is702 2018-10-18T00:00:00+09:00 インターネット・セキュリティ・ナレッジ 産学官連携「関西サイバーセキュリティ・ネットワーク」発足 経済産業省(近畿経済産業局)は10月17日、「関西サイバーセキュリティ・ネットワーク」の発足を発表しました。 2018-10-18T00:00:00+09:00
近年、サイバーセキュリティを担う人材の重要性が高まっていますが、特に地方では、企業等におけるサイバーセキュリティ人材の発掘・育成が大きな課題になっています。「関西サイバーセキュリティ・ネットワーク」は、産学官等で連携し、関西におけるサイバーセキュリティについて、重要性認識の醸成、情報交換の活性化、人材の発掘・育成等を進めることを目的に発足したとのことです。

共同事務局は近畿経済産業局、近畿総合通信局、一般財団法人関西情報センターが務め、内閣サイバーセキュリティセンター(NISC)、情報処理推進機構(IPA)といった国関係機関、研究機関、大学・大学院、業界団体・経済団体、セキュリティベンダー、情報通信企業、セキュリティコミュニティが協力し体制を構築します(40機関、順次拡大予定)。

具体的な活動としては、11月に交流会やパネルディスカッションを含むキックオフフォーラムを実施。以降、セキュリティ担当者向けのリレー講座、経営者向けセミナーイベント等を開催する予定です。



関西サイバーセキュリティ・ネットワークの取り組み(経済産業省の発表資料より)

関西サイバーセキュリティ・ネットワークの取り組み(経済産業省の発表資料より)

]]>
https://is702.jp/main/images/news/img_news3.jpg
ビジネスメール詐欺の被害を防ぐ5つの対策 ビジネスメール詐欺が企業や組織に多大な損失をもたらしています。経営幹部や取引先などのなりすましメールで従業員を巧みにだまし、金銭や情報を奪い取る手口は典型です。ビジネスメール詐欺の手口を解説し、従業員一人ひとりが実践すべき5つの対策を紹介します。 2018-10-18T00:00:00+09:00
金銭だけでなく、機密情報も狙われる!?

ビジネスメール詐欺の被害を防ぐ5つの対策

2018/10/18
金銭だけでなく、機密情報も狙われる!? 情報窃取を狙うサイバー攻撃で勤務先や取引先を危険にさらさないために行うべきこと

ビジネスメール詐欺は、いまやあらゆる企業や組織にとって見過ごせない脅威の1つです。経営幹部や取引先などになりすました業務依頼メールを発端として、金銭や機密情報をだまし取られる被害が相次いでいます。従業員一人ひとりがビジネスメール詐欺の手口を知り、5つの対策を実践しましょう。

国内企業の約4割がビジネスメール詐欺のメールを受信

ビジネスメール詐欺(Business Email Compromise、BEC)が、企業や組織に深刻な被害を及ぼしています。ビジネスメール詐欺とは、業務メールの盗み見を発端として、経営幹部や取引先などになりすまし、金銭や特定の情報を騙し取るサイバー犯罪です。

米国連邦捜査局(FBI)による2018年7月の発表では、2013年10月から2018年5月における全世界でのビジネスメール詐欺の被害件数は7万8,617件、累積被害額は125億3,694万8,299米ドル(2018年9月26日のレート換算で約1兆4,147億円)に上りました。これまでに公表された情報をもとにトレンドマイクロで算出した結果*、2013年10月から12月までの全世界における月平均被害額が約150億円であったのに対し、2017年1月から2018年5月までの平均は約470億円にも上っています。さらに、1件当たりの平均被害額も約1,460万円から、約2,090万円とより高額になっています。
*:FBIの公開情報をもとに、トレンドマイクロで独自に整理

図:全世界におけるビジネスメール詐欺の月平均被害額

トレンドマイクロが2018年6月に調査を行った結果、回答者の39.4%が金銭や特定の情報をだまし取ろうとするなりすましメールを受信した経験があることがわかりました。うち、送金を依頼するメールの受信者の割合は62.3%、個人情報や機密情報などの送付を促すメールの受信者の割合は51.5%でした。ビジネスメール詐欺は一般に、なりすましメールによる送金詐欺として知られていますが、特定の情報を盗み出すことも目的としています。そして、送金被害額が分かっているケースの大半において1,000万円以上であるとの回答も得ており、このことからも一度被害を受けると企業や組織への打撃が非常に大きなものになると言えます。ビジネスメール詐欺について詳しく見ていきましょう。

経営幹部や取引先になりすます手口は定番

ビジネスメール詐欺にはさまざまな手口がありますが、共通するのはサイバー犯罪者が信ぴょう性を高めるなりすましメールを仕立てるため、業務メールの盗み見やネット上の公開情報を基に、標的組織で進行している取引や人間関係などを把握することです。業務メールを盗み見る手口は大きく分けて2つあります。

1つ目はフィッシング詐欺です。たとえば、業務メールにクラウドサービスを利用する組織を標的とするサイバー犯罪者は、システム担当者などのフリをして業務メールシステムへの再ログインを呼びかけるメールを従業員に送りつけ、そこから偽のログインページへ誘導します。そこでアカウント情報を入力すると、サイバー犯罪者によって認証情報が盗まれてしまいます。

2つ目の手口は、キーロガーと呼ばれる不正プログラムの悪用です。キーロガーは、キーボードで入力された情報を外部に送信します。キーロガーに感染させるには、たとえば「緊急案件」を件名とする不正ファイルを添付した偽メールを送りつけ、そのファイルを開封してしまった従業員のパソコンにキーロガーを送り込みます。これにより収集した入力情報を解析することで、業務メールのアカウント情報を割り出すことも可能です。

こうして業務メールを盗み見ることに成功したサイバー犯罪者は、もっともらしいなりすましメールを作成、送信し、標的の従業員を巧みにだまします。最近のビジネスメール詐欺は、「経営幹部になりすます攻撃」と「取引先になりすます攻撃」の大きく2つのタイプに分けられます。それぞれについて見ていきましょう。

●経営幹部になりすます

最高経営責任者(CEO)や経営幹部になりすました送金指示メールを標的組織の経理担当者などに送りつけ、サイバー犯罪者が用意した口座へ送金させる手口が確認されています。このタイプはビジネスメール詐欺の中でも「CEO詐欺」と呼ばれており、「緊急の送金依頼」「極秘」などの文言で緊急を要する機密案件である旨を伝え、早急かつ秘密裏に送金するよう圧力をかけてきます。

実際に、国内企業のCEOを詐称する日本語メールが確認されており、「機密扱いで相談したい」などと呼びかけるメールが法人組織の経理担当者宛に送付されていました。この事案では、「jp-fsa.com」のドメイン(@以降の文字列)からメールを送信して金融庁を偽装したり、CEOと弁護士が過去にやり取りしたとする英語の文面を貼り付けたりし、本物のメールに見せかけようとしています。また、実際の送信元メールアドレスから受信者の注意を逸らすため、受信トレイ上の送信者のメールアドレスを表す差出人情報を“CEOの氏名”<SAMPLE@sample.co.jp>などと見出しのように表示していました。

図:7月にトレンドマイクロが確認した日本語の詐欺メール例

●取引先になりすます

取引先を装って偽の請求書を添付したメール、振込先の変更を依頼するメールを標的組織の従業員に送りつけ、サイバー犯罪者の管理下にある口座に送金させる手口が確認されています。やっかいなのは、標的組織と取引先とのメールのやり取りを盗み見てどのような取引が進行しているかを把握し、振り込みが発生するタイミングでなりすましメールを送りつけてくることです。過去にやり取りされた文面をコピーして署名以下のスペースに貼り付け、正規のメールに見せかける細工も確認されています。

図:取引先になりすましたビジネスメール詐欺のサンプルメール

従業員一人ひとりができる5つのビジネスメール詐欺対策

ビジネスメール詐欺は企業や組織の規模、地域、業種を問わない脅威です。すべての企業や組織がその脅威にさらされているということを自覚しましょう。そして、この犯罪は標的の従業員をだませるかどうかにかかっているため、どの従業員が、いつ狙われるかわかりません。このため、従業員一人ひとりがビジネスメール詐欺の手口を知り、勤務先や取引先を危険にさらさないよう、脅威から回避する行動を日々心がける必要があります。以下の5つのビジネスメール詐欺対策を紹介します。

1.送金や情報提供を促すメールを注意深く確認する

経営幹部からの急な送金指示や取引先からの普段とは異なる口座への送金依頼、情報提供を促すメールを受け取ったら冷静に立ち止まり、メール文面の言い回しに不自然さがないかどうか、差出人のメールアドレスのドメイン名(@以降の文字列)が正しいかどうかを確認してください。ビジネスメール詐欺では、正規のドメイン名の一部を形状の似た文字、たとえばwをvv、o(オー)を0(ゼロ)などに置き換えてなりすましメールを送りつけてくることもあります。何らかの違和感を覚えた場合、依頼メールの署名欄にある電話番号ではなく、普段使用している電話番号に連絡をしたり、本人と直接確認するなど、送られてきたメール以外の手段で事実確認を行いましょう。

2.勤務先の規程に従って行動する

経営幹部や取引先などからメールで送金や機密情報の提供を依頼されたら、複数の担当者による承認プロセスを経るなど、必ず勤務先の規程に定められた手順に従って行動しましょう。たとえ、「緊急」や「極秘」などと書かれていても決められた承認プロセスを省略してはいけません。

3.メールのURLリンクや添付ファイルを不用意に開かない

たとえ、経営幹部や取引先から届いたメールでも、URLリンクや添付ファイルを不用意に開かないでください。URLリンクや添付ファイルの開封を促すメールは、受信者をフィッシングサイトへ誘導したり、標的のパソコンにウイルスなどの不正プログラムを送り込んだりするためにサイバー犯罪者が送りつけてきたものかもしれません。

4.IDとパスワードを適切に管理する

Webメールをはじめ、業務に関連するクラウドサービスのアカウント情報(IDとパスワード)を適切に管理してください。複数のサービスに同一のIDとパスワードを使いまわさない、第三者に推測されにくい複雑なパスワードを設定する、勤務先の規定に沿って管理することを徹底しましょう。

5.OSやソフトを正しく更新し、セキュリティソフトも最新の状態で利用する

セキュリティ対策の基本は、OSやソフトの開発元からアップデート通知が届いたら更新プログラムを適用し、脆弱性を修正することです。ただし、企業によってはシステム管理者がアップデートのタイミングを従業員に指示することもあるため、勤務先の規定に従いましょう。セキュリティソフトも最新の状態で利用してください。

