表した。本作戦は、インターネットバンキングに係る不正送金事犯に使用されているとみられる不正プログラム「Game Over Zeus」（GOZ）が世界的に蔓延していることから、米国連邦捜査局（FBI）および欧州刑事警察機構（ユーロポール）が中心となり、日本の警察を含む協力国の法執行機関が連携して決行しているもの。GOZに感染した端末で金融機関の正規のWebサイトへアクセスすると、GOZが正規のログイン画面等を装った偽の画面を表示させて各種情報の入力を要求し、偽の画面と気付かずに入力した情報を窃取され、その結果、当該利用者の口座から不正送金が行われてしまう。
最終的には、当該不正プログラムのネットワークを崩壊させる（ボットネットのテイクダウン）ことを目的としており、関連サーバを押収し、当該ネットワークの管理者を起訴するとともに、より多くの感染端末を特定し、プロバイダ等を通じて感染端末の利用者に対して不正プログラムの駆除を促すことにより、感染端末を減少させることを狙う。米国の調査によると、世界中で50万から100万台の端末がGOZに感染しており、その約20％が日本に所在していると推定されている（米国の約25％を除けば、日本に最も多く所在）。プロバイダ等を通じ、GOZに感染している旨の通知があった場合には、このまま感染状態が継続すると不正送金事犯の被害に遭うおそれがあることから、プロバイダ等の指示に従って適切な対処を行う必要がある。
警察庁　　インターネットバンキングに係る不正送金事犯に関連する不正プログラム等の感染端末の特定及びその駆除について〜国際的なボットネットのテイクダウン作戦〜
http://www.npa.go.jp/cyber/goz/index.html





2014年06月03日




警視庁、Twitterで「公開捜査」　事件解決につながる情報募る
http://www.itmedia.co.jp/news/articles/1406/03/news098.html    ITmedia
警視庁はこのほど、「公開捜査」情報を発信するTwitterアカウント（@MPD_keiji）を開設した。強盗や振り込め詐欺などの事件で防犯カメラに映った容疑者の画像や動画を掲載し、捜査の進展につながる情報を募るのが目的だ。
刑事捜査を担当する刑事部が、警視庁広報課のアカウントから“のれん分け”する形で独自アカウントを開設。約1週間でフォロワーは1万8000人を超えている。
都内で起こった詐欺事件や強制わいせつ事件の容疑者に関する画像や動画を投稿し、一般からの情報提供を募っている。顔がよく分かる形で防犯カメラにはっきり映った映像もあり、多いものは数百RTされている。今後、無差別殺傷事件など緊急性の高い情報も発信していくという。
警視庁はこれまでも「広報課」「犯罪防止対策本部」「災害対策課」などでTwitterを運用しており、同アカウントは5つ目。事件の捜査を行う刑事部として独自にアカウントを取得・運用することで「捜査状況をよりタイムリーに都民に伝え、迅速な解決につなげたい」とコメントしている。
警視庁刑事部「公開捜査」
https://twitter.com/MPD_keiji
警視庁Twitter一覧
http://www.keishicho.metro.tokyo.jp/twitter/t_list.htm

ヤフーがプライバシポリシーを改定、ウェブ閲覧履歴などをCCCに提供
http://internet.watch.impress.co.jp/docs/news/20140603_651586.html    Impress Watch
ヤフー株式会社は2日、カルチュア・コンビニエンス・クラブ株式会社（CCC）との間で相互にユーザー情報を提供することなどを目的として、Yahoo! JAPANのプライバシーポリシーを改定した。
ヤフーとCCCでは、両社のIDとポイントプログラムを2013年7月に統合。ユーザーがYahoo! IDとTカードを連携させることで、Yahoo! JAPANのサービス利用やキャンペーン参加などで、実店舗でも使えるTポイントが付与される取り組みを進めてきた。今回のプライバシーポリシーの改定により、さらにユーザー情報についても連携できる仕組みを整えた。
ユーザー情報の提供は、Yahoo! JAPANでTポイント（Tカード）の利用手続きを行ったユーザーに限定される。ヤフーでは、CCCへの情報提供を望まないユーザー向けに、情報提供を停止するオプトアウト手続きのためのページを開設した。
ヤフーではCCCに対して、ユーザーが閲覧したページや広告の履歴、ヤフーが独自の基準で分類したユーザーの興味関心分野に関する情報、ヤフーとCCCが共同で行うキャンペーンへの参加・登録情報を提供する。
CCCではヤフーから提供された情報を、特定の個人を識別可能な情報と別に区分して管理・運用し、顧客傾向データを充実、改善するための要素として利用。提供される情報を利用して改善した顧客傾向データを、郵便やメールなどによる各種情報の案内やその他の目的で利用したり、広告の履歴情報からどのような広告を掲載することが効果的であるかの分析などに利用。また、分析結果をヤフーやヤフーの提携先である広告主に提供するために利用するとしている。
同様に、CCCもT会員規約の特約（ヤフー株式会社発行のIDを指定IDとするT会員向け特約）を2日に施行した。CCCではヤフーに対して、Tポイントのユーザーが購入した商品、利用したキャンペーンやサービスの履歴（Tポイントの利用履歴を含む）に関する情報や、CCCが独自の基準で分類したユーザーの興味関心分野や推定したユーザーの属性に関するデータを提供する。
CCCでは、ヤフーへの情報提供を停止したいという要望については、問い合わせフォームで受け付けるとしている。
オプトアウト申請フォーム（ヤフー）
http://form.ms.yahoo.co.jp/bin/ccc_optout_preference/feedback
問い合わせフォーム（CCC）
http://qa.tsite.jp/helpdesk?category_id=3114
プライバシーポリシー改定のお知らせ（ヤフー）
http://docs.yahoo.co.jp/info/notice/140519.html
プレスリリース（CCC）　【お知らせ】「ヤフー株式会社発行のIDを指定IDとするT会員向け特約」の施行
http://www.ccc.co.jp/news/2014/20140602_004492.html


ヤフーからCCCへのWeb閲覧履歴提供、オプトアウト申請フォーム公開
http://www.itmedia.co.jp/news/articles/1406/03/news093.html    ITmedia
ヤフーが保有するユーザーのWebページ閲覧履歴などをCCCに提供するといった内容を盛り込んだヤフーの新プライバシーポリシーが公表。情報提供を希望しないユーザー向けに、オプトアウト申請フォームを用意した。
ヤフーは6月2日付けで、「Yahoo！JAPAN」のプライバシーポリシーを改定した。
http://docs.yahoo.co.jp/info/notice/140519.html　：　Yahoo！JAPAN　プライバシーポリシー改定のお知らせ
新ポリシーには、Yahoo！JAPANで「Tポイント」連携の手続きをしたユーザーについて、ヤフーが保有するWebページ閲覧履歴などをカルチュア・コンビニエンス・クラブ（CCC）に提供するなどの内容が追加されており、情報提供を希望しないユーザー向けに、オプトアウト申請フォームも用意した。
改定されたプライバシーポリシーには、ヤフーが保有するユーザーのWebページや広告閲覧履歴、顧客分析情報をCCCに提供すること、CCCはその情報を、個人を特定できる情報と切り分けた上で、顧客の傾向データの改善や広告効果の分析、ダイレクトメールによる案内などに活用すること――などが盛り込まれている。
情報提供を望まないユーザー向けに、オプトアウト申請フォームも用意した。Yahoo！JAPAN IDでログインすると、オプトアウト、オプトインを指定できる。
ヤフーとCCCはポイントプログラムで提携しており、昨年7月からポイントとIDを統一するなど、連携を深めてきた。プライバシーポリシーの改定は、両社が保有するユーザー情報の一部を提供し合うことで「ユーザーをより深く理解し、サービスの魅力を高める取り組み」を始めることを受けて実施したという。
ヤフーのプライバシーポリシー　　Yahoo！JAPAN　第2章　プライバシーポリシー
http://docs.yahoo.co.jp/docs/info/terms/chapter1.html#cf2nd

IPA、スマホでのワンクリック請求に注意を喚起 　「登録完了画面が現れても、あわてないで！」
http://internet.watch.impress.co.jp/docs/news/20140603_651411.html    Impress Watch
IPA（独立行政法人情報処理推進機構）技術本部セキュリティセンターは、「今月の呼びかけ」を公開した。IPAによると、4月と5月にかけてIPAに寄せられたワンクリック請求の相談件数は合計593件。うちスマートフォンでのワンクリック請求に関する相談件数は162件と全体の約3割を占め、増加傾向にある。IPAでは、登録完了画面が現れても、あわてて連絡したりしないよう呼びかけている。
ワンクリック請求の手口は、サイトに登録して契約が成立したと思わせ、利用者を慌てさせサイト使用料の名目で金銭を支払わせるもの。しかし、スマートフォンでのワンクリック請求は、パソコンでのワンクリック請求とは異なり、「アダルトサイトの登録画面が繰り返し表示されて消えない」ように見えてもそのようなことはなく、登録画面が表示されても深刻な被害はないと説明。
表示された登録画面に動揺したユーザーがあわててワンクリック請求業者に電話やメールで連絡した結果、電話番号やメールアドレスなどの情報が相手業者に知られてしまい、不安に思う相談がIPAに多く寄せられているという。
スマホではパソコンのように設定変更されることはない
パソコンの場合は、ユーザーがワンクリック請求業者のサイトにアクセスすると、動画を閲覧するために確認項目や利用規約に同意するよう「はい」ボタンを何度か押すことになり、これらの操作の途中で「セキュリティの警告」メッセージが表示されるが、ここでクリックしてしまうと不正にパソコンの設定を変えられてしまうことになる。設定が変更されてしまったことで、パソコンを起動するたびにデスクトップ上に登録完了画面が表示され、画面右上にある「×」ボタンをクリックして消しても、数秒、あるいは数分後には繰り返し画面が表示される。
これに対して、スマートフォンの場合は、「登録完了」と記載されたウェブページがウェブブラウザー上で表示されているだけで、パソコンのように設定が変更されたわけではなく、登録画面が勝手に繰り返し表示されることもない。ウェブブラウザーで当該ページを閉じることで再び表示されることはなくなる。
しかし、会員登録されたこと、料金が請求されたことに動揺し不安になり、表示されている［誤作動登録の方］、［退会希望の方］や［電話サポート］のボタンをタップして、業者にメールや電話で連絡してしまうユーザーがいるという。その結果、電話番号やメールアドレスが業者に知られてしまったことを不安に思う相談が多く寄せられている。
また、「重要　お客様登録ID」のように、まるでスマートフォン内の情報を取得したかのようなメッセージを表示する場合もある。どんな端末でも、ウェブサイトにアクセスすると、閲覧者のOSのバージョンやブラウザーの種類、IPアドレスなどがウェブサイト運営者にわかる仕組みになっているが、これらの情報を表示することで、あたかも個人情報を取得したかのように脅して金銭を振り込ませようとする手口だ。
しかし、IPアドレスがわかっただけでワンクリック請求業者が個人を特定することはできない。IPアドレスから個人を特定するためには、接続プロバイダーに開示請求を行わなければならないが、接続プロバイダーも正当な理由のない開示請求に応じることはないため、ワンクリック請求業者がそうした手続きを踏むことはない。慌てたユーザーが連絡してしまうことで、メールアドレスや電話番号などを知られてしまうことになるわけだ。
このため、IPAではスマートフォンでこうした情報が表示されても動揺して業者に連絡をしたり、金銭を振り込むことのないよう注意を喚起している。また、契約が成立したのか不安に思う場合は、最寄りの消費者センターやIPA情報セキュリティ相談窓口に連絡するよう呼びかけている。
IPA今月の呼びかけ　　「 登録完了画面が現れても、あわてないで！ 」 〜 スマートフォンでのワンクリック請求に注意！ 〜
http://www.ipa.go.jp/security/txt/2014/06outline.html
IPA情報セキュリティ安心相談窓口
http://www.ipa.go.jp/security/anshin/

CDNetworks、コンテンツアップロードサービスでの改ざん被害を公表
http://internet.watch.impress.co.jp/docs/news/20140603_651603.html    Impress Watch
株式会社シーディーネットワークス・ジャパン（CDNetworks）は3日、コンテンツデリバリーネットワーク（CDN）サービスのオプションサービスとして提供しているコンテンツのアップロードサービスの一部にセキュリティ侵害が発生したことを公表した。
CDNetworksでは、セキュリティ侵害はオプションサービスの一部において発生したもので、サービスを利用中の顧客においてごく限定的な範囲で影響を及ぼしたと説明。これにより、CDNetworksの顧客がアップロードしたコンテンツの一部が改ざんされたことが確認されたが、CDNサービス全体において被害が発生したものではないとしている。
CDNetworksのサービスを利用していた企業では、株式会社バッファローがCDNetworksに委託していたダウンロードサーバーでファイルの改ざんがあったことを公表している。この改ざんでは、配布していたバッファロー製品のドライバーやユーティリティなど一部のファイルに、オンラインバンキングのユーザーを狙うマルウェアが混入していたことが確認されている。
また、同種のマルウェアをユーザーに感染させようとするウェブサイトの改ざんは、ブログサービスの「JUGEM」や旅行会社のエイチ・アイ・エス（H.I.S.）など、複数の被害が5月後半に確認されている。
CDNetworksでは、被害の影響を受けた顧客の名前や、侵害の件数、時期、攻撃を受けた原因など詳細については明らかにしていない。
CDNetworksでは、被害の詳細な内容については、同社の顧客向けに改めて報告する予定で、現在は詳細な原因についての調査と中長期的な対策の準備を進めているため、最終的な報告を待ってほしいとしている。
プレスリリース　　セキュリティ侵害に関するお知らせ
http://www.cdnetworks.co.jp/pressrelease/2207/

開発者と連絡不能な脆弱性情報を公表可能に、IPAとJPCERT/CCガイドライン改定
http://internet.watch.impress.co.jp/docs/news/20140603_651508.html    Impress Watch
独立行政法人情報処理推進機構（IPA）と一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）は5月30日、脆弱性情報の取り扱いに関するガイドライン（情報セキュリティ早期警戒パートナーシップガイドライン）を改定した。これにより、脆弱性が発見された製品の開発者と連絡が取れない案件を「連絡不能案件」として、脆弱性を公表する運用を開始した。
脆弱性情報の取り扱いはガイドラインに基づき、IPAが発見者から脆弱性の届け出を受け付けるとともに、脆弱性を分析。JPCERT/CCが脆弱性対策情報を利用者に提供するため、製品開発者との交渉を行っている。
しかし、製品の開発者と連絡が取れない場合には、こうした交渉を始めることができないため、製品開発者と連絡が取れない脆弱性の届け出については「連絡不能開発者一覧」として、製品開発者名と製品情報を段階的にウェブで公表し、広く第三者からの情報提供を求める運用を2011年9月から実施してきた。
これまでに取り扱ったソフトウェアの脆弱性1788件のうち、製品開発者に連絡が取れなかったものは170件、うち連絡不能開発者一覧として公表したものが152件、情報公表により製品開発者と連絡が取れたものが21件あったという。
一方で、現在でも連絡が取れていないものが131件あり、脆弱性の対策が進まないまま放置された状態となっている。こうした状況を改善するため、ガイドラインの改定が行われた。
ガイドラインの改定により、連絡不能開発者一覧の公表などによっても製品開発者と連絡が取れない場合は、中立的な委員で構成した委員会での審議を経て、脆弱性情報の公表が可能となった。現時点ではガイドラインが改定された段階であり、今後、委員会での審議が行われた後、連絡不能案件の脆弱性情報が公表される運びとなる。
情報は、「調整不能」であったことを明示した上で、通常の調整を経た脆弱性と同様に、脆弱性情報ポータルサイトの「JVN」に掲載する。脆弱性情報には、脆弱性の内容、想定される影響、分析結果などの他、製品開発者の脆弱性検証の結果、その対応状況が含まれるが、「連絡不能案件」ではこの脆弱性情報に加え、IPAとJPCERT/CCの検証情報が付加される。
プレスリリース　　「情報セキュリティ早期警戒パートナーシップガイドライン」の2014年版を公開
http://www.ipa.go.jp/security/ciadr/partnership_guide.html





DellとQuantumのバックアップ機器にOSコマンドインジェクションの脆弱性（JVN）
http://scan.netsecurity.ne.jp/article/2014/06/03/34305.html    ScanNetSecurity
独立行政法人 情報処理推進機構（IPA）および一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）は6月2日、Dellが提供するモジュラー型のバックアップソリューション「PowerVault ML6000 シリーズ」およびQuantumが提供するライブラリー・プラットフォーム「Scalar i500」にOSコマンドインジェクションの脆弱性（CVE-2014-2959）が存在すると「Japan Vulnerability Notes（JVN）」で発表した。
「Dell ML6000 ファームウェア i8.2.0.2 (641G.GS103) より前のバージョン」およびQuantum Scalar i500 ファームウェア i8.2.2.1 (646G.GS002) より前のバージョン」には、OSコマンドインジェクションの脆弱性が存在する。この脆弱性が悪用されると、リモートの攻撃者にサーバ上で任意のOSコマンドを実行される可能性がある。JVNでは、開発者が提供する情報をもとに最新版にアップデートするよう呼びかけている。
JVN　　Dell ML6000 と Quantum Scalar i500 に OS コマンドインジェクションの脆弱性
http://jvn.jp/vu/JVNVU99779325/

58％の組織で平均10分に1回の割合でマルウェアをダウンロード（チェック・ポイント）
http://scan.netsecurity.ne.jp/article/2014/06/03/34304.html    ScanNetSecurity
チェック・ポイント・ソフトウェア・テクノロジーズ株式会社（チェック・ポイント）は6月3日、2013年に組織のネットワークを侵害する全世界を席巻した主要なセキュリティ脅威について解説した「チェック・ポイント セキュリティ・レポート2014年版」を発表した。本レポートはチェック・ポイントが有する各種機関とサービスの共同調査および122カ国の9,000以上のセキュリティ・ゲートウェイから、のべ200,000時間以上のネットワーク・トラフィックをモニターした調査と分析に基づいたもの。
レポートによると、マルウェアが年々飛躍的に増加しており、調査対象となった組織の84％でマルウェアを検出した。2012年には14％の組織が2時間に1回の割合でマルウェアをダウンロードしていたが、2013年は58％の組織で平均10分に1回となっている。また、2013年はより高度で巧妙、かつ耐性の高いマルウェアが出現しており、未知のマルウェアが埋め込まれた感染ファイルのダウンロードが2013年6月から12月の期間で1件以上発生していた組織は33％、感染ファイルの35％はPDFであることがわかった。その理由として、新手の難読化ツール「クリプター」により、マルウェア作成者はアンチマルウェア・ソフトウェアによる検出を免れるようになったことを挙げている。
チェック・ポイント　　　チェック・ポイント セキュリティ調査レポート -組織ネットワークへの新たな脅威となる未知のマルウェアが爆発的に増加
http://www.checkpoint.co.jp/pr/2014/20140603_2014_CheckPoint_Security_Report.html





2014年06月02日



バッファロー、配布ファイルの一部が不正改ざん、ウイルス感染の恐れ
http://internet.watch.impress.co.jp/docs/news/20140602_651306.html    Impress Watch
株式会社バッファローは2日、オンラインで配布していた同社製品のユーティリティやドライバーなどの一部ファイルが改ざんされていた件について、詳細な情報を公表した。該当するファイルをダウンロードしてインストールした場合、オンラインバンキングの利用者を狙うウイルスに感染した恐れがあるとして、ユーザーに対処を呼び掛けている。
改ざんファイルがダウンロードされた可能性があるのは、5月27日の6時16分〜13時。改ざんされていたファイルは以下の通り。
＜無線LAN製品＞
・エアナビゲータ２ライト Ver.1.60（ファイル名：airnavi2_160.exe）
・エアナビゲータライト Ver.13.30（ファイル名：airnavilite-1330.exe）
・エアナビゲータ Ver.12.72（ファイル名：airnavi-1272.exe）
・エアナビゲータ Ver.10.40（ファイル名：airnavi-1040.exe）
・エアナビゲータ Ver.10.30（ファイル名：airnavi-1030.exe）
・子機インストールCD Ver.1.60 (ファイル名：kokiinst-160.exe）
＜外付ハードディスク製品＞
・DriveNavigator for HD-CBU2 Ver.1.00 (ファイル名：drivenavi_cbu2_100.exe）
＜ネットワークハードディスク（NAS）製品＞
・LinkStationシリーズ ファームウェア アップデーターVer.1.68（ファイル名：ls_series-168.exe）
＜CPUアクセラレータ製品＞
・HP6キャッシュ コントロール ユーティリティ Ver.1.31（ファイル名：hp6v131.exe）
＜マウス付属Bluetoothアダプタ製品＞
・BSBT4D09BK・BSBT4PT02SBK・BSMBB09DSシリーズ（マウス付属USBアダプター）ドライバーVer.2.1.63.0（ファイル名：bsbt4d09bk_21630.exe）
感染するウイルスは、「Infostealer.Bankeiya.B」と呼ばれるもので、オンラインバンキングにアクセスすると、ログイン情報やID、パスワードなどが不正に取得され、最悪の場合、不正送金される恐れがある。
バッファローでは、感染の可能性のあるPCではオンラインバンキングへの接続を行わないことや、最新版のウイルス対策ソフトを実行し、ウイルスの駆除を行うこと、ウイルスの駆除後にオンラインバンキングのパスワードを変更することを呼び掛けている。確認しているウイルス対策ソフトのメーカーとしてはシマンテックとマカフィーを挙げており、これらのウイルス対策ソフトを持っていない場合や、対処方法が不明な場合にはフリーダイヤルによる専用窓口まで連絡してほしいとしている。
サーバー委託先のCDNetworksでファイル改ざん、ウイルスに感染
バッファローによると、ダウンロードサーバー委託先のCDNetworksにてファイルが改ざんされ、ウイルス感染が発生したとのことで、経緯については調査中だという。
5月27日10時ごろに、ダウンロードしたファイルを実行したところ、中国語のメッセージが表示されるという連絡がユーザーからサポート窓口宛にあり、ファイル改ざんを確認。サービスの停止を委託先に指示し、13時にダウンロードサイトを停止し、案内をサイトに掲載した。
シマンテックに検体を送付して解析を依頼したところ、ダウンロードされるウイルス本体はオンラインバンキングの情報を不正取得するものであることが判明。ログの解析からは、計856回のダウンロードがあったことを確認したという。
バッファローでは、全データのウイルス確認を開始するとともに、別事業者のサーバーへの移管を開始。5月31日22時30分にサービスを正式に再開している。
日本のオンラインバンキングを狙う「Infostealer.Bankeiya」、被害が頻発
今回感染が確認されたマルウェア「Infostealer.Bankeiya」は、日本のオンラインバンキングに特有の機密情報を監視して盗み取る点が特徴で、5月にはブログサービスの「JUGEM」、旅行会社のエイチ・アイ・エス（H.I.S.）、動画サイト「PANDORA.TV」などでも、同じマルウェアを感染させようとする攻撃が確認されている。
シマンテックによると、Infostealer.Bankeiyaは2月にInternet Explorerの脆弱性を悪用する攻撃で確認されており、5月のJUGEMやH.I.S.の改ざんではFlash Playerの脆弱性を悪用して、閲覧したユーザーに感染させようとしている。
一方、今回のバッファローへの攻撃では脆弱性の悪用ではなく、配布しているインストーラーを改ざんするという方法で感染の拡大を図っている。
インストーラーの改ざん方法は2通りあり、1つ目の方法では自己解凍形式のRARファイル「setup.exe」が、インストール処理中に悪質な.dllファイルを実行するように改ざんされていた。この.dllファイルは別の.dllファイルを投下するトロイの木馬であり、投下される.dllファイルがInfostealer.Bankeiya.Bをダウンロードしてインストールする。ファイルが改ざんされたため、デジタル署名証明書は破損しているるという。
もう1つの方法では、バッファローのインストーラーを含んだInfostealr.Bankeiya.Bが、正規のインストーラーであるかのように偽装されている。このため、インストーラーを実行すると、正規のドライバー用のsetup.exeファイルとともにトロイの木馬のコンポーネントも投下され、このコンポーネントが悪質な.dllファイルを投下し、それによってInfostealer.Bankeiya.Bのメインコンポーネントがダウンロードされる。侵害されたインストーラーを実行すると、中国語のWinRARユーザーインターフェイスが表示されるという。
バッファローダウンロードサイトのウイルス混入によるお詫びとご報告
http://buffalo.jp/support_s/20140602.html
これまでの経緯
http://buffalo.jp/support_s/20140602_2.html
シマンテック公式ブログの該当記事　　脆弱性を悪用しないマルウェア Bankeiya が日本のユーザーを狙う
http://www.symantec.com/connect/ja/blogs/bankeiya-malware-targets-users-japan-or-without-vulnerabilities

暗号化ソフト「TrueCrypt」の監査を予定通り実施 　〜数カ月後には報告書を公開、危険性についても解明の見通し
http://internet.watch.impress.co.jp/docs/news/20140602_651258.html    Impress Watch
暗号化ソフトTrueCrypt開発者たちが突然プロジェクトを中止したことに関連して、TrueCryptの監査プロジェクトOpenCryptoAuditは29日、予定通り監査を継続すると正式に発表した。
OpenCryptoAuditは昨年、すでに約7万ドルの資金をクラウドファンディングで集めていた。TrueCrypt中止騒動は監査の第2段階を計画している段階で発生してしまった。
しかし、OpenCryptoAuditプロジェクトは29日にTwitterで正式なコメントを発表。「私たちは約束通りにTrueCrypt7.1の暗号解析を継続し、数カ月程度で最終的な監査報告書を届けたいと考えている。我々は完全に再現可能なビルドで、適切なフリーライセンスの下でのフォークを支援する可能性などを含め、幾つかのシナリオを検討している。」と説明した。
TrueCryptの開発者たちが素性を明らかにしないこと、突然の中止発表には何らかの国家的圧力が関係しているのではないかとの臆測など、TrueCryptを使用することに不安が広がっているが、少なくとも数カ月後には「TrueCrypt7.1a」バージョンに関して、安全性に関する情報が提供されるようだ。
現在公式サイトで公開されているバージョン「TrueCrypt7.2」からは暗号化機能が削除され、複号化機能のみが搭載されている。このため、暗号化機能を備えた前バージョン「TrueCrypt7.1」をホスティングしているサイトが様々な場所に現れている。
これに関して、OpenCryptoAuditではマルウェアの危険性などがあることから注意を呼びかけている。そして過去のTrueCryptをアーカイブした信頼できるGithubリポジトリを紹介している。
なお、TrueCrypt開発者たちと連絡が取れたとの情報もある。TrueCrypt開発者たちが以前使用していたメールアドレスから返信があったというものだ。返信のあったTrueCrypt開発者は、「Windows上の暗号化ソフトを開発するという当初の目的を達成し、MicrosoftのBitLockerが十分にその目的を達成できることから興味を失い、プロジェクトを中止しただけで、何ら圧力はかかっていない」と説明しているという。しかし、この返信が開発者本人から来たものだという確認は取れていない。
TrueCryptを監査するOpenCryptoAuditプロジェクト　公式Twitterアカウント
https://twitter.com/OpenCryptoAuditTrueCrypt
アーカイブ
https://github.com/DrWhax/truecrypt-archive

流出したパスワードや個人情報をハッカーたちが1件約4300円で販売開始
http://gigazine.net/news/20140602-hacker-sell-personal-details-ebay/    GIGAZINE
アメリカのインターネットオークション最大手「eBay」から流出したパスワードなどの顧客情報を、ハッカーたちがサイバー犯罪者やオンライン詐欺師に向けて販売を開始したことが、イギリスの新聞「The Sun」の調査で判明しました。

Hackers 'Selling eBay Logins Online'
http://www.ibtimes.co.uk/hackers-selling-ebay-logins-online-1450784

eBayは、2014年5月21日にデータベースがサーバー攻撃を受け、パスワード・メールアドレス・住所・電話番号・生年月日などの顧客情報が流出したことを発表し、ユーザーにパスワードを変更するよう要請しています。
The Sun on Sundayが流出した情報について調査を進めたところ、ハッカーたちがUK版eBayから流出したパスワードやユーザーネームを含む顧客情報をサイバー犯罪者やオンライン詐欺師向けに販売していることが判明。eBayには出品者や購入者に対してフィードバックで評価するシステムがあり、ユーザーはフィードバックを確認してから、出品者や購入者が信用できるかどうか、判断することが可能になっています。そのフィードバック評価が高いユーザー1000人分のアカウント情報を、ハッカーたちは1件につき24.93ポンド(約4300円)で販売しているというわけです。
また、別のハッカーは流出したパスワードなどのログイン情報をまとめて2100ポンド(約36万円)で販売しているとのこと。eBay全体から流出したアカウント情報は全部で2億3300万件で、そのうちイギリス版UKのアカウントは1800万件となっています。
The Sun on Sundayによると、イギリス在住のeBayユーザーPeter Ousさんは、スクーターのベスパをフィードバック評価の高い出品者から1800ポンド(約31万円)で購入。出品者に対する購入者からのフィードバックを過去数年分チェックして、購入者が詐欺を行なうような人物でないことを確認してから購入したOusさんでしたが、いまだに商品を受け取っておらず、購入者からも何の連絡もきていないそうです。
なお、イギリス・アメリカ・ヨーロッパの個人情報監督機関が、2億3300万件もの顧客情報を流出させたことについてeBayを調査中で、結果次第では法的措置がとられる可能性もあります。

新たな「真犯人」メール、片山被告は関与否定　弁護人は「いたずら」との見方
http://www.itmedia.co.jp/news/articles/1406/02/news086.html    ITmedia
再び送信された「真犯人」からのメールについて、片山被告は関与を否定し、弁護人は「いたずら」との見方を示した。
遠隔操作ウイルス事件で、6月1日未明に送信された
「真犯人」からのメールについて、
http://www.itmedia.co.jp/news/articles/1406/01/news008.html　：　遠隔操作ウイルス事件「真犯人」メールが再び届く　「早く片山さんに伝えて楽にしてあげてください」
片山祐輔被告は関与を否定しているという。弁護人の佐藤博史弁護士も、何者かが真犯人を装った「いたずら」との見方を示した。
メールは6月1日午前0時過ぎに報道機関などに送信され、片山被告に対し指示を送ってメールを送信させた、などと述べていた。
事件では、威力業務妨害などの罪に問われた片山祐輔被告が先月、保釈中に真犯人を装ったメールを送信したスマートフォンを河川敷に埋める様子が捜査関係者に見つかるなどしたため、
一転して起訴内容を全て認めている。
http://www.itmedia.co.jp/news/articles/1405/22/news127.html　；　片山被告、起訴内容全て認める　弁護士「悪魔が仮面をかぶっていた」
各社の報道によると、佐藤弁護士は2日、片山被告と接見した際、片山被告がメールについて関与を否定したことを明らかにした。タイマー送信や送信依頼なども否定したという。佐藤弁護士は一連の犯行は片山被告による単独犯だとし、今回のメールは何者かのいたずらによるものとの見方を示している。




片山被告、未解明の手口明かす　「捜査で見つかっていないサーバがある」
http://www.itmedia.co.jp/news/articles/1406/02/news044.html    ITmedia
遠隔操作ウイルス事件の公判で片山被告は「捜査で見つかっていないサーバがある」などと明かした。
4人が誤認逮捕された遠隔操作ウイルス事件で、威力業務妨害やハイジャック防止法違反などの罪に問われ、無罪主張を全面撤回したIT関連会社元社員、片山祐輔被告（32）の第10回公判が30日、東京地裁（大野勝則裁判長）で開かれた。未解明になっている遠隔操作の手口について、片山被告は「捜査で見つかっていないサーバー（記憶媒体）がある」「（プログラムを）2回読み込むよう工夫した」ことを明らかにした。
片山被告はこうしたプログラムについて、「2、3日かけて自宅で作り、会社のパソコンから送信した」とも述べた。
この日は、横浜市のホームページに小学校の襲撃予告が書き込まれた事件で、遠隔操作されたパソコンなどを解析した民間技術者が証言。手口については「どんな処理がされたのか分からない」と述べた。
片山被告は被告人質問で、「捜査で見つかっていないサーバーがある。そこから遠隔操作プログラムをダウンロードさせた後、無害なプログラムを再度ダウンロードさせて上書きし、プログラムが見つからないようにした」と証言した。
閉廷後、東京・霞が関の司法記者クラブで会見した佐藤博史弁護士は「犯人しか知り得ない秘密の暴露。横浜の事件について片山被告は『腕試しだった』と言っていた」と話した。




H.I.Sなど3サイト改ざん　閲覧者がマルウェア感染の恐れ
http://www.itmedia.co.jp/news/articles/1406/02/news068.html    ITmedia
旅行代理店H.I.Sのサイトとブログサービス「JUGEM」、動画サイト「pandora.tv」が改ざんされ、閲覧者がマルウェアに感染していた恐れがあることが分かった。
旅行代理店H.I.Sの公式サイトと、GMOペパボが運営するブログサービス「JUGEM」、動画サイト「pandora.tv」が改ざんされ、閲覧者がマルウェアに感染していた恐れがあることが分かった。
シマンテックによると、3サイトは5月30日までにFlash Playerの脆弱性を悪用した攻撃を受け、Flash Playerを最新版に更新していないユーザーが、銀行口座情報を盗み取るマルウェアに感染した恐れがあるという。
H.I.Sは5月24日〜26日にかけ、閲覧時にウイルス対策ソフトの警告が表示されていたと発表。原因は、サイトに埋め込んでいたJavaScriptを配信する外部サービス（リクルートマーケティングパートナーズが運営）で、サーバ上のファイルが改ざんされていたこと。閲覧者にマルウェア感染のリスクがあったとし、ウイルスチェックを呼びかけている。
GMOペパボは、JUGEMのほか「ロリポプログ」「グーペブログ」などで24日〜28日にかけ、外部サービスで配信していた公式ファイルが改ざんされ、閲覧者のPCにマルウェアがダウンロードされた可能性があると発表。ウイルスチェックを呼びかけている。
pandora.tvは告知を行っていない。
シマンテックによると、悪用されたのは、米Adobe Systemsが4月28日の緊急セキュリティアップデートで対処したバッファオーバーフローの脆弱性。この脆弱性を悪用する攻撃の90％以上が日本のユーザーを標的にしているという。
シマンテックブログの該当記事　　Adobe Flash の脆弱性を悪用して日本のユーザーの銀行口座情報を狙う攻撃
http://www.symantec.com/connect/ja/blogs/adobe-flash-2
H.I.Sの告知　　弊社 WEB サイトにおける、ウルス対策ソフの警告表示ついて
http://www.his-j.com/info/20140530_v01.pdf
JUGEMの告知　　お客様の安全のため、対応と注意喚起のご協力をお願いいたします。
http://manual.jugem.jp/?eid=73&_ga=1.231302939.504506185.1401663822





「楽天ダウンロード」で身に覚えのない「ドラクエX」購入被害　楽天は情報流出を否定
http://www.itmedia.co.jp/news/articles/1406/02/news107.html    ITmedia
「楽天ダウンロード」で、身に覚えがないのに「ドラクエX」がダウンロード購入されていたというユーザーからの報告が相次いでいる。楽天は情報流出を否定し、被害にあったユーザーに対して、カード会社に連絡するよう案内している。
PCソフトなどのダウンロード販売サービス「楽天ダウンロード」で、身に覚えがないのに、ゲーム「ドラゴンクエストX」がダウンロード購入されていたというユーザーからの報告が相次いでいる。楽天は、他社から流出したパスワードなどを使った不正購入とみており、被害にあったユーザーに対して、カード会社に連絡するよう案内している。
楽天によると、被害に関する問い合わせが届き始めたのは昨年秋ごろから。被害の件数は明らかにしていない。
ユーザーからの被害報告によると、身に覚えがないのに、「【楽天ダウンロード】購入確認のご確認」というメールが届き、ドラクエXがダウンロード購入されていたという。複数本ダウンロードされたという報告もあった。楽天ダウンロードの利用経験がなくても、カード情報を登録した楽天のIDを持っていて被害にあった人もいた。
楽天は、同社からのIDやパスワード、カード情報の漏えいはないとしており、他社から流出した情報などを悪用した不正購入とみている。
楽天ダウンロードのドラクエXの販売ページでは、カード会社が提供する本人認証サービス「3Dセキュア」を導入しており、3Dセキュアを使った決済で不正購入があった場合は、カード会社が被害を補償するルールになっているという。このため、楽天は「当社では対応できない」とし、被害にあったユーザーに対して、カード会社に連絡するよう案内している。
同社は、「不正ログインをモニタリングするなど被害の防止に努力しているが、ID・パスワードの管理はユーザーの責任」と話し、他社サービスと同じID、パスワードを利用しないよう呼びかけている。また、ログインのたびにメールを送信するサービスや、ログイン履歴確認サービスを利用し、不正なログインをチェックしてほしいとしている。
楽天ダウンロード
http://dl.rakuten.co.jp/
楽天ダウンロードで不正ログイン（被害にあったユーザーのブログ）楽天ダウンロードで不正ログイン ドラゴンクエストX　目覚めし五つの種族　オンライン　／　販売元：株式会社スクウェア・エニックス 
http://taamemo.blogspot.jp/2014/03/x.html
楽天ダウンロード　不正アクセス＆購入被害発生（被害にあったユーザーのブログ）楽天ダウンロード　不正アクセス＆購入被害発生
http://n-hokkaido.com/10646.html
Yahoo！知恵袋での被害報告　　楽天ダウンロードというサイトから、ゲームの購入完了のお知らせが来ました。楽天...
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q10119652935





進化する「やり取り型」攻撃、相手に合わせて攻撃手口を変化（IPA）
http://scan.netsecurity.ne.jp/article/2014/06/02/34291.html    ScanNetSecurity
独立行政法人 情報処理推進機構（IPA）は5月30日、サイバー情報共有イニシアティブ（J-CSIP）2013年度の活動レポートを公開した。標的型攻撃の防御に向けた産業界との情報共有の枠組みであるJ-CSIPにおいて、参加組織から得られた情報の集積・共有を通じ、メールのやり取りの後で攻撃メールを送信してくる手口（「やり取り型」攻撃）の実態を明らかにしているほか、情報共有の運用状況、2013年度に扱った標的型メールの分析を行っている。
「やりとり型」攻撃の事例では、複数の組織のさまざまな問い合わせ窓口に対して、“製品に関する問い合わせ”“窓口の確認”といった「偵察メール」が送りつけられていた。また、短期間（約2週間）で5つの組織へ次々と攻撃が仕掛けられていたり、4分間で異なる3つの窓口に並行して「偵察メール」が送信されたりしたケースもあった。「偵察メール」に対して組織から回答を行った場合、攻撃者から11分〜15分など短時間で「ウイルス付きメール」が返信されてきていた。
さらに、攻撃者から送付された添付ファイル（ウイルスを圧縮したファイル）が解凍できなかったため、組織より“開封できない”旨を回答したところ、13分後に“使用している解凍ソフトをたずねる”攻撃者からの返信があった。その後、使用している解凍ソフトについて回答すると、51分後に、そのソフトで解凍可能なファイルが再送されてきたケースもあった。レポートでは攻撃の考察として、攻撃者は日本語で会話し、話題に合った形で仕掛けをした添付ファイルを送る能力を持つ。状況に応じて攻撃手口を変化させることができ、また、攻撃を通して学習し、さらに巧妙化することもあるとしている。
IPA　　プレス発表　サイバー情報共有イニシアティブ（J-CSIP）2013年度　活動レポートの公開
http://www.ipa.go.jp/about/press/20140530.html




2014年06月01日




遠隔操作ウイルス事件「真犯人」メールが再び届く　「早く片山さんに伝えて楽にしてあげてください」
http://www.itmedia.co.jp/news/articles/1406/01/news008.html    ITmedia
遠隔操作ウイルス事件の「真犯人」を名乗るメールが再び届いた。「片山さんに自作自演を指示し無実を一転させるよう仕向けたのはこの私」と、片山被告が犯行を認めたのを受けた内容になっている。
遠隔操作ウイルス事件の「真犯人」を名乗るメールが6月1日午前0時過ぎ、報道関係者などに届いた。「今回片山さんに自作自演を指示し無実を一転させるよう仕向けたのはこの私です」と、事件で起訴された片山祐輔被告が犯行を全面的に認めたことを受けた内容になっている。片山被告が先月送信したメールは「真犯人」の指示に基づいて送信されたものだ、という。
遠隔操作ウイルス事件では4人が誤認逮捕され、威力業務妨害などの罪に問われた片山祐輔被告が無罪を主張していたが、先月、保釈中に真犯人を装ったメールを送信したスマートフォンを河川敷に埋める様子が捜査関係者に見つかるなどしたため、一転して起訴内容を全て認めている
新たに届いたメールは、片山被告が送り主からの指示を受けて先月のメールを送信した、と説明する内容になっている。真偽は不明だ。
「片山さんに自作自演を指示し無実を一転させるよう仕向けたのはこの私」
新たなメールは1日午前0時過ぎ、ITmedia契約ライターや落合洋司弁護士らに届いた。宛先はこれまでのメールと同じとみられる。差出人は「安部銃蔵」を名乗り、メールアドレスは「onigoroshijuzo11111011110」アカウントによるフリーメールだった。
メールは「毎度忘れた頃に現れる真犯人でーす　といってこの事件が忘れられた頃にでも現れようかと思っていたのですが　これ以上片山さんを苦しめるのはさすがに気の毒なので特別にお知らせします」と始まり、「今回片山さんに自作自演を指示し無実を一転させるよう仕向けたのはこの私です」と述べている。
片山被告に対しては、プライバシー情報を入手することで「従わなければ今まで入手したプライバシー情報を全て拡散する」と脅したのだという。片山被告が犯行を認めるきっかけになった先月のメールは「片山氏が保釈後に尾行されているということも当然わかっていたので、これも利用されてもらいました。あえて見晴らしの良い場所を彼自身に選択させました。彼は河川敷を選んだようですが、なかなかグッドなチョイスでした」という。
「その後は適当に逃げて捕まったら自分が真犯人かのように振る舞い無実を一転させ有罪、というシナリオです」と、メールの送り主が“黒幕”であることを告白する内容だ。
片山被告への指示は、具体的には専用のURLを「代行業者」を介して片山被告に伝えることで行ったという。「指示内容とメール文はネット上に載せておきました。当然ですが既に削除済みです。指示文は保存禁止にし、メール用の文章のみ彼の端末にコピペさせました」。「URLは記憶に残りにくいものにしたのでまず覚えていないでしょう。もちろん海外のサーバーです」「痕跡が残っているはずはありませんが、でもまあ頑張っていろいろ解析してみてください。何か手がかりが掴めるかもしれませんよ＾＾」という。
「今回片山さんはよく頑張ってくれました」「それにしても世間の皆さんひどい手のひらの返しようでしたねぇ。まったくヒドイ世の中ですねー」とした上で、「この遠隔操作事件というゲームは5人目で締めくくろうと思っていますが、今後、警察・検察の行いによってはまた新たな被害者が出るかもしれないのでくれぐれも注意してくださいね」「もし以上の事を刑務所に入る前に少しでも話してしまったら、片山さんのプライバシー情報全て流出させるように脅してあります。でももういいです。終わりです。早く片山さんに伝えて楽にしてあげてください」と記されている。
また「この前、2ちゃんねるにウイルスを貼ったら踏み台がたくさん集まりました。なのでまたいつでもゲームを始めることも可能です」と、2ちゃんねる「ニュース速報（嫌儲）」のスレッドIDを示している。このスレッドでは4月末、マルウェアへのリンクが投稿され、ユーザーが感染する騒ぎがあったことが報告されている。






2014年05月31日




悪質なコードをホストする侵害された正規のWebサイト名を公表(シマンテック)
http://scan.netsecurity.ne.jp/article/2014/05/31/34287.html    ScanNetSecurity
Flash脆弱性利用のオンライン銀行詐欺、94％が日本を標的に
シマンテックは30日、「Adobe Flash Player」に存在するバッファオーバーフローの脆弱性（CVE-2014-0515）を悪用する攻撃について、最新状況をまとめた内容を発表した。
4月時点で「CVE-2014-0515」は、特定の組織や業界を狙った“水飲み場型攻撃”で悪用されており、Adobe社もパッチをリリースしている。一方で、5月中旬より、この脆弱性を悪用した攻撃が、少しずつ増加しているという。攻撃は大規模な範囲で行われており、94％が日本を標的としていることも判明している。
攻撃は主にドライブバイダウンロードによって実行され、悪質なコードをホストする、侵害された正規のWebサイトが利用されている。日本での攻撃を引き起こすように侵害されたWebサイトとしては、「his-j.com（旅行代理店）」「jugem.jp（ブログサービス）」「pandora.tv（動画共有サービス）」をシマンテックはあげている。
こういったWebサイトから、攻撃者が用意した悪質なサイト（IPアドレス1.234.35.42）にリダイレクトされると、CVE-2014-0515の悪用を試みる悪質なコードが読み込まれる仕組みとなっている。古いバージョンのソフトウェアがコンピュータにインストールされている場合、この攻撃により一連の悪質なファイルが実行され、最終的に、マルウェアが銀行口座情報を盗み取ることとなる。シマンテックでは、Flashを最新版にアップデートすることを推奨している。
Security Response　　Adobe Flash の脆弱性を悪用して日本のユーザーの銀行口座情報を狙う攻撃
http://www.symantec.com/connect/blogs/adobe-flash-2






Google、「忘れられる権利」対応の削除リクエストフォームをEUユーザー向けに公開
http://www.itmedia.co.jp/news/articles/1405/31/news012.html    ITmedia
Googleは欧州司法裁判所による5月13日の裁定を受け、個人が「不適切な、無関係あるいは既に無関係になっている、過度な」情報のURLをGoogleの検索結果から削除するようリクエストするためのフォームを欧州のユーザー向けに公開した。
米Googleは5月29日（現地時間）、13日の欧州司法裁判所の裁定を受け、欧州版Google検索での検索結果の削除をリクエストするフォームを公開した。
欧州司法裁判所はこの裁定で、Googleのような検索エンジンオペレーターは第三者のWebページに表示される個人情報へのリンクの処理に関して責任があると判断した。検索エンジン企業は一般人から要請があった場合、「不適切な、無関係あるいは既に無関係になっている、過度な」データを検索結果から削除しなければならないとしている。欧州連合が2012年に提出した個人データ保護に関する法案で提示している「忘れられる権利」を認めたものだ。
米Financial Timesの30日の記事でラリー・ペイジCEOは、この裁定後、Googleは既に数千件のデータ削除リクエストを受け取ったと語った。
フォームによるリクエストは既に可能になっているが、Googleはこの取り組みはまだ初期段階であり、関連するデータ保護機関と協力して数カ月かけて改善していくとしている。フォームでは国名を選び、個人名、連絡先のメールアドレス、削除を希望するURL、削除を希望する理由を入力する。また、個人を証明できる文書（運転免許証など）の写真画像（ID番号分はマスキング可）を添付する必要がある。配偶者や弁護士などであれば、本人以外でもリクエストできる。
Googleは受け取った各リクエストについて、個人のプライバシーの権利と公共の知る権利とのバランスを考慮して査定し、必要と判断すれば削除する。査定の段階で、リクエストは関連するデータ保護機関に転送される。また、URLを削除した場合、そのURLのパブリッシャーにリクエストに基いて削除したと連絡する。
Googleは従来、削除ポリシー
https://support.google.com/websearch/answer/2744324　：　削除ポリシー
に基いて児童ポルノなどの不適切な画像はリクエストがなくても削除しており、個人情報については銀行口座番号などの重要なものについてはリクエストを受けて削除している。
リクエストフォーマット　　　Search removal request under European Data Protection law
https://support.google.com/legal/contact/lr_eudpa?product=websearch&hl=ja





2014年05月30日

グーグルが不適切なリンク削除に向け始動、「忘れられる権利」判決受け
http://jp.reuters.com/article/technologyNews/idJPKBN0EA0GJ20140530    REUTERS
［29日　ロイター］ - インターネット検索大手の米グーグルは、検索結果から好ましくない個人情報の削除を求めることができるサービスを欧州で開始した。欧州連合（ＥＵ）司法裁判所が、個人の「忘れられる権利」を認め、同社に対して不適切なリンクの削除を命じていたことに対応した。
グーグルは29日、個人がリンクの削除をリクエストできるウェブ上のフォームを立ち上げたと明らかにした。ただ、基準を満たしたリンクをいつ削除するかについては言及しなかった。
同社はまた、見込まれる大量の削除依頼への対応に向け長期的な方策を策定するため、社内上級幹部と独立した専門家による委員会を設置したことを明らかにした。
ウェブ上のフォームには「この決定を実行する上で、われわれは各個人の要求を精査し、個人が持つプライバシーの権利と国民の知る権利の間でバランスを取ることに尽力する」とある。
グーグルは、リンクの削除にあたり、当該個人に関する情報が古くなっているかどうかに加え、専門職の違法行為や刑事上の有罪判決など公共の利益にかかわる情報がどうかなどについても考慮するとしている。

＜大手薬局偽サイト＞厚労省が閉鎖…注意呼びかけ
http://headlines.yahoo.co.jp/hl?a=20140530-00000101-mai-soci    毎日新聞
大手ドラッグストアチェーンのホームページ（HP）をまねた偽サイトが見つかり、厚生労働省が閉鎖させていたことが分かった。業界団体によると、大手チェーンの偽サイトが確認されたのは初めて。一般用医薬品のインターネット販売が6月12日に解禁されるが、同省は不正サイトに注意するよう呼びかけている。
偽サイトの被害に遭ったのは、関西を中心に３２７店舗を展開する「キリン堂」（大阪市）。同社や厚労省によると、偽サイトは同社HPとそっくりで、ネットを通じた商品購入に閲覧者を誘導していた。約160社が加盟する日本チェーンドラッグストア協会によると、加盟社の偽サイトが確認されたのは初めて。偽サイトには同協会が認定する「優良店」のロゴマークも張り付けられていた。
ただ、会社の所在地が石川県であることや、代金振込先の口座の名義が外国人のような名前であることが本物のサイトの表示と異なり、不審に思った閲覧者からの連絡で今月15日に発覚した。
厚労省は無許可販売業者と判断し、プロバイダーに要請して27日にサイトを閉鎖。キリン堂も商標を違法に使われたとして不正競争防止法違反容疑で大阪府警に被害届を出す方針だ。

eBayに新たな脆弱性発覚。アカウント乗っ取りが可能に
http://www.gizmodo.jp/2014/05/ebay_10.html    ギズモード
個人情報流出に引き続き、eBayの対応がイマイチ。
つい先日大量の個人情報流出が発覚したばかりのeBayですが、
http://www.gizmodo.jp/2014/05/ebay_9.html　：　eBayのパスワード変更を！ 大規模攻撃で個人情報流出　2014.05.23
また新たな脆弱性が発見されてしまいました。暗号化されたパスワードや氏名、生年月日、住所などがダダ漏れした前回に比べればまだライトなのですが、放置しておけばまた被害が出る可能性もあります。
今回わかった脆弱性は、eBayが他のサイトから受け取るコード、たとえばJavascriptの処理の問題です。eBayのページには出品者が比較的自由に情報表示できるのですが、その仕組みに穴があるんです。
発見者である英国の19歳の大学生、ジョーダン・リー・ジョーンズさんによれば、ハッカーがこの脆弱性を利用すれば不正なコードを含むページを間に入れることができてしまいます。そしてそこからeBayユーザーのクッキー情報を盗みとって、アカウントを乗っ取ることができてしまうんです。
ジョーンズさんは5月23日時点でこの脆弱性についてeBayに報告していましたが、eBayからは返信がありませんでした。そのため彼は週明け5月26日、自身のブログにこの情報を公開しました。「eBayは自分のサイトについて、すべて完ぺきに把握してるべきなんです。」彼はPC Worldに対し語りました。少なくともeBayは、ジョーンズさんのような善意のハッカーを無視すべきではないでしょう。
で、この脆弱性についてユーザー側で何ができるかというと、残念ながら何ともしようがありません。動くべきなのはeBayで、サイト上のコードを修正する必要があります。
ちなみにセキュリティ研究者によれば、
米国人の50％が過去12ヵ月間にハックされた経験があるそうです。
http://money.cnn.com/2014/05/28/technology/security/hack-data-breach/index.html?section=money_technology　：　Half of American adults hacked this year
なのでこの種の事態には、もう慣れるしかないのかもしれません。





日本に集中するFlash Player脆弱性の悪用攻撃、対策はパッチ適用
http://www.itmedia.co.jp/enterprise/articles/1405/30/news103.html    ITmedia
Flash Playerの既知の脆弱性を突く攻撃が5月中旬から日本で急増し、銀行口座の情報を盗み取るマルウェアに感染する恐れがある。
シマンテックは5月30日、Adobe Flash Playerの脆弱性を悪用する攻撃が日本に集中していると、注意を呼び掛けた。複数の日本語サイトが攻撃の踏み台にされ、閲覧者のコンピュータで脆弱性が悪用されると、銀行口座情報を盗むマルウェアに感染する可能性がある。
この攻撃では、米Adobe Systemsが4月28日公開の緊急パッチで対処したバッファオーバーフローの脆弱性（CVE-2014-0515）が悪用されている。
http://www.itmedia.co.jp/enterprise/articles/1404/30/news034.html　：　Windowsを標的に、Flash Playerの脆弱性を悪用する攻撃が横行しているという。なお、IEに発覚した未解決の脆弱性とは無関係。
同社の観測によると、攻撃の94％が日本を標的にしており、5月24日から27日にかけては毎日数千件の攻撃が確認された。
悪用される脆弱性は、当社は特定の組織を狙う攻撃に使われたが、現在は幅広いインターネットユーザーを狙う攻撃に使われているという。
日本に対する攻撃は、主に「ドライブバイダウンロード」によって実行される。複数の日本語サイトが不正に改ざんされ、閲覧者を悪質サイトに誘導。悪質サイトから脆弱性を悪用するコードが閲覧者のコンピュータに送り込まれ、銀行口座の情報を盗み取るマルウェア「Infostealer.Bankeiya.B」（シマンテック製品での検出名）に感染する恐れがある。
シマンテックによると、改ざんされたWebサイトは「his-jp.com」「jugem.jp」「pandora.tv」で、この他にGMOグループの「JUGEM」レンタルサービスを使用しているブログサイトも影響を受けたとしている。
Flash Playerの最新版ではこの脆弱性が解決されており、シマンテックは「最新版に更新し、アプリケーションだけでなく、Webブラウザのプラグインにもパッチを適用すべき」とアドバイスしている。
シマンテック　　Adobe Flash の脆弱性を悪用して日本のユーザーの銀行口座情報を狙う攻撃
http://www.symantec.com/connect/ja/blogs/adobe-flash-2






Flash脆弱性利用のオンライン銀行詐欺、94％が日本を標的に
http://www.rbbtoday.com/article/2014/05/30/120335.html　  RBB TODAY
シマンテックは30日、「Adobe Flash Player」に存在するバッファオーバーフローの脆弱性（CVE-2014-0515）を悪用する攻撃について、最新状況をまとめた内容を発表した。
4月時点で「CVE-2014-0515」は、特定の組織や業界を狙った“水飲み場型攻撃”で悪用されており、Adobe社もパッチをリリースしている。一方で、5月中旬より、この脆弱性を悪用した攻撃が、少しずつ増加しているという。攻撃は大規模な範囲で行われており、94％が日本を標的としていることも判明している。
攻撃は主にドライブバイダウンロードによって実行され、悪質なコードをホストする、侵害された正規のWebサイトが利用されている。日本での攻撃を引き起こすように侵害されたWebサイトとしては、「his-j.com（旅行代理店）」「jugem.jp（ブログサービス）」「pandora.tv（動画共有サービス）」をシマンテックはあげている。
こういったWebサイトから、攻撃者が用意した悪質なサイト（IPアドレス1.234.35.42）にリダイレクトされると、CVE-2014-0515の悪用を試みる悪質なコードが読み込まれる仕組みとなっている。古いバージョンのソフトウェアがコンピュータにインストールされている場合、この攻撃により一連の悪質なファイルが実行され、最終的に、マルウェアが銀行口座情報を盗み取ることとなる。シマンテックでは、Flashを最新版にアップデートすることを推奨している。

暗号化ツールTrueCryptに突然の終了宣言、「セキュリティ問題」を警告
http://www.itmedia.co.jp/enterprise/articles/1405/30/news041.html    ITmedia
「TrueCryptの使用は安全ではない。未解決のセキュリティ問題がある」という突然の警告があった。事実関係は分かっていない。
ファイルやフォルダ暗号化の定番ツールとして普及していたオープンソースソフトウェア「TrueCrypt」のダウンロードページに突然、「TrueCryptの使用は安全ではない。未解決のセキュリティ問題がある」という警告が表示された。この通告の理由や真偽を巡り、ネットは騒然となっている。
この告知はSourceforge（英語版）上のTrueCryptダウンロードページに5月28〜29日ごろに掲載され、次のように続けている。
「TrueCryptの開発は、MicrosoftがWindows XPのサポートを打ち切ったことを受け、2014年5月で終了した。Windows 8/7/Vista以降には暗号化ディスクと仮想ディスクイメージのサポートが組み込まれている。そうしたサポートは他のプラットフォームでも利用できる。TrueCryptで暗号化されたデータは、あなたのプラットフォームでサポートされた暗号化ディスクや仮想ディスクイメージに移行する必要がある」
同ページではさらに、MicrosoftのBitlockerに移行する方法を紹介するとともに、「TrueCrypt 7.2」のダウンロード用リンクも警告付きで掲載された。TrueCrypt 7.2は別の製品への移行を支援するために、TrueCryptで実装された暗号を解除する機能しか持たないようだと伝えられている。
突然の警告を巡ってネット上では、何者かがTrueCryptのページを改ざんしたのではないかとのうわさも飛び交った。しかしSANS Internet Storm Centerによれば、TrueCrypt 7.2はTrueCryptの正規の署名鍵で署名され、PGP署名も正規のものと思われるという。TrueCryptに直接かかわる関係者の発言は伝えられていない。
Truecryptでは最近、国家安全保障局（NSA）によるネット監視の実態が発覚したことを受け、コードにバックドアが仕込まれていないかどうかなどをチェックするコミュニティ監査が行われていた。しかし、これまでのところ、特に重大な問題は見つからなかったと報告されている。
SANSではユーザーが現時点でできることとして、TrueCryptで暗号化したオフラインメディアにアクセスする必要が生じた場合に備えて機能する直近のバージョンをCDに記録したうえで、代替のツール（WindowsではBitlocker、OS XではFileVault、LinuxではLUKS）を探すよう助言している。
SANS Internet Storm Center　　　True Crypt Compromised / Removed ?
https://isc.sans.edu/forums/diary/True+Crypt+Compromised+Removed+/18177

暗号化ソフトTrueCryptは「安全ではない」 〜匿名開発者が突然プロジェクトを中止
http://internet.watch.impress.co.jp/docs/news/20140530_651011.html    Impress Watch
オープンソースのディスク暗号化ソフト「TrueCrypt」ウェブサイトに28日頃から奇妙なメッセージが表示されるようになった。セキュリティー専門家たちの分析により、このメッセージは開発者本人によるものと推定された。その結果、TrueCryptの開発は実質的に中止されることになったと考えられている。理由は不明だ。
TrueCryptは米国国家安全保障局NSAのエドワード・スノーデン氏のリーク事件に伴い、内部告発者やジャーナリストたちが利用し、信頼しているソフトとして一般にも広く知られるようになった。
28日頃に、「truecrypt.org」ウェブサイトが急にプロジェクトをホスティングしているsourceforge.netのページに転送されるようになった。
転送先のページには以下のメッセージと、Windowsユーザーに対してMicrosoftの暗号化ソフトであるBitLockerに移行するよう勧める手順書が書かれている。
「警告：修復されていないセキュリティ上の問題が含まれている可能性があるため、TrueCryptの使用は安全ではない。このページは、TrueCryptにより暗号化された既存データ移行を助けるためだけに存在している。」
「TrueCryptの開発は、MicrosoftがWindows XPのサポートを終了した2014年5月の後に終了した。Windows Vista/7/8/8.1では、暗号化ディスクと仮想ディスクイメージが統合的にサポートされている。こうした統合化サポートは、他のプラットフォームでも使用することができる。TrueCryptで暗号化されたすべてのデータは、暗号化されたディスクや使用しているプラットフォームでサポートされる仮想ディスクイメージに移行する必要がある。」
当初、これはハッキング被害かと考えられた。しかし、専門家たちによるホスティング履歴やDNSレコード等様々な解析の結果、TrueCrypt開発者自身による行動であり、ハッキング被害ではないと確信されるようになった。
特に、現在ホスティングされている最新版TrueCryptのデジタル署名が正当であることも、この考えを追認している。そしてこの最新バージョン（バージョン7.2）では、暗号化機能は削除されており、解読機能しか提供されていない。
そのため、TrueCryptプロジェクトは「正式」に終了したと考えられる。TrueCryptの開発たちは、これまで素性を明らかにしたことはなかった。現在もその素性は明らかになっていない。
TrueCryptについては、昨年米国ジョンズホプキンス大学の暗号学専門家であるMatthew D. Green教授がクラウドファンディングにより、TrueCryptの安全性を監査するプロジェクト「OpenCryptAudit」を発足。多くの寄附が集まり、TrueCrypt公開以来初めての初めての監査が行われていた。この第一段階の監査結果は今年4月に公開され、TrueCryptのブートローダーとカーネル部分に大きなバグは含まれていないことが明らかになっていた。この報告書はPDFファイルとして公開されている。
こうした作業を進めるなかで、Green氏はTrueCrypt開発者へメールでの接触を試みたが、失敗したという。現時点でTrueCrypt開発中止の動機は全く不明だ。
突然の開発中止には、様々な理由が臆測されている。政府機関によるバックドア組み込みの圧力、TrueCrypt開発たちの身元暴露の危険、今後行われる予定だった第ニ段階監査の影響等が主な内容だ。しかしいずれも根拠は示されていない。
TrueCryptユーザーができることに関して、今のところ統一的な見解はなさそうだ。ただ、このような問題に発展したことを考えれば、安心して使えそうにないと考えるのは妥当に思える。
ハードディスク暗号化ソフトとして利用できる他の選択肢として、MicrosoftのBitLockerのほか、Mac OS X環境ではFileVaultなどが利用可能だ。ただTrueCryptのようにマルチプラットフォームな暗号化ソフトではない。
TrueCryptのSourceforge.netページ（英文）　　WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues
http://truecrypt.sourceforge.net/
暗号学者Matthew D. Green氏によるツイート（英文）
https://twitter.com/matthew_d_green/status/471752508147519488TrueCrypt
監査プロジェクトウェブサイト（英文）
http://opencryptoaudit.org/

H.I.S.のサイト閲覧者がマルウェア感染した恐れ、銀行の口座情報盗み取る 　Flashの脆弱性を突く攻撃が増加、9割が日本標的
http://internet.watch.impress.co.jp/docs/news/20140530_651100.html    Impress Watch
ブログサービス「JUGEM」のサイトで発生していたのと同じマルウェア攻撃が、旅行会社の株式会社エイチ・アイ・エス（H.I.S.）のウェブサイトや、動画サイト「PANDORA.TV」でもあったことが分かった。株式会社シマンテックが30日、公式ブログで伝えた。
この攻撃は、Flash Playerの脆弱性（CVE-2014-0515）を突くもの。ただし、すでにAdobe Systemsが4月末に公開したセキュリティパッチで修正済みであるほか、シマンテックなどのセキュリティソフトでもこの脆弱性を突く攻撃の検知に対応している。最新バージョンのFlash Playerを使用し、セキュリティソフトを適切に使用している環境では、攻撃は遮断できたもとのみられる。
一方、Flash Playerが古いバージョンのままで、セキュリティソフトも適切に使用していない場合には、上記のサイトを閲覧することで悪質なコードが実行され、インターネットバンキングの口座情報を盗み取るマルウェアに感染した可能性がある。
JUGEMを運営するGMOペパボ株式会社ではすでに28日の時点で、このような攻撃が仕掛けられていたことを発表（本誌5月28日付関連記事を参照）。30日までに対処を完了したとしている。
H.I.S.でも30日付で告知を出した。5月24日から26日の期間に「his-j.com」のサイトを閲覧した人に対して、セキュリティソフトを最新状態にした上でスキャンを行うよう呼び掛けている。
H.I.S.によると、同サイトで使用していた外部サービスのJavaScriptが改ざんを受けていたことが原因。H.I.S.では、この外部サービスを提供していた株式会社リクルートマーケティングパートナーズから29日に報告を受け、30日に公表に至った。
なお、H.I.S.ではリクルートマーケティングパートナーズから報告を受けるより前の段階で、サイト閲覧時にセキュリティソフトの警告が出る原因がこのJavaScriptであることを特定。これを呼び出すタグを、26日18時の時点でサイトから除去していたという。
Flashの脆弱性を突く攻撃が増加、9割が日本標的
シマンテックによると、CVE-2014-0515を突く攻撃は4月当初、標的を特定組織・業界に絞り込んだ“水飲み場型攻撃”に悪用されていた。しかし、4月末にセキュリティパッチが公開され、さらに数週間経過すると、インターネットユーザーを幅広く狙う攻撃に用いられるよう変わってきたという。
しかも9割以上が日本を標的としている。シマンテックのセキュリティ製品のユーザーにおいて、5月16日ごろからこの攻撃の遮断が検知され始め、5月24日ごろから急激に増加。5月26日には7000件を超えた。5月27日までの検知数は累積で1万9000件を超えている。
最初はPANDORA.TVあたりが悪用されたことで少しずつ攻撃を受けたユーザーが現れ、5月24日ごろからはJUGEMやH.I.S.といったユーザーの多いサイト経由でも攻撃が仕掛けられ、一気に攻撃の検知件数が増加したものとみられる。
なお、前述のようにH.I.S.のサイト経由の攻撃は、リクルートマーケティングパートナーズが提供する外部サービスのJavaScriptが改ざんを受けていたことが原因だ。JUGEMでも同様に、使用していた外部サービスのJavaScriptが改ざんされ、悪意のあるサイトからコードを読み込むようになっていたという。GMOペパボではセキュリティの観点からこの外部サービスの具体名を公表していないが、リクルートマーケティングパートナーズではないとしている。
シマンテック公式ブログの該当記事　　Adobe Flash の脆弱性を悪用して日本のユーザーの銀行口座情報を狙う攻撃
http://www.symantec.com/connect/ja/blogs/adobe-flash-2
エイチ・アイ・エスの告知（PDF）　　弊社 WEB サイトにおける、ウルス対策ソフの警告表示ついて サイトにおける、ウルス対策ソフの警告表示ついて
http://www.his-j.com/info/20140530_v01.pdf
リクルートマーケティングパートナーズの告知　　弊社運営受託サイトにおけるウイルス対策ソフトの警告表示について
http://www.recruit-mp.co.jp/news/release/2014/0530_1078.html
JUGEMのお知らせ　　
【解決済み】ブログやポータルサイト閲覧時、ウィルス対策ソフトが動作する件について。投稿日：2014.05.28 Wednesday
http://info.jugem.jp/?eid=17191&_ga=1.3722038.764213144.1401263859

まずはOpenSSL脆弱性の再発防止へ、オープンソース支援の業界団体が始動
http://www.itmedia.co.jp/news/articles/1405/30/news042.html    ITmedia
第1弾として、OpenSSLなど3プロジェクトに資金を提供することになった。
オープンソースのSSL／TLS暗号化ライブラリ「OpenSSL」に致命的な脆弱性が見つかった
http://www.itmedia.co.jp/enterprise/articles/1404/08/news038.html　：　OpenSSLに脆弱性、クライアントやサーバにメモリ露呈の恐れ　2014年04月08日
ことを受けて発足した
業界支援団体「Core Infrastructure Initiative」（CII）
http://www.itmedia.co.jp/enterprise/articles/1404/25/news047.html　：　OpenSSL脆弱性の再発防止へ、業界大手が重要オープンソースプロジェクトを支援　2014年04月25日
は5月29日、まず第1弾として、OpenSSLなど3プロジェクトに資金を提供することになったと発表した。
CIIはLinux FoundationのもとでGoogleやMicrosoft、富士通などの業界大手が参加して、インターネットのインフラを担うオープンソースプロジェクトを資金面でバックアップするために発足した。支援が必要なオープンソースプロジェクトを見極めて、人材確保やセキュリティ強化といった必要経費のための資金を提供する。
第1陣の支援対象に選ばれたのは、OpenSSLのほか、Network Time Protocol、OpenSSHの3プロジェクト。OpenSSLには中心となるフルタイムの開発者2人分の人件費などの資金を提供する。さらにOpenSSLコードベースのセキュリティ監査のため、Open Crypto Audit Project（OCAP）にも資金を提供する。
今後の支援対象となる他のプロジェクトについても選定作業を進めているという。
CIIの創設メンバーには今回新たにAdobe、Bloomberg、Hewlett-Packard（HP）、華為技術（ファーウェイ）、Salesforce.comなどの各社が加わった。Linuxの開発に長年携わってきたアラン・コックス氏などの著名専門家で構成する諮問委員会も組織され、サポートが必要なプロジェクトについてCII運営委員会に助言する。
プレスリリース　　The Linux Foundation’s Core Infrastructure Initiative Announces New Backers, First Projects to Receive Support and Advisory Board Members
http://www.linuxfoundation.org/news-media/announcements/2014/05/core-infrastructure-initiative-announces-new-backers

連絡不能開発者の氏名と製品に加え、内容も公開――IPAとJPCERT/CC
http://www.itmedia.co.jp/enterprise/articles/1405/30/news084.html    ITmedia
2機関では脆弱性対策に必要な連絡ができない開発者の名前と製品名を公開しているが、新たに脆弱性の内容も公開する方針に改めた。ユーザー保護を理由に挙げている。
情報処理推進機構（IPA）とJPCERT コーディネーションセンター（JPCERT/CC）は5月30日、脆弱性対策に必要な連絡ができない開発者の名前と製品名の公表に、脆弱性の内容を追加する方針を発表した。
IPAはソフトウェア製品の脆弱性に関する情報を発見者から受け付けて解析し、JPCERT/CCが開発者への連絡や情報公開などの調整を行っている。この中では開発者に連絡ができないケース（連絡不能案件）もあり、
2機関では2011年9月から順次連絡のできない開発者名と製品名を公開して、第三者からの情報提供を求めてきた。
http://www.itmedia.co.jp/enterprise/articles/1109/29/news094.html　：　脆弱性対策で連絡が取れない開発者を公表、IPAとJPCERT/CC　2011年09月29日
IPAによると、2014年3月末までに152件の連絡不能案件を公開し、21件は公開によって連絡ができるようになった。しかし、131件は連絡が取れないままになっており、ユーザーが脆弱性対策を講じられず被害を受けかねない状況が続いている。このため、2機関は新たに脆弱性の内容も公開することにしたという。
脆弱性の内容が公開されることで、ユーザーは脆弱性によって予想される被害などを把握でき、製品の利用をやめたり、被害などの影響を緩和するための対応がとりやすくなるとしている。
なお公開する脆弱性情報の内容の一部は、一般公開よりも先に特定のユーザーなどに提供されるケースがあるという。製品によってはユーザーの利用環境が特殊なケースもあり、「一般公開で初めて脆弱性情報を認知するよりも、対策に十分な時間を確保することができ、脅威をより確実に回避することが可能になると考えられる」（IPA）という。
IPAとJPCERT/CCは、今回の運用変更のために脆弱性情報の取り扱いにおける関係者の行動基準を示した「情報セキュリティ早期警戒パートナーシップガイドライン」の改訂版を公開している。
情報処理推進機構　　「情報セキュリティ早期警戒パートナーシップガイドライン」を改訂　製品開発者と連絡が不能な「連絡不能案件」の“脆弱性情報”公表に向けた運用を開始
http://www.ipa.go.jp/about/press/20140530_2.html
JPCERT コーディネーションセンター
https://www.jpcert.or.jp/press/2014.html

「偵察メール」の返信で“ウイルス発進”　2013年度の標的型攻撃事例
http://www.itmedia.co.jp/enterprise/articles/1405/30/news072.html    ITmedia
サイバー攻撃の情報共有化に取り組む官民連携の「J-CSIP」によれば、2013年度もメールのやりとりから国内の企業や組織に標的型攻撃を仕掛けるケースが多発した。
国内企業や組織を狙うサイバー攻撃は、2012年に巧妙なメールのやりとりを通じて本格的に展開されるケースが多発したが、
http://www.itmedia.co.jp/enterprise/articles/1302/28/news134.html　：　2012年の標的型メール攻撃は1009件、手口の巧妙化も進む――警察庁　2013年02月28日
2013年度も引き続き「やりとり型攻撃」が頻発する状況だったという。
情報処理推進機構（IPA）は、5月30日に公開した「J-CSIP 2013年度 活動レポート」の中で「やりとり型攻撃」に関する実例を挙げている。
それによると、攻撃ではまず複数の組織の様々な問い合わせ窓口に対し、「製品に関する相談」や「窓口の確認」といった内容で「偵察メール」が送りつけられる。4分間で3つの窓口へ送り付けられたり、約2週間に5つの組織に対して仕掛けられたりするケースもあった。
「偵察メール」を受信した組織が回答したケースでは、攻撃者から11分〜15分程度で「（圧縮された添付ファイルによる）ウイルス付きメール」が返信されていた。「ウイルス付きメール」を受信した組織は添付ファイルを解凍できず、その旨を回答したところ、13分後に組織で使用している解凍ソフトをたずねる返信が攻撃者から送られた。この組織が解凍ソフトについて回答すると、51分後に解凍ソフトに対応したファイルが再送されてきたという。
IPAによれば、組織の外部向け窓口は、問い合わせや相談などに関するメールや添付ファイルの内容を確認せざるを得ず、攻撃者はこの点を突いて攻撃を仕掛けているとみられる。「偵察メール」も、短期間に複数の組織へ送信されたり、送信先がごく少数だったり、一定の期間をおいて再度送信したりするなど、パターンも一様ではない。
また、攻撃者側は直ちにメールやウイルスを送受信できる体制で攻撃を実行し、日本語によるコミュニケーションや慣習に沿った巧妙な手口を駆使する。攻撃を通じて学習し、手口を高度化させているという。
このレポートは、IPAや経済産業省、セキュリティ機関と産業界の企業などが2012年4月に設立した「サイバー情報共有イニシアティブ（J-CSIP）」の活動をまとめたもの。J-CSIPは、通常では外部に公表されることが少ない組織が受けたサイバー攻撃などの詳細情報について、組織名を匿名化するなどして共有している。
2013年度は参加組織が5業界46組織に増加。385件の情報が提供され、うち180件をJ-CSIP内で共有した。発足初年度の2012年度は39組織から246件の情報提供があり、うち160件の情報を共有している。
また、ウイルス感染した端末が接続する先では国内の割合が7％から28％に急増した。これは、国内の正規サイトが改ざんなどによって攻撃者の踏み台させられていた可能性があるという。
攻撃メールに添付されるファイルの種類は、Office文書ファイルが45％から8％に低下した一方、2012年度にはみられなかった「ジャストシステム文書ファイル」や「ショートカット（LNK）ファイル」が観測された。攻撃メールの送信元では86％がフリーメールを使用していた。フリーメールの添付ファイルやURLリンクを開らかなければ、多くの攻撃を回避できた状況だったとしている。
情報処理推進機構　　プレス発表　サイバー情報共有イニシアティブ（J-CSIP）2013年度　活動レポートの公開
http://www.ipa.go.jp/about/press/20140530.html

ネットの信頼を支える基盤が崩壊？　セキュリティ騒動で浮上した課題
http://www.itmedia.co.jp/enterprise/articles/1405/30/news157.html    ITmedia
OpenSSLの脆弱性問題やリスト型攻撃など、近年はインターネットの信頼を支える基盤を揺るがしかねない事象が多発している。信頼のための基盤は崩壊してしまうのか――セキュリティ業界の専門家陣が議論を交わした。
4月から5月にかけて、インターネット利用を支える重要なソフトウェアの脆弱性問題が世間を賑わせた。「インターネットの信頼基盤を揺るがしかねない」といった報道も相次いだ。こうした事態を受けて日本ネットワークセキュリティ協会（JNSA）が「緊急時事ワークショップ」を開催。セキュリティ業界の専門家がインターネットの信頼を支える基盤をどう守るべきについて議論した。
ワークショップには、ソフトバンクテクノロジーの辻伸弘氏、NTTセキュアプラットフォーム研究所の神田雅透氏、日本レジストリサービスの米谷嘉朗氏、トレンドマイクロの岡本勝之氏、日本マイクロソフトの高橋正和氏が登壇。まず、各氏からインターネットを取り巻く脅威の状況が説明された。
リスト型攻撃が増えた背景は
辻氏は、昨年から国内で急増している「リスト型攻撃」を取り上げた。リスト型攻撃ではIDとパスワードの組み合わせたリストを使ってWebサイトで不正ログインが行われ、ユーザー情報が盗み取られるなどの被害が多発している。
従来の不正ログイン攻撃には、IDを固定してパスワードのパターンを総当たりで試す手法（ブルートフォース）や、逆にパスワードを固定してIDのパターンを総当たりで試す手法（リバースブルートフォース）、頻繁に使われる文字列を試す手法（辞書攻撃）が使われてきた。リスト型攻撃に登場によって、ユーザー認証が突破される危険性がいっそう高まった。
辻氏は、リスト型攻撃が増える背景に、1人のユーザーが利用するサービスが増加して管理が煩雑になっていること、オンラインサービスの換金性の高まっていることを挙げる。特にパスワード管理は、「長く複雑な文字列にする」「使い回しをしない」「定期的に変更する」「メモ書きは禁止」といった対応が推奨されるものの、実際には煩雑で徹底することが難しいというケースは多い。
サービス提供者側は正しいIDとパスワードの組み合わせを使うリスト型攻撃を防ぐことが難しく、一方でパスワード管理の徹底をユーザー任せにするだけでも状況の改善は難しい。辻氏は、「双方が取り組める環境が求められる」と提起している。
OpenSSLの脆弱性は何が問題か
4月上旬に発覚したOpenSSLの脆弱性問題（通称・Heartbleed）について神田氏は、脆弱性問題の本体だけでなく、「そこから何を学ぶかが重要だ」と述べた。
脆弱性は、OpenSSLのTSL 1.2以降で実装された「Heartbeat」拡張においてサーバ上でのメモリ操作が正しく行われないことに起因する。悪用されると、サーバのメモリ上の様々な情報（秘密鍵や通信内容など）が盗み取られる恐れがあり、攻撃の有無を確認できない点も問題とされた。
脆弱性が及ぼす影響は重大であるものの、神田氏は、脆弱性情報が公開されて後の報道が社会的な騒動につながったとみている。同氏によれば、IT系の専門媒体では脆弱性の内容が主に伝えられたが、一般紙などでは「暗号化ソフトに欠陥」などと報じられ、「OpenSSL自体に問題があり、暗号が破られた」との誤ったイメージが社会に伝わってしまったという。
さらに、対策面では秘密鍵が盗まれた場合を想定して秘密鍵とSSLサーバ証明書の両方を更新する必要があるにもかかわらず、SSLサーバ証明書だけを更新しているケースがあった。秘密鍵を更新しなければ、第三者に情報が盗み取られたり、マルウェアに正規証明書が付けられて対策ソフトで検知できなくなるなどの問題を引き起こす。ユーザーにパスワード変更を依頼する場合に、メールで通知するだけでは危険だという。正規サイトなりすましたフィッシングメールで、偽サイトでユーザーからログイン情報を盗まれる二次被害が発生してしまう。
こうした問題は、脆弱性情報を一般にも正しく理解される形で伝えることの難しさを示したものと、神田氏は指摘している。
古くも進まないDNS汚染対策
米谷氏は、2000年代に発生したDNSキャッシュポイズニングを取り上げた。DNSキャッシュポイズニングとは、DNSキャッシュサーバがDNSサーバにドメインの名前解決を行う際、DNSサーバの応答より速く偽のDNS情報をDNSキャッシュサーバに渡すことで、ユーザーを不正サイトなどに誘導できてしまう問題である。特に、DNSキャッシュサーバの利用するユーザー規模が大きいほど、フィッシングサイトに誘導されてしまうなどの危険性が高まる。
米谷氏によれば、今なおDNSキャッシュポイズニングを狙ったとみられる不審な通信が多数観測され、2014年4月現在ではJPドメインのDNSサーバに問い合わせたがあったDNSキャッシュサーバの約10％が、偽のDNS情報を挿入されやすい状況だったという。
対策としては、偽のDNS情報を挿入されないために、UDPポート番号をランダム化やオープンリゾルバの使用停止、DNSSECの導入などがある。しかし、こうした対策がまだ十分に浸透していないとした。
急速に進化するネット詐欺の手口
岡本氏は、2013年から被害が急増するネットバンキングを狙った詐欺攻撃の手口を解説した。警察庁の統計では2013年の不正送金被害は過去最悪の14億円以上になり、今年は5月時点で既にこの規模を上回ったという。
現在の攻撃は、従来のようにネットバンキングのユーザーをフィッシングサイトに誘導してログイン情報を盗み取るだけでなく、マルウェアを使って端末と正規サイト間の通信に密かに割り込み、ページの一部を改ざんして入力情報を盗むケースが増えている。
岡本氏によれば、日本で主流のネットバンキング詐欺ツールは「Zbot」（Zeusなどとも呼ばれる）で、2007年頃から世界的にも流行した。この種のツールは、高度なスキルを伴わなくてもマルウェアを開発できるため、攻撃拡大につながっているといわれる。2014年に入り、「AIBATOOK」などZbotよりも簡易なツールも出現しているという。
ネットバンキング詐欺ツールは、モバイルに対応したものや自動送金機能を備えたものなども登場し、機能の進化が早い。最近ではサイト側から通常では入手困難な電子証明書の情報を特別な手段を盗み出し、さらなる悪用の恐れも出ているとしている。
ゼロデイ攻撃への対応
高橋氏は脆弱性対応おけるポイントを中心に解説した。そもそも脆弱性とは、技術的にはソフトウェア本来の機能における欠陥ではなく、悪意を持った手法によって攻撃の糸口になり得る部分を指す。「自動車に例えると車両の故障や欠陥ではなく、施錠されたドアを、鍵を使わずに開けることができる手法といったイメージ」という。
脆弱性問題で特に騒がれるのが、「ゼロデイ攻撃」と呼ばれる対策方法が公開されていない状態（未知）の脆弱性を悪用する攻撃。脆弱性を解決する根本的な手段（パッチ）が無いため、ゼロデイ攻撃の影響を少しでも減らすには、（既知の脆弱性を解決する）パッチを全て適用するのはもちろん、セキュリティソフトなどその他の対策手法を組み合わせて防御レベルを高めることが重要になる。
ただしどんなに対策をしていても、ドライバーの過失で事故が起きるのと同様に、ゼロデイ攻撃を完全に防ぐ手立ては無い。Microsoftの調査によれば、サイバー攻撃全体に占めるゼロデイ攻撃の割合は0.12％であり、高橋氏はゼロデイ攻撃に限らず、上述の基本的な対策を適切に講じたり、防御能力を高めた最新のソフトウェアを利用したりすることの必要性を提起している。
脅威が複合的になると……
各氏が挙げた脅威はそれぞれに深刻な影響をもたらす存在だが、個々の脅威が複合的になっていくと、さらに深刻な影響を及ぼしかねないという。説明後のパネルディスカッションでは高橋氏がモデレータを務め、想定される事態や対策への道筋などについて各氏が意見を交わした。
高橋氏は、古いソフトウェアが危険な例として、Internet Explorer（IE） 6は初期設定で電子証明書の更新などを確認しないようになっており、失効措置が取られた電子証明書が以前のままになっている場合があると説明した。
過去にはサイバー攻撃などによって、認証局から不正に発行された証明書を失効される措置が取られる事態が何度か発生している。証明書を失効させることでコンピュータを様々な悪用から保護できる可能性が高まるものの、古い製品では対応が難しいなど「信頼を維持するための仕組みが適切に機能しないケースもある」と指摘した。
辻氏は、企業サイトから正規のIDやパスワードなどの情報が盗まれるだけでなく、フィッシング詐欺などの組み合わせによってより多くの情報を盗まれ、リスト型攻撃が拡大していくだろうと警鐘を鳴らす。岡本氏は、詐欺の手口がますます進化し、例えば2段階認証のワンタイムパスワードを送信するSMSにモバイルマルウェアが仕込まれる事態もあり得るという。
神田氏は、盗まれた鍵を使ってマルウェアのコードサイニングが行われてしまうと、セキュリティソフトでの検知が非常に難しいマルウェアでも証明書の観点では“正しい”と認識されてしまう）とし、鍵や証明書の管理が適切に行われないことの危険性を指摘している。
対策面については、「正しい情報提供が重要」（辻氏）や「だれが対策すべきかが大事」（岡本氏）、「情報公開まで対応を工夫すべき」（神田氏）と情報をめぐるあり方や、「扱いやすい対策手法を実現していくこと」（米谷氏）といった意見が挙げられた。
情報提供では4月に発覚したIEの脆弱性問題で、「米国政府機関がIEの使用中止を提言」といった誤った報道内容がみられた。正しくは「IEの使用中止」ではなく、回避策や代替ブラウザの活用を推奨したものだが、誤報道の背景にはセキュリティ情報の提供方法の難しさが潜む。
対策主体の点では、例えば正規ソフトウェアのアップデートを悪用する事件が起きている。ユーザーはベンダーのアップデートを信用するという点を逆手に取ったものだが、「ユーザー自身が守れない場合に備え、ベンダーがその信用を確実に担保していかなければならない」と岡本は述べている。
OpenSSLの脆弱性問題では、一般に情報公開されてから数日間で修正版がリリースされたものの、脆弱性情報が共通データベースへ最初に報告されたのは2013年12月で、一般に情報公開される4カ月も前だった。「ごく一部の関係者だけが知る状態だった。4カ月の間により良い対応ができたのではないか」と神田氏は指摘する。
米谷氏はDNS汚染対策が進みにくい理由として、例えばDNSSECでは情報検証におけるサーバの負荷が高い点や、証明書や鍵の管理が煩雑であるなど、運用の難しさを挙げている。
それぞれに取り上げられた課題は、すぐには解決が難しいものも少なくないが、各氏は業界を挙げて推進していくべきとの見解で一致した。






