先週の注目ニュース:IEのぜい弱性、Facebookの匿名ログインなど

Heartbleedに関するニュースもようやく落ち着いてきたようです。とはいえ、Internet Explorerのゼロデイぜい弱性や、Facebookの新しいプライバシー機能など、先週も重要なニュースがありました。

week

OpenSSLのHeartbleedぜい弱性は先週ようやく、セキュリティニュースの一面から姿を消したようです。確かに、この記事を書いていたときのことを考えてみると、午後3時ごろだったというのに、その日Heartbleedに関する記事は1件も見かけませんでした。すばらしいことです。でも、ご心配なく。Heartbleed関連の話題はなくても、お伝えするニュースはたくさんあります。

各社のゼロデイぜい弱性

Kaspersky Labは先週、Adobe Flash Playerのゼロデイぜい弱性を発見したと発表しました。不思議なことに、このバグは当社が新種のマルウェアを見つけ出すために使うツールとまったく同じツールで発見されています。見つかった時点ですでにエクスプロイトが作成されており、水飲み場型攻撃(Watering Hole Attack)という種類の脅威によって、シリアのユーザーへの攻撃に使用されていました。水飲み場型攻撃は標的型攻撃の一種です。攻撃者は標的が訪問しそうなWebサイトにマルウェアを埋め込み、感染したWebサイトを訪れると、マルウェアに感染します。その後Adobeからこのバグの修正パッチが提供されているため、同社からの更新をできるだけ早くインストールしましょう。

また、MicrosoftのブラウザーInternet Explorerに同社固有のゼロデイぜい弱性が見つかりました。技術に関する詳しい内容は説明しませんが、お伝えしておかなければならないのは、このゼロデイぜい弱性が悪用されて、さまざまな標的への攻撃が実際に発生していること、そして、Microsoftの「定例外」のパッチが必要になるほど深刻なバグだと思われることです。定例外パッチとは、同社恒例の月例パッチのリリース日以外に提供されるパッチです。バグに対して定例外のパッチがリリースされたときは、重大なバグであることの証拠と考えて間違いないでしょう。

先週はOpenSSL Heartbleedに代わって、MicrosoftのInternet ExplorerとAdobe Flash Playerのゼロデイぜい弱性がセキュリティニュースのトップ記事となりました

終わったと思ったら、また逆戻り

Microsoftの月例パッチと言えば、先日、Windows XPへのセキュリティ更新はもう提供されないとお伝えしたことを覚えていらっしゃるでしょうか?それは(厳密に言えば)間違いでした。先ほど紹介したInternet Explorerのゼロデイぜい弱性が、Windows XPマシンへの攻撃に頻繁に利用されているため、MicrosoftはInternet Explorerの定例外パッチをXPユーザーにも提供することにしました。

AOLの再度の発表

>少し前に、多数のAOL Mailユーザーに困ったことが起きました。どうやら彼らのアカウントが利用されて、連絡先リストに登録された人にスパムメッセージが送信されたようなのです。この話題は先々週の注目ニュースで紹介しました。AOLの主張では、今回の事件は同社が「なりすまし」と呼ぶ攻撃の一部でしかないとされていました。ハッキングの事実はなく、スパムがAOLユーザーのメールアカウントから送信されたかのように偽装されただけだと言うのです。実際に、同社は当初、スパムの送信者はそのメールがAOLユーザーのメールアカウントから送られたように見せかけていたにすぎないと主張していました。

私の記憶違いでなければ、先々週の注目ニュースで、この事件についてのAOLの説明には奇妙な点があるとお伝えしたはずです。確かになりすましは行われていたかもしれませんが、こうした連絡先リストを攻撃者がどうやって入手したのかという点が説明されていないのです。案の定、AOLは先週、ユーザーにパスワードの変更を促す発表の中で、実際に侵入があったことを認めました。AOLのアカウントを持っている人は、これを機にパスワードを変更するのがいいでしょう。

Facebookとプライバシー

Facebookが匿名ログインというすばらしい新機能を発表しました。マーク・ザッカーバーグ(Mark Zuckerberg)氏は5月1日(日本時間)、同社主催の開発者会議F8において、匿名ログインではFacebookの認証情報を使用せず、また第三者に個人情報を提供することなく、他社製アプリにログインできると述べています。

「つまりこういうことです。まだ自分の素性をアプリに知られたくはないけど、いくつもの入力フィールドを全部埋めていくという面倒な作業はせずに、簡単に登録してしまいたい。この匿名ログインによって、安心してアプリを試せるようになります。」(ザッカーバーグ氏)

匿名ログインは現在ベータ段階で、一部のアプリでしか利用できません。当初から対応しているアプリには、たとえばFlipboardがあります。ログイン時に、Facebookの認証情報を使ってアプリに登録するか、匿名ログインでアプリを試用するかを選べるようになります。匿名ログインはFacebookでおなじみの青色の画面ではなく、黒い画面に表示されます。すでにFacebookと共有している情報を、外部アプリと共有しなくても、そのアプリを試すことができます。

Mozilla Firefoxの新バージョン

先週、MozillaのブラウザーFirefoxが全面刷新され、バージョン29が公開されました。新しいFirefoxは見た目がGoogle Chromeに非常によく似ており、賛否両論の評価を受けています。新しくなったデザインが好みかどうかはともかく、新バージョンでは約10件の極めて深刻なセキュリティぜい弱性が修正されているため、更新のインストールをお勧めします。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?