]]>
http://rss.is702.jp/main/rss/3380_l.jpg
インシデント報告数微増傾向、JPCERT/CC 2018年第3四半期レポート JPCERTコーディネーションセンター(JPCERT/CC)は10月16日、最新のインシデント報告対応レポートを公開しました。 2018-10-17T00:00:00+09:00
JPCERT/CCでは、国内外において発生したインシデント(情報システムの運用におけるセキュリティ上の問題として捉えられる事象、コンピュータのセキュリティに関わる事件、できごとの全般)の事例について、3か月単位で情報をとりまとめています。今回は、2018年7月1日~9月30日の期間に受け付けたインシデント報告の統計および事例を紹介しています。

この期間に寄せられた報告件数(3か月合計)は3,908件。前四半期(4月~6月)から2%増加、前年同期と比べると15%減少しました。月次変化でみると、インシデント報告件数は前年11月の1,596件をピークに減少傾向を見せており、2018年6月にはほぼ最低水準の1,172件まで減少しました。しかし、7月:1,305件、8月:1,235件、9月:1,368件と、第3四半期ではふたたび微増の気配を見せています。

報告を受けたインシデントのカテゴリ別割合は、「フィッシングサイト」に分類されるインシデントが38.2%で最多。次いで「スキャン」に分類されるインシデントが34.1%となっています。このうち、フィッシングサイトに焦点を当てると、本四半期に報告が寄せられた件数は1,302件で、前四半期から7%増加、前年同期から29%もの増加となっています。

フィッシングサイトが装ったブランド件数の内訳は、国外ブランドが784件(60%)、国内ブランドが309件(24%)、その他不明は209件(16%)でした。それぞれの種別内訳をみると、国外ブランドではEコマースサイトの偽装がもっとも多く70.9%を占めています。一方で国内ブランドは通信事業者が34.7%、SNSが26.3%、金融が23.7%と大きく3つにわかれました。

また、サイト改ざんでは偽のマルウェア感染の警告や、 広告を表示するサイト、「アンケートに回答すると賞品が入手できる」と書かれた不審なサイト等に転送される事例が確認されました。

サイバー犯罪者は、日々新しい攻撃手法や手口を採り入れています。ユーザ側も対策として最新動向に注意しましょう。



インシデント報告件数の推移(JPCERT/CCのレポートより)

インシデント報告件数の推移(JPCERT/CCのレポートより)

]]>
https://is702.jp/img/dummy/dummy_th.gif
バックアップはなぜ必要?どう行えばいい? マイクロソフトが解説 日本マイクロソフトは、サイバー犯罪・サイバー攻撃による被害を減らす基本対策として、「セキュリティ基本対策5か条」を提言しています。同社のセキュリティチームは10月11日に「第5条 バックアップの取得を設定する」の解説を公式ブログで公開しました。 2018-10-12T00:00:00+09:00
【セキュリティ基本対策5か条】
第1条 最新の状態で利用する
第2条 アクションセンターで PC のセキュリティやメンテナンス状況に問題がないかを確認する
第3条 アカウントやパスワードを管理する
第4条 暗号化を行う
第5条 バックアップの取得を設定する

データ復旧には、なによりもバックアップが有効です。ランサムウェアによりデータが暗号化されたり、サイバー攻撃によりデータが消失したりしても、バックアップさえあれば復旧できる可能性があります。今回のブログ記事では、「第5条 バックアップの取得を設定する」に基づき、バックアップが必要な理由、バックアップ先としてのクラウドの利用、フォルダーのアクセスコントロール等を解説しています。

マイクロソフトでは、バックアップの保存先として同社のクラウドサービス「OneDrive」を紹介するほか、Windows 10 Fall Creators Updateで追加されたセキュリティ機能「フォルダー アクセス (Controlled Folder Access) 」を解説。あらためてバックアップの重要性をユーザに向けて説明しています。

「セキュリティ基本対策5か条」については、「Microsoft セーフティとセキュリティ センター」サイトで紹介されており、YouTube動画の視聴も可能です。



「OneDrive」のバージョン履歴画面。バックアップをしておけばここから復元できる可能性がある

「OneDrive」のバージョン履歴画面。バックアップをしておけばここから復元できる可能性がある

]]>
https://is702.jp/main/images/news/img_news34.jpg
マイクロソフトが10月のセキュリティ更新を公開、9月分で発生した問題も修正 マイクロソフトは10月10日、月例のセキュリティ更新プログラムを公開しました。深刻度「緊急」の脆弱性への対応が含まれており、JPCERTコーディネーションセンター(JPCERT/CC)も、注意を呼びかけています。 2018-10-10T00:00:00+09:00
対象となるソフトウェアは、「Internet Explorer」「Microsoft Edge」「Microsoft Windows」「Microsoft Office、Microsoft Office ServersおよびWeb Apps」「ChakraCore」「.NET Core」「SQL Server Management Studio」「Microsoft Exchange Server」です。

脆弱性を悪用された場合、リモートからの攻撃によって任意のコードを実行される可能性があります。一部の脆弱性については、すでに悪用が確認されていますので、各製品のユーザは、Microsoft UpdateやWindows Update等を用いて、システムの更新を至急行うのが望ましいでしょう。

なお、今回のセキュリティ更新プログラムを適用することで、9月の月例のセキュリティ更新プログラム適用後に確認されていた「仮想マシン上のNLBの問題」「PFX証明書の問題」「IKEv2を使ったVPN接続に関する問題」が解決されるとのことです。]]>
https://is702.jp/main/images/news/img_news1.jpg
「簡略版セクストーション」による被害発生中、詐欺メールで金銭要求 トレンドマイクロは10月3日、公式ブログで「『アダルトサイト経由のハッキング』で脅す詐欺メール、12日間で250万円を詐取か」と題する記事を公開しました。 2018-10-04T00:00:00+09:00
同社では、悪質な日本語詐欺メールの拡散を、9月19日から継続して確認。9月30日までの12日間で、少なくとも3万通の日本語詐欺メールが拡散したとしています。なお詐欺メールの送信は、10月に入ってもまだ継続しており、今後も注意が必要です。

詐欺メールの件名は「緊急対応!」「AVアラート」「あなたの心の安らぎの問題。」「すぐにお読みください!」等10種以上が使われており、本文もいくつかのバリエーションがありますが、いずれも「あなたがアダルトサイトへのアクセス時に録画されたビデオを周囲に流布されたくなければ金銭を支払え」という旨の内容です。不正ファイルの添付や不正サイトへの誘導リンク等はなく、文言だけで脅す手法ですが、送信元を受信者のメールアドレスに偽装したり、メールアカウントのパスワードを記載するなどの手口で、受信者を信じさせて不安をあおるような手法を用いています。

同社が確認した範囲では金銭を仮想通貨(ビットコイン)で550ドル~700ドルを支払うように要求してきます。支払い先としては、8件のビットコインアドレスが確認されており、そのトランザクションを10月1日時点で調査したところ、合計46件のトランザクションにより約3.4BTC(日本円で250万円相当)の入金が、日本だけで確認されました。これらのトランザクションがすべて詐欺メール関連のものかどうかは断定できませんが、その可能性は高いと考えられます。また、今回の「簡略版セクストーション」は複数の言語で日本以外の国でも攻撃が行われています。

今回のように、一度利益が得られることが判明した攻撃手口は、何度も繰り返される可能性が高くなります。その手口を知り騙されないようにすることが対策の1つとなります。また、不審なメールを可能な限りフィルタリングし、手元に届かないようにする対策の導入も重要です。



今回確認されている詐欺メールの件名とその使用割合

今回確認されている詐欺メールの件名とその使用割合

]]>
https://is702.jp/main/images/news/img_news26.jpg
いま知っておくべきネットの脅威と対策 2018年上半期は、どのようなネットの脅威が猛威を振るったでしょうか。ネットを安全に利用するために、私たちがいま知っておくべきサイバー攻撃の手口と対策を紹介します。 2018-10-04T00:00:00+09:00
2018年上半期の脅威をおさらい

いま知っておくべきネットの脅威と対策

2018/10/04
2018年上半期の脅威をおさらい いま知っておくべきネットの脅威と対策

2018年上半期は、フィッシング詐欺や仮想通貨を狙うサイバー攻撃、ビジネスメール詐欺が猛威を振るいました。家庭のルータを狙う新たな脅威も出現しています。2018年上半期を振り返り、いま、私たちが知っておくべきネットの脅威と対策をおさらいしましょう。

クレジットカード情報や認証情報をだまし取られる!?

フィッシング詐欺の勢いは一向に衰える気配がありません。これは、実在する通販サイトや銀行、クレジットカード会社、各種インターネットサービスなどの正規のログインページを装った偽サイト(フィッシングサイト)へ誘導し、そこで入力させた個人情報やクレジットカード情報、認証情報などを盗み出す手口です。トレンドマイクロの調査では、2018年上半期(1月~6月)に国内からフィッシングサイトへ誘導された利用者数が約290万に上り、これは前期(2017年7月~12月)と比較して2.7倍にあたり、過去最多を記録しました。

日本国内からフィッシングサイトに誘導された利用者数の推移

また、このフィッシング詐欺では、クレジットカード情報や、複数のインターネットサービスを利用できる共通のアカウント(例:Amazonアカウント、Microsoftアカウントなど)の認証情報が狙われやすい傾向にあることも明らかになりました。

実際に、著名なインターネットサービスの事業者を名乗って「アラート:あなたのアカウントは閉鎖されます。」などと呼びかけるフィッシングメールが確認されています。メール内のURLリンクを開いてしまうと、このサイトの本物のログインページに似せたフィッシングサイトへ誘い込まれ、そこでIDやパスワードを入力すると、認証情報を盗み取られてしまいます。「アカウントの異常な操作を検出しました。」などの文言で受信者の不安をあおり、メールの真偽を判断する心理的な余裕を与えないなど、フィッシングメールの内容は非常に巧妙です。

Amazonカスタマーセンターをかたるフィッシングメール

【対策ポイント】

  • メールやSNSのURLリンクを不用意に開かない
  • 詐欺の手口や狙いを知る
  • 個人情報や金銭に関わる情報の入力は慎重に行う
  • OSやアプリ、セキュリティソフトを最新の状態で利用する

企業に多大な損失をもたらすビジネスメール詐欺に要注意

法人を狙ったフィッシング詐欺にも警戒が必要です。業務メールにクラウドサービスを利用する法人がメールアカウント情報をだまし取られ、メール内容を盗み見られたり、窃取したメールアカウントを使って迷惑メールをばらまかれたりした事案は2018年4月から6月までに9件公表されています。

