ITコンサルティング・構築・開発・保守・教育までサポートする株式会社エイペクス

APEX NEWS Vol.53

◆―◇―◆―◇―◆―◇―◆
   APEX NEWS 
 2020 年 冬号 Vol.53
◇―◆―◇―◆―◇―◆―◇
平素よりお世話になっております。株式会社エイペクスでございます。
本メールは、弊社と保守契約を締結して頂いているユーザーの皆様へ、
保守サポートの一環として、パッチ情報を中心とした「ご案内」を
配信させて頂くものです。
※3か月に1度(春号:4月 夏号:7月 秋号:10月 冬号:1月)の定期的な配信を
予定しております。
より一層のサービス向上を目指し、弊社社員一同邁進してまいりますので、
これからもよろしくお願い致します。
※配信停止をご希望されるお客様は、末尾をご覧下さい。
※本メールは等幅フォントで最適化しております。

◆━ 目次 ━━━━━━━━━━━━━━━━━━━━━━━━━━━
○ PICKUP
スマホ決済サービスを安全に利用するためには
○ ITトレンド情報
iPhone 4S~Xなど複数のApple製品で修正困難な脆弱性、
    米CERT/CCが注意喚起 など
○ 技術情報
    1. Microsoft 月例更新セキュリティ情報(2019年10月~12月分)
    2.APEXセキュリティ情報
○ お知らせ
    お問い合わせ窓口に関するご案内
    DM配信スケジュール
    ご質問受付について
    次号配信予定
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆

━━★PICKUP スマホ決済サービスを安全に利用するためには★━━
2019年12月17日に、マカフィーが2019年の10大セキュリティ事件と
2020年の脅威予測に関する記者説明会を開催しました。
その中で2019年の10大セキュリティ事件ランキングを発表しましたが、
本コーナーではランキング第1位となったセブン・ペイの事件の概要と、
スマホ決済サービスを安全に利用するために考慮すべき点を解説していきます。
なお、ランキングは下記URLからご覧になれます。

マカフィーが2019年の10大セキュリティ事件を発表、
7payの不正アクセスの印象顕著 (2/2). ASCII.jp
https://ascii.jp/elem/000/001/995/1995327/index-2.html

第1位
セブン&アイ・ホールディングス傘下のセブン・ペイが運営するバーコード決済
サービス「7pay」の一部アカウントへの不正アクセスを確認。
経緯とともに同サービスの廃止を発表(認知度63.9%、2019年7月~10月)

セブン&アイ・ホールディングスのスマホ決済「7pay」が2019年7月1日に
リリースされましたが、サービス開始直後から不正利用が発生し、後日新規登録と
チャージ停止等を経て、同年9月末にサービス廃止にまで至ってしまった事件です。
ログインIDやパスワード、2段階認証の未実装など、システム側のセキュリティ対策が
不十分であったために不正利用が発生してしまいました。

システム側のセキュリティ対策が十分であれば本来回避できた事故ではありますが、
ではスマホ決済をより安全に利用するために私たちユーザー側でできることとしては
何が挙げられるでしょうか。
安全な利用のために私たちユーザー側でできることの一例を以下にご紹介します。

1. パスワード・IDを使いまわさない 
2. 2段階認証を利用する
 各種サービスを利用する上で上記2点は基本であり重要です。
 2段階認証の利用は、より安全にサービスを利用するために重要となってきます。
 特にクレジットカード情報等の重要情報を登録するサービスでは必須級とも
 いっていいでしょう。
 2段階認証がサービスに実装されていても実際に利用しないと効果がないため、
 重要情報を登録した場合は2段階認証を有効に設定しましょう。

