新年早々脆弱性と謎解きメールに右往左往セキュリティクラスタ まとめのまとめ 2013年1月版

2013年の年明けは、脆弱性ではなく、自称「遠隔操作ウイルス事件の犯人」からの手紙で慌ただしく幕を開けました。

» 2013年02月12日 18時00分 公開
[山本洋介山,@IT]

 Internet Explorer(IE)の脆弱性が解決されないまま年の瀬を迎えましたが、セキュリティクラスタの2013年の年明けは、脆弱性ではなく、遠隔操作ウイルス事件の犯人からの手紙で慌ただしく幕を開けました。犯人によってメモリカードを取り付けられた、猫のゆたかくんのことが忘れられそうになったころに、Java 7の脆弱性が公開されてまたまた大騒ぎ。そしてやはり、今年になっても怪しいAndroidアプリが注目を集め続けそうな予感がする、そんな2013年最初の1カ月でした。

Java 7の脆弱性で新年早々大慌て

 1月10日ごろからJava 7の脆弱性が公になり、攻撃実証コード(Exploit)も公開されているということで大騒ぎになりました。しばらくゼロデイ攻撃におびえる日々が続きましたが、ほどなく14日にはオラクルからアップデートが公開されました。

 ……と、これで収束すればよかったのですが、このアップデートが、複数ある脆弱性のうちのどれに対応しているかが明確ではなかったため、これですべ安全になったのか、実はまだ危険性を残しているのか、混乱を招く結果となりました。タイムライン(TL)でも情報が錯綜していました。

 結局のところ、今回の修正では、ちまたに出回っているExploitでは攻撃は成功しなくなるため、ひとまず防御にはなります。しかし、すべての脆弱性が修正されているというわけではなかったようです。別の攻撃方法によって攻撃されてしまう可能性はまだあり、必要がないならば引き続きWebブラウザのJavaプラグインを無効にして、Javaを使用しない方がいいとのことです。

 米国国土安全保障省ではJavaプラグインの無効化を推奨しています。ただ、IPAの提供するMyJVNバージョンチェッカやiLogScannerについてもJavaが使用されているためか、IPAでは無効化を推奨していないのも気になるところですね。

 その他、IE 6〜8についても2012年末にゼロデイ攻撃が行われている脆弱性が公表されたものの、年が明けた1月の月例パッチでも修正されませんでした。当面の対策は「使用しないこと」と身もふたもない方策となったため、頭を抱えた人も多かったようです(その後、1月15日の緊急アップデートで修正プログラムが配布されました)。

【関連記事】

Oracle、Javaのアップデート公開

http://www.atmarkit.co.jp/ait/articles/1301/15/news082.html

セキュリティ攻撃阻止のためにWebブラウザでJavaを無効化する

http://www.atmarkit.co.jp/ait/articles/1301/18/news092.html

マイクロソフト、IE 6〜8のゼロデイ脆弱性を修正

http://www.atmarkit.co.jp/ait/articles/1301/15/news088.html


遠隔操作ウイルス事件犯人からのメールで新年早々大騒ぎ

 1月1日、まだ夜も明けないうちに、自称「遠隔操作ウイルス事件の犯人」から謎解きを持ちかけるメールが送られて、TLは正月早々大騒ぎになりました。

編集部注:警視庁などの合同捜査本部は2月10日、遠隔操作ウイルス事件に関連し、威力業務妨害の疑いで東京都江東区の男性を逮捕しました。この件に関する反響は、次号お届けする予定です。


 問題は全部で5問あったようですが、CTFで鳴らした猛者どもにとっては簡単だったようで、夜が明ける前に早くも何人かが解き終えました。たくさんの人が、回答に示された「雲取山」という場所にあったUSBメモリを探しに向かいましたが、結局、埋められたというUSBメモリは見つからなかったようです。

 その後、誰にも発見されないことにイライラしたのか、1月5日に再度「自称犯人」からメールが送られてきます。このときは問題も3問に減り、前回同様、猛者によって簡単に解かれてしまいます。