法人を狙うフィッシング詐欺では、経営幹部や人事担当者のフリをして業務メールシステムへの再ログインを呼びかけるメールを従業員に送りつけ、そこから偽のログインページへ誘導する手口が確認されています。そのほかにも、従業員にメールを返信させることで必要な情報をだまし取るシンプルな手口にも注意が必要です。

業務メールアカウント情報の詐取は、企業に多大な損失をもたらしているビジネスメール詐欺(Business Email Compromise、BEC)の準備段階として行われる可能性があります。ビジネスメール詐欺とは、業務メールの盗み見を発端として、経営幹部や取引先などになりすまし、金銭や特定の情報を騙し取るサイバー犯罪の総称です。

ビジネスメール詐欺の特徴の1つは、サイバー犯罪者が標的の企業や組織を十分に調査して詐欺に利用できる情報や弱点を特定することです。たとえば、業務メールにクラウドサービスを利用する企業や組織を標的とするサイバー犯罪者は、何らかの方法で従業員からメールアカウント情報を盗み出し、メールの内容を盗み見します。その上で信ぴょう性が見た目上は高い業務に関わるメールを仕立て、従業員や取引先を巧みにだまします。

【対策ポイント】

  • メールを注意深く確認し、少しでも違和感を覚えたらメール以外の手段で差出人に事実確認をするか、セキュリティ管理者に通報する
  • 経営幹部や取引先から通常とは異なる口座への送金などをメールで依頼された場合は、メール以外の手段で差出人と事実確認をし、社内ルールに定められた手順に従って対応する
  • メールの添付ファイルやURLリンクを不用意に開かない
  • OSやセキュリティソフトを最新の状態で利用する

仮想通貨を不正に取得するサイバー攻撃が拡大中

2018年上半期は、Bitcoin(ビットコイン)などの仮想通貨を不正に得ようとするサイバー攻撃も相次ぎました。2017年から流行しているのは、他人のパソコンなどで勝手にマイニング(仮想通貨発掘)を行う不正マイニングです。マイニングとは、コンピュータの処理能力を使って仮想通貨を得る仕組みのことで、これ自体は不正なものではありません。

しかし、これに目をつけたサイバー犯罪者は、他人のパソコンなどへ不正にコインマイナー(仮想通貨発掘ツール)を仕込むことで端末の処理能力や電力などを盗用し、仮想通貨を得ようとしています。2018年上半期に国内で確認されたコインマイナーの検出台数は、2017年下半期の約1.3倍にあたる約41万件に達しました。パソコン以外にも、スマホ、WebカメラなどのIoT機器を乗っ取り、勝手にマイニングを実行する不正行為も横行しています。さらに、企業内ネットワークも攻撃者による不正マイニングからの脅威にさらされています。

ユーザが所持する仮想通貨を直接奪い取るサイバー攻撃も拡大傾向にあります。たとえば、実在する仮想通貨取引所を名乗って「アカウントの侵害から保護するため預かっている資金を凍結した」などと呼びかけるフィッシングメールを送りつけ、受信者にパスワードのリセットを求める手口が確認されました。メール内のURLリンクを開くと偽の仮想通貨取引所サイトのログインページに誘導され、そこで入力したメールアドレスやパスワード、二段階認証コードなどを盗み取られてしまいます。

国内仮想通貨取引所を狙うフィッシングメールの表示例

そのほかの手口では、Facebook Messenger経由で不正なChrome 拡張機能の「FacexWorm(フェイスエックスワーム)」を追加させ、仮想通貨取引所サイトの認証情報を盗み出したり、仮想通貨の取引処理を乗っ取る手口も確認されました。

※画像をクリックすると拡大されます。

【対策ポイント】

  • アプリを入れるときは公式のアプリストアを利用する
  • メールやSNSのURLリンクを不用意に開かない
  • 個人情報や金銭に関わる情報の入力は慎重に行う
  • OSやセキュリティソフトを最新の状態で利用する

セキュリティに不備のあるルータが攻撃対象に

パソコンやスマホ、IoT機器がインターネットの出入り口として経由するルータを狙うサイバー攻撃も続いています。たとえば、ルータの脆弱性(セキュリティ上の欠陥)を攻撃することでルータの設定を書き換える手口が確認されています。万一、ルータのDNS設定を書き換えられた場合、ルータと接続しているパソコンやスマホからインターネットに接続した際に、ルータ上で行き先を変更され、気づかないうちに不正サイトへ誘い込まれてしまう恐れがあります。トレンドマイクロの調査では、DNS 設定が書き換えられてしまったルータに接続している端末を、不正サイトへ誘導してAndroid 向け不正アプリをダウンロードさせる手口を確認しました。

サイバー犯罪者はセキュリティ上の欠陥や不備を突いてルータを侵害し、さまざまな不正活動を行います。ルータのセキュリティ設定を見直しておきましょう。

【対策ポイント】

  • ファームウェアを最新に保ち、利用可能であれば自動更新設定を有効にする
  • 利用を開始する前に、ルータの管理画面に入るためのIDとパスワードを変更する
  • メーカーのサポートが終了している古いルータを使っている場合には、買い換えを検討する
]]>
http://rss.is702.jp/main/rss/3375_l.jpg
さらに新たな脆弱性、「Adobe Acrobat および Reader」は最新版に更新を JPCERTコーディネーションセンター(JPCERT/CC)および独立行政法人情報処理推進機構(IPA)は10月2日、アドビシステムズの「Adobe Acrobat」および「Adobe Acrobat Reader」に脆弱性が存在するとして、注意を呼びかけました。両ソフトについては、9月にも脆弱性に関して注意喚起がありました。 2018-10-03T00:00:00+09:00
それによると、アドビシステムズのPDFファイル閲覧ソフトウェア「Adobe Acrobat Reader」およびPDFファイル作成・変換ソフトウェア「Adobe Acrobat」には複数の脆弱性(APSB18-30)があるため、悪意のある第三者が細工したコンテンツを開いた場合、任意のコード(命令)が実行される恐れがあるとのことです。なお、アドビシステムズからは、「過去に攻撃リスクが高いとされたことのある脆弱性」としてアナウンスされています。

対象となる製品とバージョンは、以下のとおりです。

・Adobe Acrobat DC Continuous (2018.011.20063) およびそれ以前
・Adobe Acrobat Reader DC Continuous (2018.011.20063) およびそれ以前
・Adobe Acrobat 2017 Classic 2017 (2017.011.30102) およびそれ以前
・Adobe Acrobat Reader 2017 Classic 2017 (2017.011.30102) およびそれ以前
・Adobe Acrobat DC Classic 2015 (2015.006.30452) およびそれ以前
・Adobe Acrobat Reader DC Classic 2015 (2015.006.30452) およびそれ以前

いずれもさらに新しいバージョンが公開されており、アップデートすることで脆弱性は解消されます。JPCERT/CCでは、最新バージョンへの更新を推奨しています。]]>
https://is702.jp/main/images/news/img_news9.jpg
アカウントやパスワードの管理について、マイクロソフトが基本対策を提案 日本マイクロソフトは、サイバー犯罪・サイバー攻撃による被害を減らす基本対策として、「セキュリティ基本対策5か条」を提言しています。同社のセキュリティチームは、この9月よりそれぞれの項目について、改めて紹介しており、9月27日に「第3条 アカウントやパスワードを管理する」の解説が、公式ブログにて公開されました。 2018-10-01T00:00:00+09:00
【セキュリティ基本対策5か条】
第1条 最新の状態で利用する
第2条 アクションセンターで PC のセキュリティやメンテナンス状況に問題がないかを確認する
第3条 アカウントやパスワードを管理する
第4条 暗号化を行う
第5条 バックアップの取得を設定する

「第3条 アカウントやパスワードを管理する」では、「1つのアカウントを複数の人で共有しないこと」「1人ずつアカウントを作成すること」「家庭内で家族が利用する共有PCであっても、それぞれのアカウントを作ること」を推奨しています。

また、パスワードについては「英数字記号、大文字小文字を組み合わせること」「8桁以上の推測されにくいものを設定すること」「複数のサービスで同じパスワードを使いまわさないこと」「多要素認証や生体認証も活用すること」を推奨しています。

「セキュリティ基本対策5か条」については、「Microsoft セーフティとセキュリティ センター」サイトで紹介されており、YouTube動画の視聴も可能です。]]>
https://is702.jp/main/images/news/img_news25.jpg
「Adobe Reader」「Acrobat」に新たな脆弱性、最新版への更新を JPCERTコーディネーションセンター(JPCERT/CC)および独立行政法人情報処理推進機構(IPA)は9月20日、アドビシステムズの「Adobe Reader」および「Acrobat」に脆弱性が存在するとして、注意を呼びかけました。 2018-09-25T00:00:00+09:00
それによると、アドビシステムズのPDFファイル閲覧ソフトウェア「Adobe Reader」およびPDFファイル作成・変換ソフトウェア「Adobe Acrobat」には複数の脆弱性(APSB18-34)があるため、悪意のある第三者に悪用された場合、アプリケーションの異常終了や、パソコンの不正制御など様々な被害が発生する恐れがあるとのことです。

対象となる製品とバージョンは、以下のとおりです。

・Adobe Acrobat DC Continuous (2018.011.20058) およびそれ以前
・Adobe Acrobat Reader DC Continuous (2018.011.20058) およびそれ以前
・Adobe Acrobat 2017 Classic 2017 (2017.011.30099) およびそれ以前
・Adobe Acrobat Reader 2017 Classic 2017 (2017.011.30099) およびそれ以前
・Adobe Acrobat DC Classic 2015 (2015.006.30448) およびそれ以前
・Adobe Acrobat Reader DC Classic 2015 (2015.006.30448) およびそれ以前

いずれもさらに新しいバージョンが公開されており、アップデートすることで脆弱性は解消されます。JPCERT/CCでは、最新バージョンへの更新を推奨しています。]]>
https://is702.jp/main/images/news/img_news9.jpg
日本を標的としたスパムメール50万通拡散、IQYファイルを不正利用 トレンドマイクロは9月10日、公式ブログで「IQYファイルを利用するマルウェアスパム、日本のみを標的に50万通拡散」と題する記事を公開しました。今年8月上旬に初確認された、拡張子「.iqy」のファイルが添付された日本語スパムメールに関する続報です。 2018-09-11T00:00:00+09:00
この事例では、「お世話になります」「ご確認ください」「写真添付」「写真送付の件」といった件名で、マルウェアスパムが送られてきます。添付ファイルの拡張子は、見慣れない「.iqy」というものですが、これは「Internet Query」の略です。通常は、Webサイトからデータを取り込むため、Microsoft Excelに関連付けられています。ファイルをExcelで開き、スクリプトを実行してしまうと、最終的なマルウェアに感染します。「.iqy」拡張子の添付ファイルによる攻撃は、海外では5月下旬以降に見られましたが、日本ではこれが初確認でした。

