2014年9月のIT総括

2014年9月に話題となったIT関連のトピックスにつき、概要と参考URLを記していきます。

IPAが悪意ある「非公認アプリ」に注意喚起

9月1日、独立行政法人 情報処理推進機構(IPA)は、「2014年9月の呼びかけ」を公開し、サービス事業者の公式アプリに見せかけた「非公認アプリ」によりアカウント情報が盗まれる可能性について注意喚起しました。

2014年8月、App Store上でゲームアプリを公開していた作者が、アプリの管理に使用していた開発者のアカウント情報を盗まれ、アプリの所有権が別の業者に転送されてしまう事件が発生しました。この開発者は、ゲームアプリの売上管理のために、アップル社ではない第三者が提供する「非公認」の売上管理アプリを利用しており、この非公認アプリに登録したApple IDとパスワードが第三者に窃取されてしまった可能性が指摘されています。

悪意のある第三者が、サービス事業者を騙る不正な非公認アプリを公開した場合、ユーザーは、登録したIDやパスワードなどを窃取される可能性があります。IPAでは、IDやパスワードの入力が必要なサービスを利用する場合は、原則としてサービス事業者公認のアプリを利用することを推奨しています。

IPAが悪意ある「非公認アプリ」に注意喚起(セキュリティニュース)

ネットバンキング不正送金被害額は約18億円(2014年上半期)

9月4日、警察庁は、2014年上半期(2014年1月〜6月)のインターネットバンキング不正送金事犯の発生状況を公表しました。発生件数は1,254件、被害額は約18億5,200万円と、前年同期比(217件、約2億1,300万円)の約6倍となりました。

警察庁は、被害拡大の背景に、コンピューターウィルスを用いた犯罪手口の悪質化や巧妙化があると指摘しています。また、不正送金されたお金の移動方法については、一次送金先の口座から資金移動業者を介して国外に送金する手口が減少している一方、「出し子」と呼ばれる口座に振り込まれたお金を引き出す役割の人間が、一次送金先の口座から現金を引き出す手口が増加しているということです。

2014年上半期のネットバンキング不正送金被害額は約18億円(警察庁)(セキュリティニュース)

米国セレブ画像流出事件に関連する詐欺に注意喚起

9月4日、セキュリティ対策企業のシマンテック社は、海外の有名人のプライベート画像が多数流出した事件に便乗した詐欺が確認されたとして注意を呼びかけました。

これは、アップル社のクラウドサービス「iCloud」から、米国の人気女優やモデルなどのプライベート画像が多数流出したと米国のメディアなどが大きく報じた事件に便乗しているもので、流出画像が見られるというリンクを付したSNSなどへの投稿を通じ、ユーザーをフィッシングサイトなどに誘導しようという手口です。

こうした手口を通じてIDやパスワードなどの個人情報を盗み取ろうとしたり、マルウェアに感染させようとする可能性があることから、有名人の写真や動画が他にも見られると称するリンクは決してクリックしないよう注意が必要です。

米国セレブ画像流出事件に関連する詐欺に注意喚起(セキュリティニュース)

アップルがiOSの最新版「iOS 8」を公開

9月17日(米国時間)、アップル社は、モバイル向け「iOS」の最新版「iOS 8」を公開しました。

「iOS 8」では、それまでのバージョンに存在していた多数の脆弱性に対処し、Wi-Fi接続やカーネル、Safari、WebKitなどに存在する56件におよぶ脆弱性が修正されました。「iOS 8」は、iPhone 4s以降、第5世代のiPod touch、iPad 2以降が対象で、最新版への更新は、端末の「設定」をタップし「一般」→「ソフトウェアアップデート」と進むか、端末をパソコンに接続してiTunes経由でアップデートすることができます。

なお、9月25日(米国時間)には、アップデート版となる「iOS 8.0.2」が公開されました。これは、9月24日に公開された「iOS 8.0.1」がユーザーからの問題報告を受けて一旦撤回され、再度公開されたものです。

アップルがiOSの最新版「iOS 8」を公開(セキュリティニュース)

IPAとJPCERT/CCが「パスワード使い回し」をやめるよう呼びかけ

9月17日、独立行政法人 情報処理推進機構(IPA)と一般社団法人 JPCERTコーディネーションセンター(JPCERT/CC)は、リスト型攻撃による不正ログイン対策として、インターネットユーザーに向けて、複数のサービスにおいて同じパスワードを使い回さないよう呼びかける「STOP!! パスワード使い回し!!」を公開しました。

リスト型攻撃は、あるサービスから盗んだID、パスワードで別のサービスにログインを試行していくため、複数のサービスで同じパスワードを使い回していると、様々なサービスのアカウントが不正ログインされてしまう可能性があります。リスト型攻撃に対するユーザー側の対策は、パスワードを使い回さないことです。

IPAでは、複数のパスワードを忘れずに管理できる方法が、パスワードを使い回さずにインターネットサービスを利用する有効な手段であると結論づけています。

IPAとJPCERT/CCが「パスワード使い回し」をやめるよう呼びかけ(リスト型攻撃対策)(セキュリティニュース)

LINEが「PINコード」を用いたログインを必須に

9月22日、スマートフォンなどで使える人気のチャットアプリ「LINE」は、7月17日より導入した「PINコード」での本人確認を必須にしました。これにより、スマートフォン版LINEアプリにて、「PINコード」とよばれる本人を確認するための4ケタの暗証番号の設定が必要になりました。なお、既にPINコードを設定済みのユーザーについては、再設定の必要はないとのこと。

今回の措置は、被害が相次ぐLINEアカウントの「乗っ取り」(不正ログイン)に対するセキュリティ強化策で、同社は、他人から推測されやすい番号の文字列をPINコードに設定しないよう注意を呼び掛けています。

【重要】不正ログイン(乗っ取り)の被害拡大を防ぐため、PINコードの設定を必須にします(LINE公式ブログ)
ニュース - スマホ版LINEのPINコード設定が義務化、不正ログインの被害拡大防止(ITpro)

IPAが「組織における内部不正防止ガイドライン」を公開

9月26日、独立行政法人 情報処理推進機構(IPA)は、「組織における内部不正防止ガイドライン」を公開しました。IPAでは、従業員や委託先社員等の内部者の不正行為による情報窃取等の被害が多数生じている状況に鑑み、有識者を交え、内部不正行為についての調査と、対策を検討してきました。

内部不正は風評被害が発生する恐れなどから、組織内部で処理されてしまう傾向にあり、また、同業他社などの外部組織との間で情報が共有される機会もほとんどなく、対策はそれぞれの組織の経験などに任されているのが実情です。そこで、IPAは、企業等における内部不正対策を効果的に実施可能とすることを目的に、同ガイドラインを公開しました。

組織における内部不正防止ガイドライン(IPA)

関連キーワード:

iCloud

iOS

LINE

PINコード

アカウント

アプリ

インターネットバンキング

ガイドライン

ソフトウェアアップデート

パスワード

フィッシング

リスト型攻撃

不正送金

不正防止

  • シギント(SIGINT)とは
  • カテゴリートップへ
  • IPAがクラウドサービスからの情報漏えいに注意喚起