独立行政法人 情報処理推進機構(IPA)などによれば、ブラウザー・ハイジャッカーに感染すると以下のような症状が現れるという。

・インストールした覚えのないツールバーがブラウザーに追加される
・ブラウザーの起動時に表示されるWebページが変更される
・身に覚えのないWebサイトや広告のページが勝手に表示される(ポップアップする)
・Webページの閲覧中に、有害なWebサイトへ勝手に誘導される

これらの症状に加えて、Webページの閲覧履歴や、ブラウザー上で入力したIDやパスワードなどの個人情報を詐取するといった被害をもたらすものもあるという。

一般的な感染経路は、動画共有サイト等を騙った悪意あるWebサイトにユーザーを誘導することにより感染させる方法がある。これは、検索エンジン最適化(SEO)技術を悪用し、ユーザーが特定の検索キーワードを入力して検索すると、検索結果の上位に悪意のあるWebサイトを表示されるよう検索結果を操作する。悪意あるWebサイトでは、動画ファイルや動画再生に必要なプログラム(実際はウィルス)に見せかけて、ユーザーに実行させることで感染させるという手口である。

ブラウザー・ハイジャッカーは、広告を目的としたソフトウェアに分類される場合があり、セキュリティ対策ソフトによってはウィルスとして検出しない可能性がある。この点につき、IPAでは「セキュリティの警告」ウィンドウに注意することで感染を避けることができる場合があるという。セキュリティの警告メッセージは無視しないよう注意したい。

また、こうした脅威に備えるためには、怪しげなWebサイトからファイルはダウンロードしないといった慎重な対応を心がけたい。特に「無料」などという言葉に騙されて不要にファイルを開いたりすることのないよう注意が必要である。IPAでは、「有害サイト対策機能」を持つセキュリティ対策ソフトを導入することや、WindowsのInternet Explorer 8の有害サイト対策機能「SmartScreen」を利用することなどを推奨している。

・コンピュータウイルス・不正アクセスの届出状況[8月分]について(IPA)
・ブラウザ乗っ取り被害、検索エンジン経由の被害が増加(INTERNET Watch)
・ウイルス感染を防ぐためのポイント(IPA)
・Internet Explorer 8 新機能紹介ムービー : SmartScreen(マイクロソフト社)
・SmartScreen フィルター : よく寄せられる質問(マイクロソフト社)

ウィルスのファイル名は、動画ファイルであるかのように拡張子が偽装されているという(ファイルの正体はウィルスの実行ファイル)。

ファイルをダブルクリックすると、同じ名前の動画ファイルが新たに生成され、「P2Pソフトを使用するとCO2を大量に排出し、地球温暖化の原因になる」といったようなタコやイカのメッセージとともに動画が再生される。裏ではウィルスが実行され、パソコン内のファイルを魚介類の画像で次々に上書きするという。ひとたび上書きされたデータを元に戻すことは非常に困難であることから注意が必要である。

タコやイカの動画が再生される(トレンドマイクロ社のブログより転載)

上書きされる画像の例(トレンドマイクロ社のブログより転載)

また、このウィルスは、ファイルの上書きに加え、別のウィルスを作成し、ユーザーのパソコン内の情報を外部に送信している形跡があることも指摘されている。

導入しているセキュリティ対策ソフトのウィルス定義ファイルを常に最新の状態に保つなどの基本的なウィルス対策を行った上で、不要なP2Pソフトの利用は控えるとともに、身に覚えのないメールの添付のファイルは開かない、怪しげなサイトからファイルはダウンロードしないといった慎重な対応を常に心がけたい。

・年末年始におけるセキュリティ対策の再確認(トレンドマイクロ社)
・コンピュータウイルス・不正アクセスの届出状況[12月分および2009年年間]について(IPA)
・原田ウィルスとは

「Yahoo!ツールバー」は、Webブラウザーに検索機能などを追加する無料のソフトウェア。「Yahoo!あんしんねっと」は無料で利用できる有害サイトのフィルタリングサービスで、これらのソフトウェアやサービスでは、ヤフーが独自に作成したデータベースに基づき、これまでYahoo!JAPANを詐称する疑わしいサイトへのアクセスに警告を出していた。

