IPAこと情報処理推進機構が公開している資料は、役に立つものが色々あるのでよく読んでいるのですが、中でも日常生活にも役立つ情報セキュリティ10大脅威の2017年版が公開されています。
[(独)情報処理推進機構]
脅威のランキングは個人部門と組織部門がありますが、個人部門の首位”インターネットバンキングやクレジットカード情報の不正利用”は、最近3年くらいで安定して(?)上位に食い込んで来るようになっています。
一時期に比べれば減った感もあるのですが、相変わらずフィッシング詐欺らしきメールも時々届きますし、注意したいところです。
ちなみにこの10大脅威ですが、過去の情報も消されずに残っています。2000年代前半のものもまだ見られますので、今改めて見てみるのも面白いです。
今回はセキュリティリリースです。
[wordpress.org 日本語版]
筆頭に上がっているPressthisのタクソノミー語句を割り当てるユーザーインターフェースが……という問題ですが、WordPressに内蔵されているPressthisというツールの問題のようです。
Pressthisは既存のWeb記事からWordPressのエントリ作成の支援をしてくれるツールです。
タクソノミー語句というのはいわゆるカテゴリの分類に使う語句のことですので、他のユーザがPressthisで作成したエントリのカテゴリを勝手に操作できてしまうような脆弱性があったんだろうと想像します。
その他、SQLインジェクションやXSSの脆弱性修正となっています。今回はセキュリティリリースだけで速やかにリリースされた感があるので、多少緊急性のある内容なのかもしれません。
PrestoというのはOpera12系のレンダリングエンジンですが、ソースコードが外部に漏洩したそうです。
[窓の杜]
Opera12系はもう更新されなくなって随分経ちますが、あえてまだ使っているという人もいるのではないかと思います。漏洩したソースコードから、対Opera12用の攻撃手段が編み出されたりしないかが心配です。
EMETというのはMicrosoftが提供している”脆弱性緩和ツール”です。脆弱性そのものを除去するわけではないのですが、脆弱性を利用する攻撃そのものを検知・ブロックすることで被害を低減するツールとのことです。
興味があったので、しばらく我が家の環境でも使っていました。何回かのバージョンアップを経てきていますが、いくつかの問題点があり、今後の開発は行われないそうです。
[窓の杜]
それほど運用に問題は感じませんでしたが、OSそのもののセキュリティ機能が充実してきたので別途EMETを使用しなくても良くなってきた、というのは良いことのように思います。
メールも来ていたので気づきました。
[Opera Security blog]
上記リンクのエントリによると今週(21日の週)からOpera syncシステムへの攻撃が観測され、攻撃はいち早くブロックしたものの、サーバ内のアカウント情報が漏洩した可能性があるということです。
漏洩と書きましたが、原文では ”been compromised” という表現になっています。そのまま翻訳サイトにかけると妥協するとかそういった訳になるのですが、情報セキュリティ周りのドキュメントに出てくるときは漏洩とか危殆化(きたいか)といった意味合いに取るそうです。
漏洩の可能性については “We believe” という表現になっており、これがどのくらいの確実性を意味しているのかがちょっと分かりにくいのですが、恐らく結構な高確率と判断しているんだろうとおもいます。
漏洩した情報の件数や内容については触れられていません。
Opera側としては「パスワードはソルト付きのハッシュで保存している」としながらも、念のためにOpera syncの全パスワードをリセットしたそうです。
またOpera syncでOpera以外のサービスのパスワードの同期をしているユーザに対して、パスワードの変更を推奨しています。
今回の事件はOpera Syncシステムへの攻撃だそうなので、Opera syncを使っていないユーザは特に何もする必要が無いということが明記されています。
同期サービスは便利ですが、こういった弱点もあるということが分かる事件です。
P9 liteにセキュリティパッチが来ていたので適用して、適用後に自動で再起動となりました。
再起動したところで指紋認証でロックを解除しようとしたところ、「再起動後の最初のロック解除にはPINが必要」とのこと。思い当たるものを試してみたのですがことごとくハズレで、どんどん再試行時間が長くなっていきます。
で、最後に「もしかしてこれかも」と思っていたものを入力したところ、無事にロックが解除できました。
普段指紋認証でロックを解除しているので、PINのことをすっかり忘れていました。あと、P9 liteの初期セットアップ時にとうとう現代のスマホだ、ということで浮かれていて、PINを設定したことをあまり意識していなかったのも良くなかったように思います。
たまにルータ(RT-AC68U)の管理画面にアクセスすると、ほとんどの場合ファームウェアの更新通知が来ています。
ASUSのサイトで履歴を見てみると、長くても2ヶ月に1度、セキュリティ修正などが入ると1週間程度でアップデートがリリースされることもあるようです。思ったより頻繁にリリースされていてちょっと意外に感じました。
ルータのファームウェアのことはそれほど気にすることではないのかもしれませんが、古い製品の脆弱性情報なども時折ニュースになっているので、できればタイムリーに更新したいところです。
身の周りの情報セキュリティを見なおそうと思ったそばからFlashの更新がありました。
Flashの脆弱性は発覚したそばから攻撃に利用されることがあるので注意したいところです。
ところでブラウザ用のFlash Playerのアップデートはどうなっているのか気になりますが、上記記事内の最後に詳しく書いてあります。基本的にMicrosoft製のブラウザはWindows Updateによって提供、Chromeの場合はFlashのアップデートと同日に本体のアップデートがかかります。
Operaの場合は既定でアップデート通知が来るようになっています。なので普通に利用していると通知が来て、それを受けて手動でアップデートする形になります。
ただアップデートのチェック間隔は最短でも7日間隔でしか設定できません。今回のアップデートのように適用優先度が「極力早めに(72時間以内を推奨)」になっていることもあるので、adobe製品周りについては自主的にアップデート情報を気にしているような感じです。
今日2/9は インターネット安心デー なんだそうです。
Googleがキャンペーンをやっていたので自分のアカウントも診断してみました。
このアカウント診断は昨年末にもやっていたのですが、別に診断が初めてでなくてもボーナスのGoogleドライブ容量はもらえるようです。
ちょうど2月頭から内閣府もサイバーセキュリティ月間ということでいろいろ催し物をやっていますし、身の周りの情報セキュリティを色々見直すにはいい機会です。
Microsoft製の脆弱性緩和ツール、EMETが5.5betaから正式に5.5になったそうです。
[窓の杜]
ソフトウェアに存在する脆弱性を突く攻撃を無効化することで、被害を抑えることを目的としたソフトです。
最近はこの手の攻撃が多いので、パターンマッチング型のウイルス対策と合わせて導入しています。
動作の性質上、いわゆる”誤爆”もありうるらしいのですが、特にうちの環境では困った動作をしたことはありません。
日本マイクロソフトのセキュリティチームのblogの解説記事がとても分かりやすいのであわせてご紹介しておきます。
[日本マイクロソフト 日本のセキュリティチーム]