先週の注目ニュース:POS端末のリスク、各社の月例パッチなど

先週は、POS端末への攻撃についてのレポートが公開されました。また、URL短縮サービスBitlyでセキュリティ侵害が発生したほか、MicrosoftやAdobeなどがセキュリティパッチをリリースしています。

week1

POS端末のセキュリティは不十分であり、かつてないほど巧妙な脅威にさらされていることが、新たな研究によって明らかになりました。また、今月も第2火曜日(米国時間)に多くのソフトウェアベンダーからセキュリティ修正が提供されています。このほか、人気のURL短縮サービスBitlyが、正体不明の攻撃者の侵入を受けたことを認めました。

POS

POS(Point-of-sale)というのは、お店のレジのちょっと変わった呼び方です。もちろん、引き出しを開けるとベルが鳴るような昔懐かしいレジのことではありません。インターネットに接続され、支払情報の保存や送信を行う電子販売端末のことです。クレジットカードやデビットカードを使える店舗やレストランには、何らかのPOSシステムが導入されているはずです。誰もが頻繁にお金のやりとりをするPOSシステムですが、残念なことに、数々の複雑な攻撃にさらされていることが新しいレポートからわかりました。その上、大半のPOSにはセキュリティ機能があまり備わっていないというのです。

これは驚きの事実というほどのものではありません。POS端末がハッキングされると、その端末での取引で処理されたクレジットカードやデビットカードに関連する支払情報がすべて流出してしまう恐れがあることは、これまで報道された事実からも明らかです。

Bitlyは先日侵入を受け、ユーザーにパスワードの変更を求めている。POSシステムのセキュリティは不十分。Microsoft等から月例パッチが配信された

Arbor Networksの最近のレポートでは、POSシステムの攻撃だけを目的としたマルウェアの名前が少なくとも5種類挙げられています。また、Verizonの情報漏えいの調査レポートは、2013年にPOSへの侵入が198件発生したと指摘しています。そしてなんと、最近のTarget、Nieman Marcus、Michaelsといった小売企業への攻撃は、すべてPOSへの攻撃であり、いずれのケースでも顧客の情報が大量に流出しました。

こうした攻撃に対して何かできることはあるのでしょうか?クレジットカードやデビットカードをすべて燃やして、このような「インターネット」関連の騒動が落ち着くまでは現金だけで買い物をする、という方法もあるにはあるのですが、あまりに極端です。最善の対応は、ニュースに注意を払い、よく利用する企業でセキュリティ侵害が発生したという話を聞いたらすぐに行動を起こすことです。また、クレジットカードやデビットカードの残高をチェックして問題がないか確認し、情報が漏えいした可能性があるときは銀行に連絡してカードをとめてもらい、新しいカードを発行してもらいましょう。

Bitlyへの侵入

人気のURL短縮サービスBitlyが先日、侵入を受けました。Bitlyのアカウントを持っている人や、以前持っていた人は、そのアカウントに使用していたパスワードが漏えいしたと考えるべきです。同社は、事件発生当時も現在もユーザーアカウントに危険はないとしていますが、顧客にパスワードを変更するよう呼びかけています。Bitlyはまた、今回のセキュリティ侵害を受けて2段階認証を導入すると発表しました。

私としても、Bitlyアカウントを持っている人にはパスワードの変更をお勧めします。同じパスワードを他のアカウントにも使用している場合は、そのサービスのパスワードも変更しなければなりません。このような理由から、同じパスワードを複数のアカウントで使い回すのは絶対に避けるべきなのです。

最後にもう1点お伝えしますが、Bitlyのアカウントと、FacebookやTwitterのアカウントはリンクできるようになっています。これが問題となり、Bitlyユーザーのアカウントにアクセスできる攻撃者が、そのユーザーのSNSアカウントにもアクセスできてしまう恐れがあったのです。しかしBitlyは賢明な対応をとり、こうした接続をすべて無効にしました。各アカウントをもう一度接続する場合は、接続を再度認証しなければなりません。また、BitlyとリンクさせていたSNSアカウントもすべてパスワードの変更が必要になります。

各社の月例パッチ

先週の火曜日は月例パッチのリリース日(Patch Tuesday、日本時間では水曜日)でした。幅広く利用されているAdobe製品やMicrosoft製品に対する修正、Google Chromeのパッチが提供される日です。Microsoftは8件のセキュリティ情報を公開し(そのうち2件の深刻度は「緊急」でした)、WebブラウザーInternet Explorerのセキュリティぜい弱性13件など、同社のソフトウェアを修正しました。AdobeはReader、Acrobat、Flash Playerの深刻なバグをいくつか修正しています。GoogleはChromeブラウザーの重要度が高いセキュリティぜい弱性を3つ修正しました(バグを発見して報告したリサーチャーに4,500ドルを支払っています)。

ちなみに、業界内部の詳しい話を知っておきたいという人も、もしかしたらいるかもしれませんので、紹介しておきます。Linuxカーネルに5年前から存在していたぜい弱性が修正され、横河電機の生産制御システムにもいくつかパッチが提供されました。

MicrosoftとAdobeのソフトウェア、そしてChromeを必ず最新バージョンに更新しましょう。自分にも関係があるという人は、横河電機のシステムやLinuxディストリビューションもチェックしておいてください。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?