今回、フィッシング詐欺対策の業界団体であるフィッシング対策協議会や、運営事務局であるJPCERT/CCと連携し、フィッシングサイトのURLデータの提供を受けることで、より巧妙化するフィッシングへの対策機能を強化するのが狙いという。

・(PDF)JPCERT/CCのプレスリリース
・プレスリリース(フィッシング対策協議会)
・プレスリリース(ヤフー)

この物語は、現代の情報セキュリティにまつわるポイントを、人情味溢れる江戸の街におきかえて面白おかしく解説する時代劇風コンテンツです。Flash(動画)版とHTML(静止画)版の両方で時代のギャップ感もお楽しみいただけます。

本日公開の第三話は「必殺！更新人」。トビさんトメさん夫婦は取引先の越後屋から最新のPC環境を整えるよう要請される。 しかし、もったいない、と反応はいまひとつ。その様子を見ていたクロハチは...。

大江戸セキュリティ戯画(ギガ)

これは、2月2日の「情報セキュリティの日」にちなんだ企画で、「セキュリーマン検定」の番外編コンテンツです。情報セキュリティに関する問題を10題出題、正解した点数に応じてプレゼントにご応募いただけます。

抽選でプレゼントする賞品にはNintendo Wiiやナノイー発生機など、ステキな賞品をご用意。また、参加者全員に情報セキュリティブログ・日立システムスキー部コラボ壁紙をプレゼント！

ぜひ、楽しみながら情報セキュリティのエッセンスを学び、プレゼントをゲットしてください！

「ユミコの冬季セキュリンピック」はコチラ。

英国赤十字社を騙り偽の寄付を募るスパムメールや、ハイチ地震に関連したキーワードで検索を行うと、検索結果ページに悪意あるWebサイトを表示させるSEOポイズニングの手口が確認されたという。

このように、大規模な自然災害が発生すると、それに便乗して被害者救済を騙る様々な不正行為が発生する。

メールやインスタントメッセージ(IM)などで送られてきたリンクは安易にクリックしない、メールによる募金のお願いや個人情報の問い合わせには応答しないなどの対応が求められる。また、募金を行う場合は信頼できる団体を通じて行うことを推奨する。

・(英文)シマンテック社のブログ記事
・ハイチ地震：新たなローグがニュースを悪用(エフセキュアブログ)
・ハイチ大地震に便乗したオンライン詐欺、シマンテックが注意喚起(INTERNET Watch)
・ハイチ地震に便乗したオンライン詐欺に注意--シマンテックが警告(CNET Japan)
・ハイチ大地震を悪用したオンライン詐欺が出現(ITpro)
＜募金・救援金のサイト＞
・テレビ朝日　ドラえもん募金「ハイチ大地震」被災者支援
・日本赤十字社「ハイチ大地震の救援金受付」

Microsoft UpdateやWindows Updateなどを用いて、早急にこの更新プログラムを適用されたい。

対象となる製品とバージョンは以下の通りである。

・Microsoft Windows 2000 SP4 上の Internet Explorer 6 SP1
・Windows XP SP2/SP3 上の Internet Explorer 6,7,8
・Windows Server 2003 SP2 上の Internet Explorer 6,7,8
・Windows Vista、Windows Vista SP1,SP2 上の Internet Explorer 7,8
・Windows Server 2008、Windows Server 2008 SP2 上の Internet Explorer 7,8
・Windows 7 上の Internet Explorer 8

想定される影響は、細工されたHTMLドキュメントを閲覧することにより、任意のコードを実行されたり、サービス運用妨害 (DoS)攻撃を受けたりする可能性があるというものだ。

なお、JVN(Japan Vulnerability Notes)によると、2010年1月15日現在、本脆弱性を使用した攻撃活動が観測されているという。この攻撃を実行するため、攻撃者はユーザーを、脆弱性を悪用する悪意あるWeb サイトに訪問させようとする可能性がある。そのため、身に覚えのないメールやインスタントメッセンジャー等に記載されたリンクはクリックしないことも大事である。

