世界のセキュリティベンダーのブログからの中から、話題になりそうな記事をピックアップする。まずは、ID盗難についてのブログである。

 米マカフィーはブログでブログで注意を促している。悪意のあるハッカー(クラッカー)がデータベースに侵入し、電子記録された個人情報を盗み出すID盗難が続発しているからだ。ブログでは、近所を歩いているID泥棒の存在にも警戒するべきだとしている、

 身近に住んでいるID泥棒は、ユーザーの家の郵便受けにお金があることをよく知っている。郵便受けを開け、ID盗難に使えそうなものなら何でも盗んでいく。郵便に届くものを考えてみると、銀行、クレジットカード、公共料金、携帯電話の書類、それから年金や社会保障の給付計算表、税金、収入、小切手の明細書などがある。こうした重要書類には、ID泥棒があなたの口座を悪用したり、あなたの名前で新しい口座を開いたりするのに十分な情報が含まれている。

 明細には、一部のデータはプライバシーを考慮して記載されないものの、それでもたいていはID泥棒があなたになりすませるくらいの情報は載っている。ID泥棒は電話であなたを装って、さらに詳しい情報を入手してしまう。

 その対策としてマカフィーは、紙媒体の明細をやめることを勧めている。電子明細にすれば、環境にも優しく、紙媒体より安全に管理できる。郵便受けにはチェーンロックを付けて、鍵を持っている人しか郵便物を取り出せないようにすると良いだろう。また、デジタルで受け取れない書類を郵送してもらう場合は、私書箱を利用するべきだ。

 さらに、すべての請求書や明細書の配達日に気をつけること。定期的に届く郵便物が来ない場合は問い合わせるなど、常に注意を払うよう、マカフィーは呼びかけている。

コモドが発行した不正SSL証明書

 次に米ウェブセンスのブログ。同社セキュリティ・ラボのブログで、SSL認証局の米コモドが不正な証明書を発行した問題について説明している。

 コモドの調査によると、同社アフィリエートのユーザーアカウントが侵入を受け、証明書の不正発行が行われたとのことだ。攻撃には複数のIPアドレスが使われたが、主な攻撃元のIPアドレスはイランだったという。発行された不正証明書は、Gmailサービスに利用される「mail.google.com」、HotmailやMicrosoft Liveサービスに利用される「login.live.com」、Yahoo!サービスに利用される「login.yahoo.com」をはじめ、「www.google.com」「login.skype.com」「addons.mozilla.org」「Global Trustee」に関する合計9件だった。

 こうした不正な証明書は、偽ログインページの設置などに使われる。攻撃者がGmailやYahoo!、Microsoft Liveなどのサービスに見せかけたログインページを作成し、ユーザーをそのページに誘導して、ユーザー名やパスワードなどを盗み出そうとする。不正証明書によりブラウザーからは信頼できるWebサイトに見えるため、ユーザーは何も疑問を抱かずにログインしようとしてユーザー名とパスワードを入力する危険性がある。

 コモドは即座にこれら9件を証明書失効リスト(CRL)に登録して配布した。米マイクロソフトや米モジラなどがすでにブラウザーのアップデートをリリースし、この問題に対応する措置をとっている。

Facebookでクリックを乗っ取られてしまったら

 SNSサイト「Facebook」では「クリックジャッキング」の攻撃が横行している。攻撃は、友達のプロフィールページで共有されている動画リンクの形をとることが多い。英ソフォスのスタッフがブログで語った体験では、Facebookをチェックした際に、友達のアクティビティーに奇妙な動画リンクの共有を発見した。

 友達が「Like(いいね!)」と言った(Likeボタンをクリックした)かのように見えるその動画のリンクをクリックすると、広告だけで運営しているらしいサイトに移動し、動画共有サイト「YouTube」で公開されている動画のストリーミング再生が始まる。この動画にはユーザーから見えないように細工したLikeボタンが仕掛けられており、画面をクリックすると、ユーザーが意図しないままLikeボタンを押したことになり、プロフィールのページでこのリンクが共有されてしまう。

 うっかりこのようなリンクをクリックしてしまったら、自身のニュースフィードを確認し、友達に偽メッセージをまん延させる可能性のあるリンクを削除することが重要だと、ソフォスは述べている。ニュースフィードの各投稿で右上に表示される「×」印をクリックすれば不正な動画共有の投稿を削除することができる。

 さらに、詐欺リンクに誘導されるままにアンケートなどに回答し、携帯電話番号を入力してしまったら、携帯電話の請求明細を注意深くチェックし、携帯電話会社にも連絡して不正利用による課金分を取り除いてもらうことだ。ソフォスは、Facebookで共有されるこのような動画リンクに用心するよう忠告するとともに、Facebookで急速に広がる詐欺手口に関して常に最新の情報を入手する重要性も説いている。