先週の注目ニュース:eBayのハッキング、IEの新たなぜい弱性など

2014年5月29日

先週は、セキュリティ関連ニュースが特に多かったわけではありません。しかし、先週最大のニュースと言えば、オンラインオークションと小売の大手企業eBayが、ユーザーのパスワードを保存していたサーバーをハッキングされたという21日の発表をおいてないでしょう。これに(重要度の点で)僅差で迫るニュースが、広く利用されているMicrosoft製ブラウザーInternet Explorer(IE)に、またゼロデイぜい弱性が発見されたことです。悪いニュースから一歩離れてみれば、Samsungが指紋認証の先へと進み、新しい生体認証を導入しようとしています。それから、今回も、注目のパッチを紹介します。

week

eBayへのハッキング

eBayは先週、自社のコーポーレートサイト(eBay Inc.)で、顧客の氏名、暗号化されたパスワード、メールアドレス、住所、電話番号、生年月日といった情報が格納されたデータベースに不正アクセスがあったことを発表しました。侵入を受けたサーバーには暗号化されたパスワードが保存されていたため、eBayはユーザーに対しパスワードの変更を要請しています。eBayのパスワードを変更する際は、メールやSNS経由のメッセージに貼られたリンクを辿るのではなく、必ずeBayのWebサイトから直接変更画面にアクセスしてください。

なぜメールやSNSメッセージのリンクを辿るべきでないのかというと、攻撃者はサーバーに保存されていた重要情報さえ手に入れれば、フィッシング攻撃を実行できる可能性があるからです。こうした情報は、eBay(や他の正規のオンラインサービス)を装ったフィッシングメールの作成によく利用されます。一般的に、フィッシングメールには、正規サイトに見せかけた悪質サイトへのリンクが含まれています。そのサイトの目的はユーザーからログイン情報を騙し取ることです。

毎回お伝えしているとおり、パスワードの使い回しをしている人は、eBayアカウントを保護していたパスワードと同じパスワードを使用しているオンラインアカウントすべてで、パスワードを変更する必要があります。

興味深いことに、小売各社が先週、この事件の前に、Targetの情報漏えいを受けて脅威データの共有で協力すると発表していました。つまり、各社がどのような攻撃に直面しているかを話し合い、小売企業が集団で自己防衛を強化するということです。また、先週発表された調査で、企業が情報漏えいをうまく阻止できるようになっていることが指摘されました。eBayへのハッキング(一部の社員のログイン情報流出が原因)の影響範囲が、この調査の内容が正しいことを証明するのか。それとも矛盾する内容となるのか。興味深いところです。

IEの新たなゼロデイぜい弱性

幸い、このぜい弱性の影響を受けるのはInternet Explorerの旧バージョンであるIE8だけです。しかし、この問題を解決する更新のリリース時期を、Microsoftはまだ不明としています。とはいえ、同社はこの深刻なぜい弱性を認識しており、修正に向けて取り組んでいます。

このぜい弱性を説明するにあたって、あまり技術的な説明になりすぎないようにしようとは思うのですが、やや技術的な話になるのをご容赦ください。Internet Explorer 8のゼロデイぜい弱性のために、「ドライブバイダウンロード」という攻撃や、メールメッセージに添付された悪質ファイルをきっかけとして、ぜい弱性を持つコンピューター上で悪意あるコードが実行されてしまう恐れがあります。ドライブバイダウンロードとは、基本的に、攻撃者がマルウェアをWebサイトに埋め込むタイプの攻撃です。ぜい弱性を持つブラウザーでそのサイトにアクセスすると、コンピューターがマルウェアに感染します。

Internet Explorerを比較的新しいバージョンであるIE10に更新する以外に、一般のコンピューターユーザーにできることはあるのでしょうか?それほど多くはないのですが、3つあります。訪問先のWebサイトに注意する、メール添付に注意する、Microsoftの次回のセキュリティパッチを提供され次第必ずインストールする、の3つです(自動更新を設定している人は、最後の3つ目については心配いりません)。実際のところ、このアドバイスは誰もが守るべきものです。

Samsungの虹彩認証

この記事でお伝えするのが悪いニュースばかりにならないように、明るい話題も紹介しましょう。Samsungは先週、目をスキャンする虹彩スキャナーなどの生体認証センサーを、今後さらに多くの製品に組み込んでいく計画だと発表しました。同社はこうした機能を比較的安価なモデルにも搭載するとしています。

この動きによってSamsungデバイスのセキュリティが強化されるはずです。いずれこうしたセンサーが同社のセキュリティシステムKNOXに組み込まれるとの報道もあります。

発生し得る攻撃に対して虹彩スキャンが指紋認証よりも弾力的に対応できるかどうか、今後も注目していきましょう。

速報

この記事の執筆中に新しいニュースが入ってきました。Android向けのOutlookアプリに暗号化の問題があり、ユーザーのメールやその添付ファイルを読み取られてしまう恐れがあるとされています。詳しくはこちらの記事をご覧ください。

先週提供されたパッチ

注意すべき重要なパッチがいくつか公開されました。Googleがパッチを公開し、Chromeのセキュリティぜい弱性23件(うち3件は高リスクの不具合)を修正しました。Chromeを使っていて更新を自動インストールしていない人は、できるだけ早くこれらの更新をインストールしましょう。