・Internet Explorer 用の累積的なセキュリティ更新プログラム(978207)
・マイクロソフト セキュリティ アドバイザリ(979352)
・Microsoft Internet Explorer において任意のコードが実行される脆弱性(JVNVU#492515)
・Microsoft Internet Explorer の未修正の脆弱性に関する注意喚起(JPCERT/CC)

一般的な感染経路として、メール経由とWeb経由がある。ユーザーが思わず開きたくなるように工夫された件名や文面などを用いたスパムメールを送信し、ユーザーに添付ファイル(実は不正なプログラム)を開かせようとしたり、本文に記載された不正なURLをクリックさせようとする。不正なURLをクリックすると、悪意のあるWebサイトに誘導され、ワームなどのウィルスに感染する可能性がある。

また、アプリケーションソフトなどのセキュリティホールを悪用し、ユーザーが特に何かをクリックしたりダウンロードしたりしなくても、悪意のあるWebサイトを閲覧しただけで自動的に感染してしまう場合もある。さらに、USBメモリなどのリムーバブルメディアを介して感染するワームも多数確認されている。

近年のウィルスは複雑化・高機能化しており、ウィルスの特徴といわれる他のファイル等に感染する性質を備えたワームもある。また、複数の感染したコンピュータ同士でネットワークを構成し(ボットネットという)、悪意ある犯罪者の指令に応じて迷惑メールの送信やサービス不能攻撃(DDoS攻撃)などを行うことができる「ボット」と呼ばれるウィルスにも注意が必要だ。

導入しているセキュリティ対策ソフトのウィルス定義ファイルを常に最新の状態に保ち、OSやソフトウェアのセキュリティ修正プログラムを適用し、セキュリティホールをふさぐといった基本的なウィルス対策を行うことが大切である。また、身に覚えのないメールの添付のファイルは開かない、怪しげなサイトからファイルはダウンロードしないといった慎重な対応を常に心がけたい。

・対策情報　ウィルス対策(IPA)
・感染防止のための知識(サイバークリーンセンター)

これは、USBメモリーなどのリムーバブルメディアを媒介にして感染を拡大するウィルスが増加していることに鑑み、ウィルスが悪用する「自動実行機能(USBメモリーなどをPCに接続した際に自動的にファイルを開く機能)」が無効になっているかどうかを確認できるというもの。

このツールで確認できる項目は、(1)USBメモリーの自動実行機能を無効についてにする設定になっているか、(2)無効にするパッチが適用されているかの2点。チェックの結果、「参考値を満たしていない」と表示された場合、パッチの適用方法や無効化の方法が記載されたWebページへのリンクが示され、容易にアクセスすることが可能という。

現時点では、このツールはUSBメモリーの自動実行機能について確認するだけであるが、2010年春以降、パスワードの最低文字数や有効期間、スクリーンセーバーの自動実行機能を確認できる機能を順次追加していく予定だ。今後の機能拡張に期待したい。

なお、同チェッカは、IPAが提供している脆弱性対策情報データベース「JVN iPedia」上で公開されている。動作環境や操作方法などの詳細は以下の「使い方」を参照するとよい。

・簡単な操作でWindowsのセキュリティ設定をチェックできる「MyJVN セキュリティ設定チェッカ」を公開(IPA)
・MyJVN セキュリティ設定チェッカ(JVN iPedia)
・yJVN セキュリティ設定チェッカの使い方(JVN iPedia)
・「USBウイルス対策してますか？」ブラウザーで確認できるツール(ITpro)

今回は、改ざんされたサイトを閲覧しても感染しないようにするための予防策について解説します。

皆さんのPCの設定を確認してみてはいかがでしょうか？

○ ソフトウェアを最新版に更新

現在のところ、ガンブラー型のウイルスは以下のソフトウェアの脆弱性を利用していることが確認されています。これらのソフトウェアのアップデートは無償で提供されているので、必ず更新しましょう。利用していないソフトウェアはアンインストールするのもよいです。

