2014年6月のIT総括

2014年6月に話題となったIT関連のトピックスにつき、概要と参考URLを記していきます。

IPAがスマホ向けのワンクリック詐欺に注意喚起

6月2日、独立行政法人 情報処理推進機構(IPA)は「2014年6月の呼びかけ」を公開しました。ワンクリック詐欺(ワンクリック料金請求)に関する相談件数は539件で、中でもスマートフォンに関する相談件数が162件と全体の約3割を占めました。

スマートフォンのワンクリック詐欺では、表示された登録画面(請求画面)に動揺した利用者が、あわてて業者側に電話やメールで連絡した結果、電話番号やメールアドレスなどの個人情報が相手に知られてしまうという相談が多い傾向があることが指摘されています。

IPAでは、パソコンとスマートフォンにおけるワンクリック詐欺の手口や被害の違いを示し、スマートフォンでのワンクリック詐欺における注意点などを解説しています。

IPAがスマホ向けのワンクリック詐欺に注意喚起(セキュリティニュース)

OpenSSLにCCSインジェクションの脆弱性(CVE-2014-0224)が確認される

OpenSSLに新たに複数の脆弱性が確認され、開発元のOpenSSLプロジェクトは6月5日(米国時間)、セキュリティアドバイザリを公開しました。

この脆弱性のうち、「CVE-2014-0224」は、CCS(ChangeCipherSpec)メッセージの処理に欠陥があるというもので(「CCSインジェクション」の脆弱性と呼ばれる)、悪用されると、中間者攻撃により通信内容や認証情報などを詐取されたり、改ざんされる可能性があるということです。

OpenSSLプロジェクトは、プログラム開発者に対し、問題を修正したバージョン0.9.8za/1.0.0m/1.0.1hの適用を呼びかけています。

OpenSSLにCCSインジェクションの脆弱性(CVE-2014-0224)が確認される(セキュリティニュース)

セキュリティコンテスト「SECCON 2014」の開催概要が発表される

6月10日、特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)は、情報セキュリティに携わる人材育成を目的とした国内最大規模のコンテストである「SECCON 2014」の開催概要を発表しました。

これは、所属や年齢を問わず、学生から社会人まで参加できる日本最大規模のセキュリティコンテストで、一定のルールの下、情報システムに対する攻撃技術や解析能力を競うものです。第3回を迎える今回は、海外からの参加受付も可能になるほか、女性限定イベント「CTF for GIRLS」を実施し、情報セキュリティ技術者育成の裾野拡大を狙っているとのこと。

「SECCON 2014」は、6月29日に開催された「CTF for GIRLS」の女性限定ワークショップを皮切りに、オンライン予選(7月19日〜21日)、英語版でのオンライン予選(12月6日、7日)、4都市における地方予選を経て、来年2月7日に、東京電機大学で全国大会が開催される予定です。

セキュリティコンテスト「SECCON 2014」の開催概要が発表される(セキュリティニュース)

マイクロソフトのセキュリティ製品のエンジンに脆弱性、すでに修正版を公開

6月17日、マイクロソフト社は、「Microsoft Security Essentials」などのセキュリティ製品に使用されるエンジンに脆弱性が確認されたとして、セキュリティアドバイザリ(2974294)を公開しました。脆弱性は、Microsoftのセキュリティ製品で使用される「Microsoft Malware Protection Engine」に存在するもので、悪用された場合、特別な細工がされたファイルをスキャンしたときに、サービス拒否が起こる(マルウェアからの保護が行われない)可能性があるということです。

影響を受けるのは、一般向けの「Security Essentials」や「Windows Defender」、企業向けの「Forefront Client Security」などです。マイクロソフト社は、脆弱性を修正した修正版の配布を始めており、通常のエンジンと定義ファイルの配布プロセスで、一般向け製品は48時間以内に自動で最新版への更新が行われるため、ユーザー側に追加で必要な作業はないと言及しています。

マイクロソフトのセキュリティ製品のエンジンに脆弱性、すでに修正版を公開(セキュリティニュース)

