セキュアNEWS まとめ

IT関連のセキュリティを中心にPC、ガジェット関連、IT時事に関わるニュースをまとめたブログ。

  • Twitter
  • RSS

    2018年12月

    PayPay、不正利用の返金は自社で「全額補償」と発表 ── 原因はセキュリティーコードの総当たり「ではなかった」


    d98cd9b23febd50c2056687206a3c53a
    ※記事要約
    ・2019年1月中にクレジットカード登録時の本人認証サービスの導入および不正利用と認められた際の補償原資を加盟店管理会社であるヤフー株式会社を経由して、全額負担する旨を明らかにした。

    ・調査の結果、セキュリティコードを20回以上入力し登録に至った件数はPayPayのサービス開始以来13件でありセキュリティーコードの総当たり「ではなかった」と結論付けた。

    ・第三者が何らかの方法で、外部で入手したセキュリティコードを含むクレジットカード情報が利用されたことである可能性が高い。

    ・2019年1月を目処にカード会社の本人認証サービス(3Dセキュア)に対応する。それに伴い12月21日から施行されたクレジットカード決済時の利用限度額(過去30日間で5万円上限)を撤廃する見通し



     100億円あげちゃうキャンペーンで急速に広がったモバイル決済サービスで、ソフトバンクおよびヤフーの合弁会社「PayPay(ペイペイ)」は12月27日、同サービスで発生している不正利用に関する対策と対応を発表した。

    同社は2019年1月中にクレジットカード登録時の本人認証サービスの導入および不正利用と認められた際の補償原資を全額負担する旨を明らかにした。

    PayPay曰くセキュリティーコードも漏れている
    今回公開された同社のリリースの中には、不正利用の被害データも一部提示された。

    「調査の結果、クレジットカード登録時にセキュリティコードを20回以上入力し登録に至った件数はPayPayのサービス開始以来13件であり、クレジットカード情報の入力回数に制限を設けるだけでは根本的な対策にはならないと判断しました。

    PayPayにおける不正利用の主な要因は、悪意ある第三者が何らかの方法で、外部で入手したセキュリティコードを含むクレジットカード情報が利用されたことである可能性が高いため、このたび3Dセキュアの対応を決定いたしました。

    また、上記13件のうち、PayPayでの利用があった9件について、カード会社と連携しご利用状況を確認したところ、全てご本人による登録と利用であったことが判明しています(2018年12月27日現在)。」

    今回話題になっている不正利用の予想されていた手口は、加害者がクレジットカード番号と有効期限を何らかの方法で手に入れ、あとは3桁のセキュリティーコードが合致するまで施行し続けるといったものだ。

    PayPayはサービス開始時ではこの試行回数を無制限としていたが、不正利用の影響を受けて12月18日以降は制限をかけた。

    pp3-w960


    PayPayが12月27日に公開したお知らせ。


     今回の発表で明らかになった「セキュリティコードを20回以上入力し登録に至った件数はPayPayのサービス開始以来13件」という数字は、PayPayにとって重要な発表だ。同社はこの手口が多数派でないと結論づけ、「そもそもセキュリティーコードすら漏れている可能性」を指摘した形だ。

     PayPayは今回の不正利用の拡大を受け、2019年1月を目処にカード会社の本人認証サービス(3Dセキュア)に対応する。3Dセキュアは事前にカード発行元で任意のパスワードを設定し、決済時やサービス登録時に入力を促すというものだ。

    なお、この3Dセキュアへの対応完了をもって、12月21日から施行されたクレジットカード決済時の利用限度額(過去30日間で5万円上限)を撤廃する見通し。ただし、完了後はユーザー毎に異なる上限額が設定される。

    ●補償はPayPayが全額負担、利用明細の確認を呼びかけ

    PayPayを利用したことのある人、ない人関わらずクレジットカードを所有している人は不正利用の被害にあってないか確認すべきだ。

    また、同社は不正利用が認められた際の返金額は「カード会社からの不正利用の申請に基づき、加盟店管理会社であるヤフー株式会社を経由して、弊社が不正利用の返金額全額を補償いたします」としている。

