比較的新しいLenovo製品はSuperfishと呼ばれるソフトウェアが事前に インストールされた状態で出荷されています。Superfishはブラウザ上に 勝手に広告を挿入する(迷惑な)アドウェアという範疇を大きく逸脱しており、 ユーザの暗号化通信に対して大きな被害をもたらす可能性があります。 また、三菱東京UFJ銀行等の銀行サイトにはSuperfishが引き起こす 電子証明書の問題が原因となりログインできない状況にあります。 Lenovo製品を利用されている方は一度確認される事をお勧めします。

• Lenovo製品にプリインストールされているアドウェアSuperfishに関連する情報をまとめてみた。
  • http://d.hatena.ne.jp/Kango/20150220/1424364815

■ 追記 (2015-02-22)

LenovoからSuperfish用の自動削除ツールが出ています。

• SUPERFISHのアンインストール方法
  • http://support.lenovo.com/jp/ja/documents/ht102634

今月に入って楽天の偽サイトが多数確認されているという話題です。 偽サイトと気付かずに利用するとクレジットカードの情報などが 窃盗される危険性があります。偽サイトはURLが本物とは異なるため、 注文時等はURLの確認する事が有効です。

また、楽天からの注文確認を装ったメールも多く出回っています。 メールの添付ファイルを開くとマルウェアに感染したり、 悪意のあるサイトに誘導されたりします。出所不明のメールの 添付ファイルには触れないようにし、常にOSやソフトウェアの アップデートしておくことが有効です。

• 楽天の偽サイトが2000件以上出現、偽の注文確認メールも出回る
  • http://itpro.nikkeibp.co.jp/atcl/news/15/021600548/

マイクロソフトから月例セキュリティ情報が公開されています。深刻度が最も高い “緊急”を3件含んでおり、脆弱性を悪用されると遠隔から悪意のあるコードを実行される 危険性があります。基本的にWindowsの自動更新を有効にし、最新の状態を保つようお願いします。

• Microsoftが月例セキュリティ情報を公開、IEは41件の脆弱性を修正
  • http://www.itmedia.co.jp/enterprise/articles/1502/11/news020.html

IPAから今年の情報セキュリティに関する10大脅威が発表されています。

01位 「オンラインバンキングやクレジットカード情報の不正利用」
02位 「内部不正による情報漏えい」
03位 「標的型攻撃による諜報活動」
04位 「ウェブサービスへの不正ログイン」
05位 「ウェブサービスからの顧客情報の窃取」
06位 「ハッカー集団によるサイバーテロ」
07位 「ウェブサイトの改ざん」
08位 「インターネット基盤技術の悪用」
09位 「脆弱性公表に伴う攻撃の発生」
10位 「悪意のあるスマートフォンアプリ」

上記に2015年10大脅威を引用します。各項目の詳細は記事本文を参照して下さい。

• 情報セキュリティ10大脅威 2015
  • http://www.ipa.go.jp/security/vuln/10threats2015.html

WordPressの画像表示用プラグインであるFancyboxに脆弱性が存在し、 不正なJavaScriptコードやコンテンツをWEBサイトに挿入される危険性があります。 既にマルウェア感染等の被害が多数報告されています。Fancybox 3.0.3/3.0.4では この脆弱性が修正されています。利用者の方はアップデートを行うようにして下さい。

• WordPressプラグインの「Fancybox」、未解決の脆弱性を突く攻撃が横行
  • http://www.itmedia.co.jp/enterprise/articles/1502/06/news057.html

トレンドマイクロによるとIE11に未修正の脆弱性が存在し、この脆弱性を悪用した 攻撃がいつ発生してもおかしくない状況にあるようです。UXSS攻撃を受けると、例えば、 正規のオンラインバンキングサイトを利用している様に見えながら攻撃者に対して 認証情報を送ってしまうような事が起こりえます。出所不明のメールやWEBに記された URLを不用意にクリックしないように注意して下さい。シマンテックからはアップデートが 可能になるまではChrome, Firefox等の他のブラウザを利用する勧める記事が出ています。

