アドバイザリによると、この脆弱性の影響を受けるのは、Windows 2000、XP、およびWindows Server 2003で動作するIE。IE上で動作するスクリプト言語であるVBScriptとWindows Helpファイルの相互作用に脆弱性が存在し、ユーザーが悪意あるWebサイトを閲覧し、細工されたダイアログボックスが表示されたときに、「F1」キーを押すと任意のコードが実行される可能性があるというものだ。

マイクロソフト社によると、3月12日現在、この脆弱性を悪用した攻撃は確認されていないとのこと。なお、Windows 7、Windows Server 2008 R2、Vista、およびWindows Server 2008 上のIEはこの脆弱性の影響を受けないという。

マイクロソフト社は脆弱性の詳細について調査中であり、調査の完了時に更新プログラムをリリースすると発表している。アドバイザリによれば、複数の回避方法が案内されているが、以下の1点だけは回避策として必ず守って欲しい。

・Webサイト閲覧中には、「F1」キーを押さない

また、その他の回避方法についてはアドバイザリを確認して欲しい。

・マイクロソフト セキュリティ アドバイザリ (981169)
・［F1］キーを押さないで！---Windowsに新たな脆弱性(ITpro)
・IEで閲覧中に「F1」キーを押すとコード実行のおそれ〜MSがアドバイザリ(so-netセキュリティ通信)

2010年7月13日にサポートが終了するのは、「Windows 2000(サーバ版およびクライアント版)」と「Windows XP SP2」だ。マイクロソフト社は、「Windows 2000」について、最新OSである「Windows 7」あるいは「Windows Server 2008 R2」への移行を推奨している。また、「XP」については、「Windows 7」への移行が推奨されるが、最新のサービスパックである「Windows XP SP3」へアップグレードすることにより、2014年までサポートを受けることができるという。

マイクロソフト社は、Windows 2000ユーザー向けにアップグレードのための情報を集めた「エンド・オブ・サポート ソリューションセンター」を開設している。

また、2010年4月13日には、Service Packを適用していない「Windows Vista」のサポートが終了する。こちらは、SP1またはSP2にアップグレードすれば、引き続きセキュリティ更新とサポートが受けられるという。

サポートが終了すると、マイクロソフト社からの有償サポートサービスやセキュリティ更新プログラムの提供が終了するため、最適なセキュリティ環境を維持するためには最新バージョンへの移行が推奨される。

・Windows 2000 エンド・オブ・サポート ソリューションセンター
・「Vista」「Windows XP SP2」「Windows 2000」のサポート終了が近づく(ZDNet Japan)
・Windows 2000とXP SP2のサポート、2010年7月で終了(ITmedia)
・(英文)Windows XP SP2とVistaのサポート期限に関する情報

この物語は、人情味溢れる江戸の街を舞台に、現代の情報セキュリティにまつわるポイントを面白おかしく解説する時代劇風コンテンツです。Flash(動画)版とHTML(静止画)版の両方で時代のギャップ感をお楽しみください。

本日公開の第四話は「うっかり団子狂想曲」。またまたゲキウマ団子を考案した団子屋のキチエモン。早速材料を雑穀堂に発注するがなぜか、その情報はあのみたらし屋の手中に...！

大江戸セキュリティ戯画(ギガ)

「Google バズ」はグーグル社が新しく開始したコミュニケーションサービスで、twitterなどのように興味のある事柄について投稿したり、写真や動画などを共有したりできるというもの。サービスは「Gmail」に組み込まれているため、Gmailのアカウントを取得すれば利用することができる。

指摘された問題は、バズに表示される投稿者名で、初期設定のままだとGmailに登録した姓名がそのまま公開されるという。また、投稿内容は全ユーザーに公開される「一般公開」がデフォルトになっているため、Gmailのアカウントに本名を設定し、デフォルトのまま利用すると、バズの投稿内容が本名で全世界に公開されることになるというものだ。

