2015年7月のIT総括

2015年7月に話題となったIT関連のトピックスにつき、概要と参考URLを記していきます。

IPAが「秘密の質問」の利用上の注意点を呼びかけ

7月1日、独立行政法人 情報処理推進機構(IPA)は、「2015年7月の呼びかけ」を公開し、「秘密の質問」を利用する際の注意点を呼びかけました。

秘密の質問は、インターネットの各種サービスにおいて、パスワードを忘れたときや、本人確認の際などに用いられる機能で、「質問」とそれに対応する本人しか知らない「答え」を設定するもの。この秘密の質問の答えが第三者から推測されることにより、アカウントを乗っ取られる事例が報じられています。

そこでIPAは、ユーザーに対し、利用するサービスにおいて、「秘密の質問の設定があるかの確認」「ワンタイムパスワードによる二段階認証など、複数の本人確認方法があるかの確認」「複数ある場合は、秘密の質問以外の方法に変更または併用の検討」を推奨しています。

そして、「秘密の質問」の「答え」を、「答え」+「共通フレーズ」のように、第三者に推測されにくい文字列を追加することや、異なるサービスで同じ「答え」にならないよう、「サービス名の一部」を文字列に加えるなど、第三者から推測されにくい内容にするよう呼びかけています。

IPAが「秘密の質問」の利用上の注意点を呼びかけ(セキュリティニュース)

金融機関をかたるフィッシングの件数は減少傾向にあるものの、7月も引き続き注意が必要

7月1日、フィッシング対策協議会は、2015年6月の月次報告書を公開しました。

これによると、報告件数は494件と前月より1,031件減少し、攻撃者がユーザーを誘導するフィッシングサイトのURL件数も213件と前月より81件減少するなど、いずれも5月に比べて減少傾向にありました。

一方で、5月初旬より、大手金融機関をかたり、SMS(ショートメッセージサービス)を用い、銀行のフィッシングサイトに誘導する手口が確認されています。金融機関をかたるフィッシングの報告件数そのものは減少傾向にあるものの、今後も引き続き金融機関をかたるフィッシングメールが送信される可能性があるとして、同協議会は注意を呼びかけています。

金融機関をかたるフィッシングの件数は減少傾向にあるものの、7月も引き続き注意が必要(セキュリティニュース)

「シティバンク銀行」「ジャパンネット銀行」「PayPal」をかたるフィッシングが確認される

7月6日から8日にかけて、複数の金融機関やインターネット決済サービスをかたるフィッシングメールが出回っているとして、フィッシング対策協議会は相次いで注意を呼びかけました。

これによると、ジャパンネット銀行は、SMS(ショートメッセージサービス)を悪用し、パスワードが翌日に失効するため、メンテナンスサイトからパスワードの更新を行うよう促す文面が送信されました。

また、シティバンク銀行をかたる手口では、アカウントの安全性を高めるための措置と称して、メール本文に記載されたURLをクリックさせようとします。

そして、PayPalをかたる手口では、「アカウントが一時的に停止します」という件名で、本文には「セキュリティ上の理由でアカウントを一時停止している」と、本文に記載されたログイン先でログイン情報を入力させようとします。

ユーザーは、メールに記載されたURLをクリックするなどしてフィッシングサイトにアクセスしないよう慎重な対応が求められます。

「シティバンク銀行」「ジャパンネット銀行」「PayPal」をかたるフィッシングが確認される(セキュリティニュース)

IPAの注意喚起メールを騙った不審なメールが確認される

7月17日、独立行政法人 情報処理推進機構(IPA)は、IPAの名前を騙った不審なメールが確認されたとして注意を呼びかけました。

メールは、IPAのセキュリティ対策情報のメールニュースを模した内容になっており、本来添付されないはずのファイル(zip圧縮ファイル)が付されていました。IPAの解析によると、これはウィルス感染を目的としたファイルであるとのこと。

また、メールの件名と本文はIPAが公開している実在のWebページを元に作成されており、添付ファイルの開封を促すような文面で、送信元はフリーアドレスだったということです。

IPAでは、こうした不審メールの手口が広がる可能性を懸念しており、特に、IPAのセキュリティ対策情報のメールニュースを利用しているユーザーに対し、ファイルが添付されたメールや、フリーアドレスから送信されたメール、HTML形式のメールなどは、不審なメールの可能性があるとして注意するよう求めています。