• Internet Explorerのゼロデイ脆弱性を確認、Universal XSS攻撃の危険性
  • http://blog.trendmicro.co.jp/archives/10879
• Internet Explorer で発見されたユニバーサルクロスサイトスクリプティング（UXSS）の脆弱性
  • http://www.symantec.com/connect/blogs/internet-explorer-uxss

WEBサイトに表示される広告が不正に利用されているという話題です。広告をクリックすると、 悪意のあるサイトに誘導され、ユーザのマシンがマルウェアに感染するという仕組みです。 この様な不正な広告は大手有名サイトでも掲示される事もあり、増加傾向にあるようです。 IEやAdobe Flash Player等の脆弱性を狙う攻撃が多いので、日頃からソフトウェアの アップデートを行う事が重要です。

• 広告ネットワークの悪用相次ぐ、マルウェア感染サイトなどへユーザーを誘導
  • http://www.itmedia.co.jp/enterprise/articles/1502/05/news047.html

全国の大学含め多くの組織でNASが不正使用され、大規模な情報漏洩、 スパム送信、外部組織に対する攻撃等々の事例が発生し続けています。 インターネットにはNASを接続せず、組織内だけの共有に留める事が基本です。 組織内の限定された環境でも初期パスワード等のままでの運用は避け アクセス制限を行い、定期的なファームアップデートを心がけてください。

• 首都大学東京のNASがスパムの踏み台にされた件についてまとめてみた
  • http://d.hatena.ne.jp/Kango/20150203/1422894259

Adobe Flash Playerのセキュリティアップデートが出ています。今回の脆弱性を狙ったものが すでに不正な攻撃ツールに組み込まれており、ツールを悪用した攻撃が観測されています。 Windows/Macともに今回の脆弱性に対応したバージョンは16.0.0.296です。 最新版で無いユーザの方は速やかにアップデートする事をお勧めします。

• Flash Playerの最新版が正式リリース、2件の脆弱性を修正
  • http://www.itmedia.co.jp/enterprise/articles/1501/28/news044.html

Ubuntu Linuxに任意のコードが実行されるなど深刻な脆弱性が複数発見され、 修正版が公開されています。Ubuntu 14.10、14.04 LTS、12.04 LTS、10.04 LTS が影響を受けるため、多くのUbuntuユーザが該当すると思います。

• Ubuntuがアップデート公開、深刻な脆弱性を修正
  • http://www.itmedia.co.jp/enterprise/articles/1501/21/news046.html

トレンドマイクロによると、1月11日以降偽サイトに誘導する不正なツイートが 16,000件以上確認されたようです。Web広告からの不正な誘導も常套化しており、 個人情報の入力の際は毎回注意が必要です。口コミで評判が高いサイトや 取引ルールが明確で身元情報を明示しているサイトを選ぶなど、 危険を回避する手段をとっていただければと思います。

• Twitter、ネット広告、新年から偽サイトへの誘導事例を複数確認
  • http://blog.trendmicro.co.jp/archives/10720

IPAからメール攻撃に関するレポートが出ています。攻撃者は文科省等の国の機関、新聞社等のメディア、受験生や内部学生など様々な立場を装って不正なメールを送信し、添付ファイルを開かせたり本文中のURLをクリックさせ学内マシンへのウイルス感染を試みます。本レポートでは実例を取り上げ、不正なメールの見分け方のポイントを知ることが出来ます。

• 標的型攻撃メールの例と見分け方
  • http://www.ipa.go.jp/security/technicalwatch/20150109.html

日本ネットワークセキュリティ協会から2014年の十大ニュースが発表されています。

01位：09月25日「ベネッセ個人情報漏えい事故の調査報告書を公表」
02位：11月06日「サイバーセキュリティ基本法が成立」
03位：04月07日「Heartbleedなど脆弱性が多発（4，5月）」
04位：08月01日「オンラインバンキング不正送金の被害急増」
05位：11月13日「日本サイバー犯罪対策センター（JC3）設立」
06位：04月04日「警察庁、ビル管理システムの探索行為に注意を喚起」
07位：10月01日「マイナンバー制度準備進む」
08位：09月03日「POSマルウェアによる5600万件のカード情報流出が発覚」
09位：09月17日「被害が止まらないパスワードリスト攻撃」
10位：09月18日「DDoS攻撃業者を使ったオンラインゲームの業務妨害で高校生を書類送検

