2017年5月のIT総括

2017年5月に話題となったIT関連のトピックスにつき、概要と参考URLを記していきます。

4月はフィッシング報告件数が減少、しかしLINEやAppleをかたるフィッシングに注意が必要

5月1日、フィッシング対策協議会は、2017年4月の月次報告書を公開しました。フィッシング報告件数は304件となり、前月より406件の減少。また、フィッシングサイトのURL件数は269件で、前月より61件減少しました。そして、フィッシングに悪用されたブランド件数は19件で、こちらも前月より3件の減少でした。

同協議会は、フィッシング報告件数が前月に比べて406件と大幅に減少している理由に、3月に大量に報告のあったマイクロソフトをかたるフィッシングメールの件数が減少したことを挙げました。しかし、LINEやAppleをかたるフィッシングは数多く報告されており、引き続き注意が必要です。

4月はフィッシング報告件数が減少、しかしLINEやAppleをかたるフィッシングに注意が必要(セキュリティニュース)

アップルがiOS、OS X、Safariなどのセキュリティアップデートを公開

5月16日、独立行政法人 情報処理推進機構(IPA)は、複数のアップル製品におけるセキュリティアップデートのお知らせを、脆弱性関連情報を提供するJVNを通じて呼びかけました。

アップデートの対象となるのは「iOS 10.3.2 より前のバージョン」「macOS Sierra 10.12.5 より前のバージョン」「watchOS 3.2.2 より前のバージョン」「iTunes 12.6.1 for Windows より前のバージョン」「Safari 10.1.1 より前のバージョン」「iCloud for Windows 6.2.1 より前のバージョン」「tvOS 10.2.1 より前のバージョン」です。

想定される影響は各脆弱性によって異なるものの、深刻な問題の修正が含まれているため、対象ユーザーは最新版へ早急にアップデートすることが推奨されます。

アップルがiOS、OS X、Safariなどのセキュリティアップデートを公開(セキュリティニュース)

LINEが「パスワードレス認証」の標準化団体「FIDOアライアンス」に加盟

5月17日、LINEは、生体認証等の技術仕様を策定する国際標準化団体「FIDO(ファイド)アライアンス」にボードメンバーとして加盟しました。同団体は、2012年に設立、GoogleやMicrosoft、NTTドコモなど34社がボードメンバーとなり、インターネット企業、金融機関、通信事業者など幅広い業界の企業や団体が250社以上加盟する国際標準化団体です。

今後、「LINE」をはじめとするアプリケーションやサービスにおいて、「FIDOアライアンス」が提唱する「パスワードレス型認証」や、2要素認証などの認証方式を採用、パスワード認証に代わる新たな認証基盤を整備し、フィッシングや、アカウント乗っ取りによる「なりすまし」などからアカウントの安全性を高める取り組みを強化していくそうです。

【コーポレート】LINE、シンプルで堅牢な認証を推進する国際標準化団体「FIDOアライアンス」へボードメンバーとして加盟(LINE)
・(英文)FIDOアライアンス

複数のメディアプレイヤーに脆弱性が報じられる。字幕機能を悪用されるおそれ

5月23日(米国時間)、米セキュリティベンダーのチェックポイント社は、デスクトップPCなどで動画を再生する複数のメディアプレイヤーに脆弱性が発見されたと報じました。字幕を処理する機能に脆弱性があり、字幕を読み込むファイル経由で攻撃者に任意のコードを実行されてしまう可能性があります。

脆弱性が確認されたのは、VLC、Kodi、Popcorn Time、Stremioの4つで、いずれも最新版では修正されているため、ユーザーは早急なアップデートが推奨されます。字幕ファイルは信頼されたファイルとして扱われることが多く、セキュリティソフトによる検知が難しい場合があります。例えば、動画ストリーミングサービスの字幕を、細工を施したファイルに置き換えることで、多くのユーザーに被害が及ぶような攻撃に悪用することも可能で、デスクトップPCだけでなく、スマホなどのモバイルまで被害が広範に及ぶ可能性があります。

・(英文)脆弱性について報じるチェックポイント社のブログ
多数のメディアプレイヤーの字幕機能に脆弱性。2億人のPC/スマホが被害を受ける可能性(PC Watch)
字幕ファイル経由でPCをハッキングすることが可能なことが明らかに(GIGAZINE)

LINEをかたるフィッシングに注意喚起

5月29日、フィッシング対策協議会は、「LINE」をかたり、アカウント情報を詐取しようとするフィッシングメールが出回っているとして注意を呼びかけました。

これは、「LINE変更確認」という件名で、「アカウントが盗まれたことによる、アカウントの変更申請を受けつけた」という内容だ。本人確認のため、メール本文に記載されたURLをクリックするよう促されます。リンク先の偽サイトでは、メールアドレスやパスワードといったアカウント情報の入力を促される手口です。

同協会では、類似のフィッシングサイトが公開される恐れがあるとして注意を呼びかけるとともに、フィッシングサイトにてメールアドレスやパスワードなどのアカウント情報を絶対に入力しないよう注意しています。

緊急情報 | LINE をかたるフィッシング (2017/05/29)(フィッシング対策協議会)
あなたのパスワードが狙われている!フィッシングの被害を防ぐための4つのポイント(今すぐ見直したいセキュリティ対策)
「人の脆弱性」が悪用される! メール等の安全な取扱いのポイントについて聞いてみた(辻 伸弘のセキュリティ防衛隊)

関連キーワード:

2要素認証

Apple

iOS

JVN

LINE

OS X

Safari

なりすまし

パスワードレス認証

フィッシング

メディアプレイヤー

脆弱性

  • LINEをかたるフィッシングに注意喚起
  • カテゴリートップへ
  • 5月はフィッシング報告件数が増加、引き続きAppleやLINEをかたる手口に注意が必要