2014年3月のIT総括

2014年3月に話題となったIT関連のトピックスにつき、概要と参考URLを記していきます。

アップル社が「CarPlay」を発表

米アップル社は、3月2日(現地時間)、自動車内でiPhoneをより快適に使える「CarPlay」を発表しました。これは、ドライバーが運転に集中しながらiPhoneをコントロールするための技術で、iOS7のアップデートとして提供されるものです。

CarPlayに対応した自動車でiPhoneを接続すると、「Siri」を使って端末内の音楽などにアクセスすることができるほか、不在着信があった相手に返信したりボイスメールを聞いたりすることができます。

対応機種は、iPhone 5s/iPhone 5c/Phone 5などのLightningケーブル対応のiPhoneで、CarPlay対応の自動車は各社より2014年以降、順次販売される予定です。

Apple - CarPlay
Apple、自動車運転中に"アイズフリー"でiPhoneの音楽やマップ操作できる「CarPlay」(AV Watch)

国内のECサイトの運営者を標的にした標的型攻撃

セキュリティ対策企業のシマンテック社は、3月12日、国内のECサイト管理者などを標的にした標的型メールが大量に出回っているとして注意を呼びかけました。

これによると、当該メールには情報を盗み出す目的のマルウェアが添付されています。メールの内容は、「商品破損」などの短い件名と、「注文した商品がこのように破損していました。至急交換してください。」などの数行の本文と、ファイル(拡張子が「.exe」のマルウェアの実行ファイル)が添付されているということです。ECサイトの運営者は、不明な送信者からの迷惑メールの取り扱いに注意する必要があります。

国内のECサイトの運営者を標的にした標的型メール攻撃が確認される(セキュリティニュース)

Google DocsやGoogleドライブを用いた巧妙なフィッシング詐欺

セキュリティ対策企業のシマンテック社は、3月14日、Google DocsやGoogleドライブを用いたフィッシング詐欺の巧妙な手口について注意喚起しました。

これによると、詐欺メールは「Documents」という件名で、本文に記載されているリンクをクリックしてGoogle Docsにある重要な文書を確認するように促すということです。リンク先は、本物のログインページそっくりに作ってある詐欺ページで、実際にGoogle のサーバー上でホストされており、SSLを介して提供されているため、ユーザーが見分けるのが困難であるという特徴があります。

Googleアカウントは、多くの人が利用しており、また、Gmailや Google Playといった多くのサービスを利用する際に使われるため、犯罪者が様々な手法を使って盗み出そうとする危険性があります。ユーザーは、メールの取扱いに十分注意するようにしましょう。

Google DocsやGoogleドライブを用いた巧妙なフィッシング詐欺に注意(セキュリティニュース)

「2014年版 情報セキュリティ10大脅威」を公開

独立行政法人 情報処理推進機構(IPA)は、3月17日、「2014年版 情報セキュリティ10大脅威」を公開しました。

これは、情報セキュリティ分野の研究者、企業などの実務担当者などのメンバーにより選出されたもので、「セキュリティ脅威の分類と傾向」「2014年版10大脅威」「今後注目すべき脅威」の3章からなっています。

「2014年版10大脅威」では、1位に「標的型メールを用いた組織へのスパイ・諜報活動」がランクインしました。また、2位〜4位にはWebサービスやWebサイトに関連する脅威がランクインし、「SNSへの軽率な情報公開」(7位)、「ウィルスを使った詐欺・恐喝」(9位)といった新たな脅威もランクインしています。

IPAが「2014年版 情報セキュリティ10大脅威」を公開(セキュリティニュース)

IPAが「暗号化による情報漏えい対策」「無線LAN 危険回避対策」を公開

独立行政法人 情報処理推進機構(IPA)は、3月20日、情報セキュリティ対策についてわかりやすく解説する小冊子「対策のしおり」の新たなシリーズとして、「暗号化による<情報漏えい>対策のしおり」「無線LAN<危険回避>対策のしおり」を公開しました。いずれもIPAのサイトからPDF形式でダウンロードが可能です。

「暗号化による<情報漏えい>対策のしおり」は、情報漏えいを防止する対策の一つである暗号化について、暗号化が行われる背景や、暗号化の仕組みと注意事項について、企業・組織・個人のユーザー全般を対象に、わかりやすく紹介しています。

「無線LAN<危険回避>対策のしおり」は、モバイル端末などの普及で利用機会が拡大する無線LANについて、主に企業や組織の無線LAN導入管理者、その他無線LANユーザーを対象に、適切なセキュリティ設定の必要性を解説したものです。

無線LAN<危険回避>対策のしおり(IPA)
暗号化による<情報漏えい> 対策のしおり(IPA)

Microsoft Wordに未修正のゼロディ脆弱性が確認される

マイクロソフト社は、3月25日、Wordに未修正の脆弱性が確認されたとして、セキュリティ アドバイザリ(2953095)を公開しました。この脆弱性は、RTF(リッチテキストフォーマット)ファイルの処理に関する問題で、細工が施されたRTFファイルをWordで開くと、任意のコードが実行される可能性があります。

この脆弱性の影響を受けるのは、Word 2003/2007/2010/2013/2013 RT、Word Viewer、Office互換機能パック、Office for Mac 2011、SharePoint Server 2010/2013、Web Apps 2010、Web Apps Server 2013で、同社では、更新プログラムが公開されるまでの回避策として、「Fix it」と脆弱性緩和ツールである「EMET」を公開し、利用を推奨しています。なお、Fix itの詳細はサポート技術情報 2953095を、EMETについての詳細はサポート技術情報 2458544を参照してください。

Microsoft Wordに未修正のゼロディ脆弱性が確認される(セキュリティニュース)

<追記>
4月9日に当該脆弱性に対する更新プログラムが公開されました。

Microsoft Word および Office Web Appsの脆弱性により、リモートでコードが実行される(2949660)(マイクロソフト セキュリティ情報 MS14-017)

関連キーワード:

10大脅威

Apple

CarPlay

ECサイト

Googleドライブ

IPA

iPhone

Microsoft

Word 2010

ゼロディ脆弱性

フィッシング

情報漏えい

標的型攻撃

無線LAN

  • Click to Playとは
  • カテゴリートップへ
  • アップルが深刻な脆弱性を修正した「Safari」の最新版を公開