タイトルのみを上記に引用します。個別の内容についても触れられており1年をざっと振り返り、最近の脅威を概観するのに良い内容となっています。個々の内容の詳細についてはリンク先を参照してください。

• 2014 セキュリティ十大ニュース
  • http://www.jnsa.org/active/news10/

Dr. WEBからスマートフォン等に関する脅威レポートが出ています。Android端末を 標的にした攻撃が継続しており、銀行口座情報の窃盗、ポピュラーなアプリのアカウント 情報の窃盗、電話番号やクレジットカード情報の窃盗等々の危険性が記されています。 Google Playを通してもこのようなマルウェアが拡散するという事態になっています。 新規アプリをインストールする際は出所や評判をチェックし、常にAndroid端末の アップデートも行っておくことは、身を守る上で最低限必要な行為と考えられます。

• 2014年11月のモバイル脅威
  • http://news.drweb.co.jp/show/?i=818&lng=ja&c=2

Gitに深刻な脆弱性が見つかり、修正版がWindowsやMac等で公開されています。Gitレポジトリをクローンしたり、チェックする際にGitクライアント上で任意のコードが実行される危険性があります。信頼できないGitリポジトリへのアクセスは出来るだけ控えて、Gitのバージョンアップを優先させる事をお勧めします。

• Gitに深刻な脆弱性、Visual StudioやXcodeもパッチ公開
  • http://www.itmedia.co.jp/enterprise/articles/1412/22/news037.html

NAS製品を標的にした不審な通信が増加しているという話題です。深刻なbashの脆弱性を利用した攻撃であり、NASのデータを盗まれるだけで無く、不正なユーザを追加される等々多くの危険性があります。今回の件はQNAP社製のNAS製品を狙ったものの様ですが、NASだけで無く多くのネットワーク製品は同様の危険性があります。メーカーサイトをチェックするなどしbash脆弱性を取り除くことを強くお勧めします。

• bashの脆弱性を狙う不審な通信　再び増加で注意喚起
  • http://www.itmedia.co.jp/enterprise/articles/1412/19/news157.html

クレジットカード情報は0.5から20ドル程度で取引されていたり、DDos攻撃は一日当たり10から1000ドルでサービスとして利用できたり、オンラインバンキングを狙うマルウェアを6ヶ月リースで利用できたり、といった不正なマーケットに関する話題です。マーケットが機能し、不正な活動が金銭に繋がり、また技術力も資金力も無い人間が社会に対して負のインパクトを容易に与える事が可能な状況となっています。基本的なセキュリティ対策を記事から引用します。被害に遭わないための参考として下さい。

＊ 常に強力なパスワードを使用し、決して複数のWebサイトで使い回さない
＊ すべてのデバイス上のソフトウェアを定期的に更新して、攻撃者が既知の脆弱性を
　 悪用することを防止する
＊ 個人情報や口座情報を入力する際は、アドレスバーで鍵アイコンまたはHTTPSが
　 使われていることを確かめ、そのWebサイトがSSL証明書で暗号化されていることを
　 確認する。疑わしい動作があったら、重要な情報をオンラインで送信する前に報告する
＊ 総合的なセキュリティソフトウェアを使用して自分自身をサイバー犯罪から保護する
＊ メールで送られてきたリンクやSNSに掲載されているリンクがどんなに魅力的でも
　 不用意にクリックしない

• 闇市場で売買される情報と攻撃ツールのお値段
  • http://www.itmedia.co.jp/enterprise/articles/1412/15/news124.html

年末年始にはクリスマス等の大きなイベントが多く、オンラインショップでプレゼント等々の 買い物をする方も増加します。そこを狙った攻撃に関する話題です。攻撃者は宅配業者を 装って、不正なURLが記載されていたり、不正な添付ファイルがあるメールをユーザに 送りつけマルウェア感染を試みます。心当たりの無いメールのURLや添付ファイルに アクセスしないのは当然として、今回の件は心当たりがあると勘違いさせる巧妙な手口です。 仮に引っかかっても感染しないように、日頃からのOSやソフトウェアのアップデートが重要です。

