2014年12月のIT総括

2014年12月に話題となったIT関連のトピックスにつき、概要と参考URLを記していきます。

IPAが「性的脅迫」について注意喚起

12月1日、情報処理推進機構(IPA)は「2014年12月の呼びかけ」を公開し、この中で「性的脅迫」について注意を呼びかけました。

「性的脅迫」は、被害者のプライベートな写真や動画を入手して、それをネタに脅迫する行為のこと。こうした性的脅迫の手口には、SNSなどを通じてコンタクトを取り、相手を信用させ、ビデオチャット用のアプリ(実際は電話帳データを窃取する不正なアプリ)をインストールするよう持ちかけてくる場合があるということです。その結果、攻撃者に電話帳の情報を攻撃者に窃取され、プライベートな写真や動画をばらまくと脅され、金銭を要求されてしまう可能性があります。

IPAは、一度、相手の手に渡ってしまった情報は削除することも、取り返すことも困難であり、ばらまかれてしまうことを抑止することも困難であることから、アプリは必ず、信頼できるマーケットから入手することや、プライベートな写真や動画は第三者に渡さないといった対策を呼びかけています。

IPAが「性的脅迫」について注意喚起(セキュリティニュース)

Twitterが嫌がらせツイートへの対策やブロック機能を改善

12月2日、Twitterは、ルールに違反した内容や嫌がらせなどのツイートに関する報告機能や、ブロック機能を改善したと発表しました。これによると、ルールに違反した内容や嫌がらせなどのツイートの報告を簡便化し、スマートフォンのアプリからも行えるよう機能を改善しました。また、嫌がらせを受けている本人以外のユーザーからも報告ができるようにし、報告に対して迅速な対応ができるよう、該当のツイートやアカウントの調査に対するツールやプロセスを改善しました。

ブロック機能については、新たにWebの設定ページに「ブロックしたアカウント」を作成し、自分がブロックしているアカウントの一覧が表示されるようにしました。また、自分がブロックした相手が、自分のプロフィールページを見ることができないようにしたということです。

Twitterが嫌がらせツイートへの対策やブロック機能を改善(セキュリティニュース)

Googleがアカウント不正取得防止のための「CAPTCHA」新方式を発表

12月3日、米Googleはアカウント不正取得防止のための認証システム「CAPTCHA」の新しい認証方式を発表しました。これによると、ユーザーは変形文字を読み取って入力する代わりに、「I'm not a robot」(私はロボットではありません)という文字の隣のチェックボックスをクリックしてチェックを入れるだけで済むようになるとのことです。

なお、同社によると、リスク分析エンジンで相手が人間(ユーザー)かボットかを判別できない場合は、従来のCAPTCHAが表示されるということです。

Googleがアカウント不正取得防止のための「CAPTCHA」新方式を発表(セキュリティニュース)

Gmailが「Content Security Policy」(CSP)をサポート

12月16日、米Googleは、デスクトップ版「Gmail」のセキュリティ向上策として、Content Security Policy(CSP)をサポートしたと発表しました。

これによると、Gmail向けに公開されている様々な機能拡張の一部には、悪意のあるプラグインやユーザーの受信ボックス内のデータを侵害するようなマルウェアも存在しているということです。このため、サーバー側で信頼できるコード等を指定することができる仕組みであるCSPに対応することになりました。CSPに準拠したWebサイトを、CSPに対応したWebブラウザーで閲覧すると、Webブラウザーは、サーバーから送られる信頼情報に基づき、ページに記載されているコードを実行するかどうかを判断します。これにより、不正なコードを読み込むことを防ぎ、Webアプリケーションの脆弱性を悪用した攻撃を阻止する効果が期待されます。

Gmailが「Content Security Policy」(CSP)をサポート(セキュリティニュース)

日本のユーザーを標的にしたランサムウェア「TorLocker」に注意喚起

12月16日、セキュリティ対策企業のシマンテック社は、ランサムウェア「TorLocker」について、日本のユーザーを標的に日本語にカスタマイズされた亜種が確認されたと報じました。

