2019年3月のIT総括

2019年3月に話題となったIT関連のトピックスにつき、概要と参考URLを記していきます。

ゆうちょ銀行をかたるフィッシングに注意喚起

3月4日、フィッシング対策協議会は、ゆうちょ銀行をかたるフィッシングについて注意を呼びかけました。

メールの件名は「ゆうちょ銀行からのご連絡 (英数字文字列)」となっており、ゆうちょ銀行のアカウントが第三者によって不正にログインされた可能性が高いと、対策を促す内容です。

本文中のリンクをクリックするとフィッシングサイトに誘導され、ログインに必要な「お客さま番号」や「合言葉」などの情報を盗み取られる可能性があります。

ゆうちょ銀行をかたるフィッシングに注意喚起(セキュリティニュース)

標的型メール攻撃は増加傾向、サイバー犯罪件数は9,040件と過去最多となる

3月7日、警察庁は、サイバー攻撃等の状況をまとめた「平成30年におけるサイバー空間をめぐる脅威の情勢等について」を公開しました。平成30年に警察が連携事業者等から報告を受けた標的型メール攻撃の件数は6,740件で、前年から713件の増加。また、前年に引き続き、行政機関や公共交通機関などのWebサイトを標的に、閲覧障害などが生じるサイバー攻撃の事案が発生しました。

標的型メール攻撃の手口は、「ばらまき型」が全体の90%を占めました。メールの送信先は、インターネット上で公開されていない「非公開の」メールアドレスが全体の71%を占めており、攻撃者が攻撃対象の組織や職員について事前に周到に調査し、準備を行っていることがうかがえます。

また、サイバー犯罪の情勢については、平成30年の検挙件数は9,040件と過去最多となりました。このうち、不正アクセス禁止法違反の検挙件数は564件、このうち502件が他人のパスワードを入力して不正アクセスを試みる「識別符号窃用型」でした。そして、インターネットバンキングの不正送金による被害件数は322件、被害額は約4億6,100万円となり、いずれも減少傾向にあることがわかりました。

標的型メール攻撃は増加傾向、サイバー犯罪件数は9,040件と過去最多となる(セキュリティニュース)

SNSを用い、検索結果から詐欺ページに誘導する「サポート詐欺」の手口に注意喚起

3月8日、トレンドマイクロ社は、技術的なサポートを行うと称して電話やメールなどによってユーザーをだます、いわゆる「サポート詐欺」の新たな手口について注意喚起しました。マイクロソフト社の調査では、2018年に消費者の63%がなんらかの形でサポート詐欺を経験したことがあるということです。

トレンドマイクロ社によると、詐欺師は、SNSに偽アカウントを作り、多くの技術的なトピックに関するキーワードを含む投稿を行います。技術的な悩みを持つユーザーが、インターネットでキーワード検索を行うと、当該偽アカウントの投稿が検索結果に表示されます。ところが、これらの投稿は、ユーザーにサポート詐欺ページへのリンクをクリックするよう促すものです。最終的に、ユーザーは詐欺師の指示に従ってソフトウェアをダウンロードしたり、個人情報を提供したり、サービス料と称した料金を支払うといった被害を受ける可能性があります。

同社は、被害を未然に防ぐため、「SEOなどを使い、正規の検索結果の中に不正なサイトへ誘導しようとする手口を認識した上で、Web検索に表示された移動先が、本当に正規のURLかどうかを確認して欲しい」と呼びかけています。

SNSを用い、検索結果から詐欺ページに誘導する「サポート詐欺」の手口に注意喚起(セキュリティニュース)

SMSを用いたフィッシングの新手口に注意喚起

3月15日、トレンドマイクロ社は、2018年に数多く確認された「偽装SMS(ショートメッセージサービス)」を用いたフィッシングやスマホにマルウェアを感染させる手口に、新たな手口が確認されたとして注意を呼びかけました。