2014年05月29日



[セッションレポート]標的型攻撃第2波 内部攻撃の怖さ、 偽装・隠ぺい工作で正規管理者とマルウェアの区別つかず（トレンドマイクロ）
http://scan.netsecurity.ne.jp/article/2014/05/29/34278.html    ScanNetSecurity
トレンドマイクロ株式会社は、5月14日から16日にかけて東京ビッグサイトで開催された「第11回 情報セキュリティEXPO 春」の出展ブースにおいて、3つのテーマで複数のセッションを行った。
 本稿は「サイバー攻撃対策」をテーマにした、同社ソリューションマーケティング部のプロダクト・マーケティング・マネージャである横川典子氏によるセッション「知っていますか？　本当に怖い『内部攻撃』」をレポートする。
●狙いは管理者権限
 横川氏はまず「管理者権限を奪取されたらどうしますか？」と質問した。管理者権限を得た侵入者は、なりすまして管理者権限のコマンドをすべて実行することが可能になり、設定ファイルの消去や書き換え、ブートファイルやカーネルの削除・書き換えなどシステムそのものを変更されてしまう。もちろん機密情報へのアクセスも可能になる。
 管理者権限の奪取は標的型攻撃の「第二波」である。攻撃者は標的型メールなどの「第一波」の攻撃によりシステム内に侵入し、「pwdump」などのツールを使用して管理者のPCのハッシュに残っているパスワードを抜き出す。これにより管理者権限を奪取し、PsExec.exeなどの正規コマンドを利用して不正ファイルをドロップしたり実行する。そして、機密情報を抜き取った攻撃者は、ログや不正ファイルなどの痕跡を消し去る。このため内部での不正活動の証拠が残らず、被害者は何が起きたのかさえもわからない。
●証拠隠滅までわずか6分　
 同社のモニタリングサービスで確認された実例では、不正ファイルのコピーから遠隔操作、証拠隠滅までかかった所用時間は6分間だったという。被害を受けないためには攻撃に早い段階で気づくことが必要だが、その時間はあまりに短いことがわかる。
しかも、内部での不正活動は、正規の管理者による通常のオペレーションと見分けがつかないため、それぞれのイベント単体は不正でない場合が多いといった課題もある。検出するためには、疑わしいイベントをできる限り多く検出し、それをつなぎ合わせることが重要であると横川氏はいう。つまり、特定のポイントをひとつのツールで監視するだけでは、サイバー攻撃のような脅威を検出するためには不十分なのだ。
●4つのエンジンによる多面分析で未知の脅威に対抗
こういった内部での不正活動を検出するための同社のアプローチが、「Deep Discovery Inspector（DDI）」に搭載される複数エンジンによる脅威の多面分析である。エンジンの一つが通信の分析を行う「Network Content Correlation Engine（NCCE）」だ。新たな攻撃手法に合わせルールが追加される、いわば成長するデータベースである。直近だけでも、Baiduによる不正な情報搾取やOpenSSL“HeartBleed”の脆弱性、IEのゼロデイ攻撃などの脅威に迅速なルール追加を行っている。
ファイル分析の「Advanced Threat Scanning Engine（ATSE）」は、日本独自の一太郎をはじめ、数多くのファイル形式をサポートするほか、拡張子偽装など検知偽装にも対応する。サイバー攻撃で狙われる脆弱性への攻撃には「Network Contents Inspection Engine(NCIE)」で対応する。さらにカスタマイズ型のSandboxを搭載し、日本語OSやアプリケーションを選択することで、実組織内のIT環境のシミュレートを可能にした。また、検出した不正活動は記録されているため、証拠隠滅が図られても後追いの検証も可能だ。こうしたサイバー攻撃に最適化された複数の攻撃手法データベースとSandboxのハイブリッドエンジンで、内部に潜む脅威をあぶりだすという仕組みだ。
●OpenSSLに見るゼロデイ脆弱性のリスク
“HeartBleed”の脆弱性では、社内サーバで使用しているOpenSSLの把握は容易であったが、ルータなどにOpenSSLが搭載されているかどうかの判断は難しい。DDIは、こうした頻発するゼロデイ脆弱性に対しても、素早く有効な対処を提供できるという。脆弱性を攻撃する通信をモニタすることでOpenSSLを見つけ出し、攻撃を受けている箇所を迅速に可視化することができる。
最後に横川氏は、トレンドマイクロの標的型攻撃対策の強化に向けた取り組みとして、標的型メールのブロックやメール本文中の不正URLの判断とブロック、パスワードで暗号化された添付ファイルのブロックを行う「Deep Discovery Email Inspector」を2014年夏に、PCやサーバのシステムアクティビティのログを記録し、問題発生時に、各アクティビティの相関関係を分析し、インシデントの原因と派生関係を分析する「Deep Discovery Endpoint Sensor」を2014年末に、それぞれ受注開始するとしてセッションを締めくくった。
トレンドマイクロ　Deep Discovery Inspector
http://www.trendmicro.co.jp/jp/business/products/dd/index.html

“iPhone人質攻撃”を教訓に――今、ユーザーが確認しておくべきこととは
http://internet.watch.impress.co.jp/docs/news/20140529_650968.html    Impress Watch
iPhoneなどAppleデバイスのユーザーが端末を人質にとられる事例がオーストラリアなどで報告されていることを受け、セキュリティベンダー各社が公式ブログでセキュリティ面での対策の心得などをアドバイスしている。
この事例は、攻撃者がiPhoneをリモートでロックし、ユーザーが操作できなようにした上で、ロックを解除したければ身代金を支払うよう求めるメッセージを画面に表示するというもの。シンプルかつインパクトのある手口のせいか、ニュースなどで報じられ話題になっているが、実はiCloudの「iPhoneを探す」機能を悪用したものだという。
この機能は本来、紛失した端末が他人に勝手に操作されないよう、持ち主がリモートでロックし、拾い主に対して連絡を求めるメッセージを表示するためのものだ。今回、何らかの経路でApple IDのアカウント情報が攻撃者に漏えいしたユーザーが、iCloudになりすましアクセスされ、「iPhoneを探す」機能を操作されたものとみられている。
なお、この手口に対しては、持ち主がiPhoneにあらかじめパスコードを設定していれば、そのパスコードを入力することで端末のロックを解除できるという。
一方で、iCloudになりすましアクセスされた際に起きうるのは、iPhoneを人質にとられるだけではない。連絡先やカレンダーの情報を見られてしまったり、あるいは「iPhoneを探す」機能のオプションである「消去」機能でデータを消去されてしまう可能性もあると、エフセキュアでは指摘。その上で、以下のように述べている。
「つまり……パスコードの有効化に加えて、あなたのApple/iCloud/iTunesアカウントに強力かつユニークなパスワードを使用する必要がある。もちろん、アプリを購入する際に入力することは煩わしいだろう。しかし、これは払う必要のある対価なのだ。」
このほか、シマンテック公式ブログでも、ロックされた際の対処方法などを説明している。
エフセキュア公式ブログの該当記事　　ProTip：Appleを使う？パスコードを有効に！
http://blog.f-secure.jp/archives/50728513.html
シマンテック公式ブログの該当記事　　侵害された Apple ID: iPhone、iPad、Mac がロックされ身代金を要求される
http://www.symantec.com/connect/ja/blogs/apple-id-iphone-ipad-macESET
公式ブログの該当記事（英文）　　　iPhone and Apple ransom incidents? Don’t delay locking down your i-stuff
http://www.welivesecurity.com/2014/05/28/iphone-apple-ransom-incidents-dont-delay-locking-stuff/





購入の情報収集に使われるのはテレビや広告よりインターネット〜D2C調査
http://internet.watch.impress.co.jp/docs/news/20140529_650736.html    Impress Watch
株式会社D2Cは、パソコン、スマートフォンによる生活者のインターネット利用動向調査の結果を発表した。情報収集に利用するチャネルは、調査対象11のカテゴリーのうち10のカテゴリーで「インターネット」が最も高率となるなど、情報収集においてインターネットが最も活用されていることがわかった。
調査は、生活者の情報収集や購買行動におけるインターネットデバイスの利用状況を探るため、全国の18〜59歳の男女、スマートフォン所有者1万人を対象として、2014年3月にインターネットでのアンケートにより実施した。
D2Cでは、11のカテゴリーで商品・サービスの情報収集チャネルを調査。調査対象11のカテゴリーのうち10のカテゴリーで「インターネット」がもっとも高い比率を占めた。唯一、「映画館での映画鑑賞」については、「番組・記事」が42.3％、次いで「広告」41.3％となりインターネットの35.4％を上回った。
調査対象に設定した11の商品・サービスのカテゴリーと情報収集にインターネットを利用する比率は、インターネットの利用率が高い方から順に、「旅行や宿泊（72.1％）」、「健康食品・サプリメントの購入（62.3％）」、「電子書籍の購入（65.1％）」、「ゲームの購入・課金（64.6％）」、「家電・情報機器の購入（60.8％）」、「ファッション系商品の購入（48.1％）」、「家電・情報機器の購入（47.1％）」、「スキンケア化粧品・メークアップ化粧品の購入（40.0％）」、「外食（39.4％）」、「自動車の購入（36.7％）」、「映画館での映画鑑賞（35.4％）」となっている。
情報収集に使われたチャネルのカテゴリー分けは、「インターネット」、「番組・記事」、「広告」、「口コミ」、「店頭」、「冊子、チラシ、DM」の6分類となっている。
全体としては情報収集にパソコンのみを利用するユーザーが11カテゴリーのうち9カテゴリーで半数以上を占め、スマートフォンより情報の一覧性が高いパソコンの利用が多いことがわかる。パソコンとの併用者も含め、スマートフォンの利用が半数を超えるのは「ゲームの購入・課金（63.5％）」、「外食（52.7％）」で、スマーとフォンで遊ぶゲームや、外出先で食事する場所を探す場合などにスマートフォンが活用されていることが伺える。
情報収集に利用するデバイスを年代別に見ると、18〜29歳の女性でスマートフォン利用率が高く、パソコン併用も含めて「化粧品」では57.1％、「外食」では66.6％と3人に2人がスマーとフォンを利用している。
プレスリリース　　生活者の購買行動におけるインターネット利用動向調査
http://www.d2c.co.jp/news/2014/20140528-1774.html
株式会社D2C
http://www.d2c.co.jp/

不正B-CASカード販売者に、損害賠償3億2,590万円の全額支払い判決。民事訴訟第一審
http://av.watch.impress.co.jp/docs/news/20140529_650877.html    Impress Watch
有料放送を無料で視聴できるように不正改ざんしたB-CASカードを第三者に販売した3人に対し、有料放送事業者のスカパーJSATとスターチャンネル、WOWOWの3社が提起していた民事訴訟の第一審判決が5月29日に言い渡された。被告の3人に対し、損害請求額3億2,590万9,127円の全額支払いの判決が下された。
被告の男性3人(埼玉県在住の男性2人と、福島県で服役中の男性1人)は、不正にデータを書き換えたB-CASカードをインターネット経由で5,000枚以上販売したとして、2013年11月に不正競争防止法違反の罪で有罪判決が確定している。この3人に対し、スカパーJSATら3社は2月20日に損害賠償の支払いを求める民事訴訟を東京地方裁判所に提起していた。
スカパーJSAT
http://www.sptvjsat.com/
ニュースリリース(PDF)　　不正B-CASカードに係る民事訴訟の提起について
http://www.sptvjsat.com/wp-content/uploads/b14df46732071362344bc631798bdd66.pdf
スター・チャンネル　　B-CASカードの不正視聴に係る民事訴訟第一審判決ついて
http://www.star-ch.jp/
ニュースリリース
http://www.star-ch.jp/topics/?information_id=233
WOWOW
http://www.wowow.co.jp/
ニュースリリース(PDF)
http://www.wowow.co.jp/co_info/ir/pdf/1746.pdf






2014年05月28日




iPadやiPhoneの乗っ取り被害多発、ロック解除に「身代金払え！」
http://www.itmedia.co.jp/news/articles/1405/28/news038.html    ITmedia
「iPadを使っていたら突然ロックがかかり、身代金を要求された」などの訴えがで相次いでいる。
オーストラリア各地でAppleのiPadやiPhoneのユーザーから、端末が何者かにハッキングされて乗っ取られ、身代金を要求されたという訴えが相次いでいる。同国のSydney Morning Herald（SMH）紙が5月27日付で伝えた。
同紙の報道によると、シドニーに住む女性は午前4時に着信音がして目を覚ました。画面には「端末はOleg Plissによってハッキングされた」というメッセージが表示されていて、ロックを解除したければ指定のPayPal口座に50ドルを送金するよう要求されたという。
Appleのサポートフォーラムにも、「iPadを使っていたら突然ロックがかかり、100米ドル／ユーロを要求された」「私もまったく同じ問題に見舞われていて、『Oleg Pliss』から同じメッセージを受け取った」「iPhoneとiPadの両方が影響を受けている」などの投稿が相次いでいる。
Mac専門のセキュリティ企業Integoによると、被害者の端末は、紛失したり盗まれたりした場合の「iPhoneを探す」機能が作動してロックがかかった状態になっていると思われる。
考えられる原因として、何者かが脆弱性を突いてAppleユーザーのアカウントに侵入した可能性や、何らかの原因で流出したパスワードが使われた可能性が指摘されている。しかし、現時点ではまだ何が起きたのかは不明で、被害がオーストラリアやニュージーランドに集中している理由も分かっていない。
Integoでは端末がロックされた場合の対策として、リカバリモードを使ってバックアップから復元する方法を紹介している。さらに、こうした被害に遭うのを防ぐためのApple IDアカウント保護強化策として、2要素認証の利用や14桁のリカバリキー設定を勧めている。
Sydney Morning Herald    Australian Apple iDevices hijacked, held to ransom
http://www.smh.com.au/digital-life/consumer-security/australian-apple-idevices-hijacked-held-to-ransom-20140527-zrpbj.html
Integoブログ    Have you been hacked by Oleg Pliss? FAQ for iPhone and iPad users
http://www.intego.com/mac-security-blog/oleg-pliss-hack/





サッカーW杯で“便乗サイバー攻撃”　選手の偽動画ファイルで遠隔操作ウイルス感染
http://www.itmedia.co.jp/news/articles/1405/28/news043.html    ITmedia
W杯ブラジル大会開幕が迫る中、出場選手の動画ファイルやW杯ゲームの無料ダウンロード画面に見せかけ、ウイルスに感染させる悪質な行為が相次ぎ確認されている。W杯への関心を悪用した便乗型のサイバー攻撃とみられる。
サッカーのワールドカップ（W杯）ブラジル大会開幕が迫る中、出場選手の動画ファイルやW杯ゲームの無料ダウンロード画面に見せかけ、コンピューターウイルスに感染させる悪質な行為が相次ぎ確認されていることが25日、分かった。W杯への関心を悪用した便乗型のサイバー攻撃とみられる。
ウイルス対策ソフト「ウイルスバスター」を開発・販売するソフト会社、トレンドマイクロが、ネット上のウイルスが含まれた動画や文書などを24時間態勢で自動的に検出するシステムを使って確認した。
同社によると今月12日、「遠隔操作ウイルス」が仕掛けられたW杯出場選手などの動画ファイルを複数発見した。
ファイルを開封しても動画は見られず、ウイルスに感染してしまう。これにより、何者かがパソコンの全ての操作をコントロールできる状態になるという。
トレンド社によると、被害の実態などは調査中だが、ネット上だけでなく、動画ファイルが直接、不特定多数のメールアドレスに送信されてくる可能性もあるという。
このほか、W杯をテーマにした人気サッカーゲーム「FIFA14」を装った偽のサイトが見付かった。
実際のゲームは有料だが、偽サイトは無料でダウンロードできると表示。しかし、ダウンロードしても、ゲームはできず、代わりにアダルト広告などがパソコン画面に表示され続けるウイルスに感染してしまう。
23日時点で、トレンド社はサイトに150件以上アクセスがあったことを確認。うち約97％は海外だが、約3％は日本からで、国内でも感染が出ているとみられる。
サッカーW杯のほか、五輪、大統領選など世界の関心が集まるイベントに便乗したサイバー攻撃は、これまでも確認されてきた。
今年2月のソチ五輪期間中は、ウイルスが仕込まれた文書ファイルが五輪情報を装って個人用パソコンにメール送信されるなどの攻撃が多発した。
トレンド社は「大規模なイベントの前後に、好奇心で警戒心がゆるむインターネットユーザーを標的にした犯罪。W杯が近づくほど、サイバー攻撃が増える可能性が高いので、注意が必要」と指摘している。





Spotifyに不正アクセス、Androidユーザーにアプリ更新促す
http://www.itmedia.co.jp/news/articles/1405/28/news039.html    ITmedia
音楽ストリーミングサービスのSpotifyは5月27日、同社のシステムと社内データに対する不正アクセスが発覚したと発表した。Androidアプリのユーザーに対しては、念のために更新版のインストールを促すとしている。
同社の発表によると、不正アクセスされたのは1人のSpotifyユーザーのデータのみで、流出した情報にパスワードや決済情報などは含まれていないという。「今回の事案によってユーザーのリスクが高まったとは認識していない」と強調している。
それでも慎重を期すために、Androidアプリのユーザーに対しては数日中に更新版を配信し、ユーザー名とパスワードの再入力を促すとした。アップグレードを促すメッセージが表示されたら指示に従ってほしいとしている。更新版ではオフラインのプレイリストをダウンロードし直す必要があるという。
AndroidアプリはGoogle PlayかAmazon Appstore、またはSpotifyのWebサイトから直接入手し、それ以外の場所からインストールしてはいけないと呼び掛けている。
一方、iOSやWindows Phoneのユーザーには現時点で特に対応は促していない。
同社は問題の発覚を受けて直ちに調査を開始し、全般的なセキュリティシステムの強化策を講じたと説明している。
Spotify：Important Notice to Our Users
http://news.spotify.com/us/2014/05/27/important-notice-to-our-users/





3Dプリンターで違法な物を出そうとすると作動停止させるプログラム開発
http://internet.watch.impress.co.jp/docs/news/20140528_650533.html    Impress Watch
大日本印刷株式会社は28日、3Dプリンターの悪用を抑止するためのセキュリティプログラムを開発したと発表した。銃や、キャラクター製品の模倣品など、入力されたデータに違法性や著作権侵害の可能性がある場合に、その場で作動を止める。
入力されたSTLデータのポリゴンを独自アルゴリズムで簡素化し、ブラックリスト対象製品のSTLデータのポリゴンと高速照合する仕組み。インターネットからダウンロードしたデータに多少の装飾や改変、アングル変更などを施したデータや、造形物を3Dスキャナーで読み取って作成した3Dプリンター用データに対しても的確に照合できるという。
大日本印刷では、銃器の不法所持の防止や治安維持のほか、模造品フィギュアの流通による造形クリエイターの士気低下を抑止できるとしている。
なお、このプログラムを実装しても3Dプリンターの性能には影響なく、ユーザーの利便性を損なうことはないという。2017年までに実用化を目指す。
プレスリリース　　3Dプリンターでの危険物製造や著作権侵害を抑えるセキュリティプログラム開発　入力されたデータの違法性を判定し、その場で製造をストップ！
http://www.dnp.co.jp/news/10099366_2482.html





協業を強化、Microsoft Azure利用者にデータ保護ソリューションを提供（トレンドマイクロ）
http://scan.netsecurity.ne.jp/article/2014/05/28/34263.html    ScanNetSecurity
トレンドマイクロ株式会社は5月27日、マイクロソフト社との戦略的協業を強化すると発表した。今回の協業は、Microsoft Cloudの利用企業に対して、さらなるセキュリティを提供することを目的としたもの。マイクロソフトユーザ企業がSharePointなどのアプリケーションや、Microsoft Azure、Windows Server 2012などのプラットフォームにおけるセキュリティ責任を果たすことをサポートする。
マイクロソフトは引き続き安全なインフラを提供し、トレンドマイクロはクラウドやハイブリット構造を安全に運用するために、データやアプリケーション、オペレーティングシステムに対して一元管理と包括的なセキュリティ保護を提供する。本協業に関して、トレンドマイクロはTechEd North Americaにおいて「Trend Micro Deep Security」「Trend Micro SecureCloud」「PortalProtect」の、マイクロソフトの技術をサポートする新機能を発表する予定だという。
トレンドマイクロ　　トレンドマイクロ、Microsoft Azure利用者に脅威からのデータ保護ソリューションを提供　〜協業を拡張し、企業のクラウド移行において、包括的なセキュリティ提供を実現〜
http://www.trendmicro.co.jp/jp/about-us/press-releases/articles/20140526022636.html





2013年の国内情報セキュリティ製品市場は前年比11.2％増、今後も拡大予測（IDC Japan）
http://scan.netsecurity.ne.jp/article/2014/05/28/34265.html    ScanNetSecurity
IDC Japan株式会社は5月27日、2013年の国内セキュリティ市場規模実績と2018年までの予測を発表した。これによると、2013年の国内情報セキュリティ市場において、SaaS型セキュリティソフトウェアを含むソフトウェア製品とアプライアンス製品を合わせたセキュリティ製品市場規模は2,476億円、前年比成長率が11.2％であった。また、コンサルティングやシステム構築、運用管理、教育／トレーニングサービスを含むセキュリティサービスの市場規模は6,043億円、前年比成長率は6.0％であった。
2013年のセキュリティソフトウェア市場は、アイデンティティ・アクセス管理とエンドポイントセキュリティが市場をけん引し、前年比成長率は8.3％、市場規模は2,065億円であった。2014年以降は、クラウドサービスやモバイル端末の利用拡大、巧妙化する標的型サイバー攻撃の増加によって、アイデンティティ・アクセス管理とエンドポイントセキュリティ、セキュリティ・脆弱性管理への需要が拡大するとみている。同市場の2013年〜2018年における年間平均成長率（CAGR：Compound Annual Growth Rate）は3.8％で、2018年には2,494億円に拡大すると予測している。
SaaS型セキュリティソフトウェア市場は、運用管理負担の軽減や災害時の事業継続を目的としたニーズが継続的に高いことから、2013年の市場規模は前年比22.4％増の108億円となった。2014年以降も同様のニーズが高く、またサンドボックス技術などによる先進的なマルウェア対策への需要も高まるとみており、2013年〜2018年のCAGRが11.3％、2018年には184億円になると予測している。セキュリティアプライアンス市場は、アベノミクスによる円安効果と、標的型サイバー攻撃対策としてIDS/IPSや次世代型ファイアウォールを含むUTMへの需要が高まり、市場規模は前年比29.0％増の412億円。この傾向は今後も継続し、2013年〜2018年のCAGRは4.7％、2018年には517億円に拡大すると予測している。2013年のセキュリティサービス市場は、前年比6.0％増の6,043億円。2013年〜2018年におけるCAGRは4.1％で、2018年には7,403億円に拡大すると予測している。
IDC Japan　　国内セキュリティ市場予測を発表
http://www.idcjapan.co.jp/Press/Current/20140527Apr.html

歩きスマホ「法規制したほうが良い」、非ユーザーでは7割以上
http://www.rbbtoday.com/article/2014/05/28/120226.html　  RBB TODAY
ライフメディアのリサーチバンクは28日、歩きスマホに関する調査結果を発表した。調査期間は5月16日〜21日で、10代から60代の全国男女1200名から回答を得た。
まず全員に「スマートフォンの所有」について尋ねたところ、54％が所有者（ユーザー）だった。また「歩きスマホ」という言葉を知っているか尋ねたところ、76％が「知っている」と回答した。スマホ所有者では84％が、スマホ非所有者では67％が「知っている」と回答している。
次に、スマホ所有者（n=646人）に対し、「歩きスマホをすることがあるか」を尋ねたところ、半数以上の62％が「ある」と回答した。そこで、歩きスマホ経験者（n=400人）に「歩きスマホをしているときに人にぶつかりそうになった経験」を尋ねたところ、8％が「ぶつかったことがある」、40％が「ぶつかりそうになったことがある」と回答した。
逆に全員に「歩きスマホをしている人が自分にぶつかったりした経験があるか」を尋ねたところ、14％が「ぶつかってきたことがある」、39％が「ぶつかりそうになったことがある」と回答している。また「歩きスマホも“歩きたばこ”のように法令や条例で規制したほうが良いと思うか」を尋ねたところ、60％が「規制したほうが良い」と回答。スマホ非所有者では71％が、スマホ所有者でも50％が「規制したほうが良い」と回答している。
歩きスマホ経験者に対し、「歩きスマホが法令や条例で規制されても歩きスマホをするか」と質問すると「しなくなると思う」と回答したのは31％で、半数近くの49％は「控えるようになる」と回答しているが、11％は「規制されてもすると思う」と回答している。

DRM回避は「電子書籍のコストを増大させる」　日本電子出版協会が“コミスケ事件”にコメント
http://www.itmedia.co.jp/news/articles/1405/28/news132.html    ITmedia
電子書籍コピーソフト「コミスケ3」を製造したソフト開発会社社長などが逮捕・起訴された事件を受け、電子書店やDRMメーカーなどで構成する日本電子出版協会が見解を発表した。
電子書籍のDRMを回避してコピーを可能にするソフト「コミスケ3」を製造したとして、著作権法違反の疑いで横浜市のソフト開発会社社長などが逮捕され、その後不正競争防止法違反の罪で起訴された事件を受け、電子書店やDRMメーカーなどで構成する日本電子出版協会が5月28日、見解を発表した。
協会は、DRM回避ソフトは結果的に電子書店などのコストを増大させると指摘。被告に厳正な司法判断がなされ、違法コピーを助長する行為が処罰されるとの認識が広まれば、DRMなしの電子書籍の配信も可能になるとしている。
コミスケ3は、画面キャプチャ機能が動作しないよう仕組んであるDRMを回避し、連続して撮った画面キャプチャを一冊の書籍に仕上げるプログラムから成り立っていたとみている。電子書籍を不正コピーされた電子書店の多くは同協会の会員社で、電子書店にDRM技術を提供していたのも会員社だったという。
事件の影響について会員社からヒアリングしたところ、（1）DRMの改良など対処が必要になり、費用がかかった、（2）一定期間しか読めないことで価格を安く設定しているレンタル電子書籍が永久保存され、出版社や著者との出品交渉が難しくなった、（3）DRMメーカーは顧客の電子書店からのクレーム対応に費用がかかった――など、対策に費用や手間がかかったという。
協会は、「DRMはコピー防止対策だが、その費用を純良な読者から頂くことでもある」と指摘。DRM解除ソフトは電子出版の発展を阻害するとし、被告に対し厳正な司法判断を求めている。
また「電子出版物の不正なコピーを助長する行為は処罰されるのだという認識が広まれば、DRMがなくても電子出版物を配信することができるようになり、より使いやすい電子出版物を増やすことができる」とし、違法コピーの抑止が結果的にDRMなしの電子書籍普及につながるとしている。
ニュースリリース　　2014/5/28 「電子出版物の不正コピープログラム摘発に関する日本電子出版協会の見解」
http://info.jepa.or.jp/whatsnew/20140528
日本電子出版協会
http://www.jepa.or.jp/






警視庁、刑事部『公開捜査』Twitterアカウントを開設
http://www.rbbtoday.com/article/2014/05/28/120224.html　  RBB TODAY
警視庁は28日、新たに警視庁刑事部刑事総務課の公式Twitterアカウント「＠MPD_keiji」を開設した。
警視庁広報課Twitterから独立し、独自アカウントを取得したもので、「公開捜査」に関する情報を中心にツイートするとのこと。情報発信専用で、原則として返信等は行われない。
警視庁では現在、広報課「＠MPD_koho」、採用センター「＠MPD_saiyo」、警備部災害対策課「＠MPD_bousai」、犯罪抑止対策本部「＠MPD_yokushi」がそれぞれ独自アカウントを開設している。
警視庁刑事部『公開捜査』 (MPD_keiji)さんはTwitterを使っています
https://twitter.com/MPD_keiji





2014年05月27日




「悪魔」「サイコパス」「母への偏愛」　弁護団をも翻弄したPC遠隔操作片山被告の“心の闇”とは
http://www.itmedia.co.jp/news/articles/1405/27/news034.html    ITmedia
「悪魔」の本心はどこにあるのか−。4人が誤認逮捕された遠隔操作ウイルス事件で、威力業務妨害などの罪に問われたIT関連会社元社員、片山祐輔被告（32）は捜査当局に「真犯人」メールが自作自演と見破られた途端、すべての事件への関与をあっさりと認めた。か細い声で謝罪の言葉を並べ、残された母親の健康を心配する一方、無罪を勝ち取るために団結してきた弁護団のことを「操ってきた」と喜々として語る。自らを「サイコパス（反社会性人格障害）」と分析する心のうちには、底知れぬ闇が見え隠れする。
「平気で嘘を付ける」…自ら「真実」を暴露
「すがすがしい気持ちだ」
弁護団に一連の事件への関与を認めてから3日後の22日。片山被告は東京地裁での公判で、これまでの無罪主張から一転、すべての罪を認め、弁護団にこう心境を吐露した。
「傍聴人の視線が怖かった」とも漏らしたが、表情は安堵（あんど）感に満ちていた。これまでの公判で「徹頭徹尾、事実無根」「第5の冤罪被害者」と声高に潔白を訴えてきた強気な姿勢は消えうせていた。
「初めて接見したとき、よどみない話しぶりに無実を信じた」。主任弁護人の佐藤博史弁護士は、片山被告の第一印象をこう振り返る。だが、白旗をあげてからの片山被告は「平気で嘘を付ける」といい、味方だったはずの弁護団を裏切るような「真実」を次々に明らかにしていった。
例えば、遠隔操作ウイルスの設計図が入った記録媒体が見つかり、片山被告の逮捕の決め手になった神奈川・江の島の猫の首輪。捜査当局は江の島近くのスーパーで首輪を2個購入したとみていたが、弁護団の調べで購入記録がなかったことが分かり、無罪の心証を強めていた。
だが、片山被告は「あれは万引したんです」と暴露。佐藤弁護士は「こうやって、弁護団のことを操っていたと言った。困ったことに、私たちをどのようにだましたかを話しているときは、楽しそうにしている」と打ち明ける。
4人が誤認逮捕されたことについても、「非常に不謹慎だが、『やったー』という気持ちになったそうだ。自分の行いで他人を社会から抹殺しかけたという重大性を十分に認識しておらず、悪魔のような部分が潜んでいる」と困惑を隠さない。
「演技性の人格障害」…勝ち目なくなり、負けを認める
一連の事件では、今月16日の真犯人メールを含め、片山被告が作成、送信したとみられる計5通のメールが報道機関や弁護士などに届いた。
平成24年10月の最初の犯行声明メールでは、「私の目的」として「警察・検察を嵌（は）めてやりたかった、醜態を晒（さら）させたかったという動機が100％です」と書き込み、「今回はこのぐらいにしておくけれど、またいつか遊びましょうね」と締めくくっていた。
2通目からは、徐々に愉快犯的な度合いを強め、同11月のメールでは事件を「ゲーム」と表現し、「捕まるのが嫌なので今から首吊（つ）り自殺します」と“ゲームオーバー”を示唆。25年1月1日に「謹賀新年」のタイトルで送られたメールでは「さて新しいゲームのご案内ですよ」「マスメディアの方は独占スクープのチャンスです」などと、報道機関の競争心をあおるような内容に変遷した。
4日後の1月5日の「延長戦」メールでは、東京・奥多摩の雲取山に埋めたとする記録媒体が警視庁などの合同捜査本部の捜索で見つからなかったことを引き合いに、「ちゃんと登頂したのにオオカミ少年みたいに思われているのが不本意」とあった。
「演技性の人格障害。知らず知らずのうちに嘘を重ね、自分を大きく見せるような演技をしてきた」。片山被告の人物像について、こう指摘するのは臨床心理士の長谷川博一氏。「嘘が心理的な負担になり、『すがすがしい』という率直な感想が口に出た。すべてを勝ち負けで考えており、どう転んでも勝ち目がなくなったので負けを認めた」
それでも、弁護団が今月21日、精神鑑定の結果によっては無罪の可能性もあると伝えたところ、片山被告は「この事件は知的に考えぬかれた事件だから自分が無罪になることはない」と、自らの行為へのプライドをのぞかせたという。
ピーターパン…強い「自己愛」「優越意識」
片山被告は父親を早くに亡くし、母親に女手一つで育てられた。都内の名門私立の中高一貫校を卒業後、理工系大学を中退。だが、専門学校でパソコンを学んでいた17年、大手レコード会社社員への殺害予告事件で逮捕される。
「『のまネコ』の使用を即時中止しろ。さもなくば社員を刃物で殺害する」。レコード会社のネコを模したキャラクターが、インターネット掲示板「2ちゃんねる」に登場するネコのイラストに似ているとしてネット上でそう要求した。
「自分は企業が求める人物像と違う。社会に必要ない人間だと感じ、むしゃくしゃしていた。ネットで注目されたかった」。片山被告は当時の犯行動機をこう語っていた。
精神科医の日向野春総（ひがのはるふさ）氏は、片山被告を「自己愛型の人格障害」と分析。犯行動機について、「『一般人はクズだ』という強い優越意識があり、自分と同じくらい知能の高い人間に注目されたいと思っている」とみる。
母親は当時の裁判で「（片山被告は）中学に入ると学校での出来事を話さなくなり、表情もなくなった。逮捕後、初めていじめられていたことを明かされた」と証言。片山被告も「殴られたり蹴られたり、のこぎりで頭を切られたりした」といじめの詳細を打ち明け、母親に心配をかけたくない気持ちがあったことを示唆している。
最後に真犯人メールを送った理由についても、片山被告は「母親が口癖のように『早く平穏な生活が送りたい』と言っていたから」と、母親への偏愛ぶりを示している。
「友達付き合いが下手で、殻に閉じこもり、気が付いたら周りに母親しかいなかった。母親との幼稚な関係性から脱却できずにいるピーターパンのような精神状態」。日向野氏はこう推測している。
佐藤弁護士は22日の公判後の会見で、涙ぐみながら、片山被告にこう語りかけた。「ありのままの姿を見せることです」。今後も弁護を続けるという佐藤弁護士の訴えは片山被告の胸に届くのか。裁判の行方が注目される。

2014年05月26日




Adobe ShockwaveにバンドルのFlash、多数の脆弱性が放置状態に
http://www.itmedia.co.jp/news/articles/1405/26/news030.html    ITmedia
現行バージョンのShockwaveに組み込まれているのは、2013年1月にリリースされた古いバージョンのFlash 11.5.502.146だった。
米Adobe SystemsのShockwave Playerに組み込まれているFlashが古いバージョンのまま更新されず、多数の脆弱性が放置された状態になっていることが分かった。米カーネギーメロン大学のCERTが脆弱性情報を更新して注意を呼び掛けている。
CERTによると、この問題はWindowsとMac向けの「Shockwave Player 12.1.1.151」までのバージョンに存在する。Shockwaveに組み込まれているのは、2013年1月にリリースされた古いバージョンの「Flash 11.5.502.146」だったことが判明。Shockwaveは独自のFlashランタイムを採用していて、AdobeがFlash Playerの更新版を公開しても、ShockwaveのFlashランタイムは更新されないままになっているという。
CERTは当初、2012年12月に公開した脆弱性情報でこの問題を指摘していたが、その後も問題は解決されず、2014年5月15日に内容を更新した。
Flash Playerは、5月13日にバージョン13.0.0.214が公開されている。2013年1月以降にリリースされたセキュリティアップデートは約20件に上り、攻撃が発生している危険な脆弱性が何件も含まれる。
セキュリティ情報サイトの「Krebs on Security」は、CERTの情報を執筆したセキュリティ専門家ウィル・ドーマン氏の話として、ShockwaveにはMicrosoft Windowsに組み込まれた悪用防止技術が有効になっていないモジュールが多数あり、Flashの脆弱性を直接悪用するよりも、Shockwaveを経由した方が攻撃が容易だと指摘している。
Adobeの広報はCERTに指摘された問題を認めたうえで、Shockwave Playerの次のバージョンにはFlash Playerの更新版を組み込むと表明したとKrebs on Securityは伝えている。
Vulnerability Note VU#323161　Adobe Shockwave player provides vulnerable Flash runtime
http://www.kb.cert.org/vuls/id/323161
Krebs on Security　　Why You Should Ditch Adobe Shockwave
http://krebsonsecurity.com/2014/05/why-you-should-ditch-adobe-shockwave/





携帯端末の位置情報、事業者に提供しているかどうか分からない人が4割弱
http://internet.watch.impress.co.jp/docs/news/20140526_650203.html    Impress Watch
総務省情報通信政策研究所は23日、「位置情報の利用に対する意識調査」の結果を発表した。
携帯端末の位置情報を事業者に提供して利用している何らかのサービスがあるとした人は32.8％で、利用しているサービスはないとした17.4％を大きく上回った。ただし、最も多かったのは「位置情報を提供しているか分からない」の38.6％だった。なお、残りの11.2％は、自分の機種には位置情報の機能・設定がないとの回答。
実際に位置情報を提供して利用しているサービスで多かったのは、天気予報・気象情報（ウェザーニュースなど）の23.9％と、Google マップの23.1％。一方、携帯カメラがこれに次いで16.8％だが、この機能については分からないとした人も38.1％と多かった。
位置情報サービスの利用や位置情報の提供の設定のオン／オフをどこで行うか知っているとしたのは39.1％、知らないが45.6％だった。女性では51.1％が知らないと回答。年代別では、10代では過半数の52.0％が知っていたが、年代が上がるに連れて割合は下がり、60代で知っているとしたのは24.0％だった。
無料サービスと引き替えに企業が位置情報などを利用することについて、「便利なサービスであっても自分の位置情報利用は認めない」とした人は31.9％だった。一方、「特に気にならず、同意・承諾する」が11.2％、「目的が明確に提示されていれば、納得して同意・承諾する」が30.6％、「抵抗感はあるが、便利なサービスを利用するためにはやむを得ないので同意・承諾する」が26.3％で、これらを合わせると位置情報を提供する意向のある人が68.1％に上る。
調査は今年3月下旬、携帯電話を保有する18〜69歳を対象にウェブアンケートで実施。サンプル数は1600人で、各年代・男女150人ずつ（10代のみ男女50人ずつ）。
プレスリリース　　「位置情報の利用に対する意識調査」の公表
http://www.soumu.go.jp/menu_news/s-news/01iicp01_02000017.html
位置情報の利用に対する意識調査（PDF）
http://www.soumu.go.jp/iicp/chousakenkyu/data/research/survey/telecom/2014/location-info.pdf





ゴルフWeb予約システムへの不正アクセスでアドレスが漏えい、架空請求も（東京システムハウス）
http://scan.netsecurity.ne.jp/article/2014/05/26/34255.html    ScanNetSecurity
東京システムハウス株式会社は5月16日、同社が運営するゴルフWeb予約システムサーバに不正アクセスがあり、利用者のメールアドレスが漏えいした可能性があると発表した。また、該当するメールアドレスに対してゴルフコース名を騙った架空請求メールが送付されているとの報告もあるという。
漏えいした可能性があるのは、17,790件のメールアドレス。氏名、住所、クレジットカード情報等の漏えいは確認されていない。同社ではすでにプログラム対応および安全確認を完了しており、警察への被害届も提出済みだという。なお、ゴルフコースからの「支払額が違います。ご確認をお願い致します。」「ご予約の件についてのご連絡です。決済情報のご確認をお願い致します。」といった内容のメールを受け取った場合には、確認用URLアドレスへのアクセスや添付ファイルを開くといった行為は行わずにメールを削除するよう呼びかけている。
東京システムハウス　　当社ゴルフＷｅｂ予約システム不正アクセス被害のご報告
http://www.tsh-world.co.jp/news/n20140516.html





業務用ノートPCを紛失、回収するも個人情報を含む情報を閲覧された可能性（サイボウズ）
http://scan.netsecurity.ne.jp/article/2014/05/26/34249.html    ScanNetSecurity
サイボウズ株式会社は5月23日、同社の業務用ノートPCの紛失事故が発生したと発表した。これは5月13日18時50分頃、同社の従業員が列車で移動中、業務用ノートPCを入れた紙袋を列車内に置き忘れ、紛失したというもの。その後、直ちに列車の遺失物センターに連絡、追って警察に紛失届を提出した。同日21時43分頃から58分頃には、同社の情報システム部にて、当該ノートPCから社内システムにアクセス可能なアカウントの停止処理を完了した。
5月14日16時30分頃、JR東日本の遺失物センターより、当該ノートPCを前日に駅係員が発見し、JR府中本町駅にて保管されている旨の連絡を受け、同日19時00分頃にJR府中本町駅にて当該ノートPCを回収した。同社のセキュリティ対策チームおよび情報システム部にて、回収した当該ノートPCを調査したところ、「パスワード入力をせずにログインできる状態であったこと」「発見されるまでの間に第三者が複数回当該ノートPCにログインした形跡があったこと」が判明した。
なお「パスワード入力をせずにログインできる状態であったこと」については、同社ではOS標準機能によりスリープからの復旧時にパスワード入力を求めるよう設定していたが、別のデータ暗号化ソフトの不具合によって、当該OSの設定が書き換えられ無効化されていたという。
このことから、当該ノートPCに記憶されていた「発注情報（連絡先、発注製品、キャンセル情報等）」「見積書、注文書情報」「特定の取引先企業の担当者情報、価格/販売実績情報」「特定製品のサービス提供状況」「顧客の要件情報」「取引先企業の販売リスト」「同社セミナーへの申込みリスト」が閲覧された可能性があるとしている。
サイボウズ　　個人情報を含むノートパソコンの紛失に関するお詫びとご報告
http://group.cybozu.jp/news/14052301.html
個人情報を含むノートパソコンの紛失に関するお詫びとご報告
http://group.cybozu.jp/news/pdf/2014/140523.pdf






NTPサーバを踏み台としたDDoS攻撃が頻発--技術レポート（IIJ）
http://scan.netsecurity.ne.jp/article/2014/05/26/34248.html    ScanNetSecurity
株式会社インターネットイニシアティブ（IIJ）は5月23日、インターネットの基盤技術に関する最新の技術動向や、セキュリティ情報を紹介する技術レポート「Internet Infrastructure Review（IIR）」のVol.23を発行した。今号では、2014年1月から3月までの3カ月間を対象として、IIJが取り扱ったインシデントと対応について紹介するとともに、対象期間中に発生したセキュリティ関連の着目すべき事象について解説している。また、迷惑メールの動向とメールの技術解説、ビッグデータ解析の現状についても紹介している。
レポートでは期間内の主要なインシデントとして、NTPサーバを踏み台としたDDoS攻撃が頻発し、国外では1回の攻撃で400Gbpsもの通信量を記録するものもあったことを挙げている。国単位で影響を受けるドメインハイジャック事件の発生、オンラインバンキングを利用した金銭被害の増加、Webサイトの改ざん、及び改ざんされたサイト経由でマルウェア感染に誘導する事件の増加など、多くのインシデントが引き続き発生している。
フォーカスリサーチでは、マルウェア「PlugX」の検体を分類したところ、ある特定のグループがPlugXを利用した攻撃に関与している可能性が浮かび上がったこと。また、攻撃先の回線容量を超える通信量を発生させるDrDoS攻撃を防ぐには、機器の脆弱性情報に注意して、セキュリティの問題がないバージョンのファームウェアを利用することが大切であり、詐称した通信がネットワークに侵入することを防ぐ技術を利用することも有効な対策方法であることを紹介している。
IIJ　　インターネットの最新の技術動向・セキュリティ情報のレポート「Internet Infrastructure Review」Vol.23を発行
http://www.iij.ad.jp/news/pressrelease/2014/0523.html
http://www.iij.ad.jp/news/pressrelease/2014/pdf/IIRVol23.pdf

宿泊施設で提供されているWi-Fiのルータの脆弱性を悪用される実例
http://www.rbbtoday.com/article/2014/05/26/120143.html　  RBB TODAY
宿泊施設で提供されているWi-Fiのルータの脆弱性を悪用される実例（トレンドマイクロ）
トレンドマイクロ株式会社は5月23日、多くのホテルや宿泊施設でWi-Fiを利用する際の危険性について、同社ブログで実例を紹介している。この実例は休暇中のもので、宿泊施設提供されたインターネットアクセスを利用していたところ、スマートフォンのFacebookアプリが接続を拒否した。しかし、他のアプリやWebサイトには問題なく接続できた。また、モバイル端末のブラウザを使用してYoutubeへアクセスを試みたところ、Internet Explorerのアップデートを促す警告文が表示された。Android端末上では、意味のない警告文であることは明らかであるが、PC上からFacebookにアクセスしてみると同じ警告文が表示された。警戒していなければ、ユーザはこのメッセージにまったく疑いを持たないかもしれないと指摘している。
表示されたメッセージで「OK」をクリックしてみると、アップデートサイトが表示される。公式のダウンロードページではないという記載はあるが、本物のように見えるため、ユーザは正規のWebサイトだと思い込んでしまう可能性がある。このWebサイトのどの場所をクリックしても、「TSPY_FAREIT.VAOV」として検出される不正なファイルがダウンロードされ、感染したPC上で実行される。「FAREIT」ファミリは、一般的に感染PC上に他の脅威をダウンロードするために利用される不正プログラムだ。
同社で簡単な解析を行ったところ、DNS設定が変更されており、DNSクエリが不正なサーバに送信されていることが分かった。この不正なサーバは、「facebook.com」や「youtube.com」といったドメインを訪れようとしたユーザを不正なWebサイトに誘導する。今回、使用していたネットワークのルータは、DSLモデムと無線LANルータを一体化させた「TP-Link TD-W8951ND」であった。この機器は、非常に深刻な脆弱性を抱えており、悪用されると外部のユーザがWebページにアクセスし、ルータのファームウェアを更新したり、バックアップを取ることが可能になる。また、このファームウェアのファイルは簡単に復号することができ、その最初の行にはroot権限のパスワードが含まれている。同社では対策として、一般に公開されているDNSサーバを積極的に使用すること（Google の場合は「8.8.8.8」と「8.8.4.4」）などを挙げている。






Android端末にカメラの映像を盗み見られるセキュリティホールが存在
http://gigazine.net/news/20140526-android-camera-security-hole/    GIGAZINE
ノートPCなどに搭載されているウェブカメラをハックして盗撮に悪用される危険性が指摘されるなど、ネットワークに接続されたカメラによるプライバシー侵害が問題になっていますが、Android端末でも遠隔操作によりユーザーに気付かれることなくカメラに写っているものを盗み見たり、画像やその他のデータを送信できてしまうセキュリティホールが存在していたことが明らかにされました。

Snacks for your mind: Exploring limits of covert data collection on Android: apps can take photos with your phone without you knowing.
http://snacksforyourmind.blogspot.co.uk/2014/05/exploring-limits-of-covert-data.html

このセキュリティホールを発見したのは大学生のSzymon Sidorさん。学内のプロジェクトでコンピューターとネットワークのセキュリティを研究していた際に、偶然にもAndroidのカメラ機能に問題があることを発見し、自身のブログで公開することにしたとのこと。
具体的なカメラ画像抜き取りアプリの内容はもちろん明らかにされていないのですが、Sidorさんは同様のアプリの被害にあわないためには以下のような対策が有効であるとブログで呼びかけています。
1．アプリのインストール時に表示される「アプリの権限」に注意する
 メモ用アプリなど、カメラに関係なさそうなアプリにもかかわらずカメラ機能への権限を要求してくる場合は注意が必要です。
2．Googleアカウントを安全な状態に保つ
 セキュリティを高めて他人による乗っ取りを防ぐために、2段階認証プロセスを使ったり、定期的にパスワードを更新するなどの対策が重要です。また、一般的によく使われているパスワードは使わないようにすることも対策の一つです
3．不要なアプリは削除する
4．電池使用量やデータ使用量が想定外に多いアプリがあった場合、悪意のある動作を疑ってみることも重要。
5．バックグラウンドで動作しているアプリを確認し、怪しいアプリが動いていないかチェック
見慣れないものがあった場合は、アプリ名をGoogleで検索すると正体がわかることがあります。
6．疑いのあるアプリは完全に停止させる
「設定」→「アプリ」→「アプリ情報」に入って「強制停止」をタップすると、動作を完全に停止させることが可能です。
もはや「万能ツール」とも言えるスマートフォンですが、その便利さと引き替えにプライバシーが常に脅かされる状況になってきたといえる状況です。常におびえる必要はありませんが、いつも頭の片隅にセキュリティのことを置いておくことも必要といえるでしょう。Sidorさんはブログの最後でGoogleに対しても「もっとユーザープライバシー保護に力を注いで欲しい」と提言しています。






2014年05月23日




Ciscoが2件のセキュリティ情報を公開、コード実行の脆弱性などに対処
http://www.itmedia.co.jp/enterprise/articles/1405/23/news037.html    ITmedia
Wide Area Application Services（WAAS）ソフトウェアとCisco NX-OSベース製品に存在するリモートコード実行や権限昇格の脆弱性に対処した。
米Cisco Systemsは5月21日、Wide Area Application Services（WAAS）とCisco NX-OSベース製品に関するセキュリティ情報を公開し、リモートコード実行や権限昇格の脆弱性に対処したことを明らかにした。
WAASソフトウェアの脆弱性は、バージョン5.1.1〜5.1.1dでSharePointアクセラレーション機能を設定している場合に影響を受ける。この問題を突いて不正なSharePointアプリケーションにユーザーがアクセスするよう仕向ければ、昇格された権限で任意のコードを実行できてしまう恐れがある。
この脆弱性の危険度は共通指標のCVSSベーススコアで「9.3」（最高値は10.0）となっている。現時点で攻撃の発生などは確認されていないという。
一方、Cisco NX-OSの脆弱性は、同OSを搭載したCisco Nexus、Unified Computing System（UCS）、MDS 9000 Series Multilayer Switch、1000 Series Connected Grid Routers（CGR）の各製品が影響を受ける。
脆弱性は4件あり、権限の昇格やサービス妨害（DoS）攻撃に利用される恐れがあるほか、昇格された権限で任意のコードを実行され、デバイスを完全に制御される可能性も指摘されている。CVSSベーススコアは最も高いもので「7.8」となっている。
各脆弱性は、Ciscoがそれぞれの製品向けにリリースした無料ソフトウェアアップデートで修正された。
Cisco Wide Area Application Services Remote Code Execution Vulnerability
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140521-waas
Multiple Vulnerabilities in Cisco NX-OS-Based Products
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140521-nxos





40ドルのPC遠隔操作ソフト「黒い闇」摘発　簡単に乗っ取り、世界50万台が被害
http://www.itmedia.co.jp/news/articles/1405/23/news043.html    ITmedia
他人のPCを簡単に乗っ取り遠隔操作ができるソフトにより、世界約100カ国で50万台以上が被害に遭っていた事件が摘発された。
他人のパソコンを簡単に乗っ取り遠隔操作ができるソフトウエアによって、世界約100カ国で50万台以上が被害に遭っていた事件が摘発された。米連邦捜査局（FBI）と欧州16カ国の捜査当局が協力し、5月20日までに開発者や利用者97人を逮捕した。
「ブラックシェーズ（黒い闇）」と呼ばれるこのソフトはわずか40ドルで購入でき、感染させたパソコンからデータやパスワードを盗み出したり、搭載カメラで盗撮したりできる。日本でもパソコン遠隔操作事件が波紋を広げているが、誰もが危険なサイバー犯罪者になれてしまうソフトの存在は衝撃的だ。
「安く手に入れることができ、簡単に使えるが、機能は洗練され、侵入能力も驚異的だ」
米国のプリート・バララ連邦検事はAP通信に、ブラックシェーズについてこう語った。
闇サイトで販売
欧米メディアによると、FBIと欧州捜査当局は先週、各国で一斉摘発に踏み切り、2日間で359カ所の家宅捜索を実施。ソフトを開発・販売した主犯格のスウェーデン人（24）を東欧のモルドバで逮捕したほか、ハッカー90人以上を捕まえた。ハッカーたちは情報交換サイトで摘発を知ったが、その時は手遅れだったという。
FBIの調べによると、ブラックシェーズは「リモートアクセスツール（RAT）」と呼ばれる違法ソフトの一種。2010年から闇サイトなどで販売され、約35万ドル（約3500万円）の売り上げがあったという。
ターゲットのパソコンに交流サイト（SNS）などを通じてメッセージやメールを送信。相手が記載されたリンクをクリックすると、ウイルスがダウンロードされ乗っ取られる。
FBIのサイバー犯罪捜査チームの責任者、レオ・タデオ氏は米CNNテレビに、「簡単に（感染を）検知できないうえ、犯罪組織はソフトを次々とアップデートし、被害が広がった」と指摘した。
ソフトを利用したハッカーたちは、保存されているデータやパスワードを盗み出し悪用していた。
また、パソコンを停止させ、「警告！　あなたのパソコンはロックされ、データは暗号化されました」とのメッセージとともに、復旧のための手数料を要求する脅迫状と、振込先の銀行口座を送り付ける事件も起きた。
寝室を盗撮、脅迫
このほか、保存写真を盗み見したり、大音量でメッセージを流して相手を驚かしたりする悪質な嫌がらせも。
それだけではない。全米を驚愕させたのが、昨年（2013年）のミス・ティーンUSAに選ばれたキャシディ・ウルフさん（19）が遭った被害だ。元同級生の男子学生（20）が彼女の寝室のパソコンを遠隔操作し、裸の画像を盗撮。それをメールで送り付け、「言うことを聞かないと画像を流出させる」と脅迫した。学生は約1年間、彼女の寝室をのぞき見していたといい、今年3月に禁錮1年半の判決を言い渡されている。
バララ連邦検事は「たった40ドルで、世界中の人々を危険なサイバー犯罪者に仕立ててしまう」と警告した。
「最もプライベートな場所をのぞき見され、心の傷になっている。これは誰の身にも起きる可能性がある事件です」
CNNの報道番組に出演したウルフさんもこう訴えた。彼女はパソコンを買い換え、カメラのレンズには上からステッカーを貼ったという。

公益企業の制御システムに対する不正アクセス事例、米ICS-CERTが報告
http://www.itmedia.co.jp/enterprise/articles/1405/23/news039.html    ITmedia
制御システムは単純なパスワードの仕組みを使ってリモートアクセス機能が設定されていたが、一般的なブルートフォース攻撃で破られた。
米国土安全保障省の産業制御システムセキュリティ担当機関ICS-CERTは、2014年1月〜4月のセキュリティ動向に関する報告書をまとめた。公益企業の制御システムが高度な攻撃を受けて不正アクセスされた事例などを紹介し、適切な対策を講じていない制御システムは攻撃者に発見され、不正アクセスされる可能性が高まっていると警告した。
報告書によると、公益企業に対する不正アクセスは最近になって発覚した。ICS-CERTが調べた結果、制御システムの管理に使われていたソフトウェアが、インターネットに接続されたホスト経由でアクセスできる状態になっていたことが判明したという。
同システムは単純なパスワードの仕組みを使ってリモートアクセス機能が設定されていたが、一般的なブルートフォース（総当たり）攻撃を使ってセキュリティを破ることが可能だった。このシステムが数え切れないほどの攻撃にさらされていたことや、過去にも侵入されていた形跡があることも分かった。
報告書ではこのほかにも、インターネットに接続されていた機械装置の制御システムが高度な攻撃を受けて不正アクセスされた事例などを紹介している。
こうした産業制御システムは、インターネットから直接アクセスできる状態になっている場合や、リモートアクセス機能を使って制御システムのネットワークにログインしている場合、さらにはリモートアクセスサービスがどのようなセキュリティ対策に守られているのかがよく分からない場合、サイバー攻撃の標的になり得るとICS-CERTは警告する。
そうした攻撃を防ぐための対策として、全制御システムでネットワークへの露出を最低限に抑えること、リモートアクセスが必要な場合は仮想プライベートネットワーク（VPN）などのセキュアな方法を採用すること、デフォルトのシステムアカウントはできる限り無効にするか名称を変更することなどを助言している。
ICS-CERT報告書（PDF）
http://ics-cert.us-cert.gov/sites/default/files/Monitors/ICS-CERT_Monitor_%20Jan-April2014.pdf

位置情報の“値段”、高齢者ほど高め……総務省調査
http://www.rbbtoday.com/article/2014/05/23/120101.html　  RBB TODAY
総務省（情報通信政策研究所）は23日、「位置情報の利用に対する意識調査」の結果を公表した。
この調査は、電気通信事業者が取得可能な位置情報の活用の在り方の検討資料とするのが目的。携帯電話利用者に対し、位置情報を提供し多様な目的に利用されることに対する意識調査を行った。調査期間は3月21日〜23日で、18以上69歳までの男女各年代300人（10代のみ100人）の計1,600サンプルから回答を得た。
それによると現在、位置情報（基地局情報、Wi-Fiアクセスポイント、GPS情報）を提供し「何らかのサービスを利用している」という人は全体の32.8％だった。携帯電話の位置情報サービスのオン／オフの設定方法の認知度は、全体で39.1％。一方で設定方法を知らない人は45.6％と知らない人の割合の方が高かった。
「利用しているサービス」として、まず「携帯電話端末の位置情報サービスをオンにしている」という人の割合は22.1％。「天気予報、気象情報」（23.9％）や「Googleマップ」（23.1％）についても、位置情報サービスをオンにしている割合が高かった。
自分の位置情報を提供することに対し、「特に気にならない」「便利なサービスが使えるなら気にせず提供する」の合計は、全体で37.2％。60代以外の年代では特に年代差もなく40％弱となっている。「気にはなるが、便利なサービスのためにはやむを得ない」を含め、位置情報を提供する意向がある人は全体で65.4％となっている。また、位置情報が企業の広告やマーケティング、商品開発等に使われることがあることの認知度は30.3％だった。
なお、「利用者へのポイント等の経済的なメリット還元やサービス利用料の減免があること」を選択した人に、月いくら位のメリットがあれば、位置情報の提供を許容できるかを聞いたところ、年代が上がるほど高くなる傾向が見られた。10代の最多は「100円以上200円未満」33.3％だが、それ以上の年代では、「500円以上」が最多。とくに60代では60％が「500円以上」としている。





ウイルス感染でゾンビ化するモノ――本当は怖いIoT
http://techtarget.itmedia.co.jp/tt/news/1405/23/news03.html    ITmedia
数十億台もの機器がデータを収集して共有するIoT。もし、それらの機器がウイルスに感染すれば、甚大な被害が予想される。この責任は誰が負うのだろうか。
「モノのインターネット」（Internet of Things、以下“IoT”）を支持する人々は「数兆ドルのビジネスチャンス」だという。だが、IoTにはプライバシーと安全性に関する問題も潜んでいる。身の回りのあらゆるものをインターネットに接続する前にセキュリティについて考える必要がある。
IoTは非常に大きな概念のため、セキュリティについて議論することは容易ではない。自動車、牛、石油掘削装置、医療機器、冷蔵庫など「あらゆるもの」にIPアドレスを割り当てた場合、どうやってコントロールすればよいのだろうか。この全てを取り囲める境界は存在しない。
米Cisco Systemsでセキュリティ／ガバメントグループの部長と最高技術責任者を兼任するブレット・ハートマン氏は次のように述べている。「問題は、それぞれの領域が完全に分離されていることだ。各領域で使われているテクノロジーは、それぞれに特化している傾向がある。IoTのセキュリティを一括で管理することは不可能だ」
IoTでは、企業と個人のどちらもデータの保存場所や行く先をあまり制御できなくなる。コンシューマライゼーションが企業を襲ったとき、データと接続性に対する権力と制御はIT部門からユーザーに移った。IT部門は今もなおその衝撃への対応に追われている。そして今、もう1つ別の変化が起きようとしている。
米ThreatTrack Securityでエンジニアリング／製品担当部長を務めるディプト・チャクラバティ氏は次のように話す。「権力はユーザーからコンピュータに移ろうとしている。権力がコンピュータに移ると、接続性とセキュリティは反比例の様相を呈する。適切にバリアを張ることができない限り、接続性が高まるほどセキュリティは弱くなる」
簡単に確保できないIoTのセキュリティ
IoTの「モノ」をコントロールするのは非常にやっかいな作業だ。セキュリティを確保するためにはコンピューティング能力が必要になる。だが、ほとんどのモノにはその能力が最小限にしか備わっていない。
「このようなエンドポイントデバイスの大半はあまり大きくない。特にセキュリティに関するコンピューティング能力はそれほど高くない。例えばIPアドレスを割り当てられる電球はあるが、セキュリティのために残されている処理能力は多くない」とハートマン氏はいう。
また、所持品をIP接続するとOSも必要になる。だが、OSには修正プログラムを適用しなくてはならない。適用しなければハッカーに脆弱性を悪用され、ゾンビ化した数百万台もの機器やその他のモノが、ボットネットの新しいメンバーになりかねない。
IoTは全て相互に通信し、相互に影響する。
米ニューヨークを拠点とする451 Researchで主任アナリストを務めるエリック・ハンゼルマン氏は興味深い問いを投げ掛けている。「例えば牛の監視システムがハッキングされたらどの程度の問題が発生するだろうか」。ハッキングされるのは単なる受動的なデータなので大したことはない。だが、牛の健康状態に関するデータが農場にある別のモノに渡され、そのモノがデータを処理して新しいデータを生み出す可能性がある。そして、そのデータがIPネットワークを介してどこか別の場所に運ばれる可能性もある。
「このような経路は適切に保護されていない場合が多い。エンドポイントそのものよりも、データ経路が新たな攻撃プラットフォームを作り出しているという事実の方が問題だ」とハンゼルマン氏は指摘する。
ThreatTrack Securityのチャクラバティ氏は次のように話している。「電子レンジが誰かに乗っ取られ、冷蔵庫の電源を切るよう指令を出し続けたらどうなるだろうか。誰も電子レンジに何かが起こっているとは思いも寄らないだろう。ゆっくりとした変化ではあるが、ユーザーが主体ではなくなってきている。例えばスマートフォン（多機能な携帯電話）を持ち歩いていると思うかもしれないが、それは単なる電話ではない。ネットワーク上でルータが行うのと同様に情報を通信できる伝達装置であり受信機なのだ」
IoTのセキュリティを確保するには
ネットワークを監視すれば問題を解決できるというエンジニアもいる。
Cisco Systemsのハートマン氏は次のような見解を示している。「ネットワークファブリックを活用して、全ての機器のトラフィックを監視し、何らかの不正や攻撃の可能性が見られる場所ではそれを制限することが重要だ。例えば、工業制御システムでは管理コンソールを使ってロボットの設定を変更している。だが2台のロボットアームが相互に再プログラミングすることは望まないだろう。つまり、関連するトラフィックを確認して、そのようなことが起こらないようにすることは可能だ。ロボットアーム間のトラフィックは制御して制限できる」
米コネチカット州のスタンフォードを拠点とするGartnerで研究担当部長を務めるアール・パーキンス氏によると、IoTのセキュリティを確保するには暗号キー管理インフラストラクチャとID管理システムが必要になり、その規模は数十億ドルに上るという。
「データが存在するのがIoTのモノでも中間の場所でも、そのような環境にあるデータを保護する方法を見つけ出さなければならない。そのため、暗号キー管理とID管理に対する見方を変えざるを得ないだろう。各ユーザーが個人的なクラウドネットワークを形成するため、ID管理と資産管理の能力を結合する必要がある。身に着けたり自宅で使用したりするIoTにより、私たちはさまざまな機器に囲まれているようなものだ。自分にもアイデンティティー（ID）があり、モノにもIDがある。だが、自分とモノのIDの関係を維持するにはどうすればよいだろうか」（パーキンス氏）
IoTには、洗練されたリスクマネジメントに対するアプローチも必要だ。IoTの機器は全てが新しいわけではない。データを抽出するために古い機器やシステムをIP接続する組織もある。このような古いシステムには、最初からIPエンドポイントとして設計されたものよりも高いリスクが伴う。
「そのような古いデータソースがもたらすリスクに対処できるインテリジェンスを追加する必要がある」と451 Researchのハンゼルマン氏は述べている。
IoTのセキュリティ問題に関する責任の所在
IoTのセキュリティを確保するには多くの作業が必要になるのは明白だが、この問題に取り組む前に、責任の所在について考える必要がある。数十億台もの新しい機器がデータを収集して共有しようとしている。また、さまざまな企業がそれを実現しつつある今、問題の責任はどこに問われるのだろうか。
ハンゼルマン氏によると、現時点では、この問題はまだはっきりしていないという。IoTのセキュリティ侵害による被害について誰が責任を負わなければならないのかすら明確には定められていない。現在米国で施行されている法律でも、プライバシーの喪失がどのくらい重大だと認められるのかという基準は確立されていない。
またモノのハッキングによる人身傷害や物的損害についての法律責任はさらに曖昧だという。例えば、自動車のブレーキシステムがハッキングされた結果、損傷／損害／死亡などの事象が発生した場合の責任については法律で明確に定められていない。自動車メーカーがセキュリティ侵害の責任を負うのだろうか。「今後、このような責任の所在を定める判例法が作られるだろうが、現時点では法的に曖昧な状態だ」とハンゼルマン氏は語る。
ほとんどの場合、IoTのモノの製造元はセキュリティの責任を負わないだろう。責任を負うのはアプリケーションや接続サービスを提供する企業だ。
Gartnerのパーキンス氏は次のように話している。「機器のセキュリティを確実に確保することは、恐らく機器を通じてサービスを提供する側に求められるだろう。それはアプリケーションやサービス自体を提供する企業の場合もあれば、ネットワークを提供するサービスプロバイダーの場合もあるだろう。あるいはその両方かもしれない。このような機器が不正な行為を行ったときの法的責任や法的意味という大きな課題が、私たちの前に立ちはだかっている」

2014年05月22日




片山被告、起訴内容全て認める　弁護士「悪魔が仮面をかぶっていた」
http://www.itmedia.co.jp/news/articles/1405/22/news127.html    ITmedia
PC遠隔操作事件の公判で、片山被告は起訴内容を全て認めた。佐藤弁護士は「悪魔が仮面をかぶっていた」と述べ、彼を犯罪に駆り立てた「社会がかかえている悪魔」を解明すべきと訴えている。
4人の誤認逮捕につながった遠隔操作ウイルス事件で起訴されていた片山祐輔被告（32）の公判が5月22日、東京地裁であった。片山被告は罪状認否で「全部事実です」と述べて起訴内容をすべて認め、誤認逮捕された人などに謝罪した。佐藤弁護士は公判後の会見で片山被告について、「悪魔が仮面をかぶっていた」と述べ、彼を犯罪に駆り立てた「社会がかかえている悪魔」を解明すべきと訴えた。
片山被告はこれまでの公判で無罪を訴えていたが、保釈中に真犯人を装ったメールが送られ、送信元となったスマートフォンが捜査関係者に見つかるなどし、「言い逃れできない」と一転、自らの犯行を認めた。
佐藤弁護士は公判後の会見で、「片山被告は非常に頭の回転の速い人だが、完全に間違ったことに使っていた」と指摘。マルウェアの「マル」（mal-）が「悪」の意味を持つことを引いた上で、片山被告について、「悪魔が仮面をかぶっていた」と指摘した。
ただ、「善なる部分が悪魔の方をずっと見続けていたことも事実」で、犯行の詳細を説明できるなど「自分の悪魔性を説明できる」とも。弁護団は片山被告に対して、「サイバー空間でヒーローになりかけていたが、間違ったヒーローが仮面をぬぎ、自分自身を見つめ直す時だ」などと説いているという。
弁護側は今後の審理で、被告の精神鑑定を求める構えだ。減刑のためではなく、「現代社会には“片山祐輔予備軍”がたくさんいるかもしれない」ため、「彼がどうして犯罪者になったかに光を当てる」ことが目的という。「社会が抱えているとんでもない悪魔を白日のもとにさらすことが、これからの私たちの仕事だと思っている」
佐藤弁護士は法科大学院の学生に対し、「刑事弁護人には悪魔を弁護する覚悟が必要」と説いてきたが、「まさか自分がこれだけの悪魔と対峙しなきゃいけないとは思ってこなかった」とも述べた。

IEに新たな未解決の脆弱性、セキュリティ企業が公表
http://www.itmedia.co.jp/enterprise/articles/1405/22/news043.html    ITmedia
IE 8に未解決の脆弱性が発覚した。ユーザーに不正なWebページを閲覧させたり不正なファイルを開かせるなどの手口を使って、リモートで任意のコードを実行される恐れがある。
米Hewlett-Packard（HP）傘下のセキュリティ企業TippingPointは5月21日、米MicrosoftのInternet Explorer（IE） 8に存在する未解決の脆弱性に関する情報を公開した。
TippingPointのZero Day Initiative（ZID）サイトに掲載された情報によれば、IE 8に、CMarkupオブジェクトの処理に起因する解放後使用の脆弱性が存在する。悪用された場合、ユーザーに不正なWebページを閲覧させたり不正なファイルを開かせたりするなどの手口を使って、リモートで任意のコードを実行される恐れがある。
この問題は2013年10月11日にMicrosoftに報告され、2014年2月には同社でも問題が再現できること確認した。しかし、ZDIが修正期限と定める180日を過ぎても修正パッチが提供されなかったため、情報公開に踏み切ったとしている。
当面の対策としては、メールなどのリンクを不用意にクリックしたり、添付ファイルを不用意に開いたりしないといった一般的な注意事項のほか、Microsoftの脆弱性緩和ツール「Enhanced Mitigation Experience Toolkit（EMET）」をインストールすれば、攻撃者が脆弱性を悪用することが難しくなると解説している。
(0Day) Microsoft Internet Explorer CMarkup Use-After-Free Remote Code Execution Vulnerability
http://zerodayinitiative.com/advisories/ZDI-14-140/





eBayに不正アクセス、暗号化されたパスワードなどが流出
http://www.itmedia.co.jp/news/articles/1405/22/news042.html    ITmedia
何者かが従業員のログイン情報を使ってeBayの社内ネットワークに侵入し、ユーザー名や暗号化されたパスワードを記録したデータベースに不正アクセスした。
米eBayは5月21日、ユーザーのパスワードなどの情報を記録した社内データベースがサイバー攻撃を受けたと発表した。パスワードは暗号化されていたが、ユーザーは安全のため、パスワードを変更するよう促している。
発表によると、2月下旬から3月上旬にかけて、何者かが従業員のログイン情報を使ってeBayの社内ネットワークに侵入し、データベースに不正アクセスした。このデータベースにはeBay利用者のユーザー名や暗号化されたパスワード、メールアドレス、住所、電話番号、誕生日などの情報が記録されていた。
一方で、クレジットカード情報は暗号化したうえで別の場所に保存してあり、不正アクセスされた形跡はないとしている。
従業員のログイン情報が盗まれたことに気付いたのは2週間ほど前で、詳しく調べた結果、データベースが不正アクセスされていたことが分かったという。
現時点で、今回の情報流出に起因するeBayアカウント上での不正行為が発生している形跡は見られないという。同社は捜査当局やセキュリティ専門家の協力を得て、さらに調査を進めている。
ユーザーに対しては、メールやWebサイトでの告知などを通じてパスワードの変更を呼び掛ける。また、同じパスワードを別のサイトでも使っていた場合、そちらも変更するよう促しており、同じパスワードを複数サイトで使い回してはいけないと助言している。
プレスリリース    eBay Inc. To Ask eBay Users To Change Passwords
http://www.businesswire.com/news/home/20140521005813/en/eBay-To%C2%A0Ask-eBay-Users-Change-Passwords#.U30JdPl_vFk






巧妙なのであらためて注意、Google ドライブ上の偽Googleログインページ再び
http://internet.watch.impress.co.jp/docs/news/20140522_649810.html    Impress Watch
Google ドライブを悪用して偽のGoogleログインページを公開する巧妙な手口がまた使われていることを、米Symantecが5月21日付の同社公式ブログで報告している。
この手口は、偽ログインページのファイルをGoogle ドライブ上で公開し、プレビュー機能で発行されたそのファイルの共有URLをフィッシングメールなどで拡散するというもの。重要文書をGoogle Docsで公開したなどとしてそのURLへ誘導するわけだが、アクセス先がGoogle Docsのため、Googleのログインページが表示されてもあまり不自然に思われない。また、偽ログインページがホスティングされているのがGoogle ドライブの正規ドメインであり、SSL接続であることも相まって、本物らしく見せるのに非常に効果的だという。
一方で攻撃者は今回、細かいミスをしているという。ページ右下にある言語選択のプルダウンメニューで各言語の文字列の両端に「？」が表示されるというものだ。原因は偽ページの複製を保存する際の不注意でエンコーディングが変わってしまったためらしい。いずれにせよ、目立たない部分であり、仮にこれに気付いたとしても小さなバグか自身のPCの環境によるものと判断してしまうと思われ、この部分から偽ログインページと見抜くのは難しいという。
偽ログインページに“ログイン”してしまうと、用意した別のGoogle Docs文書にリダイレクトされるため、（文書の内容は別にして）ごく自然な流れと言える。一方で、その裏では入力された認証情報が外部サーバーに送信される。送信先サーバーにあったPHPスクリプトの名称が、3月に発見した際に使われていたものと同じだったことから、同じ詐欺グループが関与しているか、少なくとも同一のフィッシング攻撃ツールが使われているとSymantecではみている。
Symantecによると、こうした攻撃はURLを注意深く確認することで正規のログインページではないことが分かるほか、ページのHTMLソースを見ることで外部サーバーのPHPスクリプトにデータを渡すようになっていることも分かるという。
しかし、一般ユーザーにとって気が付くのは難しいとも指摘し、セキュリティ対策ソフトを利用することが重要だとしている。また、身に覚えのないメールの添付ファイルを開いてはいけないという一般的なセキュリティの心得は、クラウド上の文書ファイルへのリンクであっても守らなければならないと言えそうだ。
攻撃者は窃取した認証情報を使って、被害者のGoogleアカウントに不正アクセスするものと考えられる。Symantecでは引き続き、Googleユーザーに対して二要素認証を使用することと、セキュリティ対策ソフトを最新状態で使用するようアドバイスしている。同社製品でもこの攻撃の検出に対応している。
なお、Symantecではこの攻撃手法について、3月の時点でGoogleに通知済みだとしている。
このほか、フィッシングではなく、Google ドライブ上のスタティックなHTMLページからマルウェアを仕込んだサイトへリダイレクトさせるケースもSymantecでは確認しているという。
Symantec公式ブログの該当記事（英文）　　　Sophisticated Google Drive Phishing Scam Returns
http://www.symantec.com/connect/ja/blogs/sophisticated-google-drive-phishing-scam-returns







ヤフーがプライバシーポリシー改定　「Tポイント」ユーザーのWeb閲覧履歴、CCCに提供
http://www.itmedia.co.jp/news/articles/1405/22/news137.html    ITmedia
ヤフーがプライバシーポリシーを改定へ。Yahoo！JAPANで「Tポイント」連携の手続きをしたユーザーについて、Webページ閲覧履歴などをCCCに提供する旨を新たに盛り込む。
ヤフーは6月2日付けで、「Yahoo！JAPAN」のプライバシーポリシーを改定すると発表した。Yahoo！JAPANで「Tポイント」連携の手続きをしたユーザーについて、ヤフーが保有するWebページ閲覧履歴などをカルチュア・コンビニエンス・クラブ（CCC）に提供し、ヤフーはCCCが保有する商品購入履歴などの提供を受ける――という内容を新たに盛り込む。オプトアウトの仕組みも用意する。
ヤフーとCCCはポイントプログラムで提携しており、昨年7月からポイントとIDを統一。「Yahoo！ポイント」を「Tポイント」に切り替え、「T-ID」を「Yahoo！JAPAN ID」に統一している。
プライバシーポリシーの改定は、両社が保有するユーザー情報の一部を提供し合うことで「ユーザーをより深く理解し、サービスの魅力を高める取り組み」を始めることを受けて行う。具体的な取り組みの内容は「未定」（ヤフー広報部）としている。
改定後のプライバシーポリシーには、ヤフーが保有するユーザーのWebページ閲覧履歴やキャンペーンへの参加情報、顧客分析情報を提供すること、ヤフーはCCCが保有する商品購入履歴、キャンペーンやサービスの利用履歴、顧客分析情報の提供を受けること――を盛り込む。
Web閲覧履歴は、「ユーザーが閲覧したWebページのURLを1つ1つ送るのではなく、特定の広告やWebサイトを閲覧したユーザーのクラスター（群れ）の情報を送る」（同）イメージという。
情報を提供する際は、ユーザーのYahoo！JAPAN IDをヤフーとCCCが共同で管理する「ユーザー管理番号」に置き換えて提供。「個人情報と切り離して提供するため、個人情報保護法上の第三者提供には当たらない」（同）としている。
情報の相互提供は、Yahoo！JAPANのIDと「Tポイント」をひも付ける「Tポイント連携」の手続きをしたユーザーが対象。連携を希望しないユーザーには、オプトアウトの仕組みも用意する。
新ポリシーには、違法行為を行った疑いがあるユーザーの連絡先を官公庁に開示するための規定、外部研究機関などとの共同研究でのデータ取り扱いに関する規定なども追加する。
プライバシーポリシー改定のお知らせ
http://docs.yahoo.co.jp/info/notice/140519.html






インターネットバンキングを狙う不正送金対策を電話・リモートで提供（キューアンドエー）
http://scan.netsecurity.ne.jp/article/2014/05/22/34239.html    ScanNetSecurity
キューアンドエー株式会社は5月20日、インターネットバンキングを狙った不正送金対策を電話・リモート（遠隔操作）サポートにて5月24日より提供開始すると発表した。本サービスは、電話およびリモートサポートによって「パソコンセキュリティ対策診断」を無償で実施し、必要に応じて適切なサポート内容の提案や、要望があればその場でウイルス予防・駆除などの有償サポートを行うというもの。
また、OSや周辺プログラムのアップデート、セキュリティ対策相談を行う「不正送金被害に対する対策サポート」（3,000円：30分）を提供するほか、ユーザ自身でセキュリティ対策ができるよう、有償サポートとしてオンラインレッスン「パソコンセキュリティ対策講座」も提供する。料金は3,800円（30分：1講座＋復習用テキスト）。なお、「パソコンセキュリティ対策診断」は6月30日まで無償で提供する。
キューアンドエー　　　インターネットバンキングの不正送金被害対策サポートを開始　〜パソコンセキュリティ対策診断サービスを無償提供〜
http://www.qac.jp/news/2014/05/20140522_internetbanking_support.html






ネットワーク向けの情報漏えい防止製品群を発表（マカフィー）
http://scan.netsecurity.ne.jp/article/2014/05/22/34238.html    ScanNetSecurity
マカフィー株式会社は5月22日、組織において外部への情報漏えいを防止するソリューション「McAfee Data Loss Prevention（DLP）」のネットワーク向け製品群の提供を発表した。5月26日より、国内の同社販売代理店を通じて提供を開始する。同社では、組織や企業の情報漏えいによる損失を防止するソリューションとして、従来からエンドポイント向けにDLPソリューションを提供してきたが、今回新たにネットワーク向けにMcAfee DLP製品群の提供を日本で開始することで、エンドポイントからネットワークまでの総合的な情報漏えい防止ソリューションを提供する。
ネットワーク型McAfee DLP製品群の構成製品は、他のDLPソリューションと連動し、社内のネットワーク上でやり取りされるデータのフローを統合管理する「McAfee DLP Manager」、社内ネットワーク上のデータをモニタリングし監視・保存する「McAfee DLP Monitor」、サーバ上のファイルを定期的にスキャンし、ストレージやハードディスクなどに保存された重要情報を検出、保護する「McAfee DLP Discover」、メールとWeb両方のネットワーク トラフィックを分析し、情報漏えいを検知、防止する「McAfee DLP Prevent」。
また、今回のネットワーク型McAfee DLP製品群の提供開始にあわせ、ネットワーク型McAfee DLP製品群と、エンドポイントの情報漏えい対策ソリューション「McAfee Data Loss Prevention Endpoint」を同梱したスイート製品「McAfee Total Protection for Data Loss Prevention」の提供も開始する。この総合的な情報漏えい対策ソリューションにより、組織や企業の重要なデータ資産をネットワークとクライアントの両環境で保護することが可能になる。
マカフィー　　　マカフィー、情報漏えい対策ソリューション「McAfee Data Loss Prevention」のネットワーク型製品の提供開始を発表
http://www.mcafee.com/japan/about/prelease/pr_14a.asp?pr=14/05/22





OpenSSLの脆弱性を標的としたアクセス、最大1日に12,881件（警察庁）
http://scan.netsecurity.ne.jp/article/2014/05/22/34236.html    ScanNetSecurity
警察庁は5月21日、@policeにおいて2014年4月期のインターネット観測結果等を発表した。4月期では、「OpenSSLの脆弱性を標的としたアクセスの検知」「ビル管理システムに対する探索行為の検知」「53/UDP を発信元としたパケットの更なる増加」が目立った。警察庁の定点観測システムにおいて4月9日以降、OpenSSLの脆弱性の攻撃コードに実装されているClient Helloパケットと完全に一致するパケットを観測しており、10日に注意喚起を実施した。その後もパケットは増加し、ピーク時の12日には12,881件/日のパケットを観測した。その後、22日まで8,000件/日程度のパケットを継続して観測した。
宛先ポートは、443/TCP、995/TCP、993/TCP、5222/TCP、465/TCP、1194/TCPを観測しており、HTTPSに使用される443/TCPポート以外にもOpenSSLが使用されているサービスをまんべんなく検索している状況がうかがわれた。23日以降は観測されるパケットは急激に減少しているが、継続して観測されていることからから今後も注意する必要があるとしている。また、3月中旬から検知していた、代表的なビル管理システムである「BACnet（Building Automation and Control Networking protocol）」の探索行為と考えられるアクセス（ポート番号47808/UDP）は、4月にも継続して確認している。
警察庁（@police）
http://www.npa.go.jp/cyberpolice/

FIFA ワールドカップをエサにした脅威が増加（トレンドマイクロ）
http://scan.netsecurity.ne.jp/article/2014/05/22/34235.html    ScanNetSecurity
トレンドマイクロ株式会社は5月21日、観戦チケットを販売する偽のFIFAのWebサイトを確認したと同社ブログで発表した。「2014 FIFA ワールドカップ」が近づくにつれ、このイベントを「餌」にした脅威の増加、悪質化が進んでいるとしている。ブラジルのユーザを対象としたと思われるこのWebサイトでは、決勝戦のチケットを1枚8,630.20レアル（2014年5月21日時点で約39万円）で販売していた。この金額は、FIFAの公式サイトで販売されている正規のチケットのおよそ40倍となる。
ブラジルの苦情を受け付けるWebサイトでは、この問題の Webサイトからポルトガル対ドイツ戦のチケットを3枚購入したユーザが、まだチケットを受け取っていないことを報告している。また、このユーザは連絡先となる電話番号がこの詐欺サイトに記載されていないことも挙げた。さらに、同サイトで別のユーザは、今回の詐欺に関与する人物と連絡を取る唯一の方法は、チャットか Eメールのみであることを明かしている。トレンドマイクロでは、ワールドカップの観戦チケットの販売を正式に許可されているのはFIFAのみであるため、こういった詐欺サイトへ訪れないように注意を呼びかけている。
トレンドマイクロ：ブログ　　　ブラジル開催「2014 FIFA ワールドカップ」に便乗する脅威、次はチケット詐欺、ブラジルで被害を確認
http://blog.trendmicro.co.jp/archives/9133





航空母艦からハッキングを仕掛けた海軍の原子炉管理者
http://gigazine.net/news/20140522-hacking-from-aircraft/    GIGAZINE
複数人のハッカーたちと共謀してアメリカ海軍の航空母艦であるハリー・S・トルーマンからウェブサイトのハッキングを行った27歳の元海軍船員Nicholas Paul Knight被告が、オクラホマ州タルサで行われた裁判にて自身の罪を認めました。

Sailor convicted of hacking websites from aboard aircraft carrier | Ars Technica
http://arstechnica.com/tech-policy/2014/05/sailor-convicted-of-hacking-websites-from-aboard-aircraft-carrier/

2 plead guilty in hacking case : Journal Star Breaking News
http://journalstar.com/news/local/911/plead-guilty-in-unl-hacking-case/article_fedc64d3-9ecf-5e6b-942a-ffff1eb7a78d.html

罪を認めたKnight被告は、アメリカ海軍の空母であるハリー・S・トルーマンの原子炉部門にてシステム管理者を務めていた際に海軍の使用するネットワーク経由で海軍データベースにハッキングを仕掛けていました。
Knight被告は「Team Digi7al」と名乗るハッカー集団のひとりで、このハッカー集団は2012年から少なくとも24を越えるウェブサイトを攻撃して個人情報を流出させてきたとのこと。Team Digi7alがハッキングをしかけたサイトはアメリカ合衆国国土安全保障省、アメリカ議会図書館、スタンフォード大学、ロスアラモス国立研究所、Toronto Police Service、ネブラスカ大学リンカーン校などなど多岐にわたり、Knight被告自身もアメリカの陸軍と海軍が使用する「SmartWebMove」というウェブサービスをハッキングし、サービスを利用する22万人分の社会保障番号や生年月日、住所、その他の個人情報を盗み出してきたことが判明しています。
Knight被告のハッキング行為を突きとめたのは海軍犯罪捜査局(NCIS)で、空母がアメリカ国外へ巡航していた際、当時現役の下士官兵として空母に乗船していたKnight被告が海軍ネットワーク経由でTeam Digi7alのTwitterアカウントを使用したため、容疑がかけられることとなったそうです。その際、NCISは偽のデータベース・サーバーを構築してこれにKnight被告がハッキング行為を仕掛けるかどうか監視、Knight被告は見事おとりサーバーにハッキングを仕掛け、ハッカーであることがバレてしまったというわけです。
なお、Knight被告には5年の禁錮刑と25万ドル(約2500万円)の罰金が課せられました。






