2013年11月のIT総括

2013年11月に話題となったIT関連のトピックスにつき、概要と参考URLを記していきます。

TwitterにCSRFの脆弱性があることを研究者が報告、すでに修正済み

英国のセキュリティ研究者であるヘンリー・ホガード氏は、11月6日、ブログの中で、Twitterにクロスサイトリクエストフォージェリ(CSRF)の脆弱性があり、他人のアカウントからツイートを投稿したり、他人のダイレクトメッセージを読んだりできてしまう可能性があることを報じました。なお、Twitterはすでにこの脆弱性を修正済みということです。

この件を報じた記事等によると、この脆弱性は、Twitterにモバイル端末を登録してSMSでアカウントを管理できる機能に存在していたということです。これにより、攻撃者がユーザーに脆弱性を悪用した不正なWebページを閲覧させることにより、攻撃者の指定した処理を実行させることが可能な状態になっていました。なお、Twitterは認証トークンを用いたなりすまし投稿の対策を実施していましたが、この認証は任意の値を入力することで回避することが可能だったということです。

(英文)ヘンリー・ホガード氏のブログ
他人のアカウントからツイート投稿も、Twitterが脆弱性を修正(ITmedia)

IPAがネット接続のオフィス機器について注意喚起

独立行政法人 情報処理推進機構(IPA)は、11月8日、学術関係機関において、インターネット接続機能付きの複合機で読み込んだ書類データが、意図せずインターネット上で閲覧できる状態になっていたとして、セキュリティ上の注意喚起をしました。

オフィス等に設置されるコピー機は、様々な機能を備え高機能化し「複合機」と呼ばれます。中には、インターネット接続の機能を備えた機器もありますが、正しくセキュリティ設定を行わないままインターネットに接続することにより、本来公開すべきでない情報が第三者に閲覧される可能性があります。IPAでは、システム管理者に向け、オフィス機器の説明書に記載のセキュリティ対策を確認の上、対策を実施するよう具体例を示して注意を呼びかけました。

IPAがネット接続のオフィス機器についてセキュリティ上の注意喚起(情報セキュリティブログ)

台風30号の被害に便乗した詐欺が横行していると注意喚起

11月8日早朝にフィリピン中部に上陸し、甚大な被害をもたらした台風30号の被害に便乗し、寄付金募集を装う詐欺行為が横行しているとしてセキュリティ対策企業各社が注意を呼びかけました。

シマンテック社は、11月13日、ブログの中で、寄付金募集を装ったスパムメールが送信されたことを確認しました。同社は、メールの全体的な印象や内容はきわめて本物らしく見え、丁寧でもあるため、受け取った人が詐欺メールだと気付かないと指摘、寄付金を送る場合には、宛先の組織が本物かどうかを確認するといった予防策を講じ、被災者支援は、正規の確実な経路を通じて行うよう呼びかけています。

また、トレンドマイクロ社は、11月21日、米決済サービス「Paypal」経由で寄付を募る偽のFacebookページが確認されたと報じています。同社では、寄付の際に「なじみがある、もしくは信用できる団体に寄付する」「ソーシャルメディアやEメールからの寄付金募集に注意する」「支払いサイト(決済手段等)を慎重に調べる」といった注意点を挙げています。

フィリピンを襲った台風 30 号(ハイエン)を悪用する詐欺メール(Symantec Connect Community)
台風第30号(Haiyan)被害に便乗した詐欺に注意(トレンドマイクロ セキュリティ ブログ)

東京でセキュリティカンファレンス「PacSec 2013」が開催される

11月13日・14日、東京都内でセキュリティカンファレンス「PacSec 2013」が開催されました。11回目となる今回のイベントでは、ハッキングコンテスト「Mobile Pwn2Own」が併せて開催されました。「Mobile Pwn2Own」は、HP社が主催し、セキュリティ技術者などが参加してソフトウェアの脆弱性を発見することを競うコンテスト「Pwn2Own」のモバイル版で、日本での開催は初とのこと。

「Mobile Pwn2Own」では、日本のセキュリティ研究者チームがスマートフォンにプリインストールされたアプリに存在する脆弱性を用いた攻撃を実証し、賞金4万ドルが贈呈されました。

PacSec 情報セキュリティに関するカンファレンスとトレーニング
(英文)コンテストの結果を伝えるHP社のブログ
東京でハッキングコンペ、日本チームがGalaxy S4の脆弱性発見 (ITmedia)

マイクロソフト社製品の脆弱性をついた「履歴書.zip」という標的型攻撃に注意

独立行政法人 情報処理推進機構(IPA)は、11月20日、マイクロソフト社製品に存在する未修正の脆弱性を悪用した標的型攻撃が確認されたとして注意を呼びかけました。この攻撃は、件名、本文、添付ファイル名などには日本語が使われており、「履歴書.zip」というファイルが添付されています。これを解凍して得られるWordファイルを開くことで、パソコンがマルウェアに感染する可能性があるということです。

また、業務上、添付ファイルを開いて内容を確認する必要があるような、問い合わせ窓口へのメールを装うという手口が使われていたことが確認されています。今のところ、攻撃に悪用された脆弱性についてのセキュリティ更新プログラムは提供されていないため、IPAでは、マイクロソフト社から提示されている回避策を適用するよう呼びかけています。

なお、回避策として示されたFix itの詳細はサポート技術情報 2896666を、EMETについての詳細はサポート技術情報 2458544を参照のこと。

Microsoft Office 等の脆弱性(CVE-2013-3906)を悪用する国内の組織に対する標的型攻撃を確認 〜不審メールへの警戒、緊急対策の実施を〜(IPA)
マイクロソフト製品のグラフィックスコンポーネントに未修正の脆弱性(情報セキュリティブログ)

<追記>
12月11日に当該脆弱性に対する更新プログラムが公開されました。

Microsoft Graphics コンポーネントの脆弱性により、リモートでコードが実行される(2908005)(マイクロソフト セキュリティ情報 MS13-096)

セキュリティ対策企業のソフトウェア更新通知を騙るマルウェア攻撃

セキュリティ対策企業のシマンテック社は、11月26日、セキュリティ対策企業を騙り、ソフトウェアの更新プログラムを装った添付ファイルを開かせる手口でマルウェアに感染させようとするメールが確認されたとして、ブログの中で注意喚起しました。

これによると、メールは「重要なシステム更新のお知らせ - 緊急対応が必要です」というような件名で、受信者側でソフトウェアの更新プログラムをインストールする必要がある旨、記載されています。添付ファイルは更新プログラムを装ったファイルで、これを開くとマルウェアに感染する恐れがあるということです。メールは、著名なセキュリティ対策企業の名前を騙っており、同社では、こうした攻撃の被害を防ぐため、メールの取扱いに注意し、最新のセキュリティ対策ソフトを利用するといった、セキュリティ対策を行うよう推奨しています。

偽のウイルス対策ソフトウェア更新通知がマルウェアを拡散(Symantec Connect コミュニティ)
セキュリティ会社のお知らせになりすますマルウェア攻撃にご注意(ITmedia)

関連キーワード:

Twitter

クロスサイトリクエストフォージェリ

スパムメール

マイクロソフト

マルウェア

  • マイクロソフト製品のグラフィックスコンポーネントに未修正の脆弱性
  • カテゴリートップへ
  • IPAが無線LANの「ただ乗り」に注意喚起