今回の調査では、ボットネット「CUTWAIL」によるスパムメール送信活動であることが確認されました。この活動は、特に日本のユーザを対象としており、2018年8月6日~10日の間だけで、約50万件のスパムメールの拡散が確認されました。

このIQYファイルは、感染PCが日本のIPアドレスだった場合、「BEBLOH」または「URSNIF」をダウンロードして実行しますが、別の国からのIPアドレスが検出された場合、マルウェアのダウンロードは実行されません。「BEBLOH」と「URSNIF」は、2016年から現在までに日本で最も顕著な活動を見せているオンライン銀行詐欺ツール(バンキングトロジャン)です。

ユーザは、引き続き不審なメールに注意するとともに、最新の更新プログラムやセキュリティ対策製品を導入するのが望ましいでしょう。



2018年8月5日~10日に検出されたスパムメールの量

2018年8月5日~10日に検出されたスパムメールの量

]]>
https://is702.jp/main/images/news/img_news24.jpg
セキュリティ対策の極意を伝授、東京都が中小企業向けサイトを公開 東京都(産業労働局)は9月7日、中小企業向けにサイバーセキュリティを解説するポータルサイトを公開しました。 2018-09-10T00:00:00+09:00
東京都では、警視庁、中小企業支援機関、サイバーセキュリティ対策機関等と連携して「Tcyss」(Tokyo Cyber Security Support network for small and medium enterprises、東京中小企業サイバーセキュリティ支援ネットワーク)を2016年4月に設立。サイバーセキュリティに関する意識啓発、情報共有、相談対応を行ってきました。2017年には小冊子「中小企業向けサイバーセキュリティ対策の極意」も配布しています。

今回公開されたサイトは、「中小企業向けサイバーセキュリティ対策の極意」の内容を引き継ぎ、ポータルサイトを通じて、中小企業支援を行うものです。イラストを多く用いた構成で、初心者向けの内容を掲載しており、なるべく専門用語を使わず、サイバー攻撃について解説しています。

サイトは、PCまたはスマートフォンのどちらからでも閲覧可能です。



「中小企業向けサイバーセキュリティ対策の極意」サイトトップページ(東京都の発表資料より)

「中小企業向けサイバーセキュリティ対策の極意」サイトトップページ(東京都の発表資料より)

]]>
https://is702.jp/main/images/news/img_news35.jpg
ChromeとFirefoxが大幅アップデート、Chromeはパスワード自動生成を搭載 Googleは米国時間9月4日、ブラウザソフト「Chrome」の最新版「Chrome 69」を公開。一方Mozillaは翌5日に、「Firefox」の最新版「Firefox 62」を正式公開しました。いずれもユーザインターフェイスデザインの変更を含む、大幅なアップデートとなっています。 2018-09-07T00:00:00+09:00
Chromeでは、セキュリティ強化の観点からHTTPS対応(常時SSL)を推奨しています。そのため、米国時間7月24日に公開された「Chrome 68」以降、HTTPにしか対応していないサイトでは、アドレスバーに「not secure(保護されていません)」という警告が表示されています。この方針は「Chrome 69」でも蹈襲されています。

「Chrome 69」では、ブックマークを選択した際の表示が四角から丸に変更される等、丸みを帯びた、より柔らかなデザインに変更されました。機能面では、新しいサービスを利用するときに、ログインパスワードが自動生成できる機能を追加。パスワードは共通で保存され、GoogleアカウントにログインすればPCでもスマートフォンでも利用可能です。

一方「Firefox 62」も大幅なアップデートを実施。タブページ「Firefox Home」の強化、CSS Shapes、CSS Variable Fontsのサポートのほか、一部TLS証明書を無効化してテストするための機能が追加されています。

「Chrome」「Firefox」は、それぞれのサポートサイトから最新版がダウンロード可能です。



アカウント作成におけるChromeのパスワード自動生成のサンプルイメージ

アカウント作成におけるChromeのパスワード自動生成のサンプルイメージ

]]>
https://is702.jp/main/images/news/img_news34.jpg
情報窃取を狙うサイバー攻撃で勤務先や取引先を危険にさらさないために行うべきこと 情報窃取を目的にした標的型サイバー攻撃の勢いは一向に衰える気配を見せません。この攻撃では、企業や組織のネットワークに侵入するために従業員の行動の隙を突いてきます。その手口を押さえ、勤務先を危険にさらさないようにするための5つの対策をご紹介します。 2018-09-06T00:00:00+09:00
「自分は狙われるはずがない」は大きな誤解

情報窃取を狙うサイバー攻撃で勤務先や取引先を
危険にさらさないために行うべきこと

2018/09/06
「自分は狙われるはずがない」は大きな誤解 情報窃取を狙うサイバー攻撃で勤務先や取引先を危険にさらさないために行うべきこと

情報窃取を目的にした標的型サイバー攻撃の勢いは一向に衰える気配を見せません。この攻撃では、企業や組織のネットワークに侵入するために従業員の行動の隙を突いてきます。その手口を押さえ、勤務先を危険にさらさないよう5つの対策を実践しましょう。

標的型サイバー攻撃が重大な情報漏えいの引き金に

標的型サイバー攻撃は現在も継続しています。これは、企業や組織が保有する個人情報や技術情報、機密情報を盗み出すことを目的に行われる一連のサイバー攻撃を指しています。

この攻撃の多くは、企業や組織に属する従業員のパソコンに遠隔操作ツール(RAT:Remote Administration Tool)と呼ばれる不正プログラムを感染させ、標的組織のネットワークに侵入することから始まります。RATはサイバー犯罪者からの命令を受けてネットワーク内を探索し、目的の情報を盗み出します。

警察庁の発表によると、標的のネットワークへの侵入口となる標的型メールは近年増加傾向にあります。

標的型メール攻撃の件数の推移

*出典:「平成29年中におけるサイバー空間をめぐる脅威の情勢等について」(警察庁)
https://www.npa.go.jp/publications/statistics/cybersecurity/data/H29_cyber_jousei.pdf

また、トレンドマイクロが2017年に行った調査では、ネットワーク監視対象の企業や組織の約7割が標的型サイバー攻撃にさらされた疑いがあることもわかりました。そのうちの約4割では、実際にRAT本体の検出やRATからの不正な通信の発生が認められています。この結果から、多くの企業や組織が標的型サイバー攻撃にさらされているにも関わらず、それに気づいていない実態がうかがえます。

従業員を巧みにだます標的型メールの手口

標的型サイバー攻撃の多くは、メールが起点になります。企業や組織の従業員にメールを送りつけ、それに添付した不正なファイルを開かせることで遠隔操作ツール(RAT)に感染させ、標的のネットワークに侵入します。

サイバー犯罪者は、従業員にメールの添付ファイルを開かせるためにさまざまな工夫を凝らします。その1つが、実在する部署や人物、取引先などを装って通常の業務メールに見せかけることです。受信者に不信感を抱かせぬよう、もっともらしい件名や本文、署名を記述し、議事録や内部資料などに見せかけた添付ファイルを開かせようとします。

また、外部からの問い合わせを装うメールを送りつけ、受信者が添付ファイルを開かざるを得ない状況に持ち込むこともあります。トレンドマイクロによる調査では、「あなたの組織へのなりすましメールを転送するので確認してほしい」などと本文に記載し、添付ファイルを開かせようとする標的型メールを確認しました。

標的型メールでは、Gmail やYahoo!メールなどの無料で取得できるフリーメールが使用されるケースも多く、受信者が攻撃を察知できるポイントの 1つになっています。ただ、送信元のフリーメールアドレスから受信者の注意をそらす手法は巧妙です。たとえば、受信トレイ上の送信者のメールアドレスを表す 差出人情報に、“送信者名”<SAMPLE@sample.co.jp>などと見出しのように表示するテクニックがあります。また、フリーメールを使用していてもそれほど違和感のないフリーランスの仕事関係者や就職活動中の学生などを装うことで受信者の油断を誘うこともあるため注意が必要です。

従業員一人ひとりができる5つの対策

標的型サイバー攻撃は、企業や組織の規模、業種、地域を問わない脅威です。サイバー犯罪者にとって標的とするか否かの判断基準は、盗み出した情報から利益を得られるかどうかです。サイバー犯罪者が企業や組織にまず侵入するにあたっては、従業員一人一人が誰かは関係ないのです。自分は狙われるような情報を扱っていない、狙われるはずはないと過信をせずに、従業員一人ひとりの心がけが重要です。企業や組織を標的型サイバー攻撃から守るために従業員が行うべき5つの対策を紹介します。

1.サイバー攻撃の手口や狙いを知る

標的型サイバー攻撃の手口や狙いを知ることで、標的型メールを受け取っても冷静に対処し、勤務先や取引先を危険にさらす不用意な行動を回避できるはずです。最新の脅威情報を知るには、セキュリティ事業者や団体の公式SNSなどをフォローするのも方法の一つです。

2.SNSで不必要に企業や組織の情報を公開しない

SNSでは、業務メールアドレスや勤務先の内部情報などの公開を控えてください。SNSは、サイバー犯罪者にとって格好のスパイ活動の場です。プロフィールや人間関係などを把握した上で信ぴょう性を高める標的型メールを作成し、あなたを罠にかけようとするかもしれません。見ず知らずの人物に攻撃のヒントを与えないよう、それぞれのSNSに適切な公開範囲を設定しておきましょう。SNSの利用について勤務先が定めるガイドラインやポリシーを確認しておくことも大切です。

  • SNSの利用ルールを確認
  • LINEタイムラインのプライバシー設定

3.メールの添付ファイルやURLリンクを不用意に開かない

たとえ、実在する部署や人物、取引先から届いたメールでも無条件に信用してはいけません。どんなにそれらしい内容でも、添付ファイルやURLリンクを開かせようとするメールには要注意です。たとえば、無害なメールのやり取りで従業員を油断させてから不正ファイルを送りつけてくることもあります。1通目にパスワード付きの圧縮ファイルを送りつけ、2通目にパスワードを記載するなど、ビジネスの慣習に則ることでメールの信ぴょう性を高める手口も確認されています。

「普段メールをしてこない相手から唐突なメールを受け取った」「いつものメールと言葉遣いが違う」など、何らかの違和感を覚えるメールを受け取ったら、メール以外の手段で事実確認をしましょう。メールの真偽を判断できない場合は、所属先のセキュリティ管理者に通報してください。

