2016年8月のIT総括

2016年8月に話題となったIT関連のトピックスにつき、概要と参考URLを記していきます。

JPCERT/CCがパスワードの「使い回し」の危険性を訴えるキャンペーンを開始

8月1日、JPCERT コーディネーションセンターは「STOP!!パスワード使い回し!!キャンペーン2016」を開始、特設Webサイトを開設しました。

ユーザーがIDやパスワードなどの認証情報を複数のサービスで使い回していると、どれか一つのサービスから情報が流出した際に、他のサービスで不正にアクセスされる可能性が高まります。同サイトでは、認証情報の設定について、単純なパスワードを設定しないように注意するとともに、パスワードの使い回しをやめ、インターネットサービスで提供されているセキュリティ機能を活用することで、アカウントの安全性を高めることを推奨しています。

また、複数の異なる認証情報を効果的に保管する方法として「アカウント ID とパスワードを紙にメモして、人目に触れにくい場所で保管する」「パスワード付きのExcelファイルなどに保存する」「パスワード管理ツールを使用する」といった方法を推奨しています。

JPCERT/CCがパスワードの「使い回し」の危険性を訴えるキャンペーンを開始(セキュリティニュース)

プロキシの自動検出機能「WPAD」に存在する脆弱性「badWPAD」に研究者が注意喚起

Webブラウザーにプロキシの設定を自動配布するための技術「WPAD」(Web Proxy Auto-Discovery)に存在する脆弱性(「badWPAD」)について、8月5日、米国で行われたセキュリティーカンファレンス「Black Hat USA 2016」に登壇したセキュリティ研究者が幅広い攻撃の可能性を明らかにしました。

WPADは、インターネット接続を行う際、高速かつ安全な通信を実現するための中継サーバーである「プロキシサーバー」を、ブラウザーが自動的に設定する技術のことで、現在も多くのWebブラウザーに装備されています。WPADには、かねてよりDNSクエリ(名前解決のための処理要求)に脆弱性が存在することが指摘されていました。この脆弱性により、悪意ある第三者により中間者攻撃が行われる可能性があります。

セキュリティ研究者は、WPADが「有効」になっている状態で、悪意ある第三者が取得したドメインを通じ、個人情報などの機密情報を窃取することや、通信内容を改ざんするなどの攻撃の可能性を示しました。Webアクセスにプロキシを使わないインターネット環境にある企業やユーザーは、自動プロキシ設定機能を無効にするなどの対策を行うことが推奨されます。

プロキシの自動検出機能「WPAD」に存在する脆弱性「badWPAD」に研究者が注意喚起(セキュリティニュース)

国内のネットバンキングを狙うマルウェア「KRBANKER」に注意喚起

8月17日、トレンドマイクロ社は、国内のネットバンキングを標的にした新たなマルウェア「KRBANKER」の脅威が7月末から確認されたとして注意喚起しました。「KRBANKER」は、もとは韓国の金融機関を標的にしたネットバンキングのマルウェアで、国内のネットバンキングに攻撃対象を拡大してきたものと考えられます。

「KRBANKER」は、インターネット接続を行う際、ブラウザーに代わり通信を行うローカルプロキシサーバーとして動作します。ブラウザーからのアクセス要求に対し、不正な結果を返答することにより、標的となる金融機関のドメインにアクセスする際に、偽サイトへと通信をリダイレクトさせ、そこで入力された認証情報の窃取を試みるということです。

また、特定の検索エンジンにアクセスすると、「金融監督庁」なる不正なポップアップが表示される手口も確認されました。金融監督庁は現存しない組織ですが、省庁名を騙ることでユーザーの不安を煽り、ポップアップに記載された金融機関をクリックさせ、偽サイトへと誘導させようとする手口です。

こうしたマルウェアは電子メール経由か、Webサイト閲覧により感染することが一般的です。ユーザーは、被害を未然に防ぐため、OSやアプリケーションソフトは最新の状態を保ち、セキュリティパッチを確実に適用して脆弱性を解消する、最新版のセキュリティソフトを利用し、ウィルス定義ファイルを最新の状態に保つといった基本的なマルウェア対策を継続することが推奨されます。

「金融監督庁」を偽装し国内8銀行のネットバンキングを狙う「KRBANKER」の新たな手口(トレンドマイクロ セキュリティブログ)
オンラインバンキング狙う新たな動き(マルウェア編)(セキュリティ通信:So-netブログ)
「金融監督庁」の偽表示などに注意、新たなバンキングトロイの感染多数(ITmedia)

NRIセキュアが「サイバーセキュリティ傾向分析レポート2016」を公開

8月18日、NRIセキュアテクノロジーズは、企業のサイバーセキュリティに関する動向を分析した「サイバーセキュリティ傾向分析レポート2016」を公開しました。2005年度以降、毎年発表しており、今回で12回目となります。

レポートでは、注目されるポイントに以下の4点を挙げており、同社のWebサイトからPDF形式でダウンロードが可能です。

(1)受信者が標的型攻撃に気づくことは難しく、メールを開封してしまう割合に大きな改善は見られない
(2)マルウェア付きメールの流入には多層にわたる防御策が重要。添付ファイルの拡張子による制御などでマルウェアの侵入リスクを効果的に低減できる場合がある
(3)Webアプリケーションが抱える危険度の高い脆弱性の約3/4は、機械化された検査では発見できない
(4)企業の管理部門が自社で管理すべき「外部向けWebサイト」の存在を把握できている割合は約半数。この割合は、3年間ほぼ同じ