 その結果、2回目のゴールであるmicroSDカードは、犯人が「ゆたかくん」と名付けた江ノ島の地域猫にくくり付けられていることが判明。5日朝からたくさんの人が江ノ島に向かったようでした。

 今回は無事に(?)猫とmicroSDカードが回収され、中にはiesys.exeのソースコードが入っていたようです。それだけではなく、警察への恨み言や「もうこれ以上発信はしない」とのメッセージも入っており、実際にこの後、犯人と名乗る人物からの動きはありません。

 江ノ島の防犯カメラに写っていた怪しい人物は20〜30歳代ということでしたが、出題された問題の中には、10年前に流行したソフトやアニメが題材になっている問題があったため、「犯人はそれほど若くないのではないか」とTLでは推測されていました。

【関連リンク】

遠隔操作ウイルスの真犯人が手がかりを預けた!?ゆたかくん写真まとめ – NAVER まとめ

http://matome.naver.jp/odai/2135734795387491301


編集部注:この記事は2月初めに執筆されました。繰り返しになりますが、遠隔操作ウイルス事件の容疑者逮捕に関する反響は、次号お届けする予定です。


「全国共有電話帳」という謎のアプリが話題に

 2012年から、勝手にユーザーの電話帳のデータを盗んだりするAndroidの偽アプリが話題となっていますが、1月には、自分の電話帳データをネットで共有する「全国共有電話帳」という謎のアプリが話題となりました。

 このアプリは、ハローページとタウンページに掲載された情報に加え、利用者の電話帳の情報を勝手に抜き取って、利用者間で閲覧できるようにすることで話題となっていたアプリ「全国電話帳」を頒布していた「鳥取ループ」の手によるものです。全国共有電話帳は、「2800万件を超える電話帳データベースからさまざまな情報を検索できる」という触れ込みですが、やはり、端末内の電話帳データとGPS情報が利用されるということです。

 電話帳データの共有にはユーザーの許諾を得るとしていますが、「自分の個人情報を勝手に共有されかねない」と、多数のTwitterユーザーから反発を受けました。

 とはいえ、このアプリを公開した「鳥取ループ」という団体は、「偽アプリをインストールさせて他人の電話帳をだまし取ろうという意図で公開しているわけではない」と主張しており、争点がややこしくなっています。あくまで「日本の個人情報保護制度や機密管理、ソフトウェア規制の枠組みのバカバカしさを表現しているツールで、ユーザーの許諾も取っているから問題ない」と主張しており、多数のTwitterユーザーからの抗議を聞き入れる気配はまったくありません。

 議論は平行線のまま、2月になってもなお「全国共有電話帳」の公開は続けられています。今のところ、友人知人がこのアプリをインストールしないよう願うしかないようです。

セキュリティクラスタ、1月の小ネタ

 このほかにも1月のセキュリティクラスタはこのような話題で盛り上がっていました。今年はどのようなことが起きるのでしょうね。

  • ハッカーの集まりやらSNSに、警官が入り込んでくる!?
  • 農水省の機密情報流出、しばらく否定するもののしぶしぶ認める
  • UCCコーヒーのサイトに不正アクセス。個人情報が改ざんされたが、漏えいはないという怪事件
  • 東京地検の不起訴処分で再び横行? 新たなAndroid不正アプリ
  • 去年経験しちゃった子は3割もいるの!? 標的型攻撃
  • また新たなセキュリティ用語? 「水飲み場(Watering Hole)型攻撃」が出現
  • 何千万もの機器がUPnPの脆弱性の影響を受ける? と話題に
  • DDoSを合法的な抗議手段として使えるようにって?
  • 日本ではあまり話題になっていない「Red October」、実は危険
  • HTTPのTRACEメソッドって危険なの!? と議論

著者プロフィール

山本洋介山

bogus.jp

猫と一緒に自宅の警備をする傍ら、「twitterセキュリティネタまとめ」というブログを日々更新しているtwitterウォッチャー。セキュリティやネットワークに関する原稿も書いてます。


Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。