2016年1月のIT総括

2016年1月に話題となったIT関連のトピックスにつき、概要と参考URLを記していきます。

ランサムウェア感染被害に備えた定期的なバックアップ取得を呼びかけ

1月5日、独立行政法人 情報処理推進機構(IPA)は、「2016年1月の呼びかけ」を公開し、ランサムウェア感染被害に備え、定期的なバックアップを行うことの重要性を訴えました。

ランサムウェアの感染経路には、大きく「メールからの感染」「Webサイトからの感染」があり、いずれの場合も、Webブラウザーやソフトウェアなどの脆弱性を悪用し、閲覧しただけで自動的にランサムウェアをインストールするドライブバイダウンロードの手口が用いられます。

ランサムウェアの被害に遭うと、ファイルが暗号化され開けなくなってしまいます。暗号化されたファイルの復元は困難なことから、IPAでは、個人、組織を問わず、被害を軽減する対策として、定期的なバックアップ取得の重要性を訴えています。保存するデータに応じてバックアップ先を使い分け、バックアップに使用する装置や媒体はバックアップ時のみパソコンと接続することや、バックアップから正常に復元できることを定期的に確認するといった注意点を挙げています。

ランサムウェア感染被害に備えた定期的なバックアップ取得を呼びかけ(セキュリティニュース)

ネットワーク対応のオフィス機器のセキュリティ状態を再点検するようIPAが注意喚起

1月6日、独立行政法人 情報処理推進機構(IPA)は、ネットワーク接続機能を備えた複合機等のオフィス機器のセキュリティ設定の再点検を呼びかけました。これは、機器内に保存されたデータが、意図せず外部から閲覧できる状態になっていたことが、学術関係機関において報じられたことを受けたものです。

インターネット接続機能を備えたオフィス機器は、他のIT機器と同様のセキュリティ設定が必要です。IPAでは、システム管理者に対し、オフィス機器の説明書に記載されたセキュリティ対策を確認するとともに、以下の観点に沿った対策を実施するよう呼びかけています。

(1)管理の明確化
(2)ネットワークによる保護
(3)オフィス機器の適切な設定

あわせて、機器メーカーから脆弱性対策情報(セキュリティパッチ)が提供された場合は、速やかに適用し、脆弱性への対応を行うことも呼びかけています。

ネットワーク対応のオフィス機器のセキュリティ状態を再点検するようIPAが注意喚起(セキュリティニュース)

不正アプリによる「スマホ乗っ取り」についてIPAが啓発映像を公開

1月12日、独立行政法人 情報処理推進機構(IPA)は、不正アプリによる「スマートフォン乗っ取り」の脅威と対策を解説する動画を、YouTube上の「IPA Channel」にて公開しました。

これは、不正アプリをインストールさせるための手口や被害に遭わないためのポイントを、デモ実演を交え説明する約6分間の動画です。不正アプリにスマホを乗っ取られないためのポイントとして、動画では、「アプリは信頼できる公式マーケットからしか入手しない」「インストール前の確認画面で、不自然なアクセス許可を求めるアプリは利用しない」ことを挙げています。

不正アプリによる「スマホ乗っ取り」についてIPAが啓発映像を公開(セキュリティニュース)

OpenSSHに情報漏えいの脆弱性(CVE-2016-0777)が報じられる

1月15日、SSHを用いた通信暗号化の仕組みである「OpenSSH」に情報漏えいの脆弱性(CVE-2016-0777)、および、特定の条件でバッファオーバーフローが発生する脆弱性(CVE-2016-0778)があることが報じられました。

OpenSSHは、LinuxやFreeBSDなどの「UNIX系OS」をはじめとするOSで、サーバーとクライアント間の通信を暗号化するために幅広く用いられています。脆弱性の影響を受けるシステムは、OpenSSH 5.4から7.1p1までのバージョンで、悪意あるサーバーあるいは第三者に乗っ取られたサーバーにSSHでログインすることで、SSH秘密鍵を含む機密情報を取得されたり、設定によっては任意のコードを実行されたりする可能性があります。

OpenSSHの作者は最新のバージョン「7.1p2」を公開し、問題の脆弱性に対応しています。サーバー管理者やプログラム開発者は、脆弱性への対策として、OpenSSHを用いる各ソフトウェアベンダーの情報をもとに、最新版へアップデートすることが推奨されます。

