セキュリティトップ > セキュリティニュース

アクセスカウンタ

ブログ名
BIGLOBEセキュリティニュース
ブログ紹介
期限切れの心配もなく便利で安心。総合ウイルス対策が最大2カ月【無料】! 詳しくは、こちら
Clip to Evernote
RSS
Mac向けTwitterクライアントに絵文字処理でクラッシュする脆弱性 2016/08/25 09:57
セキュリティ最新ニュース

Mac OS X向けに提供されているTwitterクライアントソフト「夜フクロウ」に、特定の文字列を処理するとクラッシュする脆弱性が含まれていることがわかった。
修正版がリリースされている。

脆弱性情報のポータルサイトであるJVNによれば、絵文字を示す特定のユニコード文字列を処理するとアプリケーションがクラッシュする脆弱性「CVE-2016-4852」が明らかとなったもの。
「同2.84」および以前のバージョンに含まれる。

同ソフトが利用するMac OS XのAPIに含まれる問題に起因しており、「OS X 10.9 Mavericks」で利用した際に影響を受けるという。
最新OSである「OS X 10.11 El Capitan」では問題は生じないとしている。

同脆弱性は、東京農工大学の市川遼氏が情報処理推進機構(IPA)へ報告したもので、JPCERTコーディネーションセンターが調整を実施。
開発者より修正版となる「同2.85」がリリースされている。

(Security NEXT - 2016/08/24 )

■関連リンク
JVN:夜フクロウにおけるサービス運用妨害の脆弱性
JVN


出典:Security NEXT

── ウイルス感染などの被害にあわないために・・・
被害を防ぐためには、パソコンのOSやソフトウェアの更新プログラムの適用と、ウイルス対策ソフトを利用して定義ファイルを最新に保つ、2つのことが重要です。

BIGLOBEの総合ウイルス対策ソフト『セキュリティセット・プレミアム』は、ウイルスや迷惑メール、不正アクセスなど、インターネットのあらゆる脅威からあなたのパソコンやスマホを守ります。
新規申込の方なら、今月と翌月の月額料金が【無料】です。
詳細はこちら


◆ 被害に合わないために迷惑メールをブロック ◆
被害に合わないためには、企業をかたるフィッシングメールなどの迷惑メールを受け取らないことが重要です。「迷惑メールフォルダオプション」を設定し迷惑メールをブロックしましょう。
今なら初月無料キャンペーン中です。【2016年9月29日まで】試しに使ってみてはいかがでしょうか?
詳細はこちら
記事へトラックバック / コメント


スマホ向けRPG「ヒーローズウィル」でメール誤送信 - メアド4875件流出 2016/08/25 09:54
セキュリティ最新ニュース

TRITONESOFTは、同社のスマートフォン向けRPG「ヒーローズウィル」におけるキャンペーンでメール誤送信が発生し、ユーザーのメールアドレスが流出したことを明らかにした。

同社によれば、8月20日12時過ぎにキャンペーンとして「ヒーローズウィル感謝メール」を送信したが、メールアドレスを誤って宛先に記載。
受信者のメールアドレス4875件が流出したという。

同社では、対象となるユーザーにメールで謝罪し、誤送信したメールの削除を依頼している。

(Security NEXT - 2016/08/23 )

■関連リンク
TRITONESOFT


出典:Security NEXT

── ウイルス感染などの被害にあわないために・・・
被害を防ぐためには、パソコンのOSやソフトウェアの更新プログラムの適用と、ウイルス対策ソフトを利用して定義ファイルを最新に保つ、2つのことが重要です。

BIGLOBEの総合ウイルス対策ソフト『セキュリティセット・プレミアム』は、ウイルスや迷惑メール、不正アクセスなど、インターネットのあらゆる脅威からあなたのパソコンやスマホを守ります。
新規申込の方なら、今月と翌月の月額料金が【無料】です。
詳細はこちら


◆ 被害に合わないために迷惑メールをブロック ◆
被害に合わないためには、企業をかたるフィッシングメールなどの迷惑メールを受け取らないことが重要です。「迷惑メールフォルダオプション」を設定し迷惑メールをブロックしましょう。
今なら初月無料キャンペーン中です。【2016年9月29日まで】試しに使ってみてはいかがでしょうか?
詳細はこちら
記事へトラックバック / コメント


