2014年11月のIT総括

2014年12月10日月イチIT総括

2014年11月に話題となったIT関連のトピックスにつき、概要と参考URLを記していきます。

IPAが「遠隔操作ソフト」の悪用による情報窃取に注意喚起

独立行政法人情報処理推進機構(IPA)は、11月4日、「2014年11月の呼びかけ」を公開し、遠隔操作ソフトを悪用して個人情報を窃取する事例について注意を呼びかけました。

遠隔操作ソフトは、「リモートアクセスツール」などとも呼ばれ、遠隔地からパソコンを操作できる機能を備えています。本来は、テクニカルサポートを行ったり、外出先から職場のパソコンに接続するといった用途で利用されているものですが、こうした機能が悪質な目的に利用され、ユーザーのパソコン内の情報を盗み取られるなどのリスクがあることが指摘されています。

IPAでは、セキュリティソフトと偽って遠隔操作ソフトをインストールさせ、パソコン内の個人情報を窃取する事件などが起きていることから、言われるがままパソコンに遠隔操作ソフトをインストールしてしまうことは絶対に避け、パソコンの設定やサポートなどを遠隔操作ソフトを利用して受ける際には、注意するよう呼びかけています。

・IPAが「遠隔操作ソフト」の悪用による情報窃取に注意喚起(セキュリティニュース)

国内の複数サイト(「.com」ドメイン)がDNSハイジャックの攻撃を受けたと報じられる

JPRSは、11月5日、国内のサイトが使用する「.com」ドメインの登録情報が不正に書き換えられる「ドメイン名ハイジャック(DNSハイジャック) 」の被害の報告を複数受けているとして注意を呼びかけました。

DNSハイジャックとは、ドメイン名(インターネット上に存在するコンピューターやネットワークを識別するために付与された名前)を管理するDNSが不正アクセスなどにより乗っ取られること。これにより、個人情報などの秘密情報が漏えいしたり、サイトが改ざんされたり、なりすましに遭う可能性があります。

JPRSおよびJPCERTコーディネーションセンター(JPCERT/CC)は、ドメイン名登録者やドメイン名管理担当者に対し、登録情報を管理するためのIDやパスワードなどの認証情報を適切に管理するとともに、各システムにおける不正アクセスの防止・不正なコード実行の防止などの適切な脆弱性対策や情報漏えい対策を実施するよう呼びかけました。

・国内の複数サイト(「.com」ドメイン)がDNSハイジャックの攻撃を受けたと報じられる(セキュリティニュース)

サイバーセキュリティ基本法が可決・成立

11月6日、「サイバーセキュリティ基本法」が衆院本会議で可決・成立しました。

同法は、国に対し「サイバーセキュリティに関する総合的な施策を策定し、および実施する責務を有する」と規定しており、官房長官をトップとした省庁横断の組織としてサイバーセキュリティ戦略本部が設置され、セキュリティ戦略を策定することになります。

現在、政府のサイバーセキュリティ戦略を担っているのは、内閣官房長官が議長を務める「情報セキュリティ政策会議」で、内閣官房情報セキュリティセンターが同会議の事務局になっています。

法案は、6月の通常国会において衆院では可決されていましたが、参院で継続審議となり、今臨時国会の参議院で10月29日に可決された後、11月6日の衆議院本会議において賛成多数で可決され、成立しました。

・News ＆ Trend - 「サイバーセキュリティ基本法」成立、省庁横断の"司令塔"を新設(ITpro)
・サイバーセキュリティ基本法が成立(ITmedia)
・サイバーセキュリティ基本法案

「医療費通知」を偽装したメールでマルウェアに感染させる手口に注意喚起

健康保険組合からの医療費通知を偽装したメールを送り、受信者のパソコンにマルウェアを感染させようという手口が確認されたとして、セキュリティ対策企業や複数の健康保険組合などが注意を呼びかけています。

これによると、こうしたメールは今年9月頃より出回っており、メールにはWordファイルに見せかけたマルウェアが添付されています。ファイルの見た目はWordファイルで、「医療費通知のお知らせ」などのタイトルが付されているものの、中身はアイコンを偽装したマルウェアの実行ファイル(.exe)だということです。これを開くとマルウェアに感染し、最終的にパソコンを遠隔操作させられる可能性があります。

今後も同様の手口による攻撃が広がる可能性があるため、ユーザーは、メールの取り扱いに慎重を期す必要があります。添付ファイルやメール本文に記載のリンクに十分注意するとともに、開封(クリック)してよいかどうか自分で判断がつかないときは、送信者に電話等でメール送信の事実について確認することが大切です。

・「医療費通知」を偽装したメールでマルウェアに感染させる手口に注意喚起(セキュリティニュース)

マイクロソフトが脆弱性緩和ツール「EMET 5.1」を公開

マイクロソフト社は、11月10日、脆弱性緩和ツールEMETの「バージョン 5.1」を公開しました。

EMETは、ソフトウェアの脆弱性が悪用されるのを防止する仕組みで、脆弱性をついた悪意のあるコードが実行されそうになると、プロセスやシステムを強制終了し、攻撃を回避するというものです。「バージョン 5.1」では、「Internet Explorer」「Adobe Reader」「Adobe Flash Player」「Mozilla Firefox」などのアプリケーションと、EMETが提供する緩和策との間で発生していた互換性の問題が修正されました。

・マイクロソフトが脆弱性緩和ツール「EMET 5.1」を公開(セキュリティニュース)

無料で、簡便にSSL/TLSを利用できる取り組み「Let's Encrypt」の創設を発表

11月18日(米国時間)、インターネット上でデータを暗号化して送受信するプロトコルの一つである「SSL/TLS」の普及を促進するための取り組み「Let's Encrypt」の創設が発表されました。

これは、Mozilla、Cisco Systems、Akamai Technologies、電子フロンティア財団(EFF)、IdenTrust、ミシガン大学の研究者などが参加する非営利組織Internet Security Research Group(ISRG)によって運営されるものです。

なりすましやフィッシングなどによる被害を減らすため、通信相手のサーバーが本物であることを認証するための仕組みの普及が重要性を増しています。一方で、SSL/TLSを利用するためには、サーバー証明書の取得が有料であることが一般的であるのに加え、正しく設定、更新するためには手間がかかり、これが普及の障壁になっているのが実情です。

そこで、Let's Encryptでは、ドメイン所有者が簡単なプロセスでサーバー証明書(Domain Validation証明書)を無料で入手、実装や設定、更新ができるようにし、2015年第2四半期(4月〜6月期)の提供開始をめざしています。

・無料で、簡便にSSL/TLSを利用できる取り組み「Let's Encrypt」の創設を発表(セキュリティニュース)

「Adobe Flash Player」の定例外アップデート(APSB14-26)が公開される

米アドビ社は、11月25日、「Adobe Flash Player」に関する定例外のセキュリティアップデートを発表しました。同社はセキュリティ情報(APSB14-26)を公開し、注意を呼びかけています。

脆弱性の影響を受ける製品は、Windows版およびMacintosh版は「Adobe Flash Player 15.0.0.223およびそれ以前」「13.0.0.258およびそれ以前の13.x」で、Linux版は、「11.2.202.418およびそれ以前」です。対象の製品を利用するユーザーは、対応する最新版(ぞれぞれ「15.0.0.239」「13.0.0.258」「11.2.202.424」)にアップデートすることが推奨されます。

・(英文)定例外アップデートを報じるアドビ社のブログ
・(英文)Adobe Security Bulletin(APSB14-26)