    同社は今後も様々な安全対策などを講じていくと表明しているが、引き続き利用明細などで不正な取引がなかったかチェックをしてほしいと理解を求めている。

    3Dセキュア

     クレジットカードによるネットショッピングの決済時に利用される本人認証サービスである。3Dとは3つのドメインのことでイシュアドメインがカード会社を、アクワイアラドメインが加盟店を認証し、相互運用ドメインが取り引きを仲介する。

     3Dセキュアに対応している加盟店では、決済時にクレジットカード会社での認証を経由することで、本人確認を行う。具体的には、オンラインショッピングのサイトにてクレジットカード番号などを入力した際、そのクレジットカードが3Dセキュアに対応しているかが識別される。対応している場合は、3Dセキュアのサイトが表示され、予めカード会員が設定した(もしくはクレジットカード会社より送信された)パスワード入力が要求される。

     このパスワードを基に本人認証が行われる。この際、パスワードの入力が行われなかったり、入力されたパスワードが誤っていたりした場合は決済は行われない。これによって、加盟店やクレジットカード会社・カード会員は、カード番号などの盗用による不正使用被害の抑止が期待できる。


    記事元:businessinsider

    Internet Explorerにリモートコードを実行可能な深刻な脆弱性

    2018年12月20日
    01


     日本マイクロソフト株式会社は19日、Webブラウザ「Internet Explorer 9/10/11」について、深刻な脆弱性が発見されたことを公開した。

     発見された脆弱性は、Internet Explorer内のJScriptスクリプトエンジンにおけるメモリ破損に関するもの。

     脆弱性を悪用されると、攻撃者が現在のユーザーと同じユーザー権限を取得できる可能性があり、ユーザーが管理者権限でログオンしている場合、任意のプログラムのインストールやデータの表示、変更、削除、完全なユーザー権限を持つ新たなアカウントの作成といった操作を行なわれてしまう恐れがあるという。

     悪用対象OSはWindows 7からWindows 10、Windows Server 2008や2012 R2など広範囲に渡り、CVSSスコアの基本値は7.5。すでに各OSに対し対策セキュリティアップデートが提供されている。

     Microsoftでは、すでに本脆弱性が悪用されていることを確認済みとしており、JPCERTでは、IEで悪意あるWebサイトを表示させるなどして脆弱性を利用した攻撃を実行できるため、早急なセキュリティ更新プログラムの適用を推奨している。

    記事元:PC watch
    https://pc.watch.impress.co.jp/img/pcw/docs/1159/438/html/01.png.html


    ※Windowsユーザーは早急なセキュリティアップデートの適用をお勧めします。

    トレンドマイクロ、「ウイルスバスター」のWindows 7サポートを2024年まで延長
    2018年12月27日 
    02
    おもなエンドポイント製品のサポート期間


     トレンドマイクロ株式会社は、MicrosoftによるWindows 7のサポート期間終了後も、エンドポイント製品のWindows 7に対するサポートを一定期間継続すると発表した。

     Windows 7は、2020年1月14日をもって延長サポート終了が告知されているが、トレンドマイクロでは、企業向け製品「ウイルスバスター コーポレートエディション XG」を2024年1月、個人向け製品「ウイルスバスター クラウド」を2021年12月まで、新たな脅威に対応するための製品アップデート提供、サポートセンターにおける製品や検出された脅威などに関する問い合わせの対応を継続する。企業向け製品について、2022年2月以降のサポートは有償対応となる。

     同社では、サポート終了までにOSの移行が難しい同社製品ユーザーに対して、新OSへの移行が完了するまでのリスクを軽減させる目的でエンドポイント製品のWindows 7に対するサポートを延長するとしており、サポートが終了したOS環境から、新しいOSへの移行を推奨している。


    記事元:PC watch

    ※まだまだ企業ではWindows7のシェアは40%台あり移行が進んでいないのが現状です。
    セキュリティの問題もあるので、早めの更新が推奨されていますが、やはりWindows10の使い勝手さや企業用途には向かない側面も払拭できていない、またアップデートがあるごとに業務に支障が出るようでは普及しないのは当然でしょう。今回のウイルスバスターによるサービス延長は大変ありがたいことです。