高松空港のサイトが改ざん、時刻表ページから外部サイトへ誘導 2016/08/24 09:23
セキュリティ最新ニュース

高松空港のウェブサイトが不正アクセスにより改ざんされ、一部ページより外部サイトへ誘導するためのコードが挿入されていたことがわかった。香川県では原因を調べている。

高松空港振興期成会が管理する高松空港のウェブサイトが不正アクセスを受け、不正なコードが埋め込まれたもので、8月19日16時ごろ、サーバの管理業者から事務局に連絡があり、問題が判明した。

改ざんの被害にあったのは、同空港の時刻表ページ。
不正なコードが埋め込まれ、英文によるバイアグラの広告文が上部に挿入され、外部サイトへ誘導する状態となっていた。

ただし、同県によれば問題の文字列が挿入されるのは、検索サイトに保存されている同ページのキャッシュを表示させた場合に限られ、同ページへ直接アクセスした場合、問題の文字列は表示されない状態だったという。

同県では、同日16時半過ぎにウェブサイトを停止。
原因の調査を進めているが、閲覧者におけるマルウェア感染は確認されていない。
また同サーバ上に個人情報は保存されておらず、不正アクセスによる情報流出については否定している。

(Security NEXT - 2016/08/22 )

■関連リンク
香川県


出典:Security NEXT

── ウイルス感染などの被害にあわないために・・・
被害を防ぐためには、パソコンのOSやソフトウェアの更新プログラムの適用と、ウイルス対策ソフトを利用して定義ファイルを最新に保つ、2つのことが重要です。

BIGLOBEの総合ウイルス対策ソフト『セキュリティセット・プレミアム』は、ウイルスや迷惑メール、不正アクセスなど、インターネットのあらゆる脅威からあなたのパソコンやスマホを守ります。
新規申込の方なら、今月と翌月の月額料金が【無料】です。
詳細はこちら


◆ 被害に合わないために迷惑メールをブロック ◆
被害に合わないためには、企業をかたるフィッシングメールなどの迷惑メールを受け取らないことが重要です。「迷惑メールフォルダオプション」を設定し迷惑メールをブロックしましょう。
今なら初月無料キャンペーン中です。【2016年9月29日まで】
試しに使ってみてはいかがでしょうか?
詳細はこちら
記事へトラックバック / コメント


「ポケモン GO」便乗の不正アプリ、1カ月で約12倍に - 説明通りのアプリはわずか1割強 2016/08/23 11:31
セキュリティ最新ニュース

国内外で人気を博している「ポケモン GO」だが、その人気にあやかろうとする「便乗アプリ」が多数登場している。
便乗アプリで説明通りの機能を持つアプリはわずか11.4%に過ぎなかった。

トレンドマイクロが、「ポケモン GO」に類似、あるいは紛らわしい名称を持つアプリの動向について取りまとめたもの。
8月16日の時点で便乗アプリは1575件にのぼり、そのうち238件について、同社では「不正アプリ」または「迷惑アプリ」と判定したという。

「ポケモン GO」は米国をはじめ海外で7月6日より提供されているが、国内でのリリース直前となった7月21日の時点で43件の便乗アプリが流通。
そのうち19件が不正または迷惑アプリだった。
それからわずか1カ月ほどでさらに10倍以上の規模へと拡大したことになる。

また149件の便乗アプリは、Google Play上でも出回っており、合計で3900万回以上ダウンロードされていた。
これらの便乗アプリは、表向きの説明はゲーム攻略ガイドやマニュアルが52.3%で、ゲームで使用される偽のGPS位置情報アプリが18.1%だったが、同社が解析したところ87.2%は「アドウェア」で、1.3%は「偽アプリ」だった。
説明通りの機能を持つアプリはわずか11.4%に過ぎないという。

