2010年10月のIT総括

2010年10月に話題となったIT関連のトピックスにつき、概要と参考URLを記していきます。

「かんたんログイン機能」で個人情報が漏えい

10月25日、ヤマト運輸の会員制サービス「クロネコメンバーズWebサービス」の携帯向けサイトに脆弱性があることが分かりました。このサービスは、Webサイト上で荷物の集荷や再配達依頼を行えるというもの。脆弱性は、携帯電話端末が持つ「契約者固有ID」を利用して認証を行う「かんたんログイン機能」(同サービスでは「クイックログイン機能」と表記)で、特定の操作を行った場合に、本人とは別のユーザーのページにログインでき、個人情報が閲覧できる状態にあったというものです。

「契約者固有ID」を認証に用いるかんたんログイン機能は、任意のIDを送信できる場合に「なりすまし」を完全に防ぐことができないとして、かねてより危険性が指摘されていました。現在はこの脆弱性は修正され、パスワードの入力が必要になっていますが、この事件は多くの携帯向けサイトにおけるかんたんログイン機能のあり方に警鐘を鳴らしそうです。

かんたんログイン方式で漏洩事故が発生(高木浩光@自宅の日記)
携帯向け「クロネコメンバーズWebサービス」に脆弱性 他人の個人情報が閲覧できる状態に(情報セキュリティニュース)

警視庁テロ関連等捜査資料流出

10月30日、警視庁の内部資料と見られる国際テロの捜査情報がインターネット上に流出、拡散していることが報じられました。

流出した情報は、海外の捜査協力者への接触のための出張計画など少なくとも114件。何者かが故意に流出させる目的で、複数の資料を電子データ等の形式で抜き出した疑いが強まっています。セキュリティ専門家等の分析によると、情報は10月28日夜から29日夜にかけて、ルクセンブルクのサーバーを経由してファイル交換ソフトWinnyのネットワーク上に公開されたとのことですが、今のところ、誰がどのような意図で情報を流出させたかは分かっていません。

国際テロ情報ネット流出=内部文書か、交換ソフトで拡散 大量の可能性・警視庁調査(asahi.com)
テロ情報流出疑惑 複数幹部の資料か 故意と判断 刑事事件へ(MSN産経ニュース)
海外サーバー経由し流出=ウィニーで国際テロ情報-専門家「故意」と指摘(時事ドットコム)
テロ内部文書 サイト掲載 "宣伝"も(東京新聞)

Adobe Reader / AcrobatおよびFlashに脆弱性

10月18日、Adobe Reader / AcrobatおよびFlashに未修正のゼロディ脆弱性が見つかりました。国内でもメールに悪質なPDFファイルを添付する手口のゼロディ攻撃が確認されています。総務省所管の財団法人地方自治情報センターと総務省では、同センターをかたり「住民税還付 追加項目」「追加項目」といった名称のPDFファイルを添付したメールが先月末から出回っているとし、注意を呼びかけています。

Flashについては、11月4日、最新版「10.1.102.64」が公開されました。早急に最新版へアップデートすることが推奨されます。「10.1.102.64」にアップデートすることができないユーザーに対しては、「9.0.289.0」が公開されています。

一方、Reader/Acrobatは最新版の公開が11月15日の週に予定されています。パッチ公開までの対策として、信頼できないPDFファイルは開かないよう注意するとともに、Adobe Readerのjavascript機能は、脆弱性の攻撃に利用されることが多いため、この機能を無効に設定することもあわせて推奨されます。

(英文)APSA10-05 - Security Advisory for Adobe Flash Player, Adobe Reader and Acrobat
Adobe、Flash Playerのゼロディ脆弱性に対応した修正版を公開(INTERNET Watch)
アドビ、「Flash Player 10.1.102.64」公開/Adobe Readerは回避策実施を(so-netセキュリティ通信)

PCI DSS バージョン2.0 翻訳版 の提供開始

10月28日、PCI DSSのバージョン2.0が公開されました。PCI DSSは、「Payment Card Industry Data Security Standard」の略で、クレジットカード情報および取引情報の安全な管理を目的に、2004年12月に策定されたセキュリティ基準です。

現在、英語版のみが公開されていますが、日本語資料をタイムリーに公開することで、新しくなったPCI DSSを普及させることを目的に、10月30日、日立ソリューションズはNTTデータ・セキュリティと共同で「PCI DSS バージョン2.0 翻訳版」を公開しました。

資料は以下のリンクよりダウンロード可能です。

PCI DSS バージョン2.0 翻訳版 の提供開始(情報セキュリティニュース)

アップルとグーグルがスマートフォンのOSを巡り論争

10月18日、アップルのスティーブ・ジョブズCEOが、同社の決算説明会でグーグルのスマートフォン向けOS「Android(アンドロイド)」を公然と批判したことを受け、アップルとグーグルとの間で論争が起こりました。

AndroidはiPhoneなどに搭載された「iOS(アイ・オーエス)」に競合する製品。各メーカーに無償で提供され、仕様が公開されているため自由にカスタマイズが可能な「オープンソース」と呼ばれるソフトです。ジョブズ氏はグーグル側がiOSを「閉鎖的なシステム」と呼んでいることを「不誠実だ」とし、iOSの優位性につき言及しました。

これに対し、Androidの生みの親であるアンディ・ルービン氏がツイッター上でAndroidを以下のように擁護。

the definition of open: 'mkdir android ; cd android ; repo init -u git://android.git.kernel.org/platform/manifest.git ; repo sync ; make'

このつぶやきは、Androidなら誰でもOSのソースを入手して改良できるということを、一行の実行コマンドで反論したもので、多くのソフトウェア開発者たちをニヤリとさせるユニークなものでした。

【ブログ】アップル VS グーグル OSをめぐる激しい舌戦(WSJ.com)

関連キーワード:

Acrobat

Adobe Reader

Android

PCI DSS

Winny

かんたんログイン機能

ウィニー

スマートフォン

契約者固有ID

高木浩光

  • 日本シーサート協議会とは
  • カテゴリートップへ
  • カード偽造団がギターケースにカメラを仕込み暗証番号を詐取