2010年12月のIT総括

2010年12月に話題となったIT関連のトピックスにつき、概要と参考URLを記していきます。

マイクロソフトのゼロディ脆弱性まとめ

マイクロソフトは2011年1月12日、1月度のセキュリティ情報を公開しました。現在、以下の4つの脆弱性については更新プログラムが公開されていないため、以下の通り注意喚起します。

Internet Explorer(IE)6/7/8のゼロディ脆弱性

IEでCSSが機能する際、未初期化のメモリを作成するため脆弱性が存在するというもの。攻撃者が細工を施したWebページを使用して特定の状況でメモリを悪用し、リモートでコードを実行する可能性があります。

この脆弱性を悪用する攻撃がすでに始まっているため、以下の「セキュリティアドバイザリ(2488013)」で示されている回避策を早急に実行することが推奨されます。

セキュリティアドバイザリ(2488013)(マイクロソフト)

グラフィック・レンダリング・エンジンのゼロディ脆弱性

Windowsのグラフィック・レンダリング・エンジンに脆弱性があり、Windows XP/Vista、Server 2003/2008を使用するユーザーが影響を受ける可能性があります。攻撃者がこの脆弱性を悪用した場合、細工されたサムネイル画像を表示することにより、任意のコードが実行される可能性があります。

回避策を自動的に設定するツール「Fix it」が公開されているので、これを実行することが推奨されます。Fix itは、以下の「サポート技術情報 2490606」から利用できます。

セキュリティアドバイザリ(2490606)(マイクロソフト)
サポート技術情報 2490606(マイクロソフト)

IE8の新たなゼロディ脆弱性

マイクロソフトのInternet Explorer8(IE8)に未修正のゼロディ脆弱性があることが報じられています。これは、Googleのセキュリティエンジニア Michal Zalewski氏によって明らかにされたもので、IE8の「mshtml.dll」ライブラリには、解放したメモリへのアクセスが発生してしまう脆弱性が存在するというもの。これを悪用されると、IEがクラッシュしたり、任意のコードを実行されたりする可能性があります。

セキュリティ更新プログラムが公開されるまでの間、脆弱性の影響を軽減するためのツール「Enhanced Mitigation Experience Toolkit(EMET)」の利用が推奨されています。ダウンロードの詳細などについては、以下の「サポート技術情報2458544」を参照のこと。

Microsoft Internet Explorer 8 における解放済みメモリを使用する脆弱性(JVNVU#427980)
Enhanced Mitigation Experience Toolkit(マイクロソフト サポート技術情報2458544)

WMI ActiveXコントロールの脆弱性

「Microsoft WMI Administrative Tools」のActiveX コントロールに存在する脆弱性で、悪用されると任意のコードが実行される可能性があるというもの。影響を受けるのは、「Microsoft WMI Administrative Tools」をダウンロードしインストールしたユーザー。セキュリティアドバイザリは公開されていません。

Microsoft WMI Administrative Tools の ActiveX コントロールに脆弱性(JVN)

【その他の関連URL】
2011 年 1 月のセキュリティ情報(マイクロソフト)
IE8に未修正の脆弱性(2)〜IE6/7/8やWindowsの脆弱性にも注意(so-netセキュリティ通信)

「QuickTime 7.6.9」公開

アップルは12月7日、QuickTime 7の最新版「7.6.9」を公開しました。Mac OS X(10.5系)とWindows XP/Vista/7のユーザーが対象で最新版への移行が推奨されます。以下のダウンロードセンターから入手が可能です。

QuickTime - ダウンロード(アップル)
QuickTime 7.6.9 for Windows(アップル)
アップル、複数の深刻な脆弱性を修正した「QuickTime 7.6.9」公開(so-netセキュリティ通信)

「ウィルス作成罪」法案が通常国会に提出の見通し

いわゆる「ウィルス作成罪」(コンピュータ・ウィルスの作成、供用等の罪の新設等)をはじめとする刑法、刑事訴訟法などの改正案につき、この1月に招集される通常国会に提出される見通しであることが報じられました。

過去にも改正案が提出されたことがあったものの、同じ法案に盛り込まれた「組織的な犯罪の共謀罪」への反発があり審議が紛糾、廃案になっていました。2004年の通常国会に提出された過去の法案については法務省のサイトで確認することができます。

法務省、ウィルス作成罪新設へ 来年、法案を提出意向(47NEWS)
ハイテク犯罪に対処するための法整備の概要(2004年に提出された法案の概要)(法務省)

クレジットカードのネット決済、パスワード導入が義務化

日本クレジット協会と日本クレジットカード協会は、12月14日、インターネット取引におけるクレジットカード決済の拡大に伴い、増加している「本人なりすまし」による不正使用被害を防止するためのガイドラインを策定しました。

具体的には、今年3月以降、新たにインターネット取引におけるクレジットカード決済加盟店になる場合には、「クレジットカード番号」及び「有効期限」の入力に加え、「セキュリティコード+3Dセキュア等」による本人認証を行うことが義務づけられます。

「新規インターネット加盟店におけるクレジットカード決済に係る本人認証導入による不正使用防止のためのガイドライン」の制定について(日本クレジットカード協会)
カードのネット決済、パスワード導入 来春から義務化(asahi.com)

「スタンドアロン型フィッシング」

「スタンドアロン型フィッシング詐欺」と呼ばれる新たなフィッシング攻撃が増加していることが報じられました。ユーザーを偽のWebサイトに誘導する従来型のフィッシングとの相違点は、オンライン上で統計やアンケートの調査代行などを請け負う「オンライン・フォーム・サービス」を悪用し、ユーザーのローカル環境上に入力フォームを含む偽のHTMLページを表示させるというものです。

Webサイトを使わないから閉鎖不可能! スタンドアロン型フィッシングが増加(マイコミジャーナル)
オンライン・フォーム・サービスを悪用する新手のフィッシング詐欺に注意(情報セキュリティブログ)

関連キーワード:

Fix it

Internet Explorer

Office

QuickTime

ウィルス作成罪

クレジットカード決済

スタンドアロン型フィッシング

ゼロディ脆弱性

マイクロソフト

  • 決済代行会社とは〜クレジットカード決済代行に関するトラブルに注意〜
  • カテゴリートップへ
  • ファイル共有ソフトを利用した著作権法違反で18名を逮捕