2018年には、宅配便の不在通知を装ってフィッシングやスマホに不正アプリを感染させる手口が数多く確認されました。これについて、新たな手口として2つの動きが挙げられました。1つは、誘導先の不正サイトの変化。これまで宅配業者の不在通知をかたっていたものが、新たに携帯キャリアをかたり、偽のWebページに誘導しようとする手口が確認されています。

2つめは、誘導先の不正サイトで、Android端末にマルウェアを感染させるだけでなく、iOS端末の固有情報をだまし取ろうとする手口が確認されています。同社は、被害を未然に防ぐため、モバイル利用者に対し、SMSの取り扱いに注意し、アクセスしたサイトのURLが正規のURLであるかどうかを確認するよう呼びかけています。

継続する偽装SMS:今度は携帯電話事業者サイトの偽装とiOSを狙う不正プロファイル(トレンドマイクロ セキュリティブログ)
8月は報告件数減少も、不在通知を装うSMSを用いたフィッシングが多数確認される(セキュリティニュース)

IPAが『中小企業の情報セキュリティ対策ガイドライン』第3版を公開

3月19日、独立行政法人 情報処理推進機構(IPA)は、『中小企業の情報セキュリティ対策ガイドライン』を改訂、第3版を公開しました。今回の改訂版では、専門用語の使用を可能な限り避け、ITに詳しくない読者の経営者にとって理解しやすい表現としました。また、内容については「サイバーセキュリティ経営ガイドライン」の改訂や、クラウドサービスの充実化といった環境変化なども反映されています。

本編は経営者編と実践編の2部構成。たとえば実践編では、中小企業が組織的なセキュリティ対策を段階的に進めていけるよう、内容が見直されているほか、付録として新たに「中小企業のためのクラウドサービス安全利用の手引き」を追加。これは、クラウドサービスの利用が進んでいる中で、これを安全に利用するための留意事項やチェック項目が記されたものです。

ガイドラインは、IPAのサイトより無償でダウンロードが可能です。

中小企業の情報セキュリティ対策ガイドライン(IPA)

アップルが「iOS」など複数の製品のアップデートを公開

3月26日、独立行政法人 情報処理推進機構(IPA)は、複数のアップル製品におけるセキュリティアップデートについて、脆弱性関連情報を提供するJVNを通じて公開しました。

これによると、アップデートの対象となるのは、いずれも「iOS 12.2」「Xcode 10.2」「tvOS 12.2 」「macOS X 10.14.4(Mojave) 」「macOS X 10.13(High Sierra) Security Update 2019-002 未適用」「macOS X 10.12(Sierra) Security Update 2019-002 未適用」「Safari 12.1」「iTunes 12.9.4 for Windows」「iCloud for Windows 7.11」より前のバージョン。対象となるユーザーは、アップル社が提供する情報をもとに早急に最新版にアップデートすることが推奨されます。

複数の Apple 製品における脆弱性に対するアップデート(JVNVU#93236010)
・(英文)About the security content of iOS 12.2(Apple サポート)
・(英文)About the security content of Xcode 10.2(Apple サポート)
・(英文)About the security content of tvOS 12.2(Apple サポート)
・(英文)About the security content of macOS Mojave 10.14.4, Security Update 2019-002 High Sierra, Security Update 2019-002 Sierra(Apple サポート)
・(英文)About the security content of Safari 12.1(Apple サポート)
・(英文)About the security content of iTunes 12.9.4 for Windows(Apple サポート)
・(英文)About the security content of iCloud for Windows 7.11(Apple サポート)

関連キーワード:

Android

iCloud

iOS

IPA

iTunes

JVN

macOS X

Safari

SEO

SMS

SNS

Windows

Xcode

アップデート

アップル

ガイドライン

クラウドサービス

サイバーセキュリティ

サイバー攻撃

サイバー犯罪

セキュリティ対策

トレンドマイクロ

フィッシング

フィッシング対策協議会

マルウェア

不正アクセス

不正アプリ

不正サイト

中小企業

情報セキュリティ

情報処理推進機構

標的型メール攻撃

脆弱性

詐欺

銀行