2013年10月のIT総括

2013年10月に話題となったIT関連のトピックスにつき、概要と参考URLを記していきます。

アップル社、新製品発表イベントで最新OS X 10.9(Mavericks)等を発表

アップル社は10月22日(米国時間)、新製品発表イベントでMac OS X 10.9(Mavericks)をはじめとする新製品を発表しました。Mavericksでは、コード実行のおそれのある危険な問題を含む、53件の脆弱性が修正されました。Mavericksの価格は無料で、2007年モデルのiMacやMacBook Pro以降の製品がアップデートの対象になります。

また、Webブラウザー「Safari」の最新版「Safari 6.1」や、モバイル向けiOSの最新版「7.0.3」も公開されました。

その他、新製品として発表されたのは、9.7インチ Retinaディスプレイを搭載したiPadの新モデル「iPad Air」、7.9インチのRetinaディスプレイの「iPad mini Retinaディスプレイモデル」、新型「MacBook Pro」などです。

OS X Mavericks、本日よりMac App Storeを通じて無料で提供(アップル社)
Apple、iPad Airを発表劇的に薄く、軽く、よりパワフルなiPad(アップル社)
MacBook Pro Retinaディスプレイモデル、最新のプロセッサとより高速なグラフィックス、より長くなったバッテリー駆動時間を備えてアップデート(アップル社)
アップル、OS X v10.9 / iOS 7.0.3 / Safari 6.1 公開(セキュリティ通信:So-netブログ)

インターネットサービス利用時の「情報公開範囲」の設定に注意

独立行政法人 情報処理推進機構(IPA)は、10月1日、「2013年10月の呼びかけ」の中で、インターネットサービス経由での情報漏えい等が相次いでおり、情報の公開範囲の設定に注意するよう呼びかけました。

IPAは、どのような情報が公開されると、具体的にどのようなリスクが考えられるかを例示し、こうしたリスクを軽減するため、各種インターネットサービスの設定事例等を示し、情報公開の範囲を意識してサービスを利用するよう訴えています。また、デジタルカメラやスマートフォンで撮った写真の公開時の注意点についても解説しています

IPAがインターネットサービス利用時の「情報公開範囲」の設定に注意喚起(情報セキュリティブログ)

Facebookのモバイルサイトに偽装したフィッシングサイト

トレンドマイクロ社は、10月3日、Facebookのモバイルサイトに偽装したフィッシングサイトが確認されたとして、注意を呼びかけました。

これによると、偽サイトでは、ユーザーのFacebookへのログイン情報や「秘密の情報」を選択するよう促されるということです。認証のために設定する秘密の質問は、ユーザーが複数の異なるサイトで使い回している可能性があるため、これを盗まれることにより、他のサイト(サービス)のアカウントが「なりすまし」の被害に遭う可能性があります。

自分の個人情報を入力しているWebサイトについては、URLが正しいかどうかを目視確認するなどして常に注意を払うことが必要です。

Facebookのモバイルサイトに偽装したフィッシングサイトが確認される(情報セキュリティブログ)

省庁等のサイトを標的にした、IEのゼロディ脆弱性を悪用したWeb改ざん事件について注意喚起

セキュリティ対策企業のラック社は、日本の省庁等をターゲットにした「水飲み場攻撃」の手口について注意喚起しました。水飲み場攻撃とは、水飲み場に集まる動物を狙う猛獣の攻撃になぞらえ、多くのユーザーがアクセスするWebサイト(=水飲み場)にウィルス等を埋め込み、サイトを閲覧しただけでウィルスに感染するような罠を仕掛ける攻撃方法のことです。

8月頃より日本の省庁等のWebサイトが改ざんされ、閲覧したユーザーがウィルスに感染した事例では、当時、未知の脆弱性(CVE-2013-3893)が悪用されました。これは、細工されたWebサイトをユーザーに閲覧させることにより、リモートからユーザー権限を奪取され、任意のコードを実行される危険性があるというものです。なお、この脆弱性は、10月9日に公開された修正プログラム(=MS13-080)により修正されました。

この攻撃方法は、信頼されている企業や団体のWebサイトに、ユーザー攻撃する不正プログラムを埋め込む罠を仕掛けて、攻撃を受けるリスクや実際に攻撃を受けたことに気付かせにくくするという大変深刻なものです。同社は、サイト管理者などに対し、対策を徹底するよう呼びかけました。

日本における水飲み場型攻撃に関する注意喚起(株式会社ラック)
水飲み場型攻撃に関する対策について(株式会社ラック)
Internet Explorerのmshtml.dllに存在する解放済みメモリを使用する脆弱性(CVE-2013-3893)に関する検証レポート(NTTデータ先端技術株式会社)
日本の省庁などへ"水飲み場型攻撃"、IEのゼロディを突き、8月に起きていた(INTERNET Watch)

閲覧した動画の情報を自動的にTwitter上でつぶやく「Plays Now」

10月14日頃より、閲覧した動画のタイトルやURLなどの情報が自動的にツイートされてしまう事例が多数確認されました。これは、Twitterと連携する「Plays Now」というアプリを認証してしまうことによるもので、ツイートの先頭に「plays」と表示され「liveplaylist.net/playsnow/html5...」というようなリンクが含まれている場合、当該リンクをクリックしたり、タイムライン上の動画の再生ボタンを押したりすると、「Plays Nowがあなたのアカウントを利用することを許可しますか」というアプリ認証画面が表示されます。ここで「連携アプリを認証」のボタンを押すと、自分の見た動画が自動的にツイートされてしまうというものです。

これにより、どんな動画を閲覧したかということが、自分のフォロワー(Twitter上の投稿を購読しているユーザー)や不特定多数の人に知られる可能性があります。ネット上では、アダルト動画等の刺激的なタイトルが多数つぶやかれていることが確認され、ちょっとした騒動に発展しました。

閲覧した動画の情報を自動的にTwitter上でつぶやく「Plays Now」に注意(情報セキュリティブログ)

Androidの次期OS「KitKat」の「じらし」写真が公開

2013年後半にリリースが予定されているAndroidの次期OS(バージョン4.4)の公式Twitterが、10月16日、「THIS IS IT」と記された謎の写真を公開し、話題となりました。

バージョン4.4は「KitKat」というコードネームで呼ばれます。この次期OSについては、10月15日、SMS送受信のためのアプリを、Androidの「Messaging」やサードパーティー製アプリからメニューで選択できるようになる等の新機能が発表されていました。

「THIS IS IT」は故マイケル・ジャクソンの遺作となった映画『THIS IS IT』を連想させるもので、同映画が2009年10月28日に公開となったことから、次期OSも10月28日に公開されるのではないかとの憶測を呼びました。

なお、Android OSのコードネームは、バージョン1.5の「Cupcake」から、4.3の「Jelly Bean」まで、「C」「D」「E」「F」「G」「H」「I」「J」という風にアルファベット順に頭文字を変え、かつ、菓子の名前を取ってきた経緯があります。

Android 4.4 KitKatで「デフォルトSMSアプリ」設定が可能に(INTERNET Watch)
Android次期OS「KitKat」が10月28日に発表!? 公式Twitter「THIS IS IT」写真で憶測呼ぶ(RBB TODAY)

関連キーワード:

Android

Facebook

IPA

Twitter

ゼロディ脆弱性

フィッシング

  • アップル社を騙り「Apple ID」のパスワードを狙う日本語フィッシングメールに注意
  • カテゴリートップへ
  • アドウェアとは