IPAの注意喚起メールを騙った不審なメールが確認される(セキュリティニュース)

マイクロソフトが定例外のセキュリティ更新プログラム(MS15-078)を公開

7月21日、マイクロソフトは、定例外のセキュリティ更新プログラム(MS15-078)を公開しました。

これは、WindowsのOpenTypeフォントドライバーの脆弱性(CVE-2015-2426)を修正したもので、この脆弱性が悪用されると、攻撃者によってユーザーに特別な細工がされた文書を開かせたり、埋め込まれたOpenTypeフォントを含む、信頼されていないWebページにアクセスさせたりすることで、パソコンを制御される可能性があります。

この脆弱性の影響を受けるOSは、「Windows Vista」「Windows 7」「Windows 8および8.1」「Windows RT」や、「Windows Server 2008」以降など、同社が現在サポートしているすべてのWindowsが対象です。ユーザーは、速やかに更新プログラム(MS15-078)を適用することが推奨されます。

マイクロソフトが定例外のセキュリティ更新プログラム(MS15-078)を公開(セキュリティニュース)

Androidに端末乗っ取りの危険性のある脆弱性が報じられる

Android端末に極めて深刻な脆弱性が報じられました。これは、端末の電話番号さえわかれば、細工を施したテキストメッセージを送りつけるだけで(ユーザーが受信しただけで)、悪意あるコードが実行され、端末が乗っ取られる恐れがあるというものです。

脆弱性はAndroidに組み込まれた「Stagefright」というメディアライブラリに存在し、攻撃者がこの脆弱性を悪用すると、悪意あるコードが仕込まれたテキストメッセージを送付することなどにより、端末側のサンドボックスなどのセキュリティ機構をかわし、ユーザーが特に手動でメッセージを開いたり、リンクをクリックしたりしなくても、受信しただけで攻撃を実行される恐れがあります。

記事によれば、脆弱性はバージョン2.2以降のすべてのAndroidに存在し、95%のAndroid端末が脆弱性の影響を受けるとのこと。脆弱性を発見した研究者は、この問題を4月にGoogle社に報告し、Google社は直ちに修正のための更新プログラムを端末メーカーやキャリアに提供していますが、ユーザーへの配信時期や方法などの具体的対応は各社に任されているのが現状です。

Androidに端末乗っ取りの危険性のある脆弱性が報じられる (セキュリティニュース)

総務省が「Webサービスに関するID・パスワードの管理・運用実態調査結果」を公表

7月30日、総務省は、Webサービスを提供する企業におけるID・パスワードの管理・運用実態についての調査結果を公表しました。この中で、総務省は、ID・パスワードの管理・運用実態として以下の4つのポイントを挙げています。

(1)パスワードとして利用可能な文字種(大文字・小文字・数字・記号)について、約9割のサービスで3種類以上の文字種をパスワードとして利用可能となっている。

(2)パスワードとして設定可能な最大桁数が12桁未満のサービスが約4分の1存在し、利用者が長いパスワードを設定したい場合に設定できない状況になっている。

(3)全体で4割以上のサービスで、パスワードの文字列の内容を別の文字列に不可逆的に変換する「ハッシュ化」を実施しておらず、無料のサービスでは7割が実施していない。

(4)ブルートフォース攻撃の対策の1つである、「同一IDからのログイン失敗回数制限」は8割以上が実施している一方、リバースブルートフォース攻撃への対策の1つである、「同一IPアドレスからのログイン試行回数制限」の実施率は約4割にとどまっている。

なお、不正ログイン被害経験の有無について、回答企業の32%が、なんらかの被害を受けた経験があると回答しました。

調査は2015年2月〜3月に行われ、金融・クレジットカード、通販・物品購入、オンラインゲーム、交通・運輸・旅行、情報配信・提供、通信・放送・報道などの業種に該当する200弱の企業に調査への協力を依頼。最終的に協力を得られた28社からの回答を集計しました。

ウェブサービスに関するID・パスワードの管理・運用実態調査結果(総務省)

関連キーワード:

Android

IPA

SMS

Stagefright

インターネットバンキング

セキュリティ更新プログラム

フィッシング対策協議会

フィッシング詐欺

偽装メール

秘密の質問

脆弱性

  • Active Directoryとは
  • カテゴリートップへ
  • 8月は金融機関をかたるフィッシングに加え、オンラインゲームのフィッシングに引き続き注意を