• ファイルを暗号化して身代金を要求する「Cryptoランサムウェア」、欧州で確認
  • http://blog.trendmicro.co.jp/archives/10530

IIJから2014年7月から9月に起きたインシデント情報等のレポートが出ています。 記事中より該当期間内のインシデント動向を引用します。

• 国内の複数のサイトにおいて、登録情報の不正書き換えにおけるドメインハイジャックが発生。
• リスト型攻撃による不正ログイン事件や、オンラインバンキングを悪用した不正送金事件は継続的に発生中。
• 歴史的日付に関連したインシデントについては、攻撃の規模や回数が過去の同期間に比べて減少。
• DDoS攻撃では、DNSやNTPに続き、SSDPを踏み台とするDDoS攻撃が国内においても発生。

詳細は下記リンクを参照してください。

• IIJ、インターネットの最新の技術動向・セキュリティ情報のレポート「Internet Infrastructure Review」Vol.25を発行
  • http://www.iij.ad.jp/news/pressrelease/2014/1125.html
• Internet Infrastructure Review （IIR）レポート一覧
  • http://www.iij.ad.jp/company/development/report/iir/index.html

組織の窓口担当等と直接メールの送受信を繰り返し、その過程でマルウェアに 感染させる「やり取り型」の話題です。問い合わせやクレームのメール等々を装って、 窓口担当者がメールの添付ファイルを開封し感染することを狙っています。 知らない相手からの添付ファイルは不用意に開かず、OS等々のアップデートを 日常的に行っておくことが重要です。

• 国内複数組織に対して「やり取り型」攻撃を確認(IPA)
  • http://scan.netsecurity.ne.jp/article/2014/11/23/35270.html

Windows用の脆弱性緩和ツールであるEMETがアップデートされ、IEやAdobe Reader等の ソフトウェア間で生じていた互換性の問題が解消されているようです。EMETで防げる 攻撃は多数あるので、利用されていないWindowsユーザは導入を検討してみて下さい。 無償かつMicrosoft公式のツールなので導入しやすいツールかと思います。

• Microsoftがセキュリティツール「EMET 5.1」公開、互換性問題を修正
  • http://www.itmedia.co.jp/enterprise/articles/1411/12/news049.html

ホテルなどの公共ネットワークが危険だという話題です。攻撃者は事前に罠を仕掛けており、 無線LAN等のネットワークに接続すると、マルウェアに感染し情報漏洩等を引き起こす 危険性が存在します。日本国内のホテルでも被害が発生しているようです。 OSやソフトウェアのアップデートを欠かさない事、公共ネットワークは汚染されているという認識の下、 最低限の利用に留める事などが重要です。

• 「ウイルスがお出迎え」、ホテル宿泊者を狙う「Darkhotel」に気を付けろ
  • http://itpro.nikkeibp.co.jp/atcl/news/14/111101849/

トレンドマイクロから来年以降の脅威予測が発表されています。 下記に記事中から脅威の項目を引用します。

１．「ダークネット」や会員制フォーラムにおける闇取引が増加
２．増加するサイバー攻撃により、ハッキングツールや攻撃の進化、拡大、成功が進む
３．脆弱性に起因するモバイル端末の不正アプリ感染が増加
４．標的型サイバー攻撃の攻撃元と標的の多様化
５．新たなモバイル決済システムの普及が新たな脅威をもたらす
６．オープンソースアプリに存在するバグ脆弱性への攻撃が増加
７．多様化が大規模攻撃を阻むも、IoE／IoT 上のデータは危険に
８．インターネットバンキングや金銭目的の脅威の深刻化

今年に引き続き攻撃が高度化/多様化し、またモバイルだけで無く IoT機器や制御系の機器と対応すべき端末も多様化する傾向にあるようです。

• 潜在する脅威の顕在化－2015年以降の脅威を予測
  • http://blog.trendmicro.co.jp/archives/10256

bashの脆弱性に関する話題が続きます。メールサーバを運用している管理者向けの 内容です。”件名”や”宛先”の中に不正なコードが入ったメールを、脆弱性を抱える メールサーバが受信することで、攻撃が成功します。bash含めメールサーバの セキュリティアップデートを管理者の方は行う様お願いします。

