2016年2月のIT総括

2016年2月に話題となったIT関連のトピックスにつき、概要と参考URLを記していきます。

NISCがTwitterとLINE公式アカウント「NISC@サイバー天気予報」を開設

「サイバーセキュリティ月間」に伴う啓発活動の一環として、内閣サイバーセキュリティセンター(NISC)は、2月1日、Twitterの専用アカウント(@nisc_forecast)を開設、2月4日には、コミュニケーションアプリ「LINE」の公式アカウント「NISC@サイバー天気予報」(@nisc-forecast)も開設しました。

同公式アカウントでは、アップデート情報などのセキュリティ関連情報や、サイバーセキュリティに関連するブログ等の読み物に関する情報などを発信し、SNSの利用者層に向けた情報発信を強化するということです。

NISCがTwitterとLINE公式アカウント「NISC@サイバー天気予報」を開設(セキュリティニュース)

グーグルが「セキュリティ専門家と一般ユーザーのセキュリティ対策の違い」を紹介

2月1日、グーグルは「セキュリティのエキスパートとそうでない人のセキュリティ対策比較」という調査結果を公表しました。これは、昨年7月に発表した同論文の概要を紹介したもので、セキュリティ専門家231人と一般のインターネットユーザー294人に対して行った調査結果から、「オンラインにおける安全性を確保するために行っている対策」に関する判断の違いと理由をまとめています。

「パスワードの管理」では、一般ユーザーが「強固なパスワードを使う」「頻繁にパスワードを変える」を挙げたのに対し、専門家は、「サービスごとにユニークなパスワードを使う」「強固なパスワードを使う」を挙げました。また、パスワード管理ソフトを使うと回答した専門家は73%にのぼっている一方、パスワード管理ソフトを使う一般ユーザーは24%と、3倍近い数値の開きがありました。

「ソフトウェア アップデート」「アンチウイルス ソフトの使用」では、専門家の35%が「ソフトウェア アップデート」を最も重要なセキュリティ対策として挙げたのに対し、同項目を最も重要とした一般ユーザーはわずか2%と大きな開きが出る結果となりました。

グーグルが「セキュリティ専門家と一般ユーザーのセキュリティ対策の違い」を紹介(セキュリティニュース)

グーグルがスマホユーザー向けに「まんが セキュリティ入門」を公開

2月10日、グーグルは、「まんが セキュリティ入門」を公開しました。これは、はじめてスマートフォンを持った主人公が、マドンナを異世界から連れ戻すストーリーを通じ、パスワード管理などアカウント情報を守るためのポイントや、スマートフォンを安全に利用するためのポイントが学べるようになっています。

コンテンツは、同社のサイトからPDF形式で閲覧(ダウンロード)が可能です。

グーグルがスマホユーザー向けに「まんが セキュリティ入門」を公開(セキュリティニュース)

IPAが「情報セキュリティ10大脅威 2016」を発表

2月15日、独立行政法人 情報処理推進機構(IPA)は、「情報セキュリティ10大脅威 2016」の順位を発表しました。これは、2015年に発生した情報セキュリティの事故・事件のうち、社会的に影響が大きかったと考えられる脅威から、トップ10を選出したものです。

今回より、影響を受ける対象の違いから「個人別」「組織別」という新たに2つの分類で10大脅威を選出し、個人と組織の総投票数から総合順位が選出されています。個人別のトップ10の内訳は以下の通りでした(カッコ内は総合順位)。

1位 「インターネットバンキングやクレジットカード情報の不正利用」(1位)
2位 「ランサムウェアを使った詐欺・恐喝」(3位)
3位 「審査をすり抜け公式マーケットに紛れ込んだスマートフォンアプリ」(7位)
4位 「巧妙・悪質化するワンクリック請求」(9位)
5位 「ウェブサービスへの不正ログイン」(5位)
6位 「匿名によるネット上の誹謗・中傷」(ランク外)
7位 「ウェブサービスからの個人情報の窃取」(4位)
8位 「情報モラル不足によるサイバー犯罪の低年齢化」(ランク外)
9位 「職業倫理欠如による不適切な情報公開」(ランク外)
10位 「インターネットの広告機能を悪用した攻撃」(ランク外)