また、iPhoneやAndroid携帯などの携帯端末からバズを利用すると、位置情報つきのバズを投稿できるため、設定によっては本名付きで自宅や会社の場所を公開してしまう可能性があるという。

これに対し、グーグル社は2月10日、公開プロフィールの設定方法と、iPhoneなどのモバイル版からの位置情報送信を止める方法などを説明した。また、2月12日には、連絡先(自分がフォローしているユーザーや、自分をフォローしているユーザー)のリストが知らずに公開される問題に対処し、リストの表示／非表示、設定方法について初期設定画面を改善している。

このように、Gmailのアカウントの個人情報が公開されてしまう可能性等を考慮すると、「Google バズ」の利用に際しては、Gmailのプロフィールを公開したくない人は、現在のところGmailのアカウントとは別にアカウントを取得して利用することを推奨する。

・「Google Buzz」で本名や居場所がばれる？　ネットで騒動に(ITmeida)
・Google、Buzzでフォロワーリストが意図せず公開される問題に対応(ITmedia)
・Google バズの使用方法(Gmailヘルプ)
・Google バズ を快適にお使いいただくために(Google Japan Blog)
・Google バズは改善を続けています(Google Japan Blog)

さて、2月2日より開幕した、「セキュリーマン検定【番外編】ユミコの冬季セキュリンピックですが、みなさまもうチャレンジしていただけましたか？？

多くの方から「難しい」という声をいただいております。かく言う私も、最初は30点・・。何回もチャレンジしてもなかなか100点は取れず・・。100点を取れた時は、オフィスで喜びを爆発させて、ちょっと恥ずかしい思いをしました。

先週（2月18日）、何と、100点を取った方が1500名を突破！！何度もチャレンジしてくださった方もいるのではないでしょうか。本当にありがとうございます。全体的には、50点～80点の間の方が多いようです。

まだチャレンジされていない方も、ニンテンドーWiiや空気清浄機、iPod shuffleなどの豪華賞品をご用意していますので、奮ってご参加ください。携帯電話で予習・復習もできますので、通勤時間などの空き時間に勉強してみてくださいね。
応募締め切りは3月31日（水）です。
キャンペーン詳細はこちらをご覧ください。

「Google バズ」はグーグル社が新しく開始したコミュニケーションサービスで、twitterなどのように興味のある事柄について投稿したり、写真や動画などを共有したりできるというもの。サービスは「Gmail」に組み込まれているため、Gmailのアカウントを持っていれば特にソフトなどをセットアップする必要はない。

ソフォス社がブログで伝えたところによると、「W32/Zuggie-A」というウィルスは、Google バズ用のソフトであるかのように見せかけ、「googlebuzz.exe」などのファイル名でユーザーのパソコンにインストールされる。ウィルスに感染すると、特定のサーバーに接続し、遠隔地から悪意ある犯罪者にパソコンを不正に操られる可能性があるという。

また、ウェブセンス社のブログによれば、「Google バズ」上に特定のサイトへのリンクを含むスパムメッセージが投稿されたことを確認したという。

こうした新しいコミュニケーションサービスを狙い、ウィルスを拡散させようとする手口は今後広がる可能性があるので、メール等に記載されたリンクは容易にクリックしないといった慎重な対応を心がけたい。

なお、「Google バズ」では、初期設定で本名や現在地の位置情報といった個人情報が意図せず公開されてしまう状態にあることが指摘されたが、Google社は初期設定方法の変更や、GmailからBuzzを削除するオプションの追加などを案内している。

・早くも出現、「Googleバズ」に便乗するウイルスやスパム(PC Online)
・(英文)英ソフォス社のブログ
・(英文)米ウェブセンス社のブログ
・Google バズ を快適にお使いいただくために(Google Japan Blog)
・Google バズは改善を続けています(Google Japan Blog)