4.システム管理者からシステムアップデートの通達が届いたらすぐに対応する

パソコンやスマートフォンなどのOSおよびソフト(アプリケーション)の脆弱性(セキュリティ上の欠陥)を悪用した攻撃への対策は不可欠です。脆弱性が存在するパソコンやスマートフォンなどは、ウイルス感染や不正操作のリスクが高まります。OSやソフトの開発元からアップデート通知が届いたら更新プログラムを適用し、脆弱性を修正するのが基本です。ただし、企業によってはシステム管理者が更新プログラム適用による社内システムへの影響を検証し、その緊急性や安全性を確認してからアップデートのタイミングを従業員に指示することもあります。OSやソフトに更新プログラムを適用するタイミングについては勤務先の規定に従いましょう。

5.業務用端末でのセキュリティ製品の利用

上記4つの対策に加え、業務で使用するPC、スマートフォン、タブレットなどの端末にはセキュリティ管理者の定めるセキュリティ製品をインストールし、サイバー攻撃を防ぐ対策を強化しましょう。また、個人所有の端末を業務用として利用することが許可されている組織では、より一層の配慮を心がけましょう。

]]>
http://rss.is702.jp/main/rss/3364_l.jpg
国内フィッシング詐欺攻撃過去最大規模に、2018年上半期分析 トレンドマイクロは9月3日、公式ブログで「『クラウド時代の認証情報』を狙いフィッシング詐欺が急増、2018年上半期の脅威動向を分析」と題する記事を公開しました。同日に公開した、日本と海外の脅威動向を分析した報告書「2018年上半期セキュリティラウンドアップ」をもとにした内容です。 2018-09-04T00:00:00+09:00
それによると、2018年上半期(1月~6月)の特徴的な動向として、「ランサムウェア」の攻撃が急減した一方で、不正マイニング等の仮想通貨を標的とした脅威が、世界的に拡大しました。

日本では、フィッシング詐欺が急増。フィッシングサイトへの誘導件数は、2018年上半期の6か月間で、過去最大の290万件超になりました。この数値は、前期(2017年下半期)と比べても2.7倍となっており、急激な増加を見せています。

具体的な攻撃内容を見ると、2018年上半期に確認された攻撃の半数近くが、クレジットカード情報と同時に、「Apple ID」や「マイクロソフトアカウント」といった、複数サービスを利用できる「クラウドサービスアカウント」を狙ったものでした。法人組織のアカウントを詐取する被害も表面化しており、教育機関や民間企業で9件の事例が公表されています。こうした攻撃は、海外では、ビジネスメール詐欺(BEC)や標的型サイバー攻撃の前段階として行われていることがあるため、国内法人についても危険度が高まっていると考えられます。

そのほか詳細なデータは、トレンドマイクロのサイトよりPDFファイルとしてダウンロード・閲覧可能です。



「2018年上半期セキュリティラウンドアップ」表紙

「2018年上半期セキュリティラウンドアップ」表紙

]]>
https://is702.jp/main/images/news/img_news13.jpg
Office 365、10月31日よりTLS 1.0/1.1での接続を無効化 マイクロソフトでは、暗号プロトコル「TLS」(Transport Layer Security)について、より安全で新しい「TLS 1.2」以降への移行を推奨しています。 2018-09-03T00:00:00+09:00
「TLS」は、インターネットにおいて安全な通信を行うためのセキュリティプロトコルです。バージョンが新しくなるに従い、脆弱性を使った攻撃への対策、より強い暗号アルゴリズムへの対応等が採り入れられています。

そのためマイクロソフトでは、Office 365サービスにおいて、古い「TLS 1.0」「TLS 1.1」のサポート廃止を予定しています。具体的には、10月31日より、クライアントとサーバ間、ブラウザとサーバ間のすべての組み合わせで、「TLS 1.2に対応したOSやクライアントソフトを利用する」という切り替えが必要です。なおWindowsについては、現時点での最新版といえる「TLS 1.2」が、Windows 7以降、標準搭載となっていますが、有効化されていない場合もあるため確認を行ってください。

使用できないクライアントの一例として、マイクロソフトでは以下を挙げています。10月31日以降、これらのクライアントを利用してOffice 365を利用した場合、何らかの不具合が起きる可能性がありますので、最新版等に移行してください。

・Android 4.3およびそれ以前のバージョン
・Firefox 5.0およびそれ以前のバージョン
・Windows 7上のInternet Explorer 8~10およびそれ以前のバージョン
・Windows Phone 8.0上のInternet Explorer 10
・Safari 6.0.4/OS X10.8.4およびそれ以前のバージョン]]>
https://is702.jp/img/dummy/dummy_th.gif
セキュリティインシデント対応コスト、発覚経緯や攻撃内容で大きな違い 損保ジャパン日本興亜、SOMPOリスケア、トレンドマイクロの3社は8月28日、「セキュリティインシデントに関する被害コスト調査」の結果を発表しました。 2018-08-31T00:00:00+09:00
この調査は、セキュリティインシデントにおける具体的な対応コストの実態を把握することを目的に、2018年4月に実施。日本に在住している、民間企業における情報システム・セキュリティに関する意思決定者・意思決定関与者1,745名から回答を得ています。その結果、全体の43.9%を占める766名が、2017年1年間に被害額の発生する何かしらのセキュリティインシデントを経験していることが分かりました。

セキュリティインシデントにおける対応コストを「対外的コスト」と「対内的コスト」という視点で見ると、外部機関や顧客といった“社外からの通報”によりインシデントが発覚した場合、事業継続に必要な機器の調達や社告、コールセンター開設・増設等の「対外的コスト」の割合が対応コスト全体の59.0%を占めていました。

一方、社内のセキュリティ業務や社員からの連絡といった“社内からの通報”で発覚した場合、「対外的コスト」は44.7%に留まりました。特に「謝罪文作成・送付費用」は、“社外からの通報”だと全体コストに占める「対外的コスト」は9.4%だったのに対し、“社内からの通報”だと5.0%とほぼ半分になっています。これは、企業の説明責任やブランド・信頼の回復といったような企業存続に向けたコストがかさむためと推測されます。

またセキュリティインシデントを「サイバー攻撃」と「内部犯行」に分類し、それぞれにかかった対応コストを比較したところ、サイバー攻撃の場合は「営業継続費用」や「システム復旧費用」が増大する傾向がありました。逆に内部犯行の場合は「お詫び品・金券調達・送付費用」や「データ復旧費用」が膨らんでいました。

さらに、組織のセキュリティ対策を25項目・5段階の対策レベルで調査したところ、もっとも対策が進んでいる「対策レベル5」に属する企業は全体のわずか16.0%に留まることが分かりました。一方で対策の進んでいない「対策レベル2」と「対策レベル1」に属する企業は、56.7%と過半数を占めました。

本調査では、対策レベル5に属する組織においても、セキュリティインシデントの平均対応コストは約1億7,600万円になることが判明しています。各企業は、対策レベルを引き上げるとともに、被害を見据えた上での対策も重要なポイントになります。



インシデント対応コスト一覧(上)および発覚事由別被害コスト割合(下)

インシデント対応コスト一覧(上)および発覚事由別被害コスト割合(下)

]]>
https://is702.jp/main/images/news/img_news22.jpg
IE9・IE10・IE11に存在するVBScriptエンジンの脆弱性が明らかに トレンドマイクロは8月29日、公式ブログで「VBScriptエンジンのメモリ解放後使用(Use After Free)の脆弱性『CVE-2018-8373』により、IEでシェルコードの実行が可能に」と題する記事を公開しました。 2018-08-30T00:00:00+09:00
それによると、Internet Explorer(IE)に危険度の高い脆弱性が存在し、実際の攻撃でもすでに利用されていることが、7月中旬に確認されました。この脆弱性には識別番号「CVE-2018-8373」が割り当てられ、8月の月例セキュリティ更新プログラムで修正されました。「CVE-2018-8373」は、VBScriptエンジンの脆弱性で、IE9、IE10、およびIE11が影響を受けます。

「CVE-2018-8373」は、VBScriptエンジン「vbscript.dll」で新しく確認された「Use-After-Free(メモリ解放後使用、UAF)」の脆弱性です。実際に確認された攻撃コードには高度な難読化が施されており、特徴的な挙動がありました。

この攻撃は「2次元配列の長さ変更」「メモリへの書き込み/メモリからの読み取りを行うプリミティブ関数の実行」「メモリのコンテキスト構造を細工し、シェルコードを実行」という3段階で構成されており、最終的にシェルコードが実行可能なことが確認されています。

■対策
最新の更新プログラムを適用するとともに、セキュリティ対策製品を導入するのが望ましいでしょう。



「CVE-2018-8373」等を利用するVBScriptの例

「CVE-2018-8373」等を利用するVBScriptの例

]]>
https://is702.jp/main/images/news/img_news9.jpg
日本語の「ビジネスメール詐欺」がついに登場、今後の動向に要注意 独立行政法人情報処理推進機構(IPA)は8月27日、日本語による「ビジネスメール詐欺(BEC:Business E-mail Compromise)」の情報提供を受けたことを公表し、国内の企業・組織に向けて注意を呼びかけました。 2018-08-28T00:00:00+09:00
ビジネスメール詐欺とは、業務メールの盗み見を発端として、経営幹部や取引先などになりすまし、金銭や特定の情報を騙し取るサイバー犯罪の総称です。攻撃者は標的組織の情報をもとに、非常に巧妙な内容で受信者を騙そうとしてきます。これまでのビジネスメール詐欺は、英語のメールのやり取りを伴う海外取引で多く発生していましたが、今回報告された日本語によるビジネスメール詐欺は、攻撃者が本格的に日本の企業を対象として活動を行うようになった可能性を示しています。

IPAが運営する「J-CSIP」(サイバー情報共有イニシアティブ J-CSIP:Initiative for Cyber Security Information sharing Partnership of Japan )では、BECに関する情報提供を、2015年~2018年7月の間に計17件受けており、うち5件で金銭的被害が確認されています。そして2018年7月、J-CSIPの参加企業から初めて「日本語のビジネスメール詐欺」に関する情報提供があったとのことです。

7月に確認されたこの日本語のメールでは、差出人としてその企業のCEOの名前やメールアドレスが使用される等、巧妙に偽装されていました。情報提供者がメールに返信したところ、約5分後に返信があり、そのメールには「国際送金の必要がある」と記載されていました。これらのやりとりはすべて日本語で行われています。

