2015年2月のIT総括

2015年2月に話題となったIT関連のトピックスにつき、概要と参考URLを記していきます。

警告表示からソフトウェアを購入するよう誘導される手口に注意喚起

2月2日、独立行政法人 情報処理推進機構(IPA)は、「2015年2月の呼びかけ」を公開し、「警告表示をきっかけにしたソフトウェア購入への誘導」について注意を呼びかけました。

これは、パソコンの不調を示唆するようなメッセージが表示され、最終的にユーザーを有償版ソフトウェアの購入に誘導していくという手口です。IPAに寄せられた相談内容は、「脆弱性を悪用してパソコンに入り込むタイプ」「利用者が自らパソコンにインストールするタイプ」の2つのパターンに大別され、後者は現在も継続して相談が寄せられているということです。

IPAでは、対処方法を示すとともに、インターネット利用時の注意点として以下の2点を挙げています。

(1)Webサイトに表示される内容をしっかりと確認する
(2)ソフトウェアのインストール時に表示される記載内容をしっかりと確認する

警告表示からソフトウェアを購入するよう誘導される手口にIPAが注意喚起(セキュリティニュース)

マルウェアサイトに誘導する不正な広告を複数のサイトで検出

2月3日、セキュリティ企業の米Cyphort社は、ブログを通じ、米大手ニュースサイトを含む複数のWebサイトで、マルウェアに感染する可能性のある悪意ある広告を検出したと報じました。

これは、Webサイトなどに広告を配信する広告配信ネットワークが悪用され、不正な広告が配信されていたというもので、広告をクリックすると、複数のリダイレクトを経てマルウェアサイトに誘導されます。このサイトを閲覧すると、Webブラウザーに関する既知の脆弱性を悪用するコードが仕込まれ、マルウェアに感染させられる可能性があるということです。

ユーザーは、Webサイト上に表示された広告をクリックする際には細心の注意を払うとともに、パソコンのOSやアプリケーションなどのソフトウェア、ブラウザーのプラグインを最新の状態に更新するといった脆弱性対策や、最新のセキュリティソフトを使用し、ウィルス定義ファイルを常に最新の状態に保つといった基本的なマルウェア対策も併せて行うことが推奨されます。

マルウェアサイトに誘導する不正な広告を複数のサイトで検出(セキュリティニュース)

「情報セキュリティ10大脅威 2015」を発表

2月6日、独立行政法人 情報処理推進機構(IPA)は、「情報セキュリティ10大脅威 2015」の順位を発表しました。これは、2014年に発生した情報セキュリティの事故・事件のうち、社会的に影響が大きかったと考えられる脅威からトップ10を選出したものです。

トップ10の内訳は以下の通りです。

1位 「オンラインバンキングやクレジットカード情報の不正利用」
2位 「内部不正による情報漏えい」
3位 「標的型攻撃による諜報活動」
4位 「ウェブサービスへの不正ログイン」
5位 「ウェブサービスからの顧客情報の窃取」
6位 「ハッカー集団によるサイバーテロ」
7位 「ウェブサイトの改ざん」
8位 「インターネット基盤技術の悪用」
9位 「脆弱性公表に伴う攻撃の発生」
10位 「悪意のあるスマートフォンアプリ」

今回発表した「情報セキュリティ10大脅威 2015」の詳しい解説資料は、3月に公開される予定ということです。

IPAが「情報セキュリティ10大脅威 2015」を発表(セキュリティニュース)

IPAが「MyJVNバージョンチェッカ for .NET」を公開

2月12日、独立行政法人 情報処理推進機構(IPA)は、簡単な操作でパソコン内のソフトウェアが最新の状態かどうかを確認することができる「MyJVN バージョンチェッカ」の最新版である「MyJVNバージョンチェッカ for .NET」を公開しました。これは、Javaで開発されたソフトウェアを実行するために必要な「JRE」(Java Runtime Environment)がインストールできない環境でも利用できるものです。

同ツールはこれまで、オンライン版に加え、オフライン環境でも利用できるオフライン版が公開されていましたが、ツールを利用するためには、パソコンにJREをインストールする必要がありました。しかし、JREの脆弱性を悪用した攻撃が多発する現状などもあり、JREをインストールしなくても利用できるツールの公開が期待されていました。

標的型攻撃をはじめパソコンで利用されているソフトウェアの脆弱性を悪用する攻撃が多発しています。自分が使うパソコンでどんなソフトウェアを利用しているかを知り、それらを常に最新の状態に保つため、こうしたツールの利用が推奨されます。

IPAがJREをインストールしなくても動作する「MyJVNバージョンチェッカ for .NET」を公開(セキュリティニュース)

2014年のネットバンキング不正送金被害額は約29億円と過去最悪

2月12日、警察庁は、2014年中のインターネットバンキング不正送金事犯の発生状況を公表しました。これによると、発生件数は1,876件、被害額は約29億1,000万円と、過去最悪だった2013年(1,315件、約14億600万円)から倍増していることが明らかになりました。

被害を受けた金融機関(102金融機関)の内訳は、都市銀行が16、地方銀行が64、信金・信組が22です。なお、被害額の内訳は、個人口座が約18億2,200万円、法人口座が約10億8,800万円と、法人名義口座の被害が増加しています。

2014(平成26)年のネットバンキング不正送金被害額は約29億円と過去最悪(警察庁)(セキュリティニュース)

