2017年3月のIT総括

2017年3月に話題となったIT関連のトピックスにつき、概要と参考URLを記していきます。

ハッシュ関数「SHA-1」の衝突攻撃(SHAtterd)について注意喚起

3月7日、フィッシング対策協議会は、代表的なハッシュ関数のアルゴリズムの一つ「SHA-1」の衝突攻撃(SHAtterd)に関する注意喚起を公開しました。これは、Googleとオランダの研究機関CWI Instituteの共同研究の結果、SHA-1の衝突攻撃が可能であるとの検証結果が公表されたことを受けたもの。

この攻撃手法を悪用することで、SHA-1を利用した電子署名が偽装される可能性があります。例えば、悪意ある第三者が実在する組織のドメインを詐称したSHA-1のサーバー証明書を偽装し、フィッシングサイトで正規なサーバー証明書として利用することが可能になります。同協議会では、Webサイト運営者に対し、安全対策のため早急にSHA-2サーバー証明書へ移行することを推奨しています。

ハッシュ関数「SHA-1」の衝突攻撃(SHAtterd)について注意喚起(セキュリティニュース)

「Apache Struts 2」に深刻な脆弱性、すでにカード情報流出事案も発生

JavaのWebアプリケーションを作成するためのフレームワーク「Apache Struts」のバージョン2系列(Apache Struts 2)に、深刻な脆弱性(「CVE-2017-5638」「S2-045」)が存在することがわかり、3月10日、独立行政法人 情報処理推進機構(IPA)が注意喚起を公開しています。

脆弱性を悪用されると、第三者によって遠隔からWebサーバー上で任意のコードを実行される可能性があります。影響を受けるのは、「Apache Struts 2.3.5から2.3.31」「Apache Struts 2.5から2.5.10」のバージョンで、IPAでは、Webサイト管理者に対し、開発者が脆弱性を修正した最新版への早急なアップデートを推奨しています。

「Apache Struts 2」に深刻な脆弱性、すでにカード情報流出事案も発生(セキュリティニュース)

「安全なウェブサイト運営入門」にOSコマンド・インジェクションの脆弱性

独立行政法人 情報処理推進機構(IPA)が提供するソフトウェア「安全なウェブサイト運営入門」にOSコマンド・インジェクションの脆弱性が存在することが判明し、3月16日、IPAおよび脆弱性関連情報を提供するJVNが注意を呼びかけています。

脆弱性を悪用されると、悪意ある第三者により、外部から利用者のパソコンのOSを操作する命令(OSコマンド)を実行されるおそれがあります。「安全なウェブサイト運営入門」は、Webサイトを運営する上でのセキュリティ対策を学べるソフトウェアで、2008年にリリースされました。すでにこのソフトの開発およびサポートは終了しており、今後、脆弱性を修正した更新版を提供する予定はありません。このため、IPAでは、ただちに同ソフトの使用を取りやめるよう、利用者に呼びかけています。

「安全なウェブサイト運営入門」にOSコマンド・インジェクションの脆弱性(セキュリティニュース)

IBMが「不正な添付ファイルを用いた攻撃が2.5倍と、引き続き増加」と発表

3月17日、日本IBMは、同社のセキュリティオペレーションセンターにおいて観測された情報に基づく「2016年下半期Tokyo SOC情報分析レポート」を発表しました。これは、主に国内の企業環境に影響を与える脅威の動向をまとめたレポートです。

これによると、不正な添付ファイルを使用した攻撃がさらに増加し、前期比約2.5倍に増加しました。また、不正な添付ファイルの94.9%はランサムウェア「Locky」の感染を狙ったもので、件名や添付ファイル名に日本語を使用した不正なメールに限定すると、添付ファイルの97.8%は「Ursnif」などの金融マルウェアであることも判明しました。

そして、2016年下半期は、「Mirai」に感染、乗っ取られたとみられるIoT機器から、不正ログインの試みが継続して確認されています。不正ログインに成功すると、攻撃者からの指示によってDDos攻撃が仕掛けられるおそれがあり、IoT機器のメーカー、ユーザー双方のセキュリティ対策が急務です。

