2015年3月のIT総括

2015年3月に話題となったIT関連のトピックスにつき、概要と参考URLを記していきます。

IPAが基本的なセキュリティ対策の実施を呼びかけ

3月2日、独立行政法人 情報処理推進機構(IPA)は「2015年3月の呼びかけ」を公開し、基本的なマルウェア対策である「OS、ソフトウェアのアップデート」や「セキュリティソフトの導入」を実施していない人が、3割程度存在するとして実施を呼びかけました。

これは、「2014年度 情報セキュリティの脅威に対する意識調査」の結果を受けて発表されたもので、Windows Updateなどのアップデートを実施している人は約67%、ウィルス対策ソフトを導入している人は約74%という結果でした。

IPAでは、基本的なセキュリティ対策のポイントとして以下の3点を挙げています。

(1)ウィルス感染による被害への対策
(2)万が一の被害(故障、紛失、盗難)への対策
(3)インターネットを安全に利用するための対策

IPAが基本的なセキュリティ対策の実施を呼びかけ(セキュリティニュース)

2月のフィッシング報告件数は約4分の1以下に減少

3月2日、フィッシング対策協議会は、2015年2月の月次報告書の中で、フィッシング報告件数が498件(対前月比1,658件減)、攻撃者がユーザーを誘導するフィッシングサイトのURL件数は309件(対前月比90件減)と減少傾向が見られることを明らかにしました。また、フィッシングに悪用されたブランド件数は、11件(対前月比4件増)でした。

フィッシングに悪用されたブランドの種別を見ると、オンラインゲームをかたるフィッシングの報告件数の割合が全体の85%以上を占めており、同協議会は、3月以降も引き続き、オンラインゲームをかたるフィッシングメールが続く可能性があるとして注意を呼びかけました。

2月のフィッシング報告件数は約4分の1以下に減少(セキュリティニュース)

アップルがOS X向けのセキュリティアップデート「2015-002」とiOSの最新版「8.2」を公開

3月9日(米国時間)、アップル社は、OS Xのセキュリティアップデート(「2015-002」)、およびiOSの最新版「iOS 8.2」を公開しました。いずれも深刻な脆弱性が修正されており、通称「FREAK」と呼ばれるSSL/TLS実装の脆弱性も修正されています。

「2015-002」は、OS X 10.10(Yosemite)、10.9(Mavericks)、10.8(Mountain Lion)に対応。任意のコードが実行されるおそれのある深刻な脆弱性や、SSL/TLSで保護されたデータが解読されるおそれのある「FREAK」の脆弱性も修正されています。

また、「iOS 8.2」はiPhone 4s以降、iPad 2以降、第5世代のiPod touchに対応します。いずれも、対象となるユーザーは早急な適用が推奨されます。

アップルがOS X向けのセキュリティアップデート「2015-002」とiOSの最新版「8.2」を公開(セキュリティニュース)

IPAが4月30日に公式サポートを終了する「Java SE 7」に注意喚起

3月11日、独立行政法人 情報処理推進機構(IPA)は、「Java SE 7」が4月30日に公式サポートを終了するとして、ユーザーに対して注意喚起しました。

サポートが終了すると、脆弱性が発見されてもそれを解消するアップデートが行われなくなり、脆弱性を狙った攻撃に対して危険な状態となります。ユーザーは、パソコン内のソフトウェアが最新の状態かどうか、「MyJVNバージョンチェッカ」などのツールを用いて確認するとともに、Javaのダウンロードページから最新版にアップデートすることが推奨されます。

4月30日に「Java SE 7」が公式サポートを終了するとIPAが注意喚起(セキュリティニュース)

開発者向けの安全対策のポイント「安全なウェブサイトの作り方」改訂第7版が公開

3月12日、独立行政法人 情報処理推進機構(IPA)は、Webサイトの開発者や管理者向けにセキュリティ対策のポイントを解説した「安全なウェブサイトの作り方」の改訂第7版を公開しました。IPAのWebサイトからPDF形式でダウンロードできます。

第7版での改訂は、前回改訂(2012年)以降問題となった、DNSを狙った攻撃やパスワードリスト攻撃、クリックジャッキング攻撃や、新たな手口への有効な対策が追加されています。また、保存している利用者等のパスワードの漏えいに備える対策も提示しています。

特に、パスワードリスト攻撃対策として、パスワードにソルトと呼ばれる文字列を付して計算したハッシュ値にし、見かけ上のパスワードを長くすることで、パスワード復元までの時間を非現実的な長さに延ばす対策を推奨しています。これにより、万一、パスワードが漏えいしても、パスワードリスト攻撃等への悪用防止効果が期待できるということです。

開発者向けの安全対策のポイント「安全なウェブサイトの作り方」改訂第7版が公開(セキュリティニュース)

IPAがネットワーク対応機器利用時のセキュリティ上の注意点を公開

3月17日、独立行政法人 情報処理推進機構(IPA)は「ネットワーク対応機器を利用する際のセキュリティ上の注意点」を公開しました。

これは、複合機、Webカメラ、情報家電、NAS(ネットワーク接続型ハードディスク)など、様々な機器がインターネットに接続され利便性が高まっている反面、不正にアクセスされるリスクも高まっていることから、適切なセキュリティ対策を行うよう呼びかけたものです。

IPAは、対応策として、設置している機器の説明書にあるセキュリティ設定を確認するとともに、機器の特性や業務上のリスクを勘案し、以下の観点に沿った対策を実施するよう、システム管理者に呼びかけています。また、機器の管理者は、機器メーカーからファームウェアなどのアップデートが提供された場合は、すみやかに適用し、脆弱性への対応を行うことが求められます。

(1)管理対象の機器を正確に把握
(2)機器のパスワード等のアクセス制限の設定
(3)ネットワークでの保護

IPAがネットワーク対応機器の利用時のセキュリティ上の注意点を公開(セキュリティニュース)

「マンガでわかるフィッシング詐欺対策5ヶ条」が公開

3月30日、フィッシング対策協議会は、「マンガでわかるフィッシング詐欺対策5ヶ条」を公開しました。

これは、フィッシング詐欺やネットバンキングの不正送金被害の増加に伴い、一般の利用者向けのセキュリティ対策として、フィッシングの被害にあわないための以下の対策を分かりやすく解説したものです。

(1)パソコンやモバイル端末は、安全に保ちましょう。
(2)不審なメールに注意しましょう。
(3)電子メールにあるリンクはクリックしないようにしましょう。
(4)不審なメールやサイトは報告しましょう。
(5)銀行やクレジットカード会社の連絡先リストを作りましょう。

なお、当ブログでもフィッシング対策を解説する記事(→リンク)やネットバンキングの不正送金被害を防ぐポイントを解説する記事(→リンク)を公開しているので、こちらも一読をおすすめします。

マンガでわかるフィッシング詐欺対策 5 ヶ条(フィッシング対策協議会)
マンガでわかるフィッシング詐欺対策 5 ヶ条公開のお知らせ(フィッシング対策協議会)

関連キーワード:

FREAK

IPA

クリックジャッキング攻撃

パスワードリスト攻撃

フィッシング

マルウェア

漏えい

脆弱性

  • POSシステムを標的としたマルウェア「ポセイドン」による攻撃を確認
  • カテゴリートップへ
  • IPAがスマートフォンのワンクリック詐欺の新手口に注意喚起