「2014年度情報セキュリティに対する意識調査」報告書を公開

2月17日、独立行政法人 情報処理推進機構(IPA)は、パソコンおよびスマートデバイス利用者を対象に実施した「情報セキュリティの脅威に対する意識調査」「情報セキュリティの倫理に対する意識調査」の報告書を公開しました。これは、情報セキュリティ対策の実施状況、情報発信に際しての意識、法令遵守に関する意識等を調査するもので、2005年から実施しています。

両調査は、13歳以上のパソコンおよびスマートデバイスのインターネット利用者を対象にアンケートを行い、パソコン経由で5,000人、スマートデバイス経由で3,500人から有効回答を得ました。

「脅威に対する意識調査」では、「パスワードは誕生日など推測されやすいものを避けて設定している」「パスワードは分かりにくい文字(8文字以上、記号含む)を設定している」は、前回調査同様、パソコン利用者全体の半数以上が実施しています。しかし、10代ではそれぞれ36.4%、39.2%、パソコンに習熟していない層(レベル1)では、それぞれ36.6%、29.5%を示し、若年層およびパソコンの習熟度が低い利用者は適切なパスワードを設定していない傾向が示されました。

「倫理に対する意識調査」では、インターネット上に投稿経験がある利用者に「悪意ある内容の投稿をしたことがあるか」を調査したところ、パソコン利用者では4.2ポイント減少(前回調査比)したものの、スマートデバイス利用者は3.4ポイント増加(前回調査比)した。そこで、スマートデバイス利用者に、悪意ある投稿の理由を聞いたところ、「相手に仕返しをするために」「人の意見に反論したかったから」「炎上させたくて」といった回答を多く寄せており、悪意ある投稿をするスマートデバイス利用者が増加し、倫理意識の低下傾向があることが明らかになりました。

IPAが「2014年度情報セキュリティに対する意識調査」報告書を公開(セキュリティニュース)

クラウドサービスからの意図しない情報漏洩に注意喚起

2月20日、独立行政法人 情報処理推進機構(IPA)は、クラウドサービス利用時の意図しない情報漏洩について注意喚起しました。

これは、ネット上の翻訳サービスに入力した文章が、ネット上にそのまま公開されていたことが明らかになった問題を受け、ユーザーのクラウドサービス利用時の心構えについて解説したもので、IPAでは、クラウドサービス利用時の利用者の心構えとして、以下の2点を挙げています。

・利用に際して、信頼できるサービスであるかどうかを慎重に検討し、提供されるサービスの機能や仕様を十分に確認する。
・一旦、預けた情報や書き込んでしまった内容は、自分のコントロールが及ばないことになるリスクを認識して、利用するかどうかを判断する。

また、サービス事業者側が考慮すべき点として、以下の3点を挙げています。

・利用者に対して提供するサービスの機能や仕様を判りやすく提示する。
・サービス提供において入手した情報の扱いについて方針を示す。
・サービス上に対応窓口などの連絡先を明記し、利用者からの問い合わせに適切に対応する。

プレス発表 【注意喚起】クラウドサービスに入力した内容の意図しない情報漏えいに注意(IPA)
ネット翻訳で情報流出? 望まぬ結果もたらす「サービスの既定値」に注意(セキュリティ通信:So-netブログ)
翻訳サイトに入力した内容が公開状態に、IPAがクラウドサービス利用について注意喚起(INTERNET Watch)
「公開するつもりがないのに漏れていた!?」を防ぐ、クラウドサービスの安全な利用方法を聞いてみた(辻 伸弘のセキュリティ防衛隊)

楽天を偽装したサイトや迷惑メール等に注意喚起

「楽天」や「楽天市場のショップ」を偽装したサイトや迷惑メールが確認されているとして、楽天はヘルプページを更新し、ユーザーに注意を呼びかけています。

2月24日に更新された内容によれば、「楽天」や「楽天市場のショップ」を偽装したサイトが確認されています。偽サイトは、「楽天」や「楽天市場のショップ」とはURLがまったく異なるものの、ページをそのままコピー(偽装)しているため、見た目で偽物と区別することは困難で、さらに、(URLが楽天市場とは違っていても)検索結果に「楽天」と記載されて表示されるケースがあります。

ユーザーが偽サイトで買い物をしようとすると、偽のフォームが表示され、個人情報の入力を求められ、中には、クレジットカードのセキュリティコードを入力させるケースもあるということです。偽サイトの数は、同社が確認したものとユーザーから報告のあったものをあわせると2,700件を超えており、同社はサイトのURL一覧を公開した上で、偽サイトへのアクセスや、会員IDやパスワードなど、個人情報の入力を行わないよう注意を呼びかけています。

また、2月10日以降、注文確認やキャンセル処理催促、料金未払い訴訟勧告などを装った迷惑メールが報告されています。これは、「myinfo@rakuten.co.jp」という差出人から「2015/2/10日付ご注文№******」などといった件名で送られてくるもので、「invoice_10_02_2015.rtf」というファイルが添付されています。

こうしたメールは、楽天市場から送信したものではないため、楽天は、添付ファイルなどを開かないよう注意を呼びかけています。

【楽天市場】ヘルプ
ショッピングサイトの偽装メール・偽装サイトに注意、詐欺被害の恐れ(セキュリティ通信:So-netブログ)

関連キーワード:
  • IPAがクラウドサービスからの意図しない情報漏洩に注意喚起
  • カテゴリートップへ
  • IPAが基本的なセキュリティ対策の実施を呼びかけ