「DroidJack」といった「リモートアクセスツール(RAT)」を組み込み、人気アプリに不正な改造を加えられた「リパックアプリ」は、これまでもたびたび出回っているが、「ポケモン GO」も例外ではない。
見た目は正規アプリと同様だが、「偽アプリ」には遠隔操作する機能が追加されていることがあり、遠隔操作や内部の情報を取得されるおそれがある。こうした改造を行うツールは、ブラックマーケットにおいて1ドル未満で流通している状況だ。

同社は、効率良く不正アプリを広げるために人気アプリが便乗されるケースは多々あると指摘。
被害を防ぐため、OSを最新にする、サードパーティーのアプリストアからアプリをダウンロードしない、未知の開発者に注意するなど対策を呼びかけている。

(Security NEXT - 2016/08/19 )

■関連リンク
トレンドマイクロ


出典:Security NEXT

── ウイルス感染などの被害にあわないために・・・
被害を防ぐためには、パソコンのOSやソフトウェアの更新プログラムの適用と、ウイルス対策ソフトを利用して定義ファイルを最新に保つ、2つのことが重要です。

BIGLOBEの総合ウイルス対策ソフト『セキュリティセット・プレミアム』は、ウイルスや迷惑メール、不正アクセスなど、インターネットのあらゆる脅威からあなたのパソコンやスマホを守ります。

新規申込の方なら、今月と翌月の月額料金が【無料】です。
詳細はこちら
記事へトラックバック / コメント


複数金融機関の利用者狙うフィッシング - 「貴様のアカウント」など不自然な言い回しも 2016/08/19 15:46
セキュリティ最新ニュース

複数金融機関のオンラインバンキング利用者を狙ったフィッシング攻撃が展開されている。
フィッシング対策協議会が注意を呼びかけた。

「ジャパンネット銀行」や「福岡銀行」を装い、アカウント情報をだまし取るフィッシング攻撃が相次いで確認されたもの。

確認されたフィッシングメールは、いずれも「重要なお知らせ(2016年8月18日更新)」「メールアドレスの確認」「銀行本人認証サービス」とまったく同一の件名で送信されており、メールのデザインや文言も同一だった。

メールの本文は、セキュリティのアップデートを理由に、アカウントの利用中止をちらつかせ、不安を煽って偽サイトへ誘導する内容だが、「貴様のアカウントの利用中止を避けるために、検証する必要があります」などと不自然な言い回しも用いられており、日本語を母国語としない攻撃者が作成したと見られる。

またHTMLメールにより、誘導先のURLを偽装しており、サブドメインに実際に銀行のドメインの文字列を組み込んでいた。

いずれも今回のケースでは誘導先のフィッシングサイトは停止していることが確認されているが、フィッシング対策協議会では類似した攻撃へ注意するよう呼びかけている。

(Security NEXT - 2016/08/19 )

■関連リンク
フィッシング対策協議会


出典:Security NEXT

── ウイルス感染などの被害にあわないために・・・
被害を防ぐためには、パソコンのOSやソフトウェアの更新プログラムの適用と、ウイルス対策ソフトを利用して定義ファイルを最新に保つ、2つのことが重要です。

BIGLOBEの総合ウイルス対策ソフト『セキュリティセット・プレミアム』は、ウイルスや迷惑メール、不正アクセスなど、インターネットのあらゆる脅威からあなたのパソコンやスマホを守ります。

新規申込の方なら、今月と翌月の月額料金が【無料】です。
詳細はこちら
記事へトラックバック / コメント


不正ログイン被害の原因となるパスワードの使い回しはNG 2016/08/16 09:50
不正ログイン被害の原因となるパスワードの使い回しはNG
〜ちょっとした工夫でパスワードの使い回しを回避〜


IPA今月のよびかけ

2016年8月1日、JPCERTコーディネーションセンターがパスワードリスト攻撃による不正ログイン被害の軽減を目的とした「STOP!!パスワード使い回し!!キャンペーン2016」を開始しました(※1)。

同キャンペーンは過去にも実施されていますが、最近でもパスワードの使い回しが原因とされるフリーメールへの不正ログインの新たな手口が確認されました(※2)。
このように不正ログインの相談は常にIPAに寄せられています。