IPAによると、今回発表した「情報セキュリティ10大脅威 2016」の詳しい解説資料が、3月に公開される予定です。

IPAが「情報セキュリティ10大脅威 2016」を発表(セキュリティニュース)

GNU Cライブラリ(glibc)にバッファオーバーフローの脆弱性(CVE-2015-7547)が確認される

2月17日、UNIX互換のフリーソフトウェアの実装を推進するGNUプロジェクトによる標準Cライブラリ (glibc:ジーリブシー)にバッファオーバーフローの脆弱性(CVE-2015-7547)があることが明らかになりました。

JPCERTコーディネーションセンター(JPCERT/CC)やJVNによると、glibcのバージョン2.9およびそれ以降のバージョンには、IPアドレスの名前解決に使用されるライブラリ関数「getaddrinfo()」にバッファオーバーフローの脆弱性が存在します。脆弱性を悪用されると、遠隔の第三者によって任意のコードを実行されたり、サービス運用妨害(DoS)攻撃が行われたりするなどの可能性があります。

glibc管理者により、本脆弱性(CVE-2015-7547)が修正された更新プログラムが公開されており、JPCERT/CCでは、十分なテストを実施の上、適用を検討するよう呼びかけています。また、Linuxディストリビューションによっては対策パッケージが提供されているところもあるため、使用中のディストリビューターなどの情報を参照し、修正済みバージョンの適用を検討することも併せて呼びかけています。

GNUプロジェクトのCライブラリ(glibc)にバッファオーバーフローの脆弱性(CVE-2015-7547)が確認される(セキュリティニュース)

IPAがセキュリティ注意喚起情報をサイトに表示する「icat for JSON」を公開

2月22日、独立行政法人 情報処理推進機構(IPA)は、サイバーセキュリティ注意喚起サービス「icat for JSON」を公開しました。これは、IPAが公開していたicat(アイキャット)について、サイト閲覧にAdobe Flash Player必要としないツールとして新たに公開されたものです。

従来の「icat」はFlash版で、これまで「icat」が埋め込まれたサイトを閲覧するためには、ユーザー側の環境にAdobe Flash Playerが必要でした。しかし「icat for JSON」はJavaScriptをベースに作られており、サイト閲覧にFlashを必要としないため、より安全な環境で利用できるということです。

IPAがセキュリティ注意喚起情報をサイトに表示する「icat for JSON」を公開(セキュリティニュース)

総務省が「官民連携による国民のマルウェア対策支援プロジェクト(ACTIVE)」を開始

2月26日、総務省は、マルウェア感染の対策を進める官民連携のプロジェクト「官民連携による国民のマルウェア対策支援プロジェクト」(Advanced Cyber Threats response InitiatiVE)を開始したと発表しました。略称は「ACTIVE」。

個人情報窃取を目的とするマルウェアやDDoS攻撃を行うマルウェアなどが大きな脅威となっており、被害を軽減するための新たな方策が求められています。そこで、総務省は、2月より、実証プロジェクト「ACTIVE」において、官民連携で被害を未然に防止する取組を開始しました。

具体的には、通信事業者に対し、ACTIVEで得られたC&Cサーバーの情報を共有し、マルウェアとC&Cサーバー間の通信を抑止するとともに、感染端末の利用者への注意喚起を行うことで被害を軽減するものです。

総務省|マルウェアに対する被害未然防止の実施(総務省)

関連キーワード:

IPA

サイバーセキュリティ月間

パスワード

マルウェア感染

ランサムウェア

内閣サイバーセキュリティセンター

脆弱性

  • IPAがセキュリティ注意喚起情報をサイトに表示する「icat for JSON」を公開
  • カテゴリートップへ
  • 2015(平成27)年のネットバンキング不正送金被害額は約30億円と過去最悪(警察庁)