2014年05月21日




遠隔操作事件　「適応障害の可能性も」　弁護団、片山被告の精神鑑定請求を検討
http://www.itmedia.co.jp/news/articles/1405/21/news045.html    ITmedia
東京地裁での2月の初公判から無罪を訴えてきた片山祐輔被告は今後の公判で、有罪を認める主張に転じる。弁護側は「適応障害など精神的な問題が犯行に深く関係していた可能性がある」として地裁に精神鑑定の請求を検討。一方、検察側は争点だった犯人性の立証が不要になり、公判の迅速化を期待している。
22日の次回公判では、罪状認否が改めて行われ、片山被告は起訴内容を認める見通しだ。30日にも公判が予定されており、両期日で被告人質問が実施される可能性がある。
公判では、捜査に関わった警察官ら検察側証人16人の採用が決定。16日の前回公判までに片山被告の元同僚ら12人が証言を行っていた。
佐藤博史弁護士は「検察側証人に反対尋問を実施する意味がなくなった」と説明。6月以降の公判日程や、請求証人の見直しについて検察、裁判所と協議する見通しだ。





WordPressサイトの改ざんを検知するサービス……M2Mテクノロジーズとメディアウォーズが開発
http://www.rbbtoday.com/article/2014/05/21/119990.html　  RBB TODAY
M2Mテクノロジーズとメディアウォーズは20日、WordPressのDBに格納されるコンテンツ改ざんを検知するサービスを発表した。
WEBサイト改ざん検知サービス「SITE PATROL」（M2Mテクノロジーズ）と「Site Keeper」（メディアウォーズ）のオプションとして提供する。「SITE PATROL」と「Site Keeper」では、PHPやPerl等のプログラムファイルの改ざんを検知することが可能だったが、今回新たに、データベースに格納されたコンテンツの改ざん検知機能を、オプションとして搭載する。
データベースを含むすべてのデータを検査することで、表記変更のみの改ざんや未知の攻撃にも対応可能とのこと。




顔認識デバイス「Face ID」に認証欠如の問題（JVN）
http://scan.netsecurity.ne.jp/article/2014/05/21/34225.html    ScanNetSecurity
独立行政法人 情報処理推進機構（IPA）および一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）は5月21日、Hanvon Technology Co.,Ltdの提供する顔認識デバイス「Face ID」に認証欠如の問題が存在すると「Japan Vulnerability Notes（JVN）」で発表した。
「Face ID ファームウェア 1.007.110 より前のバージョン」には、重要な機能に対する認証の欠如の問題（CVE-2014-2938）が存在する。この問題が悪用されると、攻撃者にユーザ情報およびアクセス制御に関する情報を改ざんされる可能性がある。JVNでは、開発者が提供する情報をもとにファームウェアをアップデートするよう呼びかけている。
JVN　　JVNVU#95165083 Hanvon Face ID に認証欠如の問題
http://jvn.jp/vu/JVNVU95165083/index.html





4月末に修正されたFlash Playerの脆弱性を悪用するウイルス、日本で感染拡大
http://internet.watch.impress.co.jp/docs/news/20140521_649487.html    Impress Watch
ESETは21日、Flash Playerの脆弱性「CVE-2014-0515」を悪用するウイルスが日本国内で多く確認されているとして、注意を呼び掛けた。
ウイルスは、CVE-2014-0515を悪用するトロイの木馬およびその亜種で、日本では5月20日に感染が増加したことが確認されている。ESET製品では「SWF/Exploit.CVE-2014-0515」として検出する。
CVE-2014-0515は、4月28日に修正されたFlash Playerの脆弱性で、脆弱性の修正前に攻撃が発生する“ゼロデイ攻撃”に悪用されていたことが確認されている。ESETではウイルスに感染しないための対策として、ウイルス定義データベースを最新にアップデートすることや、OSやソフトウェアのアップデートを行い、セキュリティパッチを適用することなどを呼び掛けている。
ESETセキュリティニュースの該当記事　　　Adobe Flash Playerの脆弱性(CVE-2014-0515)を悪用した水飲み場型ゼロデイ攻撃にご注意ください
http://canon-its.jp/product/eset/sn/sn20140521.html
SWF/Exploit.CVE-2014-0515の概要　　　SWF/Exploit.CVE-2014-0515
http://www.virusradar.com/en/SWF_Exploit.CVE-2014-0515/description





青森県立中央病院がVDI約400台のセキュリティ対策にDeep Securityを採用（トレンドマイクロ）
http://scan.netsecurity.ne.jp/article/2014/05/21/34224.html    ScanNetSecurity
トレンドマイクロ株式会社は5月21日、青森県立中央病院が院内の医療関係者が使用する仮想デスクトップ（VDI）約400台のセキュリティ対策に、総合サーバセキュリティソリューション「Trend Micro Deep Security（Deep Security）」を2014年3月に導入したと発表した。同院では、医療業務の効率向上を目的として電子カルテ情報の入力・閲覧用システムを仮想デスクトップ上で導入。さらに、全病棟の看護師にAndroidタブレットを配布し、院内のどこからでもアクセス、編集できる環境を整備した。
同院ではVMware Horizon Viewで構築した仮想デスクトップ導入にあたり、患者の個人情報を入力・閲覧するシステムを保護するため、セキュリティ対策が必須とされた。しかし、セキュリティ対策を実施することによりシステムに負荷がかかり、パフォーマンスが低下し医療業務に支障をきたすことが懸念された。そこで、セキュリティ対策製品の比較検討の結果、エージェントレスで仮想環境へのシステム負荷を抑えつつシステムを保護することが可能なDeep Securityが採用されたという。
トレンドマイクロ
http://www.trendmicro.co.jp/jp/index.html
青森県立中央病院、約400台の仮想デスクトップのセキュリティ対策に
総合サーバセキュリティソリューション「Trend Micro Deep Security™」を採用
〜仮想サーバ上の薬剤・リハビリ支援システムなどの医療情報システムもDeep Security™で保護〜
http://www.trendmicro.co.jp/jp/about-us/press-releases/articles/20140512054519.html






97％の企業がセキュリティ対策をしてもマルウェアに侵入されている
http://gigazine.net/news/20140521-97-percent-hacked/    GIGAZINE
セキュリティ企業「FireEye」と「Mandiant」が、6か月間もネットワーク・セキュリティに関する調査を実施したところ、調査のためにデータを収集した多くの企業は多層防御によるセキュリティ対策を行っていましたが、全体の約97％がマルウェアなどの侵入を受けていることが明らかになっています。

fireeye-real-world-assessment.pdf
http://www2.fireeye.com/rs/fireye/images/fireeye-real-world-assessment.pdf

Study: 97% of companies using network defenses get hacked anyway | Ars Technica
http://arstechnica.com/security/2014/05/study-97-of-companies-using-network-defenses-get-hacked-anyway/

2013年10月から2014年3月にかけ、FireEyeはネットワークおよびEメールからリアルタイムデータを収集する1614の監視デバイスを世界中のネットワーク上に設置。ネットワーク・セキュリティの現状を調査しました。
調査によると、C＆Cサーバー(マルウェアをコントロールする司令塔となる中央サーバー)からのトラフィックはデータを収集したシステムの中で4分の3を占めており、不正アクセスを行っている最中のC＆Cサーバーが約3万5000台以上も見つかっています。また、また、高等教育機関（学校関連）のネットワークではボットネットによるトラフィック量が最大に達していたとのこと。
多くの企業では、ファイアウォール・侵入検知(IDS)/侵入防止(IPS)システム・アンチウイルスソフトなどを組み合わせた「多層防御」によるセキュリティ対策をとっていますが、いずれも確実にマルウェアの侵入を防げるものはなかったことが判明。FireEyeデバイスは監視していたネットワークから20万8000ものマルウェアのダウンロードを検知し、12万4000のマルウェア亜種を発見。
セキュリティが破られた後も、平均して毎週1.6回のセキュリティ侵害が試みられており、4分の1の組織がAPT攻撃を経験していることがわかりました。攻撃の目的は、短期的なサイバースパイから長期的なネットワークの破壊活動まで多岐にわたるとのこと。
なお、これらのサイバー攻撃は、国家支援組織および専門的犯罪組織によって行われているとFireEyeは予想しています。

Android向けマルウェアとして恐るべき仕組みとビジネスモデルを備える「iBanking」とは？
http://gigazine.net/news/20140521-ibanking/    GIGAZINE
97％の企業がセキュリティ対策をしてもマルウェアに侵入されているという調査結果が出ているように、常に改造が続けられて進化し、年々攻撃力を増して仕組みも巧妙になっていくマルウェアの数々ですが、新たに存在が確認された「iBanking」というマルウェアは、従来はほとんど見られなかった仕組みを備えていることがアンチウイルスソフトウェア「ノートン」シリーズで有名な「シマンテック」のブログで明らかにされています。

iBanking: Exploiting the Full Potential of Android Malware | Symantec Connect Community
http://www.symantec.com/connect/blogs/ibanking-exploiting-full-potential-android-malware

iBankingはGFFという名前の人物によって作成されたマルウェアで、この手のソフトとしては珍しいサービス型ソフトウェアのビジネスモデルを持つものとなっています。このサービスを利用するユーザー(攻撃者)は最大で5000ドル(約50万円)の利用料を作成者に支払うか、不正に得た「利益」から一定の割合を支払うことでライセンスを取得するというものになっています。一風変わったビジネスモデルを持つものですが、裏を返せばそれに見あうだけの効果が得られるという驚愕のマルウェアということになります。
◆iBankingがターゲットに侵入する仕組み
多くの場合、攻撃者はあらかじめウイルスに感染しているPCを利用して、ターゲットとなる個人のAndroid端末にiBankingをインストールさせるように誘導します。
1．ターゲットとなるユーザーが銀行などの金融機関のウェブサイトを開いた際に、あらかじめPCに侵入させてあるトロイが画面上にポップアップを表示。そのポップアップには、セキュリティ向上のためにモバイル向けアプリをインストールするように促すメッセージが記載されています。
2．ポップアップを目にしたユーザーは、指示に従って電話番号などの詳細情報を攻撃者のサーバへ送信、
3．内容を受け取ったサーバからは、記載された電話番号の端末にiBankingのインストール方法を記したSMSメッセージを送信。ユーザーは金融機関による公式アプリと錯覚してインストールしてしまいます。
4．iBankingがインストールされた端末からは、多くの個人情報などが攻撃者のサーバに送信される、という仕組みになっています。
端末にインストールされたiBankingは、以下のような動作を行うことが判明しています。
・端末の電話番号、ICCID(SIMカードID)、IMEI、IMSI、モデル名、OS名を取得
・送受信されるSMSメッセージを傍受し、サーバへ送信
・通話を傍受し、リアルタイムでサーバへ送信
・通話を攻撃者が指定した電話番号へ転送
・電話帳に保存された情報をサーバへ送信
・マイクを使って周囲の音を録音し、サーバへ送信
・SMSメッセージを送信
・GPS情報の取得
・ファイルシステムへのアクセス
・プログラム一覧へのアクセス
・管理者権限を取得している場合には、マルウェア検出を防止
・管理者権限を取得している場合には、端末を工場出荷状態にリセット
・難読化されたプログラムコード
◆iBankingが悪用される方法
iBankingを最も活用しているとみられているのはNeverquestと呼ばれるサイバー犯罪集団です。NeverquestはTrojan.Snifulaに独自の改造を施したマルウェアを用いて数千人にも上る被害者を生みだしている集団で、国際金融機関などに対して行う中間者攻撃(MITM攻撃)を補強するための手段としてiBankingを導入しているとみられています。主にネットバンキングの際に発行されるワンタイムパスワードを盗み見てハッキングを行っているのですが、利用されている電話番号の多くが西ヨーロッパで使われているものであることから、Neverquestも西ヨーロッパを中心に活動していると考えられています。
◆対策
iBankingの活動を検知しているシマンテックでは、すでにこの脅威をAndroid.iBankingとして検出しています。このマルウェアに感染するユーザーの多くは、その前段階としてPCがトロイに感染しているケースが多いため、PCのアンチウイルスソフトでその感染を防ぐことで、iBankingの感染を予防することが可能としています。
被害にあわないためには、ウイルス定義ファイルを最新の状態にしておくことはもちろん、本文中に怪しいソフトウェアのインストールファイル(APK)へのリンクが記載されているメッセージには十分注意すること、悪意のあるAPKが信頼のおけるマーケットプレイスで配布されているケースもあることを頭の片隅に置いておく必要があります。





標的型サイバー攻撃に対処する「サイバーレスキュー隊（仮称）」を新たに発足(IPA)
http://scan.netsecurity.ne.jp/article/2014/05/21/34220.html    ScanNetSecurity
IPA、「サイバーレスキュー隊」準備チームを立ち上げ……標的型サイバー攻撃の被害組織を支援
IPA（独立行政法人情報処理推進機構）は20日、“標的型サイバー攻撃”に対処する「サイバーレスキュー隊（仮称）」をセキュリティセンター内に新たに発足させることとし、準備チームを設置したことを発表した。
“標的型サイバー攻撃”は2011年以降、社会や組織にとって極めて深刻な問題となっているが、企業・団体等の組織が“標的型サイバー攻撃”を受けてもそれに気がつかないまま、被害が拡大している実態があるという。
「サイバーレスキュー隊（仮称）」は、攻撃を検知できずに“潜伏被害”を受けている組織、および検知したセキュリティインシデントの状況や深刻度が認識できずにいる組織に対して、「攻撃の把握」「被害の把握」「対策の早期着手」を支援するものとなる。
「サイバーレスキュー隊（仮称）」は今夏の正式発足を予定しており、今後は、体制、活動の準備を進めていくとのこと。
なおIPAでは2011年10月に「標的型サイバー攻撃 特別相談窓口」の設置、2012年4月に「サイバー情報共有イニシアティブ（J-CSIP）」の運用を開始している。
プレス発表　「サイバーレスキュー隊（仮称）」発足に向けた準備チームを5月20日に立ち上げ
http://www.ipa.go.jp/about/press/20140520.html







2014年05月20日





「先生すみません。自分が犯人でした」　カギになった「onigoroshijuzo2」
http://www.itmedia.co.jp/news/articles/1405/20/news116.html    ITmedia
遠隔操作ウイルス事件で起訴されていた片山被告が犯行を認めた。佐藤弁護士は今回のきっかけになった「真犯人からのメール」や、これまで謎だった点の真相などについて、本人から聞いた話について語った。
4人の誤認逮捕につながった遠隔操作ウイルス事件で、起訴されていた片山祐輔被告（32）が自分が犯人であることを認めた。片山被告が告白した佐藤博史弁護士が5月20日記者会見し、連絡が取れなくなっていた片山被告の行動や、きっかけになった真犯人からのメール、これまで謎だった点の真相などについて、本人から聞いた話について語った。
「先生すみません。自分が犯人でした」
昨日（19日）の記者会見
http://www.itmedia.co.jp/news/articles/1405/20/news080.html　：　PC遠隔操作　片山被告、一連の事件への関与認める　「死にきれなかった」
が終わった後ずっと連絡とっていたが、メール含めて連絡はなかった。だが昨日、帰宅途中のタクシー内で片山さんから電話があり、出たところ、「先生すみません。自分が犯人でした」と言った。
片山さんは19日午前12時過ぎ、東京地検から保釈取り消し請求が出ていると聞いて弁護士事務所に向かったが、ネットで「荒川の河川敷にスマホを埋めていた」と報じられ、これが事実だと分かってしまったらだめだと考え、事務所に向かうのやめて、自転車に乗り、死ぬことを考えて、どこかの公園で自殺をはかったが死にきれなかったという。
電車で高尾山に向かって山中を放浪し自分のベルトで首をつろうとしたが切れるなどして死にきれなかった。山を下りて、私に電話をかけた時には電車の音がしてたので線路の近くだったのが分かった。ホームの下の退避壕のようなところにいたが、飛び込めなかった。佐藤さんにお詫びをしようと電話をかけたという。
私が出た時は死ぬと言っていたので、そういうことはやめてちゃんと出てくるべきではないか、と言った。会話の合間に電車が通過していた。東京に戻ってこいといい、彼が電車に乗り、まわりに人はいなかったそうだが、通話を続けた。新宿に近づいたので彼が切り、じゃあまた明日と。「でももう会えないかもしれない」というようなことを言っていた。
携帯の電源が切れた状態が続いたが、今朝になって6時15分ごろに電話があり、生きてることが分かった。ある新宿のホテルに泊まったと、先生に会いたいというので迎えにいった。最終的に彼の顔を見たのは午前7時をまわっていた。事務所に行き、改めて話を聞いた。今後は保釈が取り消されて収監されるだろう、あらいざらい話すべきではないかということを言い、彼も了承した。
9時15分ごろ、地検公判部の担当に電話をかけ、片山さんが犯人であると認めた、間違いなくそうだと考えられるので、保釈取り消しは進めていただき、身柄拘束してもらうしかないと、今は事務所にいると伝えた。9時半に連絡があり、9時45分ごろ、裁判所からの保釈取り消し決定があった。実際に検察官がきたのは10時半ごろ。検察官は死ぬというようなことは考えるなという話をして、彼も安心したようだった。私はエレベータホールで握手して別れた次第だ。
彼から聞いた話はたくさんある。何よりも今回の真犯人メールがどうして送信されたのかが疑問だろうと思う。
彼は何度も言ったが、母親がいつも口ぐせのように言うそうだが、前のような平穏な生活がいつくるんだと言うと。裁判は順調に進んでいるという理解はしていたが、1日も早く裁判終わらせたいという気持ちになり、真犯人メールを送ったという。
送信された16日の前日、15日の夕刻、荒川の河川敷に、スマホをつめて、予約送信機能だと思うが、公判の時間にメールが送られるようにして立ち去ったと。まさかそれが警察に掌握されていたとは思わなかった。そのために自ら犯人であることを名乗ることになったと。
真犯人メールの文中、「onigoroshijuzo2」というアカウントにログインしたがメールボックス閉鎖されていた、とある。これは重要な情報だ。
該当箇所の原文
・onigoroshijuzo2へのアクセス履歴について、
去年２月当時「片山を逮捕したらアクセスが止まった」発表がありましたが、警察のデマです。
正確には1/5未明にメールを送信してから1年以上、ずっとログインしていません。
なお、最近ログインしたらアカウントは生きてたものの、メールボックスは凍結されてました。
警察発表のデマを佐藤弁護士が糾弾しまくってますが、ここのところは言ってないのでフォローしておきます。
警察って本当にヒドイですねーーー
パスワードは真犯人しか知らないから、それによって真犯人かどうか分かるはずだ（だから真犯人のメールでは「onigoroshijuzo2」の部分が極めて重要だと言ったら、彼もそうですねと応じていた）。彼がどうしようもないと思ったのはその部分だった。「onigoroshijuzo2」の部分を除けば、真犯人になりすまして送ったと言うことができる。だがそのパスワードを知っているは犯人しかいないし、それは自分だと。発表はされていないが、河川敷に埋めたスマホで「onigoroshijuzo2」にアクセスしており、それを警察が知ったということになると、ログインしたのは片山さんのスマホであり、真犯人メールだけでなく全部の事件について認めざるをえない──と私に説明をした。
「無罪になるためにああいうメール送っただけ」ということも可能だが、全部について自分ですと認めた。「onigoroshijuzo2」が決め手だったと。そのアカウントから送信しようと思ったが、閉鎖されていたので、新しいアカウント作って、それで送信したという。
（高尾山は）缶チューハイを飲みながらさまよっていたという。会った時も1缶持っていたが、頭が痛いと、酔っていたようだ。体調は良くないだろう。相当衰弱はしていると思う。ただ、話しぶりは全然変わらない。
佐藤弁護士は「意外なほど冷静でいられた」
裏切られたというような、否定的な感情はわかなかった。片山さんは、今まで弁護人を裏切ってきたことになるので、弁護団を解任して国選弁護人も考えていると言ったが、私はあなたを捨てることはしないと即座に応じた。
だましてすいません」と、いやそれが弁護士の仕事だからと言った。私もショックを受けなければいけないのだろうが、弁護を続けている時には常に起きること。だからといって裏切られたと非難するようでは弁護士の資格がない。なので、意外ほど冷静でいられた。

「サイコパスは自分」　有罪なら送信タイマーでメールを送るつもりだった　河川敷では見られていないと思っていた
http://www.itmedia.co.jp/news/articles/1405/20/news133.html    ITmedia
横浜CSRF事件はやってみたら簡単にできてしまった。送信タイマーによるメールトリックは以前から考えていた。雲取山のUSBメモリは自分で埋めた。佐藤弁護士が事件について、片山被告から聞いたことを語った。
なぜ事件を起こしたのか
片山さんは述懐する形で述べていた。
ラストメッセージ
http://bylines.news.yahoo.co.jp/egawashoko/20130810-00027169/　：　【PC遠隔操作事件】ラストメッセージ全文（下）　2013年8月10日
に警察・検察の恨みが書いてあるが、最初はそういうものではなく、横浜CSRF事件はやってみたら簡単にできてしまったと。「iesys」を作って4人が誤認逮捕され、不謹慎だが「やった」という気持ちになったと言っていた。
以前、真犯人についてどうかと聞いたところ、片山さんは「真犯人はサイコパスだと思います」と言っていた。彼いわく、自分がそうなんだという。うそが平気でつけると。うそは巧みだと思うが、意図的にやっているのではなく、自然な感じでできてしまう。そう自分で精神分析している。病気というか──もう1つ、「ポイントオブノーリターン」、引き返せないポイントという言葉を使ったことがある。警察が捜索するのはしょうがないが、任意で事情を聞いて逮捕にまで一気にもっていったことで引き返せなくなったと説明してきたが、自分がポイントオブノーリターンを超えてしまっていたと説明していた。どこかで引き返せなくなっていたと。
「壊れている」
全く新しい観点から見ないといけないだろう。前の事件の時に「解離性人格障害」という診断があった。現在は適応障害やうつだが、現在は薬は飲んでいなという。もっと別の角度から考えていかないといけないだろう。弁護の考えもまとまらないが、こういう事態になってみて、もし事件から学ぶことがあるとすれば、どうしてああいう人が生まれたということ。半分だまされたということだが、現代の病理ですね。そういうことを考えないと。
あるサイトが、ラストメッセージの中に「壊れている」と表現している部分がある、これが片山氏の心象風景ではないかと指摘していたが、これがぴたっと当たっていた。母親に対する感情ですね、そこから衝動的に今回の行為に出てしまったのではないか。ぜひ心理面に光を当ててほしい。残念ながら私はそういう配慮が及ばなかった。
事務所に着いてから、片山さんは電源を切っていたたスマホのメールを読んでみたところ、母親からのメールは「あなたが真犯人だったとしても受け入れる」という内容だったようだ。
母親に合わせるが顔ないと言っていたが、意を決して電話をさせた。そうしたら、母親は私には分かっていたというようなことを、うそをつき通すことはできなかったんですねというようなことを言っていた。ちゃんと出てくるの待ってるというようなことを言い、片山さんも悪かった、悪かったと言っていた。お母さんと電話していた時、受け入れると言われていた時に涙ぐんでいたような記憶ある。検察官を待つ時間、親しかった友人にも電話をしていた。
どこまで反省しているかは分からない
誤認逮捕された人に対しどう思うのかも当然聞いた。すいませんということは言っていたが、通り一遍の言葉で言えるようなものでもないし、精神状態を考えてもどこまで反省しているかは分からない。愉快犯的なものでもあり、どこまで理解しているかはわからない。
仕掛けたのは6〜7人だと言っていた。真犯人はメールでたくさんの人をのぞいたといっていたが、あれはうそだと。
これ以上人をあざむくことをしないで
2日後に公判の予定があるが、地裁に連絡して証人尋問をやめた。2日後は被告人質問しかやりようがないが、精神的にも安定していないし、どういうことを聞いていいか分からない。裁判所が決めることだが、次回は打ち合わせ程度とし、31日に次の公判が予定されているから、そこでまとまった形で心境をしゃべらせてもらうのが適切では、と伝えた。
報道陣：──昨日は「無罪」を主張していたが。
昨日の時点ではまさにそういう風に考えていた。昨日の段階では真犯人からのメールであることは間違いないと言っていた。片山さんが送ったものではないと。半分は正しかったが、半分は裏切られた形だ。秘密のPCとスマホも持っていた。わたしたちをあざむいていた。
こんな言い方してどうかとも思うが、今回の件はむしろよかったのではないかと言った。これがなければこのまま無罪の主張を続けただろう。それを見破るのは検察の役割だと、そういう割り切り方も可能だったが──
4月、母親が落ち込んでいるということで、東北への旅行に母親や事務所の者と行き、とても良かったという。お母さんが1つのきっかけ。スマホを埋めるのを見られていたことがまさかばれるとは思わなかったが、DNAなどには無頓着だったので、パーフェクトに自分のスマホだと分かるものだった。これが起きなかったらわれわれもだまされっぱなしだった。良かったじゃないかと、これ以上人をあざむくことをしないで、何があったのか説明することが役割だ、それに私は付き合うよ、と言った。
一連の事件の動機は？
動機は本人もよく分からないのではないか。仕事の給料が安いというようなことも言っていたが、尊敬する父親を早くになくし、同じITの世界に入り、母親と暮らしていたが、横浜CSRFがうまくいったことから少しずつ手を染めていって、誤認逮捕で大きくなった。犯行声明メールは送るつもりはなかったという。途中から思いついたと言っていた。
警察への恨みなどを口にすることはなかった。解離性人格障害という前の事件時の診断だが、刑務所でコミュニケーションをとる必要があり、コミュニケーションがとれるようになったと。前の事件について警察・検察を恨むようないと言っていた。
収監の際、検事は優しい態度で接していた。法定では検察が間違っていると言っていたことについてすいませんでしたと謝っていた。そういうことはいいんだよと検事は言っていたが、そういう意味では素直なところがある。言い逃れをするようなそぶりは全くなく、聞かれたことは答えていた。
雲取山には12月1日にUSBメモリを埋めた
複数犯ならその人に演出をさせればいい。少なくとも私は1人でやったと、単独犯だと思う。
雲取山の山頂のUSBメモリは（2012年）12月1日に登った時に埋めたそうだ。小型のスコップがあり、それを携行していた。それで埋めた。（「謹賀新年メール」を受けて警察は元日に捜索したものの見つからなかったが）1月1日にも実際には埋まっていた。1月1日に発見されると思っていたところ発見されなかったので、風などで飛ばされてしまったのかもしれないと思い、「延長戦メール」（13年1月5日）を送った。江ノ島におびき寄せるのではなく、それがたまたま見つかったと。われわれが推理するのを横で見ていた。
江ノ島の猫の写真の問題だが、警察も言っていないが、実際の機材はビデオカメラの「play sport」。縦型に使って横の写真が撮れるのだそうだ。それで撮影したと。だから（警察のリークで）スマホから写真が復元されたという報道があったが、彼は絶対間違ってないと思ったんですね。
1月5日に江ノ島に行った時、防犯カメラのことは全く念頭になかったのだそうです。SDカードが回収され、防犯カメラに写っていたということもあり、これはしまったと思ったと、どう説明しようか考えていたと。その1つに、play sportでは縦位置で横位置の写真が撮れる、スマホを縦に構えているのでは手袋をしている状態では写せないではないか、という理由を考えた。うそをつく場合、最初から全部言うと分かってしまうので、「後から言われてみて気付いた」などとだんだん分かるようにしたのだと。
反省すべき点があるかということだが、片山さんのほうが上回っていたということだ。職業倫理として、やっていないと言った人にはその通り弁護するべきだが、疑問を持ったままの場合もある。この事件では私は無実を信じるといったが、その意味ではだまされたことになる。
当初、防犯カメラで猫に首輪を付けているのが写っていたとされたのは問題だと思ったが、実際にはそういうことはなかった。スマホから写真が復元されたという報道もあった。私はそれはないと思ったが、その読みは合っていた。公判でも決定的証拠は示されなかった。悔し紛れに言っているわけではないが、今回のメールがなければ私は自信をもって無罪を主張していただろう。それが刑事弁護のこわいところかもしれない。
河川敷では見られていないと思っていた
もし有罪なら実刑判決となり、収監される。その時点で予約メール機能を使って、収監された後に真犯人からのメールが送られるようにしよう、無罪判決ならそういことはしない──それが彼のシナリオだったという。だが母親のこともあり、それを前倒しにしてしまった。予約送信という機能を使ったトリックはもともと考えていたことだ。
（スマホを埋めた）15日、自転車でバス停に行き、バスに乗った。バスに乗る時に誰もいなかった。降りた時も誰もいなかった。河川敷は見晴らしがいいので尾行はないだろうと思った。150メートル先に男性が1人いたが、自分が到着するより前にいた。だから大丈夫だと思って埋めたと。下見にも2、3回行ったことがあるという。
警察からすると、なんで河川敷に行ったのかということになる。警察はもしかするとあらかじめいたのか、対岸からなのかもしれないが、15日に埋めて16日にメールが送られている。いつ警察がスマホを回収したかは分かっていないが、真犯人からメールが送られてから発見し、鑑定などをして発表したのではないか。時間差があったのは、メールが送信されたのを受けて、彼の行動を見直そうということからだったのではないか。片山さんはまさかそれが回収されるとは思っていなかったので、こうなった。
スマホは身分証明書が不要で購入できるプリペイドのもので、SIMカードは4月に発売されたそうだが、外国人が一時的に使うものとして成田空港などで自販機でも購入できるSIMカードがあり、全く足がつかないものを使ったという。秋葉原で買ったと言っていた。
スマホは埋めっぱなしが前提だった。送信はソフトがあって、それをインストールしたと言っていた。

PC遠隔操作　片山被告、一連の事件への関与認める　「死にきれなかった」
http://www.itmedia.co.jp/news/articles/1405/20/news080.html    ITmedia
PC遠隔操作事件で片山被告「自分が一連の事件の犯人だ」と弁護団に認めた。東京地検は20日午前、片山被告の身柄を拘束した。
4人が誤認逮捕された遠隔操作ウイルス事件で、無罪を主張していたIT関連会社元社員の片山祐輔被告（32）＝威力業務妨害罪などで起訴＝が弁護団に「自分が一連の事件の犯人だ」と認めたことが20日、弁護団への取材で分かった。16日に「真犯人」を名乗るメールを送ったことも認めた。東京地検は20日午前、片山被告の身柄を拘束し、再勾留の手続きに入った。警視庁はメールについて脅迫容疑での立件を視野に事情聴取する。
主任弁護人の佐藤博史弁護士によると、19日午前10時20分ごろから片山被告と連絡が取れなくなっていたが、同日午後9時半ごろに片山被告から佐藤弁護士に電話があり、「私が真犯人だ」と一連の事件への関与を認めた上で、16日にメールを送り、スマートフォン（高機能携帯電話）を河川敷に埋めたと説明した。
片山被告は「死のうと思ったが死にきれなかった」とも話したという。
メールは、片山被告が東京地裁での公判に出廷中の16日午前11時半すぎに送信され、片山被告は公判後の記者会見で「メールを送ることはできない」と否定していた。
警視庁は片山被告が15日夕に東京都江戸川区内の荒川河川敷で不審な動きをしていたのを確認しており、メール送信後に地中から電源が入った状態のスマホを発見。真犯人を名乗るメールと同じ文面を送信した痕跡が残されており、付着物から片山被告のDNA型が検出された。
捜査当局は、片山被告が決められた時間に自動でメールを送信する「タイマー機能」を使い、偽装工作を図ったと判断。東京地検は「片山被告が証拠隠滅を図った」として、東京地裁に保釈取り消しを請求。東京地裁は20日午前、保釈取り消しを決定した。

iesysを作るくらいのC#スキルはあった　「取り調べ可視化されていればもっと早く解決したのではないか」
http://www.itmedia.co.jp/news/articles/1405/20/news147.html    ITmedia
IT業界でもさまざまな議論になった遠隔操作ウイルスとC#だが、片山被告は作ることはできたのだという。佐藤弁護士は、取り調べが可視化されていれば早くに事件が解決できた可能性を指摘している。
メールは秘密のPCで1カ月ほどかけて作成
（16日に送信された）真犯人メールはかなり詳しい物だが、作るのに1カ月と言っていたような気がする。保釈される前から考えていて、秘密のPCで作り続けていたということですね。スマホなどを購入した時期は知らない。SIMカードは4月に発売されたといったのでそれ以降だろう。文章はPCで作り、SDカードでスマホにセットし、それを送信している。
それで、たぶんスマホを回収すれば真犯人からのメールがある。そこに片山さんの指紋やDNAがあれば送ったのは間違いない。それが「onigoroshijuzo2」にアクセスしたなら真犯人に間違いないということになる。
PCは自宅ではないところに隠してあると。パスワードを忘れてしまったのでPCを開けないと言っていた。PCを開けなくてもSDカード経由だから、証拠は十分あるだろう。
落合洋司弁護士に送られたHDDについては「全く自分ではない、無関係だ」とのことです。
雲取山の写真は自分で撮った
江ノ島でセロハンテープでSDカードを貼り付けた首輪を猫につけている片山被告が防犯カメラに写っており、セロハンテープを当日に購入していたことが逮捕の決め手の1つだったが、片山被告は「バイクのタンク上部に、手書き地図や簡易メモを貼りつけることはよくあります」と説明していた。
あれも全くのうそだと。セロハンテープは江ノ島に向かう直前に購入している。それをナビが不正確なので経路図を貼るために買ったと説明していたが、実際には江ノ島でトイレに入り、セロハンテープでSDカードを付けたという。首輪つける場面は写っていなかったが、その時に付けたと。手に握りしめていたんだそうです。（なぜ江ノ島で猫だったのか）それは分からない。
（13年1月1日メールの謎を解くとたどりつく）雲取山の写真は12月1日に撮った本物の写真だそうです。ビニール袋が二重になっているのも当たっていると。外のビニール袋はziplockなのでピンクに見えるのだと説明していた。
遠隔操作ウイルス「iesys」を作ったのはオフィスのコンピュータだった。自宅のPCも一部使ったが、痕跡は残っていないという。C#だが「こっそり勉強していたといわれても仕方がないが、iesysを作るくらいの能力はあった」という。C#はWindowsで動くものなので、それで選んだという言い方をしていた。
報道陣：──裁判に対して危機感があったのか
そういう心配は最近彼はしたことがない。全部の証拠が開示された際、面会した時に、予想外に証拠が多いと若干のショックを受けていたようだが、無実なら突破口はある、1つ1つつぶしていくことをやろうとしていた。検察も決定的証拠はないと認め、裁判が進められていた。
この真犯人メールがなかった時にどうなったのかは分からない。片山さんは善戦していると思っていたと思う。
取り調べはそんなきついわけではない、話したことはきちんと（調書に）書いてもらっていると言っていた。ある人の取り調べがきつかったということは言っていたが、それ以外のことは全く言っていない。
天は見ていたということでしょう
報道陣：──最後がうかつだった。行動を確認されていた自覚は。
漫画みたいな話だが、この次はサドンデスだと言っていたのだが、彼は私たち以上に警戒していると思ってた。河川敷に下見に行った時に警戒しているが、誰もいない安全な場所だと思ったと。（それを見つけたのは）そこは捜査員の素晴らしい勘というか、そういうものだと思う。子どもっぽいというべきだろうが、母親のためにメール送って裁判をジ・エンドにしようと思ったにしては、どこかが抜けてますよね。
お母さんが最後まで彼を疑ってたのは事実だが、悪いことをしていたことを早く明らかにしたほうがいいと。つまり天は見ていたということでしょう。
保釈金（1000万円）は母の生活のための資金だったので気にしていました。没収されないようにするけれど、おそらく証拠隠滅は破格の行為なので、それで保釈金の召し上げがないというのは考えられないと、自首したのでもないからと。彼はそれはすごく悔いていました。
取り調べ可視化されていれば
逮捕・起訴された片山被告をめぐっては長期間の拘留に批判が高まり、取り調べの可視化を求める声も高まっていた。
片山さんとも話したが、取り調べ可視化が実現し、証拠に基づいて本人に質問していくということがあった場合、それで負けました、ゲームオーバーと、そういうことになったかもしれない。彼にこうした形でインタビューを続けて行けば、かなり早い段階で音を上げさせることはできたかもしれない。
彼が本当にやっているのであれば、どこかで自分の間違いに気付かせるのが弁護士の仕事だと思っているので、その意味では警察とそんなに違いはないはずだが、そこが不可視では難しい。有効なカードがあるなら効果的に使って容疑を認めさせてくださいという思いはあったが、逆に不可視なことで片山さんは楽になってしまった。
私が「片山さんはこう言っている」と言うと、カウンターのように捜査当局からのリークによる報道が出てくる。
片山さんに聞いてみるとうまくすり抜けられると。起訴されても、決定的な証拠がないまま裁判が始まってしまった。捜査当局は自分の持っている手の内を誇大に見せてしまった。捜査官はフェアプレーの精神で臨むべきなのに、旧態依然の姿勢だったので、私たちもそこを突くと、あたかも弁護側が勝っているかのように見えた。
スマホから映像を復元したというが、片山さんは絶対ないという。この事件にもし意味があるとすれば、なんでこうなったのか、メディアのみなさんの報道の検証も含めてすることがあっていいかもしれない。







FBI、マルウェア「Blackshades」の作者を摘発　世界で90人逮捕
http://www.itmedia.co.jp/news/articles/1405/20/news041.html    ITmedia
パスワードを盗んだり、コンピュータを人質に取って身代金を要求するなどの犯行に使われていたマルウェアを開発・販売していたとされる人物が摘発された。
米連邦捜査局（FBI）は5月19日、世界18カ国の当局と連携して、パスワードなどを盗み出すマルウェア「Blackshades」の開発や販売にかかわっていたサイバー犯罪集団を摘発したと発表した。
米当局はBlackshadesの共同開発者とされるスウェーデン国籍のアレックス・ユセル被告と米国人のマイケル・ホーグ被告を起訴した。ホーグ被告は起訴内容を認めているという。
ユセル被告はBlackshades販売組織のトップで、人を雇って組織を運営し、顧客の要望に応じてBlackshadesを更新していたとされる。モルドバで逮捕され、米国に移送される見通しとなっている。
米国内ではさらに、Blackshadesの宣伝販売にかかわった疑いで1人、Blackshadesを購入してユーザーのコンピュータに感染させた疑いで2人が逮捕され、Blackshadesに感染させる目的で使われていた1900あまりのドメインも押収された。
各国の逮捕者は90人以上に上り、300カ所以上の捜索が行われている。
Blackshadesはオンラインバンキングのパスワードを盗んだり、ソーシャルメディアのアカウントに侵入したり、コンピュータを人質に取って身代金を要求するなどの機能を持つほか、感染したコンピュータをサービス妨害（DDoS）攻撃に加担させる機能も備えていた。
安いもので40ドル足らずで販売され、使う側のニーズに応じてカスタマイズできる機能も提供。100カ国以上で売買され、感染は50万台以上のコンピュータに広がっているという。
パスワードを盗んだり、コンピュータを人質に取って身代金を要求するなどの犯行に使われていたマルウェアを開発・販売していたとされる人物が摘発された。
プレスリリース　　　
International Blackshades Malware Takedown
http://www.fbi.gov/news/stories/2014/may/international-blackshades-malware-takedown/international-blackshades-malware-takedown





トレンドマイクロを騙った迷惑メールが発生、出会い系と思われるWebページに誘導(トレンドマイクロ)
http://scan.netsecurity.ne.jp/article/2014/05/20/34207.html    ScanNetSecurity
トレンドマイクロを騙るスパムメールが出現……不審な出会い系サイトへ誘導
トレンドマイクロは19日、同社を騙った迷惑メールが発生していることを発表した。5月15日前後から出回っているもので、「お使いの端末を無料で簡単にウイルスチェックすることが出来ます！」という件名のメールだという。
このメールは一見普通のものに見えるが、メール送信者のアドレス、誘導先URLのドメイン名が「○○.biz」となっており、同社のものではない。正規なドメイン名は、「trendmicro.co.jp」（日本）、「trendmicro.com」（グローバル）となる。
実際にURLをクリックしてみると、トレンドマイクロのオンラインスキャンのサイトではなく、出会い系と思われるWebページに誘導される。同社の調査では、不正プログラムなどの脅威への連鎖は確認できなかったが、非常に不審なWebページだとしている。なお、このサイトのIPアドレスに対しては、数百のドメインが登録されているとのこと。
トレンドマイクロを騙る迷惑メールを確認：不審な出会い系サイトへ誘導
http://blog.trendmicro.co.jp/archives/9118





Adobe Readerの古い脆弱性を狙うウイルス、日本で感染拡大
http://internet.watch.impress.co.jp/docs/news/20140520_649361.html    Impress Watch
ESETは20日、Adobe Readerの脆弱性「CVE-2013-2729」を狙うウイルスの感染が、2014年5月5日以降、日本国内での拡大が確認されているとして、注意を呼び掛けた。
ウイルスは、CVE-2013-2729を悪用するトロイの木馬およびその亜種で、日本では5月5日〜9日、5月12日〜13日に感染が拡大していることが確認されている。ESET製品では「PDF/Exploit.CVE-2013-2729」として検出する。
CVE-2013-2729は、1年前（2013年5月）のセキュリティアップデートで修正されている脆弱性で、悪用された場合にはリモートから攻撃者がシステムを制御できる可能性がある。
ESETでは、こうしたウイルスに感染しないための対策として、ウイルス定義データベースを最新にアップデートすることや、OSやソフトウェアのアップデートを行い、セキュリティパッチを適用することなどを呼び掛けている。
Adobe Readerの脆弱性(CVE-2013-2729)を狙うウイルスにご注意ください
http://canon-its.jp/product/eset/sn/sn20140520.html

POSシステムや仮想通貨を狙う攻撃が増加〜トレンドマイクロ調査
http://cloud.watch.impress.co.jp/docs/news/20140520_649264.html    Impress Watch
トレンドマイクロ株式会社は5月20日、日本国内および海外のセキュリティ動向を分析した報告書「2014年第1四半期セキュリティラウンドアップ」を公開した。
POSシステム、仮想通貨を狙う攻撃が増加
調査によると、2014年第1四半期は、POS（Point of Sale）システム内の情報や仮想通貨を狙う攻撃が増加。サイバー犯罪者は不正プログラムを用いて、POS端末内の暗号化される前のクレジットカード情報などを窃取するという。
POS端末に感染する不正プログラムは、2013年に22件検出されたが、2014年は第1四半期のみで156件が検出された。前年同期比で約7倍と、POSシステムを狙う攻撃が急増していると警告する。
米国では、2013年末に発生したPOSシステムから1億件以上の顧客情報が流出した事件に続き、2014年第1四半期には、300万件のクレジットカード情報、35万件の顧客支払い情報の流出など、POSシステムを標的にした4社への攻撃が判明している。
また、Bitcoinなどの仮想通貨もサイバー犯罪者の新たな標的になっているという。
仮想通貨の利用者のパソコンに不正プログラムを感染させて保有する仮想通貨を窃取する攻撃や、仮想通貨を生成する「採掘（マイニング）」をユーザーのパソコン上で強制的に行わせる不正プログラムが確認された。
2014年第1四半期には、Android端末上で仮想通貨の「採掘」を行わせる不正アプリや、仮想通貨を窃取すると同時にパソコンをロックし解除するための支払いにBitcoinを要求する身代金型攻撃も初めて確認された。仮想通貨を狙う不正プログラムは累計6種類確認されており、そのうち2種類が第1四半期に新たに確認されたものだという。アンダーグラウンドで取引されるサイバー攻撃ツールが、仮想通貨で売買される事例も確認されている。
2014年第1四半期にはBitcoin取引所を狙ったサイバー攻撃で複数の取引所が破綻したことも大きく報じられた。
日本語で脅迫する身代金型ウイルスが登場
2014年第1四半期には、日本語で脅迫する身代金型ウイルスが初めて確認された。
確認された不正プログラムが用いる日本語は稚拙なものだったが、今後日本人が読んで違和感のない日本語を用いた攻撃が行われる可能性があるとして注意を喚起している。
身代金型ウイルスはランサムウェアと呼ばれ、パソコンをロックしたり、ファイルを暗号化するなどして操作不能とし、ロックや暗号化を解除するために金銭を要求するもの。多くの場合要求金額が日本円で数万円程度とあまり大きくないことから被害者は金銭を振り込んでしまいやすく、また警察に届けないケースが多いと言われる。
また、海外ではブラジルのオンライン銀行ユーザーにのみ提供されるセキュリティ対策ソフトを模して、オンライン銀行へログインするためのID/パスワードを窃取するオンライン銀行詐欺ツールが確認された。攻撃者は、特定地域や特定サービスの利用者に狙いを絞り、攻撃手法も作り込んだ攻撃が増えているという。
攻撃を隠蔽化する傾向も見られ、オンライン銀行詐欺ツールは窃取したID/パスワードを攻撃者のサーバーへ送信するが、その際にオンライン銀行詐欺ツールが通信経路を匿名化するTorを用いる事例が初めて確認された。
日本国内では、攻撃を隠蔽するためにフィッシング詐欺サイトへの誘導に改ざんした正規サイトを中継する攻撃手法が新たに確認されている。
トレンドマイクロ株式会社
http://www.trendmicro.co.jp/jp/
トレンドマイクロ「2014年第1四半期セキュリティラウンドアップ」全文
http://www.go-tm.jp/2014Q1SR/DL/






IPAが「サイバーレスキュー隊」発足、攻撃受けても気付かない組織を支援
http://cloud.watch.impress.co.jp/docs/news/20140520_649300.html    Impress Watch
独立行政法人情報処理推進機構（IPA）は、「サイバーレスキュー隊（仮称）」の発足に向けた準備チームを5月20日に立ち上げたと発表した。正式発足は今夏の予定。
サイバーレスキュー隊（仮称）では、標的型サイバー攻撃を受けているにもかかわらずそれを検知できずに“潜伏被害”を受けている組織や、検知したセキュリティインシデントの状況・深刻度を認識できずにいる組織に対して、1）攻撃の把握、2）被害の把握、3）対策の早期着手――などを支援。攻撃の連鎖を断ち切り、被害拡大・再発の防止・低減を図るとしている。
IPAでは、「標的型サイバー攻撃特別相談窓口」や「サイバー情報共有イニシアティブ（J-CSIP）」を展開し、標的型サイバー攻撃への対策を促す活動を推進してきた。しかし、そうした活動を通じて、企業や団体が標的型サイバー攻撃を受けてもそれに気付かないために被害が拡大している実態が把握されたという。
プレスリリース　　プレス発表　「サイバーレスキュー隊（仮称）」発足に向けた準備チームを5月20日に立ち上げ
http://www.ipa.go.jp/about/press/20140520.html





グーグルへの情報削除命令、広がるネット検閲の懸念
http://headlines.yahoo.co.jp/hl?a=20140520-00000037-jij_afp-int    AFP
【AFP＝時事】米グーグル（Google）は当事者の要求に応じてサイト上の個人情報を削除しなければいけないとした欧州連合（EU）司法裁判所の判決を受け、世界各国では、インターネットの検閲とネット検索の機能の仕方をめぐる懸念が浮上している。
政府からのウェブデータ提供要請、世界で増加 グーグル報告書
http://www.afpbb.com/articles/-/2912008?utm_source=yahoo&utm_medium=news&utm_campaign=txt_link_Tue_p1　：　政府からのウェブデータ提供要請、世界で増加 グーグル報告書　2012年11月14日
EU司法裁判所は13日、インターネット上の個人情報が古くなったり不正確になったりした特定の条件下では、人々が米グーグルに対して自分の個人情報を削除して「忘れられる」ことを要求する権利があるとの判断を下した。
専門家らは、この決定の世界的な影響はまだ不透明だが、欧州など世界各地で少しやっかいな問題を引き起こす可能性があると指摘している。
「実際の運用は、はっきりしておらず、混乱を引き起こす可能性もある」と、検索ビジネスに詳しいコンサルティング会社オーパス・リサーチ（Opus Research）のアナリスト、グレッグ・スターリング（Greg Sterling）氏は語る。
同氏によれば、グーグルは今回の命令に従って検索結果をフィルタリング（選別排除）することができるはずだが、それはユーザーの居場所によってインターネットの検索結果が変化することを意味し、これは政府がネットを検閲する中国で起きていることと似ている。
「これは、検索結果が気に入らない人々に、情報を削除したり改変したりすることを許すことになる」とスターリング氏はAFPの取材に語った。
またスターリング氏は、どの検索結果が削除されるべきかの判断は「問題を起こしかねない」と述べ、「このことが、何が公共の利益になるのかという疑問を提起する」と指摘した。
検索エンジン情報サイト「サーチエンジン・ランド（Search Engine Land）」のダニー・サリバン（Danny Sullivan）氏は、仮にこの決定がプライバシー保護のためだけに適用されるなら、良い影響を及ぼすだろうと述べる。
「だが、この命令が乱用され、公記録への容易なアクセスを阻止するために利用されるのではないかとの大きな懸念がある」と、サリバン氏は付け加えた。
■「間接的な検閲」の懸念
米エール大学ロースクール（Yale Law School）の情報社会プロジェクト（Information Society Project）を率いるマーゴット・カミンスキ（Margot Kaminski）氏は、EU司法裁判所の判断は「媒介者に決定権を置くものであり、コラテラル・センサーシップ（間接的な検閲）を生じさせる」とツイッター（Twitter）で批判した。
英国を拠点とする表現の自由の擁護団体「インデックス・オン・センサーシップ（Index on Censorship）」も同じ批判をしている。
「これは図書館に突入して図書館に書物の処分を強制するようなものだ」と同団体は声明で批判し、「この命令は個人の保護を意図したものだが、同時に自分の個人履歴を全消去したい人にその機会を与えている」と述べた。
グーグルは、EU司法裁判所の決定に失望したと述べるとともに、昨年EU司法裁判所の高位法務官の一人が示した見解と「大幅に」食い違っていることを指摘した。インターネット検索の最大手であるグーグルはこれまで、「情報を発見すること」にのみ責任があるという立場をとってきた。
今回の問題は、「オンライン評判マネジメント」と呼ばれる事業に対する懸念の高まりにも光を当てた。オンライン評判マネジメントとは、オンライン上にある不利な情報を根絶、または最小化する事業で、すでに1つの業界として確立している。
■米国では「ありえない」判決？　
米国では、未成年のユーザーにオンラインコンテンツの「消去」を許す法律がカリフォルニア（California）州で成立しているが、これは本人がアップロードしたコンテンツに限定されている。
米サンタクララ大学（Santa Clara University）ハイテク法研究機関（High-Tech Law Institute）のエリック・ゴールドマン（Eric Goldman）主任は、EU司法裁判所の決定は「米国法の下ではありえない」と語る。
「（米国憲法の）修正1条に違反することは間違いない。また、ウェブサイトと検索エンジンは第3者のコンテンツについて責任を負うことができないとする現行の連邦法にも明らかに違反する」
だが、米ワシントンD.C.（Washington D.C.）を拠点とする電子プライバシー情報センター（Electronic Privacy Information Center、EPIS）のマーク・ローテンバーグ（Marc Rotenberg）氏は異なる見解を表明する。
ローテンバーグ氏はAFPの取材に対し、EU司法裁判所の決定は「人々は自らについての情報を制御できるべきだとする米国の伝統」の範囲内であると述べ、「（EU司法裁判所の決定は）インターネットユーザーのプライバシー権にとって極めて重要な判断だ」と語った。






2014年05月19日





遠隔操作事件、被告が記者会見に出席せず　メール“自作自演”報道に弁護団「警察は勝負を賭けている」
http://www.itmedia.co.jp/news/articles/1405/19/news103.html    ITmedia
遠隔操作ウイルス事件で起訴されている片山祐輔被告が5月19日午後2時に都内で開く予定だった弁護団の記者会見に出席しなかった。弁護団によると、この日午前から連絡が取れなくなっているという。
この日午前、報道各社は16日に届いた“真犯人”のメールについて、片山被告が作成して送信した疑いがあるとの見方を示していると報道。保釈中の片山被告が15日夕方に東京都江戸川区の荒川河川敷にスマートフォンを埋め、その端末にメールを送信した痕跡が残っていた、という。東京地検は保釈取り消しの申請も検討するという。
この日の記者会見は、メールによって片山被告が犯人でないことが明らかになったとして、公訴取り消しを申し立てるのを受けて開く予定だった。弁護団は、メールについては真犯人のものと考えている一方、「彼が裁判を不利にする意味がない」として、片山被告が送信したとの見方を否定。メールは「無罪の証拠」とした。佐藤博史弁護士は“メールは自作自演”との報道について「警察はのるかそるかの勝負を賭けてしまった。事件は最終章にかかっている」と述べ、警察を批判した。
片山被告は16日、メールについて「信ぴょう性が高いと思う」とコメントしていた。
片山被告はこの日胃の検査を受けるため病院に行く予定だったが、午前中以降、連絡が取れなくなっているという。
メールは公判が開かれていた16日に落合洋司弁護士や報道関係者に送信された。
メールを受け取った開発者の矢野さとるさんによると、
http://d.hatena.ne.jp/satoru_net/20140516　：　■[enkaku]遠隔操作の真犯人（と名乗る）人物からのメールが今回も来てた件
前回、前々回のメールはtorのIPからだったが、今回は通常のISPからWebメールではなくSMTPで送信された可能性があるという







2014年05月18日




サイバー攻撃に繋がったエストニアの電子投票システムが持つ脆弱性とは
http://gigazine.net/news/20140518-how-russia-hacked-estonian-elections/    GIGAZINE
1990年代後半から、コンピューターネットワークを利用して各種選挙の投票を行うことができる「電子投票」の活用が世界中のあらゆる場所で進められることが多くなりました。有権者にとっては投票所に出向かなくとも自宅から投票を行うことが可能になり、選挙を管理する組織にとってはコスト面でのメリットや迅速な開票作業を可能にするなどのメリットをもたらすシステムではありますが、当然のようにまだ多くの問題点を抱えていると言えます。
世界でも「電子投票先進国」ととらえられているエストニアでは国政レベルにまで電子投票が浸透しているのですが、同時に大きなサイバー攻撃を受けるなどのデメリットがあるのも事実。そんなエストニアにおける電子投票の現状について研究チームが実施した調査の報告書が公表されています。

Our Findings | Independent Report on E-voting in Estonia
https://estoniaevoting.org/findings/

How Russia could easily hack its neighbors’ elections
http://www.washingtonpost.com/blogs/the-switch/wp/2014/05/13/how-russia-could-easily-hack-its-neighbors-elections/

2007年4月、エストニア政府は大規模なサイバー攻撃に晒されました。金融機関や政府系機関を標的にしてサーバなどのネットワークを構成する機器に対して攻撃を行うDoS攻撃が行われた事件だったのですが、その背後にはロシアの存在をうわさする声が根強く残っています。
ちょうど同じ頃、エストニアではソビエト統治下の時代に建てられたソビエト兵士の銅像を郊外に移転しようとする動きがあり、これにたいしてロシア政府が非難の声を挙げていたこともこのうわさを裏付けるものとなっています。国家レベルのサイバー攻撃というと、あたかもスパイ映画に登場する設定のように感じられますが、中国のハッカー集団によるNYタイムズ攻撃(2012年)、アメリカ政府によるイランへのサイバー攻撃など、むしろ現実の世界では日常的に行われている攻撃ということができます。
インターネットセキュリティの調査チームがエストニア国内の状況を調査した報告書が明らかにしたところによると、エストニアに広く導入されている電子投票システム「i-Voting」のぜい弱性を利用することで、攻撃の意思のある第三者や特定の国家は気付かれることなく攻撃を加えることが可能であることが判明しました。
エストニアは世界で最も進んだ電子投票システムを導入している国で、2013年に実施された選挙では全体の4分の1にあたる約25％の有権者が電子投票システムを利用しました。電子投票先進国と言えるその現状について、エストニア国民の多くは「誇りである」と考えているほどです。自宅のPCから投票を行うことを可能にするi-Votingではまず、自分のPCに接続したIDカードリーダーに専用のチップを内蔵したIDカードを挿入したうえでパスワート認証を行い、投票システムにログインして投票します。なお、このIDカードを利用したシステムは電子投票だけでなく、銀行やその他のサービスにも共通で利用されています。
研究チームの一員でミシガン大学でコンピューターサイエンス分野の准教授でもあるアレックス・ヘルダーマン氏は、エストニア国内で利用されている電子投票システムの安全性を調査するため、実際のシステムと同じ構成を持つダミーシステムを研究室内に構築し、一連の投票の手順でどのような問題があるかという検証を実施。その結果、投票者のコンピューターへのハッキングと、投票システムにマルウェアを仕込むことの両方の方法で、選挙結果を操作できることが判明しました。
ヘルダーマン氏は調査結果について「運営上のセキュリティレベルおよび、投票を管理する組織の一部のプロ意識が極めて欠如していることを明らかにするものです」と厳しく指摘したうえで、同システムは「ハッキングが試みられた際には、システムによって感知および拒絶されることなく乗っ取られる可能性を複数の次元で可能になる」と危険性が極めて高い状態であることを明らかにしています。ヘルダーマン氏がダミーシステム上で検証を行ったところ、個人が投票に使用するPCがマルウェアに汚染されていた場合、ハッカー側は容易にユーザーのIDとパスワードを入手できるうえに、投票内容に手を加えることが可能になりました。また、投票管理システムのサーバーに侵入するマルウェアであるトロイの木馬を忍ばせ、不正に「正規」の投票を行って各政党の投票数を操作して本来とは反対の選挙結果を生みだすことができたといいます。
エストニアで用いられているシステム以外で近年に設計された電子投票システムでは、通信の流れは最初から最後までが完全に暗号化(end-to-end：E2E暗号化)されており、通信内容の安全性を確保するように設計されています。いまや情報の信頼性を高めるためには不可欠ともいえるこの仕組みですが、エストニアで取り入れられているシステムで暗号化される情報は全体のうち部分的なものとなっており、投票者のPC、サーバー構成、選挙管理スタッフの善意にあまりにも依存したセキュリティ対策がとられていることが判明しています。
また、全体的に見て「緩い」管理思想が採られていたことも問題とされています。各投票所の担当者に対して実施されたオリエンテーションにおいて投票用のシステムをセットアップするための手順についてのレクチャーが行われ、システム用のプログラムをサーバーからダウンロードする手順が紹介されるのですが、ここで用いられるのは暗号化されていない通常のHTTP接続によるものでした。
それ以外にも、選挙期間中にかかわらず実施されるシステムの改変作業や使用が許可されていない個人のUSBメモリを用いた作業、システムの不透明性など、調査チームは多くの問題を報告書において列挙しています。
総合的に見て、旧世代の設計思想をもとに作り上げられ、さらに幾度となく繰り返されるプログラム改修によりシステム全体の安全性と信頼性に問題を抱えていると断言せざるを得ないエストニアの選挙システムの実態が浮き彫りにされた形になる調査結果だったわけですが、調査チームは報告書で「エストニアの電子選挙システムは、サーバーと個人PCに信頼を置きすぎており、諸外国からの攻撃の格好の対象となっている」と結論づけ、エストニア政府に対して安全面での懸念が全て改善されるまでシステムの利用停止を進言しました。しかし、それに対してエストニア電子投票委員会は「安全面は解決され、セキュリティに関する手順は全て安全な状態にある」としてオンラインで声明を発表して拒否の姿勢を見せました。
なお、あくまで同国のシステムは安全であると進言を拒み続けるエストニアの姿勢については同国内からも批判の声が挙がっています。
2000年台初頭にi-Votingが導入された当時、その試みは画期的なものであると認識されていましたが、それでもシステム設計者はいくつかの問題を先送りにしたまま運用を開始したことが明らかになっています。先に挙げたようなシステム全体に認証システムの実現などはその最たる例の一つでしたが、「将来改修される必要あり」とされていた保留点が将来においても改修されないまま運用が続けられており、これを原因とした国家レベルのサイバー攻撃を受ける原因の一つになっているとし、調査チームは「将来に改修される可能性はあるものの、現時点ではi-Votingによる電子投票システムの運用は適切でない」と結論づける報告書を発表しています。
IVotingReport.pdf　(PDFファイル)
https://estoniaevoting.org/wp-content/uploads/2014/05/IVotingReport.pdf
従来の紙ベースの選挙でも投票結果の操作が行われている可能性が幾度となく取りざたされている現状がある中で、PCとネットのシステムの上に成り立つ電子投票システムはブラックボックスとなっている部分が多く、仮に不正が行われていてもそれをうかがい知ることができない可能性が高いといえます。利便性やコストの面で電子投票システムの導入によるメリットが大きいことは間違いないということができますが、その大前提としては絶対の安全性とそれを運用する組織・個人の意思統一、仮に問題が発生した際にも客観的かつ科学的な調査と迅速な対応が不可欠と言えます。
人間の善意と悪意が混在するインターネットの世界において、性善説のみを判断の基準に置くことは危機的に危険な状況ということができます。現実に沿った設計・運用方針、恣意的で全体をミスリードする可能性のある変更を可能にしてしまう余地の排除、そして誰が運用しても同じ結果を出すことができる仕組み作りが重要であることは、他のどんな社会においても同様に重要なことであると言えそうです。

サーバーが大学内の全PCにOSの再フォーマットリクエストを誤って送信
http://gigazine.net/news/20140519-windows-7-incident/    GIGAZINE
エモリー大学はアメリカのジョージア州アトランタに本部を置く私立大学です。全米に4500以上存在する大学の中で、上位20校にランクインする程の難関校でもあるエモリー大学ですが、大学のサーバーが校内に存在するWindows 7を搭載したあらゆるPCやサーバーにOSの再フォーマットリクエストを送信してしまいました。

Emory LITS: Information Technology | Windows 7 incident
http://it.emory.edu/windows7-incident/

Emory Accidentally Sends Reformat Request to All Windows PCs
http://thenextweb.com/shareables/2014/05/16/emory-university-server-accidentally-sends-reformat-request-windows-pcs-including/

Whoops! Emory University server sent reformat request to all of its Windows 7 PCs - Neowin
http://www.neowin.net/news/whoops-emory-university-server-sent-reformat-request-to-all-of-its-windows-7-pcs

エモリー大学は「Windows 7 incident(Windows 7に生じた偶発的な事件)」と題し、Windows 7のデプロイメント・イメージファイルが、大学内のデスクトップやノートPC、サーバーを含む全てのWindows 7搭載端末に送信されたことを明かしました。この送信されたデプロイメント・イメージファイルにはOSの再パーティションと再フォーマットのリクエストが組み込まれていたそうです。
全てのWindows 7を再フォーマットしてしまった。
この事件が発覚した後、エモリー大学は早急にSCCMサーバーの電源を落としたそうですが、その頃にはすでにサーバーの再パーティションと再フォーマット作業は終了していたとのこと。その後大学はサーバーの復元に取りかかったそうですが、復元には予想よりも長時間かかることが分かり、技術顧問に助けを求めてなんとかサーバーを元の状態に戻すことに成功したそうです。
大学では各学生のところに、コンピューターを動作可能な状態にまで戻すための専門スタッフを派遣し、必要なソフトがインストールできるように手助けした模様で、その他何かしらの問題が生じた際には大学側が全面的にサポートしてくれたようです。
さらに、エモリー大学はUSBメモリやLANDESK、PXEなどを活用してワンタッチでPC環境を復元できるようにPC周りの環境を整えた、とも発表しています。
The Next WebやNeowinのコメント欄は盛り上がっており、「僕はエモリー大学の卒業生だけど、あそこのPCのほとんどはMacだから」や「常々Windowsサーバーは優れていないとは思っていたけど、エモリー大学のものは特にひでぇ！」といったコメントが寄せられていました。

2014年05月16日




ネットバンクのワンタイムパスワード盗むウイルス、国内5行がターゲット
http://internet.watch.impress.co.jp/docs/news/20140516_648894.html    Impress Watch
株式会社セキュアブレインは16日、国内で被害が発生したインターネットバンキングのワンタイムパスワードを盗むMITB（Man-In-The-Browser）攻撃ウイルスの解析結果を発表した。メガバンクを含む国内5行への攻撃を確認したとしているが、具体的な名称は公表していない。
感染したPCでは、攻撃対象の複数のインターネットバンキングサイトにアクセスした際に、正規サイトから受信したHTMLが改ざんされ、外部サーバーから取得したJavaScriptによって偽の入力画面の表示や入力されたID情報の外部送信が行われるケースも確認されているという。金融機関ごとに別のJavaScriptが取得・実行されるが、それらはすべて同一のサーバーから取得されていたとしている。
ワンタイムパスワードや暗証番号を入力した後、複数の金融機関の改ざんで「アカウントデータがロードされるまでしばらくお待ち下さい」という同じ文言・デザインの偽画面を表示する機能が存在していたという。金融機関ごとにJavaScriptは異なるものの、プログラムの部品の共通化が行われていることも判明したとしている。
セキュアブレインでは、インターネットバンキングで使用するPCは常にクリーンな状態に保つ必要があると説明。防御策としては、ウイルス対策ソフトを使用し、定義ファイルを最新の状態にすることに加えて、「使用している銀行の正しい操作画面を把握し、異変に気が付くよう警戒心を持ってください」としている。
プレスリリース    セキュアブレイン、ワンタイムパスワードを盗むタイプのウイルスの挙動を解析
http://www.securebrain.co.jp/about/news/2014/05/netbank-otp.html






ネットバンキングの不正送金被害における事情と対策
http://www.itmedia.co.jp/enterprise/articles/1405/16/news030.html    ITmedia
ネットバンキングでの不正送金被害が深刻な問題になっている。警察庁の調べでは2012年の被害額は4800万円だったが、2013年は14億円を超え、約30倍も増えた。2014年2月以降、筆者はセミナーで「今年はこの金額を軽く超えてしまう可能性が極めて高いと思う」とお伝えしていた。この悪い予想が外れれば良いと思っていたが、現実は逆になり、NHKによれば5月9日時点で既に最悪だった2013年を上回ってしまった。
筆者は銀行勤務時代に、金融庁の依頼でネットバンキングのセキュリティ対応策について他の関連部署と検討をしたことがあった。その後、コンサルタントとして金融機関側での様々な対策を提案してきたが、いままさに「最悪に近いシナリオ」通りになってしまった。この問題について、インターネット上では様々な解説が飛び交っているのでここで整理してみたい。
例えば、一部のマスコミは「ワンタイムパスワード（OTP）もダメらしい。ネットバンキングは控える方がいい」と伝えている。筆者は既に数年前からOTPの脆弱性における危険性を伝えてきた。しかし当初は、「機械によってパスワードが1分間で変更されるので、いくら盗まれても安心でしょう」という某銀行職員がいるほどの状況だった。利用者に「OTPは安全」とアピールする現場に遭遇したこともあった。
そのうちに外国でOTPが実際に破られたという情報が金融界に浸透し始めた。すると、「日本では1件も被害が発生していない」と主張する方が出た。これが非論理的であることは多分ご本人も理解していただろうが、「金融は完璧であるべき」という理想が頭にあり、そういう発言をされたのだと思う。
乱数表やOTPは100％安全？
一般利用者は、「IDとパスワードだけでは危険な感じがするけど、1分で内容が変わるOTP（トークンを利用する場合）なら、万一盗まれても大丈夫」と思いがちだ。
しかし最近のダイレクトバンキングでの不正は、マスコミ報道にある通り、正規の銀行システムと被害者との通信の間に侵入する。パスワード入力が完了すると同時に、犯罪者への口座送金指示が正規の銀行システムに伝わってしまうので被害が起きてしまう。専門用語では「Man in the Middle（中間者）攻撃」と呼ばれるものだ。
この辺は多少の専門知識が必要になるので詳しい解説は割愛するが、金融機関向けのセミナーでは被害が全く発生していない時期から危険性をお伝えしていた。ただし、その対策を金融機関が施すということはあまりない。当時の主流は利用者側で講じる対応策だったこともあり、最近になって被害が発生するまで金融機関では動きにくかったという事情がある。
被害は補償される？
全国銀行協会（全銀協）は、原則として「被害に遭った個人のお客様は補償します」ということをうたっている。このことは本当である。ただし、預金者保護法の原則論を持ち出す訳ではないが、「ネットバンキング利用者なら最低でのこの程度くらいの注意義務は全うしている」という前提がある。
http://image.itmedia.co.jp/l/im/enterprise/articles/1405/16/l_zengin01.gif　：　ネットバンキングの不正送金被害における事情と対策
ここでの「過失」とは、一応銀行側で判断することになっているが、おおよそは一般の利用者でも理解できると思う。例えば、「ウイルス対策ソフトがない、失効している」「OSのパッチが自動更新でなく、今も最新ではない」など様々な要因がある。
加えて、法人についても補償すべきとの世論もある。現状は状況により個別対応だ。全銀協ではその対応について検討し、夏頃までにはその方向性を公開したいという。ただ、統一基準の作成は無理という判断があるようだ。
詐欺のルートは？
利用者を狙う詐欺は主に2つのルートしかない。
1.偽の金融機関メールからフィッシングサイトに誘導されるケース
2.利用者のPCが既にウイルスに感染し、ネットバンキング利用時にだまされるケース
特に（2）のケースは、初心者ならなかなか分からないだろう。本物のWebサイトで入力しているはずにもかかわらず、実は偽のページでパスワードを入力しているからだ。
基本的な対策は何か
オンラインバンキングの不正送金対策についてフィッシング対策協議会が、5月12日に「インターネットバンキングの不正送金にあわないためのガイドライン」（関連PDF）を公開した。詳細についてはぜひ参照していただきたいが、基本は次の通りである。
OSのパッチは「自動更新」が望ましい
Windowsなどのパッチは自動更新されるのが普通である。この設定を適用した方がいい。「しない方がいい」という上級者でもない限りは自動更新にしておくことだ。
ウイルス対策ソフトは必須
筆者が銀行員時代に調査をした際、なんとウイルス対策ソフトを全くインストールしていないPCからネットバンキングを利用したり、ネットカフェでバンキングを利用している方がいた。これは言語道断である。
比較的多いのは、ウイルス対策ソフトの有効期間を過ぎてもそのまま利用していたというケースである。これも危険なので絶対に避けたい。また、個別に「どれがいいソフトですか？」という相談を受けるが、初心者であれば、まずメジャーな製品であれば問題はないと思う。ネットに様々な比較サイトが存在するものの、一部は怪しいWebサイトもあるので注意してほしい。
ネットバンキングでの入力
初心者はともかく、普段（例えば週1回行っている振込操作）から実施している操作と少しでも違和感があれば、入力を中止すべきである。急に「システムエラーがありましたので、下記の乱数表の空白部分に正当な利用者であるという証明のため入力をお願いします」ということは絶対に無い。100％偽サイトであるが、エラーが表示されてパニックになる方が多い。
また、「いま閲覧しているWebサイトが本物か？」をチェックする方法もある。最も簡単なのは、URLが正規のものかを確認しつつ、SSL証明書の内容も確認すること。ただ、慣れていないと難しいだろう。ぜひ一度は、どういう表示なら安心なのかを事前に確認しておくといい。金融機関によって確認方法が違う場合もあり、いきなり確認しようとして慌てることがないようにしたい。
パスワード
パスワードの現状は、資金移動を伴う場合にほとんどのサービスで2要素認証（3要素認証もある）が用意され、利用者が自分で管理できるのは1つのみというケースが大半である。パスワードを頻繁に変更できる人なら、頻繁に変更した方が良い。
難しいという人（ルーズな人や高齢者）は、無理に変更する必要はないと思う。振込時にOTPを入力することが多いが、その際のパスワードはトークン（機器）に表示されている数字などを入力するしかない。
また、一部の金融機関はOTPをメールで通知している。これにはメリット・デメリットがあり、どちらにも共通して言えるのは、「なりすましによって不正送金が行われる最近の詐欺ではどちらも破られてしまうリスクがある」ということだ。
最大の防御策
最も効果的な方法とは、バンキングだけでなく全てのPC操作やインターネット操作において自分の行動を慎重にすることだ。例えば、メールのリンクも信用しない。前項で挙げたガイドラインの内容は、ネットやPCの利用にある程度慣れた中級者以上でないと理解できない可能性があると感じた。チェックリストも詳しくできているだけに、むしろ使いづらいかもしれない。例えば、ガイドラインの6ページの後半にあるチェックリストは次のようになっている。
【金融機関からのメールを受け取った場合】メール文中にあるWebサイトへのリンク先URLは見覚えがありますか？
メール文面中のURLと実際に飛ぶ先のURLが異なるように細工をすることが可能です。これを見破るためには、リンクまたはURL部分にマウスカーソルを乗せてみます。表示されたリンク先のURLが利用者カードや毎月の請求書などに記載のURLと同じことを確認しましょう。
セキュリティの有識者なら平易過ぎるこの表現も、初心者には分からない場合が多い。筆者ならこうする。
メール文中にあるWebサイトへのリンク先は信じない。クリックしない。
もし表示されているWebサイトへ行く必要がある場合、「お気に入り」に登録しているその金融機関のトップページに飛び、そこでの案内にしたがうか、サイト内検索で該当ページに行くこと
ここで重要なのは「リンクを信じてはいけない」という点を体で覚えることにある。利用者は「安心してバンキングができれば良い」と考えるので、多少の不便さは許容範囲だと認知してもらうことが重要だと思う。
なお、いまは「金融機関からのメールを受け取った場合」だけではなく、全てのメールに対して防御しなければならない時代である。ウイルスに感染させることだけが目的のメールなら、攻撃者はわざわざ金融機関を名乗ってメールをしない。もっと狡猾に仕掛けてくる。だからこそこうしたチェックリストは、ぜひそこまで踏み込んだ内容にしてほしいというのが筆者の希望だ。
不正送金被害が深刻になっているこういう時期にガイドラインが作成されたのは高く評価したい。利用者もこれを参考に、各自で考えるきっかけになれば幸いである。









サッカーワールドカップに便乗した詐欺サイトを確認（BBソフトサービス）
http://scan.netsecurity.ne.jp/article/2014/05/16/34191.html    ScanNetSecurity
BBソフトサービス株式会社は5月15日「インターネット詐欺リポート（2014年4月度）」を発表した。本レポートは、同社の「Internet SagiWall」が検出・収集した危険性の高いネット詐欺サイトの数やカテゴリーなどを分析したもの。4月のインターネット詐欺サイトの検知数は876,105件で、前月と比べて23.7％増加した。ネット詐欺の種類別では、ワンクリック・不当請求詐欺サイトが93.8％（前月比2.8ポイント増））、フィッシング詐欺サイト3.2％（同3.6ポイント減）、マルウェア感染サイト0.9％（同0.3％増）、ボーガスウェア配布サイト0.8％（同0.2ポイント増）、脆弱性悪用サイト1.3％（同0.3ポイント増）を検知した。
OSごとのネット詐欺種類別検知率では、ワンクリック・不当請求詐欺サイトの割合がWindowsで55.473％、Androidで98.46％、iOSで94.38％となっている。また4月は、間もなく開催される国際サッカーイベントの出場国のユニフォームが購入できるとうたい、情報を盗み取るサイトを検知した。これから盛り上がりを見せていくイベントに便乗して詐欺行為を行う手口であり、犯罪者はこのような話題を集めるイベントなどの時世に合わせて詐欺サイトを立ち上げる傾向が強く、注意が必要としている。
BBソフトサービス   インターネット詐欺リポート（2014年4月度） 〜 国際サッカーイベントに便乗した詐欺サイトが登場 〜
http://www.onlinesecurity.jp/reports/2014/201405.html






日立社員、国会図書館の入札情報を不正取得　システムの管理権限を悪用
http://www.itmedia.co.jp/news/articles/1405/16/news078.html    ITmedia
国立国会図書館は、システムの運用管理を委託している日立製作所の社員が、業務用の権限を悪用して入札情報などを不正に閲覧・取得していたと発表した。
国立国会図書館は5月15日、システムの運用管理を委託している日立製作所の社員が、業務用の権限を悪用して国会図書館の職員専用フォルダにアクセスし、入札情報などを不正に閲覧・取得していたと発表した。日立は同日、「決してあってはならない重大な事態を発生させた」と謝罪し、関係者を処分すると発表した。
3月27日、日立の社員が業務のために与えられていた権限を悪用し、国会図書館の業務用サーバに置かれた職員専用フォルダに不正にアクセス、内部情報を閲覧していたことを職員が発見した。不正に取得した情報には、4月4日開札の次期ネットワークシステムに関する他社提案書や参考見積もりなどが含まれていた。
国会図書館は即日、日立に調査を指示。4月4日には副館長をトップとする調査委員会を設置し、日立からの調査報告を受けたり、要調査事項を指示するなどしてきた。日立によると、不正に取得した情報の同社外への拡散はなく、国会図書館の利用者に関連する情報の漏えいはも一切ないとしている。次期ネットワークシステムへの応札は辞退した。
国会図書館は「ネットワーク運用管理という情報管理サービスを請け負う企業が、顧客の内部情報を不正取得するという極めて悪質な事案」と指弾。日立に厳正な措置を講じるほか、図書館内の情報セキュリティー対策を一層強化するなど、再発防止を図る。
日立は「お客様の重要な情報システムの運用を行う事業者として、決してあってはならない重大な事態を発生させ、国立国会図書館および関係する皆様に多大なご迷惑をおかけしたことを、深くお詫び申し上げます」と謝罪。情報管理ルールの見直しやセキュリティ教育の再徹底など再発防止を徹底を図るとしている。また、事実関係の解明を進め、関係者の厳正な処分を実施するとしている。
国会図書館のニュースリリース   2014年5月15日 株式会社日立製作所社員による国立国会図書館情報の不正取得行為について
http://www.ndl.go.jp/jp/news/fy2014/1205647_1829.html
日立のニュースリリース   当社社員によるお客様の情報資産の不正な閲覧および取得について
http://www.hitachi.co.jp/New/cnews/month/2014/05/0515b.html





「信憑性が高いと思う」　遠隔操作ウイルス事件“真犯人”メールに片山被告がコメント
http://www.itmedia.co.jp/news/articles/1405/16/news151.html    ITmedia
PC遠隔操作ウイルス事件の「真犯人」を名乗る人物から届いたメールについて、同事件で逮捕・起訴された片山祐輔被告が5月16日の公判後に記者会見し、「信憑性は高いように思う」などと述べた。
メールには、片山被告がルート検索した地名などが書かれていた。片山被告は「経路検索した場所として挙げられている場所がほぼ全部合っています。そのへんのことから、信憑性は高いように思います」と話した。
片山被告が自ら出した“自作自演”のメールではないか、という疑惑はきっぱりと否定。真犯人を名乗る人物からメールが送られた際、自作自演を疑われることを予想し、事前に対策を採っていたという。
拘置所から出た後に利用しているPCは、新たに買った1台のみで、通信を記録し続けるソフト
「パケット警察」
http://www.itmedia.co.jp/news/articles/1210/22/news051.html  : 「遠隔操作によるえん罪防止に」――通信記録ソフト「パケット警察」、ソフトイーサが緊急公開  2012年10月22日
を入れ、パスワードは弁護士が管理し、片山被告は解除できないようにするなど「怪しい通信はしていない、Torなどは使っていないと言えるよう備えていた」。ネットカフェも一切利用していないという。
メールが届いた午前11時37分、片山被告は公判中だった。「犯人が私がアリバイがある時刻を選んでメールを送ってくれたのかは分からないですけど」。ただ、「どうせ出すなら拘留されているうちに出してほしかった」とも。「公判中ではあったが、誰かに頼んだと言われることは避けられない。もっと早くに出してほしかった」
“真犯人”の印象を問われると、「この文面を見る限り、相当な、サイコパスみたいな人なんじゃないかなあと。人の権利とかどうも思ってないような、ひどいやつではないかと思っています」と述べた。
「わたしとしては、これをもってこの裁判を終わりにしてほしい、そればかり思ってます」（片山被告）




遠隔操作ウイルス事件の真犯人名乗る「小保方銃蔵」からのメール、落合弁護士などに届く
http://www.itmedia.co.jp/news/articles/1405/16/news119.html    ITmedia
PC遠隔操作ウィルス事件の「真犯人」を名乗る人物からのメールが、落合弁護士などに届いた。同事件をめぐっては、元IT会社員の片山祐輔被告が逮捕・起訴され公判中だが、メールには、片山被告を犯人に仕立てるために行った工夫などが書かれている。
PC遠隔操作ウィルス事件の「真犯人」を名乗る人物からのメールが5月16日、落合洋司弁護士などに届いた。同事件をめぐっては、元IT会社員の片山祐輔被告が逮捕・起訴され公判中だが、メールには、片山被告を犯人に仕立て上げるために行った工夫などが書かれている。
落合弁護士によると、メールは16日午前11時37分に送信された。この日、片山被告は東京地裁で開かれた公判に出席している。
メールは落合弁護士のほか
BBC記者の大井真理子氏
https://twitter.com/MarikoOi/status/467140676275429376 : 大井真理子
などに送られており、「マスコミ関係者にかなり送られている」（落合弁護士のTwitterより）という。片山被告が逮捕される前、2012年11月と13年1月に犯人を名乗る人物から送られたメールは、落合弁護士や新聞・テレビ・ラジオ関係者、ITmedia契約ライター、個人開発者の
矢野さとるさん
http://www.itmedia.co.jp/news/articles/1211/19/news097.html : 「予告.in」開発者も　「真犯人」からメールを受け取った人の共通点 遠隔操作事件の「真犯人」からのメールは、報道機関だけでなく、「予告.in」開発者の矢野さとるさんにも送られていた。
などに送付されていたが、今回のメールは、ITmedia契約ライターと矢野さんには届いていない。
落合弁護士によると、メールの差し出し人名は「小保方銃蔵」。落合弁護士がブログで公開した文面には、「片山氏が報道ステーションやレイバーネットに出てるのを見てかわいそうになった」「有罪判決が出たら、誤判した地裁をm9(^Д^)ﾌﾟｷﾞｬｰした上で助けてあげる予定だったんですが、保釈されてしまった上に、弁護団が最強っぽいので無罪出そうな空気…地裁は保釈却下して高裁でひっくり返されるという恥をかいたみたいですし、もういいかな」などと、このタイミングで名乗り出た理由を説明している。
さらに、片山被告のPCを遠隔操作ウイルスに感染させた手口や、犯人に仕立て上げるために行った工夫、片山被告のPCに保存されてたというファイルの内容、遠隔操作に使ったトロイの木馬「iesys」の正体、片山被告が雲取山（東京都奥多摩町）や江ノ島のルート検索をしていたことを確認した上で、雲取山、江ノ島に記録媒体を残したこと、犯行声明で関与を認めていた犯行予告の原文、警察や検察への挑発――などが書かれている。
遠隔操作事件は、12年6月〜9月ごろにかけ、犯人が他人のPCを遠隔操作して踏み台にし、犯罪予告を行った事件で、踏み台にされたPCの所有者6人のうち4人が逮捕されたが、後にPCが遠隔操作されていたことが発覚した。真犯人を名乗る人物からのメールは12年10月、11月、13年1月に、落合弁護士やメディア関係者などに届き、メールに書かれたヒントなどを手がかりに13年2月、警視庁が片山被告が逮捕。片山被告はその後の公判で容疑を否認している。
落合弁護士が公開した自称真犯人からのメール
http://d.hatena.ne.jp/yjochi/20140516#1400218482
落合洋司弁護士のTwitter
https://twitter.com/yjochi