こうしたWarezを利用することは、商用ソフトウェアを正規に購入せずに利用する不正な行為である。ファイル共有ソフトなどの普及により、P2Pネットワークを中心にこうした不正行為が蔓延している。また、悪意の人間がWarezに見せかけて、不正なプログラムを配布している場合も多い。

Warezは著作権を侵害しており、ソフトウェア会社にとって大きな不利益となるので絶対に利用してはならない。なお、Warezの配布はもちろんのこと、利用についても法的に罰せられる可能性がある。

2009年8月には、「ニンテンドーDS」用ソフトを違法に複製し、ネットで販売した容疑で逮捕されていた男性に、京都地裁が実刑判決(懲役2年6ヵ月、罰金200万円、追徴金約713万円)を言い渡している。

また、2010年1月には、北海道庁内で2万本を超えるソフトの不正コピー(いわゆる使い回し)が発覚したことが報じられた。不正コピーが発覚した場合、必要なライセンス分の購入費用を支払うことはもちろん、課徴金も含めた膨大な金額を請求されることがある。

このように、不正行為は絶対にしてはならない。なお、企業内で不正コピーを発見した場合は、ビジネス ソフトウェア アライアンス(BSA)へ通報してほしい。

・BSAのホームページ

この脆弱性が悪用されると攻撃者がPC内のファイルにアクセスし、情報漏えいの可能性があるというものだ。この脆弱性の悪用には、あらかじめファイルの場所と名前の情報が必要となる。この脆弱性を報告したセキュリティ研究者メディーナ氏は、固定パスに保存されているシステム設定などが狙われる可能性が高いと警告している。なお、マイクロソフト社によると、現時点でこの脆弱性を悪用した攻撃は確認されていないという。

対象となるのはWindows XP/2000/2003 上のIE 8/ 7/ 6/ 5.01である。Vista以降のOSについては、標準でIEの保護モードが有効になっているため、この脆弱性が悪用されることを防ぐという。

この脆弱性に対する更新プログラムは開発中で、月例または定例外のセキュリティアップデートを通じて配布する予定という。マイクロソフト社は更新プログラムがリリースされるまでの間の回避策「Fix it」を公開しているので、詳細を参照の上、適用されることを推奨する。

・マイクロソフト セキュリティ アドバイザリ (980088)
・「Fix it」のダウンロードページ(マイクロソフト サポート オンライン)
・IEに情報流出の脆弱性、Microsoftがアドバイザリー公開(ITmedia)
・IEに情報漏えいの脆弱性、MSがセキュリティアドバイザリを公開(INTERNET Watch)
・IEにローカル・ファイルへの不正アクセスを許す脆弱性――Black Hat講演者が報告(Computerworld.jp)

これは、「大江戸セキュリティ戯画(ギガ)」でおなじみのキャラクターがナビゲート役を務めるクロスワードパズル形式のコンテンツで、タテのカギとヨコのカギを解いて、導き出されたキーワードを並べ替え、7文字のセキュリティ用語を完成させるというものです。

答えをご応募いただいた方の中から抽選で1名様に、話題のデジタルフォトフレーム「日立デジタルフォトフレーム HPF-A7」を、5名様に「オリジナルQUOカード（500円分）」をプレゼントします。どうぞふるってご応募ください！

「大江戸セキュリティくろすわーど」

第3回の答え

第3回の正解は「クライムウエア」でした。パズルの答えはこちらをご参照下さい。

なお、プレゼント当選者の発表は発送をもって代えさせていただきます。ご了承下さい。

2/2(火)、日立システムでは「情報セキュリティの日」にちなんだイベントとして「NPO対抗セキュリティいろはかるた大会」を開催しました。

楽しみながら情報セキュリティ等のエッセンスが学べるという、このかるた大会は、2006年、2007年、2008年、2009年に続き5回目となるイベントです。

日立システム本社の特設会場には、紅白幕や畳といったお馴染みのセットが設置され、華やかな雰囲気で参加者をお迎えしました。

大会は二部制で実施され、第一部「ソリューションベンダー各社対抗セキュリティいろはかるた大会」は、日立システムを含むソリューションベンダー6社が参加。株式会社PFUの「One ＆ Only」チームが優勝しました。