パスワード設定はできる限り長く、複雑にし、絶対に使い回さないことです。
IPAの調査(※3)では「サービス毎に異なるパスワードを設定している」人は27.3%でした。
7割以上の人がパスワードを使い回していることになります。

不正ログイン被害を防止するためにも、以下に示すような工夫を参考に安全なパスワードの作成、管理を行ってください。


(1)使い回しを回避するパスワードの作成方法

ここでは、使い回しを回避するパスワードの作成方法の一つを紹介します。

1. コアパスワードの作成

まず、自分の趣味や興味のあることなどから決めた短いフレーズを基に、任意の変換ルールを適用して、憶えやすく、強度の高いパスワードを作成します。
これを全てのパスワードに共通して使用する“コアパスワード”とします

例えば、「テレビが好き」というフレーズを決めた場合、このフレーズをローマ字に変換します。
ヘボン式ローマ字で変換すると、「terebigasuki(12文字)」となり、これだけである程度の長さ(桁数)を確保した憶えやすいパスワードが作成できます。

次に、ローマ字に置き換えた文字列の一部を大文字、記号、数字に置き換えたり、数字や記号を追加したりなど、任意の変換ルールを適用します。

図1:コアパスワード作成の例
図1:コアパスワード作成の例


例えば、図1の変換ルール1では助詞の「が=ga」を大文字に変換し「GA」としました。
また変換ルール2では末尾に「!!」を追加し、更に変換ルール3では好きなスポーツ選手の背番号(ここでは06を想定した)「06」を追加しています。
その結果得られた「terebigasuki!!06(16文字)」という文字列で、一定の長さ(桁数)と強度が確保できたため、これをコアパスワードとします。

2. サービス毎に異なるパスワードの作成

次に、サービス名の略称や頭文字、URLの一部などから、サービス毎に任意の短い文字列を決めます。
これをサービス毎の識別子として、コアパスワードの前または後に追加します。

図2:識別子をコアパスワードの前に追加した例
図2:識別子をコアパスワードの前に追加した例


このように、コアパスワードが共通であっても、異なる識別子を追加することで、サービス毎に異なるパスワードが作成でき、パスワードの使い回しを回避することが出来ます。


(2)パスワードの管理方法

前述のように作成したコアパスワードと識別子で構成されるパスワードの管理は、コアパスワードのみを暗記し、サービス毎の識別子は電子ファイルや紙で記録します。

コアパスワードと識別子は別々に管理されるため、万が一、識別子を記録した電子ファイルの流出や紙を紛失した場合でも、その情報だけでは悪用できず、サービスへの不正利用などの被害にならずに済みます。

図3:紙に記録してパスワードを管理する方法例
図3:紙に記録してパスワードを管理する方法例




(※1) JPCERTコーディネーションセンター:STOP!!パスワード使い回し!!キャンペーン2016
https://www.jpcert.or.jp/pr/2016/pr160003.html
(※2) 安心相談窓口だより「パスワードの使い回しなどが原因の新たな手口と被害を確認」
https://www.ipa.go.jp/security/anshin/mgdayori20160726.html
(※3) 2015年12月24日公開:「2015年度情報セキュリティの倫理に対する意識調査」
https://www.ipa.go.jp/files/000050002.pdf
※記載されている製品名、サービス名等は、各社の商標もしくは登録商標です。
【参考】IPA 安心相談窓口だより
不正ログイン被害の原因となるパスワードの使い回しはNG
〜ちょっとした工夫でパスワードの使い回しを回避〜



── ウイルス感染などの被害にあわないために・・・
被害を防ぐためには、パソコンのOSやソフトウェアの更新プログラムの適用と、ウイルス対策ソフトを利用して定義ファイルを最新に保つ、2つのことが重要です。

BIGLOBEの総合ウイルス対策ソフト『セキュリティセット・プレミアム』は、ウイルスや迷惑メール、不正アクセスなど、インターネットのあらゆる脅威からあなたのパソコンやスマホを守ります。

