2014年4月のIT総括

2014年4月に話題となったIT関連のトピックスにつき、概要と参考URLを記していきます。

「ゆうちょダイレクト」を騙るフィッシングに注意喚起

4月1日、フィッシング対策協議会は緊急情報を出し、ゆうちょ銀行を騙るフィッシングメールが出回っているとして注意を呼びかけました。

これは、同行が提供するオンラインバンキング「ゆうちょダイレクト」の暗証番号を詐取しようとするもので、偽メールの文面は、「ログイン画面がリニューアルしたため、ログインするよう」促す内容ということです。記載されたURLをクリックするとフィッシングサイトに誘導され、お客様番号や暗証番号を詐取される可能性があります。

ゆうちょダイレクト用の暗証番号は、送金等の特定の取引時に必要なものであり、情報照会などの際に入力を求められることはないため、くれぐれもリンク先で個人情報を入力したりすることのないよう注意が必要です。

「ゆうちょダイレクト」を騙るフィッシングに注意喚起(セキュリティニュース)

OpenSSLに情報漏えいの脆弱性(CVE-2014-0160)が確認される

4月8日、一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は、OpenSSLのheartbeat拡張に情報漏えいの脆弱性(CVE-2014-0160)が確認されたとして、注意喚起を発表しました。この脆弱性は「Heartbleed」とも呼ばれます。

脆弱性が存在するのは、OpenSSLの1.0.1系と呼ばれる「バージョン1.0.1から1.0.1f」、および1.0.2系と呼ばれる「バージョン1.0.2-betaから1.0.2-beta1」。なお、「バージョン1.0.0」系列以前にはこの脆弱性は存在しないとのこと。この脆弱性が悪用されると、暗号化され、秘匿されるはずのパスワードや暗号化に使う秘密鍵といった重要な情報が漏えいする可能性があります。

開発者がとるべき対策としては、本脆弱性を修正した「バージョン1.0.1g」が公開されているので、十分なテストを実施の上、修正済みバージョンを適用することが推奨されます。1.0.2系は、今後公開される「バージョン1.0.2-beta2」で修正される予定とのことです。また、4月16日には、独立行政法人 情報処理推進機構(IPA)が、一般ユーザー向けの対応策として以下の3点を挙げ、注意を呼びかけました。詳しくはIPAのサイトを参照して下さい。

●Webサイトの対応状況を確認する
●証明書の失効確認を有効にする(Webブラウザーの確認)
●Webサイト運営者からの指示に従う

OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について(IPA)
OpenSSLに情報漏えいの脆弱性(CVE-2014-0160)が確認される(セキュリティニュース)

「お名前.com」を騙るフィッシングに注意喚起

4月15日、フィッシング対策協議会は緊急情報を出し、「お名前.com」を騙るフィッシングメールが出回っているとして注意を呼びかけました。

これは、ドメイン登録サービスの「お名前.com」のアカウント情報を詐取しようとするもので、「【重要】お名前.comの登録情報を確認してください」というような件名の偽メールが不特定多数に送信されていました。同サービスの会員向けにアカウント情報を確認するよう促す内容で、メールに記載されたURLをクリックするとフィッシングサイトに誘導され、IDやパスワードなどを詐取される可能性があります。

上記のような不審な内容のメールを受け取ったときは、リンク先で個人情報を入力したりすることのないよう十分に注意する必要があります。

「お名前.com」を騙るフィッシングに注意喚起(セキュリティニュース)

カミンスキー攻撃と思われるアクセス増加に注意喚起

日本レジストリサービス社(JPRS)は、4月15日、日本の大手インターネット接続事業者からカミンスキー攻撃と思われるアクセスが増加しているという報告を受けたとして注意喚起しました。