OpenSSHに情報漏えいの脆弱性(CVE-2016-0777)が報じられる(セキュリティニュース)

2015年の最も破られやすいパスワードは前年同様「123456」

1月19日、米スプラッシュデータ社は、2015年版の「破られやすいパスワード(Worst Passwords)」のランキングを発表しました。これは、インターネットユーザーが使用するパスワードに「よく使われている文字列」のランキングを毎年発表しているものです。

これによると、ワースト1は、2013年、2014年につづき「123456」で第2位は「password」でした。この順位は昨年と変わらず、また、同社が年次ランキングを集計するようになった2011年版以降、この2つが常にトップを占め続けています。

3位は「12345678」、4位はキーボード配列そのままの「qwerty」、5位は「12345」でした。また、「123456789」(6位)などの数字の単純な羅列や、「football」(7位)、「baseball」(10位)など好きなスポーツをパスワードにしたもの、「starwars」(25位)といった流行を反映した文字列もランクインしています。

・(英文)スプラッシュデータ社の当該プレスリリース
最もよく使われている危険なパスワードトップ25リスト、年度ごとにパスワードにも流行があることも明らかに(GIGAZINE)
安易なパスワードの2015年版ランキング、上位は?(ITmedia)
安心なパスワード管理の方法について聞いてみた(辻 伸弘のセキュリティ防衛隊)

JPCERT/CCがカメラや複合機等の「ネットワーク接続機器」の設定に注意呼びかけ

1月22日、一般社団法人 JPCERTコーディネーションセンター(JPCERT/CC)は、「ネットワークに接続されたシステム・機器の設定には注意を」という注意喚起を公開しました。

これは、ネットワーク接続機能を備えたWebカメラや複合機などの機器が、インターネット経由で遠隔の第三者から意図せずアクセスされる事例が相次いで報じられていることを受けたものです。JPCERT/CCは、意図しない第三者からのアクセスに対する代表的な事例として、「ネットワークカメラ」「複合機」「データベースシステム」を挙げ、自組織で利用しているシステムや機器のソフトウェアやファームウェアなどのアップデートを行うことや、インターネットに接続しているシステム・機器のセキュリティに関する設定が意図したものになっているかの確認を行うことを推奨しています。

・適切なパスワードを設定する、および認証機能を有効にする
・アクセスが必要な IP アドレスを制限するなどのネットワークの設定を適切に行う
・ソフトウェアを定期的にアップデートする

注意喚起「ネットワークに接続されたシステム・機器の設定には注意を」(JPCERT/CC)
ネットワークカメラなどの意図せぬ公開に注意、設定の再確認を〜JPCERT/CCが呼び掛け(INTERNET Watch)

LINEが「アカウント引き継ぎ」方法を2月上旬より変更

1月27日、LINEは、スマホ等の機種変更に伴う「アカウント引き継ぎ」方法について、従来の「PINコード」に替わる新方式を2月上旬より導入すると発表しました。LINEでは、なりすましなどの不正ログイン対策として、「PINコード」とよばれる本人を確認するための4ケタの暗証番号を用いるセキュリティ強化策を2014年7月より導入していました。

具体的な引き継ぎ方法は、購入前に旧端末で以下のような引き継ぎの事前準備をします。

(1)「登録したメールアドレス」を確認(未登録の場合は登録する)
(2)「パスワード」を確認(同上)
(3)「機種変更後に電話番号が変更になる場合」「Facebookログインを利用していて、かつスマートフォンが変更となる場合」のいずれかの場合は、旧端末で事前に「引き継ぎの許可」設定をする(この設定は購入当日に行う)

購入後は、新端末で登録したメールアドレスとパスワード、電話番号を入力し、SMSで受信した4ケタの認証番号を入力することで「アカウント引き継ぎ」が完了するとのことです。

【重要/変更】2016年最新版 LINEのアカウントを引き継ぐ方法(LINE公式ブログ)

関連キーワード:
  • 2015年の最も破られやすいパスワードは前年同様「123456」
  • カテゴリートップへ
  • グーグルが「セキュリティ専門家と一般ユーザーのセキュリティ対策の違い」を紹介