もろすぎる学校のITセキュリティ　“パスワードの紙”見られ生徒が侵入　成績流出、クラス替え案LINEで拡散
http://www.itmedia.co.jp/news/articles/1405/16/news048.html    ITmedia
ある県立高校の男子生徒が、教諭のパスワードを盗み見して学校サーバに不正アクセスし、クラス編成案や生徒の成績などを入手。個人情報に対する学校の管理体制が問われる事態に。
新年度のクラス表が春休み中に生徒たちの間に出回っていた−。滋賀県内にある県立高校の男子生徒が今年3月、教諭のパソコンのユーザーIDとパスワードを盗み見して学校のサーバーに不正アクセスし、クラス編成案や休み明けのテスト問題、入試や定期試験など生徒980人分の成績を入手。このうち、クラス編成案は無料通信アプリ「LINE（ライン）」で同級生ら35人に送信した結果、情報があっという間に300人以上の手元へ拡散した。学校現場にパソコンが普及する中、個人情報に対する学校の管理体制や生徒たちの「情報モラル」が問われる事態になった。
付箋に書かれた教諭のパスワード
卒業式を前日に控えた2月28日。当時2年生だった男子生徒は、卒業式実行委員の一人として、他の委員の生徒や担当教員ら十数人とともに式のリハーサルのため体育館にいた。そこで舞台上のスクリーンに、卒業生たちの思い出となる写真を映し出す作業を手伝っていた。
スクリーンに映し出す写真のデータを操作するパソコンは、一定の時間が過ぎるとロックされ、再起動するにはパスワードの入力が必要だった。このため、パソコンの持ち主の男性教諭（49）はスムーズに作業ができるようにと、自分のパスワードを付箋に書き込み、パソコンを置いていた机の上に貼った。
またパソコン画面でパスワードを打ち込む際には、教諭のユーザーIDが自動的に表示されていた。男子生徒はそれに気付き、画面上のユーザーIDと机の上のパスワードを暗記した。
生徒用のPCで個人情報にアクセス
男子生徒はそれから半月後の3月中旬、授業などで使用するコンピューター教室で、暗記していた教諭のユーザーIDとパスワードを生徒用のパソコンに入力してみた。すると、生徒たちの個人情報や教員間でやり取りする情報などにアクセスできた。
入学試験をはじめ定期試験、模擬試験の結果や順位、4月に予定されている新しいクラス編成案の一覧表、新年度に転出入する教員名簿、春休み明けのテスト問題…。男子生徒は在校生や卒業生、新入学生ら約980人分のこれらの個人情報をUSBメモリにダウンロードし、取得した。
「興味本位でやった」
男子生徒はその後、自宅のパソコンなどを使って、これらの情報を編集。成績や氏名は取り除き、新しいクラス編成だけが分かるように、生徒番号を並べた表に作り直した。
こうして作成した新年度のクラス編成表の画像を同月30日から31日にかけ、スマホからLINEを使ってクラスメート35人に送信した。情報は受け取った生徒が友人などに送信するなどして拡散、4月14日までに少なくとも在校生345人に流れたとみられる。
一方、男子生徒は入試成績については送信せず、友人3人に口頭で伝えたという。
学校側は4月1日になって、「個人情報がLINEで流れている」との連絡を在校生から受け、今回の事態を把握。男子生徒が流したことが分かった。
学校側の調査に対し、男子生徒は「みんなが知りたい情報を教えてあげた」と説明し、「興味本位の軽い気持ちでやってしまった」と反省しているという。
サーバー1つだけ
その後の学校側の調査で、学校用のパソコンにはサーバーが1つしかないことが明らかになった。県内の他の県立高校ではサーバーは2つあり、生徒用のパソコンの接続先と、教員用のパソコンの接続先が明確に分離されている。
しかし、この学校では、生徒も教員も同じサーバーを共有する形となっていた。今回の問題を受け、県教委が改めて調査したところ、サーバーが1つだったのはこの学校だけだった。
今回の場合、他校のように教員と生徒用でサーバーが分かれていれば、生徒は教員用のサーバーを使えず個人情報を取り出すことはできなかった。
校長は「教職員に対し、パスワードなどを厳重に管理するよう指導が徹底できていなかった。また、サーバーが1つしかないことにずっと気付かなかった」と話す。
県教委が改めて通知出す
サーバーが1つだったことには県教委学校教育課の担当者も驚きを隠せず、「これまで各学校に対して、個人情報の管理意識を徹底させるため、さまざまな通達を出してきたが、その内容は校務用と生徒用のサーバーが分離していることが前提だった」と話す。
このため同課は4月17日、「個人情報の適正な取り扱いの徹底について」と題した通知を県立学校に出した。通知では「学生と教師が使用するパソコンのサーバーを別にすること」を指示。改めて学校側への確認も行った。
この学校もその後、サーバーを2つに分ける処置を取った。パソコンが学校現場に導入され始めた10年以上前から、サーバーが1つだった状況は続いていたとみられ、県教委はなぜ同校だけサーバーが1つだったのか調査している。
生徒への「情報モラル教育」不可欠
今回の情報流出はもちろんサーバーだけの問題ではない。まず、パスワードを生徒たちにも見えるようにした教諭の行為が軽率だった。さらに、学校行事で生徒らがパソコンを使用する際に教員用のものを充てていたこと、生徒への情報モラルに関する指導が不十分だったことなどもある。
総務省が今年4月に公表した情報通信メディアに関する調査（13〜69歳、1500人）では、LINEの利用率は44・5％と過半数に迫る勢いで、年代別ではとくに10代が80・3％、20代が70・5％と非常に高率だった。
それだけに、今回のような間違いを犯さないためにも、若い世代に対する情報モラル教育は不可欠だ。県教委学校教育課は「LINEやフェイスブックなどの普及で、情報の流出は不特定多数への爆発的な拡散を招く恐れがある。その危機意識を持って指導を徹底していきたい」と話している。

試験セキュリティー対策としてバイオメトリック音声認証を導入、替え玉受験やその他不正行為の可能性が懸念される受験者を特定(ETS)
http://scan.netsecurity.ne.jp/article/2014/05/16/34190.html    ScanNetSecurity
TOEFL、不正受験を防止するセキュリティー対策を世界各国に導入
米国のTOEFLテスト作成団体であるEducational Testing Service（ETS）は、世界各地で試験セキュリティー対策として、バイオメトリック音声認証を導入したことを発表した。
バイオメトリック音声認証システムは、銀行、警察、医療機関などに同様のサービスを提供する会社が開発したもので、替え玉受験やその他不正行為の可能性が懸念される受験者を特定するためのソフトウェア。TOEFLテストプログラムでは2012年5月に試験的導入を開始し、2014年2月にTOEFL iBTテストを実施する世界130か国のテストセンターへの本格導入を開始した。
ETSのグローバルエデュケーション・ワークフォース部門上級副社長のデイビッド・ハント氏は、「ETSにとってセキュリティーは最優先課題であり、TOEFLテストに最高水準のセキュリティー対策を導入することができ、誇りに思っている。試験の得点の有効性は、セキュリティーに優れた管理体制次第と言えるが、新しい音声認証システムによって一層確かなものになる」と述べている。
ETSでは、「Test Security Hotline」をETSのWebサイトにおいて不正行為の疑いがある場合にはETSへ通報するよう奨励。さらに、バイオメトリック音声認証をTOEIC プログラムでも2014年中に導入する予定だという。
4月には、英国国内のTOEICテスト実施会場で不正があったことを理由に、英国ビザ申請においてETSの試験が利用できなくなった。留学生などが英国滞在ビザを申請するためには、英語能力証明が必用で、これまで英国内務省はTOEFL iBTテストのスコアを英語能力証明として認めてきた。ところが、英国国内での不正が明らかになり、内務省はTOEFLを英国滞在ビザ申請のための英語能力証明として認めない方針を明らかにした。
今回発表されたバイオメトリック音声認証システムが、替え玉受験やその他不正行為をどの程度防ぐことができるのか、英国ビザ申請に再び利用できるテストとなるための判断材料となるだろう。
TOEFL:Home
http://www.ets.org/toefl/






ファイル共有ソフトのクローリング調査結果を発表、Winnyは2009年とくらべて10分の1以上減少(ACCS、ACA)
いよいよ消滅間近な、ファイル共有ソフトユーザー……Winny利用者は5年で10分の1に
コンピュータソフトウェア著作権協会（ACCS）と不正商品対策協議会（ACA）は13日、ファイル共有ソフトのクローリング調査の結果を発表した。
調査期間は1月17日17:00〜18日17:00（24時間）で、ファイル共有ソフトのネットワーク上に流通している情報を自動的に取得・分析した。調査対象はWinny、Share、PerfectDark、Gnutella、Bittorrentの5種類のファイル共有ソフト。
それによると、ノード数については、Winnyが1日あたり約1.2万台（2013年1月調査では2万台）、Shareが約4.4万台（2013年1月調査では5.9万台）、PerfectDarkが1日あたり約2.4万台（2013年1月調査では3.4万台）となっている。いずれも減少が続いており、5年前（2009年10月2〜3日）と比較すると、Winnyが10分の1以上（2009年は14万台）、Shareが約5分の1（2009年は21万台）となっている。
なお流通するコンテンツ内容について、「Gnutella」は音楽が突出して多く、他4ソフトは映像が多い（Winnyは書籍も多い）など、ソフトごとの特徴も明らかとなっている。
この結果についてACAでは、刑事告訴や様々な啓発等の対策を実施してきた成果としている。ファイル共有ソフト等を悪用した著作権法違反の全国一斉集中取締りについては、2009年の初実施から2014年までの間に5回実施されている。「ファイル共有ソフトを悪用した著作権侵害対策協議会（CCIF）」による啓発メール送付では、Winny、Shareユーザーに対して、延べ37,000通の啓発メールが送付されているとのこと。
ファイル共有ソフトのユーザーは引き続き減少 〜「ファイル共有ソフトの利用実態調査（クローリング調査）」結果 〜
http://www2.accsjp.or.jp/activities/2014/news58.php






2014年05月15日




標的型攻撃への対策を各社が展示、情報セキュリティEXPO
http://internet.watch.impress.co.jp/docs/event/20140515_648574.html    Impress Watch
「情報セキュリティEXPO」「スマートフォン＆モバイルEXPO」などの専門展を併催する「Japan IT Week 2014 春」が14日、東京・有明の東京ビッグサイトで開幕した。開催期間は5月16日まで。
「第11回情報セキュリティEXPO 春」の会場では、主に法人向けのセキュリティ製品やソリューションが展示されており、昨今急増している標的型攻撃対策の製品が目立った。
トレンドマイクロのブースでは、サーバーセキュリティソリューション「Trend Micro Deep Security」を展示。ウイルス対策、ウェブアプリケーション保護、侵入検知・防止（ホスト型IDS/IPS）、ファイアウォール、ファイルやレジストリなどの変更監視、セキュリティログ監視といった機能を、物理環境・仮想環境・クラウド環境にまたがって提供する。
4月に発見されたOpenSSLの“Heartbleed”脆弱性に対しても、攻撃コードが公開された翌日には仮想パッチ対応を行うなど、システムやサービスを止めることができない環境にも有効だとアピールしている。また、今後提供予定の製品としては、トレンドマイクロが管理サーバーを提供することで、1サーバーから導入可能となる「Deep Security as a Service」を参考出展している。
FFRIのブースでは、標的型攻撃対策ソフトウェア「yarai」を展示。マルウェアのパターンファイルに依存しない、振る舞い検知型の4つのヒューリスティックエンジンにより、既知・未知にかかわらずマルウェアの検知・防御が可能としており、実際に最近発生したInternet Explorerのゼロデイ脆弱性を悪用する攻撃にも対応できたという。
また、次期バージョンでは5つ目のエンジンとして、ビッグデータを活用した「機械学習エンジン」を搭載することを表明。一般的なマルウェア対策製品では、未知の脅威を防ぐための「レピュテーション」技術などでクラウドを活用しているが、yaraiではむしろ誤検知を防ぐための技術として新しいエンジンが活用できることに期待しているという。
NECグループのブースでは、NECフィールディングの標的型攻撃メール対応訓練サービスを紹介している。多くの標的型攻撃では、従業員がメールの添付ファイルを開封してしまうことが端緒となっているとして、従業員に対する標的型攻撃メールへの対応訓練や、結果報告などをNECが提供する。
従業員に対しては、PowerPointのファイルなどが添付された擬似的な標的型攻撃メールを送信。どの程度の社員がファイルを開いたかといった調査結果を報告書にまとめ、報告会を実施する。メール本文や添付ファイルの内容はカスタマイズ可能なため、実際の標的型メールに近いものが体験でき、訓練を2回実施することや、オプションのアンケートを実施することで訓練効果をさらに高められるという。
キヤノンITソリューションズのブースでは、ソフトウェアUTM（統合脅威管理）製品「SECUI MF2 Virtual Edition」を参考出展。SECUIのUTM製品「SECUI MF2」の仮想アプライアンス版で、ファイアウォール、ウイルス対策、スパム対策、VPN、ウェブフィルタリング、IPS（不正侵入防止）、DDoS対策、アプリケーション対策といった機能が統合されている。
プライベートやパブリックのクラウドサービス上での使用や、自社内の仮想サーバー内での利用を想定した製品。仮想環境で動作するため、自社環境に応じた適切なリソースを導入できる点がメリットだとしている。
情報セキュリティEXPO
http://www.ist-expo.jp/
トレンドマイクロ
http://www.trendmicro.co.jp/NEC
フィールディング
http://www.fielding.co.jp/FFRIhttp://www.ffri.jp/
キヤノンITソリューションズ
http://www.canon-its.co.jp/

スマホ向けフィッシング対策、3G対応GPSトラッカーなどを各社が展示
http://internet.watch.impress.co.jp/docs/event/20140515_648618.html    Impress Watch
「情報セキュリティEXPO」「スマートフォン＆モバイルEXPO」などの専門展を併催する「Japan IT Week 2014 春」が14日、東京・有明の東京ビッグサイトで開幕した。開催期間は5月16日まで。
「第4回スマートフォン＆モバイルEXPO 春」の会場では、株式会社システナのブースで、フィッシング対策ソリューション「Web Shelter」を展示している。許可されたURLのみにアクセス可能な制限付きブラウザーで、銀行などがオンラインバンキングの専用アプリとして配布することを想定した製品。標準ブラウザーの監視機能も備え、メールによりフィッシング詐欺サイトに誘導された場合にも警告を表示する。銀行からの引き合いも多く、既に東京スター銀行がWeb Shelterを導入しているという。
同じくシステナのブースでは、Firefox OSを搭載したオリジナルのタブレット端末も展示。HTML5 WebRTC機能を活用したデモを行っている。
フェンリル株式会社のブースでは、同社のスマートフォンアプリ開発や、UXリサーチ・デザインなど法人向けの事業・サービスをアピールしている。また、今後提供を予定している製品として、フィルタリング、データ保存禁止、モバイル管理（MDM・MAM）の機能を備えた法人向けモバイルブラウザー「Sleipnir Mobile S」の情報を展示している。
「第3回ワイヤレスM2M展」の会場では、株式会社ユビキタスのブースで、「Internet of Things（モノのインターネット）」を実現するプラットフォーム「dalchymia（ダルキュミア）」を展示している。
様々なデバイスを接続するためのインターフェイスや、データストア、データを利用するためのAPIなどを提供することで、センサーを活用した様々なサービスの構築が短期間に行える。会場では、iPhoneに搭載されている各種センサーが計測した10分の1秒単位の情報をリアルタイムで処理し、ビジュアル化して表示するデモを披露している。
株式会社GISupplyのブースでは、3G/GPSトラッカー「TR-313J」を展示している。GPSで取得した位置情報を、3G回線を使用して送信するトラッカーで、本体にSIMカードスロットを備えており、MVNOの格安SIMカードなどが利用可能。送信した位置情報は、フリーのウェブアプリでPCやタブレット、スマートフォンなどのブラウザーで表示でき、トラッキングシステムを安価に構築できる。
スマートフォン＆モバイルEXPO
http://www.smart-japan.jp/haru/
ワイヤレスM2M展
http://www.m2m-expo.jp/
株式会社システナ
http://www.systena.co.jp/
フェンリル株式会社
http://www.fenrir-inc.com/jp/
株式会社ユビキタス
http://www.ubiquitous.co.jp/
GPSDGPS
http://www.gpsdgps.com/






ゆうちょ銀行、ワンタイムパスワード生成機を無料配布
http://internet.watch.impress.co.jp/docs/news/20140515_648607.html    Impress Watch
株式会社ゆうちょ銀行は14日、インターネットサービス「ゆうちょダイレクト」において、ワンタイムパスワード生成機（トークン）の無料配布を開始すると発表した。オンラインバンキングを狙った不正アクセスによる犯罪から顧客を守るためのセキュリティ強化の一環。
トークンでは、一度しか使えないパスワードを1分ごとに生成し、液晶に表示する。第三者にパスワードを盗み見られた場合でも、一度使用したパスワードは無効となるため安心して送金できると説明している。
トークンの無料配布は6月23日からだが、これに先立ち、4月9日以降に1回以上ログインした顧客を対象に事前申し込みの告知はがきを順次送付中。
プレスリリース　　　「ゆうちょダイレクト」のセキュリティ強化について　〜「トークン（ワンタイムパスワード生成機）」の無料配布を開始いたします〜
http://www.jp-bank.japanpost.jp/news/2014/news_id001031.html





「ICカード＋生体情報」など3種の認証を可能に（ソリトン）
http://scan.netsecurity.ne.jp/article/2014/05/15/34172.html    ScanNetSecurity
株式会社ソリトンシステムズ（ソリトン）は5月13日、PCログオン認証ソフトウェア「SmartOn ID」を、日本電気株式会社（NEC）製「非接触型指ハイブリッドスキャナ HS100-10」に対応、新オプション「SmartOn ID 指ハイブリッド認証」として同日より販売開始したと発表した。同スキャナは、米国国立標準技術研究所（NIST：National Institute of Standards and Technology）主催のバイオメトリクス技術ベンチマークテストで世界No.1評価を獲得しており、「指紋照合技術」および独自開発した「指静脈認証技術」のフュージョン照合により、世界最高レベルの照合精度（他人許容率0.00001％以下）を実現している。
今回、NEC製「指ハイブリッドスキャナ」に対応することで、認証の強化を計り、情報資産を守るためのソリューションを提供する。本オプションによって、「ICカードのみ」「生体情報のみ」「ICカード＋生体情報」の3種の認証方式に対応し、利用者や利用端末の用途などに合わせ選択することが可能となった。生体情報の利用に際しては、事前の生体情報登録が不可欠だが、物理的に離れた拠点においても登録作業が可能なよう、生体情報の登録だけを行える管理者など任意の権限を割り当てた管理者を設けることができる。価格はオープン価格で、NEC経由での販売となる。
ソリトン　　　ソリトン、PCログオン認証ソフト「SmartOn ID」、新オプションを発表
http://www.soliton.co.jp/news/nr/14_04_soid.html






「Movable Type」旧バージョン使用サイトで改ざん報告多数
http://internet.watch.impress.co.jp/docs/news/20140515_648670.html    Impress Watch
旧バージョンの「Movable Type」を使用しているウェブサイトが改ざんされるインシデントの報告を多数受けているとして、一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）が15日、「旧バージョンのMovable Typeの利用に関する注意喚起」を出した。インシデントの概要を説明するとともに、サイト管理者に対してバージョンの確認やログの確認などを行うよう呼び掛けている。
JPCERT/CCによると、Movable Typeの既知の脆弱性を使用した攻撃によって不正なファイルがサイトに設置されたり、攻撃サイトへと誘導するiframeや難読化されたJavaScriptが埋め込まれる事例が確認されているという。
旧バージョン使用サイトが改ざんされた事例すべてが脆弱性に起因するものと確認されたわけではないが、脆弱性を抱えてまま運用している場合、改ざんなどの被害を受ける可能性があると説明。未然防止の観点から、Movable Typeだけでなく、OSやその他のソフトウェアも含め、最新の状態にアップデートするよう勧めている。
旧バージョンのMovable Typeの利用に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140024.htmlMovable
Typeを安全に利用するためにできること
http://www.movabletype.jp/blog/secure_movable_type.html

 
NSAは輸出するCisco製品にバックドアツールを仕込んでいた──スノーデン氏関連の新刊書が暴露
http://www.itmedia.co.jp/news/articles/1405/15/news096.html    ITmedia
元CIA職員がもたらした大量の極秘文書に基いて書かれた
NSA告発書「NO PLACE TO HIDE」によると、NSAはCiscoのネット製品などに情報収集ツールを密かに追加して輸出していたという。Ciscoは「知らなかった」という声明文を出した。
米国家安全保障局（NSA）が定期的に米国製のルータやサーバを輸出前に入手し、情報収集用のバックドアツールを密かに追加していたことの証拠となる文書が、5月13日に出版された告発本「NO PLACE TO HIDE」で紹介された。
本書は、元CIA職員のウイリアム・スノーデン氏がNSAから持ち出した大量の極秘文書と、スノーデン氏との会話に基いて、元英Guardianの記者、グレン・グリーンウォルド氏が執筆したものだ。
第3章「Collect It All」には画像付きで2010年6月のNSAの幹部による関連報告書が掲載されている。これによると、NSAは入手したネット機器をTailored Access Operations/Access Operations（TAO）チームに送り、TAOチームがツールを埋め込んで梱包しなおして配送ルートに戻していた。
グリーンウォルド氏は本書で、NSAが米Cisco Systems製の大量のルータとサーバにもツールを埋め込んでいたが、Ciscoがこれについて知っていたかどうかを示す証拠はないと書いている。
Ciscoは同日、公式ブログで、「Ciscoは米連邦政府を含むいかなる政府とも、当社製品を劣化させるようなことには協力していない」と語り、行き過ぎた政治的行為は自由を損なうと、米連邦政府の行為を批判した。
グレン・グリーンウォルド氏（原作者）のWebサイト
http://glenngreenwald.net/index.html
Ciscoの公式ブログ　　Internet Security Necessary for Global Technology Economy
http://blogs.cisco.com/news/internet-security-necessary-for-global-technology-economy/





Chromeユーザーが知るべき新型フィッシング詐欺、そのだましの手口とは？
http://techtarget.itmedia.co.jp/tt/news/1405/15/news08.html    ITmedia
Googleアカウントを狙うフィッシング攻撃が確認された。従来の手法では検出できない新たな方法が用いられているという。アカウントが乗っ取られると、「Google Drive」に保存したドキュメントにアクセスされたりする恐れがある。
Googleアカウントのパスワードがハッカーに狙われている。ルーマニアのセキュリティ企業であるBitdefenderは、従来のヒューリスティック方式では検出できない新たなフィッシング攻撃が用いられていると警告する。
これは、米GoogleのWebブラウザ「Google Chrome」がデータを表示するために利用するURI（Uniform Resource Identifier）を悪用した攻撃だ。Chromeユーザーが最も危険にさらされるが、「Mozilla Firefox」の利用者も攻撃の対象となる可能性がある。
「ユーザーのGoogleアカウントにアクセスできれば、ハッカーは『Google Play』でアプリを購入したり、『Google+』アカウントを乗っ取ったり、『Google Drive』の機密文書にアクセスしたりすることができる」とBitdefenderの最高セキュリティ戦略家のカタリン・コソイ氏は話す。
「この詐欺攻撃はまず、Googleから送信されたように装った電子メールから始まる。メールの件名は、『Mail Notice』や『New Lockout Notice』といった類いのものである」
その内容は次のようなものだ。「本メールは、あなたの電子メールアカウントが24時間以内にロックされることを知らせるリマインダー通知です。あなたに割り当てられた電子メール用ストレージ容量を増加することができません。電子メール用ストレージを自動的に増加するためには、“INSTANT INCREASE”（リンク）にアクセスしてください」
このリンクをクリックすると、偽装されたGoogleのログインページにリダイレクトされ、秘密情報の入力が求められる。
「今回のフィッシング攻撃で興味深い点は、Webブラウザのアドレスバー内に“data:”の値を持つことだ。これは、データURIスキームが使われていることを示唆している」とコソイ氏は説明する。
同氏によると、データURIスキームを使えば、攻撃者は外部リソースと同様に、Webページ内にデータをインラインで埋め込むことができるという。
データURIスキームは、ファイルコンテンツをBase64でエンコードする。今回のケースにおいては、偽装Webページのコンテンツは、データURIのエンコードされた文字列で供給される仕組みだ。
Google Chromeは文字列全体を表示するわけではない。そのため、一般のユーザーは自分たちがフィッシング攻撃の標的になり、サイバー犯罪者にデータを手渡していることに気が付かないかもしれない、とコソイ氏は述べる。
増加するフィッシング攻撃
Googleや米Facebook、米eBay、電話サービス企業、金融機関などは、攻撃者が好んで詐欺を仕掛ける対象である。
フィッシング攻撃は、自動化するツールの利用やホスト型の検出システムを迂回する技術の出現によって増加の傾向にある。米SANS Technology Instituteでリサーチ担当部長を務めるヨハン・ウルリッチ氏はこう話す。
だからといって、企業はこうした攻撃に対して無力というわけではない。フィッシング攻撃のリスクを低減する幾つかの方法がある。
フィッシング詐欺の手法を注意喚起するユーザーのセキュリティ教育や、継続的なネットワーク監視といった効果的なメソッドおよびプロシージャの実装などが含まれる。

柴犬マークの仮想通貨「Dogecoin」にサイバー攻撃
http://www.itmedia.co.jp/news/articles/1405/15/news045.html    ITmedia
Dogecoinの保管サービス「Doge Vault」が攻撃を受け、ウォレットの資金が改ざんされた。多くのユーザーが大量のDogecoinを盗まれたと報告しているという。
柴犬をマスコットに使った仮想通貨「Dogecoin」の保管サービスがサイバー攻撃を受け、ユーザーの口座から大量のDogecoinが盗まれる事件が起きた。ビットコインやDogecoinといった仮想通貨への投資については米当局も注意を呼び掛けている。
被害に遭ったのはDogecoinの保管に使われているオンラインウォレットサービス「Doge Vault」。Webサイトに掲載された告知によると、5月11日に攻撃を受けてサービス障害が発生し、ウォレットの資金が改ざんされた。管理者が気づいてサービスを停止した時には既に、サービスをホスティングしていた仮想マシンの全データが破壊されていたという。
同社はオフサイトのバックアップからウォレットデータの復旧を試みるとともに、攻撃手段や侵入経路などについて調査を進めているとしている。
被害額は公表されていないが、報道によれば、多くのユーザーが自分の口座から大量のDogecoinを盗まれたと報告しているという。ただ、Dogecoinはビットコインに比べると価値が大幅に低いことから、膨大な額の被害が出るような状況にはなっていないとみられる。
仮想通貨を巡っては、
ビットコイン取引所のMt.Goxに対するサイバー攻撃で危険性が浮き彫りになった。
http://www.itmedia.co.jp/enterprise/articles/1403/03/news029.html　：　Mt.Goxに何が？　ビットコイン攻撃やマルウェア増加に警鐘　2014年03月03日
米証券取引委員会（SEC）は5月7日、仮想通貨関連の投資について改めて注意を喚起している。
SECによれば、「ビットコイン投資のチャンス」とうたった広告で投資家をおびき寄せるネズミ講の手口が摘発されるなど、仮想通貨が投資詐欺やハイリスク投資の宣伝に使われるケースも増えているという。
仮想通貨は政府の規制や保険の対象にならず、変動も激しいうえ、ハッキングやマルウェアの被害に遭って盗まれる恐れもあるとSECは警告している。
DogeVault.com
https://www.dogevault.com/
Investor Alert: Bitcoin and Other Virtual Currency-Related Investments
http://investor.gov/news-alerts/investor-alerts/investor-alert-bitcoin-other-virtual-currency-related-investments#.U3SCh8uMc-X

2014年05月14日



Winny／Shareで流通する著作物、アダルト3割・同人2割、クローリング調査推定
http://internet.watch.impress.co.jp/docs/news/20140514_648281.html    Impress Watch
一般社団法人コンピュータソフトウェア著作権協会（ACCS）と不正商品対策協議会（ACA）は、ファイル共有ソフトのクローリング調査の結果を公表した。
クローリング調査は、ファイル共有ソフトのネットワーク上に流通している情報を自動的に取得し、分析したもの。調査対象は、Winny、Share、PerfectDark、Gnutella、Bittorrentの5種類のファイル共有ソフト。Bittorrentを除く4ソフトでは、各ソフトに対応した手法を用いてネットワークを2014年1月17日17時〜1月18日17時に巡回し、実際に流通している情報を取得・分析。Bittorrentについては、利用者が多く代表的とされるインデックスサイトの1年分（2013年1月19日〜2014年1月18日）の新着トレントファイルを自動収集して実施した。
各ソフトで収集したファイルから1万件をランダムに抽出し、それぞれのファイルを「調査対象著作物（音楽、映像、プログラムなど権利の所在が確認できるもの）」「アダルト」「同人」「不明ファイル」「危険ファイル（ウイルスなど）」に分類している。
抽出したファイルのうち、著作物と推定されるファイル（「調査対象著作物」「アダルト」「同人」の合計）の割合は、Winnyが94.22％、Shareが98.48％、Perfect Darkが98.81％、Gnutellaが65.11％、BitTorrentが98.61％。
Winnyから抽出したファイルの分類は、調査対象著作物が39.29％、アダルトが34.05％、同人が20.88％など。調査対象著作物の内訳は、映像35.94％、書籍35.48％、音楽11.05％、プログラム3.77％、その他13.77％。調査対象著作物のうち、権利の対象であり無許諾で送信されていると推定されるものが94.15％を占める。
Shareから抽出したファイルの分類は、調査対象著作物が46.31％、アダルトが31.41％、同人が20.76％など。調査対象著作物の内訳は、映像66.12％、書籍20.84％、音楽4.88％、プログラム4.34％、その他3.82％。調査対象著作物のうち、権利の対象であり無許諾で送信されていると推定されるものが95.98％を占める。
Perfect Darkから抽出したファイルの分類は、調査対象著作物が60.13％、アダルトが26.85％、同人が11.83％など。調査対象著作物の内訳は、映像50.17％、書籍24.56％、音楽11.46％、プログラム5.55％、その他8.25％。調査対象著作物のうち、権利の対象であり無許諾で送信されていると推定されるものが95.54％を占める。
Gnutellaから抽出したファイルの分類は、調査対象著作物が52.30％、アダルトが12.72％、同人が0.09％など。調査対象著作物の内訳は、音楽54.67％、書籍16.21％、映像6.06％、プログラム1.43％、その他21.63％。調査対象著作物のうち、権利の対象であり無許諾で送信されていると推定されるものが78.45％を占める。
BitTorrentから抽出したファイルの分類は、調査対象著作物が73.03％、アダルトが25.00％、同人が0.58％など。調査対象著作物の内訳は、映像62.49％、プログラム18.50％、音楽10.80％、書籍6.60％、その他1.60％。調査対象著作物のうち、権利の対象であり無許諾で送信されていると推定されるものが95.00％を占める。
プレスリリース   ファイル共有ソフトのユーザーは引き続き減少 〜「ファイル共有ソフトの利用実態調査（クローリング調査）」結果〜
http://www2.accsjp.or.jp/activities/2014/news58.php





ファイル共有ソフトのユーザー減少、Winnyは7年前の30万台から1.2万台に
http://internet.watch.impress.co.jp/docs/news/20140513_648146.html    Impress Watch
一般社団法人コンピュータソフトウェア著作権協会（ACCS）と不正商品対策協議会（ACA）は、2014年1月に実施したファイル共有ソフトのクローリング調査の結果を公表した。
クローリング調査は、ファイル共有ソフトのネットワーク上に流通している情報を自動的に取得し、分析したもの。調査日時は2014年1月17日17時〜1月18日17時の24時間。
各ソフトの推定ノード数は、Winnyが1日あたり約1.2万台（2013年1月調査では2万台）、Shareが約4.4万台（同5.9万台）、PerfectDarkが1日あたり約2.4万台（同3.4万台）で、いずれも減少が続いている。
2007年の調査による推定ノード数は、Winnyが30万台、Shareが21〜22万台だったが、ダウンロード違法化後の2010年の調査では、Winnyが6万台、Shareが13万台まで減少。その後も年々減少を続けている。
ACAではこの結果について、ファイル共有ソフトを通じた著作権侵害には、悪質な侵害者に対してACA加盟団体や権利者による刑事告訴を行う一方、ファイル共有ソフトを悪用した著作権侵害対策協議会（CCIF）の実施する啓発メール送付活動への参加など、様々な対策を実施してきた成果と考えていると説明。ファイル共有ソフトなどを悪用した著作権法違反の全国一斉集中取締りについては、2009年の初実施から2014年までの間に5回実施されるなど、同種事犯の効果的な取り締りが継続されているという。
また、啓発メールの送付活動では、2010年の活動開始以降、WinnyとShareのユーザーに対して、のべ3万7000通の啓発メールを送付。2014年4月からはGnutellaとBitTorrentのユーザーに対しても啓発メールを送付するなど、対象を拡げた啓発活動を推進しているという。
プレスリリース  ファイル共有ソフトのユーザーは引き続き減少 〜「ファイル共有ソフトの利用実態調査（クローリング調査）」結果〜
http://www2.accsjp.or.jp/activities/2014/news58.php





「Googleは要請があれば個人情報へのリンクを削除すべし」──欧州司法裁判所の裁定
http://www.itmedia.co.jp/news/articles/1405/14/news065.html    ITmedia
欧州連合の最高裁に当たる欧州司法裁判所は5月13日（現地時間）、Googleはユーザーから要請があった場合、検索結果から個人情報を含むWebサイトへのリンクを削除する責任を負うという裁定を下した。
これは、スペイン在住のマリオ・コスティージャ・ゴンザレス氏が2010年、Google検索の結果に過去の新聞記事へのリンクが表示されることについて、新聞社とGoogle Spainに情報の削除を命令するようスペイン情報保護局（AEPD）に申し立てたことで始まった裁判に関するものだ。
AEPDはGoogleに検索結果の削除を命令したが、Googleはこれを不服としてスペインの最高裁に当たるAudiencia Nacionalに上訴し、Audiencia Nacionalが欧州司法裁判所に判断を求めていた。
欧州司法裁判所の裁定は、Googleは新聞社の2つのページへのリンクを削除しなければならないというものだ。同裁判所は、Googleのような検索エンジンオペレーターは第三者のWebページに表示される個人情報へのリンクの処理に関して責任があると判断した。検索エンジン企業は一般人から要請があった場合、「不適切、無関係あるいは既に無関係になっている」データを検索結果から削除しなければならないという。
欧州連合の欧州委員会（EC）は2012年に、一般人がWebサービスに対してデータの削除を要求できるようにするための「忘れられる権利（right to be forgotten）」に関する法案（リンク先はPDF）を提出している。
ECで司法・基本的権利・市民権担当の副委員長を務めるビビアン・レディング氏は自身のFacebookで、この裁定は「欧州における個人情報保護についての明確な勝利だ」と語った。
Googleは各メディアに対し、「これは検索エンジンとオンラインパブリッシャー全体にとって残念な裁定だ。（中略）この裁定の影響を分析するための時間が必要だ」という声明を発表した。
プレスリリース（PDF）
An internet search engine operator is responsible for the processing that it carries out of personal data which appear on web pages published by third parties
http://curia.europa.eu/jcms/upload/docs/application/pdf/2014-05/cp140070en.pdf





Googleに検索結果の削除要請する際の根拠となる「忘れられる権利」とは何か？
http://gigazine.net/news/20140514-right-to-be-forgotten/    GIGAZINE
EUの最高裁判所に相当する欧州司法裁判所は、「私人は時間の経過に伴って現状にそぐわなくなった過去の個人情報に関する検索結果を削除するようGoogleに要求できる」との判決を下しました。インターネット上のプライバシー権に関する極めて重要な判決と評価されるこの判決の判断背景にある「忘れられる権利」とは一体どのような権利なのでしょうか。

(PDF)An internet search engine operator is responsible for the processing that it carries out of personal data which appear on web pages published by third parties
http://curia.europa.eu/jcms/upload/docs/application/pdf/2014-05/cp140070en.pdf

BBC News - EU court backs 'right to be forgotten' in Google case
http://www.bbc.com/news/world-europe-27388289

 ◆欧州での「流れ」を決定づけた判決
今回の裁判は、自宅を差し押さえられたスペイン人男性が「自分の名前をGoogleで検索したとき、競売通知が検索結果に出てくるのはプライバシー権の侵害にあたる」と主張してGoogleと争ったもの。Google側は、「検索エンジンはインターネットで閲覧可能な情報へのリンクを提供しているだけで、情報の削除権限は当該情報を公開する人にのみあり検索結果の修正は検閲に当たる」と主張しましたが、この主張は退けられました。
判決では「ある個人の名前を検索したときに、その人物に関する情報を含むページが検索結果に表示されるときで、かつプライバシー権が侵害され得る情報が含まれている場合に、検索結果を提供する事業者に対して検索結果の修正・削除を求めることができる」と判断し、「関連性が失われたり古くなったリンクは要請に応じて削除すべき」との結論を出しました。この判決内容の基礎となる判断基準は、EU圏内において通用するため、GoogleやFacebookなどのグローバル企業がEU圏内で提供するサービスについては事実上、今回の判断基準に拘束されることになります。
なお、EUでは2012年から従来の個人情報保護に関する方針を改定する情報保全規則の策定作業が行われてきましたが、この規則中に個人の「忘れられる権利」を明記する方針とされており、今回の判決はこのような法整備の流れを先取りした形です。EUの司法長官であり情報保全規則の改定に参加してきたビビアン・レディング氏は、Facebook上で「ヨーロッパの人々の個人情報保護における明確な勝利です」とのコメントを出して判決を歓迎してます。
◆忘れられる権利
この判決の背景にあるのはオンライン上のプライバシー権に関する「忘れられる権利」です。「忘れられる権利」は、「インターネット上から情報が削除されることで、それ以降、第三者に当該情報を探索されない権利」と定義することができ、今回、Googleが命じられた検索結果の削除はまさに「忘れられる権利」が行使された場面と言えます。
「忘れられる権利」のルーツは、「犯罪を犯した人物が罪を償ったあとにも犯罪歴を公開され続けることは社会復帰を困難にするため避けるべきである」という考えからフランス法で認められている「忘却の権利」にあるとされます。犯罪歴はもちろん、それ以外にも個人に関する過去の情報で公開され続けることを望まない情報はあるもので、インターネット上にアップロードされたこれらの情報が半永久的に公開され続けることは個人のプライバシー権を侵害するものとして、保障する必要性が主張されたのが「忘れられる権利」というわけで、「忘れられる権利」の具体的な行使方法としては、検索サービス提供者だけでなくインターネット上でサービスを提供するサーバの管理者に対して自分の情報を削除するように請求することが想定されています。
 ◆「忘れられる権利」の行使に対する消極的見解
「忘れられる権利」を認め、インターネット上でのプライバシー権の保護を手厚く認めるべきという考えは、フランスをはじめヨーロッパ諸国では主流になってきています。しかし、Googleなどの大手IT企業を輩出するアメリカでは、忘れられる権利を広く認めることは、表現の自由を最大限に行使できる「場」としてのインターネットの良さを損ないかねないとして慎重な立場を崩していません。このような姿勢は、例えば性犯罪者の顔写真と個人情報を公開し、さらに常習犯にはGPSの着用を義務づける州法が存在するアメリカの現状を考えれば何ら不思議なことではありません。
また、「忘れられる権利」はプライバシー権の一つとして認められるという主張に対しては、表現の自由の一つとして認められる「知る権利」を侵害することになり得るという批判もあります。今回、欧州司法裁判所が出した判決の中でも、私人と違って公人の場合は例外的に「忘れられる権利」に「知る権利」が優先する場合があることが認められているものの、私人・公人の区別が困難な場合があることは明らかです。
さらに、インターネットがもつ情報の共有容易性が「忘れられる権利」の行使を困難にするとも考えられます。例えば、特定の個人に関する情報がインターネットに公開され、その情報を閲覧した第三者が自身のブログ内で複製・引用したというケースを考えるとき、特定の個人が「忘れられる権利」を主張してブログサービスの提供者に第三者のブログの内容を修正することを認めるならば、第三者の表現の自由が制約を受けることは明らか。そして、この場合にいずれの権利を優先すべきかについてサービス提供者に判断させることが酷であることも明らかです。
今回の欧州司法裁判所による判決によって、少なくともEU圏内では時間の経過に伴って現状にそぐわなくなった過去の個人情報の削除を求めやすくなったと言うことができ、GoogleやFacebookなど世界規模でサービスを提供するインターネット企業では個人からの情報の削除要請への対応が避けられそうにありません。






サイバー攻撃を“受けた後”に着目するセキュリティ新製品が登場
http://www.itmedia.co.jp/enterprise/articles/1405/14/news144.html    ITmedia
ITの総合展示イベント「2014 Japan IT Week 春」が5月14日、東京ビッグサイトを会場に開幕した。イベントの1つである「情報セキュリティEXPO」には今年も多数の企業が出展。各社の訴求で新たに注目されたのが、サイバー攻撃など脅威による被害を受けた後の対応を支援するという新製品だ。
トレンドマイクロが参考展示した「Trend Micro Deep Discovery Endpoint Sensor（仮称）」は、同社の標的型サイバー攻撃対策ソリューションと連携して、クライアントPCなどの被害状況を迅速に把握できるための仕組みを提供するという。
標的型サイバー攻撃は、攻撃者が社内のコンピュータを踏み台にして徐々に攻撃範囲を広げていくことが知られる。被害抑止では踏み台にされたコンピュータを迅速に特定して対処することが必要になるが、コンピュータが多数稼働している大規模企業などでは、これを調べるだけでも大変な作業になってしまう。
同社は既にネットワークやサーバで不審な通信やファイルなどの脅威を検知する仕組みを提供。Endpoint Sensorはこれと連携し、踏み台にされたとみられるコンピュータの洗い出しやそのコンピュータ上で行われた活動、ほかに被害を受けたコンピュータの捜索といった対応を支援できるとしている。
マクニカネットワークスは、ログ管理・分析ツールのSplunkやFireEyeの脅威解析システムを使って、標的型サイバー攻撃の状況を詳細に解析していく方法を紹介した。FireEyeで解析された不審なファイルや通信の挙動に関する情報と、企業や組織で保存している大量のログ情報の相関関係を分析することで、過去に遡って脅威の動向を把握していけるという。
これは「SIEM（セキュリティインシデント・イベント管理）」ソリューションとも呼ばれ、セキュリティベンダー各社が注力している分野の1つ。同社担当者によれば、SIEMは特に未知の脅威を迅速に検知できる点で有力な手段になると説明する。ただし、実際の被害状況などを詳細に調べていく上では、セキュリティ関連のログ以外に、ITシステム全体の膨大な種類と量のログを一緒に分析しなくてはならないという。
同社の分析デモでは最初の検知をきっかけに、過去に同様の不正通信があったかどうかや、攻撃者に踏み台にされたコンピュータが不正ログインを試したり、ファイルサーバにアクセスしたりといった履歴をグラフィカルレポートで瞬時に通知する様子を披露している。
脅威の検知後に迅速に防御を講じる仕組みとして、マカフィーは「Security Connected」というフレームワークに基づくソリューションを出典した。Security Connectedは、ネットワークやエンドポイントなどの各種対策を相互連携させて防御レベルを高める仕組みを提供しているという。
ブースでは脅威解析の「Advanced Threat Defense（ATD）」や次世代ファイアウォールなどを出展。ATDで検知した脅威情報をIPSやメール／Webセキュリティ製品へ迅速に反映させて脅威を遮断できるようにしているが、2014年中には次世代ファイアウォールとの連携、また、被害を受けたコンピュータの復旧なども可能にしていくという。

「ウイルス対策ソフトは死んだ」発言の真意は？
http://www.itmedia.co.jp/enterprise/articles/1405/14/news157.html    ITmedia
Symantec幹部が発言したという衝撃的なコメントに、競合各社も反応した。そこにはどんな意味が込められているのだろうか。
「ウイルス対策ソフトは死んだ」――5月上旬、
米紙Wall Street Journalが報じたSymantec 上級副社長のブライアン・ダイ氏の発言が話題になった。
http://www.itmedia.co.jp/enterprise/articles/1405/07/news037.html　：　「ウイルス対策は命が尽きた」　Symantecが重点シフト　2014年05月07日
この発言の真意は何か。競合各社の反応などを追った。
著名なセキュリティ研究者で知られるフィンランドF-Secureのミッコ・ヒッポネン氏は、ダイ氏の発言を支持するとし、「世間で言うウイルス対策は、ここ5年以上も絶望的な状態にある」とブログでコメントした。米Trend Micro 最高技術責任者のレイモンド・ゲネス氏は、「こうした発言はもう何年も前から業界内で指摘されてきた」と述べている。
一方でドイツのG Data Softwareは、ダイ氏の発言が個人や企業ユーザーを動揺させたと非難。同社セキュリティ研究所代表のラルフ・ベンツミュラ―氏は、「長年提供されてきた定義ファイルを用いるウイルス対策ソフトを基本に、未知のマルウェアに対処する現代型のセキュリティソフトが実現されている」と語る。
各社のコメントに共通するのは、「従来型のウイルス対策ソフト」という表現。従来型とは、定義ファイルを用いて不正なプログラムを検出することを指す。WSJの記事の中でダイ氏は、「ウイルス対策ソフトは収益源にならないだろう」とも述べており、「ウイルス対策ソフトは死んだ」との発言には、定義ファイルだけに頼るウイルス対策ソフトは価値を生まないという考えが込められている。
ヒッポネン氏は、「従来型のウイルス対策ソフトではドライブバイ攻撃に効力を発揮できない」と指摘する。
定義ファイルは、専門家などによって特定された不正プログラムの情報といえる。ドライブバイ攻撃では例えば、サイバー攻撃者によって不正に改ざんされたWebサイトを閲覧したユーザーのコンピュータへ、さまざまな不正プログラムが送り込まれる。この中には“特定されていない”ものが含まれることも多く、定義ファイルだけでは発見できないというわけだ。
国内のセキュリティベンダーのある担当者は、「定義ファイルとはいわば指名手配犯の写真。犯人が整形してしまうと、犯人と断言できなくなる。現在は定義ファイルで特定された不正プログラムの一部分を改造した新たなウイルスが横行し、定義ファイルだけでは検知が難しい」と解説する。
ベンツミュラー氏のいう「現代型のセキュリティソフト」は、定義ファイルに加え、さまざまな分析技術を併用することで、定義ファイルだけでは見つけられない不正プログラムを検知する機能を提供している。
姿を変えた不正プログラムとはいえ、コンピュータに感染する方法やサイバー攻撃者から命令を受け取って実行するといった行動には共通性もみられる。また、セキュリティベンダーは「このファイルが通信するWebサイトはあやしい」といったような、「悪意がある」と特定に至らないレベルの情報も膨大に保有している。現代型のセキュリティソフトは、こうした多種多様な“怪しい手掛かり”なども活用して不正プログラムを検出する。
ダイ氏だけでなく競合各社も現代型のセキュリティソフトの重要性を強調する。不正プログラムの脅威が姿形を変えているように対策ソフト側も進化しているとし、最も基礎的な定義ファイルだけでは十分な防御ができないとの見方だ。
昨今では定義ファイルのみのウイルス対策ソフトは無料、多機能なセキュリティソフトは有料というケースが多い。「無料ソフトで十分」というユーザーもいるが、ユーザー自身が知らないうちに不正プログラムに感染し、大量のスパムメールをばらまいたり、ほかのコンピュータを攻撃したりと、加害者にされかねない事態が起きている。
大半のコンピュータ製品は、ユーザーの「有効に活用したい」との感覚で積極的に購入されるものの、セキュリティ製品は「必要に迫られて……」「仕方なく……」といった感覚がつきまとう。効力のある対策を講じるために、ユーザーは多機能なセキュリティソフトを購入しなければならない。セキュリティベンダーも企業である以上、ビジネスとして製品を有料で提供する。とはいえ、“悪質なサイバー攻撃者に立ち向かう”というある意味では“ビジネス以上に重要な使命”を実行する立場にもあるといえるだろう。
ダイ氏の発言の裏側には、こうしたセキュリティ対策ビジネスにおける本質も込められているようだ。ゲネス氏は、「セキュリティ業界の真の敵はサイバー犯罪者であり、同業者による競争ではない。遅かれ早かれこの業界の誰かが、『ウイルス対策ソフトは死んだ』と言わなければならなかった」とコメントしている。
Symantec　　Symantec Unveils New Advanced Threat Protection
http://www.symantec.com/about/news/release/article.jsp?prid=20140505_01
F-Secure　　アンチウイルスは死んだ?
http://blog.f-secure.jp/archives/50727562.html
Trend Micro　　Why “AV is dead” is a dead end topic
http://blog.trendmicro.com/av-dead-end-topic/#.U3SFocuMc-X
G Data Software　　Are antivirus solutions dead?
https://www.gdatasoftware.com/about-g-data/press-center/news/news-details/article/3517-are-antivirus-solutions-dead.html
Wall Street Journal　　Symantec Develops New Attack on Cyberhacking
http://online.wsj.com/news/article_email/SB10001424052702303417104579542140235850578-lMyQjAxMTA0MDAwNTEwNDUyWj

ももクロ「顔認証入場」導入　画期的な方法だとファン歓喜
http://www.j-cast.com/2014/05/14204751.html?p=all　　J-CAST
人気アイドルグループ「ももいろクローバーZ」が、公演入場時に「顔認証システム」を導入すると2014年5月12日に公式サイトで発表した。
これまでチケットの転売が横行していただけに、不正防止につながる画期的な方法だとして、ファンからも喜びの声が上がっている。
オークションには身分証付きチケットも
発表はファンクラブ「ANGEL EYES」会員に向けたもので、7月26日、27日に開催される日産スタジアム公演から導入するという。これによりファンクラブ会員は自身の顔写真をインターネット上で登録することとなり、登録を済まさなければチケット抽選予約に申し込むことができない。
ファンクラブ会員はこれまで、ライブ入場時にはIC会員証に加えて公的身分証明書の提示が義務付けられていた。不正を取り締まる効果はあったが、確認のために時間もかかっていた。しかし今後は、会員は入場口でIC会員証をかざすだけになり、ファンクラブ側は「今までよりスムーズなご入場ができるようになります」としている。また、当日に身分証を忘れて入れなくなってしまうアクシデントもなくなるだろう。
ファンの間でもさっそく注目を集めているが、評価されているのは入場時の円滑化という面よりも不正防止策としての面だ。ももクロの公演チケットは毎回入手困難で、インターネットオークションや金券ショップで、高額で売買されるケースが相次いでいた。運営側は対策の一環として、14年3月の国立競技場公演で「座席引換券」の仕組みをとった。チケット当選者は、当日に座席番号が記載されたチケットと引き換えるまで席番号が分からないため、転売側は「良席」などとうたって高額で売ることができなくなった。
それでも、運営側が指定する「公的身分証明書」には顔写真が入っていない「住民票」なども含まれていたため、チケット転売時に身分証を貸し出す出品者もいて、不正は続いていた。
ファン高評価「いまや業界の先端を走ってる」
そうした経緯もあり、顔認証の導入はファンからの反響も大きい。インターネット上では、
 「運営の努力と執念を感じますね」
 「国立落選した俺にとって大変嬉しい　ここまでやってくれたらもはや落選しても文句はない」
 「不正チケットと戦う運営は素晴らしいです！これで正規のチケットが当たる人が増えますね！」
 「ももクロ運営すごいねぇ…いまや業界の先端をまっしぐらに走ってるよ」
などと評価する声が相次いでいる。
セキュリティー面を心配する声と同時に、精度に対する不安の声もあがっているが、顔認証システムの導入例は企業や店舗などで年々増えており、精度も向上している。たとえば大阪府のテーマパーク「ユニバーサル・スタジオ・ジャパン」（USJ）で使用しているNECの顔認証エンジンは、メガネやひげなどで顔の一部が隠れても高精度照合が可能で、時間も約1秒しかかからないという。
なお、顔認証入場の詳細は5月17日から18日にかけて配信されるネット番組「Ustream大賞受賞記念 24時間いただきますっTV 2014」の中でも案内があるという。






2014年05月13日




セガのWebサーバに不正アクセス　40サイト以上停止
http://www.itmedia.co.jp/news/articles/1405/13/news086.html    ITmedia
セガのWebサーバが不正アクセスを受け、「SEGA feat. HATSUNE MIKU Project 公式サイト」など40サイト以上を一時停止した。
セガは5月12日、同社Webサーバが不正アクセスを受けたことを確認したため、「SEGA feat. HATSUNE MIKU Project 公式サイト」など40サイト以上を一時停止した。不正アクセスによる被害は現時点では確認していないという。
12日朝、サーバ上に置かれた不正なプログラムが、不正な動きを試みていたことをログで検出。不正な動きは失敗していたという。不正プログラムの詳細は「調査中」。影響のあったサイトは個人情報を含んでいないため、個人情報の流出などは確認していないという。
停止しているのは、「SEGA feat. HATSUNE MIKU Project 公式サイト」「ぷよぷよシリーズ総合サイト」「ソニックチャンネル」「ヒーローバンク公式サイト」など40サイト以上。再開のめどは現時点では立っていない。
ニュースリリース  不正アクセスによる一部公式サイト停止のお知らせ
http://sega.jp/topics/140512_0/
＜5月13日 10:30 訂正＞
なお、今回の不正アクセスは個人情報を含まない商品情報を掲載する公式サイトへのもので、個人情報の流出等は現在確認できておりません。
セガ SEGA
http://sega.jp/

「SMBCダイレクト」で不正送金被害　暗証番号入力ですぐ送金　ウイルス感染が原因か
http://www.itmedia.co.jp/news/articles/1405/13/news084.html    ITmedia
三井住友銀行のネットバンクで、ユーザーが暗証番号を入力するとすぐ、意図しない振込先に不正に送金される被害が数十件起きた。ウイルス感染によるものとみている。
三井住友銀行は5月12日、インターネットバンキング「SMBCダイレクト」で、ユーザーが暗証番号を入力するとすぐ、意図しない振込先に不正に送金される被害が数十件起きていることを明らかにした。同社サーバに異常はなかったとし、ウイルス感染によるものとみている。
SMBCダイレクトでアカウントにログイン後、「ダウンロード中です」「読込中です」などとかたる偽画面が表示され、送金に必要な暗証番号を入力するよう求められる。暗証番号を入力すると、通常は表示されるはずの取引内容の確認画面が表示されることなく、不正な送金が行われるという。
確認できているだけで、3月から数十件の被害があったという。銀行側のサーバには異常がなく、一部の顧客のPCにしか不正な画面が表示されていないことから、顧客PCのウイルス感染が原因とみている。ウイルスの詳細などは分かっていない。
ログイン後に不正な画面が表示されたり、不正な画面に暗証番号などを入力してしまった場合は、同社に連絡するよう呼びかけている。また、予防策として、ウイルス対策ソフトを利用すること、振込上限金額を低く設定することなどを推奨している。
ニュースリリース   インターネットバンキングの情報を盗み取ろうとするコンピューターウィルスを使った新たな手口について
http://www.smbc.co.jp/news/html/j200864/j200864_01.html
注意喚起  【重要】インターネットバンキング（SMBCダイレクト）の情報を盗み取ろうとするコンピュータウィルスにご注意ください
http://www.smbc.co.jp/security/popup.html






セキュリティ対策実態調査、業界によって対策実施度合に大きな開き（トレンドマイクロ）
http://scan.netsecurity.ne.jp/article/2014/05/13/34147.html    ScanNetSecurity
トレンドマイクロ株式会社は5月12日、「組織におけるセキュリティ対策実態調査 2014」の結果を発表した。本調査は2014年3月に実施したもので、官公庁や自治体および企業など、従業員50名以上の組織における、情報セキュリティ対策に関する意思決定者および意思決定関与者1,175名を対象に、組織内で実際に発生したセキュリティインシデントや、組織内で実施しているセキュリティ対策について質問している。
本調査において、全体の66.2％にあたる778名の回答者が、2013年の1年間において組織内で何らかのセキュリティインシデントが発生したと回答した。また、インシデントを経験した組織のうち53.7％が、そのインシデントをきっかけに、データ破損・損失や社員情報の漏えい、システム・サービス停止といった実害を被っていたことが明らかになった。「顧客・取引先との関係が悪化した」「賠償問題や訴訟にまで発展した」「株価への影響が見られた」など、ビジネスに大きな影響を及ぼすケースも実際に発生していることが判明している。
また、セキュリティ対策について各回答を100点満点（技術的対策60点満点、組織的対策40点満点）換算でスコアリングした結果、回答者全体の平均で58.5点（技術的対策平均37.8点、組織的対策平均20.7点）というスコアになった。これは同社が定めるベースラインである72点を大きく下回った。対策度の平均スコアを業界別に見ると、対策実施上位業界から「情報サービス・通信プロバイダ（75.3点）」「金融（71.3点）」「官公庁自治体（66.1点）」と、比較的対策が実現できている業界でも、ベースライン前後のスコアにとどまった。下位業界では、「福祉・介護（45.2点）」「医療（52.1点）」「サービス（52.4点）」と、業界別に対策実施度合に開きがあることが明らかになっている。
トレンドマイクロ   国内の企業・組織が直面する、セキュリティ被害と対策の実態を明らかに「組織におけるセキュリティ対策 実態調査2014」 結果を発表
http://www.trendmicro.co.jp/jp/about-us/press-releases/articles/20140425014635.html







2014年第1四半期のデータ漏えいは約2億件、最悪の漏えい事故4件は韓国で発生
http://internet.watch.impress.co.jp/docs/news/20140513_647955.html    Impress Watch
米SafeNetは、2014年第1四半期（2014年1月〜3月）におけるデータ漏えいの深刻度を指標化した「SafeNet Breach Level Index」（以下、BLI）を発表した。期間中に紛失または盗難に遭ったデータ数は約2億件で、1日あたり約220万件のデータが盗まれているという。
期間中に世界中で発生した漏えい事件のうち、最悪とされる5件のうち4件は韓国で発生。様々な業界で1億5800万件ものデータが紛失しており、世界で報告された漏えい事件全体の79％を占めている。この4件には、Korea Credit Bureau（韓国信用調査所）、Korean Medical Association（韓国医師会）、Korea Telecom（韓国通信）、ポータルサイトのNaverが含まれる。
韓国でのデータ漏えい数は極めて多いが、漏えい事件の件数ではアジア太平洋地域が世界全体に占める割合は7％で、全体の78％を占める北米（199件）や、13％のヨーロッパに比較すると少ないとしている。
業界別では、紛失または盗難被害に遭ったデータ数のうち、金融業界が56％、テクノロジー業界が20％を占める。漏えい事件の件数が最も多かったのはヘルスケア業界で、全体の24％を占める。
第1四半期に発生した事件のうち、悪意を持った外部侵入者によるものは156件（62％）で、8600万件のデータが盗難被害に遭った。内部犯行の件数は全体の11％だが、犯行の効率は高く、盗難データ数では全体の52％となる。このほか、事故によるデータ紛失は全体の25％、政治的ハッカーや国による攻撃は全体の2％。

なぜ、IEの脆弱性問題は過剰報道になったのか?  〜必要以上に危険性を煽った日本のメディアの問題点
http://pc.watch.impress.co.jp/docs/column/gyokai/20140513_647964.html    Impress Watch
今年のゴールデンウイーク中に、Internet Explorer(IE)の脆弱性が大きなニュースとして取り上げられた。IEは、MicrosoftのWindows搭載PCには標準で搭載されているため、搭載されたソフトウェアをそのまま利用する傾向が強い日本では、PCユーザーの約半分がIEを利用しているという状況だ。世界的に見てもIEの利用率が高い。
ところで、脆弱性はソフトウェアには必ず存在するもので、それを突いた悪意を持ったソフトウェアなどが開発されると、不正アクセスなどが行なわれ、情報漏洩などへと繋がる可能性がある。
今回の脆弱性は、リモートでコードが実行されるというものであり、特別に細工されたウェブサイトを閲覧した場合に、悪意のあるコードが実行され、ユーザーのPCが乗っ取られる可能性があるというものだ。それだけに、事は重大だと、新聞やTVがこぞって、ニュースとして取り上げ、対策を行なわないまま使い続けることの危険性を訴えた。
だが、この報道の過熱ぶりは異常だった。Windows XPのサポート終了にあわせて、脆弱性を抱えたままのソフトウェアを使い続けることの危険性に対する意識が浸透していたこと、そしてゴールデンウイーク中には経済ネタが枯渇する中で、その合間を埋めるには最適なニュースとして、メディアが飛びついた点も見逃せないだろうが、その報道ぶりは、必要以上に危険性を煽り、利用者に危機感を感じさせたといわざるを得ないのではないか。
脆弱性が発見され、情報公開されるまでの仕組みとは
では、なぜ、日本での報道が異常なほどの過熱ぶりと言えるのか。今回の流れを追いながら、それを検証してみたい。
Microsoft製品に関する脆弱性は、大きく3つのルートで発見される。1つは、Microsoft自らが持つ、サイバーセキュリティ専門組織が発見するというもの。2つ目は、セキュリティ関連企業や団体など、第三者の組織が発見する例である。そして、3つ目には個人ユーザーなどが発見するというパターン。先頃、米サンフランシスコ在住の5歳の男の子がXbox Liveの脆弱性を発見して話題となったが、それはこの最後のパターンとなる。
今回のIEの脆弱性は、2番目の第三者の組織が発見したものだ。米セキュリティ企業のFireEyeが4月に入って、FireEyeが持つ独自の仮想環境(MVXエンジン)において、この脆弱性を利用した攻撃を検知。Microsoftへ連絡を行ない、米国時間の4月26日に、Microsoftが「セキュリティアドバイザリ」という名称での脆弱性情報を公開し、その存在を明らかにした。
　ここで1つ知っておくべき仕組みがある。Microsoftは2002年から、Trustworthy Computingの名称で、信頼性の高いコンピューティング環境の構築に取り組んでいる。それに則って、従来は随時公開していた脆弱性の問題を解決するためのセキュリティ更新プログラムの配布を、同年5月から毎週水曜日の定例公開へと変更。さらに、2003年11月からは、現在の毎月第2火曜日の定例公開へと変更した。随時での公開や、週1回の公開サイクルでは、企業の情報システム担当者の作業が煩雑になるということに配慮して、月1回の公開としたわけだ。
だが、ここで気になるのは、脆弱性が発見されてから更新プログラムが公開されるまで、最長で1カ月近く脆弱性が放置される可能性であることだ。この間、脆弱性を狙った悪意を持ったプログラムが開発されないとも限らない。
そこで、Microsoftでは、第三者の企業や団体、あるいは脆弱性を発見した個人に対して、むやみに情報を公開しないように申し入れを行ない、これを遵守させる仕組みを作っている。だからこそ、月1回の定例更新だけで、脆弱性に対応できるというわけだ。今回の場合も、FireEyeは自ら勝手に情報を公開するのではなく、Microsoftに連絡を取り、その上で、Microsoftが脆弱性情報を公開するという段取りを踏んだ。
脆弱性が公開されたことで、その存在を多くの人が知ることになるが、この内容の詳細については明らかにはされない。そのため、悪意を持った第三者がこれを突いたプログラムを開発しようとしても、なかなか簡単にできるものではない。むしろ、セキュリティ更新プログラムが配布されてから、それを解析することによって詳細を知ることができるようになる。
Microsoftでは、今回の脆弱性の存在を公開するとともに、その回避策として、「EMET(Enhanced Mitigation Experience Toolkit)を導入すること」、「VML(Vector Markup Language)を無効化すること」、「インターネット オプションの拡張保護モードを有効にすること」という3つの回避手段を公開した。
この言い方では専門用語が多く、一般ユーザーには、何をどうすればいいのかが分かりにくいだろう。日本Microsoftでは、4月30日午前7時17分に「回避策まとめ」、同日午後11時36分に「FAQまとめ」というサイトを新たに公開。用語の解説などを含めて、ユーザーが理解しやすいようにサポートした。
多くのユーザーでは、Windows Updateの既定設定で「自動更新」となっているため、追加アクションを行なうことなく、自動的にセキュリティ更新プログラムがインストールされる。難しい操作はなにもいらない。もし、設定を有効にしていない場合には、自動更新を有効にするといいだろう。現時点では、5月2日に公開されたセキュリティ更新プログラム「MS14-021」を、Windows Updateを通じてインストールすれば、この脆弱性には対応できる。
「限定的な標的型攻撃のみ」の意味とは
今回発見されたIEの脆弱性にはいくつかのポイントがある。そこに、日本での報道が過熱しすぎたと指摘できる理由がある。
最大のポイントは、米国時間の4月26日に公開されたセキュリティアドバイザリ(日本では日本時間の4月28日午前1時34分に公開)で表記された「この脆弱性の悪用状況は、Internet Explorer 9, Internet Explorer 10, Internet Explorer 11を対象とした、限定的な標的型攻撃のみを確認している」という文言だ。
サイバーセキュリティに詳しい人であれば、この言葉の意味をすぐに理解できる。ここで言っているのは、この脆弱性は、ある特定の機関や企業だけを狙った標的型の悪用だけに留まっているということだ。つまり、一般のユーザーが、通常の使い方をしている上では、まったく問題がないということを暗に示している。もちろん、セキュリティ更新プログラムが配布される前に、悪意の第三者によってこの脆弱性を悪用した攻撃が行なわれる可能性は否定できない。実際、FireEyeでは、その脆弱性を悪用した攻撃が、防衛系、金融系の組織を中心に、多岐に渡って継続的に観測されているとの見方を示している。だが、それも、やはり特定の機関を狙った標的型だ。一般ユーザーに対して、影響を及ぼす可能性は極めて低いであろうことを前提に、Microsoftは、4月26日に情報を公開したと言える。
これも推測の域を出ないが、仮に、この限定的な標的型攻撃の対象が米国の政府機関であり、米州全域の自治体に広く告知するために情報を公開したとしたらどうだろうか。米国の政府機関では、ネットワークにつながった端末を一括で管理する仕組みを導入していると言われ、当初、Microsoftが示した3つの回避策についても、自動的に対応できるようになっているようだ。
しかし、小規模の自治体などについては、この仕組みから漏れる端末も存在し、それらの自治体向けに情報を公開して、回避策への対応を促したという状況が浮き彫りになる。これらの自治体では依然としてWindows XP搭載PCが稼働している例もあるようで、公開されたセキュリティ更新プログラムでは、4月9日でセキュリティサポートか終了したWindows XPまでを対象に入れたこと、Internet Explorer 9、10、11に加えて、それ以前のバージョンとなり、Windows XPとの組み合わせで利用されている公算が高いInternet Explorer 6、7、8までもその対象としたことからも、その憶測が納得できる材料の1つとなる。そして、米国政府がこの脆弱性に対して直接声明を発表したことからも、そうした推測が成り立つと言っていい。
また、脆弱性が発見された場合、定例外でセキュリティ更新プログラムを公開する場合と、定例でセキュリティ更新プログラムを提供する場合とに分かれるわけだが、この線引きについては、Microsoftでは詳細を明らかにしていない。だが、定例外でセキュリティ更新プログラムを公開したことは、「限定的な標的型攻撃」の対象が、Microsoftにとって特別なユーザーであったことは間違いない。これも米政府筋が標的であるとの憶測を高める理由の1つになっている。
ちなみに、米政府の発言では、「3つの回避策を取れないユーザーは、IE以外のブラウザを利用することを検討して欲しい」としたが、日本での報道は後半の部分だけが取り上げられ、米国政府がIE以外のブラウザを推奨しているような形で報道されたことも、日本での異常な注目ぶりに油を注ぐことになったといえよう。実は全世界で、この脆弱性に関して、報道機関向けにMicrosoftがニュースリリースを用意したのは日本だけ。そして、個人ユーザーの問い合わせ件数は、日本だけが圧倒的に多かったという。それだけ日本での報道が過熱していたことを示す事象だと言える。
「定例外」は「異例」ではない
今回のセキュリティ更新プログラムは、毎月第2火曜日に公開されるものとは異なる「定例外」のものとして、日本時間の5月2日に公開されたが、過去にも同様に、定例外でセキュリティ更新プログラムが公開されたことがある。
例えば2013年1月には、IE用にセキュリティ更新プロクラムが定例外で公開されている。また、脆弱性に関する情報がセキュリティ更新プログラム公開前に公表されたことは、2013年で3回、今年に入ってからも2月に行なわれている。そうした意味でも、「定例外」の措置は、あくまでも「定例外」であって、「異例」というわけではない。だが、この脆弱性に関して、セキュリティ更新プログラムをいつ提供するのかと、いうことを明確にしていなかった点も、日本での報道を煽ることになった。
4月28日時点に公開したサイトでも、「セキュリティ更新プログラムによる対応が行なわれるまでの間、お客様の環境を保護するために、記載の回避策を実施してください」と表記していたが、その時期は明確にしていなかった。これも実はセキュリティの世界では暗黙の了解とも言える言葉の使い方だ。セキュリティ更新プログラムの具体的な提供時期を明記すると、時限的とはいえ、その間はセキュリティ更新プログラムが提供されないことを示す結果となり、これによって、悪意を持った第三者をかえって煽る可能性があるのだ。時期を示さないのは、それを回避するための配慮だと関係者は指摘する。
ただ、定例外での公開となったことで、Windows XPも対象となったという点は否めないだろう。もしこれが5月12日に公開される定例のセキュリティ更新プログラムとして配布されたとすれば、Windows XPは対象外になった公算が高い。実際、Windows XPのサポート終了に関して、偶然とはいえ、定例外でのセキュリティ更新プログラムの配布も行なわないとは一言も言ってはいなかった。
脆弱性の発見を積極化するMicrosoft
ところで、今回の一連の騒動は、Microsoftのビジネスにどう影響したのだろうか。実はその点では、まったく影響がなかったと言っていい。
一時的にIEの利用率が低下したことなどが報道されているが、徐々に回復基調にあること以前に、もともとWindowsとともに提供されているソフトウェアだけに、これだけでビジネスを独立させているわけではない。収益への影響は皆無と言っていい。
また、Microsoft製品に対する脆弱性が発生したことでのイメージダウンを懸念する声もあるが、統計的にみるとMicrosoft製品の脆弱性は、他のプラットフォームに比べても少ないのが実情である。
一般ユーザーには理解しがたいかもしれないが、Microsoftは、脆弱性の発見に積極的に取り組んでいる。もともと脆弱性はソフトウェアにはつきものであり、皆無にすることはできない。そうした環境を改善するために、Microsoftは積極的に脆弱性を発見することに、セキュリティ関連企業や団体と連携しながら取り組んでいるのだ。
こうしてみると、脆弱性の被害の影響が特定の組織などを対象にした限定的なものであったこと、個人ユーザーや中小企業ユーザーなどは自動設定によってセキュリティ更新プログラムをインストールすれば対策ができること、Microsoftのビジネスにはなんら影響がなかったわけで、今回の日本での報道は過剰なものだったと言える。
[回避策まとめ] セキュリティ アドバイザリ 2963983 - Internet Explorer の脆弱性により、リモートでコードが実行される
http://blogs.technet.com/b/jpsecurity/archive/2014/04/30/workarounds-for-security-advisory-2963983.aspx
[FAQ まとめ] セキュリティ アドバイザリ 2963983 - Internet Explorer の脆弱性により、リモートでコードが実行される
http://blogs.technet.com/b/jpsecurity/archive/2014/05/01/faq-security-advisory-2963983.aspx

ももクロ、ライブ入場に顔認証導入
http://www.itmedia.co.jp/news/articles/1405/13/news160.html    ITmedia
「ももいろクローバーZ」が、7月に開く公演から入場時に顔認証システムを導入する。
アイドルグループ「ももいろクローバーZ」が、7月に開く公演から入場時に顔認証システムを導入する。転売チケットなどの不正対策として従来は公的身分証の提示を求めていたが、顔認証の導入でIC会員証だけで済むようになり、スムーズに入場できるようになるとしている。
事前に顔写真を登録しておき、公演当日はIC会員証をかざして会員の本人認証を行う。写真は3カ月以内に携帯電話やデジタルカメラで撮影されたものなどの条件がある。登録はPC・携帯電話から行える。
7月26〜27日の日産スタジアム公演から導入。顔写真の登録は5月16日〜6月4日に受け付ける。
公式サイトの告知　　【AE会員の皆様へお知らせ】　『ももクロチケット』：日産スタジアム大会ご入場におけるIC会員証　顔写真登録のお願い
http://www.momoclo.net/pub/pc/information/?id=899






2014年05月12日




業界別のセキュリティ対策実態を算出――トレンドマイクロ
http://www.itmedia.co.jp/enterprise/articles/1405/12/news078.html    ITmedia
トレンドマイクロは5月12日、国内企業・組織を対象に実施した2013年のセキュリティ被害や対策に関する調査の結果を発表した。回答者の66.2％がセキュリティインシデント（セキュリティ問題につながりかねない事象）を経験し、対策実態でも同社の推奨スコアを下回る業界が多かった。
セキュリティインシデントを経験した778件の組織のうち、53.7％はデータの破損や損失、社員情報の漏えい、システムやサービスの停止などの実害を受けた。さらに「顧客・取引先との関係が悪化」「賠償問題や訴訟にまで発展」「株価に影響」といった事業面に大きな影響を及ぼすケースも発生していることが分かったという。
また調査では、対策実態について製品やIT機器で行う「技術的対策」と、組織の体制や取り組みで行う「組織的対策」の観点からスコアリングと検証を行った。（計26の設問に対する回答を重要度に応じて加重配点）。
同社が最低限必要とする対策のベースラインスコアは72点で、回答者の平均は58.5点だった。業界別では「情報サービス・通信プロバイダー（75.3点）」「金融（71.3点）」がベースラインを上回り、下位は「福祉・介護（45.2点）」「医療（52.1点）」「サービス（52.4点）」だった。
セキュリティ対策の課題では「投資効果が見えにくい」「社員のリテラシー・意識が低い」「予算がない・足りない」「投資の必要性を上層部に説得する材料に欠けている」「対策に必要な人材が足りない」などが挙げられた。
調査は3月、従業員50人以上の組織で情報セキュリティ対策の意思決定者関係者1175人を対象に実施している。
トレンドマイクロ 
国内の企業・組織が直面する、セキュリティ被害と対策の実態を明らかに「組織におけるセキュリティ対策 実態調査2014」 結果を発表
〜昨年1年間で、約7割がセキュリティインシデントを経験〜
http://www.trendmicro.co.jp/jp/about-us/press-releases/articles/20140425014635.html

OpenSSL脆弱性対策の「致命的なミス」、秘密鍵を変更せず
http://www.itmedia.co.jp/enterprise/articles/1405/12/news038.html    ITmedia
オープンソースのSSL／TLS暗号化ライブラリ
「OpenSSL」に重大な脆弱性
http://www.itmedia.co.jp/enterprise/articles/1404/09/news041.html　：　OpenSSLの脆弱性、影響は極めて重大――パスワードや秘密鍵の流出も　2014年04月09日
が見つかってから1カ月。影響を受けるWebサイトが対応に追われる中で、SSL証明書を入れ替えて古い証明書を失効させておきながら、秘密鍵を変更せずに新しい証明書にも使ってしまうという「致命的なミス」を犯しているWebサイトがあることが分かったと、セキュリティ企業の英Netcraftが5月9日のブログで報告した。
「Heartbleed」と呼ばれる今回の脆弱性では、SSL暗号化通信に利用している秘密鍵やユーザーの情報など、重大な情報が流出する恐れがある。しかも攻撃を受けたとしても、痕跡は残りにくいという。
Netcraftによると、この脆弱性の影響を受けたWebサイトのうち、証明書の再発行を行ったWebサイトは43％。しかしSSL証明書を入れ替えて古い証明書を失効させ、違う秘密鍵を使うという3段階の対策が完全にできているWebサイトは14％しかないという。
一方、5％は秘密鍵を変更しないまま証明書を再発行していることが判明。秘密鍵を変更せずに発行された新しい証明書は、問題が発覚した4月7日から5月8日までの1カ月で3万件を超えているという。
もし秘密鍵が盗まれていたとすれば、攻撃者がセキュアなWebサイトを装って暗号化された情報を解読したり、通信に割り込む中間者攻撃を仕掛けることも可能になる。
つまり、同じ秘密鍵を再利用しているWebサイトは、たとえ古い証明書を失効させたとしても、SSL証明書の入れ替えを行っていないWebサイトと同じリスクを背負うことになるという。
さらに、同じ秘密鍵を使って古い証明書も失効させていないサイトも2％あり、こうしたサイトの管理者は既に問題を修正したと思っている公算が大きいことから最も危険だとNetcraftは指摘している。
Netcraftブログ　　Keys left unchanged in many Heartbleed replacement certificates!
http://news.netcraft.com/archives/2014/05/09/keys-left-unchanged-in-many-heartbleed-replacement-certificates.html

「オンライン銀行詐欺」に遭わない方法、遭った場合の相談先
http://www.rbbtoday.com/article/2014/05/12/119688.html　  RBB TODAY
警察庁の発表によると、ネットバンキング利用者の情報を盗み取り、利用者の口座から不正送金する、いわゆる「オンライン銀行詐欺」の被害が急増しているという。フィッシング対策協議会は12日、「インターネットバンキングの不正送金にあわないためのガイドライン」を公開した。
詐欺手口としては、偽サイトに誘導する「フィッシング（Phishing）」のほか、利用者のパソコンをウイルスやマルウェア（スパイウェアなど）に感染させて、情報を盗み取る手口が近年増加。「オンライン銀行詐欺」の被害は、2013年には1,315件・約14億600万円に達しており、前年比29倍となっている。
「インターネットバンキングの不正送金にあわないためのガイドライン」では、“2つの鉄則”として、「第一の鉄則：乱数表等（第二認証情報）の入力は慎重に！」「第二の鉄則：インターネット利用機器を最新の状態に保とう！」を掲げるとともに、チェックリストを公開し、怪しいメールを受け取った際にセルフチェックができるようにしている。また万が一巻き込まれた場合の相談窓口情報なども記載されている。
ガイドラインは9ページのPDFファイルで、誰でもダウンロード・閲覧が可能。PC版、スマホ版として、簡易なものも用意されている。
資料公開: インターネットバンキングの不正送金にあわないためのガイドライン
https://www.antiphishing.jp/report/guideline/internetbanking_guideline.html
インターネットバンキングの不正送金にあわないためのガイドライン
https://www.antiphishing.jp/report/pdf/internetbanking_guideline.pdf
PC版ガイドライン
https://www.antiphishing.jp/report/pdf/leaflet_pc.pdf







悪い広告の手口を世間に知らしめる団体、FacebookやGoogleら4社が設立
http://internet.watch.impress.co.jp/docs/news/20140512_647859.html    Impress Watch
AOL、Facebook、Google、Twitterの4社が8日、共同で「TrustInAds.org」を設立したと発表した。危険なオンライン広告からインターネットユーザーを守るための活動を展開する。
TrustInAds.orgでは、レポート「Bad Ads Trends Alert」を定期的に発表し、悪質なオンライン広告の手口などを消費者に認知させていく。8日に公開した第1弾では、テクニカルサポートサービスを必要としているユーザーをオンライン広告で誘い込む手口について説明している。
レポートによれば、このテクニカルサポートサービス広告詐欺は、FacebookやGoogleに掲出する広告そのものには対象製品やメーカーなどの具体的な記述がなく、リンク先のページに記載されたフリーダイヤルの電話番号に対して連絡をするよう促す流れのもの。広告でこうした手順を示すのは特に変わったものではなく、広告ポリシーに触れるものではないというが、消費者やメーカーからの苦情を受けて調査したところ、テクニカルサポートサービスを装って、ユーザーにマルウェアなどを含むソフトウェアをダウンロードさせていたことが分かってきたという。
また、いくつかの事例では、PCなどのデータを人質にとって、高額な“サポート料金”を要求する場合もあったと説明。FacebookとGoogleでは、こうした詐欺広告手法を検知する手法を取り入れたところ、2400以上のテクニカルサポートサイトにリンクされた、4000件以上の怪しい広告主のアカウントを削除したとしている。
レポートでは、消費者に対してこうした手口に対する心構えも紹介。自分がサポートを求めているはどのサービスプロバイダーなのかをきちんと認識しておくことや、ソフトウェアのダウンロードを求められた場合は怪しいと疑うことなどを挙げている。
TrustInAds.org（英文）
http://trustinads.org/
Bad Ads Trends Alert（英文、PDF）
http://trustinads.org/reports/Bad_Ads_Trend_Alert_Tech_Support_Scams.pdf





Googleが提供しているかのように装うAndroidアプリを確認(マカフィー)
http://scan.netsecurity.ne.jp/article/2014/05/12/34144.html    ScanNetSecurity
「Google Sports Betting」を名乗るスポーツ賭博詐欺が出現……偽アプリから誘導も
マカフィーは9日、ユーザーを騙して詐欺サイトへ登録させる、多くの不審なAndroidアプリをGoogle Playストア上で確認したことを発表した。これらの詐欺サービスは「Google Sports Betting」を名乗り、Googleが提供しているかのように装っているという。
「Google Sports Betting」を名乗るサイトでは、ユーザー名、パスワード、ニックネーム、携帯電話番号、Eメールアドレス、銀行名、銀行口座番号等の入力を要求される。また入金処理ページも用意されている。Google Playのアプリ説明ページではGoogleロゴも使用されている。一方で、サイト所有者や運営会社に関する情報は記載されていない。
マカフィーでは、この種のAndroidアプリをGoogle Play上で30個以上確認しており、本執筆時点でそれらの総ダウンロード数は合わせて13,000回から45,000回に上っているとのこと。これらのスポーツ賭博詐欺Webサイトが、ほぼ同じサイト構造で、複数の異なるドメインで多数公開されていることも確認済みとなっている。
これらのアプリやサイトはすべて韓国語のユーザーインターフェイスしか用意されて折らず、韓国のユーザーを標的にしていると同社では見ている。
McAfee Blog 　韓国ユーザーを狙ったGoogleを名乗るスポーツ賭博詐欺アプリ
http://www.mcafee.com/japan/security/mcafee_labs/blog/content.asp?id=1411






「個人情報保護法はザル」　名簿販売、規制あいまい　オレオレ詐欺などに悪用も
http://www.itmedia.co.jp/news/articles/1405/12/news051.html    ITmedia
特殊詐欺グループが悪用している名簿は、販売業者への規制などが形骸化し、実質的に野放しになっている。背景には業者の監督官庁の「あいまいさ」と、個人情報保護法の「緩さ」が見えてくる。
今年、過去最悪のペースで被害が増えている特殊詐欺。詐欺グループが被害者を見つけるため悪用しているのが、社員録や同窓会名簿などの名簿。その名簿を販売している業者について、規制などが形骸化し、実質的に“野放し”になっていることも犯罪の多発に拍車をかけている。個人情報の塊のような名簿が、なぜ販売されているのか。背景を探れば、業者の監督官庁の「あいまいさ」と、個人情報保護法の「緩さ」が見えてくる。
数十万円の情報も
「消費者金融利用者」「ダイエット商品購入者」「未公開株購入者」…。
ある名簿業者がインターネット上で販売している名簿の一部だ。価格は掲載者1人につき10〜35円。サイトに販売業者の会社名こそ明かされているが、明記されている連絡先は携帯電話番号のみ。業者の実態をうかがい知ることはできない。
警察関係者によると、オレオレ詐欺などの特殊詐欺の際、詐欺グループがだましの電話をかける先の電話番号の多くは、名簿業者から購入しているケースが多いとみられる。実際、京都府警は2月、注文されてもいないのに商品を送りつけて代金をだまし取る「送りつけ商法」グループに名簿を大量に販売したとする詐欺幇助（ほうじょ）容疑などで、名簿業者を逮捕した。
捜査関係者によると、名簿販売業者に名簿を持ち込んでいるのは企業関係者やブローカーなど。価値があるとなれば数万円〜数十万円で取引されることもあるという。
緩やかな販売規制
個人情報の一覧を売り渡す行為は違法にみえるが、一律に禁止する法律がないのが実情。唯一規制する個人情報保護法も、関係者は「ザル法」と指摘する。
同法は、5千人を超える個人情報を扱う事業者に一定のルール下で情報の第三者提供（販売）を認めている。同法を所管する消費者庁によると、例えばホームページに、どんな内容が掲載された名簿を販売しているかが簡単に分かるように明示されていれば、販売が可能となる。
違反すれば罰金や懲役が科されるのだが、名簿業者がこうした条件を満たしているかを監督する官庁は定まっていない。消費者庁の担当者も、「違反行為が見つかった後に担当官庁を調整する」としており、“実効性”は感じられない。
犯意の立証は困難
警察当局は名簿業者が詐欺事件の一翼を担っているとみているが、実際、摘発も難しい。京都府警の事件でも、逮捕された名簿業者は不起訴になった。
ある警察幹部は「『名簿が詐欺に悪用されると知らなかった』などと強弁されれば、犯意の立証は難しくなる」と打ち明ける。
個人情報保護法は名簿を販売する際、購入者の本人確認を義務づけていないため、業者が誰に売ったか分からないケースもあるという。幹部は「法律自体が『ザル』といわざるを得ない。真剣に詐欺対策に取り組むには、抜本的な法改正が必要だ」としている。







2014年05月09日





Bitly、不正アクセスの疑いでパスワード変更他を呼び掛け
http://www.itmedia.co.jp/news/articles/1405/09/news066.html    ITmedia
短縮URLサービスのBitlyが不正アクセスの疑いがあったとして、APIキー、OAuthトークン、パスワードを変更するようユーザーに呼び掛けている。
米Bitlyは5月8日（現地時間）、同名の短縮URLサービス「Bitly」に不正アクセスが試みられた疑いがあるとして、ユーザーにAPIキーとOAuthトークンの変更、パスワードのリセット、FacebookおよびTwitterアカウントとの再接続を呼び掛けた。
現段階ではアカウントへの不正な接続は確認されていないが、ユーザーの安全のために念のためFacebookとTwitterアカウントとのリンクを断つなどの処置を行ったとしている。
ユーザーに求められている設定変更の方法は以下の通り。
1.アカウントにログインし、［Your Settings］→［Advanced］タブを開く
2.［Advanced］タブの下の方にある［Legacy API key］の「Show legacy API key」をクリックし、［Reset］を選択（下図参照）
3.新しいAPIをコピーし、すべてのアプリケーションでのAPIを変更する
4.［Profile］タブに移動し、パスワードを変更する
5.Bitlyを利用しているすべてのアプリケーションとのリンクを一旦解除し、再接続する。接続中のアプリケーションは、［Your Sttings］の［Connected Accouts］タブで確認できる
公式ブログ   Urgent Security Update Regarding Your Bitly Account
http://blog.bitly.com/post/85169217199/urgent-security-update-regarding-your-bitly-account




Adobe、ReaderとAcrobatのアップデートを予告
http://www.itmedia.co.jp/news/articles/1405/09/news047.html    ITmedia
WindowsとMac向けのReader／Acrobatの深刻な脆弱性が修正される予定だ。
米Adobe Systemsは、Adobe ReaderとAcrobatの深刻な脆弱性を修正するセキュリティアップデートを米国時間の5月13日に公開すると予告した。
同社が8日に公開した事前告知によると、アップデートの対象となるのはWindowsとMac向けのReader／Acrobat XI (11.0.06) と11.xまでのバージョン、およびReader X（10.1.9）と10.xまでのバージョン。複数の深刻な脆弱性に対処を予定している。
優先度はWindows版、Mac版とも、攻撃発生のリスクが高い「1」と位置付けており、アップデートの公開後、直ちに適用することが推奨される。
Adobe Security Bulletin  Prenotification Security Advisory for Adobe Reader and Acrobat
http://helpx.adobe.com/security/products/reader/apsb14-15.html