NRIセキュアが「サイバーセキュリティ傾向分析レポート2016」を公開(セキュリティニュース)

トレンドマイクロが「Pokemon GO」の便乗アプリをGoogle Playでも確認

8月18日、トレンドマイクロ社は、人気アプリ「Pokemon GO」(ポケモンGO)に便乗したアプリについての調査結果をブログで公表しました。7月8日から20日の間、Android向け公式マーケット「Google Play」上で「Pokemon GO」もしくは類似する紛らわしいアプリ名を持つ便乗アプリを149件発見、合計で3,900万回以上ダウンロードされていたことが確認されました。

便乗アプリの多くはなんの機能も備えておらず、ユーザーに別のアプリをダウンロードさせるためのアドウェアであることがわかりました。便乗アプリの内訳は、約87%がアドウェア、約1%が偽アプリ、そして正規の機能を持つアプリはわずか約11%とのことです。

また、サードパーティのアプリマーケットを含めた調査によれば、8月16日時点で1,575件の便乗アプリが確認されました(うち238件が偽アプリ)。偽アプリや不正アプリの例としては、画面をロックしてユーザーを脅し、金銭や個人情報を収集する不正プログラムや、端末を遠隔操作するためのリモートアクセスツール(RAT)を感染させるものが挙げられます。

被害を未然に防ぐため、ユーザーは、モバイルOSを最新にしておくことに加え、開発元の明らかでないアプリやサードパーティのアプリマーケットからアプリをダウンロードしないことが推奨されます。

トレンドマイクロが「Pokemon GO」の便乗アプリをGoogle Playでも確認(セキュリティニュース)

「Dropbox」が一部のユーザーに対しパスワード変更を呼びかけ

8月25日、クラウドストレージサービス「Dropbox」は、特定の条件に当てはまるユーザーに対し、パスワード変更を求めていることを明らかにしました。

2012年半ば以前にユーザー登録をし、登録時からパスワードを変更していないユーザーが対象で、この措置は、2012年に漏えいしたユーザー認証情報(メールアドレスと、ソルトにより非可逆処理化されたパスワード)の存在が確認されたためということです。

今のところアカウントに対する不正アクセスは確認させていないものの、予防措置の一環として上記に該当するユーザーのパスワードをリセットし、次回ログイン時にパスワード変更を促したものです。該当するユーザーは、同社が説明する手順に従い、パスワードを変更することが推奨されます。

・(英文)パスワードリセットを伝えるDropboxのブログ記事
dropbox.com でパスワードの変更を促すメッセージが表示される理由と対応について(Dropbox)
Dropbox、一部ユーザーにパスワード変更を要求 2012年の情報流出に関連(ITmedia)
Dropbox、2012年以降パスワードを変更していないユーザーへ変更を求める、2段階認証も推奨(INTERNET Watch)


アップルがiOSの最新版「9.3.5」を公開

8月25日、アップル社は、iOSの最新版「iOS 9.3.5」を公開した。中核となるソフトウェア(カーネル)に存在する2件の脆弱性と、画面を表示するためのレンダリングエンジン「WebKit」に存在する脆弱性1件が修正されています。

これらの脆弱性は、カナダのトロント大学の研究機関Citizen Labと米国のセキュリティ企業であるルックアウト社から受けた報告に対応したものだと報じられています。報道によれば、アラブ首長国連邦の人権活動家が受信した不審なメッセージを共同で調査した結果、脆弱性が発覚したとのこと。

メッセージに記載されたURLをクリックすると、端末が勝手にJailBreakされ、セキュリティ機能が無効化。マルウェアが仕掛けられ、マルウェアは上記の脆弱性を悪用し、端末内のメッセージや電子メール、音声やパスワードなどの情報を盗み、外部に送信する可能性があります。

対象となるユーザーは早急なアップデートが推奨されます。最新版への更新は、端末の「設定」をタップし「一般」→「ソフトウェア・アップデート」に進むか、端末をパソコンに接続してiTunes経由でアップデートすることができます。

・(英文) iOS 9.3.5 のセキュリティコンテンツについて(アップル社)
・(英文)ルックアウト社のブログ
アップルがiOS 9.3.5を公開、ゼロデイ脆弱性3件を修正。アラブの人権活動家狙った攻撃で発覚(Engadget Japanese)
iOS 9.3.5は更新必須、9.3.4以前はスパイツールの標的と報告(ケータイ Watch)
ニュース - Appleが「iOS 9.3.5」をリリース、深刻なセキュリティ問題を修正(ITpro)

関連キーワード:

badWPAD

Dropbox

KRBANKER

Pokemon GO

WPAD

サイバーセキュリティ

パスワード

脆弱性

  • 「Dropbox」が一部のユーザーに対しパスワード変更を呼びかけ
  • カテゴリートップへ
  • 8月はフィッシング報告件数が増加、多くの銀行をかたる手口に引き続き注意