カミンスキー攻撃とは、DNSサーバーのキャッシュ機能を悪用し、ドメイン名の乗っ取りや偽サイトへの転送などを行う「DNSキャッシュ・ポイズニング」を効率的に行うことが可能になる攻撃手法のこと。DNSキャッシュ・ポイズニングが成立すると、インターネット利用者は正規のURLを入力しても偽サイトに転送されてしまう可能性があるため、フィッシングなどの被害に遭う危険性が高まることが指摘されています。

同社は、キャッシュDNSサーバーの運用者に対し、この攻撃の成功率を下げるのに有効な対策の一つとされる「ソースポートランダマイゼーション」(キャッシュDNSサーバーの問い合わせポートを固定せずランダム化すること)の設定を再確認し、これを有効にすることを強く推奨しています。

(緊急)キャッシュ・ポイズニング攻撃の危険性増加に伴うDNSサーバーの設定再確認について(JPRS)
DNS キャッシュ・ポイズニング攻撃に関する注意喚起(JPCERT/CC)
カミンスキー攻撃らしきアクセス、日本の大手ISPで増加、DNSの設定再確認を(INTERNET Watch)

モバイルマルウェアを用い2要素認証のコードを盗む手口に注意

4月16日、セキュリティ対策企業のイーセット社は、ブログの中で、モバイルマルウェアを使い、Facebookの2要素認証のコードを盗み取ろうとする手口が確認されたとして注意を呼びかけました。

確認された手口は、オンラインバンキングの情報を盗むマルウェアの「Qadars」と、Android端末から送受信されるSMS(ショートメッセージサービス)を傍受する機能を備えたモバイルマルウェアの「iBanking」を組み合わせたもので、「Qadars」に感染したパソコンでFacebookにログインすると、偽の警告画面が表示され、モバイル端末に独自アプリをインストールするよう促されます。このアプリが「iBanking」ということです。

Facebookの2要素認証では、SMSを使ってセキュリティコードをモバイル端末宛に送信する仕組みとなっているため、これを悪用し、マルウェアを通じてSMSの通信内容を傍受し、セキュリティコードを盗み取る手口であると同社は指摘しています。

・(英文)Facebook Webinject Leads to iBanking Mobile Bot(イーセット社のブログ)
モバイルアプリと連携するバンキングマルウェア、アカウント搾取の新たな手口か(ITmedia)

アップル社が「OS X」のセキュリティアップデートと「iOS 7.1.1」を公開

アップル社は4月22日、「OS X」の「セキュリティアップデート 2014-002」と、モバイル向け「iOS」の最新版「iOS 7.1.1」を公開しました。

「セキュリティアップデート 2014-002」は、Mac OS X 10.9.2(Mavericks)、同10.8.5(Mountain Lion)、および同10.7.5(Lion)が対象。複数の脆弱性が修正されており、同社では全てのユーザーにアップデートを推奨しています。なお、最新版への更新は、アップルメニュー→「ソフトウェア・アップデート」で入手できます。

「iOS 7.1.1」は、iPhone 4以降、iPad 2以降、第5世代のiPod touch、iPad miniが対象です。深刻な脆弱性を含む複数の脆弱性が修正されたほか、指紋認証機能の向上や、キーボードに影響する問題などが修正されました。なお、最新版への更新は、端末の「設定」から「一般」→「ソフトウェア・アップデート」を選択するか、端末をパソコンに接続してiTunes経由で更新することができます。

・(英文)Security Update 2014-002(アップル社)
・(英文)About the security content of iOS 7.1.1(アップル社)
アップル、OS X用セキュリティアップデートと iOSの最新版公開(セキュリティ通信:So-netブログ)

関連キーワード:

Android

Apple

DNSキャッシュ・ポイズニング

iOS

Mac OS X

OpenSSL

お名前.com

ゆうちょダイレクト

カミンスキー攻撃

フィッシング

マルウェア

脆弱性

  • 根岸征史氏に聞く「誰もが安心して利用できるネットワークやサービスへの思い」(後編)
  • カテゴリートップへ
  • カミンスキー攻撃とは