2010年9月のIT総括

2010年9月に話題となったIT関連のトピックスにつき、概要と参考URLを記していきます。

アドビとアップルがセキュリティアップデートを実施

アドビ社は10月5日、定例外セキュリティアップデートを実施しました。アップデート適用後の最新バージョンはAdobe Reader/Acrobatが「9.4」です(8.x系の最新バージョンは「8.2.5」)。また、Flash Playerも、最新バージョンの「10.1.85.3」がリリースされており、アップグレードが推奨されます。これらの最新版は、製品の「ヘルプ」メニューの「アップデートの有無をチェック」で行えるほか、Adobeのサイトからもダウンロードできます。

アップル社は9月15日、Windows向けQuickTimeの最新版「7.6.8」をリリースしました。これらのソフトは最新版にアップデートしないとドライブバイダウンロードに悪用されるおそれがあるので、早急に最新版にアップデートしましょう。

(英文)Security updates available for Adobe Reader and Acrobat(アドビ社)
Adobe Flash Player用セキュリティアップデート公開(アドビ社)
QuickTime 7.6.8 for Windows(アップル社)

マイクロソフトが「ASP.NET」の脆弱性を解消

マイクロソフトは、9月29日、定例外セキュリティアップデートを実施し、「ASP.NET」のセキュリティ更新プログラムを公開しました。「ASP.NET」はWebアプリケーションやWebサービスの開発などに用いられるソフトウェアで、情報漏えいが起こる可能性がある脆弱性が見つかっていました。攻撃者がこの脆弱性を悪用した場合、サーバーによって暗号化されたデータが解読され、認証情報などが盗まれる可能性がありました。

マイクロソフト セキュリティ情報(MS10-070)
ASP.NET のセキュリティ更新の事前通知 (定例外)(日本のセキュリティチーム)

LNK脆弱性を悪用した「Stuxnet(スタクスネット)」ワーム

WindowsのLNK脆弱性をはじめとする複数の脆弱性を悪用する「Stuxnet(スタクスネット)」ワームの感染が拡大していることが報じられています。

LNK脆弱性はWindowsのショートカットファイルの取り扱いに起因する脆弱性で、8月3日、セキュリティ更新プログラム(MS10-046)が公開されました。Stuxnetはこの脆弱性をはじめとする複数の脆弱性を利用しており、USBデバイスを介して感染します。感染後、同一ネットワーク上の電力の制御システムを探し、侵入を試みる特徴があるといわれており、イランの核施設を標的にした組織的なサイバー攻撃の可能性も取りざたされています。インターネットに接続されていないシステムへの攻撃も確認されており、ネットに接続していないから安全とはいえないようになってきています。

Stuxnetに関する質疑応答(エフセキュアブログ)
LNK脆弱性を悪用したStuxnetワームはイラン核施設を狙ったマルウェア兵器か?(エフセキュアブログ)
Stuxnetワームの最新情報(McAfee Labs Blog)

TwitterでXSS脆弱性が大規模発生

9月21日、Twitterにクロスサイトスクリプティング(XSS)によって引き起こされる大規模なセキュリティ障害が発生しました。TwitterのWebサイトにアクセスすると任意のJavaScriptが実行される恐れがあるというものでした。現在はこの脆弱性は解消されています。

この脆弱性を悪用し、ユーザーが意図しないツイートをしたり、ユーザーが気づかないうちに勝手にリツイートするよう細工したツイートを投稿する悪意あるユーザーも現れるなど、Twitterは大きな混乱に陥りました。

「マウスオーバーの」問題についての全容(Twitterブログ)
「Twitterの脆弱性で起きた騒動と対処法のまとめ」(Togetter)
【緊急】Twitter公式Webから今すぐログオフを。XSSの問題(坂本英樹の繋いで稼ぐBtoBマーケティング)

中国で日本政府サイトに対する攻撃の呼びかけ

中国の複数のインターネット掲示板に尖閣問題に関連して日本政府機関のWebサイトを標的としたサイバー攻撃の呼びかけが書き込まれました。

この件に関しては、9月中旬にかけて、大学や高校のWebサイトが改ざんされたり、防衛省や警察庁のHPにDoS攻撃と見られる閲覧障害が起きたりしたことが報じられました。

こうした「愛国的」サイバー攻撃は決して正当化されるものではありません。一方でも、中国の紅客連盟のWebサイトにて過激な行動をたしなめる呼びかけがありました。

日本政府サイト攻撃を宣言=尖閣問題で中国ハッカー組織(時事ドットコム)
(中国語)红客联盟致广大成员书!(红客联盟)

大阪地検特捜部が押収資料のFDデータを改ざん

9月21日、郵便不正事件を巡る捜査で、大阪地検特捜部の主任検事が押収したフロッピーディスクに保存された電子データを改ざんした容疑で逮捕されました。容疑の内容ですが、証拠となる電子データの更新日時が、検察に有利になるように書き換えられたと報じられています。

日常生活でコンピューターを使う機会が増えてきており、電子データが証拠としてますます重要になっていきます。今後は警察だけでなく、弁護士、裁判官や検事にも、このようにITを用いた証拠の改ざんを見破れることが求められます。

タイムスタンプとは(セキュリティ用語解説)
FDデータ改ざん、痕跡はこうして残る(日本経済新聞)
FDデータ改ざん事件についての技術的考察(ネットエージェント)

関連キーワード:

Acrobat

ASP.NET

Stuxnet

Twitter

XSS

スタクスネット

  • マイクロアドが配信するWeb広告が改ざんされマルウェアに感染
  • カテゴリートップへ
  • 第3回 IT駄洒落コンテストNEO・結果発表!