• 脆弱性「Shellshock」を利用した新たな攻撃を確認。SMTPサーバを狙う
  • http://blog.trendmicro.co.jp/archives/10224

WEBサイトの広告を表示させただけでランサムウェア(PC内の全てのオフィス系ファイル等を不正に暗号化して金銭を要求するソフトウェア)に感染するという話題です。原因はAdobe Flash Playerです。アップデートをせずに脆弱性を抱えたまま悪意のある広告を表示させるとFlash経由でランサムウェアに感染します。OSのみならずソフトウェアのアップデートを行う事、バックアップを定期的に取ることが 効果的な対策です。

• 身代金要求マルウェアに感染させる不正広告、日本含む大手サイトに
  • http://www.itmedia.co.jp/enterprise/articles/1410/24/news052.html

Microsoft Officeファイルを利用した新たなゼロデイ攻撃がトレンドマイクロから報告されています。現状では、Power Pointファイルでの攻撃が確認されており、また全てのOfficeファイルに危険性が存在すると警告しています。

10/22時点ではMicrosoftから本件のセキュリティアップデートに関するアナウンスはされていません。身元不明のオフィスファイルは開かないようにするなど慎重な対応を取っていただければと思います。

• Windowsに新たなゼロデイ脆弱性「CVE-2014-6352」、不正なOffice文書ファイルにより攻撃可能
  • http://blog.trendmicro.co.jp/archives/10152

Java7および8系に脆弱性があり、遠隔から攻撃者に任意のコードを実行される危険性が 存在します。JavaユーザはOracleからの情報を確認し、アップデートを検討して下さい。

• Oracle Java SE のクリティカルパッチアップデートに関する注意喚起
  • http://www.jpcert.or.jp/at/2014/at140041.html

コンテンツ管理システム(CMS)の一つであるDrupalに深刻な脆弱性が見つかっています。 Drupal7系を利用しているユーザはアップデート情報を確認してください。

• Drupalに極めて深刻な脆弱性、直ちに更新を
  • http://www.itmedia.co.jp/enterprise/articles/1410/16/news048.html

bashの脆弱性が世界中で大規模な問題を引き起こしています。サーバ管理者や UNIXユーザはもちろんの事、ネットワーク機器を利用する一般ユーザも注意が必要です。 国内メーカーが現状をまとめています。身の回りにある機器を確認し、 アップデート情報をメーカーサイト等でチェックしてください。

bashの脆弱性は非常に深刻であり、不正侵入、情報漏洩、他機関への攻撃等々が 容易に行える状況です。また学内に向けた攻撃も多数観測されています。 被害に遭わないよう、運用体制やアップデート情報の確認を行って貰えればと思います。

• bash脆弱性、国内メーカーの対応まとめ（10月14日現在）
  • http://www.itmedia.co.jp/enterprise/articles/1410/14/news071.html

Microsoftから最も深刻度の高い「緊急」を含むアップデートを公開しました。 一部の脆弱性はすでに攻撃に利用されています。また、今回の脆弱性は全ての Windowsユーザが影響を受けます。利用者はアップデートを行って下さい。 windows updateの自動更新をお勧めします(末尾URLを参照して下さい)。

• Microsoft、8件のセキュリティ情報を公開　攻撃発生の脆弱性も
  • http://www.itmedia.co.jp/enterprise/articles/1410/15/news042.html
• 自動更新を有効または無効にするには
  • http://windows.microsoft.com/ja-jp/windows/turn-automatic-updating-on-off#turn-automatic-updating-on-off=windows-7

先日発表されたbashに関する深刻な脆弱性が継続して悪用されており、 そのターゲットがNAS等のネットワーク機器に及んでいることが指摘されています。 パスワード等をかけていても、インターネットからアクセスできるNASは 大変危険な状態にあります。その様な場合は運用方針を見直して下さい。

