皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、今日は少々注意喚起的な情報です。

Google Authenticatorにリスクあり

今回発見されたマルウェアは『Android』デバイスに対するもののようで、以前に発見されたものの亜種であるとされています。

以前のマルウェアでは『ワンタイムパスワード（OTP）』は窃取されなかったようですが、今回のものはそれが盗まれてしまうようです。

『Google Authenticator』が保護されている場合にはユーザーデバイスに手動で接続できるようにもなっているようで、リモートで接続されてしまった場合には『Google Authenticator』を勝手に操作され、『ワンタイムパスワード（OTP）』を生成されてしまうとか。

ただし、ここで生成された『ワンタイムパスワード（OTP）』は『スクリーンショット』にてコードを取得しているようで、スクリーンショットが取得されないようにすれば保護できるともされています。

私も過去には『Google Authenticator』を使用していたことはありますが、今は他の認証アプリに変えています。

利用者の多い『Google Authenticator』に危険を感じたことが理由です。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

今日は、先週末公開されたマルウェアレポートに関してお伝えします。

2018年の上半期マルウェアレポート

まず、2018年の上半期において日本国内で検出したマルウェアの検出数は2017年下半期と比べて半減しており、これは世界全体で見ても同様に減少しているとされています。

推測される要因として、ダウンローダーを添付したばらまき型メールの減少が大きいようです。

しかし、VBA形式のものは世界の中でも日本が最も多く検出されており、MicrosoftのWordやExcelなど、業務で使われるアプリケーションを悪用した攻撃は2017年以前から継続して確認されているとされていることと、JavaScriptなど、Webサイト上における脅威は以前に比べて増しているともされています。

次に、昨年末あたりに異常な高騰を見せた仮想通貨の取引所に対する攻撃に加え、それを採掘させるマイニングマルウェアの存在も目立ってきていることと、インターネットバンキングを狙ったものが取り上げられており、いずれも前述のメール添付のダウンローダーや本文中URLからのダウンローダー、Webサイト上におけるJavaScriptなどからの感染が主な要因のようです。

その他、Windowsの脆弱性を悪用したものも取り上げられていますが、全体的に言えることとして、Windowsやアプリケーションのセキュリティ対策プログラムは常に最新を保ち、セキュリティソフトは必ず常駐させ、不審なメールに対する認識の共有や不審なサイトへのアクセスを行わないなど、基本的なことが守られていればかなりの確率で感染を避けることができることがわかると思います。

米国の政府機関での長年の実績があり、アメリカ陸軍のNETCOM （The U.S. Army Network Enterprise Technology Command）よりCertificate of Networthiness (CoN)の認証を取得しています。

※CoN認証は「AppGuard」が米国陸軍並びにアメリカ国防省 (Department of Defense) の高水準なセキュリティ・スタンダードを満たしたことを示します。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

『米国政府機関で採用され18年間破られたことがない』、『外部からのマルウェア脅威から完璧に守る』というキャッチコピーのエンドポイントセキュリティ、『AppGuard』に関して今日はご紹介します。

米国政府機関を守るセキュリティ

通常、エンドポイントセキュリティと言われると、『ESET』、『カスペルスキー』、『ノートン』、『ウイルスバスター』、『マカフィー』あたりが日本には馴染みが深いかと思いますが、通常とは異なる視点でコンピュータを守ってくれるセキュリティソフト、『AppGuard』というものがあります。

通常と異なるというのは、通常のエンドポイントセキュリティの場合、マルウェアを『検知』して『駆除』となりますが、『AppGuard』の場合は『アプリの不正動作をブロック』という新しい発想で作られています。

この製品、冒頭で書いた通り米国陸軍のCoN認証を取得しているもので、米国政府機関においても長年の利用実績があります。

ある企業がこの製品を検証したそうです。

結果、

AppGuardがインストールされたPCにさまざまなマルウェアやランサムウェアを感染させる検証を行ったが、1ヶ月間、1度も被害は確認されなかった。

さぞかし高価なセキュリティソフトかのように思われますが、この『AppGuard』、『Enterprise』と『Solo』というものがあり、中小企業向けは後者の『Solo』で、メーカー希望小売価格：1台1年9,800円（税抜）となっています。

従来のよく知られているエンドポイントセキュリティよりは高価ですが、問題が起きてしまった時のことを考えるとこの価格は安価に思えるのかもしれません。

ご興味のある事業者の方、一度検討してみるのも良いと思います。

＜参考リンク＞：『AppGuard by Blue Planet-works 』

＜参考動画＞

New VPNFilter malware targets at least 500K networking devices worldwide.
（新しいVPNFilterマルウェアは、世界中で少なくとも500,000台のネットワークデバイスをターゲットとしている。）

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

2016年から確認され、今年の5月から感染拡大している『VPNFilter』と呼ばれるマルウェアに対し、FBIもこう呼びかけています。

一般ユーザーや小企業向けのルータの全所有者に再起動を求めている。

感染が拡大するVPNFilterに注意

ネットワーク機器をターゲットとするマルウェア『VPNFilter』は、少なくとも54カ国50万台のデバイスに感染したと推定され、QNAP、Linksys、MikroTik、NETGEAR、TP-Linkの製品が対象となっているとCisco Talosは公表しています。