Amazonのギフト券番号を盗み取ろうとするフィッシングに注意喚起

通販サイト大手のアマゾン(Amazon.co.jp)は、同サイトを装い、キャンペーンと称してユーザーが購入したギフト券の番号を不正に取得しようとする悪質なフィッシング攻撃が確認されたとして注意を呼びかけています

これは、「アマゾンで購入したギフト券が倍額になって戻ってくるキャンペーン」と称するメールが届き、本文に記載されたURLをクリックすると、フィッシングサイトに誘導されるというものです。サイトには、「ギフト券の番号を指定アドレスに送ると、倍額が戻ってくる」と書かれており、サイトの指示に従い、ギフト券番号を送信してしまうと、ギフト券が攻撃者側に盗み取られてしまう可能性があります。

ユーザーは、未使用のギフト券番号を送信させるようなキャンペーンの案内が届いたら内容を疑い、ギフト券番号はプレゼントしたい相手以外には送らないことが大切です。また、身に覚えのない当選メールなどは開かずに捨てるというように、メールの取扱いには慎重を期す必要があります。

Amazonのギフト券番号を盗み取ろうとするフィッシングに注意喚起(セキュリティニュース)

広告を通じFlash Playerの偽の更新メッセージからユーザーを不正サイトに誘導する事案を確認

6月19日未明より、「ニコニコ動画」や2ちゃんねる「まとめサイト」などの一部のWebサイトで、Adobe Flash Playerの更新を促す偽のメッセージが表示され、これをクリックしたユーザーがマルウェアに感染する事案が確認されました。

これは、Webサイトなどに広告を配信しているマイクロアド社の広告配信ネットワークを通じ、Flash Playerの更新を偽装したメッセージを表示し、広告のURLからユーザーを不正なサイトに誘導してマルウェアに感染させるという手口です。「このページは表示できません!」「Flash Playerの最新バージョンへのアップデート!」といったポップアップが表示され、OKボタンをクリックしたユーザーは、アドビの公式サイトを模した偽のダウンロードサイトに誘導され、マルウェアをダウンロード、実行させられる可能性があります。マルウェアを実行すると、詐欺的セキュリティソフトや偽メンテナンスソフトをインストールさせようとする挙動が確認されています。

ソフトウェアのアップデートを偽装したマルウェアの配布は日常的に行われているため、十分に注意しましょう。ソフトウェアのアップデートは、必ず公式サイト経由で行うことが大切です。

広告を通じFlash Playerの偽の更新メッセージからユーザーを不正サイトに誘導する事案を確認(セキュリティニュース)

電子マネー「ウェブマネー」を騙るフィッシングに注意

6月26日、フィッシング対策協議会は緊急情報を出し、電子マネーによる決済サービスを提供する「ウェブマネー」(WebMoney)を騙るフィッシングメールが出回っているとして注意を呼びかけました。

これは、同サービスのアカウント情報(ウォレットID、パスワード、セキュアパスワードなど)を詐取しようとするもので、偽メールの文面は、「WebMoney−安全確認」「ID.パスワードの管理」などの件名で、本文には「下記のログイン時間を照らし合せてご本人様によるログインであるかどうかご確認お願いします」などと記述されているということです。

メールに記載されたURLをクリックするとフィッシングサイトに誘導され、アカウント情報を詐取される可能性があります。ウェブマネー社は、類似した内容のメールを一切発信していないことを説明しており、くれぐれもリンク先でアカウント情報を入力したりすることのないよう注意が必要です。

【重要】 当社を装ったウォレットID詐取のフィッシングメールにご注意ください(ウェブマネー社)
緊急情報 | ウェブマネーをかたるフィッシング(2014/06/26)(フィッシング対策協議会)
「ウェブマネー」を騙るフィッシングメールに注意を(INTERNET Watch)

関連キーワード:

Amazon

Flash Player

IPA

Microsoft

OpenSSL

SECCON

ウェブマネー

セキュリティコンテスト

フィッシング

ワンクリック詐欺

脆弱性

  • アップルがOS X向けのセキュリティアップデートとiOSの最新版を公開
  • カテゴリートップへ
  • IPAがオンラインバンキングの不正送金被害に注意喚起