2015年9月のIT総括

2015年9月に話題となったIT関連のトピックスにつき、概要と参考URLを記していきます。

iPhone人気に便乗した詐欺手口に注意喚起

9月1日、独立行政法人 情報処理推進機構(IPA)は、「2015年9月の呼びかけ」の中で、「iPhone人気」に便乗した詐欺手口に注意を呼びかけました。これは、「Webサイトの閲覧中にiPhoneがもらえるというメッセージが表示された」「iPhoneがウィルスに感染したという警告が表示された」といった相談が寄せられていることを受けたもの。

IPAによると、こうした手口は、正規のアップル社のサイトに見せかけたフィッシングサイトで個人情報を入力させようとするフィッシング詐欺や、セキュリティアプリのインストールを促す偽の警告と考えられます。ユーザーは、表示されたメッセージの内容を鵜呑みにせず、すぐにWebサイト(ブラウザのタブ)を閉じることが大切です。

iPhone人気に便乗した詐欺手口に注意喚起(セキュリティニュース)

2015年上半期のネットバンキング不正送金被害額は約15.4億円

9月3日、警察庁は、2015年上半期のインターネットバンキング不正送金事犯の発生状況を公表しました。これによると、発生件数は754件、被害額は約15億4,400万円と、被害が減少していた昨年下半期から、再び増加に転じました。

また、信用金庫・信用組合、農業協同組合、労働金庫などに被害が拡大している点も特徴で、特に信用金庫・信用組合は昨年下半期の約4,800万円から約5億3,100万円と、被害額が10倍以上に増加しています。

被害を受けた金融機関(144金融機関)の内訳は、都市銀行が11、地方銀行が34、信用金庫77、信用組合5、農協14、労働金庫3でした。なお、被害額の内訳は、個人口座が約10億4,600万円、法人口座が約4億9,800万円でした。

2015(平成27)年上半期のネットバンキング不正送金被害額は約15.4億円と増加傾向(警察庁)(セキュリティニュース)

IPA、脆弱性届出から"1年以上開発者と連絡がとれない"情報を公開

9月3日、独立行政法人 情報処理推進機構(IPA)は、「脆弱性関連情報届出制度」の情報公開に関する新たな運用を開始しました。これは、IPAに発見・届出が寄せられたソフトウェアの脆弱性情報のうち、届出から1年以上開発者と連絡がとれない脆弱性情報を公開するというもの。

こうした「届出から1年以上開発者と連絡がとれない脆弱性」は、1割弱存在しており、「開発者に連絡がとれないことにより、指摘された脆弱性の修正パッチ等が提供できない」「利用者が長期にわたり脆弱性の存在を認識できないままソフトウェアを使い続けてしまう」といった問題点に対応するため、新たな運用が開始されました。

これらの情報は今後、IPAのWebサイトの「重要なセキュリティ情報」欄においても「連絡不能公表」として掲出されます。

IPA、脆弱性届出から"1年以上開発者と連絡がとれない"情報を公開(セキュリティニュース)

IBMが「メール添付型のマルウェアの通信を多数検知」と発表

9月4日、日本IBMは、同社のセキュリティ・オペレーション・センター(SOC)において「2015年上半期Tokyo SOC情報分析レポート」を発表しました。これは、主に国内の企業環境に影響を与える脅威の動向をまとめ、半年ごとに公表されるレポートです。

この中で、メール添付型のマルウェアの通信を多数検知したことが明らかにされました。また、約40%の組織でドライブバイダウンロード攻撃が確認されているということです。そして、GHOSTFREAKLogjamなどの新たな脆弱性が発見されるとともに、2014年に発見されたShellshockHeartbleedも継続して攻撃が検知されています。

同レポートは、同社のサイトから入手可能です。

IBMが「メール添付型のマルウェアの通信を多数検知」と発表(セキュリティニュース)

「フィッシングレポート 2015」が公開される

9月10日、フィッシング対策協議会は、「フィッシングレポート 2015 〜 進む対策、利用者としてできること 〜」を公開しました。

フィッシングの被害は2013年に急増し、2014年はさらに件数が増加、被害が深刻化しています。中でもオンラインゲームを騙るフィッシング報告が増加しているという特徴がある。

また、警察庁の発表によれば、インターネットバンキング利用者の口座情報をマルウェアに感染させたPCなどから盗み取り、不正送金する手口がさらに悪質・巧妙化しています。同協議会の統計でも、金融機関を騙るフィッシングの届出件数は2015年に入ってからも増え続けており、警戒すべき状況が続いています。

レポートは、同協議会のサイトよりPDF形式で入手可能です。

「フィッシングレポート 2015」が公開される(セキュリティニュース)

JNSAがマイナンバー対応のための企業向け情報サイトを開設

9月18日、日本ネットワークセキュリティ協会(JNSA)は、「マイナンバー対応のための情報ポータル(企業向け)」を開設しました。

マイナンバー制度の運用開始を前に、すべての民間企業はマイナンバーを取扱う際の業務プロセスや安全管理措置について検討する必要があります。こうした企業における取り組みを支援するのがこの情報サイトの目的で、マイナンバー対応のための公的情報や、業務プロセス・リスク分析シート、安全管理措置チェックシートなどのコンテンツが公開されています。

マイナンバー情報セキュリティ対策ポータル
マイナンバー対応の情報ポータル、JNSAが開設(ITmedia)

アップルが「XcodeGhost」問題でマルウェアに感染したアプリ25本を公開

9月24日、アップル社は、いわゆる「XcodeGhost」問題で、マルウェアに感染したアプリのうち、ユーザーの人気が高く影響が大きいと思われる25本を公表しました。

この問題は、アップルのアプリ開発ツール「Xcode」を改ざんした不正ツール(通称:XcodeGhost)バージョンが中国で出回り、不正なiOSアプリが大量に作成され、App Store上で公開されていた問題です。トレンドマイクロ社によると、「XcodeGhost」に感染したアプリは、情報を窃取するだけでなく、遠隔からアプリにプッシュ通知を送信できる機能を備え、詐欺やフィッシングなどの不正活動に利用される可能性があるとのことです。

アップル社は、改ざんされたXcodeで作られたアプリをAppStoreから削除するとの声明を発表し、すでに削除が始まっていますが、影響を受けたアプリの数がどの程度か、どの国にまで影響が及んでいるかなど、実態は不明で、米パロアルト・ネットワークス社は9月18日時点で39本、トレンドマイクロ社は9月24日付のブログで34本を確認したと発表しています。

・(英文)アップル社の発表
・(英文)パロアルト・ネットワークス社のブログ記事
「XcodeGhost」:iOS正規アプリの汚染はどのように起きたか(トレンドマイクロ セキュリティブログ)
Apple、マルウェア感染アプリ25本を公表(ITmedia)

関連キーワード:

IPA

JNSA

XcodeGhost

ネットバンキング

フィッシングサイト

フィッシング対策協議会

マイナンバー

マルウェア

不正送金

脆弱性

  • JNSAがマイナンバー対応のための企業向け情報サイトを開設
  • カテゴリートップへ
  • IPAがWindows 10へのアップグレード時の「ワンクリック詐欺対策」の設定見直しを呼びかけ