「Google Sports Betting」を名乗るスポーツ賭博詐欺が出現……偽アプリから誘導も
http://www.rbbtoday.com/article/2014/05/09/119632.html　  RBB TODAY
マカフィーは9日、ユーザーを騙して詐欺サイトへ登録させる、多くの不審なAndroidアプリをGoogle Playストア上で確認したことを発表した。これらの詐欺サービスは「Google Sports Betting」を名乗り、Googleが提供しているかのように装っているという。
「Google Sports Betting」を名乗るサイトでは、ユーザー名、パスワード、ニックネーム、携帯電話番号、Eメールアドレス、銀行名、銀行口座番号等の入力を要求される。また入金処理ページも用意されている。Google Playのアプリ説明ページではGoogleロゴも使用されている。一方で、サイト所有者や運営会社に関する情報は記載されていない。
マカフィーでは、この種のAndroidアプリをGoogle Play上で30個以上確認しており、本執筆時点でそれらの総ダウンロード数は合わせて13,000回から45,000回に上っているとのこと。これらのスポーツ賭博詐欺Webサイトが、ほぼ同じサイト構造で、複数の異なるドメインで多数公開されていることも確認済みとなっている。
これらのアプリやサイトはすべて韓国語のユーザーインターフェイスしか用意されて折らず、韓国のユーザーを標的にしていると同社では見ている。







DNSソフト「BIND 9.10.0」に脆弱性、すでに障害事例も、修正バージョン公開
http://internet.watch.impress.co.jp/docs/news/20140509_647624.html    Impress Watch
株式会社日本レジストリサービス（JPRS）は9日、DNSソフトウェア「BIND 9」の脆弱性について緊急の技術情報を出した。バージョン「9.10.0」をキャッシュDNSサーバーとして使用している場合に、意図しないサービス停止が起きるとしており、この脆弱性を悪用したリモートからの攻撃も可能だという。
BINDの開発元であるISC（Internet Systems Consortium）では、この脆弱性についての情報を公開するとともに、これを修正したバージョン「9.10.0-P1」の配布を開始している。
JPRSによれば、すでにこの脆弱性による複数の障害事例が報告されているという。該当するサーバーでは、修正バージョンへのアップデートなどの対応を速やかにとることを推奨している。
なお、この脆弱性は、パフォーマンスを向上させるためにキャッシュ済みのリソースレコードを、キャッシュ満了前に自動的に再検索してリフレッシュする「プリフェッチ機能」の実装不具合によるもの。BIND 9.10.0では同機能がデフォルトで有効に設定されているが、一時的な回避策として同機能を無効にする方法がある。
JPRSの技術情報  ■（緊急）BIND 9.10.0の脆弱性（DNSサービスの停止）について（2014年5月9日公開）
http://jprs.jp/tech/security/2014-05-09-bind9-vuln-prefetch.html







不審なメールを自動検出、NTTソフトが標的型メール対策を強化
http://www.itmedia.co.jp/enterprise/articles/1405/09/news087.html    ITmedia
NTTソフトウェアは5月8日、セキュリティ対策製品「CipherCraft/Mail 標的型メール対策」の新バージョンを発売した。不審なメールの自動検出や標的型メール対策の訓練機能を強化している。
不審メールの自動検出機能では、通常とは異なる経路・メールソフトから受信したメールや、アイコン偽装の実行形式ファイルが添付されたメール、本文中にURLや添付ファイルがあるメールについて、事前にサンドボックス環境でリンク先を確認したり添付ファイルを実行したりして解析。危険な場合は受信者に注意を喚起する。
標的型メールの訓練機能では管理者が訓練メール作成画面から容易に訓練メールを作成し、受信者に対して繰り返し体験をさせることができるようになった。受信者に注意すべき攻撃手段の理解を促すことで危険意識を高められる。訓練通知に対して受信者の対応状況を集計し、対策強化に役立てられるという。
NTTソフトウェア　　体験型訓練機能で標的型攻撃メールへの対応力を向上！「CipherCraft(R)/Mail 標的型メール対策」の新バージョンを5月8日より販売
http://www.ntts.co.jp/whatsnew/2014/140508.html






ゴールデンウィークを襲ったIE問題、金融機関での対応秘話
http://www.itmedia.co.jp/enterprise/articles/1405/09/news036.html    ITmedia
長期休暇期間の最中に浮上したInternet Explorerの脆弱性問題は社会的な騒動になった。筆者が対応した金融機関でのエピソードを紹介する。
今回は先日まで騒がれたMicrosoftのWebブラウザ「
Internet Explorer（IE）」の脆弱性問題
http://www.itmedia.co.jp/enterprise/articles/1404/28/news017.html　：　IE 6〜11に未解決のゼロデイ脆弱性、Microsoftがアドバイザリ公開　2014年04月28日
における金融機関の対応について紹介したい。
4月28日の第一報から
米国の友人からメールが届いた。それは、米国土安全保障省が出したIEの使用中止を要請する異例の声明である。同日の12時42分にJPCERT コーディネーションセンターからも警告メールが届いた。
当初、筆者はWindows XPや旧バージョンのIE（IE 10まで）の脆弱性に関するものだろうと思ったが、「最新のIE 11も使用してはいけない」という内容を見てびっくりした。たまたま良く使うノートPCにはChromeやFirefoxもインストールしていたのでさほど困らなかったが、一般の人は大変混乱するだろうと感じていた。
14時を過ぎた頃、以前にコンサルティングをしていた某金融機関のA部長から突然連絡があった。IEの脆弱性対応を支援してほしいという要請である。
この金融機関はシステム会社のB社が全面的にサポートしていることを知っていたので、B社に依頼すべきだろうと返事をした。どころが、常駐のシステムエンジニア（SE）では状況が良く分からないといい、A部長は本社の上司にも連絡したが、具体的な指示が出せない状況になっていたという。そこで筆者に緊急対応を求めたようであった。
筆者は以前の情報から、社内システムにおけるIEの利用状況を確認したり、それぞれについて代替ブラウザによる稼働確認を早急に行ったりすることが必要だと判断し、A部長に「B社の常駐SEの方々へ、テスト環境の整備やテストデータの作成、どこまで詳細にテストを行えばよいかなどの決断を行うように指示していただきたい」と伝えた。
「不安ならIEを使わない」という前提で、どこまでシステムでの処理を凍結できるのか――Xシステムなら半日、Yシステムならバッチで代替可能なので3日間――など全てのシステムにおける耐性日時（実攻撃などの状況まで耐えられる期間）を決めるべきだと指示した。
A部長に連絡しつつ、マイクロソフトの友人に緊急パッチがいつ頃リリースされるのかなど、社内での見解を聞いてみたしかし、どうにも生返事であった。どうやら、関係者は緊急かつ最大限の優先度で取り組んでいるものの、それが1時間後なのか翌日なのか、それとも１週間後なのかについては、少なくとも日本法人の中で確固たる情報が伝達されなかったようだった。
4月29日の対応
金融機関では脆弱性対応とシステムへの影響を把握するためのテストの準備に追われていた。メガバンクではないのでテスト環境の構築といってもすぐに対応できない。セキュリティの専門家も少なく、業務特性を鑑みて「どの内容なら割愛できるのか」「何を重点的に稼働確認すべきか」「それらの優先度をどう決めるべきか」――相当に議論していた。それでも、まずできるところから始めようというので、深夜には本番系システムを慎重に動かしながら、別系統でテストを進めていたシステムが幾つかあった。
ただ、テストをするにしてもある程度の割り切りをしなければいけない。また、Microsoftの技術情報やJPCERT コーディネーションセンターの情報から、「過大な心配は無用」と判断されつつもあった。今回の事態はシステムの不具合ではなく、IEの経路におけるデータ（社内システムであっても）やPCが汚染される可能性を極小化するための対応が重要であった。
ユーザーに該当ブラウザの使用禁止を要請し、特に調査部などでインターネットを使うユーザーには作業を大幅に抑制してもらう。そして、ツールによる最大限の対策を講じ、ネットワークの入口を制御する部分でのログ調査などを通じて、汚染されていないことを確認しなければならなかったのである。
しかし、もっと心配なことがあった。それはネットバンキングや法人顧客の振込などの全てにおいて、Webサイトに「推奨ブラウザ：マイクロソフト IE 10以上」といった内容が記載され、代替ブラウザに関して全く触れていなかったことだ。実際に4月28日の段階でも幾つか照会があったらしい。
そこで問い合わせに対し、コールセンターから「お客様のご判断で別のブラウザが使えるというのであれば、それをご利用ください。どうしても心配であれば、個別に弊行にて対応します」と説明することになったようだ。ちょうどゴールデンウィークの最中でもあり、問い合わせの電話は少なかった。そして、翌日（4月29日）も祝日なので金融機関にとっては幸いだったようだ。
なお、コールセンターでは法人や中級レベル以上の個人顧客向けに、個別対応として次の内容を説明する予定になっていたようだ。
　•ChromeやFirefoxのインストール方法
　どうしてもIEを使わざるを得ない場合には、
　•Enhanced Mitigation Experience Toolkit（EMET） Ver3.1以上のインストール
　•セキュリティゾーンの設定を「高」に設定
　•アクティブスクリプトの無効化
しかし、説明者自身が内容をよく理解していないため、B社のSE数人がコールセンターで待機することになったという。その他にもレジストリの解除やIE 11の拡張保護モードの利用などもあったが、これらの方法を電話で説明することは無理と判断された。金融機関が情報をメールやFAXで受け取り、処理をするという方法にしたらしい（5月1日早朝にパッチが提供されたので、実際にはほとんど使用されなかったようである）。
一方、システムのテストではLANなどに一切接続せず、インターネットだけにつながったPCが数台準備されていた。主にIEとの親和性が高いChromeをインストールし、（当然テスト環境での試行をクリアしたPC）を翌日まで準備しておいたようだ。
最悪の場合に顧客の要望に沿ってインターネットで作業を行うとの配慮からであった。ゴールデンウィーク中でもあり、企業顧客のほとんども5月7日までは休暇で、金融機関への対応ニーズは低いだろうという予想もあったからだ。夜間バッチや日中のデータ処理の仕組みでの対応も可能なよう、一部のトランザクション変更も含めて4月30日早朝には準備が整った。
緊急対応から学ぶこと
さて、この金融機関での対応はメガバンクの感覚からすると「それだけで大丈夫？」というほどだったものの、「Microsoftも総力でパッチを作成して早期にリリースするから、問題が長期化することはないだろう」という思惑もあった。
実際、筆者のもとには他の金融機関や企業からも問い合わせのメールが寄せられたが、いずれも返信では以下のように伝えた（4月30日の11時25分頃に送信している）。

本件回答いたします。

――中略――

マイクロソフトは全力でパッチを作成中です。遅くとも来週頭には何らかの動きがあると思います。

（原文ママ）

メールに記載した「来週頭」とは5月5日である。筆者は遅くてもこの日までに必ずパッチが提供されるだろうと予想していた。実際には読者もご存知のように、5月1日にパッチが提供された。最悪のケースを想定し準備していた某金融機関でも緊急体制を解除し、プログラムも全て元に戻して「戻しの稼働確認テスト」を行い、通常体制に移行することになった。
今回の事態からどんな企業においても重要な点を学ぶことができる。
　•異常事態を事前に想定する
　•その対応方法について十分にシュミレーションし、実機を使った模擬訓練を行う
今回は4月28日から5月1日までの実質4日間だけの緊急事態だった。訓練に近いともいえ、筆者の顧客企業では「実際の緊急事態の対応を確認する上でとても良い経験になった」と前向きに捉えた意見も多い。大規模トラブルにおける状況を的確に捉えて“毎日のビジネス”を確実に運営する重要さを感じる4日間だったと思う。
筆者が対応したこの金融機関だけでも、今後早急に再検討を要するセキュリティ課題が20以上も見つかったのだ。





IE欠陥騒動――「情報格差」を笑う人々、埋める人々
http://bizmakoto.jp/makoto/articles/1405/09/news131.html　　Business Media 誠
IEって何？」――。米マイクロソフト（MS）のインターネット閲覧ソフト「インターネット・エクスプローラー（IE）」に欠陥が見つかった4月末、ネットではIT知識に乏しい人々の混乱ぶりが相次いで報告された。職場のアナログな上司などを揶揄（やゆ）する声が目立つ中で、一連の騒ぎは根深い「情報格差」の現状も浮き彫りにしたようだ。
「職場で『とりあえずインターネットの利用を控えるように』という指示が出た」「なぜか『Yahoo! は危ないから使わないほうがいい』という話になり、みんながIEでGoogle検索するようになってる」
IEに深刻な脆弱（ぜいじゃく）性が見つかり、米国土安全保障省が注意喚起したとの報道が広まった4月末。Twitter上には、対応に追われる職場での混乱に戸惑う投稿が相次いだ。
中にはIEを含むネット閲覧ソフト（Webブラウザー）と、Yahoo! などの検索エンジンとを混同した事例も報告され、「助言しようと思ったけど、そもそも『ブラウザー』という言葉が通じない」といった“悲鳴”も。ブラウザーの知識を「基本中の基本」と見なしていた多くのネットユーザーにとって、相次ぐ混乱報告は「初心者」との知識ギャップを改めて突きつけるものだったようだ。
「年上世代」に批判の声
ブラウザーには問題となったIEのほかにも米グーグルの「Chrome（クローム）」や米モジラ「Firefox（ファイアフォックス）」などの種類がある。ただ、IEはウィンドウズの標準ブラウザーという地位もあり、多くの企業や団体がIEを前提としたシステムを採用。こうした環境も混乱を後押しした。
一方、ネットでは今回の騒動を受け、「年配層って本当、説明しても通じないことが多い」などとして、IT知識に乏しい「年上世代」をなじったり嘲笑する声も出ている。そもそもネットでは、「情報強者／弱者」といった表現で知識の多寡が区分けされ、特に「弱者」に対して厳しい視線が注がれてきた。
家電店で顧客が「インターネットください」と注文したという逸話は今も笑い話として語り継がれている。また今年4月には、テレビ朝日系「報道ステーション」の古舘（ふるたち）伊知郎キャスターが、MSのプレゼンテーションソフト「PowerPoint（パワーポイント）」について「知らない」と発言したことが大きな話題になり、「無知すぎる」と批判が集まったりもした。
「嘲笑する空気」に疑問も
もっとも、こうした風潮には「知らないことを『そんなことも知らないの？』って嘲笑する空気は好かんなあ」といった疑問も出され、最低限のIT教育の必要性を訴える声も上がっている。また、ブラウザーを車に例え、「IEという車に不具合が出たから、車を乗り換えましょうって感じ？」などと、初心者向けのかみ砕いた説明を模索する試みもみられた。同時に、「車のように仕組みやシステムなんて知らないけど使っていることはよくある」「興味なきゃブラウザーなんて別に何でもいいもんね。車は走ればいい、くらいのレベルで」などと、身近なものに例えることで、「上級者」が歩み寄ろうとする動きもあった。
車と違って“無免許”でも利用できるため「危険」にさらされる人々も多いネット。今回のIE騒動は、初心者にとっても上級者にとっても、互いを通じて学ぶことの意義を再確認させる一面を持っていたのかもしれない。
【用語解説】IEの脆弱（ぜいじゃく）性
MSは4月下旬、IEのバージョン6〜11に、外部から侵入を受ける恐れのある欠陥が見つかったと発表。MSは外部から情報を持ち出せないようにする「拡張保護モード」の設定などを呼びかけ、米国土安全保障省などもIEの使用を控えるよう注意喚起した。MSは5月1日（日本時間2日）、IEの安全性を高める修正プログラムの無償配布を開始した。




2014年05月08日





ユーザーをだます手口が急増、Microsoftが報告書で指摘
http://www.itmedia.co.jp/enterprise/articles/1405/08/news041.html    ITmedia
米Microsoftは5月7日、2013年下半期のサイバーセキュリティ動向についてまとめた報告書を発表した。ユーザーをだましてマルウェアをダウンロードさせる手口や、マシンを人質に取って脅迫する手口の急増を報告している。
報告書は年に2回発行しているもので、インターネットサービスを通じて世界6億台以上のコンピュータから収集した情報をもとに、脆弱性を突いた攻撃やマルウェア感染の現状などについて分析している。
それによると、Microsoft製品で悪用された深刻な脆弱性の件数は、2013〜2013年の間に70％減少した。これは、新しい製品ほど安全性が高いことを示すものだとMicrosoftは強調する。
一方で2013年下半期は、ユーザーをだます常套手段を使った攻撃が目に見えて増え、こうした手段によって影響を受けたコンピュータの台数は同年10〜12月期で3倍強に増えた。
「Microsoftの新しい製品に搭載されたセキュリティ対策技術によって攻撃が難しくなったことも、ユーザーをだます手口が増えた一因かもしれない」と同社は分析している。
中でもソフトウェアやゲーム、音楽といった正規のコンテンツとマルウェアをパッケージにしてダウンロードさせる手口は、調査対象となった110カ国・地域のうち95％で筆頭を占めたという。
続いて多かったのは、ユーザーのマシンを人質に取って身代金を要求する「ランサムウェア」で、この手口は2013年1〜3月期から4〜6月期の間に45％増えた。
こうした攻撃から身を守るためにMicrosoftでは、（1）ソフトウェアは最新バージョンを使う、（2）ソフトウェアを常に最新の状態に保つ、（3）ダウンロードは信頼できるベンダーから入手する、（4）最新版のウイルス対策ソフトを利用する、（5）不用意なクリックはしない、（6）ファイルのバックアップを取る――といった対策を呼び掛けている。
Microsoft Security Blog　　　New Data Sheds Light on Shifting Cybercriminal Tactics
http://blogs.technet.com/b/security/archive/2014/05/07/new-data-sheds-light-on-shift-in-cybercriminal-tactics.aspx

身代金要求マルウェアがAndroidも標的に
http://www.itmedia.co.jp/news/articles/1405/08/news042.html    ITmedia
PCやOS Xを標的に猛威を振るったランサムウェア「CryptoLocker」のAndroid版を犯罪集団が売り出したという。
コンピュータ上のファイルを人質に取ってユーザーを脅迫するランサムウェア「CryptoLocker」に、Androidを標的にしたモバイル版が出現したという。ロシアのセキュリティ企業Kaspersky Labのニュースサービス「threatpost」が5月7日に伝えた。
CryptoLockerは2013年に猛威を振るったマルウェアで、感染するとシステム内のファイルを暗号化するなどして人質に取り、「身代金」を要求する。これまでは主にPCが狙われ、AppleのOS Xも標的とされていた。
threatpostによると、このマルウェアのAndroid版は、一部の犯罪集団が宣伝しているのをセキュリティ研究者が発見した。まずユーザーにAndroid端末で不正なWebサイトを閲覧させてポルノサイトに誘導し、CryptoLockerを仕込んだAPKファイルをダウンロードするよう仕向ける手口が使われているという。
感染すると、ホーム画面に行くことはできても他の機能は利用できなくなり、Webブラウザを起動したりアプリを呼び出したりしても、CryptoLockerに戻ってしまうという。
問題のAPKファイルはポルノアプリに見せかけてあるが、起動すると警告メッセージを表示。携帯電話でポルノの閲覧や配布を行った罪で5〜11年の禁錮刑を言い渡されると脅し、300ドルの罰金を払うよう要求する。
犯罪集団はこのマルウェアについて、米国や欧州など30カ国以上向けの製品を売り込んでいるという。
threatpost　　CryptoLocker Ransomware Moves to Android
http://threatpost.com/cryptolocker-ransomware-moves-to-android/105937

「FINAL FANTASY XIV」をかたるフィッシングサイトに注意を
http://internet.watch.impress.co.jp/docs/news/20140508_647414.html    Impress Watch
スクウェア・エニックスのオンラインゲーム「FINAL FANTASY XIV（FF14）」をかたるフィッシング事例が報告されたとして、フィッシング対策協議会が注意を呼びかけている。8日13時時点ではフィッシングサイトが稼働中だが、閉鎖に向けた調査を進めている。
今回確認されたフィッシング事例は、FF14のプレイに必要なアカウント情報を詐取しようとする内容。対策の参考として、フィッシングサイトのスクリーンショットも公開されている。
スクウェア・エニックスでは、フィッシングサイトでIDやパスワードを絶対に入力しないよう、注意喚起を改めて実施。偽サイトを見分けるための手段として、ブラウザーに表示されるEV SSL証明書情報などが参考になるとしている。
フィッシング対策協議会による緊急情報詳細　　スクウェア・エニックス(FINAL FANTASY XIV)をかたるフィッシング(2014/05/08)
https://www.antiphishing.jp/news/alert/square_enix20140508.html
スクウェア・エニックスによる告知　　[重要] フィッシング詐欺サイトへ誘導するメールやメッセージにご注意ください
http://jp.finalfantasyxiv.com/lodestone/news/detail/b2a91d51ca17db290db2210ec2f8a7574e5563b1





サイバー攻撃の46％は原因不明、IBMが解析手段を提供
http://www.itmedia.co.jp/enterprise/articles/1405/08/news149.html    ITmedia
日本IBMは5月8日、2013年のセキュリティ脅威動向を分析した最新版報告書「IBM X-Force Threat Intelligence Quarterly - Q1 2014」を発表した。それによると、セキュリティインシデントの46％は原因が特定できないものだったという。
報告書ではIBMのセキュリティ研究機関X-Forceが、同社顧客におけるセキュリティ動向や公開されている世界中のデータ侵害事件の内容などを分析。国別のデータ侵害では米国が77.7％を占めたが、日本も3.9％と初めて上位にランクインした。
セキュリティインシデントを攻撃の種類別にみると、原因が判明しているもののトップはDDoS（分散型サービス妨害）の20％。以下はSQLインジェクションが13％、マルウェアが10％、「水飲み場型攻撃（特定目的のWebサイトなどを改ざんして閲覧者を攻撃する手法）」が5％だった。
原因不明が46％を占めた状況についてセキュリティーシステムズ事業部 テクニカル＆ソリューションズ部長の矢崎誠二氏は、「外部から指摘で情報漏えいが発覚し、調査をしても原因究明につながる証拠を見つけられないケースが大半だった」と解説。同氏が調査対応した事案の中には、マルウェア感染のPCを特定し修復をしても、何度も攻撃が続くこともあったという。
このため日本IBMは16日から、組織で発生する通信のパケットをキャプチャし、データの内容を再構成するなどしてインデントの原因調査を行うための「QRadar Incident Forensics」を提供するという。同社のセキュリティインシデント・イベント管理製品「QRadar」に組み込んで利用する。パケットキャプチャ用アプライアンスとパケットの検索・再構築用モジュールから構成され、QRadarの分析ツールを使って調査ができるとしている。
矢崎氏によれば、全てのパケットを予め蓄積しておくことで、データ侵害などの原因解明につながる証拠を発見できる可能性が高まり、迅速な対応や再発防止策の実施に役立てられるという。
なお、全てのパケットを蓄積するとデータ量は膨大になり、保存のために大容量ストレージなども必要になる。Incident Forensicsのパケットキャプチャ用アプライアンスは最大10Gbpsに対応し、ストレージオプションとして数日程度のデータ保管には40テラバイト、1週間程度では同90テラバイト、1カ月程度では100テラバイト以上の容量を用意している。「解析に必要なパケットの検索も現時点で最速クラスの性能」（矢崎氏）という。
税別・参考価格は最小構成の場合で4529万6000円からで、導入する企業の要件などに基づいてストレージなどの費用が別途必要になる見込み。全体的な導入費用は、キャプチャするパケットの範囲やデータ量、保存期間などの条件によって大きく異なると想定される。
ただ、実際にセキュリティインシデントで情報漏えいなどが発生すると、対応によっては億単位の出費や損失を伴うことがあり、実際に膨大な損失につながった事件が世界中で多発している。大量の個人情報を保有したり非常に機密性の高い情報を保有したりする企業や組織では、万一の場合の有力な調査手段となり得るかもしれないようだ。
日本IBM　　外部攻撃や情報漏えいを検知する最新のセキュリティー製品を発表
http://www-06.ibm.com/jp/press/2014/05/0801.html?CM=R





3月のIEゼロデイ攻撃、標的は日本のバスケ関係者？
http://www.itmedia.co.jp/enterprise/articles/1405/08/news137.html    ITmedia
Internet Explorerの脆弱性を悪用する攻撃が3月に日本で集中的に観測されたが、シマンテックは「日本のバスケットボール界にゆかりのある関係者が狙われた」と結論付けた。
3月上旬に発覚したInternet Explorer（IE）の脆弱性を悪用するサイバー攻撃は、特に日本が集中的に狙われた。これについてシマンテックは5月8日に公開したブログで、「日本のバスケットボール界にゆかりのある人物が狙われた」と結論付けている。
この攻撃ではIE 8〜11に存在するメモリ破損の脆弱性を悪用して、リモートから任意のコードを実行され、ユーザーの機密情報などが盗み取られる恐れがあった。
Microsoftは3月の更新プログラムでこの脆弱性を修正している。
http://www.itmedia.co.jp/enterprise/articles/1403/12/news039.html　：　Microsoftがセキュリティ情報を公開、攻撃多発のIEなど脆弱性を修正　2014年03月12日
シマンテックによれば、その後の調査で最終的な踏み台にされたのは日本バスケットボール協会（JBA）の公式サイトであることが分かった。不正コードが仕掛けられたWebサイトを閲覧するとJBAの公式サイトに誘導される。さらにJBAの公式サイトから韓国のWebサイトに誘導され、そこでマルウェアに感染させられる流れになっていた。JBAの公式サイトに不正コードが仕掛けられたのは2月中旬で、これを含めて3回の攻撃が行われたという。
JBAの公式サイトが踏み台にされた理由についてシマンテックは、財務大臣の麻生太郎氏がJBA会長を務めていることから「日本政府への格好の侵入口、またはゲートウェイとみなされたのかもしれない」と分析。または、2020年の東京五輪に関連して、組織委員会とつながりのある政府関係者を標的にした可能性もあるという。
シマンテックは、この攻撃を「Operation Backdoor Cut」と命名。標的型サイバー攻撃では攻撃者の最終目標となる企業や組織が直接狙われるだけでなく、今回のように関係先が踏み台になることも珍しくはない。同社が「企業や組織は万一ネットワークに攻撃者の侵入を許してしまった場合の対策も講じておくべき」と解説している。
シマンテック　IE のゼロデイ脆弱性を悪用してバスケットボール界を狙った「Operation Backdoor Cut」
http://www.symantec.com/connect/ja/blogs/ie-operation-backdoor-cut
JVNDB-2014-001633：Microsoft Internet Explorer 8から11における任意のコードを実行される脆弱性
http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-001633.html






2014年05月07日





「ウイルス対策は命が尽きた」　Symantecが重点シフト
http://www.itmedia.co.jp/enterprise/articles/1405/07/news037.html    ITmedia
特定の標的を狙って執拗に攻撃を仕掛ける「APT攻撃」が台頭している現状に対応して、米Symantecは従来のようなウイルス対策製品による攻撃の防止から、APT攻撃を念頭に置いた検出・対応へと重点をシフトする姿勢を打ち出した。5月5日には新しいアプローチに基づく企業向け製品のロードマップを発表している。
これに先立ち4日付の米紙Wall Street Journalは、ウイルス対策は「命が尽きた」とするSymantecの情報セキュリティ担当上級副社長ブライアン・ダイ氏の発言を紹介。同氏は「ウイルス対策ではどうやっても収益は出ない」と言明している。
Symantecの発表によれば、ATP攻撃が横行する中で、組織がネットワークセキュリティベースの対策を講じていても、多数のインシデントに見舞われ、攻撃にさらされているのが現状だ。このため「現在のような標的型攻撃に対抗するためには、防止から検出・対応へと重点を広げる必要がある」と判断した。
そうした新しいアプローチに基づき打ち出した新製品のうち、管理型サービスの「Symantec Managed Security Services -Advanced Threat Protection」は、従来のセキュリティ製品では対応できなかったゼロデイ攻撃なども検出して封じ込めることを目指す。米国で2014年6月から提供を開始する予定。
一方、エンド・トゥ・エンドソリューションの「Advanced Threat Protection Solution」は半年以内にβ版を、1年以内に正式版を公開予定。こちらはエンドポイントとメール、ゲートウェイを網羅するAPT対策の提供を目指している。
プレスリリース  Symantec Unveils New Advanced Threat Protection
http://www.symantec.com/about/news/release/article.jsp?prid=20140505_01
Wall Street Journal    Symantec Develops New Attack on Cyberhacking
http://online.wsj.com/news/article_email/SB10001424052702303417104579542140235850578-lMyQjAxMTA0MDAwNTEwNDUyWj

「アンチウイルスソフトは死んだ」とノートンで有名なシマンテック幹部が告白、半分以上の攻撃を検知できず
http://gigazine.net/news/20140507-antivirus-software-is-dead/    GIGAZINE
PCを危険な攻撃や不正な侵入から保護することを目的とした「ノートンセキュリティソフト」などのセキュリティソフトを販売するSymantecの幹部が「アンチウイルスソフトはもう死んだ」と語り、今後のセキュリティのあり方について語りました。

Symantec Develops New Attack on Cyberhacking - WSJ.com
http://online.wsj.com/news/articles/SB10001424052702303417104579542140235850578

Antivirus software is dead, says security expert at Symantec | Technology | theguardian.com
http://www.theguardian.com/technology/2014/may/06/antivirus-software-fails-catch-attacks-security-expert-symantec

自らを否定するような衝撃の発言を行ったのは、Symantecの上級副社長を務めるブライアン・ダイ氏。ダイ氏は1980年代に商用アンチウイルスソフトを開発し、現在も同社でプロダクトマネジメントやデータセンターセキュリティ、データ損失防止など幅広い分野を統括している人物です。ダイ氏は、従来型のアンチウイルスソフトについて「もう死んだ(dead)」と語り、「アンチウイルスソフトは、もう利益を生む商品ではないと考えています」とセキュリティ分野の課題が新たなレベルに達していることを示唆しています。
ダイ氏が明らかにしたところによると、現在のアンチウイルスソフトがウイルスなどの攻撃を検知できているのは全体の45％だけで、じつに55％の攻撃は検知されることなく素通りしているという状況になっているとのこと。これは、ハッキングの手口が高度に巧妙化され、もはや従来型の手法に限界があることを自ら認めたことを明らかにするものです。
コンピューターに不正に侵入して乗っ取るハッキングの手口は巧妙化を続けており、その動きを検知して封じ込めるセキュリティソフトとの争いはイタチごっこの様相を呈しています。特に、2010年ごろに発生してイランの各施設を攻撃したことで有名になった「スタックスネット(Stuxnet)」は、ネットワークにつながっていないPCにもUSB経由で侵入するという強力な感染力を持っていることが知られています。なお、このスタックスネットは「アメリカ国家安全保障局(NSA)」とイスラエル軍の情報機関「Unit 8200」によって作成されたとNYタイムズ紙が報じています。
従来は「強固な守りを固めて悪意のある動作を排除する」というのが主な目的だったセキュリティソフトの役目ですが、ダイ氏は今後の方向性について「ハッキングされていることを感知して、ユーザーの損失を可能な限り少なくする」という方向へ進むことを示しています。この方向性については大手セキュリティ関連のKasperskyやMcAfeeがすでに対応を進めており、Symantecは一歩遅れている感はありますが、全体としての方向がシフトしていることは間違いないと言えそうです。






Dropboxの共有リンク、外部のWebサイトへ筒抜け
http://www.itmedia.co.jp/news/articles/1405/07/news035.html    ITmedia
本来は共有相手しかアクセスできないリンクの情報がサードパーティーのWebサイトで参照されかねない問題が起きた。
米Dropboxに、特定の相手にのみ共有したはずの文書やファイルへのリンクがサードパーティーのWebサイトに公開されてしまう脆弱性が見つかった。Dropboxは5月5日のブログでこの脆弱性に対処したことを明らかにした。
今回の脆弱性は、Webサイトでユーザーがどこから来たのかをチェックする「リファラヘッダ」という標準的な機能に関連する。Dropboxではユーザーが自分のDropbox内のファイルやフォルダへのリンクを特定の相手と共有でき、リンク経由で共有されたファイルは本来、このリンクを持っている相手にしかアクセスできない。
ところが、サードパーティーのWebサイトへのハイパーリンクを含んだ文書へのリンクを共有し、そのリンクを受け取った相手が文書内のハイパーリンクをクリックすると、共有されたリンクがリファラヘッダ経由でサードパーティーのWebサイトに公開されていたことが分かった。ヘッダを参照できるサイト管理者などが、共有された文書へのリンクにアクセスできてしまう状態だったという。
Dropboxでは当面の対策として、こうした文書に対して過去に張られた共有リンクへのアクセスを全て一時的に無効にする措置を講じた。脆弱性の影響を受けないリンクについては数日中に復旧する予定だとしている。
今後作成される共有リンクについては、全て脆弱性を修正したと説明している。この脆弱性が実際に悪用された事例は確認していないという。
なお、Dropboxの共有リンクに関連して5月6日には、ユーザーが共有リンクを検索エンジンに登録すると、そのリンクが検索エンジンから広告パートナーに受け渡されるという問題も指摘された。
ただ、これについてDropboxでは脆弱性とはみなしていないと述べ、「検索エンジンなどサードパーティーへのリンク共有については慎重を期してほしい」と促している。
Dropboxブログ   Web vulnerability affecting shared links
https://blog.dropbox.com/2014/05/web-vulnerability-affecting-shared-links/

「Adobe Flash Player」に存在するゼロデイ脆弱性を解析（トレンドマイクロ）
http://scan.netsecurity.ne.jp/article/2014/05/07/34118.html    ScanNetSecurity
トレンドマイクロ株式会社は5月7日、米Adobeが4月28日（米国時間）に公開した「Adobe Flash Player」に存在するゼロデイ脆弱性（CVE-2014-0515）の解析結果について同社ブログで発表した。トレンドマイクロが問題の脆弱性を狙った攻撃に利用されたエクスプロイトコードを解析したところ、他の脆弱性との関連性を複数確認し、これらの脆弱性は、Flash Player 以外にも他のソフトウェアに存在するものも含まれることを確認した。ブログでは、問題の脆弱性の利用がどのように実行されたかについての主要な点について説明している。
 問題の脆弱性は、本質的にはFlashオブジェクト内のコンパイルされた shaderを解析する際に起こるバッファオーバーフロー。このオーバーフローは、隣接するVectorオブジェクトを含むメモリバッファを上書きするもの。攻撃者は、隣接する Vectorオブジェクトの length（長さ）を上書きし、さらにいくつかのプロセスを実行し、最終的に任意のシェルコードを実行することが可能になる。このエクスプロイトコードは、まずバッファオーバーフローを利用し、隣接する Vectorオブジェクトの長さを上書きする。この破損した Vector は、隣接する Vectorオブジェクトに非常に大きな長さの値を割り当てるために利用される可能性がある。
そして、この Vectorオブジェクトは、PC のメモリ領域を閲覧するのに利用され、メモリレイアウトの再配置および対象のデータの検索を行う。この特定の手法は、かなり一般的なもので Adobe Reader の脆弱性（CVE-2013-0640）やInternet Explorer（IE）の脆弱性（CVE-2013-3163、CVE-2014-0322、CVE-2014-1776）などでも利用された。この破損した Vector の要素は、Flashオブジェクト「FileReference」のアドレスを確認し、偽の仮想テーブルポインタと置き換えるのに利用される。この偽の仮想テーブルポインタは、シェルコードを指し示す関数「Cancel」のみを含み、「FileReference.Cancel」を読み込むと、この攻撃の任意のシェルコードが実行される。これは、まったく同じではないが、「CVE-2014-0322」や「CVE-2014-1776」で利用された Soundオブジェクトを利用して「Sound.toString()」を実行させる攻撃手法と類似している。
トレンドマイクロ：ブログ　　Adobe Flash Playerに存在するゼロデイ脆弱性「CVE-2014-0515」の解析
http://blog.trendmicro.co.jp/archives/9070





フィッシングの特色〜CeCOS VIII レポート
http://scan.netsecurity.ne.jp/article/2014/05/07/34117.html    ScanNetSecurity
第8回目となるフィッシング詐欺を主とするサイバー攻撃対策ワーキンググループAPWG主催の「CeCOS VIII：The second annual Counter-eCrime Operations Summit」が4月8、9、10日に香港で開催された。セミナーでは、各国で最も問題視されているフィッシング詐欺とその対策、サイバー攻撃に関する法改正等があげられた。その中で特に気になった海外のフィッシング詐欺をいくつかご紹介します。
●狙われるプレミアムSMS
パンダセキュリティ社、ルイス・コロンズ氏が議題にあげたのは、スペインで問題視されている、スマートフォンに搭載された「プレミアムSMS」へのフィッシング詐欺だ。
コロンズ氏によると、プレミアムSMSとは、携帯電話を通じた決済方法の一つで、コンテンツ購入時に送受信されるSMSの通信料金に使用料金を上乗せ課金し決済を行うサービスで、欧米では有料版のスマホアプリの決済方法として一般化している。
このフィッシング詐欺は、人気有料スマホアプリにトロイの木馬を組み込み、プレミアムSMSを不正に利用しお金を調達する。そのアプリのコンフィグファイルを入手する際に情報源となっているのが「WhatsApp」だという。スペインではスマホユーザの97％（※1）が使用するという人気無料通話アプリ「WhatsApp」から容易に名前・電話番号等の個人特定可能な情報収集ができ、それに対しまだ有効な対策は見つかっていないという。
プレミアムSMSを利用した被害は、請求書が送られてきて初めて気付くことが多く早期発見が難しい。現状の対策として、個々の利用者にアプリをダウンロードする際は下記2点を注意することを呼びかけている。
・必ずオフィシャルマーケットからアプリをダウンロードすること
・ダウンロードする際は他利用者のコメントを読むこと（コメント欄に「不正なアプリだ」と書かれていることもある）
●ビッシング詐欺
タイでもSMSを利用したフィッシング被害が目立つ、と電子政府機関に所属するKitisak Jirawannakool氏は語った。その中で気になったのが「ビッシング詐欺」。「ビッシング詐欺（Vishing Fraud）」とは「Voice（声）＋Phishing（フィッシング）」を掛け合わせた造語で、多くの場合、金融機関を装った詐欺者が、電話で利用者のクレジットカード番号や口座情報等を盗む行為。以前は発信元の多くはプライベートナンバーもしくは非通知だったが、現在では実在する金融機関のコールセンターの番号が使用されることが多く、利用者が詐欺だと気付かず情報を渡してしまうことが目立つ。対策は模索中とのこと。
日本でいうところのオレオレ詐欺と同じようなものだろうか。調べてみると、ビッシング詐欺はUKでも流行しているらしく、調査では約6割の被害者が50歳以下で（※2）、日本のオレオレ詐欺の「被害者の約5割は70歳以上（※3）」と比べると高齢者だけでなく比較的若い年齢層が被害に遭っているケースが分かる。日本ではまだ主流ではないがビッシング詐欺に対し、高齢者だけでなく、若者にも警戒していただきたい。
●銀行：フィッシングに対する警告
 株式会社セキュアブレイン 山村氏が日本のフィッシング事情について語った。中でも三菱東京UFJ銀行のWebページでは全体の75%に警告があるとして会場から笑いがおきる等、海外からみた日本の銀行における利用者への警告が過剰になりつつあることが話題となった。
「アメリカでは銀行の姿勢は違う」と筆者に語りかけたのはフィッシュラボ社のブラッド・ワーネット氏だった。アメリカの銀行サイトではフィッシング詐欺に対する警告はほとんどない。その理由として、利用者がフィッシング詐欺に対して気をつけなくていいと思っているからだ、と話した。アメリカでは、フィッシング詐欺等による不正送金があった場合、その損益は通常銀行が保証しなければならない。利用者としては自分のお金は必ず戻ってくる、だから利用者に対しての警告はあまり利用者には響かない、むしろ、銀行側はシステム対策に専念している。日本の場合は個人の不正送金されたお金の払い戻しがないから、銀行側は利用者がフィッシング詐欺事件に巻き込まれないための警告に注力しているのではないか、と疑問を投げかけられた。
しかし調べてみると、日本でも2008年に改正された民法478条（※4,5）により預金者に過失がない場合、銀行側がその不正送金に対し保証する義務があるとし、実際に2013年度のアンケート調査では申請があった428件中427件（※6）の利用者に払戻しが行われている。ただ警視庁に報告されている被害件数は、1,315件（※7）。これを合わせてみると被害の3分1しか払戻しされておらず、被害者が払戻し保証義務について知らない場合が多いのではないだろうかと感じる。ただし法人口座においては、銀行側に過失がなく不正に送金がなされた場合、その損益は銀行側で保証する義務はないので注意が必要だ。
なぜ日本と海外の銀行で、フィッシング詐欺に対する警告の見せ方が違うのか。一度世界各国の銀行の担当者がこの議題について協議する場があるならば是非参加したい。
今回は、私にとって初めての海外で参加する国際カンファレンス。各国の登壇者・参加者は明るくフレンドリーな方が多く、質疑応答に飛び交うジョークなどから、全体を通して「サイバー攻撃についてのカンファレンスなのに、会場の雰囲気が明るい」という印象を持った。セミナー外でも各々の研究に関して議論するなど学ぶことも多く、参加者の中にはTシャツの袖から入れ墨が見られる方もいて、単色のスーツで彩られる国内の静寂なカンファレンスと違い、「自由」を思わせる活気的なカンファレンスだった。
一つ残念だったことは、中国本土からの出席者に出会えなかったこと。東アジアで起こっているサイバー攻撃に関する話が個人的に聞けなかったことが心残りだったけれど、またどこかの機会に期待を膨らませようと思う。
各国で主流となるサイバー攻撃の手口は様々で、またそれに対する対策や法律も各国で多様。新たな脅威に立ち向かうために最新の情報を交換し合うAPWGの次回イベント「eCrime Research symposium 2014」は2014年9月24日アメリカ アラバマ州にて開催予定。
CeCOS VIII
http://apwg.org/apwg-events/cecos2014/
※1. “WhatsApp Is Now The Biggest Message App On iPhones” (December 6th, 2012), GNG Media Inc.
http://www.iphoneincanada.ca/news/whatsapp-is-now-the-biggest-messaging-app-on-iphones/
※2. “Financial Fraud Action UK~Working together to prevent fraud~” (August 28th, 2013),
http://www.financialfraudaction.org.uk/cms/assets/1/22082013%20ffa%20uk%20vishing%20press%20release%20final.pdf
※3. 「被害の実態（アンケート分析結果）」(平成24年5月〜7月調査)　 警視庁　犯罪防止対策本部
http://www.keishicho.metro.tokyo.jp/han_furikome/5_jitai.htm
※4.「民法478条とATM引き出しの適用事例等」(2005)金融庁
http://www.fsa.go.jp/singi/singi_fccsg/gaiyou/f-20050304-singi_fccsg/03.pdf
※5.「民法(債権関係)の改正に関する論点の検討(11)〜民法（債権関係）部会資料 39〜」法務省
http://www.moj.go.jp/content/000102960.pdf
※6.「「インターネット・バンキングによる預金等の不正払戻し」等に関するアンケート結果（別紙2）」平成26年2月25日　一般社団法人全国銀行協会
http://www.zenginkyo.or.jp/news/entryitems/news260225_2.pdf
※7. 「平成25年中のインターネットバンキングに係る不正送金事犯の発生状況等について」（平成26年1月30日）警察庁
http://www.npa.go.jp/cyber/pdf/H260131_banking.pdf

2014年第1Qの新モバイル脅威、99％以上がAndroidを標的に……「新種の発見」目立つ
http://www.rbbtoday.com/article/2014/05/07/119497.html　  RBB TODAY
エフセキュアは7日、2014年第1四半期の新たなモバイル脅威に関する情報を公開した。同社の報告書「MOBILE THREAT REPORT Q1 2014」（2014年第1四半期モバイル脅威レポート）の情報をまとめたものだ。
それによると、2014年第1四半期にエフセキュアラボが検出した新たなモバイル脅威において、99％以上がAndroidユーザを標的にしていたことが明らかとなった。検出された新種の脅威（ファミリーとその亜種を含む）277件のうち、275件がAndroidを標的にしたものだった。iPhoneとSymbianはそれぞれ1件ずつだった。前年同期において、新種の脅威は149件で、Androidを標的としていたのは91％だった。
2014年第1四半期には、ビットコイン（仮想通貨）を採掘するためにデバイスをハイジャックする“マイナー（採掘者）”が初めて確認された。また起動ルーチンの最初期段階で打撃を与える“ブートキット”も初めて見つかった。Torトロイの木馬や、Windowsでのインターネットバンキングを狙うトロイの木馬も初めて確認されるなど、「新種の発見」が目立ったという。
国別では、英国が最も多くのモバイルマルウェアに遭遇し、ユーザ1万人当たり15〜20ファイル（500人当たり1ファイル）のマルウェアファイルが同社ソフトによりブロックされたとのこと。米国、インド、ドイツでは、それぞれ1万人につき5〜10のマルウェアがブロックされ、サウジアラビアとオランダでは、1万人につき2〜5のマルウェアがブロックされた。





サイバー攻撃検知後の初動対応時間を最大約97％削減する新サービス（富士通）
http://scan.netsecurity.ne.jp/article/2014/05/07/34121.html    ScanNetSecurity
富士通株式会社は5月7日、マルウェアの検知から初動対応までの時間を大幅に削減し被害拡大を防ぐ「FUJITSU Software Systemwalker Security Control」と、制御システムのセキュリティ強化を目的とした「FUJITSU Security Solution 情報セキュリティ強化支援コンサルティング」の新メニューを同日より販売開始した。これらは、顧客・社会のICTの安心安全を支えるセキュリティに関する製品・サービス群を体系化した「FUJITSU Security Initiative」の継続的な取り組みとして提供するもの。
「FUJITSU Software Systemwalker Security Control」は、同社内で培った手順を基にした運用シナリオにより、マルウェアの侵入検知後の一連の対処（ネットワーク遮断、感染機器の特定、対象者への対応依頼など）を自動化することで、初動対応時間を従来比最大約97％削減するもの。運用シナリオは継続的に更新される。「FUJITSU Security Solution 情報セキュリティ強化支援コンサルティング」では、制御システム強化を目的としたコンサルティングメニューとして「制御システムセキュリティアセスメント」および「制御システムセキュリティポリシー策定支援」の2つを追加した。また、セキュリティ対策の社内人材育成のノウハウを活用した「セキュリティ人材育成コース」の申込も開始している。
富士通　　国内初、社内実践知を反映したサイバー攻撃検知後の対処時間を大幅削減するソフトウェアを提供
http://pr.fujitsu.com/jp/news/2014/05/7-1.html?nw=pr







2014年05月05日





ヤバイ！SNSにアップした写真から住所特定されるぞ！Exif情報に注意
http://www.yukawanet.com/archives/4670931.html#more    秒刊SUNDAY
自宅で撮影したペットや料理の写真をSNSにアップ。最近では日常茶飯事になってきたことだけれど、ちょっと待ってほしい。その写真であなたの住所が特定されるかもしれない。デジタルカメラやスマートフォンで撮影した写真には、画像データ以外にもさまざまなデータが記録されている。例えば撮影した日時やGPS情報、使用したカメラの機種、フラッシュの有無、ホワイトバランス、撮影モード……などだ。これらを総称して「Exif（イグジフ）情報」と呼ぶのだが、特に気を付けたいのが、GPS情報だろう。
GPS情報が写真に記録されていることを知らずにSNSやブログにアップ。それが誰かに暴かれて、Googleマップなどで特定されれば、あっという間に撮影した場所が分かってしまうのだ。もし、それが明らかに自宅だと分かる写真だったら……その先の危険性は言うまでもないだろう。
実際に欧米では、ある家族が旅行先からブログやSNSに写真をアップしたところ、自宅の住所を特定され、泥棒に入られたという事例もある。
昨年、飲食店のアルバイト店員が不適切な写真をSNS上にアップし、炎上、または逮捕される事案が相次いだ。写真を公開してから数日と経たないうちに、ネット上で「特定した」と、氏名や顔写真、住所などの個人情報が次々と暴かれていったのも、このExif情報が原因のひとつなのだ。
ーExif情報を見るためのフリーソフト
Exif情報を見るためのフリーソフトは、いくつもネット上に出回っている。試しに筆者が撮影した画像を読み込んだところ、撮影日時や場所、使用したカメラの機種名までバッチリ表示された。このように、個人を特定できるような情報が簡単に知られてしまうのだ。
では、どのような対策をとればいいのだろう。まずは写真にGPS情報を記録しないことだ。スマートフォンの場合、設定画面で「位置情報」や「ジオタグ」、「Geto-tag」などと表記されているので、「保存しない」や、「OFF」を選択するといいだろう。カメラアプリを使っている場合には、一般設定で個別にオフにするか、アプリ内の設定画面でオフに切り替えよう。
また、写真をアップする前にExif情報を編集することも可能だ。削除専用のスマートフォン向けアプリや、パソコン用フリーソフトも提供されているので、ぜひ活用してほしい。
Facebookでは写真をアップする時にExifを自動で削除してくれるらしいが、そのまま公開してしまうSNSも存在するとか……。「自分は大丈夫だろう」とは思わずに、万全な対策を心がけよう。

2014年05月03日





「最も安全」とうたうクラウドストレージですら安全ではないことが判明
http://gigazine.net/news/20140503-cloud-storage-not-secure/    GIGAZINEファイルをインターネット上で保管するクラウドストレージは、クラウドを通じて端末間でファイルのやり取りができる便利なサービスです。今や無料でも大容量のクラウドストレージサービスなど次々と新規サービスが登場していますが、ジョンズ・ホプキンズ大学でコンピューターサイエンスを研究する科学者が、「最も安全とうたうクラウドストレージですら安全ではない」と研究結果を発表しています。

Even the most secure cloud storage may not be so secure, study finds   - Network World
http://www.networkworld.com/news/2014/042114-secure-cloud-storage-280838.html

クラウドストレージを提供する多くの企業は、顧客のデータを守る最先端のクラウドセキュリティとして、相手側に証明用の秘密やパスワードを漏らさずに安全に認証可能な「ゼロ知識証明」を採用しています。ジョンズ・ホプキンズ大学の科学者は、このゼロ知識証明が「どれほど安全なのか？」ということを研究した結果、危険な脆弱性が隠れていることを示唆しているとのこと。
ゼロ知識証明を採用するクラウドストレージサービスでは、顧客のデータを暗号化して保管し、顧客に対しては解読キーを渡すことで、業者側すらアクセスできないセキュアなデータのやり取りを可能にしています。しかし、研究者は「保管するデータをクラウドサービス内で共有する機能がある場合、解読キーは業者側から見ると攻撃に弱い状態となってしまい、業者が望めば顧客のデータを盗み見ることも可能である」と警告しています。実際にサービスを提供しているゼロ知識証明クラウドサービスを調査したところ、調査対象となった「SpiderOak」、「Wuala」、「Tresorit」などが行っている、「データが暗号化されてクラウドに格納され、ユーザーがデータをダウンロードする時のみ解読できるモデル」は、安全であることが確認されています。
一方で、「クラウドサービス上でデータを共有すると、ユーザーの解読キーなしにシステム上でデータをやり取りできることになります。その場合、どのサービスも業者が顧客のデータにアクセスできる状態にありました」と報告する研究の第1著者デュアン・ウィルソン氏。これは「中間者攻撃」に類似しており、今のところ大きな問題は起きていませんが、ユーザーは常に攻撃を受ける可能性があるということ。研究監督のGiuseppe Ateniese准教授は、「クラウドサービスの提供側が顧客のデータにアクセスしているという証拠は出ていません。しかし、どんな安全なクラウドサービスでもユーザーが危険にさらされていることを伝えたかったのです」と警告しています。
なお、研究者によるといくつかのサービスは、Silent Circleのように、音声認識システムなどのゼロ知識証明認証以外のセキュリティを複合して採用しています。クラウドストレージサービスは次々と登場していますが、サービス提供側も、より安全なサービス提供を模索しているとのことです。
「ゼロ知識証明」
http://ja.wikipedia.org/wiki/%E3%82%BC%E3%83%AD%E7%9F%A5%E8%AD%98%E8%A8%BC%E6%98%8E
「中間者攻撃」
http://ja.wikipedia.org/wiki/%E4%B8%AD%E9%96%93%E8%80%85%E6%94%BB%E6%92%83






2014年05月02日





Microsoft、IEの脆弱性を修正　Windows XPも対象に
http://www.itmedia.co.jp/news/articles/1405/02/news039.html    ITmedia
Microsoftは攻撃発生が確認されていたIEの脆弱性を修正。例外的に、4月でサポートを打ち切ったWindows XPも更新の対象とした。
米Microsoftは米国時間の5月1日（日本時間2日）、攻撃発生が確認されていたInternet Explorer（IE）のゼロデイの脆弱性を修正する更新プログラムを緊急リリースした。例外的に、4月でサポートを打ち切ったWindows XPも更新の対象としている。
脆弱性はIE 6〜11までの全バージョンに存在する。削除されたメモリ内、または適切に割り当てられていないメモリ内のオブジェクトにアクセスする方法に問題があり、細工を施したWebサイトをユーザーが表示すると、任意のコードを実行される恐れがある。
修正のための更新プログラム（MS14-021）は、Windows XP SP3〜Windows 8.1／RT 8.1にインストールされたクライアント版とサーバ版のIE 6〜11向けに配信された。自動更新を有効にしていれば、更新プログラムは自動的に適用される。
今回の脆弱性は、Windows XPのサポート終了直後というタイミングと重なって大きな注目を浴びた。この脆弱性を発見したセキュリティ企業のFireEyeは、4月26日の時点でWindows 7／8上のIE 9〜11を標的とする攻撃が発生していると報告。5月1日にはWindows XP上のIE 8を狙う攻撃も確認したと伝えた。この脆弱性を悪用しようとする者も増え、標的とされる組織は当初の防衛産業や金融機関から、政府機関やエネルギー業界にまで広がっているという。
こうした状況を受けてMicrosoftは、サポート終了から間もないという理由で例外的に、Windows XPの全バージョン向けに更新プログラムを提供することにしたと説明する。ただし「現実には、今回の脆弱性を突く攻撃は極めて少数しか発生しておらず、懸念は度が過ぎる」との見方を示し、「IEは広く使われているブラウザの中でも世界一安全」だと強調した。
ユーザーに対しては引き続き、OSはWindows 7や8.1など「現代のOS」に更新し、IEは最新版の11に更新するよう促している。
公式ブログ（Microsoft）  Updating Internet Explorer and Driving Security
http://blogs.technet.com/b/microsoft_blog/archive/2014/05/01/updating-internet-explorer-and-driving-security.aspx
Microsoft Security Bulletin MS14-021 - Critical    Internet Explorer 用のセキュリティ更新プログラム (2965111)
https://technet.microsoft.com/library/security/ms14-021
FireEyeのブログ  “Operation Clandestine Fox” Now Attacking Windows XP Using Recently Discovered IE Vulnerability
http://www.fireeye.com/blog/technical/targeted-attack/2014/05/operation-clandestine-fox-now-attacking-windows-xp-using-recently-discovered-ie-vulnerability.html





米Microsoft、IE脆弱性に対応する修正パッチの緊急配布開始 　〜「例外的に」XPユーザーにも更新プログラムを提供
http://cloud.watch.impress.co.jp/docs/news/20140502_646873.html    Impress Watch
米Microsoftは1日、Internet Explorer 6以上の全バージョンに影響する深刻な脆弱性に関して、定例外セキュリティー更新プログラム提供を開始した。
ユーザーが設定を自動更新にしていれば、Windows Update、Microsoft Updateを介して自動的に該当更新プログラムが適用されるため、特別な作業はユーザーに求められていない。
この脆弱性に関しては4月26日に脆弱性が発見されて以来、米国、英国政府などがInternet Explorerの一時使用停止を呼びかけていた。
注目されるのは、4月9日（日本時間）にサポートが終了したWindows XPユーザーに対しても、更新プログラムが提供されたことだ。これまでMicrosoftは「製品サポート終了に伴い、対象製品へのセキュリティ更新プログラムの提供も終了する」と何度も言明してきた。今回Microsoftは「例外」を設けたことになる。
この決定理由について、米Microsoftトラストワーシーコンピューティング担当ゼネラルマネージャーAdrienne Hall氏は「我々はWindows XPのサポート終了後まもないことを考慮し、この例外を設けた」と説明した。また、この脆弱性発見のタイミングがWindows XPサポート終了時期と重なり、メディアによって大きく報じられたことも関係していることを示唆した。
今回は例外的な措置であることを説明し、Windows XPユーザーに対しては、Windowsのより新しいバージョンに移行するよう重ねて要望している。新しいOSはより安全に設計されており、その上で動作する新しいInternet Explorerの安全性やパフォーマンスも向上しているからだ。
今回の脆弱性を悪用した攻撃について、Microsoftでは「Windows XPを含め、本脆弱性を悪用する攻撃が広まっている状況ではありません」と説明。セキュリティ企業Kasperskyでも、「セキュリティチームたちは、これが広まっている様子を見ておらず、我々のいかなる顧客システムに対しても使用されたことを発見できていない」とおおむねMicrosoftの見解に同意している。
同時にKasperskyでは、「ひとたび更新プログラムおよびソースコードが解析されれば、待ち構えている大規模サイバー犯罪ネットワークへ供給が始まるだろう」と指摘。修正プログラム配布は犯罪者たちとの新たな戦いの始まりでもあることを強調した。脆弱性を発見した米Fireeye Research Labsでも、犯罪者たちのターゲットはこれまでの防衛、金融産業から政府、エネルギー関連産業に拡大してきていると指摘している。
マイクロソフト日本のセキュリティチーム公式ブログの該当記事　　セキュリティ アドバイザリ (2963983) の脆弱性を解決する MS14-021 (Internet Explorer) を定例外で公開
http://blogs.technet.com/b/jpsecurity/archive/2014/05/02/security-update-ms14-021-released-to-address-recent-internet-explorer-vulnerability-2963983.aspx
米Microsoft Official Blog公式ブログの該当記事（英文）　　Updating Internet Explorer and Driving Security
http://blogs.technet.com/b/microsoft_blog/archive/2014/05/01/updating-internet-explorer-and-driving-security.aspx
米Microsoft MSRC公式ブログの該当記事（英文）　　Out-of-Band Release to Address Microsoft Security Advisory 2963983
http://blogs.technet.com/b/msrc/archive/2014/05/01/out-of-band-release-to-address-microsoft-security-advisory-2963983.aspx
Microsoft Security Bulletin MS14-021 - Critical　マイクロソフト セキュリティ情報 MS14-021 - 緊急 　Internet Explorer 用のセキュリティ更新プログラム (2965111)
https://technet.microsoft.com/library/security/ms14-021
Kaspersky Labs Securelist公式ブログの該当記事（英文） Microsoft Updates Internet Explorer against Highly Targeted 0day Distributing Pirpi
http://www.securelist.com/en/blog/208214276/Microsoft_Updates_Internet_Explorer_against_Highly_Targeted_0day_Distributing_PirpiFireeye
公式ブログの該当記事（英文） “Operation Clandestine Fox” Now Attacking Windows XP Using Recently Discovered IE Vulnerability
http://www.fireeye.com/blog/technical/targeted-attack/2014/05/operation-clandestine-fox-now-attacking-windows-xp-using-recently-discovered-ie-vulnerability.html






IEの脆弱性を修正するセキュリティ更新プログラム公開　Window XP向けにも
http://nlab.itmedia.co.jp/nl/articles/1405/02/news052.html    ITmedia
サポートが終了したWindow XP向けにも更新プログラムが提供されることに。
マイクロソフトは5月2日、先ごろ見つかったInternet Explorer（IE）の脆弱（ぜいじゃく）性を修正するセキュリティ更新プログラムを公開しました。サポートが終了したWindow XPについても更新プログラムを提供しています。
問題の脆弱性はIEのバージョン6〜11に影響。この脆弱性を悪用して細工をしたWebページやHTMLメールにIEでアクセスしてしまうと、個人情報を盗まれたり、PCを乗っ取られたりする恐れがあります。この脆弱性を悪用した攻撃も確認されていました。
更新プログラムは、Windowsの自動更新を有効にしている場合（ほとんどのユーザーに当てはまる）、自動的にダウンロードされ、インストールされます。手動でインストールする場合は、「スタート」メニューから「Windows Update」を選んで「更新プログラムのインストール」をクリックします。
Windows XPは今年4月にサポートが終了しており、本来ならセキュリティ更新プログラムは提供されないのですが、米マイクロソフトのセキュリティ担当者は公式ブログで、「Windows XPユーザー向けにセキュリティ更新プログラムを提供することを決めた」と述べています。「Window XPはサポートが終了しており、われわれは引き続き、ユーザーにはWindow 7や8.1など新しいOSに移行するよう推奨している」とも語り、IEを最新のバージョン11にアップグレードすることも勧めています。今回のような特別な対応が今後もあるとは限りませんし、XPからの移行が急務であることに変わりはありません。
マイクロソフト セキュリティ情報 MS14-021 - 緊急　　Internet Explorer 用のセキュリティ更新プログラム (2965111)
https://technet.microsoft.com/ja-jp/library/security/ms14-021






Internet Explorer脆弱性の対策プログラムがダウンロード可能に――XPユーザーも対象
http://bizmakoto.jp/makoto/articles/1405/02/news048.html　　Business Media 誠
マイクロソフトが、先日発見されたIEの脆弱（ぜいじゃく）性に対処するセキュリティ更新プログラムを緊急公開した。まずはこれをインストール。きちんと最新になったかも手動で確認しよう。
マイクロソフトは5月2日（日本時間）、
先日発見されたInternet Explorerの脆弱（ぜいじゃく）性
http://bizmakoto.jp/makoto/articles/1405/01/news030.html　：　「インターネット エクスプローラを使うな」ってどういうこと？　ワタシは今どうすべきか　2014年05月01日
に対処する緊急のセキュリティ更新プログラム（KB2964358／MS14-021）を公開した。
対象はWindows XP SP3からWindows 8.1／RT 8.1にインストールされたIE 6、7、8、9、10、11。Windows Updateを通じて配信する。IEの自動更新を有効にしていればアップデートは自動で行われ、再起動後に適用される。例外的に、2014年4月9日でサポートを終えたWindows XPも更新の対象となる。
マイクロソフトマイクロソフト セキュリティ情報 MS14-021 - 緊急
https://technet.microsoft.com/ja-jp/library/security/ms14-021
マイクロソフト セキュリティ アドバイザリ 2963983　　Internet Explorer の脆弱性により、リモートでコードが実行される
https://technet.microsoft.com/ja-JP/jp-ja/library/security/2963983
日本マイクロソフト
http://www.microsoft.com/ja-jp/default.aspx




マイクロソフト｢IE｣､残された教訓と課題
http://toyokeizai.net/articles/-/36923    東洋経済オンライン
修正パッチ配布だが､暗黒面との戦いは続く
米国時間の5月1日(日本時間の2日）、米マイクロソフトは、米国時間の4月26日(日本語での報告は28日）に公開していたInternet Explorer 6〜11のセキュリティホール
（安全性に関する問題点）
https://technet.microsoft.com/ja-jp/library/security/2963983　：　マイクロソフト セキュリティ アドバイザリ 2963983 　Internet Explorer の脆弱性により、リモートでコードが実行される
を修正するためのパッチ「Internet Explorer 用のセキュリティ更新プログラム」を明らかにした。
マイクロソフトはこのページで更新プログラムを配布
https://technet.microsoft.com/ja-jp/library/security/ms14-021　：　マイクロソフト セキュリティ情報 MS14-021 - 緊急 　Internet Explorer 用のセキュリティ更新プログラム (2965111)
するほか、Windows Updateでも対策プログラムを配布する。今回の対策プログラムは、4月9日のサポート終了後もいまだ利用者が多いことを理由に、特例としてWindows XPユーザーに対しても提供されている。
コントロールパネルのWindows Updateで更新プログラムを確認。「Windows 8.1 for x64-based Systems 用 Internet Explorer 11 のセキュリティ更新プログラム」（ウィンドウズのバージョンや"x64"は利用しているコンピュータによって異なる場合もある）が更新リストにあることを確認した上で更新を行うだけで済む。あるいは上記のリンクから単独の更新プログラムで修正することもできる。
マイクロソフトが情報提供用に解説しているブログ「
日本のセキュリティチーム」のページ
http://blogs.technet.com/b/jpsecurity/archive/2014/05/02/security-update-ms14-021-released-to-address-recent-internet-explorer-vulnerability-2963983.aspx　：
　日本のセキュリティチーム　セキュリティ アドバイザリ (2963983) の脆弱性を解決する MS14-021 (Internet Explorer) を定例外で公開
でも、今回の対策やこのセキュリティホールを利用した攻撃が拡大していないことなどを伝えている。詳しい対応方法はこのブログがもっとも詳しい。また、
前回の記事
http://toyokeizai.net/articles/-/36708　：　マイクロソフト｢IE｣の脆弱性に世界震撼　2014年04月30日
でも指摘したように、VGX.DLLというファイルを無効にすることで対策を施していたユーザーは、このファイル（アプリケーションプログラムが使用するコード集）をWindowsに登録し直す必要があるので注意しなければならない。
ゼロディアタックは他のブラウザにも
マイクロソフトのブログでも指摘されているが、今回の問題は他の「ゼロデイアタック」の事例と比較し、必要以上に大きな事件として伝わった面がある。しかし実際の攻撃が確認されていること、稼働しているほぼ全てのIEバージョンに影響すること、それらすべてのバージョンを合計すると6割に上るユーザーに影響があること、IEをブラウザエンジンとして利用しているアプリケーションも少なくないこと、IEを推奨ブラウザ（あるいは専用ブラウザ）として指定するアプリケーションがいまだに多いこと、社内アプリケーション開発でIEのみを対象としている企業が少なくないこと――など、実に多くの要因が重なったことで、世界中に不安が拡大したといえる。今回の騒動を機にユーザー者側も、ゼロデイアタックに対する理解を深めるきっかけにするべきだろう。
どのようなプログラムも完璧ではなく、ゼロデイアタックと言われる未発見のセキュリティホールを利用した攻撃は、あらゆるウェブブラウザを通じて行われている。今回、緊急避難的にIEの使用中止の呼びかけが拡がったが、では避難先のChromeやFirefoxがIEよりも安全かと言えばそうではない。
今回、複数の機関が一時的な危険回避策として、IE以外のブラウザを使うように提案した。ChromeやFirefoxには別の問題点が内在しているのだ。その脆弱性を突いたゼロデイアタックがあれば、同じように対策プログラムが提供されるまでには”一時避難”が必要な場合も出てくる。
いずれにしろ、複数のブラウザをインストールしておき、いざというときには代替のブラウザを使用できるようにしたほうがいい。そうなると、特定ブラウザに依存した形で社内アプリケーション（「IEのみに対応」が多い）を開発しているならば、見直すきっかけとした方が良いだろう。
また金融機関のインターネットサービスなどでも、同様の問題が残ったままになっているところがある。前記の通り、”IEを避ける”ことで問題を解決できるわけではないが、”あらゆるブラウザを受け入れられる”よう作ることが、公共性の高いサービスには求められる。
「来月にはさらによくなる」
今回、マイクロソフトはWindows XPユーザーへの対策プログラム配布も行った。いまだにXPユーザーが多いことを鑑みたうえでの判断だ。
しかし、これはあくまで特例措置。マイクロソフトはブログの中で「Windows XP をご利用の一般ユーザーが、いまだ非常に多い状況を受けての特別な措置です。Windows XP のサポートは終了していますので、Windows 8.1 などへの最新の Windows に早急に移行することを強く推奨いたします」と記述している。
今後、XPを対象とした攻撃も増えるとみられるため、いまだにXPを使用しているユーザーは、早期にOSのアップグレードを行うべきだろう。
マイクロソフトのTrustworthy Computing部門を率いるゼネラルマネジャーのAdrienne Hall氏は次のようなコメントをブログ上に書いている。
「消費者や企業にすばらしい経験をもたらすインターネットの世界には、暗黒面もあり、技術の使用を混乱させ、情報を盗む人々や組織がある。しかし、我々はしっかりとガードをし、過去10年にわたって、毎月のようにソフトウエアの信頼性を向上させてきた。今日、我々はブラウザを安全なものにした。来月には、さらによくなるので信用してほしい」
インターネットの暗黒面との戦いは、これからも続く。こうした問題が頻発することを前提に、ユーザー側もリテラシー(知識）を高める必要がある。月並みな言い方だが、リテラシー向上こそが、最大の課題といえるかもしれない。

米MS、混乱受け緊急対応＝ソフト欠陥で問い合わせ殺到
http://headlines.yahoo.co.jp/hl?a=20140502-00000074-jij-n_ame    時事通信
【シリコンバレー時事】米マイクロソフト（MS）が1日、インターネット閲覧ソフト「インターネット・エクスプローラー（IE）」の欠陥修正プログラムの緊急配布に踏み切ったのは、同社日本法人などにユーザーからの問い合わせが殺到したためだ。
MSは2003年まで欠陥が見つかるごとに修正プログラムを随時配布していたが、「その都度対応することは、ユーザーにとっても煩わしい」（広報担当者）との理由から、毎月中旬にまとめての定例配布に切り替え、緊急配布は年数回にとどめている。
MSによると、現時点で具体的な被害報告はない。ただ、欠陥が分かったのが01年から使われている「IE6」から最新の「IE11」と広範囲に及び、基本ソフト（OS）「ウィンドウズ」搭載パソコンの大半に関係するためユーザーの間に不安が広がった。
米セキュリティーソフト大手シマンテックによると、サイバー攻撃の手口は年々巧妙化し、世界で13年に発生した個人情報流出被害は5億5200万件以上となった。今回の欠陥に伴い、ユーザーが他社製閲覧ソフトに乗り換える動きもMSの緊急対応につながったとみられるが、「他社ソフトの方が安全というわけでもない」（パソコン業界関係者）との指摘もある。　

「IEが危険」でGoogleを使う人、ネットをやめる人など誤解が蔓延中
http://internet.watch.impress.co.jp/docs/yajiuma/20140502_646823.html    Impress Watch
ここのところInternet Explorer（IE）の脆弱性にまつわる問題が大きくクローズアップされている。なかでもIE以外のWebブラウザーは動作保証していない社内システムを使っている企業では大きな混乱も生じていると聞く。それとはまったく別に、そもそも「IE」が何を指すのかわかっていない人たちの間で、勘違いによる混乱が発生しているようだ。たとえば、「IEが危険＝Yahooが危険」と勘違いして検索にGoogleを使い始める人、「IE＝インターネットそのもの」だと考えてネット接続そのものを控える人など、さまざまな誤解の例がTwitterなどで報告されている。今回のゼロデイ脆弱性の報道の中では、当初「エクスプローラー使うな」という誤解を招く省略をした見出しを付けて後に訂正を行ったニュースサイトもあり誤解を助長した可能性もあるが、IEが何かを正しく理解していない人は意外に多くいるようだ。
◇深刻な脆弱性が見つかったInternet Explorer（IE6〜11）を巡り全国各地の社内がコントでカオス（市況かぶ全力２階建）
    http://kabumatome.doorblog.jp/archives/65790944.html
◇【ＩＥがやばい！】その前にＩＥが何か理解していない人が多すぎるｗｗｗ【上司がやばい】（ぶる速-VIP） 
   http://burusoku-vip.com/archives/1719038.html
◇IE6〜11に影響のあるゼロデイ脆弱性、すでに標的型攻撃も確認（INTERNET Watch） 
   http://internet.watch.impress.co.jp/docs/news/20140428_646441.html





RAT機能と4種類のDDoS攻撃が可能なクライムウェアキットに関するレポート（アカマイ）
http://scan.netsecurity.ne.jp/article/2014/05/02/34105.html    ScanNetSecurity
アカマイ・テクノロジーズ合同会社（アカマイ）は5月1日、同社のProlexic Security Engineering ＆ Response Team（PLXsert）を通して「、Storm Network Stress Testerクライムウェアキットに関するサイバーセキュリティThreat Advisory（脅威アドバイザリ）」を発行したと発表した。このクライムウェアキットは、Windows XPおよびそれ以降のPCに感染する。
PCが感染すると、このツールがリモート管理（RAT）能力を確立し、ファイルのアップロードとダウンロードを可能にすることに加え、一回の攻撃で最高12MbpsのDDoS攻撃トラフィックを引き起こすことができ、同時に4種類のDDoS攻撃を引き起こすことが可能になる。またこのツールは、中国のWindows XPを感染させてリモートコントロールを可能にするためにカスタムデザインされたようだという。レポートでは、ツールの分析結果とサイバーセキュリティの詳細情報などを掲載している。
アカマイ　　アカマイ、Storm Network Stress Testerクライムウェアキットによるセキュリティの脅威に警鐘を鳴らすPLXsert Advisoryを発行
http://www.akamai.co.jp/enja/html/about/press/releases/2014/press_jp.html?pr=050114

「Google 検索アプライアンス」にXSSの脆弱性（JVN）
http://scan.netsecurity.ne.jp/article/2014/05/02/34104.html    ScanNetSecurity
独立行政法人 情報処理推進機構（IPA）および一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）は5月2日、Googleが提供する「Google 検索アプライアンス」にクロスサイトスクリプティング（XSS）の脆弱性（CVE-2014-0362）が存在すると「Japan Vulnerability Notes（JVN）」で発表した。
「Google 検索アプライアンス 7.2.0.G.114 より前のバージョン」および「Google 検索アプライアンス 7.0.14.G.216 より前のバージョン」には、ダイナミック ナビゲーション機能に起因するXSSの脆弱性が存在する。この脆弱性が悪用されると、ユーザのWebブラウザ上で任意のスクリプトを実行される可能性がある。JVNでは、開発者が提供する情報を元に最新版へアップデートするよう呼びかけている。
JVN　　Google 検索アプライアンス ダイナミック ナビゲーションにクロスサイトスクリプティングの脆弱性
http://jvn.jp/vu/JVNVU94205147/

なりすましログインで「ソニーポイント」75万円相当が不正交換される被害
http://internet.watch.impress.co.jp/docs/news/20140502_646882.html    Impress Watch
ソニーマーケティング株式会社は2日、「ソニーポイント」サービスにおいて、第三者のメールアドレスとパスワートを用いた“なりすまし”による不正ログインが発生したことを明らかにした。ソニーポイントを「プレイステーション ストアチケット」「mora music card ID」に交換される被害があったことが分かっているという。
不正ログイン試行があったのは4月19日から29日までで、273件のメールアドレスでポイントの不正交換が行われた可能性があるという。不正交換が行われたと思われるポイント数は75万3000ポイント（約75万3000円相当）に上る。
ソニーマーケティングでは、不正ログイン試行を遮断するとともに、不正交換に利用された可能性のあるメールアドレスによるログインを遮断。該当ユーザーに連絡の上、パスワードの変更を求めている。不正交換されたユーザーのポイントは後日返却するとしている。
なお、メールアドレスとパスワードを含む個人情報がソニーマーケティングから漏えいした証跡は確認されていないとしてる。
また、ソニーマーケティングでは、今回のなりすまし不正ログインの対象になったユーザー以外に対しても定期的なパスワード変更を求めている。
プレスリリース   ソニーポイントサービス不正ログインに関するお知らせとパスワード変更のお願い
http://www.sony.jp/info/pw_management2.html






法的な通知を装うSMSスパムが韓国で急増--モバイルセキュリティレビュー（Dr.WEB）
http://scan.netsecurity.ne.jp/article/2014/05/02/34106.html    ScanNetSecurity
株式会社Doctor Web Pacific（Dr.WEB）は5月1日、「2014年第1四半期Doctor Webモバイルセキュリティレビュー」を公開した。Androidトロイの木馬の数は過去数年の間に急激に増加し、その拡散地域は拡大を続けている。最近では特に韓国が標的とされ、SMSスパムを利用してマルウェアが拡散されている。韓国で発生した、マルウェアのダウンロードリンクを含んだ望まないSMSメッセージの拡散は、2014年第1四半期には430件となり、前四半期の338件から27.22％増加した。
スパムメッセージのトピックは、ユーザの関心を引こうとするものが多く、特に車のスピード違反、違法ダウンロード、裁判所命令、警察調書、検察側の要請に関する通知など、法的な通知を装うものが全体の36.05％を占めた。また偽の配達状況通知も31.86％と目立っている。リンク先はURL短縮サービスのアドレスを使用しており、アドレスの隠蔽と読まれやすさを狙っている。リンク先のサイトは、3月には正規のオンラインサービスがほぼすべてとなっている。レポートではこのほか、Androidマルウェアの状況についてもまとめられている。
Dr.WEB   2014年第1四半期Doctor Webモバイルセキュリティレビュー：韓国で拡散されたSMSスパムとAndroidトロイの木馬
http://news.drweb.co.jp/show/?i=729&lng=ja&c=2

2014年05月01日





「インターネット エクスプローラを使うな」ってどういうこと？　ワタシは今どうすべきか
http://bizmakoto.jp/makoto/articles/1405/01/news030.html　　Business Media 誠
「え？　ワタシも対象？」──米国国土安全保障省が発したマイクロソフトのWebブラウザ「Internet Explorer」利用における警告で、全世界のインターネットユーザーが揺れている。これはつまりどういうことか。具体的に何をすればいいかを解説する。
「え？　ワタシも対象？」──全世界のインターネットユーザーが震えた。
米国国土安全保障省（DHS）傘下でサイバーセキュリティに関する調査を行うUS-CERTが4月28日（米国時間）、マイクロソフトのWebブラウザ「Internet Explorer（インターネット エクスプローラ／IE）」のバージョン6から同11（現最新版）に存在するセキュリティ脆弱（ぜいじゃく）性について報告。「該当する製品を利用しているユーザーに対して対応策を講じる」よう、緊急の注意喚起を行ったためだ。
Internet Explorerは、Windows搭載PCのほぼすべてにインストールされ、多くの人が使うWebブラウザ（インターネットのWebサイト表示のためのソフトウェア）だ。PCで利用するデスクトップブラウザのシェアは約60％（調査会社 Net Applications調べ）。2位のGoogle Chrome（約17％）を大きく離しており、それだけ実利用者は膨大だ。例えば前述した「Chromeって何？」と思った一般PC利用者やオフィスユーザーの大半は、Internet Explorerの利用者と思われる。
今回の問題は、2014年4月にサポートを終了したWindows XP時代にリリースされたバージョン6から、Windows 8.1にインストールされる最新版のバージョン11までが対象、つまり、現在稼働する「ほぼすべてのIE」に当てはまることが全世界的な騒動となった理由の1つだ。
このため、一部メディアでは「インターネット エクスプローラを使うな。ハッカー攻撃の危険」と危険性をあおる報道も見受けられる。が、こうした攻撃自体はこれまで過去にも散見されるもので、適切な対応を都度とっていたならば大きな問題に発展する可能性は低い。
ただ、今回は対象となる製品（バージョン）に、つい最近、2014年4月9日（日本時間）にサポートを終えたばかりの「Windows XPとInternet Explorer 6」が含まれていた（関連記事参照）。「ほら出たか。どうするんだ」とばかりに、Microsoftやユーザーが「サポートがすでに終了したOSと今後どう向き合っていくか」の試金石になるとして大きな注目を集めたともいえる。
続いて、米国国土安全保障省が警告した内容の意味をきちんと理解しよう。
問題の脆弱性は「Internet Explorerの
“Use After Free”脆弱性に関するガイダンス」という名称でUS-CERTのWebサイトに短い文章が公開されている。
http://www.us-cert.gov/ncas/current-activity/2014/04/28/Microsoft-Internet-Explorer-Use-After-Free-Vulnerability-Being　：　Microsoft Internet Explorer Use-After-Free Vulnerability Guidance
内容は、Internet Explorer（IE） 6〜11までのバージョンすべてに存在する問題で、一種のプログラム上の不具合を突き、攻撃者が外部から悪意ある別のプログラムを実行できることが分かったので注意せよ、というものだ。
具体的には、攻撃者が設置した悪意のあるプログラムを置いたWebページへユーザーが知らずにIEでアクセスすると、悪意あるプログラムにより個人情報を抜き取られる、あるいは自身のコンピュータが攻撃の踏み台に利用されるといった可能性がある。
ただ、US-CERT自体は「IEの利用を即刻中止せよ」とまでは訴えてはおらず、もちろん「インターネットを使うな」でもない。あくまでMicrosoftが公開する
「マイクロソフト セキュリティ アドバイザリ 2963983」
https://technet.microsoft.com/ja-JP/jp-ja/library/security/2963983　：　マイクロソフト セキュリティ アドバイザリ 2963983 Internet Explorer の脆弱性により、リモートでコードが実行される
の指示に従って適切に対処するようにという表現となっている。このアドバイザリでの対応が難しい（サポートをすでに終えた）「Windows XP／Internet Explorer 6」を利用するケースにも触れており、この場合は別のWebブラウザの利用を推奨している。
「ゼロデイ攻撃」に注意　ユーザーはどう対策するべきか
現在Microsoftでは問題の検証中であり、おそらくは2014年5月上旬に配布されるとみられる月例のセキュリティアップデート、もしくは（今回のように大事になったことから）緊急アップデートの形で該当製品を利用するユーザー（つまり、Windows搭載PC利用者のほぼ全員）にWindows Updateを通じて対策ソフトウェアを配布するとみられる。
「対策を行っていないため、すぐに自身のマシンが攻撃される」というわけではない。ただ、この脆弱（ぜいじゃく）性が悪い意味でも周知されてしまったことも事実。すぐさま悪意あるプログラムをWebサイトに仕掛けた攻撃者も相当数いるとみられ、当然ながら注意は必要だ。この意味で、インターネットを使うなとは言えないまでも、IE以外の他のブラウザを使うことはリスク回避の有効な手段になる。
Microsoftが対応アップデートの提供をはじめるまで、1〜2週間ほどのタイムラグがあると予測される。不用意に怪しげなサイトにアクセスしたりせず、Microsoftが提示する一時的な対策を行ったり、あるいはIE以外のブラウザを利用するなど、必要最低限の対策はしておくべきだ。メールやSNSのWebリンクなどは不用意に踏んでしまいがちなので特に注意したい。
なお、このような形でコンピュータやソフトウェアの脆弱性が明らかになってから、実際に対策が行われるまでのわずかな時間を狙って攻撃する手法のことを「ゼロデイ攻撃（Zero Day Attack）」などと呼ばれている。Microsoftは「次の3つの対策」を行うことを推奨している。あくまでも攻撃に対する緩衝となるだけだが、対策をとる姿勢こそが大事だ。
Webブラウザのセキュリティ設定を強化する
IEの「ツール」→「インターネットオプション」より、セキュリティゾーン設定をすべて「高」にする。ただしWebサイトの機能を一部無効にしてしまうため、普段の利用には向かなくなる。
64ビット版のWindows上でIE10またはIE11を利用するユーザーは「拡張保護モード」を使うことで直接攻撃を防げる。設定方法は同じく「インターネットオプション」→「セキュリティ」タブにある「拡張保護モードを有効にする」と「拡張保護モードで64ビットプロセッサを有効にする」にチェックを入れる（後者はIE11のみで出現する）。設定後、再起動することを忘れないように。
セキュリティ対策ツール（EMET）を利用する
攻撃者にマシンへのアクセス権が取得されるのを防ぐべく開発された、Microsoft謹製の脆弱性緩和ツール
「Enhanced Mitigation Experience Toolkit（EMET）」
http://technet.microsoft.com/ja-JP/security/jj653751　：　Enhanced Mitigation Experience Toolkit
がある。
表示言語は英語のみだが、誰でも無料で利用できる。インストール後は一部アプリケーションの機能が制限されることになるため、企業などでIEをベースに稼働する業務システムを使っている場合は不具合が出る可能性がある。こちらは注意してほしい。
問題となっている一部プログラムをIEから切り離す
脆弱性の原因となっているのは、IEで使われている「vgx.dll」というプログラムである。これの利用を解除することで直接攻撃を防げる。ただし、このプログラムはWebブラウザにおける描画処理の一部を担っているので、Webページによっては表示に不具合が出る可能性がある（また、解除／復旧の手順が難しいので、一般的にはお勧めできない）。
筆者としては、緊急対策として「Webブラウザのセキュリティ設定を強化する」の方法を勧めたい。残り2つの対策は一般ユーザーにはやや難しい。
やはり、他社のWebブラウザを使うのが手軽かもしれない。他社のWebブラウザには、Google Chrome、Firefox、Operaといった選択肢がある。
「業務ツールとしてIEを利用しなければならない」というビジネス層には厳しいが、どう対処するかについて、たいていの場合は社内のIT担当者よりすでに告知されていると思うのでそちらに従ってほしい。
「Windows XP」に救いの手はあるのか？
Windows Vista／7／8（8.1）ユーザーには、しばらく待てばMicrosoftが対策アップデートを提供してくれるはず。前述した「ゼロデイ攻撃」に気をつけて、最低限の防御さえ怠らなければ、被害のほとんどは防ぐことが可能だろう。
だがWindows XPは別だ。対策する術がない。他社Webブラウザの利用も一時しのぎにしかならず、もしOSそのものを攻撃できる脆弱性が発見された場合は防げない。Windows XPのサポート終了が話題になった、見方を変えると“こんなに対策していない人がいる、カモがたくさんいる”──と悪意ある人に気がつかせてしまった。対策される見込みのない脆弱性は、今後も発見されていくことだろう。これが「OSサポート終了」の意味するところであり、現在もサポートが継続されているより新しいOSへの乗り換えを真剣に検討しなければならない。
致命的な脆弱性は今回のケースに限らず、今後も定期的に出てくるはず。次はさらに危険度が増すかもしれない。この騒動の最大のポイントは、この「Windows XPの今後の扱い」にある。