日本語の文面によるビジネスメール詐欺が増加した場合、海外との取引がない国内の一般企業・組織も、被害に遭う可能性が急激に高まります。普段と異なる不審なメールに注意するとともに、改めて電信送金に関する社内規程の見直しや整備(チェック体制の整備)を進めるのが、今後は重要となるでしょう。

なおIPAでは、これまでに情報提供があった17件の事例、そのうち新たな手口や特徴がみられた5件の実事例について、攻撃の流れや技術的手口を解説したレポートをあわせて公開しています。



日本語のビジネスメール詐欺のメール(IPAの発表資料より)

日本語のビジネスメール詐欺のメール(IPAの発表資料より)

]]>
https://is702.jp/main/images/news/img_news35.jpg
ソフトウェアフレームワーク「Apache Struts2」に深刻な脆弱性 脆弱性対策情報ポータルサイト「JVN」は8月23日、「Apache Struts2」(アパッチストラッツ2)に脆弱性が存在するとして、注意を呼びかけました。同サイトを共同運営する独立行政法人情報処理推進機構(IPA)セキュリティセンターおよびJPCERTコーディネーションセンター(JPCERT/CC)も、あわせて情報を公開しています。 2018-08-24T00:00:00+09:00
「Apache Struts2」は、Webアプリケーションを構築するためのオープンソースのフレームワークです。今回発見された脆弱性「S2-057」(CVE-2018-11776)が悪用された場合、任意のコードを実行される可能性があります。細工したHTTPリクエストを送信することで、外部からでもこうした攻撃が可能なため、危険度は「Critical」と判定されています。

対象となるのは、Struts 2.3系列ではStruts 2.3.35より前のバージョン、Struts 2.5系列ではStruts 2.5.17より前のバージョン。なお本脆弱性の攻撃コードがすでに公開されています。利用者は、修正済みの最新版であるStruts 2.3.35およびStruts 2.5.17へ、速やかにアップデートしてください。



脆弱性を悪用した攻撃のイメージ(IPAの発表資料より)

脆弱性を悪用した攻撃のイメージ(IPAの発表資料より)

]]>
https://is702.jp/main/images/news/img_news1.jpg
Android端末の「ADB接続」を介してマルウェア拡散する攻撃を確認 トレンドマイクロは8月22日、公式ブログで「Android端末のADBポートが『Mirai』の亜種『Satori』の拡散に利用されていることを確認」と題する記事を公開しました。 2018-08-23T00:00:00+09:00
トレンドマイクロは、2018年7月9日~10日、15日の2度にわたり、「5555番ポート」(TCP)を狙う新しいマルウェア拡散攻撃を確認しました。第1波が主に中国と米国から、第2波が主に韓国からのものでした。

この攻撃では、Android端末のコマンドラインツール「Android Debug Bridge(ADB)」が利用されていました。ADBは、Androidアプリのインストールやデバッグを行う際に、開発者が使用するツールです。開発者はADBを通じて、Android端末にさまざまなコマンドを送ることができます。その接続の際に、5555番等のポートが利用されます。

今回の攻撃で確認されたマルウェアは、開放された5555番ポートを検索し、ADBでの接続を介して拡散することが判明しています。攻撃は3段階で行われ、第1段階では、ADB接続を介してシェルスクリプトを作成し実行します。この第1段階のシェルスクリプトが、さらに第2段階のシェルスクリプトをダウンロードします。そして第2段階のシェルスクリプトが第3段階のバイナリファイルをダウンロードし実行します。このバイナリファイルが、仮想通貨の発掘やワーム活動による拡散等の不正活動を行います。

このバイナリファイルを解析したところ、ボットネット「Mirai」の亜種「Satori」と関連性があることが判明しました。今回確認された検体とSatoriは、同一の作成者によるものだと考えられています。

なお、マルチメディアデバイス、スマートTV、携帯電話といった48,000以上のIoT機器が、ADBを介した攻撃の影響を受ける可能性があります。直接インターネットに露出していないAndroid端末でも、設定に不備がある場合、攻撃の影響を受ける可能性があるため、今後の動向に注意してください。

■対策
Android 端末の設定を変更しても問題がない場合は、「設定」から「開発者向けオプション」を選択し、「USB デバッグ」が無効になっていることを確認してください。「開発者向けオプション」自体が無効になっているまたは表示されていない場合は自動的に「USB デバッグ」も無効になっています。もし、自身のデバイスが今回の脅威に感染した疑いがある場合、工場出荷時に戻すことでマルウェアを削除することが可能です。

モバイル端末のユーザは、定期的にデバイスのオペレーティングシステム(OS)およびアプリケーションを最新版に更新してください。これにより、デバイスの機能改善だけでなく、悪用される恐れのある脆弱性に対処することが可能になります。



2018年7月に5555番ポートで確認された活動

2018年7月に5555番ポートで確認された活動



]]>
https://is702.jp/main/images/news/img_news34.jpg
Windowsが最新かどうかを確認しよう 軽井くんはWindowsが最新かどうかを尋ねられるもわけがわからず… 2018-08-23T00:00:00+09:00
ひろしとアカリのセキュリティ事情

Windowsが最新かどうかを確認しよう

2018/08/23

脆弱性が原因でウイルス感染!?

Windowsの脆弱性(ぜいじゃくせい)を放置していませんか?脆弱性は、プログラムの不具合や設計ミスが原因で生じるセキュリティ上の欠陥です。Windowsなどのソフトに脆弱性はつきものであり、ハッカーによるサイバー攻撃やセキュリティ専門家の調査によって初めてその存在が明らかになることも珍しくありません。

Windowsの脆弱性が存在するパソコンにはどのようなリスクがあるでしょうか。Windowsの脆弱性を悪用する攻撃はさまざまです。たとえば、脆弱性が存在するパソコンは、外部からの不正操作や情報漏えいなどの危険にさらされやすくなってしまいます。また、いつも利用している正規のWebサイトを閲覧しただけでいつの間にか脆弱性攻撃サイトへ転送され、ウイルスに感染してしまう危険性もあるのです。

では、Windowsの脆弱性を解消するためにはどうすればよいでしょうか。Windowsの開発元であるMicrosoft社は脆弱性を発見すると、それらを修正する更新プログラムを作成し、無償で提供します。ユーザはこれを適用し、脆弱性を解消することで脆弱性攻撃によるウイルス感染を防ぐことができます。

Windows 10では、Windows Updateの自動更新があらかじめ有効になっており、パソコンがネットに接続されていると自動で更新プログラムがダウンロード、インストールされます。ただし、Windows Updateは何らかの理由で失敗してしまうこともあることを肝に銘じておかなくてはなりません。Windows 10を搭載するパソコンに最新の更新プログラムが適用されているかどうかを定期的に確認する習慣をつけましょう。

Windows10での確認手順

デスクトップ画面左下の「スタート」 ボタンを右クリックし、「設定」へ進みます。Windowsの設定画面が開いたら、「更新とセキュリティ」を押し、画面左の「Windows Update」を選択します。最新の更新プログラムがインストールされている場合は、「最新の状態です」と表示されます。
※「更新プログラムのチェック」を押すと、未適用の更新プログラムが見つかることもあります。

最新の更新プログラムがインストールされていない場合には、更新プログラムが適用されていないため危険にさらされているというメッセージが表示されます。最新の更新プログラムを適用する場合は、「更新プログラムのチェック」を左クリックしましょう。「ダウンロード中」や「インストール中」などのメッセージが表示されるため、そのまましばらく待ちます。最新の更新プログラムのインストール後に再起動を求められたら起動中のアプリを終了し、「今すぐ再起動する」をクリックしましょう。

Windows Update画面内の「アクティブ時間の変更」では、通常パソコンを使用する時間帯に更新プログラムの適用に伴う再起動が自動的に行われないよう設定できます。「詳細オプション」で「Windows の更新時に他のMicrosoft製品の更新プログラムも入手します」をオンにし、Microsoft Office製品なども自動更新するよう設定しておくことをおすすめします。

ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
]]>
http://rss.is702.jp/main/rss/3355_l.jpg
違法・有害なネット情報、2017年は「リベンジポルノ」に関する相談が増加 一般社団法人セーファーインターネット協会(SIA)は8月20日、2017年の「違法・有害情報対策活動報告」を発表しました。 2018-08-21T00:00:00+09:00
SIAは、インターネットの悪用を防ぐ対策を立案・実行していく民間組織です。2013年11月から、民間による自主的取組みとして、違法・有害な情報が掲載されたサイトに関する通報を受け付け、削除要請等を行う「セーフライン」を開始。2016年4月からは、警察庁の受託事業として「インターネット・ホットラインセンター」も開始し、現在、2つのホットラインセンターを運営しています。「違法・有害情報対策活動報告」は、2つのホットラインの活動実績を取りまとめた情報となっています。

それによると、SIAが2017年の1年間で削除を依頼した違法・有害情報は1万8850件。そのうち87%が削除されました。項目別でみると「児童ポルノ」は94%、「わいせつ」は93%と、ともに9割以上が削除されました。

また、セーフラインに「リベンジポルノ」に関する相談を寄せた者は150名で、2016年の105名から大きく増加。この理由については、リベンジポルノ自体の増加もありますが、SIAの認知度が向上し、1人で悩まず相談する人が増えたためとも考えられるとのこと。一方で削除率については、2016年の削除率の91%から悪化し、79%に留まりました。これについてSIAは「1人で数百件を超える削除依頼だった事例が、複数件あったため」と説明しており、リベンジポルノ拡散が深刻化している現状がうかがえます。

SIAでは引き続き、行政・相談機関・事業者等の様々な関係者と連携を進めるとともに、シンポジウムの開催等にも取り組む方針です。




セーファーインターネット協会「セーフライン」のページ

セーファーインターネット協会「セーフライン」のページ



]]>
https://is702.jp/main/images/news/img_news31.jpg
新種ランサムウェア、アンダーグラウンドの掲示板で“利用者”を募集 トレンドマイクロは8月17日、公式ブログで「新しく確認された暗号化型ランサムウェア『PRINCESS EVOLUTION』がRaaS利用者を募集」と題する記事を公開しました。 2018-08-20T00:00:00+09:00
トレンドマイクロは8月に入り、脆弱性攻撃ツール(エクスプロイトキット)「Rig EK」を利用して拡散する新種のランサムウェアを確認しました。詳細に解析したところ、2016年に確認された暗号化型ランサムウェア「PRINCESS LOCKER」の新しいバージョン「PRINCESS EVOLUTION」(プリンセスエボリューション)であることが判明しました。

