2016年10月のIT総括

2016年10月に話題となったIT関連のトピックスにつき、概要と参考URLを記していきます。

10月は「サイバーセキュリティ国際キャンペーン」

2016年も「サイバーセキュリティ国際キャンペーン」が開催されました。これは、2012年から毎年10月に開催されているもので、アジア、欧米諸国などと国際連携を活用した行事やサイバーセキュリティ対策に関する情報提供を実施するものです。

10月31日には、サイバーセキュリティの魅力を学生や若手社会人に知ってもらうためのイベント「サイバー・ハロウィン キャリアトーク」が開催され、政府や在日米国商工会議所(ACCJ)加盟企業から当該分野の動向などの紹介がありました。

そのほかにも、10月のキャンペーン期間中は、国際連携の推進と国内におけるサイバーセキュリティ対策の一層の普及をめざし、関係府省庁や企業等によるサイバーセキュリティに関するセミナー等の行事が全国で開催されました。

「サイバーセキュリティ国際キャンペーン」がスタート(セキュリティニュース)

9月はAmazonをかたるフィッシングを確認、引き続き金融機関以外のフィッシングに注意

10月3日、フィッシング対策協議会は、2016年9月の月次報告書を公開しました。フィッシング報告件数は417件となり、前月の801件より384件の減少、フィッシングサイトのURL件数は584件で、前月より92件増加しました。そして、フィッシングに悪用されたブランド件数は25件で、こちらは前月より2件の増加となりました。

9月にフィッシングの報告件数が減少した要因として、同協議会は、金融機関をかたるフィッシングの報告件数が8月に比べ約3分の1に減少したことを挙げました。また、オンラインゲームをかたるフィッシングについても、前月比で146件の減少となっています。一方、9月はAmazonをかたるフィッシングサイトが引き続き見つかっており、金融機関以外をターゲットにしたフィッシングが今後も発生する可能性が高いと同協議会では注意喚起しています。

9月はAmazonをかたるフィッシングを確認、引き続き金融機関以外のフィッシングに注意(セキュリティニュース)

Mac内蔵のカメラを乗っ取るマルウェアについてセキュリティ研究者が警鐘

アップル社のMacに内蔵されたWebカメラやマイクを乗っ取り、映像や音声などを盗み出す攻撃の手口について、米国のセキュリティ研究者が注意喚起しました。

10月6日、Synack社のパトリック・ウォードル氏は、英国のコンピュータセキュリティ専門誌「Virus Bulletin」のカンファレンスに登壇し、Mac OSに感染するマルウェアを使い、ユーザーに気づかれることなく映像や音声などの情報を盗み取る攻撃手法について解説しました。

これによると、Macの内蔵カメラが起動中にライトが点灯する機能を悪用したマルウェアを用いると、ユーザーがビデオチャットなどを利用するためにカメラを起動しているときに、ユーザーに気づかれることなく音声通話やビデオチャットの映像などの内容を記録することが可能になるとのこと。

同氏によると、実際にこの手法を使ったマルウェアは発見されていないものの、今後、こうしたマルウェアが登場する可能性は十分に考えられるとのことです。

Mac内蔵のカメラを乗っ取るマルウェアについてセキュリティ研究者が警鐘(セキュリティニュース)

JPCERT/CCが「インシデント報告対応レポート」を公開

10月12日、JPCERT/CCは「インシデント報告対応四半期レポート」を公開しました。

これは、国内外で発生するセキュリティインシデントのうち、2016年7月1日から9月30日の間にJPCERT/CCが受け付けたインシデントについて報告したもの。これによると、この四半期に寄せられた報告件数は3,137件で、前四半期(4,686件)から33%の減少となりました。

報告を受けたインシデントをカテゴリ別に分類したところ、システムの弱点を探索する「スキャン」が39.2%、「Webサイト改ざん」が19.8%を占めています。そして、「フィッシングサイト」が16.7%、「マルウェアサイト」が12.0%と続いています。なお、「標的型攻撃」は0.4%でした。

同レポートはJPCERT/CCのサイトからPDFファイルでダウンロードできます。

JPCERT/CCが「インシデント報告対応レポート」を公開(セキュリティニュース)

国税庁が提供する「e-Tax」のインストーラーに脆弱性

10月19日、国税庁が提供する国税電子申告・納税システム「e-Taxソフト」に脆弱性があるとして、JPCERT/CCと独立行政法人 情報処理推進機構(IPA)は、脆弱性関連情報を提供するJVNを通じて注意喚起しました。

これによると、e-Taxソフトのインストーラーには、DLL読み込み時の検索パスに関する処理に起因する脆弱性があり、インストール時に意図しないDLLを読み込んでしまうとのこと。この脆弱性を悪用された場合、インストーラーを実行しているプロセスの権限で任意のコードを実行される可能性があります。

国税庁は、同ソフトの公開を中止し、インストーラーを使って同ソフトを新たに導入、更新しないよう呼びかけています。また、インストーラーをパソコン上に保存している場合は削除することが推奨されます。

国税庁が提供する「e-Tax」のインストーラーに脆弱性(セキュリティニュース)

トレンドマイクロが「IoTセキュリティガイドライン」を公開

10月24日、トレンドマイクロ社は、組込機器などを含むIoTデバイスの開発者向けに「IoTセキュリティガイドライン―デバイスライフサイクルの概要―」を公開しました。これは、IoTデバイスの開発者向けに、セキュリティリスクとその対策を解説したもの。

IoTにより、家電や自動車など、様々な機器がインターネットに接続されはじめています。個人情報をはじめとする様々なデータが機器からインターネットを通じてクラウド上のサーバーに格納されることが想定される一方、システムが不正アクセスを受けるなど外部から侵害されたときに、利用者の生活に影響を及ぼす被害が発生する可能性があります。

そこで、今回公開された同ガイドラインでは、IoTデバイスのセキュリティを確保するために、デバイスのライフサイクルに着目し、4段階のライフサイクルごとにセキュリティリスクとその対策について解説しています。

『IoTセキュリティガイドライン ─デバイスライフサイクルの概要─』を公開(トレンドマイクロ)
トレンドマイクロ、IoT機器のセキュリティガイドを公開(ITmedia)

アップルがOS X、Safari、iOSの最新版を公開

10月25日、アップル社は、OS Xの最新版「10.12.1」(Sierra)、およびセキュリティアップデート(「2016-002」「2016-006」)、Safariの最新版「10.0.1」、そしてモバイル向け「iOS 10.1」を公開しました。いずれも深刻な脆弱性が修正されています。

JVNによると、脆弱性を悪用されることにより想定される影響は各脆弱性により異なるものの、情報漏えいや、任意のコード実行、盗聴やファイル改ざん、サービス運用妨害(DoS)などを受ける可能性があります。

いずれも対象となるユーザーは早急に適用することが推奨されます。

macOS Sierra 10.12.1 のセキュリティコンテンツについて(Apple サポート)
Safari 10.0.1 のセキュリティコンテンツについて(Apple サポート)
iOS 10.1 のセキュリティコンテンツについて(Apple サポート)
複数の Apple 製品の脆弱性に対するアップデート(JVNVU#90743185)
アップル、脆弱性を修正したmacOS/Safari/iOSの最新版を公開(セキュリティ通信:So-netブログ)

関連キーワード:

e-Tax

IoT

Mac

インシデント

サイバーセキュリティ

トレンドマイクロ社

フィッシング

マルウェア

  • アップルがOS X、Safari、iOSの最新版を公開
  • カテゴリートップへ
  • セキュリティオペレーションセンター(SOC)とは