「IEの脆弱性」が騒がれてるけどどうしたらいいの？
http://nlab.itmedia.co.jp/nl/articles/1405/01/news105.html    ITmedia
「IEが使用禁止になった」――Webブラウザ「Internet Explorer（IE）」で脆弱（ぜいじゃく）性が発見されたというニュースを受けて、
会社からこのような指示が出たというツイートがあちこちで投稿されて話題になっています。
http://matome.naver.jp/odai/2139884870442181701　：　あなたの会社は大丈夫？IE問題で上司の脆弱性まで発覚中！
「IE禁止令」にとどまらず、インターネットを遮断した会社もあるといいます。また会社によってはIEでしか利用できないシステムを使っているところもあり、IE禁止に戸惑う声も。
今回発見された脆弱性はIEのバージョン6〜11に影響します。この脆弱性を悪用して細工をしたWebページやHTMLメールにIEでアクセスしてしまうと、個人情報を盗まれたり、PCを乗っ取られたりする恐れがあります。この脆弱性を悪用した攻撃が確認されていますが、問題を修正するプログラムはまだ公開されていません。
では修正プログラムが公開されるまでの間、どんな対策を取ったらいいのでしょうか。@ITでセキュリティ記事を執筆するソフトバンク・テクノロジー株式会社の辻伸弘さんにうかがいました。
辻さんは一番手軽な対策として、ChromeやFirefoxなどほかのブラウザを使うことを勧めています。マイクロソフトは脆弱性緩和ツール「Enhanced Mitigation Experience Toolkit」や拡張保護モードを回避策として推奨していますが、こちらは少し難しく、ITにあまり詳しくない方には別のブラウザを使うことがおすすめです。IEでしか使えないシステムを社内で使っている会社もあると思いますが、インターネットから遮断された社内のシステムであれば大丈夫と考えてよいとのこと。
気をつけるべきなのは、既定のブラウザがIEになっていると、メールやチャットで送られてきたURLをクリックするとIEで開かれてしまうということ。既定のブラウザの設定も変えることをお忘れなく。
またほかのブラウザをダウンロードする際は、公式サイトからダウンロードすること。
最近は偽のサイトに誘導する検索広告も発見されていますので、
http://nlab.itmedia.co.jp/nl/articles/1402/20/news109.html　：　検索サイトに京都銀行装う偽サイトの広告　公式サイトからの利用呼びかけ　 2014年02月20日
検索サイトの広告表示ではなく公式サイトにアクセスするようご注意を。社内ネットワークの管理を行っている方々はユーザーに対して、ダウンロード先を周知したり、安全なインストーラを配布するという手段も有効でしょう。
IEでは過去にも類似の問題が発見されていますが、今回はテレビや新聞も取り上げてかなり大きな騒ぎになっています。辻さんは、Windows XPのサポートが終わった後で発見された脆弱性であること、
アメリカの国土安全保障省が警告を出したことで注目されたのだろうとしています。
http://www.us-cert.gov/ncas/current-activity/2014/04/28/Microsoft-Internet-Explorer-Use-After-Free-Vulnerability-Being　：　Microsoft Internet Explorer Use-After-Free Vulnerability Guidance
ただ、同省はIEを使ってはいけないと言っているわけではなく、「マイクロソフトの推奨する回避策を適用する。Window XPなどそれができない場合はほかのブラウザの導入を検討する」ことを推奨していると辻さんは指摘しています。それが一部で「国土安全保障省がIEを使わないよう呼びかけた」と報じられ、マスメディアの影響力もあって「IE禁止」という言葉が一人歩きしていったようです。
今回の件で、IEからブラウザを乗り換えたという人もいるでしょう。しかし、それで完全に安全になるわけではありません。どのブラウザでも脆弱性は発見されていますし（もちろん開発元は問題が発見されると修正に取り組んでいますが）、またサポート切れのWindow XPではIE以外のブラウザを使っていても、OSそのものの脆弱性が見つかる可能性があります。ブラウザに限らず、アップデートをインストールするなど、ユーザーが自分の使っている環境をメンテナンスすることも重要です。
5月2日追記：
脆弱性を修正するセキュリティプログラムが更新されました→続報：IEの脆弱性を修正するセキュリティ更新プログラム公開　Window XP向けにも
マイクロソフト セキュリティ アドバイザリ 2963983　　Internet Explorer の脆弱性により、リモートでコードが実行される
https://technet.microsoft.com/library/security/2963983
Microsoft Internet Explorer Use-After-Free Vulnerability Guidance　　Microsoft Internet Explorer Use-After-Free Vulnerability Guidance
http://www.us-cert.gov/ncas/current-activity/2014/04/28/Microsoft-Internet-Explorer-Use-After-Free-Vulnerability-Being







「交通テロ」が現実に？　制御装置の脆弱性突く攻撃を実証
http://www.itmedia.co.jp/news/articles/1405/01/news028.html    ITmedia
セキュリティ企業IOActiveの研究者が4月30日、世界の主要都市で交通管制システムに使われている装置のハッキングに成功したと発表した。装置の脆弱性を突いて攻撃を仕掛ければ、テロリストが信号機を操る映画「ダイ・ハード4」さながらに、大都市の交通を混乱に陥れることも可能だとしている。
IOActiveのブログによると、問題の装置は米国や中国など世界10カ国で採用され、米首都ワシントンやニューヨーク、英ロンドンなどの主要都市の交通システムに使われているという。
研究者はこの装置に複数の脆弱性を発見したと報告。悪用すれば装置を完全に制御して、交通管制システムに不正なデータを送信できてしまうとしている。信号機を操作したり、電光掲示板に表示される制限速度を操作したりして、交通渋滞を引き起こしたり高速道路などの交通を妨害することも可能だとした。
攻撃は100ドル足らずのハードウェアを使って仕掛けることができ、市販の無人機を使って上空から攻撃する実験にも成功したと説明。自己増殖型のワームを作成して周辺一帯の装置に感染を広げることも可能だとしている。実際にニューヨークやワシントンに出かけ、現実に配備されたシステムに対してこの攻撃が通用することを確認したという。
研究者によると、この問題は米セキュリティ機関のICS-CERTを通じて2013年9月にベンダーに報告した。しかしベンダー側はこれをそれほど重大な問題とはみなしておらず、脆弱性として報告された中の1件については「仕様」だと説明しているという。
そこで研究者はこの問題の重大性を認識してもらうために、公表に踏み切ったと説明する。「脆弱性のある装置がハッキングされたとしても、そのことを検出するのは極めて難しく、膨大なコストがかかる。既にハッキングされた装置は存在していて、誰も知らないだけかもしれない」とも警告している。
IOActiveブログ   Hacking US (and UK, Australia, France, etc.) Traffic Control Systems
http://blog.ioactive.com/2014/04/hacking-us-and-uk-australia-france-etc.html

ランサムウェア機能が追加された古い不正プログラムが活発化（トレンドマイクロ）
http://scan.netsecurity.ne.jp/article/2014/05/01/34096.html    ScanNetSecurity
トレンドマイクロ株式会社は4月30日、古い情報収集型不正プログラム「TSPY_USTEAL」ファミリが、新たな機能を追加して再び活動し始めたと同社ブログで発表した。この亜種は2009年から感染が確認されており、ブラウザに保存された PC情報やパスワードなどの重要な情報を収集することで知られている。「TSPY_USTEAL.USRJ」として検出される新しい亜種は、感染したPC上にランサムウェア（「TROJ_RANSOM.SMAR」として検出）を作成する。これらのランサムウェアファイルは、新たなツールキットビルダで作成されたもので、これにより攻撃者は暗号化するファイルの種類から表示される脅迫文まで、ランサムウェアの不正活動を完全に管理することができる。
ランサムウェアは、ユーザのPCに自身のコピーを作成し、特定のファイルを同一のアイコンと拡張子名で暗号化する。ユーザが暗号化したファイルにアクセスすると、脅迫状およびパスワードを入手するための連絡先が表示される。脅迫状はさらにパスワードの入力を求めるメッセージを表示し、パスワードが正しければ復号され、暗号化されたファイルは元の形式に戻る。その後、ランサムウェアは自身を削除する。一方、誤ったパスワードが入力され、あらかじめ設定された回数に達するとエラーメッセージを表示し、まだ暗号化されていないファイルを検索し暗号化する。
情報収集機能とランサムウェア機能が組み合わされたこの亜種は、ユーザからできるだけ多くの金銭を収集したいと考えていたと思われる。同社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」からのフィードバックによると、「TROJ_RANSOM.SMAR」は4月中旬に米国で被害が急増した。
トレンドマイクロ：ブログ　　古い情報収集型不正プログラムが再登場、ランサムウェアに誘導
http://blog.trendmicro.co.jp/archives/9057






SNS上の広告や勧誘に注意　高額請求後に購入サイトが見つからないなど、トラブル増加中
http://nlab.itmedia.co.jp/nl/articles/1405/01/news049.html    ITmedia
広告から商品申し込み→高額請求→広告が消えていて元のサイトにたどりつけない──こんなケースが出てきています。
国民生活センターが、SNSに関連した広告・勧誘のトラブルが増加しているとして、注意喚起しています。同センターに対する相談件数が年々増加傾向にあり、2013年度は4500件以上の相談が寄せられています。
同センターがトラブルの事例の1つとして挙げるのが、SNS広告をきっかけにした高額請求です。相談者らは美容関連の広告をクリックした結果、「1回300円でダイエット用サプリメントのお試しができる」「しわ取りクリームのサンプルが400円で買える」といったふれこみでクレジットカード情報や連絡先の入力を促されました。しかし、決済すると定期購入に申し込んだことになり、数万円の高額請求がくる事態に。クレームを入れようにも、購入のきっかけとなった広告が消えていて、申し込んだサイトにたどりつけない──こんなトラブルが起きているそうです。
また、SNS上の知り合いに絡んだ勧誘トラブルも起きています。「友達になってほしい」とSNS上で友達申請された相手から出会い系サイトへの登録を求められたり、同級生からSNS上で連絡があり、会ってみるとマルチ商法の勧誘だった、といった相談も寄せられています。
こうしたトラブルを避けるために、（1）広告リンク先の通販サイトの内容をよく確かめ、内容を保存したり印刷したりしておく、（2）SNSの個人情報利用ポリシーをよく確認し、広告の表示制限などが可能な場合は利用を検討する、（3）SNS上で知り合った相手の描き込みやプロフィール等をうのみにしない──といったアドバイスを同センターは行っています。またトラブルに遭遇した際は消費生活センターに相談するよう呼びかけています。
SNS関連の相談は、新生活シーズンである4〜6月には特に多くの相談が寄せられるとのこと。読者のみなさんもご注意ください。
国民生活センター   SNSの思わぬ落とし穴にご注意！−消費者トラブルのきっかけは、SNSの広告や知人から？
http://www.kokusen.go.jp/news/data/n-20140424_1.html

紛失・盗難対策アプリ悪用でスマホを“のぞき見”、IPAが対策を解説
http://k-tai.impress.co.jp/docs/news/20140501_646795.html    Impress Watch
情報処理推進機構（IPA）は、スマートフォンの紛失・盗難対策アプリを悪用し、元交際相手のスマートフォンに無断でアプリをインストールして情報を覗き見た容疑で4月に男性が逮捕された事件を受けて、月次の呼びかけを行うコーナーで対策を解説している。
事件の容疑は、元交際相手のスマートフォンに無断で紛失・盗難対策アプリをインストールし、その機能を悪用してプライバシーに関連した情報を不正に取得したというもの。アプリは公式マーケット上で公開されているもので、紛失・盗難対策として遠隔操作による端末位置情報の取得のほか、周囲の音声録音、写真撮影などの機能も搭載されていた。
またIPAでは、アプリだけでなく、GoogleアカウントやApple IDなど、OSに関連したアカウントの設定だけでも紛失・盗難対策機能は利用できるとし、悪用されないように、IDとパスワードの取り扱いに注意するよう呼びかけている。
IPAでは対策として、他人に操作させないこと、画面ロックを設定しパスワードは複雑にしておくこと、ロック解除時にパスワードを覗かれないよう周囲に注意すること、GoogleアカウントやApple IDなどのアカウントを適切に管理することなどを挙げている。画面ロックの方法については、設定までの手順も解説されている。
2014年5月の呼びかけ「あなたのスマートフォン、のぞかれていませんか？」
http://www.ipa.go.jp/security/txt/2014/05outline.html

2014年04月30日




IEのゼロデイ脆弱性、攻撃回避策の手順をマイクロソフトが説明
http://internet.watch.impress.co.jp/docs/news/20140430_646651.html    Impress Watch
日本マイクロソフト株式会社は30日、Internet Explorer（IE）に発見されたゼロデイ脆弱性について、OS別の攻撃回避策を公式ブログに掲載した。
IEに対しては、現在サポートされているすべてのバージョン（IE6〜11）に影響のある脆弱性が発見され、既にこの脆弱性を悪用する標的型攻撃の発生も確認されている。
マイクロソフトでは、現時点でこの脆弱性に対するセキュリティ更新プログラムを提供していない。このため、攻撃の回避策としては、FirefoxやGoogle Chromeなど、IE以外のブラウザーを使うことが挙げられる。
IEを使用する場合の回避策としては、マイクロソフトでは「VMLの無効化」「拡張保護モードの有効化」「EMETの導入」の3種類を挙げ、個人ユーザーと企業ユーザーの場合、使用しているOSの種類別にそれぞれ推奨する回避策を説明している。
個人ユーザーで、Windows VistaおよびWindows 7以降（32ビット版）の場合
個人ユーザーで、Windows Vistaおよび32ビット版のWindows 7以降の場合は、「VMLの無効化」を行うことを推奨している。
VMLの無効化手順としては、まずコマンドプロンプトを管理者権限で開く必要がある。Windows 7/Vistaの場合には、「スタートボタン」→「すべてのプログラム」→「アクセサリ」の「コマンドプロンプト」を右クリックして、「管理者として実行」をクリック。Windows 8.1/8の場合には、デスクトップで「スタートボタン」を右クリックして「コマンドプロンプト（管理者）」をクリックする。
コマンドプロンプトが管理者権限で開かれたら、「"%SystemRoot%\System32\regsvr32.exe" -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll"」を入力し、エンターキーを押して実行する。64ビット版OSの場合は、「"%SystemRoot%\System32\regsvr32.exe" -u "%CommonProgramFiles(x86)%\Microsoft Shared\VGX\vgx.dll"」も実行する。ダイイアログボックスが表示され、無効化が成功したことが表示されれば「OK」を押してダイアログボックスを閉じる。その後、IEを再起動する。
個人ユーザーで、Windows 7以降（64ビット版）の場合
個人ユーザーで、Windows 7以降の64ビット版の場合は、IE10以降を使用するとともに、「拡張保護モードの有効化」を行うことを推奨している。
拡張保護モードの有効化手順は、IEを起動して「ツール」ボタン（歯車マーク）から「インターネットオプション」を選択し、「詳細設定」タブの設定項目の中から「拡張保護モードを有効にする」および「拡張保護モードで64ビットプロセッサを有効にする」（IE11で64ビット版の場合）のチェックをオンにする。
「OK」をクリックしてインターネットオプションを閉じ、OSを再起動することで設定が完了する。
企業ユーザーの場合
企業ユーザーの場合には、Windows VistaおよびWindows 7以降の32ビット版については、脆弱性緩和ツールのEMET（Enhanced Mitigation Experience Toolkit）を導入することが最も効果が高い対策だとしている。EMETの導入が難しい場合には、個人向けの回避策と同様に、VMLの無効化を推奨している。
Windows 7以降の64ビット版の場合は、個人向けの回避策と同様に、拡張保護モードを有効にすることを推奨している。
日本のセキュリティチームブログの該当記事   [回避策まとめ] セキュリティ アドバイザリ 2963983 – Internet Explorer の脆弱性により、リモートでコードが実行される
http://blogs.technet.com/b/jpsecurity/archive/2014/04/30/workarounds-for-security-advisory-2963983.aspx

マイクロソフト｢IE｣の脆弱性に世界震撼
http://toyokeizai.net/articles/-/36708    東洋経済オンライン
利用シェア60％の閲覧ソフトが直面した危機
"インターネットへの入り口"が大きく揺れている。米マイクロソフト社製ウェブブラウザInternet Explorer（IE）に発覚したセキュリティホール（安全性に関する脆弱性の問題）が波紋を拡げているのだ。
同社は4月28日、「Internet Explorer の脆弱性により、リモートでコードが実行される」というセキュリティ警告を発表。このセキュリティホールを利用すると、第三者がIEでアクセスしたコンピュータ上でプログラムコードを動かしたり、意図しないウェブコンテンツへと誘導することが可能になる。IEのバージョン6以降、最新版のバージョン11まで、すなわち現在稼働している、ほぼ全てのIEで確認されている。
米国土安全保障省（DFS）のコンピュータ緊急対応チームは、今回の問題がコンピュータ内の使用済みメモリ領域を自由に使えてしまうなどの問題、IE6〜11への攻撃などを確認した上で、「代替策として有効な対応策がマイクロソフトから発表されるまでは、IE以外の代替ブラウザを使用することを推奨する」と発表した。
DFSのアドバイスにあるように、もっとも有効かつ確実な対応策は、IE以外のブラウザを使用すること。グーグルのChrome、モジラファウンデーションのFirefox、オペラソフトウェアのOperaなどが代表的な例だ。しかし、一部のブラウザソフトは独自のユーザーインターフェイスを提供するだけで、実際のブラウザアクセスにはIEを用いている場合もあるので、注意が必要だ。アプリケーション内から自動的にIEを呼び出している例もあるので、チェックしなければならない。
最善の方法は、IEを使わないこと。しかし、現実問題としてIEでしか正常に動作しないアプリケーションを抱えている企業も多いはずだ。そこで、代替ブラウザが活用できる範囲、かつイントラネットではなく外部へ接続を行う場合には、可能な限り代替のブラウザを使う、というのが現実解だ。IEを使用する場合には、問題に対応したIEを出荷するまでに有効な緊急対応策を、マイクロソフト自身が発表している。
IEを使い続けるためには
ではIEを使い続けるためには、どうすればいいか。
もっとも推奨したいのは、EMET(Enhanced Mitigation Experience Toolkit)4.1のインストールである。EMETは未知の脆弱性を含め、インターネットアクセスに伴う危険性を緩和するためのツールだ。EMETは現時点で英語版しか用意されていないが、日本語環境でも問題なく使用できる。EMETの日本語関連情報、ダウンロード方法などはここにまとめられている。
EMETはIEを通じた攻撃を直接防ぐのではなく、攻撃によって生じる”任意のプログラムコードの実行”を妨げる緩和ツールだ。したがって、EMETをインストールすることで動かなくなるアプリケーションが出てくる可能性もあるが、一般的なアプリケーションの動作範囲ではほとんどは問題にならない。
もしEMETで必要なアプリケーションが動作しない場合は、次にマイクロソフトが推奨しているセキュリティ設定の変更で対応することもできる。なお、EMETのインストールは推奨設定のままで今回の脆弱性を防ぐことは可能で、他の作業は必要ない。上記のDFSコンピュータ緊急対応チームでも、このツールのインストールを推奨している。
ただし、注意点がある。Windows XPに対しては今回の問題に対するセキュリティ対策が提供されない。この際、サポート期限が切れたXPを卒業し、新しいOSへ移行することを真剣に検討するべきだろう。
このほか、IEのセキュリティ設定を「高」にすることで、ActiveXコントロールおよびJavaScriptの動作を抑制することでも対応が可能だ。[インターネット オプション] −[セキュリティ] タブで設定できる 。
しかし、この方法ではこれまで使っていたアプリケーションが動作しなくなる場合も多い。代替ブラウザではなくIEを使用する目的が「IEでしか動作しない社内アプリケーション」などであるなら、セキュリティ設定を「高」に設定した上、「信頼済みサイト」へ必要アプリケーションのURLを登録することで利用できる。
さらに、今回の問題に関連していると考えられる「VGX.DLL」というシステム用ファイルの登録を解除する方法もマイクロソフトは提示している。が、VGX.DLLは一部のアプリケーションが正常に動作をするために必要なファイルでもあるため、将来的に元に戻さなければならないので、手を加えるとのちのち面倒が起きるかもしれない。設定のハードルもやや上がるため、上記二つの対策のうちいずれかを施した後、IEを必ずしも必要としないサイトには代替ブラウザを用いるのが良い。 
なお、今回のようなセキュリティ対策が拡がる前に攻撃が行われることを「ゼロデイアタック」という。今回は攻撃対象がひじょうに多くのバージョンに渡っており、実際に米金融機関への攻撃も確認されるなど波紋が拡がった。IEでしか動作しないアプリケーション、サービスが数多く存在することも、波紋の大きさを拡大する要因になっている。
マイクロソフトへの影響
それであれば、「今後はIEを使わなければいい」という解決策がありえるのだろうか。実は、そうではない。
未知の問題を使ったゼロデイアタックは、IE以外を通しても行われており、IEだけが特別に脆弱性が多いわけではない。言うまでもないことだが、今回紹介したEMETを活用するなどの対策を行い、セキュリティ情報に耳を傾け、自分の使っているブラウザの種類とバージョン名を常に意識することが必要だ。社内での情報共有をしっかり行うことも求められる。
インターネットへアクセスしているブラウザソフトを分析すると、マイクロソフトのIEは60％近いシェアを誇る。2位、3位はFirefoxとChromeが17％前後で横並びとなっており、圧倒的なトップシェアだ。それだけ狙われやすいポジションにあるわけだが、スピーディに脆弱性をふさぐパッチをリリースできれば、マイクロソフトの経営に与える影響は、限定的だ。
マイクロソフトでは2月にサティア・ナデラCEOが就任。新しい経営体制が動き出したばかり。その出ばなをくじくような被害が発生しないことを祈っていることだろう。

「Heartbleed」脆弱性に未対応のWebサイトが10％を切る（トレンドマイクロ）
http://scan.netsecurity.ne.jp/article/2014/04/30/34079.html    ScanNetSecurity
トレンドマイクロ株式会社は4月25日、OpenSSL に存在する脆弱性「Heartbleed」を抱えているWebサイトの件数（4月23日現在）を同社ブログで発表した。これは、Webサイト解析ツールなどを提供する「Alexa」が公開しているトップ100万ドメインを調査したもの。これによると、Heartbleed脆弱性を抱えるWebサイトは3分の2が対応済みとなり、全体平均としては10％以下となった。
この全体平均を超えるトップレベルドメイン（TLD）は、「.BR（ブラジル）」、「.CN（中国）」および「.RU（ロシア）」の3つとなっている。米国の連邦政府機関に割り当てられた「.GOV」は、この脆弱性に対して全件対応済みとなった。「.AU（オーストラリア）」や「.UK（英国）」「.DE（ドイツ）」「.IN（インド）」も、脆弱性を含むWebサイトの割合は全体平均よりもかなり低い値となっている。
トレンドマイクロ：ブログ　　脆弱性「Heartbleed」を抱えるWebサイト、3分の2が対応済み
http://blog.trendmicro.co.jp/archives/9018





「My SoftBank」などに外部漏洩のパスワードで不正アクセス  個人情報の閲覧やコンテンツ購入の可能性
http://internet.watch.impress.co.jp/docs/news/20140430_646621.html    Impress Watch
ソフトバンクモバイルは、ユーザー向けのWebサイト「My SoftBank」に対し、4月14日〜28日にかけて、外部で盗まれたと考えられるIDやパスワードを使用した不正なアクセスがあったと発表した。ユーザーアカウントの724件が悪意のある第三者によって閲覧・操作された可能性があるとして、当該のアカウントに個別に連絡し、パスワードのリセットを実施している。同社のアカウントを対象にした大規模な不正アクセスは2月にも発生しており、同様に344件のアカウントで個人情報閲覧や不正なコンテンツの購入といった被害が報告されている。
ソフトバンクでは、調査により「My SoftBank」で管理しているIDやパスワード、カード情報などの信用情報の漏洩は確認されていないとしている。
一方、外部で漏洩したとみられるIDとパスワードをもとにした不正アクセスにより、724件のアカウントに不正なアクセスが確認されており、第三者に名前、携帯電話番号、固定電話番号、契約内容、利用状況が閲覧された可能性がある。
加えて、2月の不正アクセス被害の時と同様に、一部では「ソフトバンクまとめて支払い」を利用して不正にコンテンツが購入され、ユーザーから身に覚えのない購入について申告があったとしている。
ソフトバンクではさらに監視体制を強化する方針で、検知システム、認証機能の強化も実施するとしている。ユーザー向けには、定期的なパスワードの変更や、利用サイトごとに異なるパスワードの設定を呼びかけている。
プレスリリース   お客さまへのMy SoftBankパスワード管理のお願いと不正アクセスへの対応について
http://www.softbank.jp/corp/group/sbm/news/info/2014/20140430_01/


MySoftbankに不正アクセス最大724件　意図しないコンテンツ購入のおそれ
http://www.itmedia.co.jp/news/articles/1404/30/news134.html    ITmedia
「My SoftBank」がリスト型攻撃を受け、最大724件が不正にログインされた可能性。第三者によってユーザーの氏名や電話番号が閲覧されたり、ユーザーが意図しないコンテンツ購入などが行われた可能性がある。
ソフトバンクモバイルは4月30日、契約者向けサイト「My SoftBank」がリスト型攻撃を受け、最大724件が不正にログインされた可能性があると発表した。第三者によって対象のユーザーの氏名や電話番号が閲覧されたり、意図しないコンテンツ購入などが行われた可能性がある。
4月14日〜28日にかけ、特定のIPアドレスから、外部で盗まれたと思われるIDやパスワードを使い、リスト型攻撃を受けた可能性があるという。第三者に閲覧された恐れがあるのは、ユーザーの氏名、携帯電話番号、固定電話番号、契約内容、利用状況。不正なコンテンツ購入が行われた可能性もある。
クレジットカード番号や銀行口座などの信用情報や住所はマスキングされているため閲覧できないという。また、同社サーバからのMy SoftBankのID・パスワード、信用情報の漏えいは確認していないという。
対象のユーザーには個別に連絡し、My SoftBankのパスワードをリセットする。再発防止策として、不正アクセスの検知システムや認証機能の強化などを実施。万一、同じような事態が判明した場合は、対象の顧客に個別に連絡し、パスワードをリセットするとしている。
ユーザーに対しては、身に覚えのないコンテンツ課金など不自然な点があればカスタマーサポートまで問い合わせるよう依頼。また、定期的なパスワードの変更や、利用サイトごとに複雑なパスワードを設定すること、フィッシングサイトに注意することなどを呼びかけている。
ニュースリリース   お客さまへのMy SoftBankパスワード管理のお願いと不正アクセスへの対応について
http://www.softbank.jp/corp/group/sbm/news/info/2014/20140430_01/





三井住友カードをかたるフィッシングに注意
http://internet.watch.impress.co.jp/docs/news/20140430_646647.html    Impress Watch
三井住友カードをかたるフィッシングの報告を受けているとして、フィッシング対策協議会が30日、緊急情報を出した。同日17時30分現在、誘導先のフィッシングサイトは停止されているというが、似たようなフィッシングサイトが公開される恐れがあると説明。フィッシングサイトでアカウント情報（会員番号、カード有効期限、3桁の番号、生年月日、電話番号など）を入力してしまわないよう注意を呼び掛けている。
今回確認されたフィッシングメールの件名は「三井住友カード【重要】」。本文は、三井住友VISAカードのインターネットサービス「Vpass」のID・パスワードを他のサイトで使い回さないことや、定期的に変更するよう求める内容で、Vpassの偽サイトに誘導する。このほかにも、本文として「VpassID」と3回繰り返し、最後に「Vpass」および偽サイトのURLだけ書かれたパターンもある。
フィッシング対策協議会の緊急情報   [05/01 更新]三井住友カードをかたるフィッシング（2014/04/30）
https://www.antiphishing.jp/news/alert/smbc_card20140430.html

 



＜不正送金事件＞ネット1万3千口座停止…警視庁が要請
http://headlines.yahoo.co.jp/hl?a=20140430-00000040-mai-soci    毎日新聞
インターネットバンキングの不正送金事件に絡み、警視庁は30日、全国の16の金融機関でＩＤやパスワードを盗まれた口座が約1万3000件あることを突き止め、当該口座でのネットバンキングを停止するよう各金融機関に要請したと発表した。対象は三菱東京ＵＦＪ銀行などの3大メガバンクや、ゆうちょ銀行、楽天銀行など。うち250口座で、別口座に預金が移される不正送金被害が確認され、不正アクセス禁止法違反容疑で捜査している。
同庁サイバー犯罪対策課によると、警察が個別の事件捜査の過程で金融機関に口座の利用停止を求めることは日常的に行われているが、これほど多くの口座について一度に要請するのは初めて。
昨年10月、警視庁がサイバー犯罪に関する協定を結んでいる情報セキュリティー会社「トレンドマイクロ」から、不正送金に使用された疑いがあるサーバーが国内にあるとの情報提供を受け、同課が解析していた。その結果、改ざんされた企業や省庁のホームページなどにアクセスしたためにパソコンがウイルス感染し、ＩＤなどが盗まれる被害が約1万3000件の口座で確認された。
警察庁によると、2013年のインターネットバンキングの不正送金被害は1315件、被害総額は約14億円に上り、統計のある11年以降で最悪を記録した。

情報提供のあった標的型攻撃メールのほとんどがアイコンなど偽装（IPA）
http://scan.netsecurity.ne.jp/article/2014/04/30/34081.html    ScanNetSecurity
独立行政法人情報処理推進機構（IPA）は4月25日、2014年第1四半期（1月から3月）における「サイバー情報共有イニシアティブ（J-CSIP）運用状況：」を公開した。J-CSIPは、経済産業省の協力のもと、重工や重電などの重要インフラで利用される機器の製造業者を中心に、情報共有と早期対応の場として発足したもの。同四半期では、化学業界SIGへ新たに1組織が参加して8組織となり、全体での参加組織数は46組織となった。
同四半期、J-CSIP参加組織からIPAに対し、標的型攻撃メールと思われる不審なメール等の情報提供が95件行われ（前四半期は121件）、その情報をもとにIPAからJ-CSIP参加組織への情報共有が40件（同51件）行われた。情報提供95件のうち、標的型攻撃メールとして統計対象としたのは57件（同51件）。メール送信元や不正接続先に使用されるIPアドレスは、アジア諸地域とアメリカに所属するものが多く観測された。メール種別割合では、添付ファイルを開かせることによりウイルス感染を狙うものが多数を占めている。添付ファイルは、本四半期ではほぼ全てが実行ファイルかショートカット（LNK）ファイルであり、利用者の錯誤を狙って開かせる（ダブルクリックさせる）ためのアイコン偽装などの仕掛けが施されていた。
IPA　　サイバー情報共有イニシアティブ（J-CSIP（ジェイシップ））
http://www.ipa.go.jp/security/J-CSIP/index.html




「危険」「PCにエラーがあります」――IT初心者を狙った警告風の広告に注意　被害者急増中
http://nlab.itmedia.co.jp/nl/articles/1404/30/news087.html    ITmedia
国民生活センターへの相談が急増し、同センターが注意喚起。
国民生活センターが、PCに不具合が出たかのように見せかける警告メッセージ風の広告に関して、安易にクリックしたりしないよう注意喚起しています。同センターによると、関連トラブルの相談件数が年々増加しているとのこと。2013年度は、前年度の約4倍となる1505件の相談があったそうです。
みなさんは、Webサイトのバナー広告枠などに「パソコンが脅威にさらされています」「パソコンにエラーがあります」といった警告文のようなメッセージが出たことはありませんか？　セキュリティソフトやPCの性能改善をうたうソフトの広告に、こうしたメッセージがよく見られます。
この手の広告は、警告文で消費者を不安にさせて、ソフトを購入させるのが狙い。ネットやPCにある程度詳しいユーザーなら「物騒な広告だな」といぶかしむだけで済むのですが、そうでないユーザーの中には、自分のPCに問題があると勘違いし、誘導されるままソフトを購入してしまうケースがあるようです。
こうしたトラブルの相談件数は、2012年度は400件だったのが、2013年度は1505件と急増しています。ソフトの購入後に不審さに気づいて解約したくなるケースや、「無料」という案内から安易にソフトをダウンロードしてしまったことで、有料ソフトの購入画面が消せなくなるケース、購入後のやり取りが英語のみで容易に解約できないといったケースなど、さまざまな相談が寄せられているそうです。
同センターではこうした相談増加を受け、（1）警告表示が出ても、信頼できる表示か分からない場合はクリックしない、（2）日本語の窓口の有無なども基準にして、複数のソフトを比較検討する、
（3）情報処理推進機構（IPA）の情報セキュリティ安心相談窓口のホームページで情報収集する、
http://www.ipa.go.jp/security/anshin/　：　情報セキュリティ安心相談窓口
（4）カード番号の入力前に、商品の料金や有効期間を確認する、（5）トラブルがあった場合は消費生活センターに相談することを推奨しています。
国民生活センター   突然現れるパソコンの警告表示をすぐにクリックしないこと！−その表示は、有料ソフトウエアの広告かもしれません−
http://www.kokusen.go.jp/news/data/n-20140424_2.html







2014年04月28日




JPCERT/CC、IPv6セキュリティテスト検証済み製品リストを公開
http://cloud.watch.impress.co.jp/docs/news/20140428_646447.html    Impress Watch
JPCERT/CCは28日、IPv6対応機器のセキュリティ課題の検証結果「IPv6セキュリティテスト検証済み製品リスト 2013年度版」および「IPv6セキュリティテスト手順書 2013年度版（一般公開版）」を公開した。
昨今、ネットワーク機器、インターネット接続サービスの対応が進み、IPv6を利用できる環境が普通のものになりつつある。セキュリティを含めたネットワーク管理の立場からみると、IPv6にはIPv4とは異なる考え方での対応を要する機能が含まれているという。
JPCERT/CCでは、IETF発行のRFCや、Internet draftsで指摘されている既知の問題から、企業がインターネット接続に使用するIPv6対応ネットワーク機器（ルータやL3スイッチなど）において、インターネット経由で攻撃が可能な問題を15項目選定し、テスト項目とその検証手段を記した「IPv6セキュリティテスト手順書」を作成、IPv6対応機器ベンダに検証をお願いした。
その検証結果をリスト化したのが「IPv6セキュリティテスト検証済み製品リスト 2013年度版」で、「IPv6セキュリティテスト手順書 2013年度版（一般公開版）」と併せて、IPv6対応機器の購入を検討中の企業や組織のシステム担当者向けに、機器選定時の参考資料として公開した。
「IPv6セキュリティテスト検証済み製品リスト 2013年度版」では、ブロードコミュニケーションズシステムズ、NECインフロンティア、古河電気工業、日立金属の4社が協力。JPCERT/CCでは、同リストをより充実した内容とするため、引き続き、機器ベンダに協力を呼びかけている。
ダウンロードページ  IPv6セキュリティテスト検証済み製品リスト
https://www.jpcert.or.jp/research/ipv6product_list.html

IE6〜11に影響のあるゼロデイ脆弱性、すでに標的型攻撃も確認
http://internet.watch.impress.co.jp/docs/news/20140428_646441.html    Impress Watch
米Microsoftは26日、Internet Explorer（IE）6〜11に影響のある脆弱性が発見されたとして、セキュリティアドバイザリ「2963983」を公開した。すでにこの脆弱性を悪用する限定的な標的型攻撃も確認されている。
発見された脆弱性「CVE-2014-1776」は、現在サポートされているすべてのIEに影響があり、対象となるOSもサポート中のすべてのWindows（Windows 8.1/8/7/Vista、Windows Server 2012 R2/2012/2008 R2/2008/2003）となっている。また、Windows XPはサポートが終了しているため、影響を受けるOSのリストには挙げられていないが、同様の影響があることが考えられる。
Microsoftでは、現在この問題の調査にあたっており、調査が完了次第、月例または臨時のセキュリティ更新プログラムを提供するとしている。
セキュリティ更新プログラムを提供するまでの対策としては、脆弱性緩和ツール「Enhanced Mitigation Experience Toolkit（EMET）」を利用することや、IE10〜11の場合は拡張保護モードで64ビットプロセッサを有効にすることなどを挙げている。
脆弱性を報告した米FireEyeによると、脆弱性自体はIE6〜11に影響があるが、確認している標的型攻撃ではIE9〜11をターゲットにしているという。また、攻撃はFlash Playerを利用して行われているため、IEでFlash Playerを無効にすることも攻撃の回避策として推奨している。
マイクロソフト セキュリティ アドバイザリ 2963983
https://technet.microsoft.com/ja-jp/library/security/2963983
日本のセキュリティチームブログの該当記事  セキュリティ アドバイザリ 2963983「Internet Explorer の脆弱性により、リモートでコードが実行される」を公開
http://blogs.technet.com/b/jpsecurity/archive/2014/04/28/2963983-internet-explorer.aspx
JPCERT/CCによる注意喚起  2014年4月 Microsoft Internet Explorer の未修正の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140018.htmlFireEye
Blogの該当記事（英文）  New Zero-Day Exploit targeting Internet Explorer Versions 9 through 11 Identified in Targeted Attacks
http://www.fireeye.com/blog/uncategorized/2014/04/new-zero-day-exploit-targeting-internet-explorer-versions-9-through-11-identified-in-targeted-attacks.html

2014年04月25日




サーバーソフトが更新されにくい現状と対策、IPAがレポート公開  8割のWebサイトでサポート切れPHPを使用
http://cloud.watch.impress.co.jp/docs/news/20140425_646176.html    Impress Watch
IPAは25日、脆弱性の届け出を受けたWebサイトで使用されているWebサーバー関連ソフトのバージョンを確認し、その結果を踏まえ、Webサイト運営組織や管理者向けに「サーバソフトウェアが最新版に更新されにくい現状および対策」を公開した。サポート終了後のPHPを使用している割合は80％などの問題提起を行い、その対策として運営管理の体制整備を提案している。
Webサイトは今や事業運営に深く関わり、24時間365日稼働している。仮にWebサイトに情報セキュリティ上の不備があれば、常に被害を受ける可能性があると言える。実際に2013年には、Webサイトが改ざんされる例が7409件も発生した。その中には、悪意ある仕掛けにより、利用者が閲覧しただけでウイルスに感染してしまう事象（ドライブバイダウンロード）もあり、ウイルス感染、Webサイトからの情報漏えいが発生している。この原因として、Webサーバー構築に使用されているソフトウェアが古いバージョンのままで、脆弱性が未修正であったことが挙げられるという。
IPAでは2008年2月から2013年9月の間に脆弱性の届け出があったWebサイトで使用されていたWebサーバー関連ソフトのうち、「PHP」「Apache」「IIS」を対象に届出時点のバージョン調査を実施。その結果、「プログラミング言語処理系のPHPについては、80％でサポートが終了したバージョンが使用されている可能性が高いことが分かった」という。
旧バージョンのままWebサイトを運営し続けるのは、サイバー攻撃の標的とされかねないことから、IPAでは中長期的な視点に立ったWebサイト構築・運営のための組織的な管理のあり方を、IPAテクニカルウォッチ：「サーバソフトウェアが最新版に更新されにくい現状および対策」としてまとめ、Webサイト上で公開した。
運営管理の体制整備において提案しているのは、以下のような手順。
（1）サービスレベル目標の設定：稼働時間の検討、運営機関の決定、想定する障害発生率など。（2）運営体制の整備：決定したサービスレベルに基づき、それを実行するための体制（工数・人材・ノウハウ）を確保する。（3）実務の設計：決定した運営体制を基に、運用チームの編成、手順の標準化・教育、事前のトラブル対策、維持管理のための点検項目の整理など。
旧バージョンが使用され続ける理由には、最新バージョンに移行すると旧バージョンで作成したWebアプリケーションが動かなくなる互換性の問題や、開発時の担当者がすでに不在で対応・運用手順書もなく移行できない、といった工数・人材・技術継承などの問題があるという。
しかし、万が一脆弱性を悪用された場合、事業継続への影響のみならず、利用者にも迷惑が及び、事後対応に相応のコストが発生しかねない。そこで本書ではIPAが実際に運営するWebサイトをケーススタディとして、適切な体制を整えることで問題を事前に防ぐ例も示している。これらも参考に、安全なWebサイトの運営のために中長期的・組織的な管理方法を検討してほしいとしている。
プレスリリース  IPAテクニカルウォッチ「サーバソフトウェアが最新版に更新されにくい現状および対策」の公開
http://www.ipa.go.jp/about/technicalwatch/20140425.htmlIPA
テクニカルウォッチ：「サーバソフトウェアが最新版に更新されにくい現状および対策」
http://www.ipa.go.jp/security/technicalwatch/20140425.html






Heartbleedバグの轍を踏まないために業界が結束  〜Linux Foundation中心に「Core Infrastructure Initiative」を設立
http://internet.watch.impress.co.jp/docs/news/20140425_646136.html    Impress Watch
米The Linux Foundationは24日、基盤となるオープンソースプロジェクトを資金的、人的に支援するため、IT業界主要各社と共同で新イニシアチブ「Core Infrastructure Initiative」（CII）を設立したと発表した。
イニシアチブの創設メンバーはAmazon Web Services、Cisco、Dell、Facebook、Fujitsu、Google、IBM、Intel、Microsoft、NetApp、Rackspace、VMware、The Linux Foundation。
イニシアチブから支援を受ける最初のプロジェクトとして候補に挙がっているのが、最近Heartbleedバグ問題が発見されたOpenSSLプロジェクトだ。CII設立により、主要な開発者のために資金を調達するだけでなく、人的支援などの支援を受けることが可能になり、「セキュリティを向上させる外部レビューを可能にし、パッチ要求に対する応答性を向上させる」ことができるとしている。
これまでにOpenSSLプロジェクトは毎年2000ドル（約20万円）程度の寄附しか受け取れず、これが重大なバグを見逃した理由の1つだと考えられている。
CIIはHeartbleedバグに対応する1つの方法として業界によって設立された。しかし、その活動はセキュリティ関連の問題に限られるわけではない。
具体的な支援方法として、重要な開発者がフルタイムでオープンソースプロジェクトに取り組むためのフェローシップ、セキュリティ監査、コンピューティングおよびテストインフラ、旅行、対面会議の調整、などが挙げられている。
Linux FoundationのエグゼクティブディレクターであるJim Zemlin氏は、このプロジェクトについて「我々の世界経済は、多くのオープンソースプロジェクトの上に構築されている。Linux FoundationはLinuxの開発に100％集中できるよう、Linus Torvalds氏に資金提供しているのと同じように、他の重要なオープンソースプロジェクトをフルタイムでサポートする開発者やメンテナを追加的に支援できるようになる」と説明した。
CIIの運営委員会はCIIの会員、開発者、業界のステークホルダーによって形成される。この委員会では支援を必要としているプロジェクトや開発者を見つけ、具体的が資金調達コミットメントを承認し、プロジェクトロードマップを監督し、必要な場合は暗号の専門家やコミュニティーリーダー等を追加するための合意を得るための作業を行う。この運営委員会を支援する諮問委員会は、オープンソース開発者や、コミュニティーによって尊敬されているメンバーからなる。
このファンド設立のためにLinux Foundationが母体となった理由として、非営利組織で、かつテクノロジー業界との強固な関係を維持し続けていること、中立的な組織であることが挙げられている。
このCIIには誰でも寄附できる。主要なクレジットカードとPayPalに対応し、PayPalで毎月定額を寄附することも可能だ。
プレスリリース（The Linux Foundation、英文）  Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace, VMware and The Linux Foundation Form New Initiative to Support Critical Open Source Projects
http://www.linuxfoundation.org/news-media/announcements/2014/04/amazon-web-services-cisco-dell-facebook-fujitsu-google-ibm-intel





2014年04月24日





Googleがログイン認証を強化、OAuth 2.0の採用促す
http://www.itmedia.co.jp/enterprise/articles/1404/24/news039.html    ITmedia
OAuth 2.0を使わないアプリでは、ユーザーへ追加の手順を要求されるようになるという。
米Googleは4月23日、2014年下半期以降にユーザーがWebブラウザやデバイス、アプリケーションからGoogleにログインする際のセキュリティチェックを段階的に強化すると発表した。
Googleではユーザーレベルで2段階認証などのセキュリティ強化策を提供するとともに、開発者向けには「Google Sign-In」などのツールを提供し、Google APIで認証プロトコルの「OAuth 2.0」をサポートしている。
今回のセキュリティチェックの強化は、本来のユーザーしかアカウントにログインできないことを確実にするのが目的。ユーザー名とパスワードをGoogleに送信しているアプリケーションでは、認証にOAuth 2.0を採用するよう開発者に促した。
Googleは、「OAuth 2.0を使わなければ、ユーザーがそのアプリケーションにアクセスするために、追加の手順を要求されるようになる」と強調する。「現在パスワードでGoogleへの認証を行っているアプリケーションは、ユーザーの手間を最低限に抑えるため、OAuth 2.0に切り替えることを強く推奨する」と呼び掛けている。
Google Online Security Blog   New Security Measures Will Affect Older (non-OAuth 2.0) Applications
http://googleonlinesecurity.blogspot.jp/2014/04/new-security-measures-will-affect-older.html

脆弱性解決のルータ、閉じたはずの「裏口」が再び開く
http://www.itmedia.co.jp/enterprise/articles/1404/24/news040.html    ITmedia
問題が解決されたはずのルータにバックドア実装のコードが残り、再アクティベートできることが分かったという。
大手メーカー各社のルータに存在が指摘され、ファームウェアアップデートで解決されたはずの「バックドア」が、実は依然として存在していることが分かったという。米セキュリティ機関のSANS Internet Storm Centerが4月22日のブログで伝えた。
ルータのバックドアの存在は、セキュリティ研究者のEloi Vanderbeken氏が2013年末に報告していたもので、32764番ポート経由で認証を経ずにroot権限でルータにアクセスすることが可能だった。
この問題は台湾のメーカーSercommを発端として、米CiscoやLinksys、NetGear、Diamondなどのルータに広がっていたという。Vanderbeken氏は24モデルでバックドアの存在を確認したとしている。
メーカー側は報告を受けてファームウェアアップデートをリリースし、バックドアの問題は解決されたはずだった。
ところがVanderbeken氏が調べたところ、問題が解決されたはずのルータにバックドア実装のコードが残っていて、特定のEthernetパケットを送信することによって再アクティベートできることが分かったという。
ただ、そのためにはルータが接続されているローカルネットワークにアクセスする必要があり、悪用される可能性は大幅に低くなったが、バックドアがなくなったわけではないとSANSは解説する。
Vanderbeken氏は、この措置は意図的に行われたものだと主張。バックドアは「他のハードウェアにも存在しているかもしれないが、見つけるのは難しい」と伝えている。
SANS Internet Storm Center   Port 32764 Router Backdoor is Back (or was it ever gone?)
https://isc.sans.edu/forums/diary/Port+32764+Router+Backdoor+is+Back+or+was+it+ever+gone+/18009





スパム業者のメールアドレス収集方法とその防衛対策とは？
http://gigazine.net/news/20140423-how-spammer-harvest/    GIGAZINE
迷惑メールの被害を世界規模で見てみると、GoogleやYahoo!のような大手IT企業は年間300億ワットの電力を使用していますが、これは300万軒の家庭を賄うのに十分な電力と同等。もし迷惑メールが無ければ、多くの企業がエネルギーとお金を節約できるはずです。個人規模でも、強力な迷惑メールフィルタを使用しても、誤って通常のメールが分類されることがあるため、結局は迷惑メールフォルダを度々確認する時間を割かれてしまいます。そんな迷惑メールを送信するスパム業者は一体どうやってメールアドレスを仕入れているのか？ということが研究され、入手経路と防衛手段が明らかになっています。
How do spammers harvest your e-mail address? · Karan Goel
http://karan.github.io/email-spam/
ワシントン大学の学生カラン・ゴール氏は、インターネットマーケティングとブロガーだった経験から、「迷惑メールは途絶えることがなく、メールアドレスを持つ全ての人が迷惑メールを受信した経験があります」と断言します。時に金銭的損失を受けることもあるスパム業者の迷惑メールは、手口が巧妙になるにつれて普通のメールとの区別が困難になりつつあります。
それもそのはずで、2008年の論文によると、スパム業者は100ドル(約1万円)の商品を28件売りつけるまでに、3億5000万通もの迷惑メールを送る必要があるという研究結果が出ているためで、収益性を上げるためにあの手この手と、いろいろ考えたものを繰り出してきているというわけです。
2012年にゴール氏はスパム業者のメールアドレス収集手段と防衛手段を調査する研究に参加する機会に遭遇。研究に参加して1年で「Experiment」から資金を集めることに成功し、生データを基にしたスパム業者の仕組みを知ることができたとのこと。
研究チームは、スパム業者がどのようにメールアドレスを獲得しているか調査するため、あらゆるプラットフォームにメールアドレスを1度ずつ投稿。その後、人間が判読可能な状態でメールアドレスが表示された数をプラットフォームごとに集計しました。数が多いサイトほど登録しているメールアドレスが危険にさらされていることになり、Wordpressなどのブログサイトでは最も多くメールアドレスが直接閲覧できる形で表示されています。

・App storeレビュー欄(Apple、Chrome、Firefoxなど)：4
・ブログコメント：119
・ブログサイト(Wordpress、bloggerなど)：142
・Craigslist discussion board：6
・Dropboxにホストされたファイル：12
・Ecommerceサイト(Amazonなど)：5
・Facebookプロフィール、ウォール、ページ：5
・サーバー上のファイル：21
・フォーラムのプロフィール：234
・Github：1
・Googleドキュメント：7
・Google 図形描画：2
・グリーティングカード生成サイト：18
・ゲストブック：12
・ロイヤルティプログラム：10
・メーリングリスト：85
・ウェブサイト上の タグ：4
・その他SNS：5
・サーバー上のPDF：8
・ペーストサイト(Pastebinなど)：21
・Reddit：9
・Scribd：10
・Slideshare：5
・迷惑メーリングリスト：51
・Twitter：2
・UW Directory：1
・Usenet：98
・動画サイト (YouTubeの説明欄/タイトル)：53
・Whois：5
・Wikiサイト：84
・Yahoo Answers：25

以下は、どのようなメールアドレス難読化テクニックが有効なのかをテストした結果をグラフ化したもの。グラフが縦に伸びているほど効果がないことを意味しています。中でも「Invalid(無効化)」は最も多くメールアドレスを抜き取られており、javascriptによる難読化も次いで効果がありませんでした。
判読可能な状態で難読化されたメールアドレスを数ごとに列挙するとこんな感じ。表示テキストとリンクをすげ替える難読化が最も多く、「gigazine [at] irchver [dot] com」のように文字列を変換するいろいろな手法も多く使われています。

・分割：6
・ASCII：17
・コメント：3
・異なるHyperlink：114
・HTML Unicode：45
・画像化：21
・無効化：260
・不可視化：59
・JavaScript：18
・難読化なし：484
・ROT-13：2
・email (at) irchiver (dot) com：1
・email @ irchiver . com：23
・email @ irchiver.com：18
・email AT irchiver DOT com：5
・email AT irchiver.com：1
・email [@] irchiver.com：1
・email [at] irchiver [dot] com：15
・email [at] irchiver.com：8
・email at irchiver dot com：2
・email-@-irchiver-.-com：13
・email-@-irchiver.com：2
・email-AT-irchiver-.-com：1
・email-AT-irchiver.com：11
・email-at-irchiver-dot-com：4
・email-at-irchiver.com：2
・email[@]irchiver.com：1
・email[@]irchiver[.]com：12
・email[at]irchiver.com：2
・email[at]irchiver[.]com：2
・email[at]irchiver[dot]com：17
・email[at]irciver.com：2
・iFrame：2

以下は拡散されやすいメールアドレスの表示形式を検証した結果。「Yes」は「ここ」のようにメールアドレスをリンクの中に隠して表示しているもの。「No」は「karan@goel.im」のようにメールアドレスをリンク化しているものですが、両者ともさほど差はありません。最も効果的だったのは画像などにメールアドレスを埋め込む形式の「invaild」でした。
以下はクリック可能かどうかで検証した結果。「Yes」は「ここ」であり、「No」は「karan@goel.im」のように表示されているということ。クリック可能な状態で表示すると拡散されやすいという結果が出ています。
研究チームが約1000通のEメールをさまざまな場所に投稿したところ、合計して1万8000通もの迷惑メールを受信しました。投稿して20週を過ぎたころに迷惑メールの受信数がピークを迎えるという結果が出ています。これは投稿されたページが検索エンジンによってインデックスとランクを付けられるまでの時間と推測されています。
受信した迷惑メールを2012年3月20日〜2013年6月11日までの期間で折れ線グラフにするとこんな感じ。10月後半のホリデーシーズン時期になるとメール量が最大になっており、スパム業者は迷惑メールを開封しやすい時期を狙っているようです。
しかし、1週間ごとに見てみると、週明けは規則的にメール量が増加しますが、やはり土日は休みたいためか、週末にかけてメール量は少なくなっていきます。平日に頻繁にメールチェックする人は多くないため、研究者は「帯域幅をムダに使用している」と述べています。
調査においてメールアドレスをさまざまなプラットフォームに投稿していますが、その結果ほとんどのウェブサイトが迷惑メールを送っていることが以下の図からわかります。迷惑メールのメーリングリストは顕著で、サイト内には「無料で『クレジットスコア/保険額/iPad』をプレゼントします」といった怪しい言葉にあふれていますが、多くの人がメールアドレスを登録し続けているとのこと。驚くべきことに、メールアドレスを画像で表示するWhoisを通じて大量の迷惑メールが送られており、画像による難読化は効果が薄く、Whoisはスパム業者の採掘場となっているようです。
そんな中、1つも迷惑メールを送ってこなかったプラットフォームも存在します。自社サーバーの保管が安全であるほか、IT企業の中でもトップクラスのApple、Amazon、Facebook、Google、Twitterなどの名前が挙がっているのはさすがというところ。

・App Store(レビュー投稿時)
・Eコマース (Amazonなど、サインアップ時)
・Facebook (パブリック状態のFacebookページ・プロフィール)
・サーバー上のファイル(自前のサーバーにテキストファイル)
・Googleドキュメント
・Google drawing
・Twitter(Eメールを添えてツイート)

最終的に、研究チームはあらゆる種類のメールアドレス難読化技術を使って、実際にどの技術が防衛に効果を発揮したのかを検証。ROT13、ASCIIによる難読化が最高の結果を出していますが、専用のソフトが必要なため、誰でも使える防衛手段ではないことが難点です。
迷惑メールが1つも送られなかった優秀な防衛手段の実例を並べるとこうなります。

・＜span＞タグによる分割(HTMLでメールアドレスに異なる＜span＞タグを挿入)
・ASCII(暗号化)
・HTML Unicode(暗号化)
・Image(メールアドレスを画像で表示)
・ROT-13(アルゴリズムを変換)
・email (at) irchiver (dot) com
・email @ irchiver . com
・email [at] irchiver [dot] com
・email-@-irchiver-.-com
・email-AT-irchiver.com
・iFrame (メールアドレスを1つのページに記載し、iFrameで別のページに埋め込む)

研究チームの提案する防衛手段をまとめると、以下の通り。

・ソースコードを操作できるウェブサイトにメールアドレスを記載している場合は、「ROT-13」「ASCII」「HTML Unicode」でエンコードするのが有効的。一見するとメールアドレスをただのテキストのように見せかけられます。
・もしあまりにも「ウマイ話」を持ちかけるウェブサイトがあれば回避するべきです。「無料のiPad」はメールアドレスと交換でプレゼントされることはありません。メールアドレスはスパム業者内で売買されるため、一度でも登録すると延々と迷惑メールが届き始めます。
・ソースコードに記載するメールアドレスを「karan-AT-goel-DOT-im」のようにできるだけバラバラにすると、ユーザーの操作性に影響が出てしまいますが、スパム業者のコピー＆ペーストを防止可能。
・デフォルトでメールアドレスを記入させるフォームに注意。調査結果によるとフォームに記載されたメールアドレスにマーケティングメールが届くだけでなく、時によっては広告主に販売されることがあります。
・メールアドレスを記載させるフォーラムや掲示板にも注意が必要。これらはスパム業者の最大のメールアドレス入手先になっています。どうしても記載しなければいけない時は、使い捨てのメールアドレスを使うなどして対処するべきです。
・もしドメイン名を取得する場合は、Whoisに別の情報を置き換えてスパム対策できる「WhoisGuard」を使うと効果的。本当のメールアドレスへメールを転送するオプションも付属しています。

なお、Gmailは独自に迷惑メールやフィッシングメール対策を行っています。Googleの調査結果によるとGmailに届く非迷惑メールの内、約90％がDKIMとSPFという、なりすましを防止するドメイン認証技術を使って送信されているとのこと。これらの技術によって、Googleは年間で数十億ものなりすましメールをフィルタリングしています。
Google Online Security Blog: Internet-wide efforts to fight email phishing are working
http://googleonlinesecurity.blogspot.jp/2013/12/internet-wide-efforts-to-fight-email.html

2014年04月23日




情報流出の背景にスパイ攻撃やWebアプリ攻撃の増加
http://www.itmedia.co.jp/enterprise/articles/1404/23/news039.html    ITmedia
米Verizonは、世界各地で起きた情報流出事件について分析した2014年版の実態調査報告書を発表した。今回の報告書では95カ国で起きた6万3000件あまりのセキュリティ事案を調査。この中には情報流出が確認された1367件の事案が含まれる。
2013年は米小売り大手のTargetで起きた大量情報流出事件などに注目が集まった。
http://www.itmedia.co.jp/enterprise/articles/1401/14/news043.html　：　米Targetの情報漏えい、7000万人分の個人情報も発覚　業績に重大な影響　2014年01月14日
だが、実は小売店のPOSシステムに対する攻撃がこの数年で減少傾向にあり、狙われているのは小売業界にとどまらないという。「スパイ攻撃は増え続けており、政府機関や軍事産業だけでなく、あらゆる種類の企業に影響を及ぼしている」と報告書は指摘する。
攻撃の大半はハッキングやマルウェアといった手口を使って外部から仕掛けられ、ここ数年はソーシャル攻撃の手口が増加。主に決済情報や銀行の情報などが狙われているほか、その他のシステムに侵入する目的でユーザーのパスワードなどが盗まれるケースも多く、企業秘密や内部情報の盗難が増えているという。
報告書では、情報流出を引き起こす手口や端緒を9種類の基本パターンに分類した。具体的には、メール送信の手違いや文書の不適切な廃棄といった各種のミス、マルウェアやフィッシング詐欺などのクライムウェア、内部関係者および権限の不正利用、USBメモリやノートPCなどの物理的紛失や盗難、Webアプリ攻撃、サービス妨害攻撃、サイバースパイ、POS端末への侵入、決済カードのスキミングを挙げている。
Verizonの分析によると、過去10年に起きた10万件のうち92％、2013年に起きた情報流出事案のうち94％が、この9種類のいずれかに当てはまるという。2013年の事案ではWebアプリ攻撃が35％と最多を占め、サイバースパイ（22％）、POS端末への侵入（14％）などが多くなっている。
2014 Data Breach Investigations Report
http://www.verizonenterprise.com/DBIR/2014/insider/?utm_source=earlyaccess&utm_medium=redirect&utm_campaign=DBIR

「CLUB Panasonic」会員情報7万8361件が不正閲覧、パスワードリスト攻撃か
http://internet.watch.impress.co.jp/docs/news/20140423_645811.html    Impress Watch
パナソニック株式会社は23日、会員サイト「CLUB Panasonic」で、7万8361件のアカウントについて不正ログインされた可能性があると公表した。
パナソニックによると、4月18日に外部から不正ログインの形跡があったため調査した結果、「CLUB Panasonic」のホームページに対して不特定多数のIPアドレスから断続的、機械的なログイン要求があり、不正なログインを試行していることが確認された。
不正なログインの試行に使われたIDの中には、「CLUB Panasonic」では使用を認めていないものが多数含まれているため、他社サービスから流出したID／パスワードを利用している可能性が高いと推測している。
合計460万件を超える不正ログイン試行が確認されており、7万8361件のアカウントが実際に不正ログインされた可能性があるという。
不正に閲覧された可能性のある個人情報は、氏名、住所、電話番号、性別、生年月日、ログインID、メールアドレス、ニックネームの各項目。また、ユーザーが登録している場合には、携帯電話用メールアドレス、職業、居住状態、家族構成、共稼ぎ状況、興味のあるカテゴリーの各項目についても閲覧された可能性がある。不正ログインの発生期間は2014年3月23日〜4月21日。
パナソニックでは、個人情報を不正に閲覧された可能性のあるアカウントについては、不正ログインが行われたID／パスワードを利用したログインができない措置を講じた。また、該当するユーザーにメールを配信するとともに、パスワードの変更を求めている。
再発防止策としては、機械的なログイン要求を防止するため画像認識機能を追加実装するとともに、ユーザーに対して他のサービスで利用しているパスワードを使用しないといった注意喚起を行うとしている。
「CLUB Panasonic」への不正ログインに関するお知らせとパスワード変更のお願い
http://club.panasonic.jp/maintenance/index20140423_1.html
CLUB Panasonic
http://club.panasonic.jp/




パスワードをどのように管理していますか
http://bizmakoto.jp/makoto/articles/1404/23/news093.html　　Business Media 誠
ログインが必要なWebサイトで使うIDやパスワードをどのように管理していますか？　10〜60代の男女に聞いたところ「自分で記憶している」（41.0％）と答えた人が最も多く、次いで「紙にメモをしている」（40.5％）、「ファイルでPCやスマホ内に保存している」（22.3％）であることが、リサーチバンクの調査で分かった。男女別でみると、「紙にメモをしている」（男性34.2％、女性46.8％）のは女性のほうが多い。
パスワードに異なる文字種（大文字、小文字、数字など）を使っている人はどのくらいいるのだろうか。「2種類の文字種の組み合わせが多い」（74.4％）と答えた人が最も多く、次いで「3種類以上の文字種の組み合わせが多い」（14.6％）、「1種類の文字種のみが多い」（11.0％）という結果に。また、パスワードの平均点な文字数を聞いたところ「8〜9文字」（55.8％）が半数を超えた。
パスワードを変更する頻度
パスワードを変更する頻度はどのくらいですか？　この質問に対し、「変更はしない」（31.9％）と答えた人が最も多かった。次いで「アラートなど警告が出たら変更する」（30.6％）、「1年に1回程度変更する」（11.1％）、「半年に1回程度変更する」（10.1％）、「月に複数回以上変更する」（7.7％）と続いた。
インターネットによる調査で、10〜60代の男女1200人が回答した。調査期間は4月9日から15日まで。

ATMやWi-Fiルータを狙うトロイの木馬を確認--3月のウイルス情報（Dr.WEB）
http://scan.netsecurity.ne.jp/article/2014/04/23/34049.html    ScanNetSecurity
株式会社Doctor Web Pacific（Dr.WEB）は4月22日、2014年3月のウイルス脅威について発表した。3月初旬にはATMを感染させるトロイの木馬が発見され、中旬にはWi-Fiルータをハッキングする悪意のあるプログラムが出現した。また、Androidを狙った新たな脅威も多く発見されている。「Dr.WebCureIt!」によって収集された統計によると、2014年3月に最も多く検出された脅威は、感染させたシステム上にアドウェアやリスクウェアをインストールする「Trojan.Packed.24524」で、広告トロイの木馬である「Trojan.InstallMonster.51」「Trojan.LoadMoney.15」「Trojan.LoadMoney.1」が順に続いた。
また、ブラウザプラグインとして導入され、開かれたWebページ上に広告などを表示させる「Trojan.BPlug」プログラムも複数発見されている。ATMを感染させる「Trojan.Skimer.19」は、3月初旬に発見された。ATMのOSを感染させると、は暗号化PINパッド（EPP：Encrypted Pin Pad）への入力を監視し、特定の組み合わせが入力されると、犯罪者からのコマンドを実行する。コマンドには、PINコードの復号化やホストファイルの改ざん、トランザクション数、カードやキーなどの統計情報の表示、ログファイルの削除、システムの再起動などが含まれている。
ブルートフォースを使用してWi-Fiルータのアクセスパスワードを解読し、デバイスの設定で指定されているDNSサーバアドレスを変更するマルウェア「Trojan.Rbrute」プログラムは、指定されたIPアドレスの範囲を使用してネットワークをスキャンする、辞書攻撃を行う、という2つのコマンドを実行する。これら2つのコマンドはそれぞれ独立したもので、トロイの木馬によって別々に実行される。モバイルにおいては、新たなトロイの木馬「Android.Dendroid.1.origin」や「Android.Backdoor.53.origin」などが確認されている。
Dr.WEB　　2014年3月のウイルス脅威
http://news.drweb.co.jp/?i=726&c=1&lng=ja&p=0

2014年04月22日




OpenSSLの脆弱性、世界上位100万サイトの2％は未解決
http://www.itmedia.co.jp/news/articles/1404/22/news035.html    ITmedia
上位100万サイトのうち、2％に当たる2万320サイトにまだ脆弱性が存在していることが分かった。
OpenSSLに「Heartbleed」と呼ばれる重大な脆弱性が発覚した問題で、セキュリティ企業のSucuriは、世界の上位100万サイトのうち2％がまだこの脆弱性を修正していないとする調査結果を発表した。
同社は今回の脆弱性が発覚してから10日後の4月17日、米Alexa Internetのランキングに基づく世界上位100万サイトをスキャンして、この脆弱性が修正されているかどうかをチェックした。
その結果、上位1000サイトでは脆弱性が残っているサイトは見つからず、全サイトが修正を済ませていることが判明。しかし上位1万サイトに対象を広げると53サイト（0.53％）で、上位10万サイト中では1595サイト（1.5％）でまだ脆弱性が修正されていなかった。
上位100万サイト中では、2％に当たる2万320サイトにまだ脆弱性が存在していることが分かったという。
SucuriはWebサイト管理者に対し、
一般に公開されているツールなど
https://filippo.io/Heartbleed/　：　Heartbleed test
を使って自社サーバの脆弱性をチェックするよう呼びかけている。
ネット上ではOpenSSLの脆弱性が存在するWebサイトをスキャンして調べる動きが活発化しており、脆弱性を放置すれば、攻撃の標的にされる恐れがあるとSucuriは警告している。
Sucuriブログ　　HeartBleed in the Wild
http://blog.sucuri.net/2014/04/heartbleed-in-the-wild.html





Android上でも動作するJavaのRATの被害を確認、不審なメールに注意を（トレンドマイクロ）
http://scan.netsecurity.ne.jp/article/2014/04/22/34038.html    ScanNetSecurity
トレンドマイクロ株式会社は4月21日、「JAVA_OZNEB.B」として検出される古い「Remote Access Tool（RAT）」についてのブログを公開した。このRATは、スパムメールの添付ファイルとして送信されており、その多くは金融に関連した内容となっている。「American Express」から送信されたように装うスパムメールもそのひとつで、「不審な動きがあったためアカウントを一時利用停止にした」と伝える。利用を再開するために、ユーザは添付ファイルに記入して返信することを求められるが、この添付ファイルが「JAVA_OZNEB.B」となっている。この不正プログラムはまた、オンライン上でカタログや製品リスト、領収書を装うことも確認されている。
「JAVA_OZNEB.B」は、一度PCに侵入すると、スクリーンショットの取得やメッセージの表示、プラグインの追加などさまざまな不正活動を行う。そして、仮想通貨「Litecoin」の「発掘（マイニング）」をも実行する。また、追加されたプラグインにより、サイバー犯罪者は、思い通りに不正活動を更新させたり、調整することができるようになるため、この不正プログラムは非常に危険な脅威となる。さらにこの不正プログラムは、Androidのプラットフォーム上で実行できるように更新されているため、十分な注意が必要としている。被害を受けた国は、米国、トルコ、オーストラリア、台湾、シンガポール、そして日本となっている。
トレンドマイクロ：ブログ　　更新されたJavaのRAT、仮想通貨「Litecoin」の発掘を可能にするプラグインも追加
http://blog.trendmicro.co.jp/archives/8977





2014年04月21日




Adobe、OpenSSLの脆弱性対応について説明
http://www.itmedia.co.jp/enterprise/articles/1404/21/news030.html    ITmedia
米Adobe Systemsは4月17日、OpenSSLに発覚した「Heartbleed」と呼ばれる重大な脆弱性に関連して、同社製品やサービスへの影響と対応状況を明らかにした。
それによると、同社はまずCreative Cloudと関連サービス（BehanceやDigital Publishing Suiteなど）、Marketing Cloudと関連サービス（Analytics、Analytics Premium、Experience Managerなど）、およびEchoSign、Acrobat.com、Adobe.comなどのサービスについて影響を調べた。
その上で、脆弱性のあるバージョンのOpenSSLを使っていたことが判明したインターネット対応の全サービスについて、影響を緩和する措置を講じたと説明している。
一方、インターネットに接続するサーバについては引き続き調査を行っており、Heartbleed関連の問題が残っていれば発見して修正する意向。
また、Experience ManagerやExperience Manager On-Demandなどの製品やサービスについては、OpenSSLはバンドルしていないものの、顧客がオンプレミスやサードパーティーのWebサーバと組み合わせて導入することも多いと指摘。こうした顧客は自社の導入形態や設定に関してHeartbleedの脆弱性が存在しないかどうかを調べ、必要があれば適切な対策を講じるよう促している。なお、ColdFusionはHeartbleedの脆弱性の影響を受けないバージョンのOpenSSLを使っているという。
パスワードについては、現時点でAdobe側でリセットの措置は予定していないとした。ただ、パスワードは定期的に変更するに越したことはないと述べ、特に他のWebサイトと同じIDやパスワードを使い回している場合は、パスワードを変更することを強く推奨している。
Adobe Product Security Incident Response Team (PSIRT) Blog   Heartbleed Update
http://blogs.adobe.com/psirt/?p=1085




スパム送信国ワースト12で日本が初のランクイン
http://www.itmedia.co.jp/enterprise/articles/1404/21/news048.html    ITmedia
Sophosが四半期ごとに発表している「スパム送信国ワースト12」のランキングで、調査開始から初めて日本とフランスが上位に食い込んだ。
セキュリティ企業の英Sophosは4月21日、2014年1〜3月期の「スパム送信国ワースト12」を発表した。統計開始から初めて日本がワースト12以内にランクインした。
調査は同社が四半期ごとに実施している。今期のトップは前四半期に続いて米国だった。前回ランク外のスペインが2位に急浮上した。前回13位の日本は7位、同15位のフランスが8位となり、この2カ国は初めてワースト12位以内に入った。
なお、「自分の国がランクインしても、あなたの国の人がスパムを送り続けていると決まったわけではない」と同社は解説。スパム配信はマルウェアに感染した「ゾンビPC」によって行われることが多く、サイバー犯罪者は第三者のコンピュータを「ゾンビPC」として遠隔操作し、スパムを配信している。
上位に初めてランクインした日本やフランスでは、「ゾンビPC」が増加している可能性の高いことも示唆している。
Sophos   ソフォス、「スパム送信国ワースト12」の(2014年 1月 〜 3月)を発表
http://www.sophos.com/ja-jp/press-office/press-releases/2014/04/ns-dirty-dozen-q1-2014.aspx




2014年04月19日




OpenSSLの脆弱性攻撃で国内に被害　三菱UFJニコスで情報の不正閲覧
http://www.itmedia.co.jp/enterprise/articles/1404/19/news014.html    ITmedia
三菱UFJニコスでのべ894人分の個人情報が漏えいした恐れがあり、同社はOpenSSLの脆弱性を突いた攻撃が原因と説明している。
三菱UFJニコスは4月18日、のべ894人の個人情報が不正に閲覧されたと発表した。該当するのは同社発行（発行委託先を含む）のクレジットカードを保有するWeb会員の顧客で、既にメールや電話などで連絡対応しているという。
不正に閲覧された情報は、カード番号と氏名、住所、生年月日、電話番号、メールアドレス、有効期限、WebサービスのID、カード名称、加入年月、支払口座（金融機関名および支店名を含む）、勤務先名称とその電話番号。18日現在で不正利用や被害が確認されていないという。カード番号の一部は非表示のため不正利用される可能性は低いとし、Webサービスのパスワードは閲覧されていないとしている。
同社によると、原因はOpenSSLの脆弱性を突いた攻撃による不正アクセスという。4月11日の午前6時33分に不正アクセスを検知し、調査結果からOpenSSLの脆弱性を狙う不正アクセスだと特定。同日午後2時半に「NEWS+PLUS」などのWebサービスを停止させ、脆弱性を修正したOpesSSLに更新するなど対策を講じ、12日午前7時48分にサービスを再開していた。この間に情報が不正閲覧され、外部に漏えいした可能性もある。
同社では「ネット不正専門の対応チームを組成して再発防止に努める」と説明している。
OpenSSLの脆弱性をめぐっては、
カナダ歳出庁や英国の育児情報サイトが被害を受けたことを明らかにし、
http://www.itmedia.co.jp/enterprise/articles/1404/15/news035.html　：　OpenSSLの脆弱性で初の被害、カナダや英国で発覚　2014年04月15日
カナダ歳出庁に対する攻撃では19歳に米国人男性が当局に逮捕されている。
http://www.itmedia.co.jp/enterprise/articles/1404/17/news038.html　：　OpenSSLの脆弱性悪用事件で男を逮捕――カナダ警察　2014年04月17日
三菱UFJニコス　　弊社会員専用WEBサービスへの不正アクセスにより一部のお客さま情報が不正閲覧された件
http://www.cr.mufg.jp/corporate/info/pdf/2014/140418_01.pdf





2014年04月18日



モバイルアプリと連携するバンキングマルウェア、アカウント搾取の新たな手口か
http://www.itmedia.co.jp/news/articles/1404/18/news045.html    ITmedia
攻撃側はFacebookの2要素認証に使われるコードを盗む目的で、SMS傍受機能を持った不正なAndroidアプリ使った可能性があるとESETは推定する。
インターネットバンキングの情報を盗み出すマルウェアが、Androidを標的とした不正アプリを利用して、Facebookの2要素認証をかわそうとする手口が見つかったという。セキュリティ企業のESETが4月16日のブログで報告した。
ESETによると、この手口ではインターネットバンキングの情報を盗むマルウェアの「Qadars」と、Android端末から送受信されるSMSを傍受するなどの機能を持った不正アプリの「iBanking」を組み合わせて利用している。iBankingは銀行などの2要素認証サービスでSMSを使ってユーザーに送信されるワンタイムパスワードなどの情報を盗む目的で使われているという。
Qadarsに感染したコンピュータでFacebookにログインすると、「Facebookユーザーの個人情報に対する不正アクセスが増えていることを受け、安全な認証のための独自のツールを開発しました」と称する画面を表示。アプリケーションのダウンロードを促し、携帯電話の番号とOSの種類を入力させる。
この画面でAndroidを選ぶと、アプリをダウンロードさせるためのリンクやQRコードが表示される。
Facebookの2要素認証ではSMSを使ってセキュリティコードをユーザーに送信する仕組みになっており、攻撃側はこのコードを盗む目的でiBankingを使った可能性があるとESETは推定する。「Facebookの2要素認証を使うユーザーが増えて通常のログイン情報でアカウントを乗っ取る手口の効率が悪くなったため、スパイ機能を持つiBankingを端末にインストールさせる手口を採用した」という。
iBankingはアンダーグラウンドフォーラムで出回っているとされ、「いずれ他のマルウェアに取り込まれて、携帯電話を使った2要素認証を提供しているWeb上の他の人気サービスが標的にされる可能性は十分ある」とESETは予想している。
ESETブログ　　Facebook Webinject Leads to iBanking Mobile Bot
http://www.welivesecurity.com/2014/04/16/facebook-webinject-leads-to-ibanking-mobile-bot/




TorノードにOpenSSLの脆弱性、通信内容の平文流出も
http://www.itmedia.co.jp/enterprise/articles/1404/18/news046.html    ITmedia
脆弱性のある出口ノードのユーザートラフィックが平文で流出し、ホスト名やダウンロードしたWebコンテンツ、セッションIDなどの情報が露出していることが分かったという。
OpenSSLの脆弱性が見つかった問題で、匿名化ツールTorの多数のノードが影響を受け、トラフィックが平文で流出する恐れがあることが分かった。Tor Projectは脆弱性のあるノードのブラックリストを公表している。
セキュリティ研究者のコリン・マリナー氏は、4月11日から13日にかけ、約5000のTorをスキャンして脆弱性の影響を調べた。
その結果、約20％に当たる1045ノードにOpenSSLの脆弱性が存在することを確認。流出したメモリを調べたところ、脆弱性のある出口ノードのユーザートラフィックが平文で流出していて、ホスト名やダウンロードしたWebコンテンツ、セッションIDなどの情報が露出していることが分かったという。
TorではSSLを使って各ノード間のトラフィックを暗号化しており、OpenSSLの脆弱性が発覚した時点で影響を受けるTorコンポーネントについての情報を公開していた。4月16日のメーリングリストでは、これまでに脆弱性が発覚してリジェクトした380ノードのブラックリストを公表した。
OpenSSL bug CVE-2014-0160
https://blog.torproject.org/blog/openssl-bug-cve-2014-0160
Rejecting 380 vulnerable guard/exit keys
https://lists.torproject.org/pipermail/tor-relays/2014-April/004336.html
MUlliNER.ORGブログ
http://www.mulliner.org/blog/blosxom.cgi/security/torbleed.html




2014年04月17日



OpenSSLの脆弱性悪用事件で男を逮捕――カナダ警察
http://www.itmedia.co.jp/news/articles/1404/17/news038.html    ITmedia
オープンソースのSSL／TLS暗号化ライブラリ「OpenSSL」の脆弱性を突いて
カナダ歳入庁（CRA）のWebサイトが不正アクセスされた事件
http://www.itmedia.co.jp/enterprise/articles/1404/15/news035.html　：　OpenSSLの脆弱性で初の被害、カナダや英国で発覚　2014年04月15日
に関連して、カナダ連邦警察は4月16日、19歳の男をコンピュータ不正使用などの容疑で逮捕したと発表した。
発表によると、逮捕されたのはオンタリオ州ロンドンに住むスティーブン・ソリスレイエス容疑者。OpenSSLの脆弱性を突いてCRAの非公開情報を引き出したとして、コンピュータ不正使用とデータ関連不法行為の疑いがかけられている。
OpenSSLの脆弱性は4月8日に発覚。カナダ歳入庁は14日、何者かがこの脆弱性を悪用して、納税者約900人の社会保障番号を同庁のシステムから抜き取っていたことが分かったと発表していた。
これを受けてカナダ連邦警察は、「このセキュリティ問題を最優先事件として扱い、できるだけ早期の解決に向けて必要なリソースを動員した」と説明する。
今回の捜査は、連邦政府や基幹ITインフラを狙ったコンピュータ犯罪捜査を専門とするカナダ連邦警察国家部門の統合技術犯罪対策班が主導した。短期間で容疑者の特定に至った経緯は不明。警察は容疑者の自宅を家宅捜索し、コンピュータなどを押収して捜査を続けている。
プレスリリース　　Heartbleed Bug Hacker Charged by RCMP
http://www.rcmp-grc.gc.ca/ottawa/ne-no/pr-cp/2014/0416-heartbleed-eng.htm



2014年04月16日



医療機器におけるセキュリティ、現場では脅威の認識や対策意識に差（IPA）
http://scan.netsecurity.ne.jp/article/2014/04/16/33995.html    ScanNetSecurity
独立行政法人 情報処理推進機構（IPA）は4月16日、「医療機器における情報セキュリティに関する調査（2013年度）」を公開した。IPAでは2006年から、組み込み機器における情報セキュリティに関する調査に取り組んでいる。これまで情報家電や自動車等を対象にしてきたが、昨今は医療機器でも他の組込み機器同様に、機器の小型化、携帯化、汎用技術の利用が進展していることや、一部の医療機器では近距離無線等の通信を利用した機能が搭載されるなど、他のIT化された組込み機器でも発生した情報セキュリティ上の脅威が顕在化する可能性があることから、2013年度は医療機器を対象としたという。
今回の調査では、医療機器業界関係者や医療従事者等に対して、医療機器における情報セキュリティへの取り組みの現状と将来予測についてヒアリングを実施している。その結果、医療機器の提供側ではセキュリティガイドの策定やプライバシー保護に関する標準化など、すでに情報セキュリティに関する検討が進められているものの、医療従事者側では情報セキュリティに関する脅威の認識、対策への意識にばらつきがあることが分かった。これは、医療現場では眼前の治療活動が優先され、医療機器や医療システムへのセキュリティ対策にコストを割くことが難しいという事情があるといえる。なお、海外では2008年頃から情報セキュリティ上の脅威が顕在化していることから、調査では事例として内外の脅威、医療機器における情報セキュリティへの取組みを収集している。
IPA　　医療機器における情報セキュリティに関する調査（2013年度）
http://www.ipa.go.jp/security/fy25/reports/medi_sec/index.html




インシデント報告件数、前四半期と同水準--JPCERT/CCレポート（JPCERT/CC）
http://scan.netsecurity.ne.jp/article/2014/04/16/33987.html    ScanNetSecurity
一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）は4月15日、2014年1月1日から3月31日までの四半期における「インシデント報告対応レポート」および「活動概要」を公開した。インシデント報告対応レポートによると、同四半期にJPCERT/CCが受け付けたインシデント報告件数は4,898件（前四半期は4,812件）と2％増加した。各報告に含まれるインシデント件数は4,529件（前四半期は4,788件）と前四半期から微減、サイト管理者などに対応を依頼した調整件数は1,989件と、前四半期の2,135件から7％減少した。前年同期との比較では、総報告数で10％減少し、調整件数は11％減少している。
インシデントの内訳は「スキャン」に分類される、システムの弱点を探索するインシデントが38.0％、「Webサイト改ざん」に分類されるインシデントは33.1％を占めた。また、「フィッシングサイト」に分類されるインシデントは12.3％を占めている。フィッシングサイト全体では、金融機関のサイトを装ったものが62.3％、オンラインゲームサービスを装ったものが19.6％を占めている。本四半期は、国内のブランドを装ったフィッシングサイトの件数が229件と、前四半期の253件から9％増加し、国外ブランドを装ったフィッシングサイトの件数は187件と、前四半期の204件から8％減少した。活動概要では、「2013年度のインシデント報告件数は29,191件、JPCERT/CCが調整を行った件数は8,717件に」「インターネットバンキングの情報を窃取するマルウエアに関する技術情報の公開や解析支援ツール”Citadel Decryptor”の提供」「APCERT年次会合2014およびTSUBAMEワークショップの開催-JPCERT/CCは引き続きAPCERTのチェアに」をトピックに挙げている。
JPCERT/CC：インシデント報告対応レポート
http://www.jpcert.or.jp/ir/report.html
JPCERT/CC：活動概要
http://www.jpcert.or.jp/pr/index.html

Heartbleed攻撃を日本国内の複数のTokyo SOC顧客で検知、被害はなし（日本IBM）
http://scan.netsecurity.ne.jp/article/2014/04/16/33986.html    ScanNetSecurity
日本アイ・ビー・エム株式会社（日本IBM）は4月15日、2014年4月に公開されたOpenSSLの脆弱性（CVE-2014-0160）を悪用する攻撃(Heartbleed攻撃)をTokyo SOCにおいて確認したと発表した。Tokyo SOCでは、このHeartbleed攻撃を複数の日本国内の顧客で検知しているが、現在までのところ実際の被害が発生している事例は確認されていないという。
Heartbleed攻撃は、多数の送信元より世界的に活動が確認されており、そのほとんどは脆弱性の有無を調査するための調査行為と考えられるとしている。Tokyo SOCの顧客に対するHeartbleed攻撃の送信元IPアドレス数および検知数の推移では、4月13日はやや減少しているが、全体として攻撃の送信元アドレスは増加傾向にあるとみられる。攻撃の送信元IPアドレスの国は、アメリカ、中国、ロシアが多くなっているが、全部で40カ国以上の送信元から攻撃が発生している。
日本IBM　　2014年4月に公開されたOpenSSLの脆弱性(CVE-2014-0160)に対する攻撃を確認
https://www-304.ibm.com/connections/blogs/tokyo-soc/entry/heartbleed201404?lang=ja





2014年04月15日




「お名前.com」をかたるフィッシング詐欺サイトに注意
http://internet.watch.impress.co.jp/docs/news/20140415_644369.html    Impress Watch
フィッシング対策協議会は15日、ドメイン名登録サービス「お名前.com」をかたるフィッシングサイトの報告があったとして、注意を呼び掛けた。
フィッシングサイトは、お名前.comのログイン画面を模したデザインで、ユーザーIDとパスワードを入力させようとするもの。お名前.comを運営するGMOインターネットによると、こうしたサイトに誘導するメールが不特定多数のユーザーに送信されているという。
現時点で、フィッシングサイトは停止が確認されているが、類似のフィッシングサイトが公開される恐れもあるとして、こうしたサイトにはアカウント情報を入力しないように注意するとともに、類似のサイトやメールを発見した場合にはフィッシング対策協議会まで連絡してほしいと呼び掛けている。
フィッシング対策協議会の注意情報　　お名前.comをかたるフィッシング(2014/04/15)
https://www.antiphishing.jp/news/alert/onamaecom20140415.html
お名前.comからの注意喚起　　【重要】お名前.comを騙ったフィッシングメールについて
http://xn--t8jx73hngb.com/news/domain/140410_4.html




リーブ21、不正アクセスでサイト改ざん、顧客情報の流出は確認されておらず
http://internet.watch.impress.co.jp/docs/news/20140415_644460.html    Impress Watch
株式会社毛髪クリニックリーブ21は15日、同社のウェブサイトが不正アクセスによって一部改ざんされていたと発表した。顧客情報の流出などは現在のところ確認されていないという。
改ざん被害を受けたのは、同社の公式サイト（http://www.reve21.co.jp/）。判明後、すぐに公開を停止して安全確認を行っているという。このほか、改ざんは確認されていないものの、公式スマートフォンサイト（http://smt.reve21.co.jp/）および「リーブ21 悩み無用 社員ブログ」（http://blog.reve21.co.jp/）についても、安全のために公開を停止している。
毛髪クリニックリーブ21では、これらのサイトにアクセスした人に対して、セキュリティソフトを最新の状態に更新した上で、不正プログラムの確認・駆除を行うよう呼び掛けている。
なお、「リーブ直販」については、不正アクセスを受けたサーバーとは別のサーバーで運用しており、閲覧や注文などは通常どおり利用できるとしている。
株式会社毛髪クリニックリーブ21　リーブ21のWEBサイト一時閉鎖のお知らせとお詫び(続報)
http://www.reve21.co.jp/