    スマートキーの電波悪用 車窃盗に新たな手口
    2018年12月27日
    rires-


     車に近付くだけでドアの鍵が開くスマートキーの電波を中継して駐車中の車を盗む「リレーアタック」とみられる被害が大阪で確認されていたことが分かりました。

    りれー

     リュックサックを前に抱えた人物。両手で電気コードのようなものを広げると、奥にある車のヘッドライトが点滅してドアのロックが解除されました。東大阪市で9月、男性が自宅の前に車を止めていたところ、何者かに盗まれそうになって警察に通報しました。捜査関係者によりますと

    犯行グループは特殊な装置を使って自宅の中に置いてあったスマートキーが発信する電波を家の外まで中継し、車のドアのロックを解除したとみられます。

    これはヨーロッパを中心に被害が広がっているリレーアタックと呼ばれる手口で、関西でその手口を使ったとみられる盗難事件が確認されたのは初めてです。


     リレーアタックの疑いがある車の盗難事件はその後、大阪市内でも確認されていて、警察は同一犯とみて捜査するとともに、自動車メーカーに対策の検討を要請しています。

    RS=^ADBvHkk5r30luLzfL6kTJkvXtuLL4U-

    リレーアタックとは
    スマートキーとは暗号電波で車両との交信を行いドア開閉やエンジン始動を行うキーで、最近の車によく使われる技術だ。
    スマートキーは1mくらいしか飛ばない微弱な電波を常時出している。スマートキーを所持している状態でドアノブなどに触れると、車両側から電波を発射。スマートキーと通信してドアロック解除するというシステムだ。この電波の中に暗号など含まれているため、同じスマートキーでないと稼働しない。

    リレーアタックはこの特性を逆手に取る。スマートキーを持った人が買い物など自分のクルマから離れるとしよう。スマートキーの1m以内に接近し、常時出ている微弱な電波を中継器でキャッチ。そいつを増幅し、車両の側にある受信機に飛ばし、スマートキーと同じ電波を出す。その状態でドアノブに触れば「近所にスマートキーがあるとの同じ」状況。

    車両側はドアロックを解除する。そのまま乗り込んでプシュボタン押せば、これまたキーも「ある」と判断しているためエンジンだって掛かり、あっという間に窃盗出来てしまうのだった。1度エンジン掛かったら、止めない限りどこまでも走れる。もちろんエンジン止めたら再始動出来ないものの、今や盗難部品のビジネスも盛ん。バラして売ってしまう。


    記事元:yahooニュース
    https://headlines.yahoo.co.jp/videonews/ann?a=20181227-00000017-ann-soci

    ※リレーアタックという犯行手口は主にヨーロッパで盛んに行われていた手口だそうで、とうとう日本にも上陸してきてしました。また昨今の外国人受け入れによって、ますますこのような手口の犯行が増加するのではないかという懸念有るかと思います。

    通信機器の不正検知、開発へ…「振る舞い監視」
    2018年12月25日

    20181224-00050083-yom-000-6-view


     政府機関の情報通信機器に不正なプログラムなどが組み込まれていないか検知するため、政府は来年度から新技術の研究開発に乗り出す方針を固めた。機器の製造工程が複数の国にまたがり複雑化する中、不正なプログラムが仕込まれる可能性は否定できず、検知技術の開発が急務と判断した。

     政府が開発に取り組むのは「振る舞い監視」と呼ばれる技術。通信用サーバー、パソコン、ルーターなどに信号やデータを送って想定通りの「振る舞い」をするかどうか点検する。民間で基礎的技術は確立されているが、巧妙な手口に対応するための研究はこれからだ。

     政府の計画では、不審な挙動や異常な信号を検知した場合、不正改造された可能性が高いとみて製品の切り替えを検討する。製造元に対し、設計図やソフトウェアのプログラムの提出も求める考えだ。

    記事元:yahooニュース
    https://headlines.yahoo.co.jp/hl?a=20181224-00050083-yom-pol

    このページのトップヘ