新規申込の方なら、今月と翌月の月額料金が【無料】です。
詳細はこちら
記事へトラックバック / コメント


MS、月例セキュリティ更新9件をリリース - 脆弱性の悪用は未確認 2016/08/12 09:04
セキュリティ最新ニュース

日本マイクロソフトは、8月の月例セキュリティ更新9件を公開した。
CVEベースで重複を除きあわせて27件の脆弱性に対処しているが、いずれも悪用は確認されていない。

同社は、最大深刻度「緊急」の更新プログラムとして、ブラウザ「Internet Explorer」「Microsoft Edge」の累積的な脆弱性へ対応した「MS16-095」「MS16-096」を用意。

さらに「MS16-097」で「Graphicsコンポーネント」の脆弱性3件に対応したほか、「PDFライブラリ」や「Office」の脆弱性を解消。
いずれも悪用されるとリモートでコードを実行されるおそれがある。

のこる4件の更新は、いずれも深刻度「重要」。
「認証方式」において特権の昇格が生じる脆弱性2件や、「セキュアブート」においてセキュリティがバイパスされる脆弱性1件に対し、それぞれ「MS16-101」「MS16-100」で脆弱性を修正した。

くわえて「カーネルモードドライバ」において特権の昇格が生じる脆弱性や「ActiveSyncProvider」で情報漏洩が生じる脆弱性へ対処している。

今回修正した脆弱性は以下のとおり。


MS16-095:Internet Explorer用の累積的なセキュリティ更新プログラム

CVE-2016-3288/CVE-2016-3289/CVE-2016-3290/CVE-2016-3293
CVE-2016-3321/CVE-2016-3322/CVE-2016-3326/CVE-2016-3327
CVE-2016-3329

MS16-096:Microsoft Edge用の累積的なセキュリティ更新プログラム

CVE-2016-3289/CVE-2016-3293/CVE-2016-3296/CVE-2016-3319
CVE-2016-3322/CVE-2016-3326/CVE-2016-3327/CVE-2016-3329

MS16-097:Microsoft Graphicsコンポーネント用のセキュリティ更新プログラム

CVE-2016-3301/CVE-2016-3303/CVE-2016-3304

MS16-098:Windowsカーネルモードドライバー用のセキュリティ更新プログラム

CVE-2016-3308/CVE-2016-3309/CVE-2016-3310/CVE-2016-3311

MS16-099:Microsoft Office用のセキュリティ更新プログラム

CVE-2016-3313/CVE-2016-3315/CVE-2016-3316/CVE-2016-3317
CVE-2016-3318

MS16-100:セキュアブートのセキュリティ更新プログラム

CVE-2016-3320

MS16-101:Windows Authentication Methods用のセキュリティ更新プログラム

CVE-2016-3237/CVE-2016-3300

MS16-102:Microsoft Windows PDFライブラリ用のセキュリティ更新プログラム

CVE-2016-3319

MS16-103:ActiveSyncProvider用のセキュリティ更新プログラム

CVE-2016-3312


(Security NEXT - 2016/08/10 )


■関連リンク
MS:2016年8月のマイクロソフトセキュリティ情報
日本マイクロソフト

出典:Security NEXT

── ウイルス感染などの被害にあわないために・・・
被害を防ぐためには、パソコンのOSやソフトウェアの更新プログラムの適用と、ウイルス対策ソフトを利用して定義ファイルを最新に保つ、2つのことが重要です。

BIGLOBEの総合ウイルス対策ソフト『セキュリティセット・プレミアム』は、ウイルスや迷惑メール、不正アクセスなど、インターネットのあらゆる脅威からあなたのパソコンやスマホを守ります。

新規申込の方なら、今月と翌月の月額料金が【無料】です。
詳細はこちら
記事へトラックバック / コメント


月別リンク

セキュリティ対策 | 診断

2つの診断でチェックしてみよう!BIGLOBEセキュリティではあなたのパソコンを無料で診断できます。

セキュリティ対策 | セキュリティ診断

あなたのパソコンの安全レベルを詳しくチェック!※BIGLOBE会員専用

<無料>診断する

セキュリティ対策 | ウイルス診断

知らない間にウイルスに感染しているかも。誰でもお手軽チェック!

<無料>診断する