ネットバンクであっさり目のログイン画面は“不正送金ウイルス”を疑え？ 　日本狙い打ちで被害急増、原因はユーザーの理解不足
http://internet.watch.impress.co.jp/docs/news/20140415_644324.html    Impress Watch
インターネットバンキングの“不正送金ウイルス”による被害が日本で急増しているとして、株式会社ラックと株式会社セキュアブレインが14日、注意喚起を出した。金融機関側ではすでに対策を取り入れている一方で、ユーザー側の理解不足や対策不備が被害発生の原因になっていると指摘。ユーザー自身が危険を正しく理解し、自己防衛意識を持って自分のPCの必要最低限の用心をすることが重要だという。
同日開催された記者説明会には、ラック取締役兼CTOの西本逸郎氏、同じくラックのコンサルタントである三宅康夫氏、セキュアブレイン取締役兼CTOの星澤裕二氏、Doctor WebのCEOであるボリス・シャロフ氏が出席。不正送金の手口や技術、被害状況、ユーザーの心構えなどを説明した。
2013年の不正送金被害は14億円超え、手口はフィッシングからマルウェアへ
日本におけるインターネットバンキングの不正送金被害が急増し出したのは2013年6月からで、同年1年間の被害は1315件／約14億円に上り、過去最悪を記録。ところが2014年に入ってからさらに拡大し、1〜2月の2カ月だけで被害額はすでに6億円に上ると伝えられている。
2013年に被害のあった銀行は、ゆうちょ、みずほ、三菱東京UFJ、楽天、三井住友、りそな、シティバンク、住信SBIネット、セブン、新生、ジャパンネット、イオン、八十二、北洋、十六、南都、埼玉りそな、スルガ、大垣共立、千葉、第三、西日本シティ、もみじ、常陽、肥後、横浜、福岡、中国、武蔵野、山形、筑波のほか、地銀が1行。
インターネットバンキングの不正送金の手口といえば日本ではこれまで、偽サイトへ誘導して認証情報を入力させる“フィッシング”だったが、最近では不正送金ウイルスへと移行している。警察庁によると、2011年3月から2013年11月までの不正送金の手口の内訳でフィッシングは7.7％にとどまり、マルウェア（不正送金ウイルス）によるものが92.3％を占めている。
不正送金ウイルスによる手口は、ユーザーのPCに「Zeus（Zbot）」や「SpyEye」といったマルウェアを感染させ、ユーザーが本物のインターネットバンキングのサイトを訪問した際に、不正なログイン画面を表示して認証情報を窃取したり、送金先の口座や金額を裏で書き替えるというものだ。
セキュアブレインが国内のインターネットバンキングユーザー約250万人に提供しているフィッシング・不正送金対策ソフト「PhishWall」による検知数を見ても、不正送金ウイルスのは2013年後半から増加している。2013年1月の時点では月間322件だったのが、7月には月間3335件へと急増。さらに11月には月間5322件という過去最悪を記録した。2014年3月末までの15カ月間で、約3万9000台のPCが不正送金ウイルスに感染したという。
あわせて、約4割のユーザーが2週間以上も不正送金ウイルスの感染を放置していることも分かった。PhishWallには不正ログイン画面の表示をブロックしてユーザーに警告する機能はあるが、感染した不正送金ウイルスの駆除はウイルス対策ソフトで行う必要があるのだという。PhishWallで攻撃を食い止めても、ユーザーが駆除を行っていないか、ウイルス対策ソフトでは完全に駆除できていない可能性がある。
さらに不正送金ウイルスに感染したPCでは、銀行のお知らせページをスキップさせたり、注意喚起メッセージを削除するといったことも可能だ。また、ページの改ざんを検出して警告を出すためのJavaScriptを改ざんし、その警告機能を無効化するなど、銀行が実施するさまざまな不正送金対策を回避する手法も取り入れるなど、攻撃者といたちごっこの状況になっているという。
星澤氏は、説明会で実際に不正送金ウイルスの動作をデモ。「spyeye.exe」や「stream.exe」を実行・感染させたPCで、ゆうちょ銀行のログイン画面に不正なポップアップ画面が挿入されたり、注意喚起画面がスキップされる様子を紹介した。また、テストツールを使って、三井住友銀行の注意喚起リンクを消したり、逆に偽サイトに誘導する偽注意喚起リンクを追加する様子や、送信される送金手続きデータの送金先や金額を裏で改ざんする様子を紹介した。
普段との違いやありえない画面入力に気付くことが重要
不正送金ウイルスへ感染しているかどうかを判別する方法について西本氏は、ユーザーにとって判別するのは不可能ではないかとしながらも、注意喚起画面やメッセージが削除されることから、「やけにあっさりしたログイン画面が出てくると、やられている可能性」があるとした。
これに限らず違いに気付くことが重要であり、そのためには通常時の正規画面をよく知っていることが前提となる。また、送金用パスワード（第2暗証番号）をログイン画面で入力させたり合い言葉の変更を促すこと、乱数表をすべて入力させるといったことは、正規のインターネットバンキングではありえないといったことを理解しておくことだとした。
三宅氏は、個人ユーザーだけでなく法人ユーザーでもインターネットバンキングの不正送金ウイルスの被害が発生した銀行がすでに10行ほどあることを説明。通常、法人では送金操作と承認操作をそれぞれの別の担当者が行うが、中小企業では1人の担当者が1台のPCで行ってしまう場合も多いとし、いったん感染すると不正送金被害につながる危険性を指摘した。
また、不正送金ウイルスの感染自体を防止するのがやはり重要であり、セキュリティの基本である脆弱性対策を確実に行う必要があるという。三宅氏によると、主な感染経路は改ざんされたサイトやメールであり、感染の際に悪用されるのはJavaとFlashの既知の脆弱性が圧倒的に多い。未知の脆弱性が悪用されることもあるが、少ないとしている。すなわち、パッチを適用せずに既知の脆弱性を放置しているユーザーが狙われるということであり、パッチを適用しておけば防止できるケースが多いというわけだ。
ウイルス／画面改ざんパターンは3タイプ、3つの犯罪グループが存在？
さらに三宅氏は今回、不正送金ウイルス被害のあった前述の銀行について、ウイルスおよび画面改ざんのパターンから3タイプに分類されることを紹介。「遷移する画面ごとに改ざん内容を変える」「ログイン後の画面を、別の画面に改ざんする」というタイプA、「特定のサイトにデータを送信する」「どこのページでも同じコードが挿入され、入力される内容を搾取する」というタイプB、「ログイン時に改ざんされた画面が表示される」「遷移後に10桁の送金用パスワードを盗む画面が表示される」というタイプC――の3種類だ。
該当する銀行の数としてはタイプBが多いが、メガバンクなど複数のタイプに含まれる銀行もある。三宅氏は、こうしたパターンを解析することで銀行側がよりスピーディーに不正送金対策を実施できるようになると説明するとともに、攻撃の背後にいる犯罪組織もこの3つのタイプにそれぞれ対応する3グループが存在するのではないかと推測した。
なお、不正送金先の口座からの現金引き出しは国内で行われるため、国内にメンバーがいるのは間違いないとしながらも、犯罪組織の中枢がどの国に置かれているのかまでは、不正送金ウイルスのプログラムコードの解析からは分からないという。
ロシアから来日したDoctor Webのシャロフ氏は今回、同国などにおけるインターネットバンキングへの最新サイバー攻撃事例を紹介したが、日本を狙った攻撃が増加してきた原因については、犯罪組織の手口が進化したためとみている。不正送金したお金を日本で現金で引き出す方法が確立されたことが大きいとし、銀行側の対策レベルやユーザーの保護レベル、警察の捜査能力などとはあまり関係ないとしている。
一方、犯罪組織に関しては、Doctor Webが解析したボットネットの名称に、例えば「20140314」というような年・月・日の順の形式の命名パターンが見られる点を指摘。欧米とは異なることから、日本あるいは中国、韓国の組織である可能性を指摘した。
インターネットバンキングを悪用した不正送金への注意喚起
http://www.lac.co.jp/security/alert/2014/04/14_alert_01.html





2014年04月14日




「ワコール」Webサイト改ざん、閲覧者にウイルス感染の恐れ　32サイト停止、サーバ移転へ
http://www.itmedia.co.jp/news/articles/1404/14/news065.html    ITmedia
ワコールは、同社公式サイトが不正アクセスで改ざんされたと発表した。現在サーバの移行作業を行っており、、再開は4月下旬以降を予定している。
ワコールはこのほど、同社の公式サイトが不正アクセスで改ざんされたと発表した。閲覧したユーザーが意図しないサイトに誘導され、ウイルスに感染した恐れがあるという。
安全確保のため、同サイトに加え、「ウイング」「ウンナナクール」などグループの32サイトを停止。セキュリティを強化したサーバに順次移転し、4月下旬以降に順次再開する。
3月31日、Webブラウザによっては同社サイトが表示されない現象が発生。調査した結果、少なくとも3月10日午後9時3分〜28日午前1時12分の間、第三者による改ざんと修復が繰り返されていたことが分かった。
セキュリティ専門企業による調査の結果、ソフトウェアの脆弱性をついた攻撃が原因だと判明。改ざんされた状態サイトを閲覧した場合、不正なプログラムが実行され、意図しない第三者のサイトに誘導されたり、誘導先のサイトでウイルスに感染させられたり、不正プログラムがダウンロードされる恐れがあったという。
現在のところ、同社からの顧客情報漏えいや消失は確認されておらず、顧客からのウイルス感染などの報告はないとしている。対象のサイトにアクセスした顧客に対して、ウイルス対策ソフトを最新版に更新し、感染確認・駆除を行うよう呼びかけている。
ワコール公式サイト  【ワコールのWEBサイト改ざんに関するお詫びと再開予定のお知らせ】
http://mente.wacoal.jp/sorry_pc.html




地方公共団体のXP使用率は13.0％　約26万5000台が稼働中――総務省調査
http://www.itmedia.co.jp/news/articles/1404/14/news061.html    ITmedia
総務省はこのほど、地方公共団体のWindows XP使用状況に関する調査結果を発表した。地方公共団体が保有するPC約204万台のうち、OSサポート終了後も引き続き使用するXP搭載機は約26万5000台（13.0％）に上るという。
調査は今年4月に全都道府県1788団体に対して実施した。XPをサポート終了後も使用し続ける割合は、都道府県は8.6％、市町村では14.5％という結果に。総務省はこれらの団体に対して（1）可及的速やかに更新を実施する、（2）更新が完了するまでの間は当該パソコンの使用を停止する、（3）やむを得ず使用する場合はインターネットに接続しない―といった対策を呼び掛けている。
プレスリリース   Windows XP 等のサポート期間の終了に伴う対応
http://www.soumu.go.jp/menu_news/s-news/01gyosei07_02000020.html




OpenSSLの脆弱性を標的としたアクセスが増加、警察庁が注意喚起
http://internet.watch.impress.co.jp/docs/news/20140411_644031.html    Impress Watch
警察庁は10日、OpenSSLの脆弱性を標的としたアクセスの増加が確認されたとして、OpenSSLを利用している組織などに対して、アップデートなどの適切な対応を行うよう呼び掛けた。
この問題は、オープンソースのSSL/TLSライブラリ「OpenSSL」について、プロセスのメモリ内容が外部から取得され、秘密鍵などの情報が漏えいする可能性のある脆弱性（通称：Heartbleed）が明らかになったもの。
4月8日には、脆弱性の有無を確認することが可能な攻撃コードが公開されており、警察庁の定点観測システムでも、9日以降、攻撃コードに実装されているClient Helloパケットと完全に一致するパケットを多数観測しているという。
このことから、攻撃コードを使用して脆弱性が存在するサーバーなどの探索が実施されていると考えられると指摘。企業などに対して、脆弱性が存在するバージョンのOpenSSLを使用している製品が存在しないかを確認し、該当する場合にはアップデートを実施することを呼び掛けている。また、脆弱性が存在する状態でSSL証明書を外部に公開していた場合には、すでに秘密鍵が漏えいしている可能性があるため、現在使用している証明書を失効させ、再発行することを推奨している。
OpenSSLの脆弱性を標的としたアクセスの増加について（PDF）
http://www.npa.go.jp/cyberpolice/detect/pdf/20140410.pdf
警察庁セキュリティポータルサイト@police
http://www.npa.go.jp/cyberpolice/index.html





OpenSSLの脆弱性、Microsoftサービスは影響受けず
http://www.itmedia.co.jp/enterprise/articles/1404/14/news024.html    ITmedia
Microsoftのサービスの大部分は影響を受けないことが判明したという。AppleもiOSとOS Xは影響を受けないと説明している。
オープンソースのSSL/TLS実装「OpenSSL」の脆弱性が発覚した問題で、米Microsoftは4月10日、徹底調査を行った結果、同社のサービスの大部分は影響を受けないことが分かったと発表した。
Microsoftによると、「Microsoft Account」「Microsoft Azure」「Office 365」「Yammer」「Skype」など、同社の大部分のサービスはこの問題の影響を受けないことを確認した。WindowsのSSL/TLS実装も影響を受けないという。
まだ少数のサービスについては調査を続けており、対策を強化するためのアップデートを行う予定だとしている。
一方、米IT情報サイトのRe/codeによると、Apple広報はOpenSSLの問題について、「iOSとOS Xは脆弱性のあるソフトウェアを使っていない。主なWebサービスも影響を受けない」とコメントした。
OpenSSLの脆弱性はバージョン1.0.1〜1.0.1fに存在する。悪用されればリモートからメモリ上のデータを読み取られ、秘密鍵やパスワードなどの情報が盗まれる恐れがある。被害に遭ったとしても痕跡は残らず、情報が流出したかどうかを確認できる手段がない。
影響は全Webサイトの3分の2に及ぶとも言われ、サーバアプリケーションだけでなくクライアントアプリケーションにも影響が及ぶと指摘されている。米GoogleやAmazonなどの各社が対応状況を公表しているほか、米US-CERTなどは影響を受けるベンダーと受けないベンダーの一覧をまとめている。
Microsoft Security Response Center   Microsoft Services unaffected by OpenSSL "Heartbleed" vulnerability
http://blogs.technet.com/b/security/archive/2014/04/10/microsoft-devices-and-services-and-the-openssl-heartbleed-vulnerability.aspx
Vulnerability Note VU#720951
http://www.kb.cert.org/vuls/id/720951



人気サイトは“Heartbleed”パッチ済み、ただし以前に漏れた可能性も
http://internet.watch.impress.co.jp/docs/news/20140414_644273.html    Impress Watch
オープンソースのSSL/TLSライブラリ「OpenSSL」の“Heartbleed”脆弱性を修正するセキュリティパッチの適用状況について、米Symantecが12日付の同社公式ブログで報告している。最も多く使われている人気サイトではすでにパッチ適用済みであり、この脆弱性への対処は行われているというが、パッチ適用前に情報が漏れた可能もあるとしている。
この脆弱性は、OpenSSLを実行中のシステムでプロセスのメモリ内容が外部から取得され、暗号化されて保護されているはずの通信内容やユーザー名・パスワード、秘密鍵などの情報が漏えいする可能性があったというもの。OpenSSLの「Heatbeatエクステンション」のバグが原因で、約2年にわたって存在していたことが先週、公になった。
Symantecがこれまでにトラッキング調査してきたところによると、Alexaランキングでトップ1000のサイトにおいてはHeartbleedの脆弱性があるサイトは1つもなく、トップ5000サイトまでだと24サイトに脆弱性があった。また、トップ5万サイトで脆弱性があったのはわずか1.8％だったとしている。この結果からSymantecでは、平均的なユーザーが最も多く訪問するサイトは、現在では、Heartbleed脆弱性の影響を受けないとみられるとしている。
しかし、パッチが適用される前に情報が取得されている可能性もあるとして、その被害を緩和するためにも複数サイトでのパスワード使い回しをしてはならないとしている。
Symantecでは「ユーザーはパスワードを変更すべき」との考えだ。Heartbleedの脆弱性では、変更した新しいパスワードも外部に漏えいしてしまう可能性があるため、パスワードを変更すべきかどうかについてやや矛盾した情報があったというが、Symantecでは今回の人気サイトの調査から、現在ではほとんどのオンラインアカウントを変更するのは安全だとしている。
もちろん、Heartbleedの脆弱性をまだ修正していないサイトでは、今すぐにはパスワードは変更しないこととしている。Symantecがウェブで公開している「SSL Toolbox」では、「Certificate Checker」にサイトのドメイン名を入力することで、そのサイトにHeartbleedの脆弱性があるかどうかチェックできるようになっている。
引き続きSymantecでは、Heartbleedに対する事業者向けの注意事項を紹介している。
OpenSSLのバージョン「1.0.1」から「1.0.1f」までを使っている場合は、最新の修正バージョン「1.0.1g」にアップデートするか、Heartbeat拡張機能を無効化してOpenSSLを再コンパイルすること。
OpenSSLの修正バージョンへアップデートした後、SSLサーバ−証明書の再発行も行うこと。
侵入を受けたサーバーのメモリからエンドユーザーのパスワードが漏えいした可能性を考慮し、ベストプラクティス（基本的なセキュリティ対策）として、エンドユーザーのパスワードをリセットすることも検討すること。
また、引き続きエンドユーザーに対する注意事項も挙げている。
脆弱性があったサービスプロバイダーを使用していた場合は、ユーザーのデータが第三者に盗み見られた可能性があることに留意すること。
利用しているベンダーからの通知を見逃さないようにし、脆弱性のあったベンダーからパスワードを変更するよう連絡があった場合には、指示に従うこと。
パスワードの更新を促す内容であっても、攻撃者からのフィッシングメールである可能性も考慮し、正規サイトのドメインを確認し、偽サイトにアクセスしないように注意すること。
脆弱サイトのスキャンは、大部分が研究者によるもの？
Symantecでは、Heartbleedの問題は深刻だとしながらも、終末的なシナリオは考えにくいとみている。同社がすでに公式ブログで言及しているように、実際には秘密鍵のデータを取得するのは非常に難しいというのだ。Heartbleedの脆弱性を使って秘密鍵を取得することに成功したという研究者もあるが、特定の環境が必要になるとSymantecでは指摘している。
また、Symantecのモニタリングからは、Heartbleedの脆弱性があるサイトをスキャンする動きは広く確認されているが、大部分が研究者によるものとみられるという。攻撃者によるスキャンもあるが、それは特定サイトを狙ったものであり、人気サイトはすでにこの脆弱性の影響は受けないと繰り返している。
Symantec公式ブログの該当記事（英文）　Heartbleed – Reports from the Field
http://www.symantec.com/connect/ja/blogs/heartbleed-reports-fieldSSL
Toolbox
https://ssltools.websecurity.symantec.com/checker/




NSA、「Heartbleedを2年前から悪用してきた」報道を否定
http://www.itmedia.co.jp/news/articles/1404/14/news035.html    ITmedia
米国家安全保障局（NSA）は4月11日（現地時間）、NSAが少なくとも2年前から「Heartbleed Bug」を認識しながら放置し、情報収集のために利用していたとする米Bloombergの同日の記事を公式Twitterで否定し、声明文を発表した。
Bloombergは、この件に詳しい2人の関係者の話として同記事を掲載した（現在この記事は更新され、NSAからの反論が反映されている）。
NSAは声明文で、「NSAやその他の政府機関がHeartbleedと呼ばれる脆弱性に2014年4月以前に知っていたという報道は誤り」で「連邦政府がもし先週より前にこの脆弱性に気づいていれば、OpenSSL関連コミュニティに報告していただろう」としている。
NSAはまた、連邦政府はバラク・オバマ大統領が任命した第三者専門家チームのアドバイスに基いて脆弱性情報公開のプロセスを改善したという。このプロセスは「国家安全保障あるいは法執行上の明確な必要性がない限り」という条件付きで、発見した脆弱性について公表する傾向にあるとしている。
声明文   Statement on Bloomberg News story that NSA knew about the “Heartbleed bug” flaw and regularly used it to gather critical intelligence
http://icontherecord.tumblr.com/post/82416436703/statement-on-bloomberg-news-story-that-nsa-knew
公式Twitterでのツイート
https://twitter.com/NSA_PAO

NSA、「Heartbleed脆弱性を情報収集に利用していた」とする報道を否定
http://internet.watch.impress.co.jp/docs/news/20140414_644214.html    Impress Watch
米国家安全保障局（NSA）は11日、OpenSSLの“Heartbleed”と呼ばれる脆弱性を、NSAが情報収集に利用していたとする米Bloombergの報道に対して、否定する声明文を発表した。
Bloombergでは、この問題に詳しい2人の関係者の話として、NSAは少なくとも2年前にはHeartbleedの脆弱性について認識していながら放置し、定期的に重要な情報を収集するために利用していたと報じている。
NSAはこの報道に対する声明文を発表。NSAや政府機関がHearbleedの脆弱性を2014年4月より前に知っていたというのは誤りで、民間のセキュリティ企業などが公表するまで連邦政府は脆弱性を認識していなかったと説明。政府のウェブサイトやその他のオンラインサービスでも利用者のプライバシー保護のためにOpenSSLを使用しており、もし先に脆弱性を発見していたならば、OpenSSLのコミュニティに連絡していただろうとしている。
また、連邦政府機関がソフトウェアのゼロデイ脆弱性を発見した場合には、それを捜査や情報収集の目的で放置するよりも、責任を持って情報を提供することの方が国家の利益になると説明。この問題に関する大統領諮問委員会からの勧告を受け、ホワイトハウスでは省庁間での脆弱性共有プロセスについて見直しを進めており、このプロセスは明確な国家安全保障や法執行の必要性がない限り、責任を持って脆弱性を公表する傾向だとしている。
NSAの声明文（英文）　Statement on Bloomberg News story that NSA knew about the “Heartbleed bug” flaw and regularly used it to gather critical intelligence
http://icontherecord.tumblr.com/post/82416436703/statement-on-bloomberg-news-story-that-nsa-knew




Webサイトの“鍵”まる見え問題、利用者がすべきことは？
http://bizmakoto.jp/makoto/articles/1404/14/news045.html　　Business Media 誠
OpenSSLという暗号化のためのプログラムに大きな欠陥が発見されました。本当は見えちゃいけない暗号の“鍵”やパスワードが流出する可能性があります。
IDとパスワードを入力して使うクラウドサービス（例えば、Gmail）やネットショップなどを使う際に、必ずチェックしてほしいのがWebブラウザに表示される「鍵マーク」の有無です。これは「通信が暗号化されているので、安全ですよ」という意味なのですが、この暗号化部分を提供するプログラムに重大な欠陥が発見され、エンジニア業界で大騒ぎになっています。
とはいえ、利用者の立場では対応できることがほとんどなく、サービス事業者の対応を待つだけです。ただし、慌ててパスワードを変更せず、まずはサービス事業者からの指示を見逃さないようにしてください（この問題の対応の前にパスワードを変更すると、新しいパスワードも丸見えになる可能性があります）。
利用者が注目すべき点はサービス提供企業の「対応度」
「Heartbleedバグ」と呼ばれる今回の欠陥、ざっくり説明すると「本当は見えちゃいけない、サーバーのメモリ内情報が見えるようになっていた」というものです。これにより、見えちゃいけない暗号の“鍵”や、パスワードが流出した可能性があります。専門的な解説は＠ITの記事
「OpenSSLの「Heartbleed」脆弱性は2年前から存在、「最悪のケースを想定して対処を」と専門家」
http://www.atmarkit.co.jp/ait/articles/1404/10/news128.html　：　OpenSSLの「Heartbleed」脆弱性は2年前から存在、「最悪のケースを想定して対処を」と専門家　2014年04月10日
を参考にしてください。
この欠陥、影響範囲がとてつもなく大きな問題ですが、ユーザーの立場から注目すべきは「あなたの利用しているサービスが、この問題にどう対処しているか」という点です。
筆者がこの問題に気付いたとき、即座に確認したのは金融機関系のサービスでした。例えば、各種金融機関の入出金情報を集め、一覧できるアプリを提供する「MoneyTree」は、この欠陥が判明した4月8日にはサービスを一時停止しました（4月10日には対処し、サービスを再開しています）。一般向けには大変分かりづらい今回の問題に、サポートを行うTwitterアカウントが丁寧に対応していたのが印象的でした。
そのほかにも、クラウドサービスを貸し出すAmazon Web Servicesや、マイクロソフトもいち早く問題に対応、アナウンスを出しています。
海外の各種クラウドサービスの対応一覧もまとめられています。
http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/　：　The Heartbleed Hit List: The Passwords You Need to Change Right Now
今回の問題、利用者自身がそのすべてを理解するのは難しいでしょう。ただし、このような問題があることを「把握」することは必須です。自分にとって重要なサービス（主に「お金」に関係するもの）については、サイトに「Heartbleed」に関するお知らせが出ていないかどうかをチェックしてください。
ところで、原稿執筆時点（2014年4月13日）では、日本のメガバンク各社のトップページにはお知らせがありませんでした。今回の問題には当てはまらないため掲載していないという可能性はありますが、その場合でもできれば「OpenSSLは利用しておらず、無関係であるから安心してほしい」という記載があるとうれしいですね。

2014年04月13日




Androidアプリの脆弱性の学習・点検ツールをサイトで公開、無償利用が可能(IPA)
http://scan.netsecurity.ne.jp/article/2014/04/13/33972.html    ScanNetSecurity
IPA、Androidアプリの脆弱性の学習・点検ツール「AnCoLe」無償公開
IPA（情報処理推進機構）は4月11日、Androidアプリの脆弱性の学習・点検ツール「AnCoLe（アンコール）」をサイトで公開した。Windows Vista／7／8上で動作し、無償利用が可能。
「AnCoLe」（ANdroid secure COde LEarning tool）は、Androidアプリの開発者を対象とした、脆弱性が作り込まれてしまう原因や対策について実習形式で学べるツール。IPAへの届出が多い脆弱性を中心とした7テーマを対象に、対策方法が学習・点検できる。攻撃アプリを使い、修正したサンプルアプリに攻撃を試行し、対策されていることを確認することが可能。
ソフトウェア開発環境のEclipse上で動作し、Android端末の実機やエミュレータを使用する。学習対象となる脆弱性等は、「ファイルのアクセス制限不備」「コンポーネントのアクセス制限不備」「暗黙的Intentの不適切な使用」「不適切なログ出力」「WebViewの不適切な使用」「SSL通信の実装不備」「不必要な権限の取得」の7種類。
その他、Androidアプリ開発の初心者に配慮し、ツールの使用上最低限必要となる、基本的な知識としてAndroid OSの仕組み、Androidアプリの特徴、および用語集が提供されている。
Androidアプリの脆弱性の学習・点検ツール AnCoLe
http://www.ipa.go.jp/security/vuln/ancole/index.html





2014年04月11日





Google、新千歳・中部空港詳細図を誤って一般公開　国交省調査へ
http://www.itmedia.co.jp/news/articles/1404/11/news107.html    ITmedia
空港詳細図の提供を受けたGoogle日本法人が、Googleグループの設定を誤り一般公開していたことが分かった。
米グーグルの無料メール共有サービス「グーグルグループ」で、新千歳空港と中部空港のターミナルビルの詳細図が、一般に閲覧できる状態で公開されていたことが11日、国土交通省への取材で分かった。詳細図には職員用通路などの保安区域が含まれていた。
国交省によると、地図サービスに利用するため、それぞれの空港運営会社から詳細図の提供を受けたグーグル日本法人が、社内でのやりとりの際にメール共有サービスを使い、誤って一般公開の設定にしていたという。
この問題について、太田昭宏国交相は11日の閣議後会見で、「保安区域に出入りができる扉については厳重に管理されており、（詳細図が）公開されたことで直ちに深刻な事態につながるとは考えていない」との認識を示す一方、「航空保安に係る情報管理は極めて重要であり、国内全ての空港管理者に情報管理の徹底を指示した」と明らかにした。
グーグルグループは、米グーグルが運営する無料サービスで、グループ登録したメンバー同士でメールを共有したり、オンラインで情報交換したりできる仕組み。グループ内の情報の閲覧は、メンバー以外の誰でもネット上で閲覧できる「一般公開」にしたり、メンバーに限定したりすることができる。中央省庁や大学、会社でも利用され、これまでに金沢工業大や京大などで教職員が業務で使用した際、学生らの個人情報が誰でも閲覧できる状態になっていた問題が発覚している。



グーグルから情報流出、東京駅も新大阪駅も…
http://headlines.yahoo.co.jp/hl?a=20140411-00050101-yom-sci    読売新聞
メール共有サービス「グーグルグループ」で空港の設計図などをグーグル日本法人が流出させていた問題で、東京駅や新大阪駅の内部情報もインターネット上で誰でも閲覧できる公開状態になっていたことが、１１日分かった。
空港に続いて駅の情報も流出していたことがわかり、２０２０年の東京五輪・パラリンピック開催に向けてテロ対策などの見直しなどを進めている国土交通省も調査に乗り出した。
東京駅では、ＪＲ東日本の子会社が運営し、駅に隣接するグラントウキョウサウスタワー（地上４２階、地下４階）の地下１階部分が公開状態になっていた。外部には非公開の特別高圧線の位置や、ビルの心臓部とも言える「中央管理室（防災センター）」などの施設が詳細に記入されていた。同駅の改札内の地下１階にある商業施設「グランスタ」の図面には、「中央配線室」「機械室」などの各部屋のほか、各店舗が売上金を入れる「入金機室」の場所も明記されていた。施設を運営する別のＪＲ東日本の子会社は「外部に場所を公開することはあり得ない」と驚く。
新大阪駅の駅ビル「メディオ新大阪」では、商業施設の一角にある大阪府警鉄道警察隊分駐所の「取調室」などの位置が公開状態になっていた。外部からは立ち入れない、新幹線の運転士用とみられる「休憩室」の場所も記入されていた。
グーグル日本法人の社員らは地図サービス「グーグルマップ」の詳細版「インドアグーグルマップ」の更新作業で、グーグルグループを利用して情報を共有した際、公開設定としていたため、駅や商業施設などに関する約６６０通のメールがネット上で誰でも見られる状態となっていた。

OpenSSLの脆弱性の有無をホスト名の入力で判別できる無料サービス（ネットエージェント）
http://scan.netsecurity.ne.jp/article/2014/04/11/33969.html    ScanNetSecurity
ネットエージェント株式会社は4月10日、OpenSSL Heartbleed脆弱性の有無を、Web上から対象のホスト名を入力するだけで容易に判別できるサービス「Heartbleed検査サービス」を、無償にて提供開始したと発表した。本脆弱性は、SSL/TLSの暗号化によって保護されている情報が特殊な環境下でなくても盗まれてしまう脆弱性で、SSLによる暗号化通信の安全性を覆すとても大きな問題としている。
本脆弱性は、過去にさかのぼってユーザの情報が漏えいする可能性があり、すでに本脆弱性によって一部サイトにてユーザのID、パスワードの情報が漏えいする等といった被害が確認されている。さらに、本脆弱性では攻撃された記録が一切残らないため、攻撃者に攻略されたかどうかをログによって検査する等といった判断ができない。このため安全面から当該バージョンを利用してインターネットに公開していた場合は例外なく、攻撃者に攻略されたであろうという前提で対応すべきだと同社では考え、本サービスの提供に至ったという。
ネットエージェント　　OpenSSLのHeartbleed脆弱性があるかを調査「Heartbleed検査サービス」
http://www.netagent.co.jp/news/opensslheartbleedheartbleed.html
Heartbleed検査サービス
http://ssl.white.hacker.jp/hb/hb?




OpenSSLの“出血バグ”を抱えているサイト、「.jp」ではHTTPSサイトの45％
http://cloud.watch.impress.co.jp/docs/news/20140411_644064.html    Impress Watch
“Heartbleed”と呼ばれるバグによって、深刻な脆弱性が約2年にわたって存在していたことが発覚したオープンソースのSSL/TLSライブラリ「OpenSSL」。暗号化された通信の内容や秘密鍵などの情報を第三者が取得可能だったという脆弱性の公表とともに、OpenSSL Projectからは修正バージョンも公開されており、すでに対処済みのサイトもある。
例えばGoogleでは、検索やGmail、YouTube、ウォレット、Google Play、Google Appsなどの主要サービスで、パッチを適用済みだと発表している。
とはいえ、OpenSSLはさまざまなディストリビューションに含まれ、最も普及しているとされるSSL/TLS実装だけに、多くのHTTPSサイトがこれまで、Heartbleedバグを抱えながら運用されてきたことになる。
Netcraftによると、OpenSSLを使用している主なサーバーソフトとしてはApacheやnginxがあるが、2014年4月現在、それらを使用しているアクティブなサイトの市場シェアは66％。ただし、それらのサイトすべてがHTTPSを使っているわけではなく、また、脆弱性の原因となっているOpenSSLの「Heartbeat」エクステンションを有効にしていたわけではないという。
Netcraftの直近の調査によると、HTTPSサイトのうちの17.5％がバグを抱えたHeartbeatエクステンションを有効にしていたという。信頼できる認証局から発行されたSSL証明書のうち、実に約50万件が秘密鍵の漏えいなどにつながる危険な状態だったことになる。
また、トレンドマイクロ株式会社によると、Alexaランキングの上位100万ドメインに含まれるサイトを対象にいくつかの国で調査したところ、現時点で約5％のサイトが今回の脆弱性の影響を受けることが分かったという。
HTTPSを使っているサイトに限れば、全17万4336サイトのうち8632サイトが脆弱だったとしており、比率は30％となる。TLD別に見ると「.kr」「.jp」「.ru」「.cn」「.gov」という順で、脆弱なサイトの比率が高かった。例えば「.kr」では56％に上り、102サイトのうち57サイトが脆弱だったという。「.jp」は45％で、1195サイトのうちの534サイトが脆弱とされている。
これに対して「.fr」が19％、「.in」が18％と低かったことから、トレンドマイクロでは、これらの国ではそもそも、脆弱性があるOpenSSLのバージョンがあまり使われていなかった可能性を指摘している。今回の脆弱性の影響を受けるOpenSSLのバージョンは「1.0.1」から「1.0.1f」まで、および「1.0.2-beta」から「1.0.2-beta1」までだが、それよりも古いバージョンではHeartbleedバグが含まれていない。
トレンドマイクロによると、これらの国ではLinuxの最新バージョンを使用するサーバーが比較的少ないため、OpenSSLも最新バージョンではなかった可能性があるわけだ。もちろん、今回の脆弱性が公表された後、直ちに修正バージョン「1.0.1g」の適用が進んだとの仮説も考えられるとしている。
図書館検索サービスを手がける株式会社カーリルでは、SSLは図書館のサイトでも予約受付などに多く使われているとし、カーリルの連携先の図書館システムを対象に簡易的な検査を実施したという。調査対象3500ホストのうち、4月9日16時の時点で150ホストで脆弱性が検出されたとしており、図書館システムの担当者に対処を呼び掛けている。
株式会社シマンテックでは、Heartbleedバグによる脆弱性が見つかったことを受けて、HTTPSを使ったサービスの運営者およびエンドユーザーへの注意事項をまとめている。
運営者はまず、使っているOpenSSLが脆弱性のあるバージョンだった場合は、修正バージョンに更新するか、Heartbeatエクステンションを無効化した上で再コンパイルする必要がある。また、「この攻撃を行っても、秘密鍵を盗み出すのはきわめて難しいと考えられる」とシマンテックでは指摘している一方で、そうした最悪の可能性も考慮し、SSLサーバー証明書の再発行を認証局に依頼するよう求めている。さらにエンドユーザーのパスワードをリセットすることも検討する必要があるとしている。
エンドユーザーに向けては、利用しているサービスが脆弱性のあるOpenSSLを使用していた場合、データが第三者に盗み見られた可能性があると説明。サービスプロバイダーからパスワードを変更するよう連絡があった場合は、指示に従ってパスワードを変更するよう案内している。ただし、この脆弱性に便乗したフィッシングメールが出回ることも考えられるため、パスワードを変更する場合は、正規サイトのドメイン名を確認した上で、偽サイトにアクセスしてしまわないよう注意を呼び掛けている。
シマンテックが公開している「SSL Toolbox」の「Certificate Checker」では、サイトのドメイン名を入力することで、今回の脆弱性の有無がチェックできるようになっている。
The Heartbleed Bug（英文）
http://heartbleed.com/Google
公式ブログの該当記事（英文）http://googleonlinesecurity.blogspot.jp/2014/04/google-services-updated-to-address.html
Netcraftの調査結果（英文）
http://news.netcraft.com/archives/2014/04/08/half-a-million-widely-trusted-websites-vulnerable-to-heartbleed-bug.html
トレンドマイクロ公式ブログの該当記事
http://blog.trendmicro.co.jp/archives/8929
カーリル公式ブログの該当記事
http://blog.calil.jp/2014/04/heartbleed.html
シマンテック公式ブログの該当記事
http://www.symantec.com/connect/ja/blogs/heartbleed-bug-poses-serious-threat-unpatched-servers
SSL Toolbox
https://ssltools.websecurity.symantec.com/checker/

OpenSSLの「Heartbleed」脆弱性に便乗攻撃、陰謀説や政府機関利用説も
http://www.itmedia.co.jp/news/articles/1404/11/news053.html    ITmedia
オープンソースのSSL/TLS実装「OpenSSL」の脆弱性発覚で
秘密鍵やパスワードなどの情報流出が危惧される中、
http://www.itmedia.co.jp/enterprise/articles/1404/09/news041.html　：　OpenSSLの脆弱性、影響は極めて重大――パスワードや秘密鍵の流出も　2014年04月09日
パスワード変更の呼び掛けを装った詐欺メールや偽の脆弱性チェックサイトなど、騒ぎに便乗した攻撃の危険性も浮上している。
脆弱性は「heartbeat」という機能の実装問題に起因することから、重大性に鑑みて「Heartbleed」（「心臓出血」の意味）の名称で呼ばれている。セキュリティ企業のCodenomiconはこの脆弱性について詳しく解説したWebサイト「Heartbleed Bug」を開設した。
それによると、この脆弱性を突かれた場合、OpenSSLで保護されているはずのシステム上にあるメモリを、インターネット上で誰もが読めてしまえる。
例えばサービスプロバイダーの認証やトラフィックの暗号化に使われる秘密鍵、ユーザー名やパスワードなどを盗まれたり、通信を傍受されたりする恐れもあり、盗まれた情報がなりすましなどの攻撃に利用される可能性もある。
Codenomiconは外部から攻撃を仕掛ける実験を行った結果、特権情報やパスワードを一切使うことなく、証明書の秘密鍵、ユーザー名とパスワード、インスタントメッセージや電子メール、企業の重要文書や通信などを盗み出せることを確認したとしている。
また、セキュリティ企業のFox-ITは、米Yahoo!のユーザー名とパスワードを入手できることを確認したと伝えた。
OpenSSLを使っているオープンソースのWebサーバはApacheとnginxだけで66％のシェアを持つほか、メールサーバやチャットサーバ、仮想プライベートネットワーク（SSL VPN）などにもOpenSSLが使われており、影響は極めて広範に及ぶ。
米SANS Internet Storm Centerによると、米国時間4月8日の時点でUbuntu、CentOSなどはこの脆弱性を修正するパッチを公開した。AppleのOS X Mavericksはまだ未対応。Windowsは影響を受けないと思われる。
脆弱性のあるシステムをリモートでスキャンするためのコンセプト実証コードも出回っているという。
脆弱性はOpenSSL 1.0.1〜1.0.1fに存在する。2011年12月に導入されて2012年3月14日の1.0.1リリースで出回り、2014年4月7日に公開された1.0.1gで修正された。なお、1.0.0系と0.9.8系は影響を受けないとされる。
Heartbleed Bug
http://heartbleed.com/
SANS Internet Storm Center　　Patch Now: OpenSSL "Heartbleed" Vulnerability
https://isc.sans.edu/forums/diary/+Patch+Now+OpenSSL+Heartbleed+Vulnerability/17921




「Heartbleed」の脆弱性問題、Web管理者とユーザーの対策ポイント
http://www.itmedia.co.jp/enterprise/articles/1404/11/news122.html    ITmedia
OpenSSLで見つかった「Heartbleed」脆弱性への対策ポイントをセキュリティ各社が紹介している。シマンテックは、サイト利用者のためのツールも公開した。
SSL/TLS実装の「OpenSSL」に脆弱性（通称「Heartbleed」）が見つかった問題は、非常に多くのWebサイトに影響を及ぶ可能性が指摘されている。セキュリティ各社ではWebサイトの管理者や利用者に向けて、対策を講じる上でのポイントを紹介している。
この脆弱性はOpenSSLのTLSのHeartbeat拡張に起因する。攻撃者に悪用された場合、通信内容を盗聴されてログイン情報や個人情報、暗号鍵などのデータが漏えいする恐れがある。OpenSSLは非常に多くのWebサイトに導入されている。
Webサイト管理者に向けてSymantecやF-Secureでは以下の対策ポイントを挙げている。
•脆弱性のあるバージョン（OpenSSL 1.0.1〜1.0.1fおよび同1.0.2-beta〜1.0.2-beta1）を利用しているものを全て特定する
•脆弱性を修正したOpenSSL 1.0.1gに更新する（4月8日現在、1.0.2-beta〜1.0.2-beta1の公開されていない）か、Heartbeat拡張を使わずにOpenSSLを再コンパイルする
•秘密鍵やSSLサーバ証明書の漏えいを疑われる場合は新しいものを作成する
•証明書の作成やサーバの設定を見直す
•追加的なセキュリティ対策を検討する（F-Secureは一例としてPerfect Forward Securityの実装を紹介）
•エンドユーザーのパスワードリセットを検討する
Webサイト利用者への注意点は以下の通り。
•利用しているプロバイダーからの情報を常に確認する（情報漏えいの可能性やパスワード変更の必要性などが想定される）
•パスワード変更を促すなどのメールがフィッシングかどうか、細心の注意を払い、公式サイトのドメインも確認する
•信頼できる著名なWebサイトとサービスだけを利用する（対策が完了している可能性が高い）
•銀行口座やクレジットカードの明細に注意し、不審な取引がないかどうかを確認する
SymantecではWebサイトに今回の脆弱性が存在しているかを確認できる
チェックサイトも公開
https://ssltools.websecurity.symantec.com/checker/　：　SSL Toolbox
している。
Symantec  パッチ未適用のサーバーに深刻な脅威となる Heartbleed 脆弱性
http://www.symantec.com/connect/ja/blogs/heartbleed
F-Secure  管理者達へ：Heartbleedの修正するときに設定基準を見直そう
http://blog.f-secure.jp/archives/50725588.html

OpenSSLの「Heartbleed」脆弱性に便乗攻撃、陰謀説や政府機関利用説も
http://www.itmedia.co.jp/news/articles/1404/11/news053.html    ITmedia
オープンソースのSSL/TLS実装「OpenSSL」の脆弱性発覚で秘密鍵やパスワードなどの情報流出が危惧される中、パスワード変更の呼び掛けを装った詐欺メールや偽の脆弱性チェックサイトなど、騒ぎに便乗した攻撃の危険性も浮上している。
米SANS Internet Storm Centerは4月10日、正規の業者を装って、エンドユーザーにパスワードの変更を促すリンク付きの詐欺メールが出回っていると伝えた。こうしたメールのリンクを不用意にクリックすると、マルウェアに感染したり、だまされて入力したパスワードなどの情報を盗まれたりする恐れがある。
厄介なことに、正規の業者もこの問題に関して注意を促すメールを送信している。SANSの研究者は、自身に届いた正規メールにリンクが掲載されていたことを問題視して、「これは大きな間違いだ」と指摘。「助けになりそうなリンク付きのメールの大部分は助けにならない。リンクをクリックしてはいけない」とエンドユーザーに呼び掛けている。
この他にも、脆弱性の有無を確認できるWebサイトに見せかけて、マルウェアに感染させる偽サイトなども出現が予想されるとSANSは警告する。
今回の脆弱性では攻撃を受けたとしても痕跡が残らず、情報が流出したかどうかを確認できる手段がない。従ってユーザーが念のためにパスワードを変更するのは有効な対策ではある。
ただ、セキュリティ企業のSophosは4月10日のブログで、「慌てて自分の使っている全サイトのパスワードを変更したりはしない方がいい」と指摘した。
同社によると、もしWebサイト側が対応を済ませる前にユーザーがパスワードを変更してしまえば、その新しいパスワードも盗まれる恐れがある。このため「サイト側が対応を済ませたと発表するなど脆弱性が解決されたことを確認できるまで待った方がいい」とSophosは助言している。
この問題を巡っては、OpenSSLの脆弱性が2011年12月から存在していたことが分かっており、一部報道では2013年11月の時点で悪用を探る動きがあったとも伝えられる。
米国家安全保障局（NSA）など各国の政府機関が監視や情報収集活動にこの脆弱性を使っていたのではないかとの憶測や、脆弱性が実は意図的に導入されたのではないかといった陰謀説まで飛び交っている。
SANS Internet Storm Center　　Reverse Heartbleed Testing
https://isc.sans.edu/
threatpost　　Heartbleed: A Bug With A Past and A Future
http://threatpost.com/heartbleed-a-bug-with-a-past-and-a-future/105393

アプリインストール後もAndroid端末を監視、Googleがセキュリティ強化
http://www.itmedia.co.jp/news/articles/1404/11/news052.html    ITmedia
米Googleは4月11日、Androidを搭載したスマートフォンやタブレットを有害アプリから守るため、新しいセキュリティサービス層を追加すると発表した。
Androidでは現在、Google Play以外のサービスからアプリをインストールする際に不正な機能がないかどうかチェックする「Verify apps」を提供している。新サービスはこれをベースとして、インストール後も端末を継続的に見張り、全てのアプリに不審な挙動がないかどうかを確認する。Googleはこれを、自宅の安全を監視するホームセキュリティサービスにたとえている。
新サービスは無料で追加され、アプリの挙動チェックにはAndroidセキュリティチームとSafe Browsingが開発したAndroidアプリスキャンシステムを利用する。
アプリに不審な挙動が見つかった場合は警告メッセージが表示される。ただ、「潜在的に有害なアプリは極めて少なく、この新しい防御層が加わってもほとんどのユーザーは警告を目にすることはないだろう」とGoogleは解説している。
Android公式ブログ　　Expanding Google’s security services for Android
http://officialandroid.blogspot.jp/2014/04/expanding-googles-security-services-for.html





2014年04月10日




OpenSSL脆弱性にベンダーが状況公開、影響システムを探る動きも
http://www.itmedia.co.jp/enterprise/articles/1404/10/news028.html    ITmedia
「Heartbleed」問題でGoogleやMozilla、Amazon Web Servicesなどの各社が対応状況を説明。顧客側にもSSL証明書の入れ替えなどの対応を促している。
オープンソースのSSL／TLS暗号化ライブラリ「OpenSSL」に極めて深刻な脆弱性が見つかった問題で、影響を受ける企業が緊急対応に乗り出している。この脆弱性を悪用されるとパスワードや秘密鍵などの情報が流出する恐れがあり、攻撃を受けたとしても痕跡は残らない。
Googleは米国時間の9日までに、検索サービスやGmail、YouTube、Wallet、Play、Apps、App Engineなどの主要サービスで問題を修正したと発表した。ChromeとChrome OSは影響を受けないという。
Google Cloud PlatformやGoogle Search Appliance（GSA）については現在対応中。Google Compute Engineの顧客は各インスタンスについてOpenSSLを手作業で更新するか、既存のイメージを更新版のOpenSSLを含むバージョンに入れ替える必要がある。
Androidはバージョン4.1.1が影響を受け、パッチに関する情報をパートナー各社に提供している。それ以外のバージョンは影響を受けないという。
MozillaはPersonaとFirefox Account（FxA）が影響を受けることを明らかにした。両サービスともサーバの大部分をAmazon Web Services（AWS）で運用しているという。Mozillaは全プロダクションサービスのTLS鍵を生成し直し、流出した可能性のある鍵や証明書を失効させる措置を取った。
AWSはElastic Load Balancing、Amazon EC2、AWS OpsWorks、AWS Elastic Beanstalk、Amazon CloudFrontの各サービスが影響を受けるといい、顧客側にもSSL証明書の入れ替えなどの対応を促している。これ以外のサービスは影響を受けないか、顧客側の行動を必要としない対策を講じたとしている。
米SANS Internet Storm Centerによると、この他にもRed HatやUbuntuなどの主要Linuxディストリビューションや、Cisco、Juniper、Novellといった各社が対応状況を公開している。
AppleのOS X Mavericks（10.9）のデフォルトのOpenSSLは、脆弱性が存在しないバージョン0.9.8だという。ただしMacPortsを使っている場合は、脆弱性のあるOpenSSL 1.0.1がインストールされており、対応を必要とする。
Google   Google Services Updated to Address OpenSSL CVE-2014-0160 (the Heartbleed bug)
http://googleonlinesecurity.blogspot.jp/2014/04/google-services-updated-to-address.html
Mozilla  Heartbleed Security Advisory
https://blog.mozilla.org/security/2014/04/08/heartbleed-security-advisory/
Amazon Web Services  AWSからOpenSSLの脆弱性について AWS のサービスアップデート
http://aws.amazon.com/jp/security/security-bulletins/aws-services-updated-to-address-openssl-vulnerability/
SANS Internet Storm Center  Heartbleed vendor notifications
https://isc.sans.edu/forums/diary/Heartbleed+vendor+notifications/17929






2014年04月08日




電気通信事業におけるサイバー攻撃対策の在り方、第一次取りまとめ（総務省）
http://scan.netsecurity.ne.jp/article/2014/04/08/33936.html    ScanNetSecurity
総務省は4月4日、「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会」による第一次とりまとめが策定されたとして、報告書を公表した。また、意見募集の結果も公表している。報告書は、研究会における議論や検討を踏まえ、それぞれの課題の解決の方向性について、一定のとりまとめを行ったもの。今後、本報告書を参照し、電気通信事業者において、自主的に適正なサイバー攻撃への対処が行われることを期待するとしている。
報告書では、最近のサイバー攻撃の状況を踏まえ、電気通信事業法における「電気通信事業者の取扱中に係る通信の秘密は、侵してはならない」ものという「通信の秘密」と「侵す」の意義について基本的な考え方をまとめている。また、これらを踏まえた上で、具体的な検討として「マルウェア配布サイトへのアクセスに対する注意喚起における有効な同意」「マルウェア感染駆除の拡大」「新たなDDoS攻撃であるDNSAmp攻撃の防止」「SMTP認証の情報を悪用したスパムメールへの対処」「サイバー攻撃の未然の防止と被害の拡大防止」を挙げている。
総務省　　「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会第一次とりまとめ」及び意見募集の結果の公表
http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000074.html

ビル管理システムに対する探索行為を検知、対策を呼びかけ（警察庁）
http://scan.netsecurity.ne.jp/article/2014/04/08/33935.html    ScanNetSecurity
警察庁は4月4日、ビル管理システムに対する探索行為を検知しているとして、必要な対策を行うよう「@police」で注意喚起を発表した。これは3月中旬以降、警察庁の定点観測システムが宛先ポート47808/UDPに対するアクセスを検知しているというもの。47808/UDPは、ビル管理システムで使用される通信プロトコル用標準規格「BACnet」で定義されているポートであり、このアクセスは、BACnetに基づいて構成されたシステム（BACnetシステム）を探索している可能性があるという。
このアクセスを分析したところ、BACnetシステムに接続された機器の情報を確認する「Read-Property」のパケットであることから、BACnetシステムの探索行為であると考えられる。過去には、BACnetに関連するソフトウェアの脆弱性が報告されており、攻撃を行うための調査を行っている可能性も考えられる。適切な対策を施さずにビル管理システムをインターネットに接続している場合、攻撃者に進入され、システムを任意に操作される恐れがある。警察庁では対策として、使用製品の最新セキュリティ情報の確認、インターネットへの不要な公開の停止、ネットワークセキュリティの確認を挙げている。
警察庁（@police）
http://www.npa.go.jp/cyberpolice/




2014年04月04日



モバイルマルウェアが登場して10年、その歴史を振り返る（フォーティネットジャパン）
http://scan.netsecurity.ne.jp/article/2014/04/04/33919.html    ScanNetSecurity
フォーティネットジャパン株式会社は4月2日、モバイルマルウェアが登場して10年が経過したとして、その進化の歴史を振り返っている。同社FortiGuard Labsでは2013年、新たな不正アプリケーションの数が1日に1,300を超え、同ラボでは現在も300以上のAndroidマルウェアファミリー、400,000以上の不正なAndroidアプリケーションの追跡を行っている。世界初のモバイルマルウェアは2004年に確認された「Cabir」で、ノキアシリーズ60を標的とするもの。専門家によると、29Aというハッカー集団がPOC（概念実証）として開発したものであるとみている。
2005年に発見された「CommWarrior」にはBluetoothとMMSの両方を介して増殖する機能が追加された。また、Symbian 60というプラットフォームも標的となった。2006年には「RedBrowser」というトロイの木馬が登場した。Java 2 Micro Edition（J2ME）プラットフォームを介して電話に感染するよう設計されており、金銭目的が明確になる。2007年から2008年はモバイル脅威の進化が停滞しており、過渡期とみている。2009年になると、正規アプリケーションを装う「Sexy View」に隠れたマルウェア、Yxes（「Sexy」のアナグラム）を発見。Symbian 9 OSを標的とした初のマルウェアと考えられ、また携帯ユーザの知らないうちにSMSを送信し、インターネットにアクセスした最初のマルウェアとされている。
2010年には、大規模で組織的なサイバー犯罪者たちが世界規模で活動するようになり、モバイルマルウェアの産業化が始まった。Androidプラットフォームを攻撃するよう設計された初のマルウェア「Geinimi」も登場している。2011年には、Android携帯を乗っ取る「DroidKungFu」が登場、Google Play上の多くのアプリに潜む「Plankton」も2011年に登場した。2013年にはAndroid携帯を標的とした初のランサムウェアである「FakeDefend」、初の標的型攻撃「Chuli」が登場し、モバイル攻撃が「プロ化」した。サイバー犯罪コミュニティは現在も、「金儲け」という唯一の目的に向けてこれらの攻撃を仕掛ける新たな、そしてますます巧妙な手口を開発し続けており、今後はIoT（モノのインターネット）も標的になるとしている。
フォーティネットジャパン
http://www.fortinet.co.jp/







2014年04月03日





ワコールがサイト改ざん被害……50近い関連サイトが現在も閉鎖中
http://www.rbbtoday.com/article/2014/04/03/118496.html　  RBB TODAY
ワコールは3月31日、同社の一部サイトが、不正アクセスにより改ざんされていたことを発表した。4月3日現在も、同社の50近いサイトが一時閉鎖中となっている。改ざん期間などは調査中で、復旧予定は未定。
発表によると3月28日に、一部検索サイトにおいて、同社サイトが「コンピュータに損害を与える可能性がある」と判定される事象が発生。調査の結果、サイトの一部が改ざんされていることが判明したため、同日17:30に関連サイトをすべて閉鎖し、詳細調査を開始したという。
被害を受けたサーバは「www.wacoal.jp」で、改ざんされている状態で、対象サイトを閲覧した場合、不正なサイトに誘導され、ウイルス感染や不正プログラム侵入のおそれがあるとのこと。顧客情報の漏えいは確認されていない。また、ユーザーからの被害報告もないとしている。
同社では、関連サーバもすべて停止させ、事実調査とセキュリティ強化等の対策を実施しているとのこと。そのため、「www.wacoal.jp」をはじめ、「www.amphi.jp」「www.w-wing.jp」「store.wacoal.jp」「www.crosswalker.jp」「www.studiofive.jp」「www.lasee.jp」「www.lunch8.com」「www.nanasai.co.jp」など、モバイルサイトやスマホサイトなど、50近いサイトが一時閉鎖中となっている。




Oracle Java Cloudサービスに脆弱性情報、セキュリティ企業が公開
http://www.itmedia.co.jp/enterprise/articles/1404/03/news039.html    ITmedia
過去に何度もJavaの脆弱性を発見してきたセキュリティ企業が、Oracleの「Java Cloud Service」に存在する脆弱性についての技術的詳細とコンセプト実証コードを公開した。
ポーランドのセキュリティ企業Security Explorationsは4月1日、米Oracleの「Java Cloud Service」に存在する脆弱性についての技術的詳細とコンセプト実証コードを公開したと発表した。
Security Explorationsは過去に何度もJavaの脆弱性を発見してきたセキュリティ企業。今回の情報については2カ月前にOracleに報告したにもかかわらず、Oracleからは問題の解決に関する情報提供がなかったと説明している。
「Java Cloud Serviceは正式提供開始から1年半がたったにもかかわらず、Oracleはいまだにクラウドの脆弱性対応に関するポリシーを確定していない」とSecurity Explorationsは批判。「今後もクラウドデータセンターにおける脆弱性の修正について説明するかどうかは約束できないと公言している」という。
そこで同社は、Oracleのセキュリティプロセスについて知ってもらう目的で脆弱性情報を公開することにしたという。公開された文書では、Javaのサンドボックスが回避される問題や、Java APIホワイトリストのルールが回避される問題など、30項目の脆弱性について詳しく解説している。
この問題は、2013年6月から2014年1月にかけてOracle Java Cloud Serviceを利用した顧客が影響を受けるという。Security Explorationsでは、セキュリティ対策の不備を理由としてOracleに払い戻しを要求する根拠としてこの資料を使ってほしいと顧客に呼び掛けている。
プレスリリース　　SE-2013-01 Press Info (2)
http://www.security-explorations.com/en/SE-2013-01-press2.html

クラウドサービス提供事業者が留意するべき情報セキュリティ対策を策定(総務省)
http://scan.netsecurity.ne.jp/article/2014/04/03/33913.html    ScanNetSecurity
総務省、クラウドサービス事業者向けにセキュリティ対策ガイドラインを公表
総務省は4月2日、「クラウドサービス提供における情報セキュリティ対策ガイドライン」を公表した。
クラウドサービス利用の進展状況等に対応するため、クラウドサービス提供事業者が留意するべき情報セキュリティ対策を策定した。
このガイドラインでは、「クラウド利用者とクラウド事業者の間の役割と責任の分担」「ICTサプライチェーンを構成するクラウド事業者と供給者間の役割と責任の分担」にともなって発生する様々な問題に焦点を当てている。
また、クラウド事業者が、クラウド利用者との接点において対応すべき実務は、「クラウド利用者による統制を確保するための実務」「技術的実装の選択」「クラウドサービス運用にあたってのコンプライアンスの確保」「クラウド利用者とのコミュニケーションにおける実務」「認証取得、インシデント対応、監査等にあたっての利用者ごとの資産・証跡の特定」の5つから構成されると定義。それぞれについての指針を作成している。
ガイドラインは78ページのPDFファイルで、総務省サイトより閲覧・ダウンロードが可能。
クラウドサービス提供における情報セキュリティ対策ガイドラインの公表
http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000073.html





違法ファイル公開ユーザーへの削除要請メール送信、BitTorrentとGnutellaも対象に
http://www.itmedia.co.jp/news/articles/1404/03/news092.html    ITmedia
CCIFは、違法ファイル公開ユーザーへの削除依頼メール送付対象に4月から、BitTorrentユーザーとGnutellaユーザーを加えた。
権利者団体とISP団体などで構成する「ファイル共有ソフトを悪用した著作権侵害対策協議会」（CCIF）は4月から、著作権侵害ファイルを公開しているBitTorrentユーザーとGnutellaユーザーに削除依頼メールを送る活動を始めた。
2010年3月からWinnyユーザーに、11年12月からはShareユーザーに削除依頼メールの送信を開始。14年1月までにのべ3万7000ユーザーにメールを送ったという。
新たにBitTorrentとGnutellaを加えることで、国内で利用されている主要なファイル共有ソフトのユーザーを網羅したとしている。
ニュースリリース　　2014年4月より、BitTorrentユーザー、Gnutellaユーザーに対する啓発活動を開始 〜ファイル共有ソフトユーザーに対する啓発メール送付活動の拡充について〜
http://www.ccif-j.jp/news_20140401.html

2014年04月02日





「PlayMemories Online」で他ユーザーの写真見られたのは最大196人　4月10日めどに再開へ
http://www.itmedia.co.jp/news/articles/1404/02/news125.html    ITmedia
「PlayMemories」のシステム障害で、お互いの写真や動画にアクセスできた可能性があるユーザーは最大196人だったとソニーが発表した。
ソニーは4月2日、撮影した動画／静止画をテレビやPC、スマートフォンなどで楽しむためのクラウドサービス「PlayMemories」のシステム障害に伴うソフト誤動作で、お互いの写真や動画にアクセスできた可能性があるユーザーが最大196人だったと発表した。
3月末の発表では、対象ユーザーは3月8〜9日に登録した世界696人のうちの一部としていたが、今回の発表では、その696人のうち最大196人で、お互いの写真・動画にアクセスできた可能性があったとしている。
同サービスは、システム障害に伴うソフト誤動作が判明した3月12日から停止中。4月10日をめどに、国・地域ごとに順次サービスを再開するとしている。
ソニーの告知　　メンテナンス・障害情報　2014年04月01日　　PlayMemories Onlineサービス一時停止のお知らせ
http://blog.playmemoriesonline.com/ja_jp/2014/03/0312maint.html




ゆうちょ銀行を騙るフィッシングメールを確認(フィッシング対策協議会)
http://scan.netsecurity.ne.jp/article/2014/04/02/33910.html    ScanNetSecurity
ゆうちょ銀行を騙るフィッシングが出現
フィッシング対策協議会は4月1日、ゆうちょ銀行を騙るフィッシングメールが出回っているとして、注意喚起する文章を公開した。
それによると、「【重要】ゆうちょ銀行からのお知らせ」というタイトルのメールが出回っているとのこと。1日午後17時半の時点で、フィッシングサイトは稼働中となっている。
メール本文は、「お客さまへログイン画面リニューアルのお知らせです。下記よりログインしてメッセージを確認して下さい」として「http://direct.jp-bank.japanpost.●●●●●.com/tp1web/U330102SCR.do.htm」「http://direct.jp-bank.japanpost.jp-●●●●●.com/tp1web/U330102SCR.do.htm」などに誘導する内容だが、実際には「http://magazine●●●●●.com/x/＃メールアドレス」「http://www.tro●●●●●.net/js/＃メールアドレス」などのアドレスに移動するものとなっている。
同協議会では、このようなフィッシングサイトで、アカウント情報 （お客様番号、合言葉、ログインパスワードなど） を絶対に入力しないように注意を呼びかけている。また誤ってアカウント情報を入力した場合には、ゆうちょ銀行の問い合わせ先（ゆうちょコールセンター）に問い合わせるよう呼びかけている。
ゆうちょ銀行をかたるフィッシング(2014/04/01)
http://www.antiphishing.jp/news/alert/20140401jpbank.html





2014年04月01日




インターネットリテラシー……安心ネットづくり促進協議会の調査
http://www.rbbtoday.com/article/2014/04/01/118424.html　  RBB TODAY
インターネットリテラシー、子どもは年齢で上昇…保護者は年代とともに下降
インターネットリテラシーは、子どもの年齢が上がるにつれて高まる一方、保護者の場合は年代が増すごとに低下する傾向にあることが、安心ネットづくり促進協議会のILAS検討作業部会による調査結果からわかった。
ILAS（Internet Literacy Assessment indicator for Students、アイラス）とは、総務省が策定したインターネットリテラシー指標。インターネット上のリスクに対応するため、すべての青少年の習得が望まれる能力を定めている。
同部会では、ILASが定義する7項目のリテラシー分類をもとにテストと解説集を開発。全国の小中学生、高校生1,434人と保護者2,027人を対象にインターネットリテラシー実態調査を実施し、3月31日に結果を最終報告書として公開した。
リテラシーテストの正答率は、小学生75.4％、中学生77.3％、高校生83.1％、保護者は20代95.5％、30代91.9％、40代91.5％、50代90.8％、60歳以上89.1％。青少年よりも保護者全般の方が高かったが、青少年は年齢が増すにつれて正答率が上がるのに対して、保護者は年代が増すごとに正答率が下がる傾向にあった。
学校や研修会などで「ネットモラルを学んだ経験がある」のは、青少年70.3％、保護者88.7％。啓発教育経験がある人の方が、リテラシーテストの正答率は高く、青少年では8.5ポイント、保護者では4ポイントの差が出た。
調査結果から、同部会では「青少年は知識や心得の習得よりも利用が先行し、保護者は青少年よりも知識や心得は持っているもののサービスの理解と実際の利用が不足している」と分析。「青少年の育成に影響を持つ保護者らに対し、最新の知識やリスクの啓発に加え、『インターネットの利用を通して理解することの勧め』を行うことが、リテラシーを高める有効なアプローチの一つ」と結論づけている。




またまた「ゆうちょ銀行」のログイン画面リニューアルをかたるフィッシング
http://internet.watch.impress.co.jp/docs/news/20140401_642364.html    Impress Watch
フィッシング対策協議会が1日、「ゆうちょ銀行」をかたるフィッシングメールの報告を複数受けているとして緊急情報を出した。誘導先の偽サイトは同日17時30分現在も稼働中だとして、このようなサイトで絶対にアカウント情報を入力しないよう注意を呼び掛けている。
このフィッシングメールは、件名が「【重要】ゆうちょ銀行からのお知らせ」というもの。本文には「お客様各位　ゆうちょダイレクトをご利用頂き有難うございます。お客様へログイン画面リニューアルのお知らせです。下記よりログインしてメッセージを確認して下さい」とあり、リンク先の偽ログインサイトへ誘導する。
同様のフィッシングメールは2月中旬にも確認されており、フィッシング対策協議会やゆうちょ銀行が注意を呼びかけていた。
フィッシング対策協議会の緊急情報
https://www.antiphishing.jp/news/alert/20140401jpbank.html




Teslaにセキュリティ問題？　パスワード流出で不正操作の恐れも
http://www.itmedia.co.jp/enterprise/articles/1404/01/news044.html    ITmedia
パスワードを盗まれて制御用アプリを不正利用されれば、車の場所を特定されたり、ロックを解除されたりする恐れがあるという。
米Tesla Motorsの電気自動車「TeslaモデルS」のシステムにはさまざまなセキュリティ上の弱点があり、パスワードを盗まれて制御用アプリを不正利用されれば、車の場所を特定されたり、ロックを解除されたりする恐れがある――。セキュリティ研究者がそんな問題を指摘し、Teslaやオーナーに対策を促している。
この問題は、セキュリティ研究者のニテシュ・ダーンジャニ氏が3月28日のブログで指摘した。同氏によると、TeslaモデルSは注文の際に、TeslaのWebサイトでアカウントを登録して、6文字のパスワードを設定する必要がある。届いた車はiOSアプリを使って場所を特定したり、ロックを解除したりできる仕組みだ。
ところがこのWebサイトには、ログインに失敗した場合にアカウントがロックされる仕組みがなく、パスワードの総当たりを試みるブルートフォース攻撃でパスワードを盗まれる恐れがあるという。盗んだパスワードを使ってアカウントに侵入されれば、iOSアプリの機能にアクセスされる恐れがある。
ブルートフォース攻撃以外にも、フィッシング詐欺やマルウェア攻撃などによってパスワードが流出すれば、同様の問題が発生する。
ダーンジャニ氏はさらに、同iOSアプリ向けのREST APIに関する問題も指摘している。このREST APIが不正なサードパーティーアプリに利用されたり、サードパーティーアプリのセキュリティ対策の不備を突かれたりすれば、Teslaアカウントのパスワードが盗まれて遠隔操作機能を悪用される恐れがあるという。
車をはじめとする「モノのインターネット」のセキュリティ問題は、物理的な影響を生じさせかねないと同氏は危惧。「Teslaなどの自動車オーナーは物理的な安全を守る手段として情報セキュリティへの依存を強めているが、過去に静的パスワードと信頼できるネットワークに基づいてワークステーションを守って来たような用法では、車を守ることはできない」と警鐘を鳴らしている。
Nitesh Dhanjani氏ブログ　　Cursory Evaluation of the Tesla Model S: We Can't Protect Our Cars Like We Protect Our Workstations
http://www.dhanjani.com/blog/2014/03/curosry-evaluation-of-the-tesla-model-s-we-cant-protect-our-cars-like-we-protect-our-workstations.html

セキュリティ製品の検出をかわすテクニック横行、企業に多額の損害も
http://www.itmedia.co.jp/enterprise/articles/1404/01/news046.html    ITmedia
「敵は何週間も何か月もかけて相手のネットワークを研究し、侵入への足掛かりとするための一筋の光を探す」とMcAfeeは解説する。
標的とするネットワークに侵入し、ファイアウォールなどのセキュリティ製品に検出されないまま潜伏する「AET（Advanced Evasion Techniques＝高度な検知回避術）」の被害が広がっているという。米Intel傘下のセキュリティ企業McAfeeが3月31日、企業の担当者を対象とする調査結果を発表して対策を促した。
調査はMcAfeeがVanson Bourneに委託して米国や欧州、オーストラリアなどの企業幹部やセキュリティ管理者800人を対象に実施。その結果、22％がネットワークに不正侵入されたことがあると答え、うち40％はAETの手口が使われたようだと回答した。
被害に遭った企業が過去1年で被った損害額は平均で93万1006ドル、金融機関の場合は推定200万ドルを超えているという。
「敵は何週間も何か月もかけて相手のネットワークを研究し、侵入への足掛かりとするための一筋の光を探す。その光となるのがAETだ」と同社は解説している。
McAfeeのファイアウォール製品「Next Generation Firewall」は、AET対策機能が大きな売り。既知のAETは推定8億に上ると同社はいい、「そのうち他社のファイアウォールで検出できるのは1％未満」と主張している。
プレスリリース　　Controversy Surrounding Advanced Evasion Techniques Leads to High Price Tag for Businesses
http://www.mcafee.com/us/about/news/2014/q1/20140331-01.aspx

2014年度の情報セキュリティ投資も増加基調、迅速対応が収束の決め手に
http://www.itmedia.co.jp/enterprise/articles/1404/01/news064.html    ITmedia
IDCによれば、企業の情報セキュリティ投資は4年連続で増加する見通しとなり、重大化するインシデントへの対応をリスク管理につなげることが必要だとしている。
IDC Japanが国内企業638社を対象に行った情報セキュリティ対策の実態調査の結果によると、2014年度の投資見込みでは2013年度より増えるとした企業が20.1％に達し、「減少する」と回答した企業の11.0％を上回った。投資動向は2011年度以降で4年連続の増加となり、2014年度はモバイル向けの対策に投資の重点項目を置く企業が目立ったとしている。
脅威管理やアイデンティティ／アクセス管理、セキュアコンテンツ管理など15項目の対策導入の状況ではファイアウォール／VPN、PCアンチウイルスが6割以上となる一方、情報漏えい対策やアイデンティティ／アクセス管理、セキュリティ／脆弱性管理など内部脅威対策の導入率は4割程度にとどまった。
また、セキュリティ被害ではウイルスの感染被害に遭遇した企業が3割以上と最多を占めた。前回調査に比べてWebや業務のアプリケーションサーバ、製造ライン、POS端末でセキュリティ被害を受けたとする企業の比率が高まったとしている。
セキュリティ被害に遭遇した企業では24時間以内に被害を収束させた企業が最も多く、最高セキュリティ責任者（CSO）や最高情報責任者（CIO）を設置している企業が、設置していない企業より被害の収束時間が短い傾向を示したことも分かった。
調査結果についてソフトウェア＆セキュリティ リサーチマネージャーの登坂恒夫氏は、「ユーザー企業は、セキュリティインシデントを監視／分析するセキュリティインテリジェンスと、ガバナンス／リスク／コンプライアンスのソリューションを導入し、潜在的なセキュリティ脅威の可視化を行うべき。セキュリティインシデントをリスク管理にひも付けられ、導入効果を可視化して、経営層に導入の必要性を提示できる」とコメントしている。
IDC Japan　　2014年 国内企業の情報セキュリティ対策実態調査結果を発表
http://www.idcjapan.co.jp/Press/Current/20140331Apr.html




Target社へのPOS攻撃、コードサイニング問題など解説--脅威レポート（マカフィー）
http://scan.netsecurity.ne.jp/article/2014/04/01/33893.html    ScanNetSecurity
マカフィー株式会社は3月31日、2013年第4四半期の「McAfee脅威レポート」を発表した。本レポートより、四半期に発生した最大の脅威やセキュリティ問題を取り上げた「キートピック」により簡潔で見やすい内容に刷新。また、ITに関する4つのメガトレンドであるモバイル、ソーシャル、クラウド、ビッグデータを取り巻く脅威の懸案事項に関しても順番に、重点的に扱っている。
この四半期は、Target社をはじめとする小売業者に対するPOS攻撃について、どのようにしてマルウェア業界が支援していたかについての解説や、悪意のある署名付きバイナリの拡大により、コードサイニングに対する認証機関モデルの存続が疑問視される恐れがあることを警告している。さらに、McAfee Labs がMicrosoft Officeのゼロデイ脆弱性を発見した影響について説明し、モバイルアプリの過剰なデータ収集とこうしたアプリとマルウェアとの関係について考察している。
マカフィー  McAfee脅威レポート：2013年第4四半期 −2013年10月から12月のセキュリティ脅威の調査結果を報告−
http://www.mcafee.com/japan/security/report/download.asp?no=84

2013年第4四半期のクレジットカード不正使用被害、増加傾向続く（日本クレジット協会）
http://scan.netsecurity.ne.jp/article/2014/04/01/33892.html    ScanNetSecurity
一般社団法人日本クレジット協会は3月31日、2013年第4四半期（10月から12月）におけるクレジットカード不正使用被害の集計値を取りまとめ、発表した。これは、クレジットカード不正使用の実態を明らかにするために、クレジットカード発行会社を対象に継続的に調査しているもの。これによると、同四半期の不正使用被害額は21.6億円で、前期比では2.9％の増加、不正使用被害額に占める偽造被害額は6.7億円で、前期比3.1％の増加を記録した。
日本クレジット協会
http://www.j-credit.or.jp/




2014年03月31日





Microsoft、ユーザーコンテンツをのぞかないと約束　サービス規約改定へ
http://www.itmedia.co.jp/news/articles/1403/31/news080.html    ITmedia
米Microsoftは3月28日（現地時間）、社外ユーザーのHotmailのコンテンツを閲覧したことに対する批判を受け、コンテンツの閲覧は合法かつ同社のサービス規約に準拠したものではあるが、今後は自社内で閲覧せず、各国政府の法執行機関に委ねると発表した。
Microsoftが同社の企業秘密をリークした従業員を調査する過程で外部のHotmailユーザーのメールを閲覧したことが訴状で明らかになり、問題になっていた。
Microsoftのサービス規約には、「Microsoftまたはその顧客の権利または財産の保護」「を目的として必要であるという合理的な判断する場合に」Microsoftがユーザーの情報を開示することにユーザーが同意すると明示されており、問題とされたMicrosoftの行為は合法でサービス規約にも準拠している。だが、顧客のプライバシーに関する道理にかなった疑問に対応するため、自社サービスのコンテンツ調査についても正式な法的手続きを踏むことにしたとしている。
この変更は即日有効とし、向こう数カ月中にユーザー規約にもこの変更を反映させる計画だ。
法務担当上級副社長、ブラッド・スミス氏は公式ブログで、他社も同様の変更をすることを望むと語った。米Appleや米Googleの利用規約でも、企業が自社利益を守るためにユーザーのコンテンツにアクセスできることになっている。
公式ブログ   We’re listening: Additional steps to protect your privacy
http://blogs.technet.com/b/microsoft_on_the_issues/archive/2014/03/28/we-re-listening-additional-steps-to-protect-your-privacy.aspx

ソニー「PlayMemories Online」で他ユーザーの写真・動画が見られた可能性　サービス停止
http://www.itmedia.co.jp/news/articles/1403/31/news117.html    ITmedia
ソニーのクラウドサービス「PlayMemories」のソフトに誤動作があり、一部ユーザーで互いの写真や動画にアクセスできる状態があった可能性が判明し、サービスを停止している。
ソニーは3月29日、撮影した動画／静止画をテレビやPC、スマートフォンなどで楽しむためのクラウドサービス「PlayMemories」のソフトウェアに誤動作があり、一部ユーザーで、互いの写真や動画にアクセスできる状態だった可能性が判明したと発表した。12日からサービスを停止し、対策を行っている。
対象のユーザーは、8〜9日にユーザー登録した世界696人のうちの一部で、個別に連絡する予定。12日にシステム障害に伴うソフトの誤動作が判明して以来、サービスを停止している。
ソニーの告知   PlayMemories Onlineサービス一時停止のお知らせ
http://blog.playmemoriesonline.com/ja_jp/2014/03/0312maint.html




JCBの会員サイトに不審なアクセス、ユーザーにパスワード変更を呼び掛け
http://internet.watch.impress.co.jp/docs/news/20140331_642102.html    Impress Watch
株式会社ジェーシービー（JCB）は、会員専用ウェブサービス「MyJCB」に不審なアクセスが繰り返される事象が発生したとして、一部サービスを停止するとともに、ユーザーにパスワードの変更を呼び掛けている。
JCBによると、MyJCBに対して不審なアクセスが繰り返される事象が発生したことから、3月25日午後11時53分から断続的にMyJCBのサービスを停止。ユーザーに対しては、他のインターネットサイトと同じID・パスワードをMyJCBのID・パスワードに設定している場合、不正ログインされる可能性が高まるとして、パスワードの変更を呼び掛けている。
3月31日時点では、MyJCBのサービスのうち、「QUICPayの申し込み」「JCB×Yahoo! JAPANポイントクラブの登録・解除」「ポイントサービス スピード移行コース（Tポイント）の照会・応募」を停止している。利用明細紹介など、その他のサービスについては利用可能。
JCBでは、不審なアクセスの状況を24時間体制で監視しており、今後も不審なアクセスが検知された場合にはユーザーに迷惑がかからないように対応していくと説明。また、MyJCBの登録しているユーザーのうち、不正にログインされた可能性のある一部ユーザーについては、個別に確認の連絡をしているという。
ユーザーへの案内文  「MyJCB」への不審なアクセスに伴う、パスワード変更のお願いと一部サービス停止のお知らせ
http://www.jcb.co.jp/news/myj_20140327.html
JCBカード
http://www.jcb.co.jp/

不正アクセス行為が前年から1,700件増加、その後の行為は不正送金（警察庁）
http://scan.netsecurity.ne.jp/article/2014/03/31/33885.html    ScanNetSecurity
警察庁は3月27日、「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」について発表した。不正アクセス行為の認知状況では、平成25年中の不正アクセス行為の認知件数は2,951件で、前年から1,700件増加した。このうち国内からのアクセスは2,474件を占めている。被害を受けた特定電子計算機のアクセス管理者をみると、一般企業が2,893件と最も多く、行政機関が24件で続いている。
不正アクセス行為後の行為としては、インターネットバンキングの不正送金が最も多く（1,325件）、以下インターネットショッピングの不正購入（911件）、オンラインゲーム、コミュニティサイトの不正操作（379件）、ホームページの改ざん・消去（107件）、情報の不正入手（92件）、インターネット・オークションの不正操作（他人になりすましての出品・落札）（36件）、不正ファイルの蔵置（20件）の順となっている。また、総務省または経済産業省が取り組むアクセス制御機能の研究開発に関しても取りまとめている。
警察庁（@police） 平成25年中の不正アクセス行為の発生状況等の公表について
http://www.npa.go.jp/cyber/statics/h25/pdf040.pdf




2014年03月28日




2013年の不正アクセスは2,951件、不正送金狙いが急増……警察庁・総務省・経産省調べ
http://www.rbbtoday.com/article/2014/03/28/118296.html　  RBB TODAY
警察庁、総務省、経済産業省は3月27日、2013年（1月1日〜12月31日）の不正アクセス行為の発生状況について公表した。
この調査では、2013年中の不正アクセス禁止法違反事件の認知・検挙状況等について、2013年中に都道府県警察から警察庁に報告のあったものを集計している。その結果、2013年中の不正アクセス行為の認知件数は2,951件となり、前々年（2011年）の889件、前年（2012年）の1,700件から急増していることがあきらかとなった。2009年は2,795件、2010年は1,885件となっており、2011年を底にV字に増加している傾向となっている。
なお、「連続自動入力プログラムによる不正ログイン攻撃」については、これらとは別に、事業者から約80万件の不正アクセス行為が報告されている。
被害を受けた対象（アクセス管理者）をみると、「一般企業」がもっとも多く2,893件、次いで「行政機関」が24件となる。
認知の端緒としては、被害を受けた特定電子計算機の「アクセス管理者」からの届出によるものがもっとも多く1,208件となった。以下、「利用権者」が929件、警察職員による被疑者の取調べ等の「警察活動」によるもの781件、「発見者からの通報」20件の順となっている。
“不正アクセス行為後の行為”としては、「インターネットバンキングの不正送金」が、前年より急増し1,325件でトップ。以下「インターネットショッピングの不正購入」911件、「オンラインゲーム、コミュニティサイトの不正操作」379件、「ホームページの改ざん・消去」107件、「情報の不正入手」92件などが続いている。





警察庁、違法情報の削除依頼に応じないサイトを広告業界に通知
http://www.itmedia.co.jp/news/articles/1403/28/news141.html    ITmedia
警察庁は、違法・有害情報の削除依頼に応じないWebサイトの情報を広告業界に提供する取り組みを始めた。広告事業者に自主的に広告配信を停止してもらい、悪質サイトの減少につなげる狙い。
警察庁はこのほど、違法・有害情報の削除依頼に応じないWebサイトの情報を広告業界に提供する取り組みを、インターネット・ホットラインセンター（IHC）と協力して始めた。広告料収入を得るためのアクセス数を稼ぐ目的で違法・有害情報を掲載している実態があるとし、広告事業者に自主的に広告配信を停止してもらうことで、悪質サイトの減少につなげる狙い。
一般からの通報などに基づいて把握した違法・有害情報掲載サイトのURL、サイト名、掲載情報の種類などを、IHCから、インターネット広告推進協議会、日本アフィリエイト・サービス協会、モバイルアフィリエイト協議会に提供。各広告団体、企業は規約などに基づき、広告配信の停止や、広告料支払いの差し止めを停止してもらう。
IHCは、ISP各社やネット関連企業で構成する財団法人インターネット協会が運用する民間団体で、警察庁からの委託に基づいて運営。ネット上の違法情報や有害情報の把握、削除要請に当たっている。
ニュースリリース（PDF）　　インターネット上の広告業界との連携による違法・有害情報対策について
https://www.npa.go.jp/cyber/policy/h25/20140327.pdf

ファイルの身代金を要求するランサムウェア、日本語で脅迫する亜種を確認
http://internet.watch.impress.co.jp/docs/news/20140328_641886.html    Impress Watch
トレンドマイクロは27日、PC内のファイルを勝手に暗号化してユーザーに金銭の支払いを要求する「ランサムウェア（身代金要求型不正プログラム）」で、日本語での脅迫を行う新種を初めて確認したと発表した。
トレンドマイクロでは、ユーザーに仮想通貨「Bitcoin」での支払いを要求するランサムウェア「BitCrypt」について、2種類の亜種を確認。1つ目の亜種「TROJ_CRIBIT.A」は、ユーザーに支払いを要求する“脅迫状”が英文のみだが、2つ目の亜種「TROJ_CRIBIT.B」は、脅迫状が日本語を含む10言語に対応する。
脅迫状には、ファイルの暗号を解くためには指定したサイトへのアクセスが必要だとしてURLを記載しているが、このサイトは匿名ネットワークの「Tor」を利用しないとアクセスできないため、Torへのゲートウェイサービスも紹介している。
ユーザーがサイトにアクセスすると、ファイルの暗号を解くための代金として0.4Bitcoin（3月27日時点で約2万4000円相当）の支払いを要求される。トレンドマイクロの分析では、被害者の40％は米国のユーザーで、11％が日本のユーザーだという。
Trend Micro Security Blogの該当記事　　日本語で脅迫するランサムウェアを初めて確認
http://blog.trendmicro.co.jp/archives/8801

JPドメイン名、1年で3万7387件増加、累計135万6102件に
http://internet.watch.impress.co.jp/docs/news/20140328_641743.html    Impress Watch
JPドメイン名の登録・管理業務とDNSの運用を行う株式会社日本レジストリサービス（JPRS）は27日、主な取り組みや統計データをまとめた年次報告書「JPドメイン名レジストリレポート」の2013年版を公開した。同社サイトよりPDFファイルでダウンロードできる。
JPドメイン名は、2013年の1年間で3万7387件増加し、2014年1月1日時点で累計登録数が135万6102件となった。内訳は、属性型・地域型JPドメイン名が42万8567件（31.6％）、汎用JPドメイン名が91万5854件（67.5％）、都道府県型JPドメイン名が1万1781件（0.9％）。
属性型・地域型のうち、企業向けの「.co.jp」は36万2364件で、6422件の増加。企業以外の法人組織向け「.or.jp」も1168件増加しており、3万116件となった。一方、ネットワークサービス向けの「.ne.jp」は475件減り、1万5345件。任意団体向けの「.gr.jp」も209件減り、7072件。
汎用は、1年間で2万7197件の増加。汎用のうち日本語ドメイン名は12万6182件。
都道府県型は、「○○○.hokkaido.jp」「○○○.tokyo.jp」「○○○.nagasaki.jp」といった47都道府県のラベルを含むドメイン名で、2012年より新たに導入されたもの。2013年は3329件増加し、1万件を突破した。都道府県型のうち、日本語ドメイン名は2948件。
プレスリリース　　JPRSが『JPドメイン名レジストリレポート2013』を本日公開
http://jprs.co.jp/press/2014/140327.html
JPドメイン名レジストリレポート2013（PDF）
http://jprs.co.jp/doc/report/registry-report-2013.pdf