ランサムウェアは、感染するとユーザーに身代金を支払うように要求するマルウェアのこと。パソコンの中にあるファイルを暗号化し、復号するためのパスワードが知りたければ金銭を支払うよう脅迫するなどの手口があります。

今回確認されたランサムウェアは「TorLocker」の日本語版の亜種で、感染経路としては、ブログのホストに広く使用されているWebサイトに仕込まれていた可能性や、日本の出版社のサイトが改ざんされ、マルウェアサイトにリダイレクトされていた事例などから、Webが改ざんされた結果、ランサムウェアが拡散された可能性などが指摘されています。

ランサムウェアの感染を防止またはリスクを低減するために、パソコンのOSやアプリケーションなどのソフトウェア、ブラウザーのプラグインを最新の状態に更新するといった脆弱性対策や、最新のセキュリティソフトを使用し、ウィルス定義ファイルを常に最新の状態に保つといった基本的なマルウェア対策が推奨されます。

日本のユーザーを狙って設計された TorLocker ランサムウェアの亜種(Symantec Connect)
日本を狙った複数の"ランサムウェア"が活動中、ファイルを人質に身代金要求(INTERNET Watch)
日本人が関与する日本語の「ランサムウェア」出現〜被害拡大のおそれ(セキュリティ通信:So-netブログ)

NTPDに悪用可能な脆弱性(CVE-2014-9295)が確認される

12月18日、NTPD(Network Time Protocol daemon)に悪用可能な脆弱性(CVE-2014-9295)を含む複数の脆弱性が確認されました。開発元(NTP Project)では最新版(バージョン4.2.8)へのアップデートを呼びかけています。

NTPDは、様々なサービスやアプリケーションで時刻を同期するために使用される通信プロトコル(NTP: Network Time Protocol)を扱うオープンソースソフトウェアです。CVE-2014-9295は、細工されたパケットの処理に起因するバッファオーバーフローの脆弱性で、攻撃者が特別に細工したパケットを送信することで、NTPDの実行権限で任意のコードが実行される可能性があるということです。

NTPDに悪用可能な脆弱性(CVE-2014-9295)が確認される(セキュリティニュース)


警察庁が「特殊詐欺の認知・検挙状況」を公開

12月22日、警察庁は、「特殊詐欺の認知・検挙状況等について(平成26年1月〜11月)」を公開しました。これによると、特殊詐欺の実質的な被害総額は約498億7千万円で、昨年1月〜11月の被害額(約427億8千万円)を上回っていることがわかりました。

特殊詐欺とは、面識のない不特定の者に対し、電話その他の通信手段を用いて、現金等をだまし取る詐欺のこと。「振り込め詐欺(オレオレ詐欺、架空請求詐欺、融資保証金詐欺、還付金等詐欺)」「金融商品等取引名目の詐欺」「ギャンブル必勝法情報提供名目の詐欺」「異性との交際あっせん名目の詐欺」「その他の特殊詐欺」を指します。

このうち、「架空請求詐欺」については、認知件数は2,599件、実質的な被害総額は約145億6千万円にのぼりました。また、「金融商品等取引名目の詐欺」は1,083件、約114億7千万円、「ギャンブル必勝法情報提供名目の詐欺」は429件、約25億3千万円、「異性との交際あっせん名目の詐欺」は50件、約2億9千万円の被害となっています。

・(PDF)特殊詐欺の認知・検挙状況等について(平成26年1月〜11月)(警察庁)
ネット上の詐欺に注意〜「特殊詐欺」被害が最悪の状況に(セキュリティ通信:So-netブログ)

関連キーワード:

CAPTCHA

CSP

NTPD

SNS

TorLocker

Twitter

アプリ

ブロック

ランサムウェア

脅迫

脆弱性

詐欺

警察庁

  • 日本のユーザーを標的にしたランサムウェア「TorLocker」に注意喚起
  • カテゴリートップへ
  • 12月はオンラインゲームを騙るフィッシングの報告が増加