続く第二部は、初の試みとなる「NPO対抗セキュリティいろはかるた大会」を開催しました。

かるた監修者の武田圭史氏によるセキュリティ講話

これは、NPO法人10団体を招待して行われたもので、大会前には、「セキュリティいろはかるた」の監修者である武田圭史氏(慶應義塾大学環境情報学部教授)によるセキュリティ講話や、日立システムのSEによるケーススタディの解説、また、質疑応答形式の相談会を実施しました。

質疑応答の模様

相談会では、積極的な質疑応答がなされ、セキュリティ専門の担当者が少ない中でITを通じた情報発信等を行う参加者より、大変有意義だったと旨の感想が聞かれました。

活発な意見が飛び交いました

続くかるた大会は、文字通りの熱戦となり、参加者と勝負を見守る応援の熱気の中、トーナメントが進みました。

かるたを取る声にも徐々に迫力が増しました

会場は、日立システムの営業チームの優勝で幕を閉じました。参加者からは来年の雪辱を誓う声なども多数聞かれました。

かるたを取るたびに歓声があがります

会場は暑い熱気に包まれました

なお、大会で使用した「セキュリティいろはかるた」は、引き続きブログでも公開中ですので、こちらもお楽しみに。

「セキュリティいろはかるた大会」についてのプレスリリースはこちらからご覧下さい。

・日立システムが情報セキュリティイベントを開催

スパムメールは、ギフトカードを無料で入手できるといった内容や、時計やバッグ、宝飾品などの模造品/偽物が購入できるという内容などだという。

スパムメールの例(トレンドマイクロ社のブログより転載)


模造品/偽物という宣伝文句が確認できる(トレンドマイクロ社のブログより転載)

メール中のリンクをクリックすると別のWebページに誘導され、氏名や住所、電話番号などの個人情報を詐取される可能性があるという。

このように、世間の関心の高いイベントが近づくにつれ、それに便乗して様々な不正行為が繰り返される。スパムメールを介してマルウェアに感染させようとする悪質な手口が起こりうる可能性も指摘されていることから、メールやインスタントメッセージ(IM)などで送られてきたリンクは容易にクリックしないといった慎重な対応を心がけたい。

・(英文)トレンドマイクロ社のブログ
・「バレンタインデー便乗スパム」が早くも出現(ITpro)

独立行政法人 情報処理推進機構(IPA)などによれば、ブラウザー・ハイジャッカーに感染すると以下のような症状が現れるという。

・インストールした覚えのないツールバーがブラウザーに追加される
・ブラウザーの起動時に表示されるWebページが変更される
・身に覚えのないWebサイトや広告のページが勝手に表示される(ポップアップする)
・Webページの閲覧中に、有害なWebサイトへ勝手に誘導される

これらの症状に加えて、Webページの閲覧履歴や、ブラウザー上で入力したIDやパスワードなどの個人情報を詐取するといった被害をもたらすものもあるという。

一般的な感染経路は、動画共有サイト等を騙った悪意あるWebサイトにユーザーを誘導することにより感染させる方法がある。これは、検索エンジン最適化(SEO)技術を悪用し、ユーザーが特定の検索キーワードを入力して検索すると、検索結果の上位に悪意のあるWebサイトを表示されるよう検索結果を操作する。悪意あるWebサイトでは、動画ファイルや動画再生に必要なプログラム(実際はウィルス)に見せかけて、ユーザーに実行させることで感染させるという手口である。