感染した場合、次のような段階を経て情報窃取やシステム破壊を行うことが確認されているようです。

１．攻撃に必要なモジュールをC2サーバから継続的にダウンロードするための環境設定

２．ファイル収集、デバイス管理などの情報窃取、システム破壊などを実現するモジュールのダウンロード

３．通信内容の情報窃取やC2サーバとの通信の秘匿化などの機能拡張

※　C2サーバとは、不正に乗っ取ったコンピュータのコントロール役を担うサーバ

感染原因はまだ判明していないものの、ネットワーク機器の脆弱性やデフォルトの認証情報を悪用している可能性があるとされています。

また、該当のネットワーク機器を使用している場合、次の対策の実施が推奨されています。

１．対象デバイスを工場出荷時の初期状態にリセットし、再起動する

２．ファームウェア、ソフトウェアのバージョンを最新にする

３．感染が疑われた場合、機器の製造元へ相談する

参考：Cisco Talos『New VPNFilter malware targets at least 500K networking devices worldwide』

以上、ご注意ください。

マルウェアとは、不正かつ有害に動作させる意図で作成された悪意のあるソフトウェアや悪質なコードの総称で、コンピュータウイルスやワームなどがある。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

数日前、あるアメリカの企業が公開した『Hacked Website Report 2017』によると、2017年に最もマルウェア感染したウェブサイトには、よく使われるあるCMS（Content Management System / コンテンツマネージメントシステム）が使われていました。

マルウェア感染が最も多かったCMSとは

既にこの時点で気付かれた方も多いでしょう。

WordPress、Drupal、Movable Type、Joomla!、Magento、XOOPSなど、さまざまなCMSが存在していますが、2017年に最もマルウェア感染が多かったのは、WordPressを使って構築されたウェブサイトです。

その割合は、実に83%にも及んでいます。

これに続き、Joomla!の13.1%、Magentoの1.6%となっています。

現在、世界的なCMSのシェアは、

１．WordPress：60%

２．Joomla!：6.4%

３．Drupal：4.6%

４．Magento：2.5%

などとなっていますが、日本におけるCMSのシェアは、WordPressが84.5%という圧倒的な人気の高さとなっています。

さて、この圧倒的な人気を誇るWordPress、使われているサイトが多い分マルウェアに感染する率も高いわけですが、他のCMSに比べてバージョンアップがしっかりしているWordPressへの攻撃が何故ここまで高いのでしょうか？

それは、脆弱性を抱えたままの状態になっているWordPressサイトが多いのでしょう。

WordPressはデフォルト（初期値）でマイナーアップデートは自動で行われる設定になっていますが、メジャーアップデートは自動では行われない設定になっています。

これを長期に放置した場合、脆弱性の塊りのようなサイトになってしまうことにもなります。

『うちは業者に任せてあるから問題ない！』と高を括っている事業者の方、それらすべてが保守契約の中に含まれていますか？

自分勝手に、『そんなものは保守に入っていて当り前！』と思ってはいけませんし、保守契約をしていないのであれば当然それは行われません。

これらを念頭に置き、今一度自社（自店）のウェブサイトがどのような状況になっているかをチェックしてみることをお勧めします。

それが有効になっていれば他には何もいらないのでしょうか？

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

過去に、ある機関においてWindowsに『Security Essentials』というMicrosoftのマルウェア対策ソフトしか入っていなかったことを見たことがあります。

それを思い出し、今日は現在の『Windows Defender』の有効性に関してお伝えしたいと思います。

Windows Defenderの有効性とは

Windows Defender（過去におけるMicrosoft Security Essentials）はWindows 8以降、標準でWindowsにインストールされています。

つまり、他のセキュリティソフトをインストールしなくてもセキュリティ的には一応機能していることは事実です。

・ウイルスと脅威の防止
・デバイスのパフォーマンスと正常性
・ファイアウォールとネットワーク保護
・アプリとブラウザーコントロール
・保護者による制限

そこだけを捉えると、Windows Defenderは有効的なものであると言えますが、これは、あくまでも個人レベルにおいてセキュリティソフトを導入しない無防備なユーザーを最低限のレベルで保護するものであると考えた方が良いです。

ある第三者機関の検証結果を見ると、Windows Defenderはユーザーの設定次第で信頼度が落ちる可能性があるという結果が出ており、ここから考えても一定のセキュリティを確保しなければいけない事業者においては、専門のセキュリティソフトを導入すべきであると言えます。

もしセキュリティソフトを別途導入していない事業者の方がおられるとするならば、是非セキュリティソフトの導入をお勧めしたいところです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭に書いたマルウェアの踏み台にされている件ですが、これは中小企業での被害が目立っているという報告がありますので、今日はそのことについてお伝えします。

