2014年10月のIT総括

2014年10月に話題となったIT関連のトピックスにつき、概要と参考URLを記していきます。

IPAがクラウドサービスからの情報漏えいに注意喚起

独立行政法人 情報処理推進機構(IPA)は、10月1日、「2014年10月の呼びかけ」を公開し、「クラウドサービスからの情報漏えいに注意!」と題して注意を呼びかけました。

Webメールやスケジュール管理、グループウェアやオンラインストレージなど、インターネットを利用した「クラウドサービス」からの情報漏えいについて、IPAでは、利用する上での留意点やアカウント情報の管理のポイントを解説しています。クラウドサービスの利用に際しては、IDとパスワードを適切に管理することと、必要のないデータは共有しないことの2点が大事です。

IPAがクラウドサービスからの情報漏えいに注意喚起(セキュリティニュース)
・【おすすめ】クラウドストレージ(オンラインストレージ)の暗号化 秘文 Cloud Data Protection

Dropboxのアカウント情報が約700万件流出と報じられる

オンラインストレージサービス「Dropbox」のユーザーIDとパスワードとされる情報がインターネット上に公開されました。これは、同サービスのユーザーIDとパスワードを約700万件盗んだという人物が、インターネット上のサイトにそのうちの約400件のリストを投稿していたというものです。

これに対し、Dropboxは、10月13日(米国時間)、公式ブログにおいて、公開されたIDとパスワードのリストはDropboxとは無関係のサービスから盗まれたもので、Dropboxのシステムが不正に侵入されて盗まれたものではないという見解を発表しました。

攻撃者が他サイトから盗まれたアカウント情報を使って不正ログインを試みる可能性があることから、Dropboxのユーザーは、異なるサイトで同一のパスワードを使い回さないようにするとともに、アカウントのセキュリティを強化するため、同社が提供する2段階認証を設定することが推奨されます。

Dropboxのアカウント情報が約700万件流出と報じられる(セキュリティニュース)

SSL バージョン3.0に深刻な脆弱性「POODLE」が確認される

インターネット上でデータを暗号化して送受信するプロトコル「SSL」(Secure Sockets Layer)のバージョン3.0に深刻な脆弱性が確認されました。「POODLE」(Padding Oracle On Downgraded Legacy Encryption:プードル)と呼ばれるこの脆弱性を悪用すると、攻撃者は暗号化された通信の内部からユーザーの個人情報などの機密情報を盗み出すことが可能になるということです。

これに対し、Webサイト管理者などにより、サイトのSSLのバージョンを更新する等の対策が進んでいます。また、Google Chrome、Firefox、Internet Explorerといった主要ブラウザーでも、SSL 3.0のサポートを無効にするツールを公開したり、最新版のブラウザーでSSL 3.0のサポートを終了する考えを表明しています。

SSL バージョン3.0に深刻な脆弱性「POODLE」が確認される(セキュリティニュース)

米GoogleがUSBキーを用いた2段階認証を提供開始

米Googleは10月21日(米国時間)、Gmailをはじめとする同社のサービスのアカウント保護を強化するため、USBキーを用いた2段階認証の仕組みを提供することを発表しました。

従来、同社の2段階認証は、予め登録した携帯端末宛に確認コードが送信され、それをブラウザー上で入力することで認証していました。この方式では、攻撃者がGoogleサイトに見せかけた偽サイトを作成してユーザーをだまし、確認コードを入力させようとする攻撃が想定されることから、今回、物理的なデバイスを用いた2段階認証の仕組みが導入されました。

ユーザーは、2段階認証プロセスでセキュリティコードを入力する代わりに、物理的なUSBセキュリティキーをパソコンなどに差し込むことで認証ができるということです。Webブラウザー「Google Chrome」と組み合わせて利用し、ログインしたWebサイトが本物のGoogleサイトであることが確認された場合にのみ動作するということです。

ただし、USBセキュリティキーは別途購入する必要があるということです(日本へも発送可能)。また、USBポートを備えていない携帯端末のみでGoogleアカウントを使用している場合は、従来のセキュリティコードによる2段階認証が推奨されるということです。

2 段階認証プロセスにセキュリティ キーを使用する(Google アカウント ヘルプ)
・(英文)Google Online Security Blogの当該記事
Google、物理的なUSBセキュリティキーによる2段階認証を導入(INTERNET Watch)

金融庁が2014年上半期のネットバンキング被害額を17億1,400万円と発表

金融庁は、10月23日、「偽造キャッシュカード等による被害発生等の状況について」を発表し、この中で、インターネットバンキングの不正送金に関する被害件数、被害額が公表されました。

これによると、2014年4月〜6月における被害件数、被害額はそれぞれ、489件、7億7,200万円でした。また、2014年1月〜6月で見てみると、被害件数、被害額はそれぞれ、1,166件、17億1,400万円となっており、これは、9月に警察庁が発表した、不正送金事件の被害状況(1,254件、約18億5,200万円)と近い数字であることがわかります。

なお、2014年4月〜6月における個人口座の被害件数、被害額は、1,068件、12億4,200万円、一方、法人口座は98件、4億7,100万円でした。

金融庁がネットバンキング被害額を17億1,400万円(2014年上半期)と発表(セキュリティニュース)

「HTML5」がW3C勧告として公開

インターネット上の各種技術の標準化を推進する標準化団体「W3C」は、10月28日、HTMLの第5版である「HTML5」について、ワーキンググループにおける批准プロセスの最終段階である「W3C勧告」として公開しました。W3C勧告は、他の業界での公式な工業規格と同等なレベルのものといわれており、HTML5がHTMLの標準規格となりました。

HTMLは、1997年に「HTML 4.0」が勧告された後、1999年に、その修正版の「HTML 4.01」が勧告されました。HTML5は、W3Cより2008年1月に草案が発表され、次期標準の策定作業が進められてきました。改定の目的には、コンピューターやWebブラウザーなどのデバイス、検索エンジンといった機械にとっても、Webページのデータの「意味」が読解可能になり、より高度な情報整理が可能になることや、動画や音声をはじめとする最新のマルチメディアをサポートすることなどが挙げられます。

HTML5勧告-オープン・ウェブ・プラットフォームの重要なマイルストーンを達成(W3C)
「HTML5」がついにW3C勧告に(INTERNET Watch)

関連キーワード:
  • IPAが「遠隔操作ソフト」の悪用による情報窃取に注意喚起
  • カテゴリートップへ
  • ドメイン名ハイジャック(DNSハイジャック)とは