今回のbashの件は非常に深刻であり、また多くの脆弱性と多くのセキュリティ パッチが飛び交っている状態です。サーバやPCはもちろん、ネットワーク機能を 持った機器の管理者はアップデートの状況を注視し、セキュリティアップデートを 行い続けて下さい。

• bashの脆弱性を抱えるNASへの攻撃、日本や韓国が標的に
  • http://www.itmedia.co.jp/enterprise/articles/1410/03/news109.html

下記に現状での情報が纏まっています。

• bashの脆弱性(CVE-2014-6271) #ShellShock の関連リンクをまとめてみた
  • http://d.hatena.ne.jp/Kango/20140925/1411612246
• Bash ShellShock バグ 修正情報まとめ
  • https://www.st.ryukoku.ac.jp/~kjm/security/memo/2014/10.html#20141003_Bash

Linux等のOSで標準的に利用されているシェルである”bash”に脆弱性が見つかって います。攻撃者が任意のコードを実行できる危険性があります。利用者は セキュリティパッチの適応(bashのアップデート)を行うようにして下さい。

• 「bash」シェルに重大な脆弱性、主要Linuxでパッチが公開
  • http://www.itmedia.co.jp/enterprise/articles/1409/25/news042.html

Appleから各種アップデート(OS X 10.9.5やSafari 7.1等)が出ています。 該当するユーザはアップデートを行っていただければと思います。

• Apple、MavericksやSafariの更新版も公開、多数の脆弱性を修正
  • http://www.itmedia.co.jp/enterprise/articles/1409/19/news047.html

ファイルを不正に暗号化し、復元のために金銭を要求するランサムウェアに ついて、トレンドマイクロから最近の傾向を踏まえた解説記事が出ています。 実際、学内でも感染事例が確認されています。出所の特定できないメールの 添付ファイルには触れない、OSやソフトウェアのアップデートは欠かさないと言った 当たり前の事をまずは徹底する事が重要と考えられます。加えて下記の 3点が記事で指摘されています。

1. 決して身代金を支払わない
2. セキュリティ製品をインストールする(アンチウイルスソフト等)
3. 重要なファイルや書類はバックアップを取る

ファイルが暗号化され元に戻らないと研究/教育/事務活動等に多大な 影響が生じる可能性があります。セキュリティやバックアップの体制を 見直す機会にしていただければと思います。

• 多様化するランサムウェア、その手口を解説
  • http://blog.trendmicro.co.jp/archives/9922

“標的型メール”の攻撃手口が巧妙かしていると警視庁が指摘しています。 攻撃の一例では、組織の採用担当に対して学生を装い履歴書をメールに添付する 手口が挙げられています。履歴書(例えばWordファイル)を開くと不正な プログラムに感染します。大学では、学生を語ってレポート(不正なPDFファイル)を 送ったり、海外の学生を装ってCV(履歴書)を送ったりといった手法が考えられます。

• 日本で見つかった最新の標的型メール攻撃、就活なりすましやモバイル狙いも
  • http://www.itmedia.co.jp/enterprise/articles/1409/12/news082.html

トレンドマイクロが不正送金ツールが蔓延している現状を詳しく解説しています。 今年1月から6月までの不正送金の被害額は前年度比9倍、18.5億円程度と急増しています。 また、不正送金ツールの検出台数もついに日本が世界で最大規模になって しまいました。現在は国内大手銀行・クレジットカード会社だけで無く、 地方銀行も対象となっています。アンチウイルスソフトやOSのアップデートを 徹底して、不正送金に巻き込まれないよう注意して下さい。

• 国内の銀行・クレジットカード会社37社を狙う自動不正送金ツールを徹底解析
  • http://blog.trendmicro.co.jp/archives/9884

WEBサイト管理者向けの記事です。2014年もWEBサイトの改竄が継続して 発生しており、その対策をIPAがレポートとしてまとめています。 OSやソフトウェアのアップデート等を徹底するだけでも危険性は 大幅に低下します。管理者の方は正しい運用を行えているか、 チェックしていただければと思います。

• 2014年も引き続き被害が発生しているWeb改ざんの脅威と対策を公開（IPA）
  • http://scan.netsecurity.ne.jp/article/2014/09/01/34755.html