PRINCESS LOCKERとPRINCESS EVOLUTIONの大きな違いは、コマンド&コントロール(C&C)通信のプロトコルが、HTTPからUDPに変更されている点です。UDPはHTTPに比べ高速なデータ送信が可能です。

PRINCESS EVOLUTIONに感染すると、データの先頭部分が「XOR」と「AES」という2つのアルゴリズムで暗号化されます。またファイルの残り部分もAESで暗号化されます。そしてPRINCESS LOCKERと同一の身代金要求文書により、0.12Bitcoin(約8万5300円)の身代金を要求してきます。

PRINCESS EVOLUTIONは、「Ransomware as a Service」(RaaS:サービスとしてのランサムウェア)として提供されており、アンダーグラウンドの掲示板で“利用者”を募集していました。悪意のあるユーザは、利用料を払うだけで簡単にランサムウェアが利用可能です。アンダーグラウンドの掲示板では、PRINCESS LOCKERの開発者が、新しく作成したPRINCESS EVOLUTIONの利用者を募集する広告を投稿しており、支払われた身代金の60%がRaaS利用者の取り分、残り40%がランサムウェア開発者の取り分となっていました。

なお同時期の活動として、仮想通貨発掘ツール「Coinhive」を利用して不正な発掘活動を行うマルウェアも、不正広告を通じて拡散されていました。ランサムウェアに感染しなかったとしても、仮想通貨の発掘によって不正な利益を得ることを狙っていたと考えられます。

ランサムウェアによる攻撃は頭打ちになっており、地域によっては減少傾向にありますが、まだまだ重大な脅威です。引き続き注意してください。





「PRINCESS EVOLUTION」の身代金支払いページ(経過時間による身代金の上昇やビットコインによる支払い方法が記載されている)<br />

「PRINCESS EVOLUTION」の身代金支払いページ(経過時間による身代金の上昇やビットコインによる支払い方法が記載されている)



]]>
https://is702.jp/main/images/news/img_news7.jpg
マイクロソフトが8月のセキュリティ更新を公開、攻撃発生中のため至急適用を マイクロソフトは8月15日、月例のセキュリティ更新プログラムを公開しました。深刻度「緊急」の脆弱性への対応が含まれており、独立行政法人情報処理推進機構(IPA)およびJPCERTコーディネーションセンター(JPCERT/CC)も、注意を呼びかけています。 2018-08-17T00:00:00+09:00
対象となるソフトウェアは、「Internet Explorer」「Microsoft Edge」「Microsoft Windows」「Microsoft Office、Microsoft Office ServersおよびWeb Apps」「ChakraCore」「Adobe Flash Player」「.NET Framework」「Microsoft Exchange Server」「Microsoft SQL Server」「Visual Studio」です。

脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、リモートからの攻撃によって任意のコードを実行されたりする可能性があります。特に「CVE-2018-8373」「CVE-2018-8414」の2つの脆弱性について、すでに悪用されている事例がマイクロソフトにより確認されています。

被害が拡大するおそれがあるため、各製品のユーザは、Microsoft UpdateやWindows Update等を用いて、システムの更新を至急行うのが望ましいでしょう。]]>
https://is702.jp/img/dummy/dummy_th.gif
スマホを手に入れたら最初に確認したいセキュリティチェックリスト スマホを新しくしたら必ずやっておきたいのが、スマホを安全に使い続けるためのセキュリティ設定です。スマホでネット上のサービスやアプリを使い始める前に最低限チェックしておきたいポイントを紹介します。 2018-08-16T00:00:00+09:00
これだけは必ず押さえよう!

スマホを手に入れたら最初に確認したいセキュリティチェックリスト

2018/08/16
これだけは必ず押さえよう! スマホを手に入れたら最初に確認したいセキュリティチェックリスト

新たに手に入れたスマホを安全に使い続けるためには、最初のセキュリティ設定が肝心です。アカウント乗っ取り対策や、盗難、紛失対策、SNSやアプリの情報漏えい対策などは必須です。スマホを安全に利用するために、セキュリティで注意すべきポイントを確認しましょう。

スマホのセキュリティ設定は万全ですか?

iPhoneやAndroid端末などのスマホは、いまや日常生活において欠かすことのできないアイテムの1つです。読者の中には「便利なアプリを使いたい」などの理由で従来の携帯電話からスマホへの切り替えや、新機種の発売に合わせたスマホの買い替えを検討している方もいるのではないでしょうか。スマホの利用開始時、絶対に見過ごせないのがセキュリティです。今回は、スマホを安全に利用するために、最初に確認したいセキュリティ設定を紹介します。

スマホを手にしたら最初にセキュリティ設定を

●アカウント登録時のパスワード設定は慎重に

スマホ初回起動時の初期設定では、Apple ID(iPhoneの場合)やGoogleアカウント(Android端末の場合)の登録を求められます。Apple IDやGoogleアカウントは、AppleとGoogleそれぞれが提供する各種サービスを利用するために必要なIDとパスワードです。

すでにApple IDやGoogleアカウントをお持ちの方は、そのアカウントを使用することもできます。ここでは安全なパスワードを設定してください。たとえば、すでにご利用のSNSやオンラインストレージなどのサービスと同一のパスワードを使い回したり、単純な文字列のパスワードを使用したりすると、第三者にアカウントを乗っ取られるリスクが高まります。Apple IDやGoogleアカウントに限らず、ネット上のサービスのアカウント登録では、「すでに利用中のサービスとは異なるパスワードを設定すること」、「第三者に推測されにくい複雑なパスワードを使用すること」が重要です。

●スマホの盗難、紛失対策/第三者による不正操作を防ぐ

常に持ち歩くスマホは、盗難や紛失に遭いやすいものです。このため、スマホには必ず画面ロックをかけておきましょう。これは、一定時間触れずにいると自動で画面をロックしてくれるスマホの機能です。ロックを解除するためには、あらかじめ登録したパスワードや暗証番号を入力しなければならないため、第三者にスマホを不正操作されにくくなります。画面ロックの設定では、第三者に推測されにくいパスワードや暗証番号を必ず登録しましょう。

【iPhoneの場合】(iOS 11)
端末の「設定」から「Face IDとパスコード」へ進み、「パスコードをオンにする」を押します。任意の6桁の数字を2回続けて入力すれば、設定完了です。「パスコードを変更」へ進み、「パスコードオプション」を押せば、「カスタムの英数字コード」、「カスタムの数字コード」、「4桁の数字コード」などのロック方式も選択できます。また、「パスコードを要求」を押すと、自動的にロックされるまでの時間を変更できます。「即時」にしておくとより安全です。端末によっては、パスコードの代わりに指紋認証や顔認証も利用できます。

【Android端末の場合】(Android 8.0)
端末の「設定」から「セキュリティとプライバシー」に進み、「画面ロックとパスワード」を押します。「画面のロック」へ進み、「PIN(4~16桁の数字)」、「パスワード(4~16字の英数字)」、「パターン(4個以上の点をドラッグ操作で結ぶ)」のいずれかのロック方式を選択します。また、「安全なロック設定」へ進むと、自動的にロックされるまでの時間を変更できます。その時間が短ければ短いほど安全です。

●スマホの盗難、紛失対策/スマホの位置を特定する

万が一紛失したり盗難の被害にあった場合に備えて、GPS(位置情報サービス)を使ってスマホの現在地を追跡できるようにしておきましょう。「位置情報サービス」と「端末を探す」を有効にしておけば、端末の位置を特定したり、遠隔から端末をロックしたり、端末内のデータを消去したりすることができます。

【iPhoneの場合】(iOS11)

  • 位置情報サービスを有効にする

端末の「設定」から「プライバシー」へ進み、「位置情報サービス」をオンにします。

  • 「iPhoneを探す」を有効にする

端末の「設定」へ進み、上段のアカウント情報をタップします。「iCloud」を選択し、「iPhoneを探す」をオンにします。

【Android端末の場合】(Android 8.0)

  • 位置情報サービスを有効にする

端末の「設定」から「セキュリティとプライバシー」へ進みます。「位置情報サービス」をタップし、「現在地にアクセス」をオンにします。

  • 「端末を探す」を有効にする

端末の「設定」から「セキュリティとプライバシー」へ進み、「端末を探す」をオンにします。
※機種ごとに設定方法が異なります。所有する機種のマニュアルをご参照ください。

※紛失したAndroid端末を探す方法
https://support.google.com/accounts/answer/6160491?hl=ja

●SNSからの意図しない情報漏えいを防ぐ

スマホを手に入れたら、FacebookやInstagram、LINEなどのSNSを利用して友人や知人とのコミュニケーションを楽しみたいものです。SNSは手軽に情報共有したりコミュニケーションできることが魅力ですが、それゆえに個人情報やプライバシー情報を不用意に公開してしまいがちです。もし、それらの情報が意図しない相手や見ず知らずの人の目に触れてしまうと、ストーカーや脅迫などのトラブルを招いてしまうかもしれません。そこで必ず確認したいのは、SNSごとに用意されているプライバシー設定です。だれに見せるべき情報かを踏まえてそれぞれのSNSで適切なプライバシー設定を行い、プロフィールや投稿の公開範囲をコントロールしましょう。

  • FacebookとInstagramのプライバシー設定
  • LINEタイムラインのプライバシー設定

●アプリからの意図しない情報の漏えいを防ぐ

iPhone やAndroid 6.0以上の機種では、インストール済みのアプリに許可する権限を個別に制御できます。「位置情報へのアクセス」や「連絡先の読み取り」など、アプリが求める権限にはさまざまな種類があり、各アプリは与えられた権限の範囲内で動作します。アプリごとに適切な権限管理を行い、アプリを介して位置情報や連絡先情報を意図せず漏らしてしまうリスクを軽減しましょう。
※アプリの動作に必要な権限を拒否すると、アプリ本来の機能が失われることがあります。

【iPhoneの場合】(iOS 11)
端末の「設定」を押し、下部にあるインストール済みアプリの一覧から権限を確認したいアプリをタップします。不許可にしたい権限をオフにします。また、端末の「設定」から「プライバシー」に進めば、アプリごとに「位置情報サービス」や「連絡先」などにアクセスする権限を付与するか否かを選択できます。アプリ本来の機能を実現する上で不要と考えられる権限については、「許可しない」をチェックしておきましょう。

【Android端末の場合】(Android 8.0)
端末の「設定」から「アプリと通知」へ進み、「アプリ」をタップします。アプリ一覧から権限を確認したいアプリを選択して「権限」をタップし、不許可にしたい権限をオフにします。また、「設定」から「アプリと通知」へ進み、「権限」をタップすれば、「現在地」や「連絡先」などにアクセスする権限を付与するかどうかをアプリごとに選択できます。アプリ本来の機能を実現する上で不要と考えられる権限のチェックを外しておきましょう。