・ Adobe Reader
・ Adobe Flash Player
・ Apple QuickTime Player
・ Sun Java Runtime

「MyJVNバージョンチェッカ(※1)」「Secunia PSI」などの脆弱性チェックツールが無償で提供されています。これらを用いてPCにインストールされているソフトウェアに脆弱性がないか確認することをお薦めします。

参考
・ドライブバイダウンロードとは

○ Microsoft Updateを実施

Windows UpdateでなくMicrosoft Updateを実施し、最新のセキュリティパッチを適用しましょう。Microsoft UpdateでないとMicrosoft Office(※2)がアップデートされませんのでご注意ください。

○ Adobe Readerの設定を変更する(※3)

Adobe ReaderのJavascriptに脆弱性があります。無効に設定するのが一番安全な対策方法です。 以下の手順で設定します。
1. [編集＞環境設定]を開く
2. [Javascript＞Acrobat JavaScriptを使用] のチェックを外す

△ セキュリティ対策ソフトの定義ファイルを最新にする

確かに最新にすることは大切です。しかし、効果がないケースが確認されているため、やらないよりもやったほうがよい程度の対策に過ぎません。セキュリティ対策ソフトをインストールしているだけで安心できないようになってきています。

最後に

※1 ブラウザにFirefoxを利用している場合、MyJVN バージョンチェッカではAdobe Flash Playerのバージョンを取得できません。その場合は以下のサイトでバージョンを確認しましょう。10.0.42.34が最新です。(2010/01/12)
http://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm

※2 Microsoft Office 2000は2009年夏にサポートが終了しています。
Microsoft Updateを実施しても脆弱性が修正されません。速やかにバージョンアップする必要があります。

※3 Adobe Readerには未対応の脆弱性が存在しています。(2010/01/09)
Adobe ReaderのJavascript機能は今までに多数の脆弱性が発見されています。 そのため、一般ユーザーはこの機能は無効にすることをお薦めします。

脆弱性を修正したAdobe Reader 8.2 / 9.3がリリースされました。バージョン8 / 9をご利用の方は、Adobe Readerを起動し、[ヘルプ>アップデートの有無をチェック]から更新することができます。(2010/01/13)

この内容は編集部では調査した最低限実施するべき予防策となっております。
最新の情報はセキュリティベンダーなどのサイトでご確認ください。 また、ソフトウェアのアップデート方法などについては各メーカーサイトをご確認ください。

・ Adobe - Flash Player 10 -
・ Adobe - Reader 9 -
・ Javatテクノロジ - サン・マイクロシステムズ -
・ Microsoft Update 利用の手順
・ アップル - Quicktime - Quicktime
・ MyJVN バージョンチェッカの使い方
・ PCにインストールされたソフトの脆弱性を一括調査する「Secunia PSI」が日本語化

最近では、有名企業のWebサイトや個人のブログなど、正規のサイトがハッカーによって改ざんされ、ドライブバイダウンロードを行う不正なコードが埋め込まれるケースが増加している。

ドライブバイダウンロードの多くは、Webブラウザー、プラグインやアプリケーションソフトなどの脆弱性を悪用し、マルウェアをインストールするため、ソフトウェアのセキュリティ修正プログラムを適用し、セキュリティホールをふさぐといった基本的な対策で防ぐことができる。また、新しいブラウザーではセキュリティ機能が追加されているため、できるだけ最新版に更新することが望ましい。もちろん、セキュリティ対策ソフトの定義ファイルを常に最新の状態に保つことも大切である。

PCにインストールされたソフトウェア製品が最新のバージョンであるかを確認するには、以下のリンク先のようなツールがあるので参照してみるとよい。

・MyJVN バージョンチェッカの使い方(JVN iPedia)
・PCにインストールされたソフトの脆弱性を一括調査する「Secunia PSI」が日本語化(窓の杜)