マカフィーから四半期のセキュリティレポートが出ています。Heartbleedの 脆弱性を抱えるWEBサイトを検索するツールが存在する事、またHeartbleedが 原因で流出したデータが現在もブラックマーケットで取引されている事が 指摘されています。他にもモバイルマルウェアの増加など各種統計情報も 記されています。

• マカフィー、2014年第2四半期の脅威レポートを発表
  • http://www.mcafee.com/japan/about/prelease/pr_14b.asp?pr=14/09/05

トレンドマイクロよりWEBサイトのアドオンに関係する危険性が指摘されています。 Facebook、Twitter等々と連携したWEBサイト(例えばlikeボタンを設置する等)を 構築するに当たって、WEBサイトの作成者は連携機能を実現する便利なアドオンを 利用する事が大半です。そのアドオンに不正なコードが混入されており、ユーザは 例えばlikeボタンを押したつもりが悪意のあるサイトに誘導されマルウェアに 感染する等の被害が生じています。

ユーザ側としてはセキュリティアップデートを怠らない事、サイト作成者側としては 出所のはっきりしないJavaScriptを外部から取り込まない事が効果のある対策として 挙げられています。この罠は一般的なユーザでは回避不可能と考えられます。 OSだけで無く、Adobe製品等々もセキュリティアップデートを行っているか、 今一度確認する事をお勧めします。

• 悪用されたWebサイトのアドオン、エクスプロイトキット「FlashPack」に誘導。約87％の日本ユーザが影響
  • http://blog.trendmicro.co.jp/archives/9715

運用者向けの話題です。トレンドマイクロが標的型攻撃の兆候を知る 7つのポイントをまとめています。下記に項目のみ引用します。

• 改ざんにより組み込まれた DNSレコードがないか確認
• 失敗したログイン、もしくは不規則な時間にログインしたアカウントを精査
• セキュリティ対策製品の警告を再確認
• サイズの大きな不審なファイルに注意
• 異常な接続を見つけるためにネットワーク監視ログを精査
• 異常なプロトコルを確認
• 急増する Eメールに注意

詳細は記事本文を参照して下さい。

• 企業のネットワークを狙う、標的型攻撃の兆候を知る7つのポイント
  • http://blog.trendmicro.co.jp/archives/9679

トレンドマイクロが標的型攻撃にまつわる誤解に関してまとめています。 下記にその5つの誤解を引用します。

• 誤解1：標的型攻撃は一度の対策で十分である
• 誤解2：すべての標的型攻撃に万能なセキュリティ対策がある
• 誤解3：攻撃されるほど重要な情報は持っていないと考えている
• 誤解4：標的型攻撃には必ずゼロデイ脆弱性が利用される
• 誤解5：標的型攻撃とは、不正プログラムの問題である

詳細は記事本文を参照して下さい。

• IT管理者が持つ、標的型攻撃対策5つの誤解
  • http://blog.trendmicro.co.jp/archives/9677

Trend Micro から第2四半期のセキュリティレポートが出ています。 脅威の三大傾向として下記が挙げられています。

• 正規Webサービスを悪用したネット利用者への攻撃
• 企業の持つ機密情報や基幹サービスを標的とするサイバー攻撃
• 「Web」、「サーバ」、「古いソフト」の重大脆弱性を狙う攻撃

具体的な統計データを踏まえ、他にもオンラインバンキング、モバイル、 リスト型攻撃等々の話題に触れられています。詳細はPDF版のセキュリティ ラウンドアップに記されています。

• 狙われるインターネットの根幹、問われる企業の信頼
  • http://www.trendmicro.co.jp/jp/security-intelligence/sr/sr-2014q2/

IPAがパスワードに関する実態調査を行い、報告しています。結論部分を引用します。

ユーザーが許容できる認証方式は、「8文字以上12文字未満の桁数」
「英字と数字、記号が組み合わさった文字列」のパスワードが現実解

結論部分にあるように少なくとも8文字以上のパスワードは必要と一般的に 言われています。またリスト型攻撃はパスワードの使い回しを行っている ユーザの脅威になります。自分でルール（パスワード生成方法や管理方法）を 定め、ランダム(に近い)8文字以上のパスワードをサービス毎に使い分けられる 状態を保てると、攻撃に対する強い耐性を得られると考えられます。 大学や個人情報を多く扱うSNSのアカウントなど特に重要なものだけでも 正しいパスワード管理を行う事をお勧めします。