ブラウザー・ハイジャッカーは、広告を目的としたソフトウェアに分類される場合があり、セキュリティ対策ソフトによってはウィルスとして検出しない可能性がある。この点につき、IPAでは「セキュリティの警告」ウィンドウに注意することで感染を避けることができる場合があるという。セキュリティの警告メッセージは無視しないよう注意したい。

また、こうした脅威に備えるためには、怪しげなWebサイトからファイルはダウンロードしないといった慎重な対応を心がけたい。特に「無料」などという言葉に騙されて不要にファイルを開いたりすることのないよう注意が必要である。IPAでは、「有害サイト対策機能」を持つセキュリティ対策ソフトを導入することや、WindowsのInternet Explorer 8の有害サイト対策機能「SmartScreen」を利用することなどを推奨している。

・コンピュータウイルス・不正アクセスの届出状況[8月分]について(IPA)
・ブラウザ乗っ取り被害、検索エンジン経由の被害が増加(INTERNET Watch)
・ウイルス感染を防ぐためのポイント(IPA)
・Internet Explorer 8 新機能紹介ムービー : SmartScreen(マイクロソフト社)
・SmartScreen フィルター : よく寄せられる質問(マイクロソフト社)

ウィルスのファイル名は、動画ファイルであるかのように拡張子が偽装されているという(ファイルの正体はウィルスの実行ファイル)。

ファイルをダブルクリックすると、同じ名前の動画ファイルが新たに生成され、「P2Pソフトを使用するとCO2を大量に排出し、地球温暖化の原因になる」といったようなタコやイカのメッセージとともに動画が再生される。裏ではウィルスが実行され、パソコン内のファイルを魚介類の画像で次々に上書きするという。ひとたび上書きされたデータを元に戻すことは非常に困難であることから注意が必要である。

タコやイカの動画が再生される(トレンドマイクロ社のブログより転載)

上書きされる画像の例(トレンドマイクロ社のブログより転載)

また、このウィルスは、ファイルの上書きに加え、別のウィルスを作成し、ユーザーのパソコン内の情報を外部に送信している形跡があることも指摘されている。

導入しているセキュリティ対策ソフトのウィルス定義ファイルを常に最新の状態に保つなどの基本的なウィルス対策を行った上で、不要なP2Pソフトの利用は控えるとともに、身に覚えのないメールの添付のファイルは開かない、怪しげなサイトからファイルはダウンロードしないといった慎重な対応を常に心がけたい。

・年末年始におけるセキュリティ対策の再確認(トレンドマイクロ社)
・コンピュータウイルス・不正アクセスの届出状況[12月分および2009年年間]について(IPA)
・原田ウィルスとは

「Yahoo!ツールバー」は、Webブラウザーに検索機能などを追加する無料のソフトウェア。「Yahoo!あんしんねっと」は無料で利用できる有害サイトのフィルタリングサービスで、これらのソフトウェアやサービスでは、ヤフーが独自に作成したデータベースに基づき、これまでYahoo!JAPANを詐称する疑わしいサイトへのアクセスに警告を出していた。

今回、フィッシング詐欺対策の業界団体であるフィッシング対策協議会や、運営事務局であるJPCERT/CCと連携し、フィッシングサイトのURLデータの提供を受けることで、より巧妙化するフィッシングへの対策機能を強化するのが狙いという。

・(PDF)JPCERT/CCのプレスリリース
・プレスリリース(フィッシング対策協議会)
・プレスリリース(ヤフー)

この物語は、現代の情報セキュリティにまつわるポイントを、人情味溢れる江戸の街におきかえて面白おかしく解説する時代劇風コンテンツです。Flash(動画)版とHTML(静止画)版の両方で時代のギャップ感もお楽しみいただけます。

本日公開の第三話は「必殺！更新人」。トビさんトメさん夫婦は取引先の越後屋から最新のPC環境を整えるよう要請される。 しかし、もったいない、と反応はいまひとつ。その様子を見ていたクロハチは...。

大江戸セキュリティ戯画(ギガ)