セキュリティ意識が低いユーザーは危険

米国のネットワークセキュリティ企業の分析では、古いWindows OSを使い続けたり、ウイルス対策ソフトを導入していなかったりした、セキュリティ意識の低いユーザーを標的にしているものが、数年にわたって毎月多く検出され続けています。

これが一番多いのは米国ですが、米国に次いで多いのは日本で、中小企業が所有するサーバの被害が目立つともされています。

これらの被害は現在のセキュリティツールで対処可能であるにも関わらず、古いWindows OSなどを使い続ける、セキュリティに対する意識の低さが被害を継続的に招いていると指摘されています。

実際問題、中小・零細企業、小規模事業者においてはそのような傾向が見受けられ、それに対する意識の低さもあれば、セキュリティ対策へのコストが捻出できない実状もあったりします。

しかしながら、サイバー攻撃などによる被害にあった場合、それ以上の損害が発生する可能性も高いことから、何とか一定以上のセキュリティ対策を行っていただきたいものです。

ちなみに、これらの被害は事業者だけではなく、個人ユーザーにおいてもセキュリティ意識の低いユーザーがターゲットになりやすいことも同様です。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

日本においては銀行やクレジットカードの情報が主に狙われているとされるマルウェアが、昨年から横行するようになったようですが、それが先月から今月あたりにかけて再び活発化しているようです。

銀行情報を狙うマルウェア『Ursnif』

この『Ursnif』と呼ばれるマルウェアですが、攻撃手法としてはスパムメール、不正プログラムによるリモートサイトからダウンロード、リムーバブルドライブやネットワーク共有を介しての拡散などが確認されています。

スパムメールの場合、メールの件名としては『公共料金請求書データ送付の件』、『商品発送のお知らせ』といった件名でメールが送りつけられ、添付ファイルや本文中のリンクをクリックさせて感染させようとするものです。

日本においては、銀行やクレジットカードの情報が狙われているほか、Webメール、クラウドストレージ、仮想通貨プラットフォーム、電子商取引サイトのユーザー認証情報などを盗もうとする亜種も出回っているとの情報もあります。

これらの悪質なメールや不正プログラムなどがゼロになることはありません。

従って、自己防衛する以外にはないと考えなければいけません。

そのためには、セキュリティ（ウイルス）対策ソフトは当然必須ですし、メールが届いてしまった場合においては自身で注意を払い、怪しいサイトへのアクセスも絶対に行わないなど、普段からの注意と心掛けが必要です。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

米AnchorFreeが提供する『Hotspot Shield』というVPN（仮想プライベートネットワーク）ソフト、日本ではソースネクストも『Wi-Fiセキュリティプレミアム』として日本向けにローカライズされたものを販売していますが、これに含まれている一部のプログラム、妙な動きをすることがあります。

Hotspot Shieldにおける妙な挙動

この『Hotspot Shield』というVPNソフトは、インストール後にアプリケーションを常駐させていなかったとしてもバックグラウンドでサービスが自動起動しています。

また、サービスの一覧を見てもわからない、『hydra.exe』というものが妙な挙動をすることがあります。

何をしているか詳細はわからないのですが、何らかの通信を行っています。

そして、それを検知したセキュリティソフトがアクセスをブロックしようとします。

これに関係しているのが『hydra.exe』というプログラムです。

このプログラム、通信におけるポートの使用などから25%程度の危険性は認められるものの、署名自体は米AnchorFreeが正式に署名したものではあります。

実際のところ、このプログラムはなくてもVPNとしては使用できますので、削除してしまっても良いでしょう。

場所は、『C:\Program Files (x86)\Hotspot Shield\bin\』の中に入っています。

ただし、この『hydra.exe』が『C:\Windows』または『C:\Windows\System32』に存在する場合はマルウェアウイルスの可能性がありますので、セキュリティチェックを行い、有害なものであれば駆除する必要があります。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、不要なファイルとかのお掃除をしてくれるシステムメンテナンスツールの『CCleaner』ですが、先月公開されたバージョンにおいて改ざん被害にあっていたことが明らかになりました。

では、早速詳細を見ていきましょう。

CCleanerとCCleaner Cloudの改ざん被害

CCleanerとCCleaner Cloudが改ざん被害にあったのは、

・CCleaner：V5.33.6162（8月15日公開）

・CCleaner Cloud：V1.07.3191（8月24日公開）

の2つです。

これにはマルウェアウイルスが含まれていることが確認されており、コンピュータ名、使用しているソフトの一覧、実行中のプロセス、ネットワークアダプタのMACアドレス、システム情報などが外部サーバに送信される仕組みになっています。

また、これには有効なデジタル署名が施されており、開発プロセスか署名プロセスの一部が乗っ取られた可能性もあるようです。

現在、CCleanerはv5.33がダウンロードサイトから削除されて最新版はv5.34になっており、CCleaner Cloudは修正版のv1.07.3214が配信されていますので、問題のあるバージョンを使っている方は直ぐに新しいものにした方が良いです。

このように、便利に使えるシステムメンテナンスツールにおいても改ざんなどの被害にあっていることがあります。

セキュリティソフトでチェックを行ってから使用するなど、使用時には注意が必要です。