2014年03月27日




2013年の不正アクセス状況、ネットバンキング被害が急増
http://internet.watch.impress.co.jp/docs/news/20140327_641628.html    Impress Watch
警察庁、総務省、経済産業省は27日、2013年の不正アクセスの発生状況を公表した。2013年中の不正アクセスの認知件数は2951件で、2012年と比べて1700件増加。このほか、IDやパスワードのリストを利用したみられる連続自動入力プログラムによる不正ログイン攻撃について、約80万件の報告が事業者からあったという。
認知された不正アクセスのほとんど（2893件）で一般企業が被害に遭っており、行政機関（24件）、プロバイダー（9件）、大学・研究機関など（9件）などの被害は少ない。不正アクセスを認知したきっかけは、管理者からの届け出が1208件、利用者からの届け出が929件、取り調べなど警察活動によるものが781件。
不正アクセス後に行われた行為は、インターネットバンキングの不正送金が1325件と最も多く、2012年の95件から急増している。以下は、インターネットショッピングの不正購入（911件）、オンラインゲーム・コミュニティサイトの不正操作（379件）、ホームページの改ざん・消去（107件）、情報の不正入手（92件）、インターネットオークションの不正操作（36件）、不正ファイルの蔵置（20件）など。
2013年中の不正アクセス禁止法違反事件の検挙件数は980件で、検挙人数は147人。2012年と比べると検挙件数は437件増加し、検挙人数は7人減少した。検挙件数の内訳は、不正アクセス行為が968件でほとんどを占める。その他は、他人のIDやパスワードを無断で第三者に提供する識別符号提供（助長）行為が7件、識別符号取得行為が2件、識別符号保管行為が2件、フィッシング行為が1件。
検挙件数を不正アクセス行為の様態別に分類すると、他人のIDやパスワードを不正に利用する識別符号窃用型が965件でほとんどを占める。セキュリティホール攻撃型は3件。
検挙した事件の不正アクセス行為の手口は、パスワードの設定や管理の甘さにつけこんだものが767件で最も多く、言葉巧みに利用者から聞き出したまたは覗き見たもの（64件）がこれに次ぐ。不正アクセス行為の動機については、「不正に経済的利益を得るため」が706件で最も多い。
また、警察庁ではサイバー犯罪の検挙状況を公表した。2013年中のサイバー犯罪の検挙件数は8113件。前年比770件増で、過去最高を記録。内訳は、ネットワーク利用犯罪が6655件、不正アクセス禁止法違反が980件、コンピューター・電磁的記録対象犯罪および不正司令電磁的記録に関する罪が478件。
プレスリリース　　不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況
http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000072.html
サイバー犯罪の検挙状況（警察庁、PDF）
http://www.npa.go.jp/cyber/statics/h25/pdf01-2.pdf

JIAA、インターネット広告事業者向けのガイドラインを改定
http://internet.watch.impress.co.jp/docs/news/20140327_641467.html    Impress Watch
一般社団法人インターネット広告推進協議会（JIAA）は、インターネット広告において取得・利用されるユーザー情報の取り扱いに関する事業者向けの指針である「プライバシーポリシー作成のためのガイドライン」と「行動ターゲティング広告ガイドライン」を改定し、公表した。
「プライバシーポリシー作成のためのガイドライン」では、個人情報保護法で定めている個人情報以外の情報についても、取り扱いによっては消費者のプライバシーに影響を与える可能性があることに鑑み、「個人関連情報」として取り扱い基準を示した。
スマートフォンでの情報の取り扱いについては、スマートフォンアプリケーション向けの広告配信における情報の取り扱いに関して、プライバシーポリシーを消費者が容易に参照できる場所に掲示するよう努めることとした。また、識別子情報の取り扱いについてプライバシー保護のために考慮すべき要点を提示した。
個人関連情報の第三者提供については、個人情報保護法に定める一定の要件を満たす場合に限り、本人の同意を得なくても個人情報を第三者に提供することができるとする「オプトアウト」による第三者提供を、「個人関連情報」にも適用するものとした。
消費者への配慮については、スマートフォンがあらゆる世代に普及している現状から、青少年や高齢者にも分かりやすい形で適切な説明を行うことに留意すべきとした。
プライバシー保護のための仕組みの導入については、「プライバシー・バイ・デザイン」の考え方に基づき、今後、具体的な実施手法である「プライバシー影響評価」などを検討して導入していくことを方針として盛り込んだ。
「行動ターゲティング広告ガイドライン」では、行動ターゲティング広告に関して個人情報を取り扱う場合には個人情報保護法に従うものとし、行動履歴情報を含む個人関連情報の取り扱いについては「プライバシーポリシー作成のためのガイドライン」に従うものとすることを前提として、規定を整理した。
広告配信経路が複雑化している現状に合わせ、各事業領域（掲載媒体社、行動履歴情報提供社、配信事業社）の定義とその事業領域ごとに遵守すべき規定を整理。1社で複数の事業活動を行っている場合には、該当するすべての規定が適用されるものとした。
また、広告内や周辺に消費者への説明やオプトアウトへの動線を設ける「インフォメーションアイコン」の導入を、JIAAにおいて推奨・実践していくことも新たに盛り込んだ。
プレスリリース　　「プライバシーポリシー作成のためのガイドライン」と「行動ターゲティング広告ガイドライン」を改定
http://www.jiaa.org/release/release_guide_140324.html





世界中のデータ漏えい情報を網羅したサイトを開設（日本セーフネット）
http://scan.netsecurity.ne.jp/article/2014/03/27/33872.html    ScanNetSecurity
日本セーフネット株式会社は3月27日、SafeNet社が全世界で日々発生しているデータ漏えいの深刻度を指標化した新しいWebサイト「SafeNet Breach Level Index (BLI)」を開設したと発表した。本サイトは、データ漏えいに対する理解促進を目的としており、企業などの発表内容を基に作成した深刻度ランキングが公開されている。また、世界中のデータ漏えい情報を提供しており、公開情報に基づいてデータ漏えいの深刻度をさまざまな角度から数値化している。
 同社では、本サイトが産業界におけるひとつの指標として機能するだけでなく、CIOやCSOにとっては顧客企業やパートナー企業のデータ漏えい事例をもとに、自社におけるデータ漏えいの危険度を把握するためのツールにもなるとしている。BLIのデータによると、2013年に発生した情報漏えいの種類は、悪意ある部外者によるものが57％、事故による紛失が27％、悪意ある内部者によるものが13％などとなっている。また、産業別の割合では、医療（31％）、政府機関（17％）、金融（15％）、テクノロジー（11％）、小売業（8％）となった。
ただし、消失または盗難データ総数に占める割合では、テクノロジー（43％）、小売業（29％）、政府機関（10％）、医療（2％）、金融（1％）となり、データ漏洩1件あたり平均消失データ数では、小売業（6,600,000件）、テクノロジー（5,700,000件）、政府機関（630,000件）、金融（112,000件）、医療（49,000件）となる。1日に消失または盗まれたデータ数は1,576,555件であり、換算すると1秒に18件のデータが漏えいしていることになる。
SafeNet Breach Level Index
http://www.breachlevelindex.com/index.html?utm_source=bli-pr-20140217&utm_medium=press-release&utm_campaign=breach-level-index#sthash.uz8VFuqc.WGoMkHPP.dpbs
日本セーフネット
http://www.safenet-inc.jp/?LangType=1041

持続的標的型攻撃における「内部活動」を明らかに--分析レポート（トレンドマイクロ）
http://scan.netsecurity.ne.jp/article/2014/03/27/33871.html    ScanNetSecurity
トレンドマイクロ株式会社は3月27日、2013年（1〜12月）の国内における持続的標的型攻撃（APT：Advanced Persistent Threat）に関する分析レポートを発表した。同社では本レポートで、インシデント対応や日常的なネットワーク監視の取り組みから可視化を進めている内部活動について、新たに明らかになったことを解説している。2013年の国内における持続的標的型攻撃は、正規の動作や通信に偽装し攻撃を「隠蔽」する傾向が見られた。
標的型メールが送付される際は、標的内の関係者と複数回のメールのやり取りを行った後、不正プログラムを送付する「やり取り型」の標的型攻撃が複数確認された。また、持続的標的型攻撃に使用された遠隔操作ツール100個を調査したところ、不正プログラムが外部のC＆Cサーバと通信する際には、約7割（67％）がC＆Cサーバのホスト名を正規のサービスに偽装していた。
侵入時の攻撃が成功した後、内部のネットワーク探索や目的の情報を窃取するための活動では、同社がネットワーク監視を行った100件のうち49件で遠隔操作ツールの活動が確認され、49件全てでシステム管理者が用いる正規ツール（遠隔管理ツール「PSEXEC」など）やWindows標準のコマンドを利用し攻撃を「隠蔽」する傾向がみられた。なお、昨年の100件の調査において、同一調査対象で「ファイル転送」「リモート実行」「痕跡消去」のうち2つ以上の挙動が確認された場合、必ず持続的標的型攻撃が行われていることが明らかになった。
トレンドマイクロ　　−2013年の国内における持続的標的型攻撃（APT）を分析− 正規の動作や通信に偽装し攻撃を「隠蔽」〜ネットワーク内の挙動を相関的に分析し、攻撃の可視化を〜
http://www.trendmicro.co.jp/jp/about-us/press-releases/articles/20140320013250.html

グーグル、ネットを安全に使うための「セーフティ センター」開設
http://scan.netsecurity.ne.jp/article/2014/03/27/33870.html    ScanNetSecurity
グーグル、ネットを安全に使うための「セーフティ センター」開設
この3月、内閣府・総務省・警察庁などが「春のあんしんネット・新学期一斉行動」を集中展開している。グーグルは3月25日、4月から始まる新学期・新生活に向けて、インターネットを安全に使うためのサイト「セーフティ センター」を開設した。
これまでグーグルでは、インターネットを安全に使うためのサイトとして、「知っておきたいこと」サイトを開設していたが、今回、その内容を刷新し、あらたに「セーフティ センター」として開設した。
内容は、一般ユーザーすべてにあてたものと保護者にあてたもののほか、セーフティツールやパートナーの紹介、参考情報のリンクなどで構成されている。主にグーグルが提供しているツールとその設定方法を中心に、プライバシーとセキュリティの管理方法、サイバー犯罪を防ぐ方法などを解説している。
具体的には「パスワードを保護する」「ログインとログアウト」「複数のアカウントを管理する」「Gmailの設定を確認する」といった項目ごとに、さまざまな具体策を解説。また関心が高い項目別に、新たにパートナーからのアドバイスを紹介している。
Google Safety Center
http://www.google.com/intl/ja/safetycenter/

3Dプリンタで制作したATMスキマーやPOS端末、アンダーグラウンドで販売
http://www.rbbtoday.com/article/2014/03/27/118246.html　  RBB TODAY
3Dプリンタで制作したATMスキマーやPOS端末、アンダーグラウンドで販売（トレンドマイクロ）
トレンドマイクロ株式会社は3月26日、「gripper」と名乗るサイバー犯罪者がカード情報などを読み取る機能を備えた「ATMスキマー」や、偽のPOS端末を複数のアンダーグラウンドフォーラム上で大胆に販売しているのを確認したと発表した。確認した広告では、米国のPOS（販売時点情報管理）端末販売など電子商支払取引技術を取り扱う「VeriFone」のPOS端末「VerixV」を量産できると主張しており、「Vx510」や「Vx670」「Vx810 Duet」といったVeriFoneの特定の製品に言及していた。
これらの不正なPOS端末は、店舗に設置され、顧客のクレジットカード情報を収集するために利用される。そして収集した情報は、闇市場で悪用されたり販売されたりする。今回確認したサイバー犯罪者たちは、ATMやPOS端末に関するものであれば、「3D印刷」を利用してほとんど何でも量産できると主張している。また、24時間365日のサポートも提供している。ある広告では、製造および発送可能な部品や機器がリスト化されている。さらには、何人かの顧客はすでに販売者を評価し、購入した製品に高い評価を与えているという。





2014年03月26日




防衛省・自衛隊、「サイバー防衛隊」をあらたに立ち上げ
http://www.rbbtoday.com/article/2014/03/26/118217.html　  RBB TODAY
防衛省・自衛隊は3月26日、「サイバー防衛隊」を新編した。日々高度化・複雑化するサイバー攻撃の脅威に適切に対応するための新組織となる。
「サイバー防衛隊」では、防衛省・自衛隊のネットワークの監視、サイバー攻撃発生時の対処を、24時間体制で実施。あわせてサイバー攻撃に関する脅威情報の収集、分析、調査研究などを一元的に行うとのこと。
防衛省・自衛隊は今後、関係省庁等と協力しつつ、サイバー防衛隊を中核として、自衛隊のサイバー攻撃対処能力の強化に取り組む方針だ。


日本ベリサインの社名を「合同会社シマンテック・ウェブサイトセキュリティ」に変更(シマンテック)
http://scan.netsecurity.ne.jp/article/2014/03/26/33856.html    ScanNetSecurity
日本ベリサイン、「シマンテック・ウェブサイトセキュリティ」に社名変更
シマンテックは3月25日、米国法人シマンテック・コーポレーションの完全子会社である日本ベリサインの社名を「合同会社シマンテック・ウェブサイトセキュリティ」にすることを発表した。
4月1日付で、新社名「合同会社シマンテック・ウェブサイトセキュリティ」（Symantec Website Security G.K.）に変更する。
なお、社名変更に合わせて、4月15日より、シマンテックSSLサーバ証明書、およびシマンテック　セーフサイトにバンドルされているノートンセキュアドシールの画像に表示されていた“powered by VeriSign”の文字列を、“powered by Symantec”に変更する。ノートンセキュアドシールを表示している場合は、自動的に切り替わる。切り替えは順次行われ、1か月程度で終了する見込みだ。
シマンテックは、2012年11月に、日本ベリサインを子会社化している。
シマンテック
http://www.symantec.com/ja/jp/index.jsp





ヤフー「話題なう」を騙る偽Twitterアカウント、ヤフーが注意呼びかけ
http://www.rbbtoday.com/article/2014/03/26/118211.html　  RBB TODAY
ヤフーは3月25日、Yahoo！検索（リアルタイム）のアプリ「話題なう」のアイコン画像を無断で使用したTwitterのスパムアカウント「＠now_wada」について、ユーザーに注意を呼びかけた。
「＠now_wada」は、Yahoo！JAPAN、およびYahoo！リアルタイム検索の「話題なう」アプリとはいっさい関係のないスパムアカウントとのこと。このアカウントは、URLが含まれた興味深い内容をツイートし、リンクをクリックさせることで、連携アプリ認証を行わせるものだ。アプリを認証してしまうと、ユーザー自身が意図していないスパム投稿やRTが行われることとなる。
アカウントは現在すでに凍結済みだが、連携アプリ認証などを行っていた場合、これを解除する必要がある。Twitterのアカウント設定の［連携アプリ］タブ から、該当URLを閲覧するために認証してしまったアプリの認証を解除できる。なお名称を巧みに詐称している可能性もあるため、身に覚えがないアプリを認証している場合には認証を解除することが望ましい。
なお今回の騒動は、Android／iOS向けスマホアプリ「話題なう」とは無関係とのこと。




グーグル、ネットを安全に使うための「セーフティ センター」開設
http://www.rbbtoday.com/article/2014/03/26/118200.html　  RBB TODAY
この3月、内閣府・総務省・警察庁などが「春のあんしんネット・新学期一斉行動」を集中展開している。グーグルは3月25日、4月から始まる新学期・新生活に向けて、インターネットを安全に使うためのサイト「セーフティ センター」を開設した。
これまでグーグルでは、インターネットを安全に使うためのサイトとして、「知っておきたいこと」サイトを開設していたが、今回、その内容を刷新し、あらたに「セーフティ センター」として開設した。
内容は、一般ユーザーすべてにあてたものと保護者にあてたもののほか、セーフティツールやパートナーの紹介、参考情報のリンクなどで構成されている。主にグーグルが提供しているツールとその設定方法を中心に、プライバシーとセキュリティの管理方法、サイバー犯罪を防ぐ方法などを解説している。
具体的には「パスワードを保護する」「ログインとログアウト」「複数のアカウントを管理する」「Gmailの設定を確認する」といった項目ごとに、さまざまな具体策を解説。また関心が高い項目別に、新たにパートナーからのアドバイスを紹介している。





ドメインの不正利用防止を目指す「Secure Domain Foundation」が発足
http://www.itmedia.co.jp/enterprise/articles/1403/26/news038.html    ITmedia
フィッシング詐欺やマルウェア感染といったサイバー犯罪利用目的のドメイン登録を阻止するため、各国のセキュリティ企業やドメイン登録事業者が参加して、非営利組織「Secure Domain Foundation」（SDF）を発足させた。
SDFにはFacebook、Verizon、Verisignなどの企業やAnti-Phishing Working Group（APWG）などの団体が参加。ドメインの悪用を阻止するための情報共有や無料ツール提供などの活動を行う。
まずはドメイン登録業者や登録機関、トップレベルドメイン運営機関などを対象に、ドメイン登録者の信用情報を入手するための無料APIサービスの提供を開始する。
ドメイン登録業者や登録機関は、新規のアカウント開設やドメイン登録手続きの際などにこのAPIを使い、申請者の連絡先情報などをチェックしたり、その情報がサイバー犯罪に関連して使われていないかどうかなどを確認できる。これにより、ボットネットのコントロールやマルウェア配布といった不正目的のドメイン登録を防ぐことを目指す。
情報やツールの提供対象は、いずれホスティングプロバイダーやDNSオペレータ、CERT、捜査機関、インターネットインフラ運営者などにも拡大する方針。
プレスリリース　　Public Launch of Secure Domain Foundation: Non-Profit Organization of Internet Infrastructure Operators and Security Experts Join Forces to Identify and Stop Cyber Criminals 
http://www.prnewswire.com/news-releases/public-launch-of-secure-domain-foundation-non-profit-organization-of-internet-infrastructure-operators-and-security-experts-join-forces-to-identify-and-stop-cyber-criminals-251804511.html

ATMを狙うマルウェア、携帯メールで現金引き出す
http://www.itmedia.co.jp/news/articles/1403/26/news037.html    ITmedia
ATMの約95％はWindows XPを使っていて、攻撃を防ぐのは難しいとSymantecは解説する。
銀行のATMに感染し、携帯メールを送信するだけで現金を引き出せてしまうマルウェアが出回っているという。米Symantecは、ATMを狙った攻撃は既に現実のものになっていると警鐘を鳴らしている。
同社の3月24日のブログによると、ATMを狙うマルウェア「Ploutus」は2013年にメキシコで見つかり、その後モジュール式のアーキテクチャを備えた亜種や、英語版の亜種が出現。同マルウェア作者が各国に進出を広げていることをうかがわせるという。
攻撃の手口は、まずUSBテザリングなどの機能を使ってATMに携帯電話を接続し、Ploutusに感染させたうえで、この携帯電話あてにSMSコマンドを送信。SMSを受信した携帯電話はメッセージをネットワークパケットに変換してUSBケーブル経由でATMに転送し、Ploutusのネットワークパケット監視モジュールでこのパケットを処理させて、ATMに現金を出させる仕組み。
Symantecは研究室で実際のATMにPloutusを感染させて、この攻撃を再現できたとしている。PloutusのほかにもATMを狙うマルウェアは複数見つかっていて、それぞれ別の手口を採用しているという。
ATMの約95％は4月8日でサポート期限が切れるWindows XPを使っていると同社は指摘。現代のATMはHDD暗号化など強化型のセキュリティ機能を搭載しているが、Windows XPを使った旧式のATMでは攻撃を防ぐのは難しいとして、攻撃を困難にするためにも、Windows 7か8にアップグレードするなどの対策を講じるよう促している。
Symantecブログ　　Texting ATMs for Cash Shows Cybercriminals’ Increasing Sophistication
http://www.symantec.com/connect/blogs/texting-atms-cash-shows-cybercriminals-increasing-sophistication

マウントゴックスに対する人々の興味を利用しビットコインを盗むマルウェアに感染させる手法を確認(カスペルスキー)
http://scan.netsecurity.ne.jp/article/2014/03/26/33857.html    ScanNetSecurity
マウントゴックスからの情報流出に見せかけ、ビットコインを盗むマルウェア
カスペルスキー（日本法人）は24日、3月上旬に、何者かがマウントゴックス社のマーク・カーペレスCEOの個人ブログとredditのアカウントを乗っ取り、そこにファイル「MtGox2014Leak.zip」を投稿した、と明らかにした。
投稿されたzipファイルの中に含まれるWindows用とMac用のマルウェアによって、ユーザーの環境にある Bitcoin Wallet の情報が犯罪者の手に渡る仕掛けだ。
この投稿は、このファイルにMt.Gox社の取引に関する重要な情報や、マウントゴックスのデータにリモートアクセスするための特別な業務アプリケーションが格納されているように見せかけている。
カスペルスキーは、今回のハッキングは、マウントゴックスに対する人々の興味を利用し、ビットコインを盗むマルウェアに感染させるための罠だと分析する。カスペルスキーによるとマルウェアの作者は、ソーシャルエンジニアリングの手法や世間の関心事を利用してマルウェアを拡大させる。今回の事件もそのケースと言える。

2014年03月25日




日本ベリサイン、「シマンテック・ウェブサイトセキュリティ」に社名変更
http://www.itmedia.co.jp/news/articles/1403/25/news081.html    ITmedia
日本ベリサインの社名が4月1日から「シマンテック・ウェブサイトセキュリティ」に変わる。
米Symantecの日本法人・シマンテックは3月25日、子会社・日本ベリサインの社名を4月1日から「シマンテック・ウェブサイトセキュリティ」（Symantec Website Security）に変更すると発表した。
あわせて、4月29日から5月初旬にかけ、シマンテックSSLサーバ証明書などに表示されていた「powered by VeriSign」の文字列を「powered by Symantec」に変更する。
Symantecは2010年、VeriSignのセキュリティ関連事業と日本ベリサインを買収している。
日本ベリサイン
https://www.verisign.co.jp/




「＠nifty」のログインにワンタイムパスワード認証を追加（ニフティ）
http://scan.netsecurity.ne.jp/article/2014/03/25/33851.html    ScanNetSecurity
ニフティ株式会社は3月24日、なりすまし不正ログインなどIDの不正利用対策の一環として、同日より同社が提供するインターネットサービス「＠nifty」のログイン方法にワンタイムパスワード認証を導入したと発表した。今回導入するワンタイムパスワード認証は、PCやスマートフォンのWebブラウザ上のログイン画面で、＠niftyユーザ名または＠nifty IDと、従来のパスワードによる認証を行った後に、自動的に発行される1回限り有効な使い捨てパスワード（ワンタイムパスワード）を入力して行うもの。
ワンタイムパスワードは、同社が提供する専用のスマートフォンアプリ（iOS・Android対応）、またはユーザが設定したメールアドレスで受け取ることができる。万一、第三者に従来のパスワードを知られてしまった場合でも、ワンタイムパスワードがないとログインすることができないため、IDの不正利用を防止することができる。なお、一度ワンタイムパスワード認証を行った端末は、次回以降ワンタイムパスワードの入力を省略することもできる。
ニフティ　　ニフティ、「＠nifty」のログイン方法にワンタイムパスワード認証を導入
http://www.nifty.co.jp/cs/newsrelease/detail/140319004312/1.htm





NCSOFTかたるフィッシングが再び、入力させる項目が増える〜秘密の質問も
http://internet.watch.impress.co.jp/docs/news/20140325_641110.html    Impress Watch
ゲームポータルサイト「NCSOFT」をかたるフィッシングメールが出回っているとして、フィッシング対策協議会が注意を呼び掛けている。25日10時現在、誘導先の偽サイトはまだ稼働中だという。アカウント情報を入力してしまわないよう注意が必要だ。
NCSOFTも24日付で注意喚起の告知を出している。このフィッシングメールは3月20日以降、確認されているものだという。
確認されているフィッシングメールは「NCSOFTアカウントーー安全確認」という件名。本文は、ユーザーのアカウントが異常ログインされたことを感知したとして、本人によるログインだったのか確認を求める内容で、偽サイトへ誘導する。
誘導先の偽サイトは、NCSOFTのポータルサイトを装ったデザインだが、「.cc」や「.net」ドメインで開設されている。また、登録済みメールアドレス、アカウント、パスワード、秘密の質問・回答、生年月日を入力させるようになっている。
フィッシング対策協議会では昨年6月にも、NCSOFTをかたるフィッシングを確認したとして注意喚起の情報を出していた。その際は、偽サイトで入力させる項目がアカウントとパスワードだけだったが、今回の事例では秘密の質問・回答なども入力させるようになっている。
フィッシング対策協議会による緊急情報詳細　　NCSOFTをかたるフィッシング(2014/03/25)
https://www.antiphishing.jp/news/alert/ncsoft20140325.html
NCSOFTの告知文　　フィッシング詐欺サイトにご注意ください
http://www.ncsoft.jp/support/news/notice/view?bbsNo=32801&articleNo=671


NCSOFTを騙るフィッシングメールを確認
http://www.rbbtoday.com/article/2014/03/25/118187.html　  RBB TODAY
NCSOFTを騙るフィッシングメールを確認（フィッシング対策協議会）
フィッシング対策協議会は3月25日、NCSOFTを騙るフィッシングメールが出回っているとして注意喚起を発表した。これは「NCSOFTアカウントーー安全確認」という件名のメールで、お客様のアカウントが異常にログインされたとして、ログインして本人のログインであるかを確認するようにと、リンクをクリックさせようとする。確認されているフィッシングサイトのURLは以下の通り。
 http://ncsoft.●●●●.cc/www.ncsoft.jp/login
 http://ncsoft.●●●●.cc/www.ncsoft.jp/NCsoft.htm
 http://ncsoftl-001-site1.●●●●.net/ncsoft.htm
同協議会によると、3月25日10時00分の時点でフィッシングサイトは稼働中であり、JPCERT/CCにサイト閉鎖のための調査を依頼中としている。また、類似のフィッシングサイトが公開される可能性があるため、引き続き注意を呼びかけている。さらに、このようなフィッシングサイトにてアカウント情報（登録済みのメールアドレス、アカウント、パスワード、秘密の質問、生年月日）を絶対に入力しないよう呼びかけている。




Wordを狙うゼロデイ攻撃発生、不正メールに注意
http://www.itmedia.co.jp/news/articles/1403/25/news041.html    ITmedia
米MicrosoftのWordに未解決の脆弱性が発見され、この脆弱性を突いた攻撃が発生していることが分かった。同社は3月24日にアドバイザリーを公開して注意を呼び掛けている。
Microsoftによると、脆弱性は特定の細工を施したリッチテキスト形式（RTF）のデータを解析する際のメモリ破損に起因する。
この問題を突いて、Word 2010を狙った「限定的な標的型攻撃」が発生。不正なリッチテキスト形式（RTF）ファイルを開いたり、Wordが電子メールビューワとして使われている環境において、不正なメールをOutlookで開いたりすると、攻撃者に任意のコードを実行される恐れがある。
Outlook 2007／2010／2013ではWordがデフォルトのメールリーダーになっているという。
Microsoftは当面の対策として、現時点で判明している攻撃方法を食い止めるための設定をワンクリックで適用できる「Fix it」ツールを公開し、Wordの全ユーザーに利用を促した。また、脆弱性緩和ツールの「Enhanced Mitigation Experience Toolkit」（EMET）も攻撃防止の役に立つとしている。
脆弱性は、調査が完了した時点で月例または臨時の更新プログラムを公開して修正する方針。ユーザーには不審なリンクをクリックしたり、身に覚えのないメールを開いたりしないよう呼び掛けている。
Microsoft Security Response Centerブログ　　Microsoft Releases Security Advisory 2953095
http://blogs.technet.com/b/msrc/archive/2014/03/24/microsoft-releases-security-advisory-2953095.aspx




ヤフー「話題なう」かたる悪質スパムTwitterに注意　「ツイキャス」に偽装してアプリ連携誘導も
http://www.itmedia.co.jp/news/articles/1403/25/news145.html    ITmedia
ヤフーは3月25日、Twitterなどで話題のキーワードをリアルタイムに表示するアプリ「話題なう」のアイコンと名称を無断利用したスパムアカウント「@now_wada」を確認したとし、「Yahoo！JAPANの話題なうとは一切関係ない」とユーザーに注意を呼びかけている。
@now_wadaは、ヤフーからの報告で現在は凍結済みだが、凍結前にツイートしていたURLからTwitterアプリを認証すると、自動でスパムツイートが投稿される仕組みだった。
アカウントがつぶやいていたURLに編集部でアクセスしてみたところ、「ツイキャス」に偽装したアプリ認証画面が表示された。開発元の記載はなく、ツイキャスとは一切関係ないと思われる。ツイキャス人気を悪用し、ユーザーを信頼させてスパムアプリを認証させる手口のようだ。
ヤフーも、「認証アプリ名は、スパムアプリであることを隠すために名称を巧みに詐称している可能性がある」と指摘。「身に覚えがないアプリを認証している場合には認証を解除してください」と呼びかけている。また、スマートフォンで「話題なう」のアプリ自体を削除しても認証解除はできないとし、Twitterから認証を解除するよう呼びかけている。
先週末には、Twitterの公式アカウントを偽装した「ツイッターJP」と名乗る偽アカウントが現れ、アプリ認証を要求する問題も起きていた。
ヤフーの告知　　話題なうをかたるTwitterのスパムアカウントにご注意ください
http://searchblog.yahoo.co.jp/2014/03/twitter_spam.html




自社の情報やデータの漏えいに対する危機、85.5％が意識（Imperva Japan）
http://scan.netsecurity.ne.jp/article/2014/03/25/33842.html    ScanNetSecurity
株式会社Imperva Japanは3月24日、「データ・セキュリティに関する意識調査」の結果を発表した。本調査は2013年11月、企業の情報やデータに携わる職種の社会人を対象としてWebアンケートにより実施されたもの。有効回答数は104名で、総務、法務・知財関連部署52名、情報システム関連部署52名が含まれている。調査結果によると、自社の情報やデータの漏えいに対して、85.5％（89名）が危機意識を持っており、自社が保有する情報やデータで、最も守りたいものは「お客様情報」が58.7％（61名）を占めた。
自社や世間で起こっているサイバー攻撃に対する印象は、「手法やターゲットが変化してきている」が75％（78名）となり、「特にこれまでと変わらない」が25％（26名）となっている。情報やデータ漏えいの対策として導入している、もしくは導入している可能性が高いソリューションは、ファイアウォールが66.3％（69名）で1位、不正プログラム（ウイルス）対策が61.5％（64名）で2位となった。ユーザ（社員、関係会社、協力会社含む）のデータへのアクセス権限の付与状況では、26.9％が「把握していない」と答えた。
Imperva
http://www.imperva.jp/

「暗号化による<情報漏えい> 対策のしおり」を公開（IPA）
http://scan.netsecurity.ne.jp/article/2014/03/25/33841.html    ScanNetSecurity
独立行政法人 情報処理推進機構（IPA）は3月20日、「暗号化による<情報漏えい> 対策のしおり」を公開したと発表した。これは、情報セキュリティ対策について専門家以外にもわかりやすく解説した小冊子「対策のしおり」シリーズに新たに追加されたもの。暗号化は、大切な情報が漏えいすることを防止する有効な手段のひとつ。本冊子では暗号化が行われる背景から、さまざまな場面で使われる暗号化のしくみと注意事項についてわかりやすく紹介している。
具体的には、メール、紛失・置き忘れ、盗難、無線LAN、会社の外と中との通信などの場面において説明している。さらに詳しく知りたい人のための参考情報も紹介している。企業・組織・個人のユーザ全般を対象に想定しており、IPAのサイトから無料でPDFファイルをダウンロードできる。
IPA　　暗号化による<情報漏えい> 対策のしおり
http://www.ipa.go.jp/security/keihatsu/announce20140320_2.html
http://www.ipa.go.jp/security/antivirus/documents/12_crypt.pdf




広告収入目的でデスクトップ画面を占拠する「ZBOT」の亜種（トレンドマイクロ）
http://scan.netsecurity.ne.jp/article/2014/03/25/33840.html    ScanNetSecurity
トレンドマイクロ株式会社は3月20日、デスクトップを「ロック」し、Webサイトを表示させるとみられる「ZBOT」の亜種（「TROJ_ZCLICK.A」として検出）を「TrendLab」が2014年3月に確認したと同社ブログで発表した。ZBOTは、一般的にオンライン銀行に関連する認証情報を収集することで知られているが、今回の亜種のように情報収集以外の機能を備えるものもある。TROJ_ZCLICK.AがPCに侵入すると、ユーザがウインドウやファイルを開くなどあらゆる操作をするたびにデスクトップを「ロック」し、Webサイトを全画面に表示する。
Webサイトがデスクトップ画面を隠してしまうため、ユーザが開いているウインドウやファイルにアクセスできなくなる。開いているウインドウを見ることができる例も確認されているが、その場合もWebサイトはバックグラウンドで実行されている。ユーザは「デスクトップの表示」コマンドを実行することで妨害を回避できるが、不正プログラムはWebサイトを表示し続ける。特徴的なのは、表示されるさまざまなWebサイトが、すべて正規のサイトであるということだ。
また、この不正プログラムの興味深い機能として、マウスを使用していない時に、さまざまなマウス動作やスクロール動作を実行することを挙げている。情報収集などの不正活動は実行しないが、解析によりこの検体は「ZBOT」のコードを含んでいることを確認した。これは、この「ZBOT」の亜種がオンライン広告を不正にクリックして金銭を稼ぐ「clickbot」の活動のみを読み込むということを意味する。この点から見れば、クリック報酬型広告（pay-per-click, PPC）を介し収益を生み出すことが主な目的であると考えられるとしている。
トレンドマイクロ：ブログ　　情報収集機能を持たない「ZBOT」の亜種、クリック詐欺で金銭獲得を狙う
http://blog.trendmicro.co.jp/archives/8756





「世界最大の闇サイト」再開　盗難ビットコイン悪用の恐れ　あらゆる犯罪請け負う
http://www.itmedia.co.jp/news/articles/1403/25/news045.html    ITmedia
インターネット上の仮想通貨「ビットコイン」決済が主流で、匿名での違法薬物売買など犯罪取引を仲介したとして、米連邦捜査局（FBI）が昨年強制的に閉鎖した世界最大の闇サイト「シルクロード」が、別の運営者により再開されていたことが22日、分かった。世界最大級の取引所「Mt・Gox（マウントゴックス）」が破綻しビットコインの信用不安が広がる中、不正アクセスで盗まれたビットコインが悪用される可能性が懸念されている。
ウイルス対策ソフト「ウイルスバスター」を開発・販売するソフト開発会社「トレンドマイクロ」（東京）の調査で分かった。同サイトは昨年10月、FBIが「ネット上で最も精巧で大規模な犯罪市場」として閉鎖し、運営者の男らを逮捕。だがトレンド社の調査の結果、閉鎖から約1カ月後に別の運営者が再開していたことが判明した。
米メディアによると、逮捕された1人はビットコイン利用促進団体の副会長で、ニューヨークにある取引所「ビットインスタント」の最高経営責任者（CEO）も務めた業界の有名人。「シルクロード」利用者に100万ドル超のビットコインを供与し、マネーロンダリング（資金洗浄）を手助けしたとして訴追され、業界に衝撃を与えた。
「シルクロード」は会員登録などが不要で、誰でもアクセスが可能。盗難クレジットカードの暗証番号や麻薬、偽造パスポートなどが売り出されているほか、偽札偽造、殺人請負人手配、特定企業などのホームページやシステムを停止させる「標的型サイバー攻撃」など、あらゆる犯罪関連サービスを請け負うとされる。
電子マネーの利用も可能だが、利用者の身元特定につながるため、ほとんどが匿名性の高いビットコインで決済。2011年の開設以来、円換算で少なくとも1千億円以上のビットコインが使われたとされる。
ビットコインをめぐっては、マウントゴックスが先月26日に取引を停止。同社が保有していた計85万ビットコイン（サイト停止直前レートで約114億6千万円相当）のうち、約4分の3が失われたとされている。
ビットコインを窃取するサイバー攻撃も横行しており、今月4日にも、ビットコインの保管業務などを手がけるカナダの業者が、顧客から預かっていた896全ビットコイン（約6100万円相当）が盗まれ、サービスを停止した。
トレンド社は「ビットコインはこれまでも、その匿名性が犯罪に悪用されている。大量に盗まれたビットコインは、こうした闇サイトで犯罪に悪用される恐れがある」と指摘している。

2014年03月24日




Gmailの通信、Google社内も含め全てHTTPS経由に
http://www.itmedia.co.jp/enterprise/articles/1403/24/news031.html    ITmedia
ユーザーが送受信したメールがGoogle社内を通過する際も100％を暗号化する。
米Googleは3月20日、「Gmail」でメールを送受信する際の通信に、同日から全て暗号化されたHTTPS接続を利用すると発表した。
Gmailではサービス開始当初からHTTPSをサポートし、2010年にはHTTPSがデフォルトになった。今回の措置でHTTPSが例外なく適用されるようになり、「ユーザーのコンピュータやスマートフォンとGoogleのGmailサーバ間を行き来するメッセージは、たとえ公衆無線LANを使っていようと、何者にも傍受できなくなる」と説明している。
さらに、ユーザーが送受信したメールがGoogle社内を通過する際も100％を暗号化。ユーザーとGmailサーバの間だけでなく、Googleのデータセンター間を移動する際の安全も確保するとした。
Googleでは「メールのセキュリティと安定性の保証に尽力しており、常に改善に取り組んでいる」と述べ、ユーザーの側でも強固なパスワードの設定や二要素認証の採用など、追加的な安全対策を施すよう促している。
Google Online Security Blog　　Staying at the forefront of email security and reliability: HTTPS-only and 99.978 percent availability
http://googleonlinesecurity.blogspot.jp/2014/03/staying-at-forefront-of-email-security.html




Microsoft、ユーザーのHotmail閲覧について説明　ポリシー強化を発表
http://www.itmedia.co.jp/news/articles/1403/24/news035.html    ITmedia
Microsoftが、従業員による企業秘密リークを調査する過程でリーク相手であるブロガーのメール内容を閲覧したことについて説明した。
米Microsoftは3月20日（現地時間）、企業秘密をリークした同社従業員を調査する過程でHotmailユーザーのメールを閲覧したことについて説明し、プライバシーポリシーを強化すると発表した。
同社が社外のHotmailユーザーのメールを閲覧したことは3月17日に裁判所に提出された訴状
http://regmedia.co.uk/2014/03/20/kibkalo-complaint.pdf　：　Case 2:14-mj-00114-MAT Document 1 Filed 03/17/14 Page 1 of 14
で明らかになり、
電子フロンティア財団（EFF）
https://www.eff.org/deeplinks/2014/03/microsoft-says-come-back-warrant-unless-youre-microsoft　：　Microsoft Says: Come Back with a Warrant, Unless You’re Microsoft
などが問題視して物議を醸した。
この訴状によると、2012年8月にMicrosoftの従業員（当時）、アレックス・キブカロ氏がWindows 8に関する企業秘密をフランス人のメディアブロガーにリークしたという。調査の過程でこのブロガーがHotmailを使ってキブカロ氏と連絡をとっていたことが明らかになり、Microsoftが確認のためにメールの内容を閲覧した。
Microsoftは、この場合のメール閲覧は特殊であり、また
「Microsoftサービス規約」
http://windows.microsoft.com/ja-jp/windows-live/microsoft-services-agreement　：　Microsoft サービス規約
に準拠したものだと説明している。
同社サービス規約の「5.プライバシー」には「Microsoftまたはその顧客の権利または財産の保護」「を目的として必要であるという合理的な判断する場合に」Microsoftがユーザーの情報を開示することにユーザーが同意すると明示されている。
Microsoftは、この調査は合法でプライバシーポリシーにも準拠したものではあるが、ユーザーの懸念も理解できるとして、今後はユーザーのコンテンツを閲覧する際は、連邦判事経験のある社外弁護士に判断を仰ぐこと、こうした調査を行った場合は、透明性リポートで報告することを約束した。
なお、米Appleや米Googleの利用規約にも、企業がユーザーのコンテンツを閲覧することに合意するという条項がある。Appleの
「iCLOUD TERMS AND CONDITIONS」
http://www.apple.com/legal/internet-services/icloud/jp/terms.html　：　iCLOUD TERMS AND CONDITIONS
には、「お客様に対し責任を負うことなしに、お客様のアカウント情報およびコンテンツにアクセスし、利用し、保全し、および/または法執行機関、政府職員および/または第三者に開示できることを認め、同意します」とある。
Google利用規約
https://www.google.com/apps/intl/ja/terms/user_terms.html　：　Google 利用規約
には、「法的に必要な場合、または次の理由から正当に必要であると誠意に基づいて判断された場合に、Googleがお客様のアカウント情報およびアカウントに関連するコンテンツにアクセス、保持、開示することに同意したものとみなされます」と明示されている。
公式ブログ　　Strengthening our policies for investigations
http://blogs.technet.com/b/microsoft_on_the_issues/archive/2014/03/20/strengthening-our-policies-for-investigations.aspx





もう「Twitterのアプリ認証」は使わないに限る
http://bizmakoto.jp/makoto/articles/1403/24/news030.html　　Business Media 誠
2014年3月8日に消息不明になったマレーシア航空370便（MH370）。各国の懸命な捜索が続いていますが、一足先に
「MH370の動画」を偽装した不正プログラムが発見されました。
http://blog.trendmicro.co.jp/archives/8742　：　マレーシア航空370便消息不明のニュースに便乗する脅威を複数確認
人々が注目する事件や事故、ゴシップに便乗し、「真実を知りたければクリック」と誘導する詐欺サイトやウイルス感染をさせるサイトはこれまでも多数、登場しています。過去には、東日本大震災やボストンマラソン爆破事件なども利用されていました。この脅威を告知するトレンドマイクロは以下のように呼び掛けています。
「最新のニュースや時事問題を知りたいときは、メールやソーシャルネットワークサイトではなく、信用のおける有名なニュースサイトを直接訪れるようにしてください」
信用に足る情報を「パクる」犯罪者たち
Twitterやメールであなただけに特報が届く――そんなことはほとんどあり得ません。今回は、「コピペサイトからではなく、信頼できる人からの情報を参考にしましょう」というコラムにまとめようと思っていたのですが、コトはそんなに簡単にはいかないようです。
2014年3月21日は、Twitter共同創業者のジャック・ドーシー氏が最初のツイートを投稿してからちょうど8年に当たりました。それを記念して、Twitterは「自分の最初の投稿が分かるツール」を提供しました。
早速、このツイートに便乗したニセモノが登場しています。アイコンと投稿内容をコピーして「ツイッターJP」と名乗る偽アカウントは、「@twittter_JP」と「t」が1個多いだけ。ぱっと見では判断が付きません（以前、筆者は「Instagram」を真似た「lnstgram」にだまされたことがあります）。
こうなると、「信用しているサイトやサービスなら安心」というわけにもいかなくなります。このような手口のツイートは、だいたい信用しているフォロワーからリツイート（RT）されてきます。「信用しているサイトの情報が、本当にそのサイト自体からの情報なのか」、自分もRTする前に考えなくてはならない時代なのです。
悪ツイートは良ツイートを駆逐する
少なくともTwitterにおいて、対策は2つしかありません。「面白そう」という情報が流れてきたら、「じっくり確認する」か「完全に無視する」の2択です。具体的には「Twitterの連携アプリ認証ページが表示されても、絶対にログインしない」というポリシーを自分の中で決めることです。
Twitterの連携アプリ認証を要求するアプリは、フォロー／投稿を要求する悪意あるものがほとんどです。プレゼントやキャンペーンの応募などでも利用されますが、自営するためには、「正しいものすべてをひっくるめて、もう使わない」こともやむを得ないでしょう。
「悪貨は良貨を駆逐する」という言葉を地で行く現在の展開には、個人的には無力感を抱きます。本来はサービス運営側がなんらかの強権を発動するべきかとは思いますが、セキュリティはどうしても後手に回らざるを得ません。とても残念なことです。

2014年03月23日




五輪開催で狙われる立場に──日本政府、サイバーセキュリティ対策を強化へ
http://www.itmedia.co.jp/news/articles/1403/24/news064.html    ITmedia
日本政府は3月18日、2020年の東京オリンピック開催を視野に入れた国防強化の一環として、全府省庁が参加する大規模なサイバー訓練を実施した。
2012年のロンドンオリンピックでは、英政府は事前に職業ハッカーを雇ってコンピュータシステムへの攻撃をシミュレートし、オリンピック開催に備えた。英政府は実際、オリンピック期間中に複数のサイバー攻撃の回避に成功しており、日本政府もこうした先例に倣いたい考えだ。
内閣官房情報セキュリティセンター（NISC）内閣参事官の三角育生氏によれば、今回のサイバー訓練には全21府省庁と10分野の主要インフラ事業者が参加。内閣府の緊急事態対応センターにサイバーセキュリティの専門家が約50人集まり、ほかにもその3倍ほどの人数の専門家が個々の持ち場で訓練に参加したという。
「これまでにもサイバーセキュリティの問題には取り組んできたが、米国と比べて後れているのは確かだ」と、IT政策担当の内閣府特命担当大臣としてサイバーセキュリティ強化に取り組む山本一太大臣は訓練前の取材で語った。
訓練にはフィッシング攻撃の手法が用いられ、政府職員や企業ユーザーが偽のWebサイトに誘導され、サーバがコンピュータウイルスにさらされるという想定で行われた。
「サイバー攻撃が巧妙化、高度化、国際化していく中、政府の対応力を高めていくことは極めて重要な課題だ」と、政府の情報セキュリティ政策会議の議長を務める菅内閣官房長官は訓練の冒頭で語っている。
ハッカー攻撃の増加
政府は1964年以来となる日本での夏季オリンピックの開催が経済を上向かせると期待している。だが一方で関係者は、日本がコンピュータハッカーの標的にされる可能性を懸念している。三角氏によれば、日本政府を狙った海外と国内からのハッカー攻撃は2013年に倍増したいう。
独立行政法人の情報通信研究機構（NICT）によれば、ハッカー対策の実験用に国内に設置しているクローズドなネットワークを狙ったサイバー攻撃の件数は2012年の78億件から、2013年には128億件に急増したという。
菅官房長官は今回の訓練に先立ちブログにコメントを投稿し、日本政府のサイトは毎分2回のペースで攻撃を受けていると述べている。
安倍晋三首相が特定秘密保護法案を通過させたとはいえ、日本政府が悪意あるインターネットハッカーからの攻撃に対して十分な防御力を備えていないことは、政府関係者も認識している。この状況は、米国にとっても懸念の1つだ。日米両国は、政府の支援を受けているハッカーも含め、新種の脅威への対応を強化すべく、日米防衛協力のための指針を十数年ぶりに見直している。
さらに日本政府は、国内の最先端技術を産業スパイから守るための対策強化も明言している。東芝は3月13日、元従業員がライバル企業である韓国SK Hynixに主要なチップ技術を不正に提供したとして、SK Hynixを提訴した。
サイロを解体
日本のサイバーセキュリティには、警察庁のほか、防衛省や経済産業省を含む4省が協調して取り組んでいる。
政府と産業界がこれだけの規模で連係し、ハッカーの脅威に立ち向かうのは、18日の訓練が初めてだ。
「今回の訓練は、今の日本に存在しているさまざまなサイロの解体に役立つだろう」と、IT戦略担当の内閣府本府参与を務めるアメリカ生まれのIT起業家、斉藤ウィリアム氏は指摘する。
IT政策担当の山本一太大臣は今月、オンラインセキュリティの問題を議論し、対策を一本化するための有識者会議を設置。外部の専門家を招き、各省と警察庁のサイバーセキュリティ担当者を集めて、初会合を開いている。
山本大臣は今夏にも提言を取りまとめたい考えという。提言には、コンピュータサイエンスの専攻の奨励や、ハッカー対策のセキュリティソフトウェアを輸入に頼らず国内で開発することなどが含まれる見通しだ。




「KADOKAWA」サーバに不正侵入、フィッシングメールの踏み台にされた恐れ　サイト閉鎖
http://www.itmedia.co.jp/news/articles/1403/23/news011.html    ITmedia
KADOKAWAは、同社サーバが不正侵入を受け、フィッシングメール送信に悪用された恐れがあるとし、公式サイトを閉鎖して調査を行っている。
KADOKAWAは3月23日までに、同社サーバが不正侵入を受け、フィッシングメール送信に悪用された恐れがあると発表した。公式サイト「http://www.kadokawa.co.jp/」を閉鎖し、調査を行っている。
個人情報の流出や、マルウェア配布サイトへの誘導を仕込まれた形跡などは現時点では見つかっていないが、「万全を期すため」サイトを閉鎖したという。
同サイトは今年1月にも不正アクセスを受けて改ざんされ、オンラインバンキングなどの情報を盗み出すトロイの木馬「Infostealer.Torpplar」が仕込まれていたと発表している。
http://www.itmedia.co.jp/news/articles/1401/17/news047.html　：　KADOKAWAの公式サイトが改ざん　閲覧者がマルウェア感染の恐れ　2014年01月17日
サーバー調査のお知らせ
http://www.kadokawa.co.jp/ir/notice.html





IPA、「無線LAN＜危険回避＞対策のしおり」を無料提供
http://news.mynavi.jp/news/2014/03/23/060/　　マイナビニュース
情報処理推進機構(IPA)は3月20日、「無線LAN＜危険回避＞対策のしおり」において無線LANをテーマにした情報セキュリティ対策小冊子「無線LAN＜危険回避＞対策のしおり」を公開したと伝えた。この小冊子は専門家ではないユーザを対象に情報セキュリティ対策についてわかりやすく解説するという「対策のしおり」シリーズのひとつ。情報処理推進機構のサイトからPDFデータとしてダウンロードできる。
小冊子では無線LANの設定を不適切な状況にしておくことで、部外者によるインターネットの不正利用という問題が発生しうるほか、どこまで電波が届いているか目視できないため、外部の人間が社内のネットワークにアクセスし、そこに保存されている機密情報に不正アクセスできる危険性があることなどを説明している。
いくつかの代表的な問題点を説明してあとで、もっとも強い暗号化設定を採用すること(現状ではWPA2-PSK )、パスフレーズは予測されにくく長い文字列を採用すること、万が一のためにログを収集しておくこと、従業員に対してセキュリティ教育を実施すること、事務所のスペースに適した強度の無線装置を使用すること、などの対策が示されている。
IPA 情報処理推進機構    無線LAN＜危険回避＞対策のしおり
http://www.ipa.go.jp/security/keihatsu/announce20140320_1.html




Androidのウイルス対策は万全? セキュリティ記事まとめ - 2014年春版
http://news.mynavi.jp/articles/2014/03/23/matome_security/　　マイナビニュース
「アプリに偽装したウイルスが発見された」「セキュリティ脆弱性が見つかった」など、危険性を煽る話題の多いAndroidですが、あなたはウイルスやセキュリティについてどのくらい知識がありますか? 本稿では、Androidのウイルス対策について説明した記事を紹介します。
1: Androidにウイルス対策は必要なの?
意外に知らないAndroid - Androidスマホにウイルス対策は必要なのか?
「Android端末向けにウイルス入りアプリ蔓延」「Android向けフリーウェアにスパム混入」といったニュース記事を最近よく見かける。しかし身の周りで「感染した」という話はあまり聞かなかったりする。本当にウイルス対策はしなくてはならないのだろうか? また、これらのニュースはAndroidのウイルスやスパムの話題ばかりで、iPhoneでは起こっていないように思える。これは何故だろうか?
まず、ウイルス対策は必要かという問いに対してだが、結論から言うと「自分は大丈夫」とは思わず、ウイルス対策はしっかりした方が良い。筆者は日々さまざまなアプリをダウンロードして試しているのだが、ウイルス対策ソフトが未然に脅威を察知してくれることが多々ある。ウイルス対策ソフトを導入している人であれば、筆者と同様の体験をしたことがある人は多いはずだ。
続いて、なぜiPhoneには無いウイルスやスパムがAndroidにはあるのか。理由は簡単に説明すると次の通りだ。iPhone、Androidともにアプリをマーケットで配信するには審査が必要となるのだが、Android向けアプリの審査は、iPhoneアプリと比べると緩いのだ。ただ、これはAndroidのほうが「自由度が高い」と言い換えることもでき、Androidのメリットとも言える。
このように「自由度の高さ」と引き換えにウイルスなどの脅威に晒されるAndroid。やはりウイルス対策アプリはしておいたほうが良いだろう。またウイルス対策アプリを導入したからと安心せず、以下のような用心も必要だ。
正規ではない配布のアプリ(野良アプリ)の利用には十分注意する
アダルトサイトなどでのワンクリックで感染する可能性もある
送信元の知らないメールの開封には十分注意する
著作権を無視したもの、有名アプリに似たものはダウンロードしないようにする
ここまでAndroidスマートフォン/タブレットのウイルス対策について説明してきたが、「基本的にはパソコンと同じ」と考えておくと良いだろう。Androidのウイルス対策もパソコンと同様「追っかけっこ」なのだ。次々に新種の脅威が誕生し、あなたのAndroid端末を狙っている。「自分は大丈夫」とは思わず、対策と用心はしっかりした方が良いのだ。
2: ウイルスはどこからくるの？
「ウイルス入りアプリが発見された」「Androidの脆弱性が見つかった」など危険を煽るニュースが多いAndroidですが、本当にウイルス対策は必要なのでしょうか。
Android OS用アプリの入手先は、Googleが運営する公式アプリマーケット「Google Play」を利用することが基本ですが、他のルートから入手することも可能です。Android OSのセキュリティオプションで「提供元不明のアプリ」を有効にすれば、パソコンなどでダウンロードしたアプリファイル(APKファイル)をインストールできます。
Googleは自社以外の企業、たとえば携帯キャリアや端末メーカーがアプリマーケットを運営することを妨げない方針です。有名なところでは、Amazonの「Amazon Androidアプリストア」、ブラウザメーカーOperaの「Opera Mobile Store」があります。アプリマーケットの体裁をとらなくてもAPKファイルの配布は可能ですから、徹底したアプリの一元管理を行うAppleと運営方針はまるで異なるといっていいでしょう。
そのように自由度が高いAndroid OSですが、アプリの配布ルートをGoogleが完全に押さえていない以上、セキュリティという意味では完全といえません。そのため、パソコン同様のマルウェア(ウイルスを含む迷惑プログラム全般)対策アプリが多数開発され、Google Playなどのアプリマーケットを通じて販売されています。常時稼働させておくと、バッテリー消費量の増加など不利な点もありますが、安全度は高まります。
Google Playで公開されているアプリにも注意が必要です。Google Playは無審査ではなく、アプリ公開後にマルウェアなどの有無をプログラム処理により検査していますが、個人情報を抜き取るアプリがたびたび確認されるなど、被害事例が多発しているのが現実です。Googleも審査を厳しくする方向で臨んでいますが、アプリの一元管理を行わないかぎり、悪意の開発者とのイタチごっこは続くかもしれません。
3: 日本語IMEが危険って本当なの?
昨年末、「Shimeji」という日本語IMEで入力した文字列が、外部サーバーへ送信される問題が起きました。日本語IMEは気をつけないと危険なものなのでしょうか
入力したかなを漢字に変換するプログラム「日本語IME」は、それ自体に危険性はありません。基本的な動作は、かなと一致する漢字をデータベース(辞書)から検索し、部分/全体が一致するものを候補として表示するに過ぎず、スマートフォン内部ですべてが完結します。
ただし、文字入力に対応するすべてのアプリから呼び出し可能なプログラムでなければならない以上、日本語IMEは一般的なアプリに比べ低位のレイヤー -- OSは複数のプログラムが依存関係にあり、それを階層(レイヤー)と表現します -- で動作することを求められます。その意味において、他のジャンルのアプリに比べればシステムに与える影響は大きいといえます。
Android OSでは、日本語IMEをインストールするとき「入力したパスワードやクレジット番号など個人情報を含むすべての文字列の収集を許可する」という主旨のダイアログが表示されます。ただし、その日本語IMEが情報収集をするかしないかに関わらず表示されるため、インストール後の処理は日本語IMEによって異なります。
近ごろの日本語IMEは、ユーザが入力した文字列および変換結果を収集(クラウド送信)することで、変換精度向上の参考にするほか、トレンドの言葉や辞書には登録されにくい特異な単語を変換辞書に蓄積する機能を実現しています。いわば「ユーザの力を借り機能を充実」させているわけで、そのしくみ自体は日本語IMEの有効な機能強化策のひとつといえるでしょう。
残念ながら、「Simeji」という日本語IMEで入力した文字列が、外部のサーバへ送信されていたことがわかりました。変換後の文字がスマートフォンを特定しうる情報(端末識別子、UUID)とセットで送信されていたそうです。送信は不具合で変換前の文字列(パスワードやクレジットカード番号など)は送信していないとの発表がありましたが、機密情報の漏えいもありうる深刻な事象といえます。今後は開発元の確認やクラウド送信のオン/オフなど、ユーザ側にもじゅうぶんな対策が求められます。
4: ウイルス被害ってどんなパターンがあるの?
スマホのマルウェアの手口がより巧妙に、トレンドマイクロがセキュリティセミナー開催
「ウイルス対策」という単語は良く聞く単語ですが、実際にどういう被害があるかは分かり辛いですよね。本稿では、トレンドマイクロが行ったウイルス被害に関するセミナーをレポートしています。
トレンドマイクロは12月3日、スマートフォン向けのセキュリティセミナーを開催し、報道関係者向けにスマートフォンのマルウェアについて解説した。同セミナーでは、マルウェアの手口がより高度化し、巧妙になっている現状が紹介された。
同社によれば、Android向けのマルウェアが初めて登場したのは2010年8月。トレンドマイクロで「AndroidOS_DROIDSMS.A」とい名付けられたマルウェアで、アダルト動画を再生するアプリを偽装。実際は海外で一般的な有料のSMSサービス(プレミアムSMS)を悪用するという詐欺アプリだった。
その後、特にAndroid向けのマルウェアは拡大の一途をたどる。以前は不正なWebサイトからのダウンロード、非正規のアプリマーケットからの配信、ゲームや動画などのアプリに偽装して配信されていたが、「手口が多様化し、攻撃が巧妙になってきている」(同社フォワードルッキングスレットリサーチ シニアリサーチャー林憲明氏)という。新たな手口として、正規アプリマーケットのGoogle Playを狙い、正規アプリのマルウェア化、時間差攻撃、脅威の分割、などといった手法が使われてきていると林氏は言う。
Google Playは、Android標準のマーケットであり、利用者には一定の信頼感があるため、外部のアプリマーケットに比べてマルウェアがインストールされやすくなる。Googleは基本的にアプリ配信に審査をしないとはいえ、最低限の検証、その後の巡回によるマルウェア検出「Bouncer」の実施といった作業を行っており、マルウェア作者は、こうした審査を回避する手法を生み出している。
その1つがインストールされるアプリの機能を限定する方法だ。Androidアプリは、インストールする際に利用する権限が羅列され、そこで危険なアプリかどうかをユーザーが確認できる。
しかし、機能を限定したマルウェアは、権限としてネットワークアクセス権限しか取得せず、危険性を低く見せかける。実際はワンクリック詐欺サイトにアクセスさせ、そこで金銭を盗もうとするなど、アプリ外から収益を得ようとする。単独では危険性はないが、利用する際に危険性があるアプリだ。また、主要機能の部分はソースコードからコピー&ペーストし、アクセス先のURLや外観を変更しただけの同種アプリを大量に制作して、アプリの数を稼ぐという手法もとられているそうだ。
トレンドマイクロが調査したところ、Google Play上のワンクリック詐欺アプリ300件のうち、ネットワークへのアクセス権限のみを要求するアプリが96％に上り、単純に権限を確認するだけでは危険性が判断できなくなってきているという。海外では、プレミアムSMSを悪用するためにSMSの権限を取得するマルウェアが多く、こうした最小限の権限を要求するワンクリック詐欺アプリは「日本特有の事象」(林氏)だ。また、300件のワンクリック詐欺アプリの開発者を調べたところ、開発者名は80に分けられ、多くのマルウェア開発グループが存在するように見えるという。しかし、アプリの電子署名を確認すると、80％に当たる241件が同一の電子署名を使っており、実際は同じ開発者が開発者名を使い分けていたことが分かった。
もう1つの手法が「時間差攻撃」だ。時間差攻撃は、当初は悪意のある行動を取らない無害なアプリとして公開し、アプリに更新機能を組み込み、別のマルウェアをダウンロードさせるなどして攻撃を行うというもの。
この手法が用いられたのが「BadNews」と呼ばれるマルウェアで、アプリ内の広告ネットワークからアプリのダウンロードを促し、プレミアムSMSを悪用するマルウェアをインストールさせようとするものだ。ワンクリック詐欺アプリや、国内で話題になった「the Movie」といったマルウェアが2〜7日でGoogle Play上から削除されていたところを、33日間生き残っていたということで、無害なアプリに装った攻撃が成功していることがわかったという。
こうした攻撃に対して、今後さらに別の手法を使った攻撃が増えてくると林氏は予測する。それが、アプリのなりすましだという。
これは、正規のアプリを無断で改造して不正なコードを埋め込み、正規アプリに偽装して配布する手法だ。すでに、改造を行うためのツールキットが登場しており、2013年6月には37ドルだったツールキットが無償化されており、今後さらに拡大することが懸念されている。
このツールキットには、正規アプリと不正コード(この場合は遠隔操作アプリ)を結合する「バインダー」、遠隔操作を行うための「操作パネル」、そして正規アプリに埋め込まれる「遠隔操作アプリ」の3つからなり、外観や機能は正規アプリと同様だが、実際にはバックグラウンドで遠隔操作アプリが動作する仕組みになっている。
こうしたなりすましのアプリは、正規アプリに比べて取得権限が多くなり、連絡先やショートメッセージの内容、保存されているデータ、通話の音声、現在地情報といったデータが盗まれる危険性がある。すでに音楽やゲーム、QRコードアプリで、こうした攻撃が確認されており、林氏は危険性を訴える。
マルウェアの取得権限が増えるとはいえ、通常の正規アプリでもサービスを提供するために、多くの権限を取得するものもある。
また、ワンクリック詐欺アプリのように、最小限の権限しか取得しないアプリもあり、ユーザーが権限を確認するだけでは危険性が分からない場合が多くなっている。林氏は、同社のセキュリティアプリに組み込まれた「Trend Micro Mobile App Reputation」サービスを紹介。こうしたセキュリティアプリの活用を促している。

2014年03月22日




Electronic Artsのウェブサーバーがハッキング被害、Apple IDを盗み出すフィッシングサイトのホストとして使用される
http://scan.netsecurity.ne.jp/article/2014/03/22/33831.html    ScanNetSecurity
EAウェブサーバーにハッキング攻撃。Apple ID狙ったフィッシングサイトが突如出現
Electronic Arts (以下、EA)のウェブサーバーがハッキングを受け、Apple IDを盗み出すフィッシングサイトのホストとして使用されていたことが、BBCによって報じられました。
EAのユーザーログインページに仕掛けられた偽のウェブサイトは、ユーザーにApple IDとパスワードの入力を求めた後、誘導先のページで名前、生年月日、電話番号、クレジットカードナンバーの確認をさせ、最後に正規のApple IDウェブサイトへ飛ばすという巧妙なものだったということです。EAは既に原因の究明と対応策を講じたという声明を出しています。
このハッキング被害を検知したインターネットセキュリティー会社、NetcraftのPaul Mutton氏は、ウェブサーバー上にホストを置いていたオンラインカレンダーアプリケーションの脆弱性を突かれた可能性が高いと、自身のブログで語りました。同氏によると、件のカレンダーアプリはしばらく更新されていなかった古いソフトウェアのものだったとのことです。
　"古いソフトが少しでもあると、ハッカーが次から次へとターゲットにする大きな隙を与えてしまい、さらなる脆弱性の発見に多大な時間を要してしまいます"
EAサーバーは今年始めにも攻撃を受けており、多数のEAタイトルにおいて回線接続とログインに不具合が起こりました。その際は、ハッキング集団、DERPからTwitterを通して犯行声明が出されていました。
We've directed the Gaben Laser Beam @ the EA login servers. Origin #offline DERP (@DerpTrolling) 2014, 1月 3
Electronic Arts
http://www.ea.com/





2014年03月21日




Twitter公式をかたるスパムツイートに注意　8周年に便乗　公式が警鐘
http://nlab.itmedia.co.jp/nl/articles/1403/21/news015.html    ITmedia
うっかり認証ボタンを押してしまわないようにご注意を。
Twitterの公式をまねたスパムツイートが出回っており、公式アカウントが注意を呼びかけています。
内容は「Twitterは明日で8歳になります」「皆さんの初めてのツイートを簡単に探せるツールを用意しました。楽しんでいただけますように！」といったもので、URLをクリックすると連携アプリ認証ページに飛ばされる仕組み。うっかり認証してしまうと意図していないフォローやツイートなどを行われる可能性があります。すでに認証してしまったという人は、Twitterの設定→アプリ連携から許可を取り消しておくのをオススメします。
アカウント名が「@twittter_JP」と“t”が1個多いこと、公式の認証マークがないことなどから判別はできますが、それ以外はTwitter公式アカウントのツイートとほぼ同じ内容。特に最近は連携アプリを装って認証ボタンを押させる手口が流行しており、安易に認証ボタンを押してしまわないよう注意が必要です。
Twitter公式アカウントからの注意
Twitterの公式を真似たアカウントから初めてのツイートを調べるサイトへの誘導ツイートが行われているようです。
Twitterからのツールは、ツイート内のURLをクリックしてもアカウント連動の認証が必要となるものではありません。お気をつけください。
https://twitter.com/TwitterJP/status/446847469805006848





PC遠隔操作事件ってどんな事件？ 片山被告が無実主張
http://thepage.jp/detail/20140321-00000011-wordleaf    THE PAGE
遠隔操作されたパソコン（PC）から多数の犯行予告が送信され、その狡猾な手口から誤認逮捕が続出したPC遠隔操作事件。捜査本部は2013年2月に片山祐輔被告を逮捕し、本年2月12日には初公判が行われましたが、被告自らが冒頭陳述で身の潔白を訴えるなど、事件の解明にはほど遠い状況です。PC遠隔操作事件のこれまでの流れを整理してみましょう。
相次いだ誤認逮捕
PC遠隔操作事件の発端は2012年の初夏。同年6月29日に、横浜市のホームページに小学校無差別殺人予告が書き込まれました。7月1日には、東京都の大学生が威力業務妨害容疑で逮捕されましたが、その後も大阪市の商店街での無差別殺人を予告するメール、東京都内の幼稚園での無差別殺傷を予告するメール、伊勢神宮の爆破を予告する掲示板への投稿など、次々と犯行予告が重ねられ、約2か月半の間に、実に4人もの無実の人たちが誤認逮捕される事態になったのです。
多くの誤認逮捕が発生した要因としては、遠隔操作ウイルスとネットの暗号化技術が挙げられます。犯人は誤認逮捕された人たちのパソコンを遠隔操作ウイルスで操り、犯行予告の送信に利用していました。また、犯人は一連の犯行で使われたサイトにアクセスする際、ネットでの動きを察知されないように「Tor（トーア）」という暗号化ソフトを悪用。これまでのサイバー犯罪は、ネット上の住所をあらわすIPアドレスを辿ることでその多くが解決していましたが、Torによって犯人の足取りが消されてしまったのです。
しかし、もっとも問題とするべきは、このような専門的知識を要するサイバー犯罪に対抗するだけの知識や技術を、警察が持ち合わせていなかったことでしょう。2012年の10月には、真犯人を名乗る人物から、警察・検察に対する「あそんでくれてありがとう」といった挑発的な言葉が綴られたメールが、弁護士や報道機関宛に送られました。
2013年2月に片山被告を逮捕
その後も騒ぎを楽しむかのように何度もメールが送られ、「スクープのチャンス」などとして、事件にまつわる情報をパズル形式で提供するなど、その内容は次第にエスカレート。こういった犯人からもたらされた情報がもとになり、事件に使われた遠隔操作ウイルスのソースコードが入ったマイクロSDカードが発見され、捜査は新展開を迎えます。
マイクロSDカードは、江の島にいた野良猫の首輪にはり付けられていましたが、現地の防犯カメラに、片山祐輔被告がこの猫に接近する様子が映っていたのです。捜査当局は2013年の2月に、片山被告を逮捕しました。
検察側はウイルス作成能力があったと主張
本年2月12日には初公判が行われ、被告本人が異例の冒頭陳述に立ちました。片山被告は、ウイルス作成に必要なプログラム言語について開発経験がないことや、江の島では猫とのふれあいを求めただけで首輪をつけた事実はないこと、そして自分自身もPCを遠隔操作された真犯人の「身代わり」であることなどを訴えました。
一方、検察側の冒頭陳述では、犯行に使われた遠隔操作ウイルスを作成する能力や環境があったこと、報道機関などに送付されたメールの内容に沿って野良猫にマイクロSDカードがついた首輪をつけることができるのは被告だけだったことなどが主張されました。
また、検察側は約640点の間接証拠を提出しましたが、どれも決定的な証拠とは言い難く、弁護側は証拠が脆弱であると指摘しています。また、状況証拠の積み重ねで有罪に持ち込もうとする検察の強引な姿勢を批判する声もあります。
3月5日に第2回公判、3月13日には第3回公判が行われ、それぞれ検察側の証人が出廷していますが、まだまだ裁判の行方を決定付けるような展開には至っていない印象で、今後、検察側と弁護側がどのように裁判を戦うかに注目が集まっています。




2014年03月20日




ベリタスのサイトに不正アクセス、5千件の顧客情報が漏えいした可能性（ベリタス）
http://scan.netsecurity.ne.jp/article/2014/03/20/33826.html    ScanNetSecurity
株式会社ベリタスは3月14日、同社のWebサイトに対し外部から不正なアクセスが行われたと発表した。一部の顧客の登録情報が不正にダウンロードされた可能性があるという。これは3月13日、外部からの不正なアクセスと思われる痕跡を確認したため、調査を開始したもの。また同日、同社のWeb管理会社に調査依頼を行い、以降、協力して調査を進めた結果、不正アクセスが判明した。
不正アクセスは、3月10日0時44分から1時7分頃の間に行われ、IPによるとアクセス元は中国であった。同社ホームページプログラムから、SQLプログラムの脆弱性を利用して、会員管理画面へのログイン情報を紐解き管理画面へアクセスした。この不正アクセスで5,041件の顧客情報漏えいの可能性があり、これに含まれる個人情報は、氏名、所属組織名、住所、電話番号、メールアドレス、ログインパスワードとなっている。
ベリタス　　会員専用サイトからの個人情報漏えいについてのお詫びとご報告
http://www.veritastk.co.jp/news.php?id=780




標的型攻撃に対し「最優先で対応」が約2割……IT利活用動向調査
http://www.rbbtoday.com/article/2014/03/20/118049.html　  RBB TODAY
標的型攻撃に対し「最優先で対応」が約2割--IT利活用動向調査（JIPDEC）
一般財団法人日本情報経済社会推進協会（JIPDEC）と株式会社アイ・ティ・アール（ITR）は3月19日、国内企業600社以上のIT・情報セキュリティ責任者を対象に共同で実施した「企業IT利活用動向調査」の一部結果を速報として発表した。本調査では、重視する経営課題や情報セキュリティに対する取り組み状況について分析を行っている。このうち「標的型サイバー攻撃」に対する意識では、前年に引き続き企業のIT担当者の懸念が大きいことがわかった。
標的型攻撃に対して「最優先で対応が求められている」とした企業は、前年調査結果（14.3％）を上回る18.9％となり、過半数が他のセキュリティ課題の中でも優先度が高い状況となっている。その一方で、「リスクの度合いが分からない」とした企業も増加しており、どこまで対策を行うべきかについて悩む企業が増えていることをうかがわせる結果となっている。また、セキュリティ支出について、分野別で2014年度の支出の増減計画を聞いたところ、セキュリティの利用・購入費、特に「モバイル対策」と「外部攻撃対策」について、支出を増加すると回答した企業が20％を超えた。





安全なインターネット提供はGDP成長と等価、OWASP AppSec APAC 2014 開催
http://www.rbbtoday.com/article/2014/03/20/118047.html　  RBB TODAY
Webアプリケーションのセキュリティ改善を目的とする世界最大の非営利組織「OWASP(OpenWeb Application Security Project)」が開催する国際カンファレンス「OWASP AppSec APAC 2014」が今週月曜3月17日から本日20日まで東京で開催されている。
OWASPは、世界に4万人のメンバーを持つ国際非営利組織で「Free to use, Free to perticipate, Free to contribute (誰でも利用・参加・貢献できる)」を理念として、200の支部が世界各地に存在し、168の研究プロジェクトが進行する。日本でのコミュニティは発達していなかったが、OWASP Japan の努力で近年急速に成長、重要ドキュメントの日本語訳も行われるようになった。今回、アジアパシフィックで開催される OWASP のカンファレンスが東京で開催される意義は大きい。
3月17日と18日は、モバイル・アプリケーションのセキュリティや、開発、テストなどに関わる技術及び、経営層向けのITガバナンスに関するトレーニングが行われ、19日と20日は世界から集まった専門家による20を超える講演が行われる。
3月19日に行われた開会挨拶で、OWASP Japan 代表の岡田良太郎氏は、20の国と地域から集まった約430名の参加者に対して「脅威情報を単に共有するだけでなくどうやったらセキュアにできるのかという出口を探すカンファレンスにしたい」と抱負を語った。
OWASP Japan が2012年に実施した最初のミーティングは参加者120名、3,000円の会場使用料で借りた公民館からスタートした。その後の2年間、国内でローカルミーティングを計10回行い、のべ2,000人の参加者を集め、AppSec の東京での開催を実現した。OWASP 日本支部は現在東京と関西に存在し、福島にも近々開設される予定。
岡田氏は、「東京で開かれている単なるイベントではなく国際カンファレンスとして、海外からの参加者に積極的にコミュニケーションして日本人としておもてなしをしよう」と呼びかけた。
OWASP グローバルボードの Tobias Gondrom 氏は、つづくオープニングセッションで、インターネットの資源管理を行う非営利団体 ICANN（The Internet Corporation for Assigned Names and Numbers）の調査を引用し、セキュリティの担保された自由でオープンなインターネットアクセスを提供すれば 2％の GDP 成長が見込まれることに言及し、これは新規の R&D 投資による GDP 成長に匹敵すると語り、Webアプリケーション、モバイルアプリケーションのセキュリティ改善の意義を訴えた。

法律と技術から考える、これからのパーソナルデータの取り扱い
http://www.atmarkit.co.jp/ait/articles/1403/10/news005.html    ITmedia
日本ネットワークセキュリティ協会が主催した
「Network Security Forum 2014」 :　http://www.jnsa.org/seminar/nsf/2014/
の中から、「パーソナルデータに関する制度、技術、ビジネスの方向性について」と題したパネルディスカッションの模様をリポートする。
2014年1月29日、NPO日本ネットワークセキュリティ協会が主催する「Network Security Forum 2014」が開催された。
その中のパネルディスカッション「パーソナルデータに関する制度、技術、ビジネスの方向性について」では、ビッグデータ時代を踏まえたパーソナルデータの在り方や日本の成長戦略として考えた場合の法規制、匿名化と識別化の違いなどをテーマに、有識者2人による濃密な議論が展開された。
匿名性と有用性のトレードオフは法的措置で担保
2013年6月、日立製作所が発表したSuicaデータの社外利用が物議を醸した一件は記憶に新しい。「ビッグデータを利活用する新しいビジネスモデル」と好意的な反応がある一方で、利用者に説明なくJR東日本が個人情報を販売したとして問題視する声も上がった。
日立側は、「駅の乗降履歴や利用者の年齢・性別のみを切り出して、固有のSuica IDとは異なるIDに振り直した上で販売したから個人情報には当たらない」と反論。だが最終的に、JR東日本は有識者会議の判断に従い、オプトアウトの窓口を設置した。
ビッグデータの利活用を考える以上、プライバシーリスクの問題は常につきまとう。2013年に発表された
「世界最先端IT国家創造宣言」　：　http://www.kantei.go.jp/jp/singi/it2/kettei/pdf/20130614/siryou1.pdf
では、日本の成長戦略の一環としてビッグデータの利活用が掲げられた。その上で、ルールの明確化、個人情報保護ガイドラインの見直し、第三者機関を含む新たな法的措置も視野に入れた制度見直しなど、幾つかの課題を設定し、年内策定を目指す方針が出された。
これを受けて発足したのが、
「パーソナルデータに関する検討会」　：　http://www.kantei.go.jp/jp/singi/it2/pd/
だ。
パネルディスカッションには、同検討会の委員の1人で個人情報保護関連の動向に深い知見を持つ新潟大学法学部 教授 鈴木正朝氏と、検討会の技術検討ワーキンググループメンバーの1人で、PKIを含むセキュリティアーキテクチャを長年研究してきたセコム IS研究所 松本泰氏、そして司会のマイクロソフト チーフセキュリティアドバイザー 高橋正和氏が登壇した。
まず松本氏は、技術検討WGで最も白熱した「匿名化」の議論について紹介した。その結論は、2013年12月に発表された「パーソナルデータの利活用に関する制度見直し方針」と
「技術検討ワーキンググループ報告書」　：　http://www.kantei.go.jp/jp/singi/it2/pd/dai5/gijisidai.html
にまとめられている。
「同意を不要とする第三者提供に当たる匿名化とは何か。匿名化という用語の定義を含めて、この議論は最後まで紛糾した」。
そう明かす松本氏は、どのレベルまで匿名化すれば「特定個人を識別できない情報」になるのか、つまり個人情報保護法の適用外になるのかという議論を取り上げ、個人情報保護法のガイドラインを見直すだけでは利活用に関わるルールや制限が明確にならないとして、保護法自体の改正が必要との結論を紹介した。
そして、「利活用できる水準を下げることなく匿名化する手法は存在しない。個人が特定される可能性を低減させながら、それでもプライバシーリスクは残るので、法的制約・制限を課した上で利活用できる仕組みを作る。それが今回の結論だ」と述べた。
議論の背景には、匿名性と有用性のトレードオフという関係がある。「プライバシーリスクの残るデータを扱う以上、データ提供先に何らかの安全管理措置を施すよう義務付けたり、総合的なリスク評価で判断できるような契約や法的担保をしていく必要がある。また、極めてプライバシー性の高いセンシティブデータについては、本人同意を要さない新たな類型として義務を課し、事業者が取り扱えるように考えていく方向だ」
これを受けて、鈴木氏は「WGは技術面を誠実に精査し、『完全な匿名化は不可能』という結論を出してくれた」と評価した。「不可能という結論は重要だ。匿名化とは安全性を高める技術であり、個人情報をなくす技術ではない。技術的措置はセキュアな方向に持っていくだけのもので、安全を保証するものではない。そうした部分を監査義務や規制などでフォローすべき」と補足した。
先のSuicaの事例については、「いくら異なるIDに割り振り直したからといって、JR東日本の元データと容易に照合可能な状態である以上、現行法では違法だし、国際的な議論においても厳しい。だから、JR東日本は立法的に解決してから、新たなビジネスモデルで再スタートを切ればいい」と鈴木氏は提案する。
ここで混乱を招くのが、データの「提供元」と「提供先」、どちらを基準とするかだ。
これについて鈴木氏は、「過去の事例を見ると、容易照合性の判断はデータベースというものが念頭にある。そのため、日立が元データにアクセスできないかどうかはともかく、現行法では違法になる。（合法的に進めるには）JR東日本と日立で委託契約を結べばよかったのかもしれないが、さまざまな企業がさまざまなデータを組み合わせながら利活用するビッグデータ時代において、委託契約という形は合わなかったのだろう」と分析した。
　今回のWGでのもう1つの成果は「特定性」と「識別性」の定義だ。松本氏は、次のような図を示して情報がどう区別されるかを整理した。
情報の種類定義
識別特定情報　　　個人が特定できる情報
識別非特定情報　　個人を特定できないが、一人一人が識別可能
非識別非特定情報　個人も一人一人も識別不可
松本氏は、Suica事例は「識別非特定情報」に該当し、本気で利活用を進めるには、この情報の利用が認められないと難しいと指摘する。
鈴木氏は、曖昧だった概念が整理されたことは、今後日本のビジネスモデルを国際展開するとき、各国のプライバシーデータに対する厳しい法規制に対応させつつ広める意味で、大変重要な成果であると述べた。
「これまでは、特定個人が識別可能な情報か否かについては形式的判断が行われていた。そのため素人判断が可能で、名刺も医療カルテも同じという扱われ方でも問題なかった」。鈴木氏は現状をこう説明する。
「だが今は実質化に動いている。これには、主体は誰か、どういうビジネスモデルか、どんなシステムで支えられているのかといった、総合的な判断が必要だ。例えば、実在する人物のデータが永続的に存在するような形は規制対象になるだろうけれど、5秒の時間軸の情報ならば対象にならないなど、程度問題も見極めることになる」（鈴木氏）
ただし、ビジネスが複雑化した現在、総合的な判断を個々の企業に任せるのは難しい。
例えば、高橋氏はオンライン広告で稼ぎを挙げるボットネット「バミタル」のSub-Syndication技術を取り上げ、「あるサイトでオンライン広告をオプトアウトしても、情報提供先の根っこまで止めないと行動追跡は止まらない。オプトインとオプトアウトの範囲が不明瞭なままエコシステムが形成されている」と述べた。
もっとも、こうしたビジネスモデルは、社会全体のクラスタ化に伴ってマス広告の効果が薄らいだ結果、登場したモデルだ。「相対的にうざったいが、“広告は即、悪”としたらビジネス基盤が揺らいでしまう」（鈴木氏）
松本氏も「ネットビジネスの世界は非常に複雑。技術的な理解を踏まえて法制度を策定し、程度問題を判断する仕組みを設けていかなければならない」と強調する。
そこで、今回の検討会でも提示されているのが、程度問題を見極めて監査する第三者機関の設置だ。プライバシーリスクの残るデータを扱う事業者は、第三者機関による監査を受け入れる。これは、パーソナルデータの利活用を促進し、企業にとっては新たなビジネスモデルへ挑戦する力ともなり得る。
とはいうものの、論点はまだまだ多い。鈴木氏も、「個人情報保護法は、今回の一次改正で終わるはずはない。二次、三次と続く」と断言する。
「（改正と改善を継続させるためにも）まずは法の主管を消費者庁から第三者機関に移す。そして、課題を明確化して日本が浮上するための戦略ができたら、必要な条文を起案し、それを織り込んだビジネスの基盤整備を段階的に実施していく」。そんな順番で進行させるべきと、鈴木氏は言う。
「今回の検討会ではあまり明確化できなかったが、中長期的には、安全に第三者提供できる枠組みへ移行していく必要があると思う」（松本氏）
課題はまだ残されているが、今回の検討会で議論を深めるための地盤は固まった。今後の展開も非常に興味深い。2時間近くにわたるパネルディスカッションは、こうして終了した。

JR東、Suicaデータ社外提供は「利用者への配慮が不足していた」　有識者会議の中間報告を公表
http://www.itmedia.co.jp/news/articles/1403/20/news096.html    ITmedia
JR東日本が、Suicaデータ社外提供の是非に関する有識者会議の中間報告を公表。「利用者への配慮が不足していた」として引き続きデータ提供を見送る。
JR東日本は3月20日、Suicaデータ社外提供の是非に関する有識者会議の「中間とりまとめ」を公表した。「事前に十分な説明や周知を行わなかったことなど利用者への配慮が不足していた」とし、引き続きデータ提供を見送るとしている。
Suicaデータの社外提供をめぐっては、利用者からプライバシー面の不安や「事前の説明・同意が不足しているのでは」といった批判を受けて停止しており、希望者向けにデータ提供の除外申請も受け付けている。
有識者会議は昨年9月に設置。堀部政男 一橋大名誉教授らに意見を求めていた。
中間とりまとめでは、Suica利用者への説明不足について「事前に十分な説明や周知を行わなかったことなど、利用者への配慮が不足していた」とし、「JR東日本という公共性の高い企業の立場からも、利用者に不安を与えた事実を重く受け止める必要がある」と報告した。
また、Suicaデータからの個人特定の可否については「個人情報の定義における特定個人の識別性の論点については、専門家の間でも解釈に幅がある」とし、データの匿名化処理や提供先である日立製作所との契約内容などから「ただちに個人のプライバシーが侵害されるおそれはない」ものの、「今後、技術の進展に伴い、特定の個人が識別され新たな問題が生じる可能性も考えられる」としている。
JR東は今後、個人情報に関する法改正の動向なども踏まえつつ「有識者会議の開催を継続し、引き続きアドバイスを受けながら検討を進める」としている。
Suicaに関するデータの社外への提供について 中間とりまとめ（PDF）
http://www.jreast.co.jp/chukantorimatome/20140320.pdf
有識者会議「中間とりまとめ」受領について（PDF）
http://www.jreast.co.jp/press/2013/20140311.pdf






2014年3月19日





「消息不明のマレーシア航空機を発見!?」、便乗するサイバー犯罪サイトが出現
http://www.rbbtoday.com/article/2014/03/19/118033.html　  RBB TODAY
トレンドマイクロは3月19日、消息不明となったマレーシア航空370便の捜索に便乗したサイバー犯罪を確認したことを発表した。
マレーシア航空370便は3月8日に消息不明となり、大きな注目を集めている。またインターネットに衛星画像を公開し、クラウドソーシングにより発見しようという試みも行われている。一方で、こういった動きにサイバー犯罪者が便乗しているようだ。
トレンドマイクロが見つけたものは、「Malaysian Airlines MH370 5m Video.exe」と名付けられた関連動画を装ったファイルで、Eメールで拡散されている模様。拡張子を見ても分かるとおり、これは実際は、「BKDR_OTOPROXY.WR」として検出されるバックドア型不正プログラムだという。
また、このニュースに便乗し、「消息不明となった航空機が海上で発見された」という偽ニュース速報を利用したアンケート詐欺も確認されたとのこと。ユーザがリンクをクリックすると、FacebookやYouTubeの画面によく似せたWebサイトに誘導され、動画を再生するように促される。しかし、動画を閲覧するために、さまざまな情報の入力を迫られるという。