IBMが「不正な添付ファイルを用いた攻撃が2.5倍と、引き続き増加」と発表(セキュリティニュース)

IPAが「企業における営業秘密管理に関する実態調査」報告書を公開

3月17日、独立行政法人 情報処理推進機構(IPA)は、「企業における営業秘密管理に関する実態調査」報告書を公開しました。これは、情報漏えい対策状況の調査、把握と傾向の分析を行ったものです。

これによると、過去5年間に営業秘密の漏えいを経験した企業は回答者全体の8.6%で、前回調査の13.5%から減少しています。漏えいルートは、現職従業員等のミスによるものが43.8%で、前回調査の26.9%から増加。また、中途退職者によるものが24.8%で、こちらは前回調査の50.3%から減少しています。そして、取引先や共同研究先を経由した漏えいは11.4%で、前回調査の9.3%から微増となりました。

情報漏えい対策への取り組みについては、中小企業では大企業に比べ、全体的に取り組みが遅れていることが指摘されています。特に、「USBメモリの使用制御(5%前後)」や「システムログの記録・保管(10%前後)」といった項目について、十分に取り組めていない傾向が顕著でした。

IPAでは、経営層が積極的に関与し、経営に直結する問題として捉えて組織横断的に営業秘密対策の検討等を推進していくことが重要であると総括しています。

「企業における営業秘密管理に関する実態調査」報告書について(IPA)

平成28年は4,046件の標的型メール攻撃を確認と警察庁が発表

3月23日、警察庁は、サイバー攻撃等の状況をまとめた「平成28年におけるサイバー空間をめぐる脅威の情勢について」を公開しました。これによると、平成28年は、警察が連携事業者等から報告を受けたものだけで4,046件(前年比218件増)の標的型メール攻撃が発生しています。

標的型攻撃メールに添付されたファイルは、圧縮ファイルが添付されたものが前年の40%から89%に増加。特に、これまでほとんど報告のなかった「.js」形式のファイルが、前年の9件から1,991件と多数確認されています。

また、IoT機器を標的とするMiraiボットとみられる探索行為や感染活動を多数観測。警察庁が運用しているセンサーへのアクセス件数は1日、1IPアドレスあたり1,692件で、前年より963件増加しています。

・(PDF)平成28年におけるサイバー空間をめぐる脅威の情勢について(警察庁)

IPAが「パソコンが正常に操作できないと錯覚させる」偽警告画面の新手口に注意喚起

3月29日、独立行政法人 情報処理推進機構(IPA)は、「安心相談窓口だより」を公開し、パソコンが正常に操作できなくなったと錯覚させる「偽警告」の新手口に関して注意喚起を公開しました。

IPAに寄せられる偽警告に関する相談は、2017年1月が308件、2月は251件と、2016年8月以降、200件以上の相談が寄せられています。

特に、1月以降は新たな手口が続々と確認されています。例えば、マイクロソフト社のWebサイトに酷似した画面上に警告メッセージを表示させ、ユーザーに電話させようとする手口や、「マウスのポインターが勝手に動いているようなアニメーション」や「マイクロソフトのURLにアクセスしているようなアドレスバーの画像」を表示させるなどの手口が確認されています。

IPAは、最新の手口では、あたかもウィルス感染によってパソコンが正常に操作できなくなった、あるいは、マイクロソフト社の本物の警告メッセージであるとユーザーに錯覚させる細工が施されていると指摘。インターネット利用中に「ウィルスに感染」「個人情報の流出」などといった警告メッセージとともに電話番号が表示された場合は、その電話番号には電話せずに、IPAなどの公的機関の相談窓口に相談するよう呼びかけています。

偽警告で、また新たな手口が出現〜パソコンが正常に操作できなくなったと錯覚させる多数の狡猾な細工〜(安心相談窓口だより)

関連キーワード:

Apache Struts

DDos攻撃

IoT

Locky

Mirai

OSコマンド・インジェクション

SHA-1

SHAtterd

Ursnif

衝突攻撃

  • IPAが「パソコンが正常に操作できないと錯覚させる」偽警告画面の新手口に注意喚起
  • カテゴリートップへ
  • 3月は報告件数減少も、マイクロソフトをかたるフィッシングを数多く確認