2017年2月のIT総括

2017年3月 6日月イチIT総括

2017年2月に話題となったIT関連のトピックスにつき、概要と参考URLを記していきます。

「WordPress」のREST APIに脆弱性が確認される

2月6日、オープンソースのCMS「WordPress」に脆弱性が確認され、独立行政法人 情報処理推進機構(IPA)と、一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は注意喚起を発表しました。

脆弱性は、外部のWebシステムと連携するためのAPIの一種「REST API」の処理に起因し、脆弱性が悪用された場合、遠隔の第三者によって、Webサイトのコンテンツを勝手に投稿、編集、削除されるといった被害にあう可能性があります。

影響を受けるバージョンは、WordPress「4.7.0」から「4.7.1」のバージョンで、サイト管理者は、対策済みの最新バージョン「4.7.2」にアップデートすることが推奨されます。

「WordPress」のREST APIに脆弱性が確認される(セキュリティニュース)

中小企業や情報セキュリティ関連の10団体が共同宣言を発表

2月7日、独立行政法人 情報処理推進機構(IPA)や、日本商工会議所など10団体は、中小企業における情報セキュリティの意識啓発や自発的な対策を促進するための共同宣言を発表しました。

サイバー攻撃の標的が政府機関や大手企業だけでなく、中小企業にまで及んでいる現状を受け、中小企業と関わりの深い商工団体や全国組織、独立行政法人などが関係省庁と連携し、中小企業の自発的な情報セキュリティ対策への取り組みを促す活動を推進します。

今回の共同宣言の核となる取り組みとして、「SECURITY ACTION」が創設されました。宣言した企業は、IPAが交付したマークを名刺やWebサイトの掲出することができ、情報セキュリティに取り組んでいることをアピールできます。「SECURITY ACTION」の実施開始時期は2017年4月が予定されています。

中小企業や情報セキュリティ関連の10団体が共同宣言を発表(セキュリティニュース)

延長サポート終了が近づく「Windows Vista」「Office 2007」のソフト移行をIPAが呼びかけ

マイクロソフト社が提供する「Windows Vista」の延長サポートが2017年4月11日に終了します。また、「Office 2007」の延長サポートも2017年10月10日に終了することから、IPAは2月10日、後継システムへの速やかな移行を呼びかけました。

サポートが終了したOSやソフトウェアを使い続けると、脆弱性が発見されても更新プログラムが提供されず、パソコンのセキュリティ状態を最新に保つことができません。このため、脆弱性を解消しないパソコンで悪意あるWebサイトにアクセスすると、閲覧しただけでウィルスに感染するなどの被害にあう可能性があります。

IPAは、企業などのIT管理者、および一般の利用者に対し、使用するソフトウェアのライフサイクルを念頭に置き、「サポート終了後のソフトウェアを継続使用しない」「サポートされているソフトウェアに移行する」「利用中のソフトウェアは常に更新プログラムを適用し、最新の状態を保つ」といった、必要なセキュリティ対策を行い、安全な運用の維持を心がけるよう呼びかけています。

延長サポート終了が近づく「Windows Vista」「Office 2007」のソフト移行をIPAが呼びかけ(セキュリティニュース)

Windowsに感染する「Mirai」の亜種が確認される

2月14日、トレンドマイクロ社は、Windowsに感染する「Mirai」の亜種が確認されたとして注意を呼びかけました。Miraiは、Linuxで動作するいわゆるデバイスに感染し、ボットネットを形成、大規模なDDos攻撃を仕掛けることで知られます。防犯カメラなどのネットワークカメラや家庭用ルーター、デジタルビデオレコーダといった、いわゆる「IoTデバイス」がターゲットとなります。

今回確認された亜種は、感染先のマシンから攻撃者の設置するC&Cサーバーに接続し、スキャンするIPアドレスのリストを受信。感染先がWindows機器だった場合は、Miraiの感染対象であるLinux機器を探索し、感染先がLinux機器だったときは、新たなボットとして利用します。

トレンドマイクロ社によると、今のところ、今回の亜種はMiraiの拡散専用に設計されているものの、今後、機能が拡大し、容易に別のマルウェアを拡散するよう修正が可能であると指摘しています。

Windowsに感染する「Mirai」の亜種が確認される(セキュリティニュース)

「OpenSSL」が最新バージョン「1.1.0e」を公開

暗号化通信に対応したオープンソースのプログラム、OpenSSLの更新版「OpenSSL 1.1.0e」が、2月16日、公開されました。

更新版では、脆弱性1件が修正されました。この脆弱性(CVE-2017-3733)は、認証暗号化方式「Encrypt-then-Mac」(EtM)の拡張機能に関するもので、悪用されるとサーバーおよびクライアントがクラッシュする可能性があるとのこと。

OpenSSLの開発元によると、脆弱性の重要度は4段階中2番目に高いということで、「1.1.0」系のユーザーに対して「1.1.0e」に更新するよう呼びかけています。なお、今回の脆弱性はバージョン「1.0.2」は影響を受けないとのことです。

「OpenSSL」が最新バージョン「1.1.0e」を公開(セキュリティニュース)

「MyJCB」をかたるフィッシングに注意喚起

2月20日、フィッシング対策協議会は、「MyJCB」をかたり、クレジットカード情報を詐取しようとするフィッシングメールが出回っているとして注意を呼びかけました。

「MyJCB」はJCBカード会員専用のWebサイトのこと。フィッシングメールの件名は、「【重要:必ずお読みください】 MyJCB ご登録確認 ●●●●」などとなっており、第三者による不正アクセスが確認されたため、登録IDを暫定的に変更したという内容。メール本文に記載されたURLをクリックすると偽サイトに誘導され、クレジットカード番号やカード有効期限などの個人情報の入力を促される手口です。

同協議会では、類似のフィッシングサイトが公開される恐れもあるとして注意を呼びかけるとともに、フィッシングサイトにてメールアドレスやパスワードなどのアカウント情報、住所やクレジットカード情報などの個人情報を絶対に入力しないよう注意しています。

「MyJCB」をかたるフィッシングに注意喚起(セキュリティニュース)

マイクロソフトが、IE/Edge向け「Flash Player」のセキュリティパッチを定例外で公開

2月22日(日本時間)、マイクロソフトは、定例外アップデートとして、更新プログラム(KB4010250)に関するセキュリティ情報「MS17-005」を公開しました。これは、Adobe Flash Playerの脆弱性を修正するセキュリティアップデートに伴うものです。

これは、Internet Explorer(IE)およびEdgeに搭載されるAdobe Flash Playerの脆弱性を修正するもので、対象となるOSは、Windows 10/8.1、Windows RT 8.1、Windows Server 2016/2012 R2/2012。修正される脆弱性はCVE番号ベースで13件となっており、いずれも悪用されるとシステムが乗っ取られる可能性がある危険なものです。このため、対象となるユーザーは速やかにアップデートすることが推奨されます。

このセキュリティアップデートは、Windows Updateを通じて配信されており、自動的に更新されます。

マイクロソフト セキュリティ情報 MS17-005 - 緊急(マイクロソフト)
Adobe セキュリティ情報(APSB17-04)(アドビ)
マイクロソフト、IE/Edge用「Flash Player」のセキュリティパッチ公開(セキュリティ通信:So-netブログ)
Microsoft、「Adobe Flash Player」のセキュリティパッチを"Windows Update"で公開(窓の杜)
Microsoft、定例外でIE/Edge用の修正パッチを公開、ひとまずFlashの脆弱性に対処(INTERNET Watch)

あなたへのオススメ

人気記事ランキング