●不正アプリや詐欺サイトの危険を回避する

パソコンと同様、スマホにもセキュリティアプリをインストールし、常に最新の状態に保ちましょう。新たにインストールするアプリの危険度を事前に教えてくれたり、不正アプリを拡散する不正サイトや詐欺サイトへのアクセスを遮断したりしてくれます。セキュリティアプリの中には、紛失したスマホの場所を特定したり、遠隔ロックや遠隔データ消去したりする機能を持つものもあります。また、お子さんに渡すスマホにはペアレンタルコントロールを適用し、有害なWebサイトやアプリに近づけないよう制限をかけておきましょう。ペアレンタルコントロールを利用すれば、Webサイトの閲覧やアプリの使用、アプリのインストールを制限したり、ネットやアプリの1日の利用時間や利用可能時間帯を指定したりすることができます。

これらはスマホを安全に利用するために最初に確認すべきセキュリティ設定の一部です。トレンドマイクロが公開するセキュリティ学習資料も併せてご覧ください。

is702学習資料ダウンロードページはこちら

]]>
http://rss.is702.jp/main/rss/3353_l.jpg
拡張子「.iqy」のファイル付きメールに注意、1日で29万通が国内に拡散 トレンドマイクロは8月8日、公式ブログで「拡張子“.iqy”のファイルとは?1日でメール29万通が日本国内に拡散」と題する記事を公開しました。 2018-08-13T00:00:00+09:00
今年8月に入り、「お世話になります」「ご確認ください」「写真添付」「写真送付の件」といった件名で、拡張子「.iqy」のファイルが添付された不審なメールが、急速に拡散していることが確認されました。海外では5月下旬以降に見られていましたが、拡張子「.iqy」の添付ファイルが、日本語マルウェアスパムで利用されているケースは、初の確認とのことです。

添付ファイル名は、「8月」+「数字列」または「受信者名」+「数字列」で、拡張子「.iqy」が加わります。ファイル内容自体は同一で、トレンドマイクロの統計では、8月6日の1日のみで、29万件以上の同一ファイルの流通が確認されました。この攻撃は、まだしばらく流行すると考えられます。

拡張子「.iqy」のファイルは、本来は、Microsoft ExcelのWebクエリ機能(Internet Query)を利用するためのもので、「.iqy」ファイルを開くと、Webサイトからデータを取り込むために、Microsoft Excelが起動します。今回の攻撃は、この仕組みを悪用しており、不正スクリプトファイルをダウンロードさせて最終的にオンライン銀行詐欺ツール(バンキングトロジャン)「URSNIF(アースニフ)」に感染させようとします。Excelの起動時には警告メッセージが表示されますが、ここで不用意に許可してしまうと、不正スクリプトが動作してしまいます。

万が一、素性が不明な「.iqy」ファイルを開いてしまい、メッセージが表示された場合は、「無効にする」や「いいえ」といった選択肢を選ぶことで、マルウェアの侵入を防ぐことができるでしょう。または、Excelの「セキュリティセンター」の「ファイル制限機能の設定」において、「Microsoft Officeクエリファイル」を開かない設定にすることで、防止できます。





今回確認されている不審メールの例<br />

]]>
https://is702.jp/main/images/news/img_news3.jpg
スマホの設定時に注意すべきこと アカリは、お母さんのスマホデビューを手伝うようです 2018-08-09T00:00:00+09:00
ひろしとアカリのセキュリティ事情

スマホの設定時に注意すべきこと

2018/08/09

スマホのセキュリティは初めが肝心

スマホの買い替えや、携帯電話からスマホへの切り替えなどで、スマホを新しくしたらまずは初期設定を行う必要があります。スマホの設定時にセキュリティで注意すべきことを見ておきましょう。

GoogleアカウントやApple IDの設定

スマホの電源を入れ、言語やWi-Fiなどの設定を済ませると、Android端末ではGoogleアカウント、iPhoneではApple IDの登録を求められます。GoogleアカウントやApple IDは、GoogleやAppleそれぞれが提供する各種サービスを利用するためのIDとパスワードです。

すでにGoogleアカウントやApple IDを持っている方は、そのアカウントを使用することもできますが、ここで重要になるのはアカウント乗っ取りを防ぐためのパスワード設定です。SNSなどのサービスの利用開始時にも本人認証用のIDとパスワードを登録しますが、複数のサービスに同じパスワードを使い回したり、単純な文字列のパスワードを設定したりすると、アカウントに不正アクセスされるリスクが高まります。アカウントの登録、利用に当たっては、すでに利用中のサービスとは異なる、第三者に推測されにくいパスワードを必ず設定しましょう。

SNSのプライバシー設定

スマホを手に入れたら、FacebookやInstagram、Twitter、LINEなどのSNSを利用する方がほとんどではないでしょうか。SNSの利用開始時に必ずチェックしたいのがプライバシー設定です。だれに見せるべき情報かを踏まえて適切なプライバシー設定を行い、プロフィールや投稿の公開範囲を制限しましょう。

アプリごとの権限管理

Android 6.0以上の機種やiPhoneでは、インストール済みのアプリに許可する権限を個別に制御できます。このため、適切な権限管理を行えば、アプリを介してプライバシー情報を意図せず漏らしてしまうことを防げます。ポイントは、アプリに連絡先情報や位置情報へアクセスする権限を不用意、不必要に与えないことです。

  • <Android 8.0.0の場合>

「設定」から「アプリと通知」へ進み、「アプリ」を押します。アプリ一覧から権限を確認したいアプリを選択し、「権限」をタップ。不許可にしたい権限をオフにします。

  • <iPhoneの場合>

「設定」に進み、下部にあるアプリの一覧から権限を確認したいアプリをタップします。不許可にしたい権限をオフにします。

これらはスマホのセットアップ時に行うべきセキュリティ設定の一部です。セキュリティ学習資料も併せて確認し、スマホを安全に利用しましょう。

is702学習資料ダウンロードページはこちら

ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
]]>
http://rss.is702.jp/main/rss/3350_l.jpg
有名企業を騙るサイト&不正アプリ、7月さらに攻撃が拡大 トレンドマイクロは8月2日、公式ブログで「『スパムボット』化した不正アプリにより、7月に偽装SMS拡散が急拡大」と題する記事を公開しました。 2018-08-03T00:00:00+09:00
大手宅配業者に偽装したショートメッセージ(SMS)を送って不正サイトに誘導し、さらにAndroid向け不正アプリを導入させる攻撃が続いています。この攻撃は2017年末に登場し、今年に入っても続いていましたが、この7月に、さらに攻撃規模を拡大していることが判明しました。

この攻撃の活動内容ですが、7月より変化が見られました。もともと拡散される不正アプリは、「侵入端末内の情報窃取やモバイルバンキングアプリを、他の不正アプリに置き換える」というものでしたが、7月中旬に「不正アプリ自身から偽装SMSを送信する」という活動が追加されたことが、トレンドマイクロの解析によりわかりました。この変化の影響は大きく、国内モバイル端末から不正サイトにアクセスした利用者数を確認したところ、4~6月の3か月間で1600件程度だったのが、7月の1か月間だけで8000件を超えていたことが確認されています。

不正アプリは、実行されると30秒ごとに遠隔操作用サーバ(C&Cサーバ)に接続。C&CサーバからSMSの送信先電話番号とメッセージ本文のデータを受け取ると、感染端末上から偽装SMSを送信します。C&Cサーバからの指示によってSMS送信を行う活動は、「スパムボット」と同様です。

また、不正サイトにiOS端末でアクセスした場合は、携帯電話会社を偽装したフィッシング詐欺サイトへ転送されるケースもあるとのこと。Android端末だけでなくiOS端末のユーザも最新の手口を知り、不審なSMS内はよく確認し、安易にURLにアクセスしないことを推奨します。

Android端末では、セキュリティ設定の「提供元不明のアプリのインストールを許可する」を無効にしておくことで、正規マーケットであるGoogle Play以外からの不用意なアプリインストールをブロックできます。自身の使用端末の設定を今一度確認してください。



偽装されたSMSメッセージにより誘導される不正サイトの例<br />

偽装されたSMSメッセージにより誘導される不正サイトの例



]]>
https://is702.jp/main/images/news/img_news27.jpg
「STOP! パスワード使い回し!」、注意呼びかけキャンペーンが8月1日より開始 JPCERTコーディネーションセンター(JPCERT/CC)は、8月1日より「STOP! パスワード使い回し! キャンペーン2018」を開始しました。キャンペーン期間は8月31日までの予定です。 2018-08-02T00:00:00+09:00
ここ数年、「パスワードリスト攻撃」等による不正ログイン被害が、継続的に発生しています。同一のアカウントやパスワードを複数サービスで使い回していると、1か所の認証情報が漏えいしただけで、他サイトへの侵入を許す可能性が高まります。

その対策の1つとして、「複数のインターネットサービスで同じアカウントIDやパスワードを使い回さず、適切に使い分けること」が推奨されています。このため、JPCERT/CCおよび協賛企業・組織では毎年、「STOP! パスワード使い回し!」キャンペーンを実施し、注意を呼びかけています。

JPCERT/CCではキャンペーンページを公開。情報漏えいの仕組みの他、安全なパスワードの作り方のコツ、パスワードの管理方法、インターネットセキュリティの活用方法等を紹介しています。基本的な対策としては、「長めでいろんな文字種を使ったパスワードを推奨(12文字以上、大小英字・数字・記号を併用)」「生年月日や単純な文字の並びは含めない」「他のサービスで使用しているパスワードは使用しない(サービスごとにパスワードは変える)」といった内容が紹介されています。

パスワードそのものの管理については、パソコンの設置環境や利用状況に応じて、「紙にメモして、人目に触れない場所で保管する」「パスワード付きの電子ファイルで保管する」「パスワード管理ツールを使用する」といった方法を参考にしてください。サービス側で設定が可能なら、「2段階認証」「ログイン履歴」等の機能が、セキュリティ維持に役立ちます。トレンドマイクロでは、YES/NO形式でパスワードの管理状態を手軽に診断できるサービス「パスワード管理診断」を公開しており、こうしたサービスを利用するのも一助になるでしょう。




「STOP! パスワード使い回し! キャンペーン2018」バナー(JPCERT/CCサイトより)<br />

「STOP! パスワード使い回し! キャンペーン2018」バナー(JPCERT/CCサイトより)

]]>
https://is702.jp/main/images/news/img_news1.jpg