この物語は、江戸の街を舞台に、現代の情報セキュリティのポイントを面白おかしく解説する時代劇風テイストのコンテンツです。Flash(動画)版とHTML(静止画)版の両方で時代のギャップ感もお楽しみいただけます。

本日公開の第二話は「キツネのタタリ」。ブログが好評で、商売繁盛のそば屋。おかげでオツルも大忙し。そんなある日、そば屋を揺るがす事件が起きようとしていた...？

新キャラが登場してますますパワーアップしたストーリー展開にもご注目下さい。

大江戸セキュリティ戯画(ギガ)

いつも情報セキュリティブログ、そして、twitterでの「ユミコのつぶやき」をご覧いただきありがとうございます。

情報セキュリティブログも、皆様からのご支援・ご協力により、5度目の新年を迎えることができました。
昨年9月から開始した、twitter「ユミコのつぶやき」も、皆様から大変好評をいただいております。ありがとうございます！！

今年も、情報セキュリティに関する知識を少しでも深めていただけるよう、様々なコンテンツをお届けしていきますので
どうぞよろしくお願いいたします。

twitterでのつぶやきも、情報セキュリティ関連の役立つ情報から、ユミコの日常まで、
時に真面目に、時にゆる～く発信していきますので、今年も引き続きよろしくお願いします！

まず、詐欺的セキュリティソフトの被害が多数確認されている点につき言及、以下の参考リンク先にあるようなソフトをインストールすることのないよう注意喚起している。

・偽セキュリティソフトを振り返る(日本のセキュリティチーム)

全般的な注意点としては、緊急時の連絡網の整備・周知と、休暇中に使用しない機器の電源を切ることの2点を確認事項として挙げている。

加えて、システム管理者向けとして、以下の4点の確認事項が挙げられている。

(1)最新のセキュリティ更新プログラムが適用されているかどうかの確認
(2)不要なサービスを無効にしているかの確認
(3)各種サービスへのアクセス権限を必要最低限に設定しているか確認
(4)休暇時の業務遂行等で特別にアクセス制御を変更する場合、通常の状態に戻す手順やスケジュール、監視体制が整備されているかの確認

また、システム利用者の注意事項は以下の3点であるという。

(1)不要なプログラムがインストールされていないことの確認
(2)生年月日や電話番号等の、他人から容易に推測できる脆弱なパスワードを設定していないことの確認
(3)データを持ち出す際には、所属している組織のポリシーに従い、取扱いや情報漏えいに最新の注意を払う

一方、休暇明けの対応として、システム管理者には、「導入している機器やソフトウェアについて最新のセキュリティ更新プログラムを確認、適用する」ことなどを挙げている。システム利用者の対応としては、セキュリティ対策ソフトのウィルス定義ファイルを最新の状態に保つことや、休暇中に持ち出していたUSBメモリなどの外部記憶装置等は、組織内のネットワークに接続する前にウィルススキャンを実施することなどである。

長期休暇の前後には上記のようなポイントにくれぐれも注意したい。

・冬期の長期休暇を控えて 2009/12(JPCERT/CC)
・偽セキュリティソフトを振り返る(日本のセキュリティチーム)
・JPCERT/CC、長期休暇前後で確認すべきセキュリティまとめ(INTERNET Watch)
・年末年始のセキュリティ事故予防策、JPCERT/CCが紹介(ITmedia)

「大江戸セキュリティ戯画(ギガ)」の登場人物がお送りするクロスワードパズル形式のコンテンツで、タテのカギとヨコのカギを解いて、導き出されたキーワードを並べ替え、7文字のセキュリティ用語を完成させていただくものです。

答えをご応募いただいた方の中から抽選で、1名様に防水MP3プレーヤー「juke tower」を、5名様に「オリジナルQUOカード（500円分）」をプレゼントします！

「大江戸セキュリティくろすわーど」

第2回の答え

第2回の正解は「バックドア」でした。パズルの答えはこちらをご参照下さい。

なお、プレゼント当選者の発表は発送をもって代えさせていただきます。ご了承下さい。