-
タグ
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- SASE
- デジタルアイデンティティ
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR
こんにちは、川口です。
セキュリティ月間は終わってしまいましたが、残念ながら、セキュリティ対策に終わりはありません。。。
今回の啓発情報は、マイクロソフト社製Webブラウザインターネットエクスプローラー(以降、IE)の脆弱性(セキュリティ上の欠陥)が出ており、ラックのメルマガなどを見ておられる情報通の方はご存じの内容ですが、改めてお知らせいたします。
IEの脆弱性、すでにゼロデイで悪用が確認
先月IEのゼロデイが発見され話題になっていますが、セキュリティ関係者以外では、危険性や存在を認知されていないように思いますので、あくまで一般のパソコンユーザーに向けた啓発ということで、文章を書いてみます。
- ※ゼロデイとは、メーカーが対策出来ていない脆弱性、およびその脆弱性を突く攻撃のこと。別の防御手段を用意していない限り基本的には攻撃が成功してしまうため、衝撃が大きい。
今回発見された脆弱性(CVE-2014-0322)はIE9とIE10という多くの方が使用されているバージョンのIEに含まれる脆弱性です。攻撃者は、みなさんが普段利用しているホームページに、この脆弱性を悪用した攻撃用ホームページを仕掛けます。そして、脆弱性対策が行われていないIEで閲覧すると、自動的にウイルスに感染させられるという被害が、実際に確認されました。
この脆弱性は、もともとは海外のホームページで悪用されたものですが、先日、日本でもこの手口を模倣したとみられる攻撃に用いられたようです。すでにいくつかのメディアの記事でも紹介されていますが、日本で実際の攻撃に使われていたウイルスをラックでも確認したところ、オンラインバンキングの口座情報を狙うタイプのものであることがわかりました。
当社が以前注意喚起した水飲み場型攻撃では、攻撃対象を絞った手法が使われていましたが、今回は少し異なるようです。
日本における水飲み場型攻撃に関する注意喚起(CVE-2013-3893)
https://www.lac.co.jp/lacwatch/alert/20131009_000174.html
昨年のIEゼロデイとの比較
昨年のIEのゼロデイ攻撃(CVE-2013-3893)と今回のIEのゼロデイ攻撃(CVE-2014-0322)はどちらも日本のホームページに置かれている事例が確認できたわけですが、攻撃者の狙いに違いがあります。
昨年のIEゼロデイ攻撃は攻撃対象を日本の特定の組織に限定しており、被害者は少なくなる一方で被害の発覚が遅くなるという問題がありました。攻撃そのものが世間に知れ渡ることがないために、他の攻撃者が悪用するまでの時間が長くなるという特徴がありました。一方で、今年のIEゼロデイ攻撃は海外で行われた攻撃が発端で、このときに使用された攻撃手口を日本向けに改造して今回の攻撃が行われたのではないかと推測しています。前回は特定組織に潜入するサイバースパイが目的と推測していますが、今回はオンラインバンキングの口座情報を狙っており、以前とは目的も異なることから、攻撃者も以前とは異なるのではないかと考えています。
みなさんに、2014年3月3日時点でお願いしたい対策
書き出しでも示しましたが、本件はすでに国内でも被害報告があり、狙いがオンラインバンキングの情報ということで大変深刻な被害につながる可能性があります。しかしながら2014年3月3日現在、マイクロソフトのセキュリティ更新プログラムの提供がされていないうえに、まだ本件に対する認知が広がっていないことが気になっています。
本情報をお読みになられた方は、以下のいずれかの対策を実施してください。
- インターネットエクスプローラー11を使用する
- EMETを使用する
- Fix IT を適用する
マイクロソフト セキュリティ アドバイザリ: Internet Explorer の脆弱性により、リモートでコードが実行されます
いずれの対策も実施できない場合には期間限定でIE以外のブラウザを使用する選択肢もあります。もしくは、メーカーからセキュリティ更新プログラムが発表されるまで、パソコンを使用してのオンラインバンキングの利用を控える手もあります。自宅で使用するパソコンではそのような運用も可能かもしれません。また、常日頃からオンラインバンキングを使用する際にいつもと違う画面が出ていないか注意を払い、振り込み記録を確認するようにしてください。
既に感染している可能性がある人は、いつも利用しているオンラインバンキングに接続してみて、いつもと違う画面が表示されないかを確認してみる手はあります。また、ウイルス対策ソフトを最新にしてチェックしてみてください。ただし、ウイルス対策ソフトで検出されなかったと言って安心してはいけません。前述の注意や確認を怠らず用心を忘れないようにお願いします。
IEという誰もが使用している有名なソフトウェアに対してゼロデイが頻発すると安心できません。マイクロソフト社の次回の(3月第2水曜日)セキュリティ更新プログラムで配布されることを期待しています。
更新プログラムが公開された場合は、速やかに適用をお願いします。
また、ご自身が利用する銀行のホームページで、注意喚起を出している場合がありますので、それらをご確認されておくことも推奨いたします。
参考URL
マイクロソフト セキュリティ アドバイザリ (2934088)
http://technet.microsoft.com/ja-jp/security/advisory/2934088
Internet Explorer に解放済みメモリ使用 (use-after-free) の脆弱性
http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-001409.html
サイト改ざんの影響について
この記事をシェアする
関連記事
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- もっと見る +
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- SASE
- デジタルアイデンティティ
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR