9月4日週に発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届けするこのコーナー。先週までの「Apple」を騙るフィッシングメールに加え、「マイクロソフト」を偽ったメールが拡散中だ。メール以外にも、企業を騙り電話で暗証番号などの個人情報を盗もうとする場合も多い。かかってきた電話でこのような情報を聞かれたら、まず疑うように。

大手企業を装ったフィッシングメールは、もはや流通しない日はない。それだけ、攻撃者にとって効果的ということ。恐いのは、日々の不審メールに慣れきってしまい、注意する感覚がマヒしたとき生じる油断だ。つい上の空になって、メールや添付ファイルを開封したり、怪しいURLをクリックしたりすることのないよう、常に警戒心を持っておきたい。

マイクロソフトを騙るフィッシングメール

9月4日の時点で、マイクロソフトを装ったフィッシングメールが配信されている。このメールはマイクロソフトが配信したものではないので、メールの受信を確認した場合は、そのまま削除するようにと注意喚起をしている。

メールを開いてしまっても、本文に記載されているURLはクリックしないように注意が必要。URLをクリックすると、クレジットカード情報を含めた個人情報の入力を求められる画面が表示される。絶対に情報は入力しないように。

フィッシングメールの件名の一例は、
「ご注意!! OFFICEのプロダクトキーが不正コピーされています。」
「警告!! マイクロソフトのプロダクトキーが不正コピーされている恐れがあります。」
など。

Apache Struts2 に任意のコードが実行可能な脆弱性

9月8日の時点で、Java Webアプリケーションフレームワーク「Apache Struts2」に、任意のコードが実行可能な脆弱性が確認されている。影響を受けるのは、Struts 2.1.2~Struts 2.3.33までと、Struts 2.5~Struts 2.5.12 までで、Struts RESTプラグインを使用している場合、任意のコードが実行される可能性があるという。

対策としては、バージョンをStruts 2.5.13、もしくはStruts 2.3.34へアップデートすること。このバージョンは脆弱性の対策済みである。また開発者のサイトでも、この脆弱性を回避する方法が記載されているので、そちらを参照して処理しても良いだろう。

コレガ製の無線LANルータ「CG-WLR300NM」に複数の脆弱性

9月8日の時点で、コレガ製の無線LANルータ「CG-WLR300NM」 に、複数の脆弱性が確認されている。脆弱性は、OSコマンドインジェクションとバッファオーバーフローで、第三者によって、任意のコマンドを実行される恐れがある。また、ログインした状態のユーザに細工されたページにアクセスさせることで、サービス運営妨害(DoS)状態を引き起こし、任意のコマンドが実行される可能性もある。

脆弱性は「CG-WLR300NM」のファームウェア Ver. 1.90、およびそれ以前。すでにサポートサービス期間が終了しているので、対策としては「CG-WLR300NM」の使用を停止するしかない。当該機種を使っている場合、無線LANルータの買い替えが必須だ。

同報配信やメールマガジンからの情報流出

今に始まったことではないが、多人数に対して一斉配信するメールの操作ミス、設定ミスによって、メールアドレスが流出するトラブルが後を絶たない。大半の場合は、本来は「BCC」に記載すべきメールアドレスを、「TO」や「CC」に入れてしまうというヒューマンエラーが原因だ。

マイナビニュース編集部に届くメール(主にプレスリリースを配信するメール)でも、それなりの頻度で見かける。これが即、より重要な個人情報の流出や、不正アクセスにつながるわけではないが、フィッシングメールの宛先として悪用するのはたやすい。冒頭で述べたフィッシングメールへの油断と同じく、ついやってしまうメールのミスには、くれぐれも気を付けよう。

警察庁、平成29年上半期のサイバー脅威

警察庁は9月7日、「平成29年上半期におけるサイバー空間をめぐる脅威の情勢等について」という広報資料を公開した(PDFファイル)。

資料によると、サイバー攻撃が世界的な規模で継続的に発生しており、国内で稼働するC&Cサーバー(*)を43台、機能停止に向けた措置を取ったという。

* : C&Cサーバー(C2サーバー)
「command and control server」。不正プログラムが動いているコンピューターに対して、攻撃者からの具体的な命令を伝えるサーバーのこと。

また、インターネットバンキングの不正送金は214件、被害額は約5億6,400万円だった。前年同期比で、件数はマイナス645件、被害額はマイナス3億3,300万円と、主に個人口座の被害が大きく減少。ただしこれは、個人に対する攻撃が、仮想通貨の取引所に対して送金させる新たな手口にシフトしたという一要因を述べている。この手口によって送金されたのは約1億400万円で、うち約6,900万円相当の仮想通貨などに対して、取引所で凍結措置が取られた。

サイバー犯罪の検挙件数は4,209件で、平成28年上半期の4,280件から微減。内訳で多いのは児童ポルノに関するもの、詐欺、不正アクセス禁止法違反など。