「フランスの政府系認証局から不適切なデジタル証明書が発行されていたんだにゃーの巻」（12月16日版）Scan名誉編集長りく君のセキュリティにゃークサイド

管理者のみんなおはようさんだにゃー。

Scan編集部を陰で操っている名誉編集長（※自称です）のりくくんだよ。

今週も編集部をうろうろして作業を後ろから見張っているんだけど、そこでチラ見したニュースの中から気になったことを、編集部には内緒でお伝えするよ。

●「中小企業セキュリティアワード2014」発表

株式会社イードは12月11日、「中小企業セキュリティアワード2014」を発表したんだにゃー。
「ゲートウェイに設置するセキュリティ機器や統合型アプライアンスの部」ではチェック・ポイント。「IDS/IPSの部」ではIBM（IBM Security Network IPS）。「Webアプリケーションファイアウォールの部」ではバラクーダネットワークス（Barracuda Web Application Firewall）。「クライアントPCウイルス対策の部」および「ゲートウェイウイルス対策の部」ではESET。「メールセキュリティの部」ではキヤノンITソリューションズ（GUARDIANWALL）がそれぞれ最優秀賞を受賞しているんだにゃー。各賞を受賞された企業の皆様おめでとうございますなんだにゃー。
http://www.iid.co.jp/award/2014/smaller-enterprises-security.html

●フランスの政府系認証局から不適切なデジタル証明書が発行されていたことが判明

Googleは12月7日、同社が保有する複数のドメイン向けにフランスの認証局ANSSI傘下の証明機関から不正なデジタル証明書が発行されおり、誰でもなりすまし可能だったことを発表したんだにゃー。問題の証明書はすでに失効させる措置を取ったということなんだにゃー。またマイクロソフトも12月10日、不適切に発行されたデジタル証明書により、なりすましが行われる可能性があるとの注意喚起を行っているんだにゃー。

Google、Microsoftのほか、Mozilla、Operaでも次回アップデートで証明書が失効されるそうだけど、Windows XPとWindows 2003 Serverでは自動更新されないんだって。XPを使っている人は失効した証明書の自動更新ツールのインストールを行う必要があるんだにゃー。
http://googleonlinesecurity.blogspot.ro/2013/12/further-improving-digital-certificate.html
http://technet.microsoft.com/ja-jp/security/advisory/2916652

●ドンキホーテのWebサイト改ざんされる

12月9日には、大手ディスカウントストアドンキホーテのWebサイトが11月29日から12月7日までの間改ざんされていたことが報告されているよ。改ざんされて、ウイルスが置かれたサイトへのリンクが貼られていたんだにゃー。

年末の書き入れ時だというのに攻撃を受けてかわいそうだけど、どうして一週間以上も書き換えられていたことに気づかなかったのかにゃー。忙しくて自分のサイト点検する時間がなかったのかにゃー。
http://www.donki.com/shared/pdf/news/co_news/1509/20131209owabi_3sqlu.pdf

●マイクロソフトの定例アップデート公開される

12月11日にはマイクロソフトの定例アップデートが公開されているよ。今回のアップデートは事前通知通り11件で、最大深刻度「緊急」が5件、「重要」が6件となっているんだにゃー。

すでに攻撃に悪用されている脆弱性もあるので早めにアップデートした方がいいと思うんだにゃー。また同日にはAdobeからもアップデートが公開されているよ。どちらも早めにアップデートを適用して、攻撃を受けないように心がけたいものだにゃー。
http://technet.microsoft.com/ja-jp/security/bulletin/ms13-dec
http://helpx.adobe.com/security/products/flash-player/apsb13-28.html

●I2Pという通信技術を使う新たな金融マルウェアが登場

ロシアではi2Ninjaという新たな金融トロイの木馬が利用されるようになっているんだって。このi2NinjaにはI2Pという匿名P2P通信が利用されているんだにゃー。

I2Pという通信技術はTorに似ているけど、より匿名性が高い通信が行われるそう。Torは利用者が逮捕されるなど少しずつ匿名性が揺らいでいるけど、またそれに代わる技術が出てきたんだにゃー。いたちごっこなんだにゃー。

・ダークネット：それはドラッグのためだけに存在するのではない。バンキングトロイの木馬 Ninja も、それを利用する～悪者たちは、チケットシステムの「ヘルプデスク」すら準備している（The Register）
http://scan.netsecurity.ne.jp/article/2013/12/06/33102.html

●アンダーグラウンドのサイバー犯罪市場ではクレジットカード情報の価格が下落中

新しい研究によると、現在、アンダーグラウンドのサイバー犯罪市場において、クレジットカード情報の価格は下落しているんだって。同様に完全な個人情報のデータも同様に価格が下落してて、以前は40ドルから60ドルで取引されていたのが、最近では25ドルで買えることもあるくらいなんだってにゃー。

他にもアンダーグラウンドの市場ではマルウェア感染済みのコンピュータやRATが売買されているだけでなく、WebサイトのハッキングやDDoS攻撃の委託もできるんだって。価格はともかく何でもお金で買えるってことも驚きなんだにゃー。

・盗難されたクレジットカードの詳細情報だって？　詐欺師たちが欲しいのは、君のプライベートのほうだよ～研究者「ハッカーたちは稼ぎのために個人情報を必要としている」（The Register）
http://scan.netsecurity.ne.jp/article/2013/12/11/33141.html

先週はこんなことがあったけど、今週はどんな編集部をどきどきさせるような出来事が起きるのかな。

楽しみだにゃー。

セキュリティアワードが発表されたんだけど、ScanNetSecurityでは「セキュアキャットオブザイヤー2013」というぼくたちの人気投票も始まるんだにゃー。
どのセキュアキャットが一番になるのか楽しみなんだにゃー。

（りく）

筆者略歴：猫。情報セキュリティ専門誌 ScanNetSecurity の名誉編集長を務めるかたわら、ITセキュリティの専門ライター吉澤亨史の指導にあたる

（翻訳・写真：山本洋介山）

猫の写真を撮っています。たまにセキュリティの記事も書いたりしています。
http://twitmatome.bogus.jp/

週刊セキュリティにゃークサイド
http://scan.netsecurity.ne.jp/special/3252/recent/