• 今すぐ実践したいパスワードリスト攻撃への備え
  • http://www.itmedia.co.jp/enterprise/articles/1408/19/news026.html

AdobeからFlash Player、Reader / Acrobatに関するセキュリティアップデートが 出ています。既に一部では今回の脆弱性を対象にした攻撃が観測されています。 該当するソフトウェアを利用している方は最新版へアップデートする事をお勧めします。

• Adobe ReaderとFlashの脆弱性が修正される、Windows版を狙う攻撃も
  • http://www.itmedia.co.jp/enterprise/articles/1408/13/news042.html

F-SecureによるとNAS (Network Attached Strage) のデータを暗号化し、 金銭を要求するランサムウェアが観測されているようです。SynoLockerと 呼ばれるマルウェアはシノロジー社製NASのOSの脆弱性を突き、暗号化を 実現しています。複合化のための鍵を入手するためには350ドルの支払いを 要求されます。

NAS等PC周辺機器の情報を暗号化し身代金を要求する手法は 今後も継続されると予想されます。「定期的なバックアップを取る」、 「PCだけで無く周辺機器のアップデートも怠らない」といった事が 一層重要になってきています。

• ランサムウェア・レース（パート2）：パーソナルメディアが次のフロンティア？
  • http://blog.f-secure.jp/archives/50732483.html

Internet Explorer (IE) 8のサポートが2016/01/12で完全に終了します。 基本的にはIE 11にアップデートしていかなければセキュリティアップデートが 適応出来なくなる状況にあり、その事を念頭に運用体制を整えていく必要があります。 詳細なOSとIEのバージョンの組み合わせに関しては記事内の表を参照して下さい。

• Microsoft、IE 8のサポートを2016年1月12日に終了へ
  • http://www.itmedia.co.jp/enterprise/articles/1408/08/news058.html

WordPress 3.9.2が公開されており、幾つかのセキュリティアップデートが 施されています。利用者の方はアップデートを検討して下さい。また、 WordPressの自動バックグラウンド更新機能を利用しているサイトは 今回の更新は自動的に適応されます。

• WordPress 3.9.2 セキュリティリリース
  • http://ja.wordpress.org/2014/08/07/wordpress-3-9-2/

Symantec Endpoint Protectionにバッファーオーバーフローの脆弱性が存在すると 指摘されています。脆弱性が悪用されると管理者権限を奪取される等の被害が生じます。 この脆弱性はWindows(XP/Vista/7/8)環境で再現し、下記のバージョンが該当します。

・Symantec Endpoint Protection クライアント 12.1 およびそれ以前
・Symantec Endpoint Protection クライアント 11.0 およびそれ以前
・Symantec Endpoint Protection 12.0 Small Business Edition およびそれ以前

現在は英語版のセキュリティパッチが用意されており、順次他言語も対応していく ようです。現在この脆弱性による被害は確認されていませんが、セキュリティパッチを 適応するまでの間は回避策を採ることがお勧めです。この脆弱性は sysplantドライバに 依存するためにsysplantドライバを無効にしておくことでこの脆弱性による影響を 低減することが可能です。

• JVNVU#98222914 Symantec Endpoint Protection にバッファオーバーフローの脆弱性
  • http://jvn.jp/vu/JVNVU98222914/

“リパックアプリ”は正規アプリを不正に改造した偽アプリの一種です。 トレンドマイクロによると、Google Play (Googleの公式アプリストア)の 無料アプリ上位50件の内80％近くのアプリが、サードパーティーマーケット上で リパックアプリとして配布されています。言い換えると、Google Play以外の マーケットで有名無料アプリをインストールすると、多くの場合マルウェアに 感染するといった状況になってしまっています。

• 「リパックアプリ」：正規アプリになりすまし、利用者に被害を与える攻撃手法
  • http://blog.trendmicro.co.jp/archives/9571