3. リリース直後のサービスをすぐには利用しない
 リリース直後のサービスには不具合が残っていることも多く、安全とは言い切れない
 です。
 そのため、リリースからある程度時間が経って問題が浮上しなくなってから利用を
 開始するのがより安全といえます。
 サービスのリリース直後は何らかのキャンペーンが開催される場合が多く、実際に
 7payも登録を行うとおにぎり無料クーポンを貰えるキャンペーンを実施していましたが、
 こういった目先の利益にとらわれずに一度立ち止まってしばらく様子を見てから利用を
 開始することが最終的に自身の情報を守ることに繋がります。

4. 不正利用の被害にあった場合の補償内容を確認しておく
 不正利用されることは本来あってはならないことですが、万が一不正利用の被害に
 遭ってしまった場合にそのサービスの運用元会社がどういった補償をしてくれるかを
 予め確認しておくと、そのサービスを本格的に利用してよいかどうかの判断材料に
 なります。
 たとえばPayPayの場合ですと、不正利用による損害が発生した日から60日以内に
 申請をすることで被害額の全額を補償として原則受けることができます。
 (補償申請について – PayPay よくあるご質問. PayPay. https://paypay.ne.jp/help/c0117/)

スマホ決済サービスは大変便利ではありますが、利用方法によってはリスクを伴います。
サービス側が万全なセキュリティ対策で保護されているべきではありますが、最終的に
自分自身の情報を守れるかどうかは自分自身のサービス利用方法がカギとなってきます。
そのため自分の情報は自分で守るという意識を持ちサービスを利用することが重要です。

2020年を不正利用被害ゼロで終えられるよう、気がかりな方は今一度スマホ決済サービス等の
利用方法を見直してみると良いかもしれません。

<参考URL>
・7pay(セブンペイ)の不正利用問題と対策. ZEIMO
https://www.keigenzeiritsu.info/article/20908
・スマホ決済を安全に使うには? セキュリティの専門家が解説する3つのポイント.
価格.comマガジン
https://kakakumag.com/money/?id=14731
・スマホ決済を安全に利用するために確認したい7つのポイント. トレンドマイクロ is702
https://www.is702.jp/special/3533/
————————————————————-

ご感想・ご質問はこちら
 ─┬───────────
  └─→ helpdesk

━━★IT トレンド情報★━
1. iPhone 4S~Xなど複数のApple製品で修正困難な脆弱性、米CERT/CCが注意喚起
プロセッサ「A5」から「A11」のいずれかが搭載された複数のApple製品において、
「SecureROM(ブートROM)」に任意のコードを実行できる脆弱性が存在するとして、
米CERT/CCが注意喚起を行った。
https://internet.watch.impress.co.jp/docs/news/1226142.html

2. マルウェア「Emotet」の感染被害が10月以降に急増、JPCERT/CCがFAQページを公開
マルウェア「Emotet(エモテット)」感染被害の報告が2019年10月以降に
急増しているとして、一般社団法人JPCERTコーディネーションセンター
(JPCERT/CC)が注意喚起を行った。
https://internet.watch.impress.co.jp/docs/news/1222143.html

3. 27億のメールアドレス漏洩が発覚、うち10億はパスワードも流出
Comparitechは12月10日(米国時間)、「2.7 billion email addresses
exposed online, 1 billion+ include passwords」において、
27億件を超える電子メールアドレスを含んだ巨大なデータベースが
誰でもアクセスできる状態だったと伝えた。
さらに、それらレコードのうち、10億件以上に平文のパスワードも
含まれていたという。
https://news.mynavi.jp/article/20191212-936644/

4. 人気も高いけど脆弱性も高い “最悪のパスワード”ランキング2019年版
パスワードマネージャーのNordPassは、“人気の高い”パスワード2019年版の
ランキングを昨年の12月11日にブログ上で発表した。
https://news.livedoor.com/article/detail/17619980/

━━★マイクロソフト セキュリティ情報★━━
 ~Microsoft 月例更新セキュリティ情報~(2019年 10月分)
  深刻度:緊急「6件」重要「6件」
  詳細情報:https://msrc-blog.microsoft.com/2019/10/08/201910-security-updates/
 ~Microsoft 月例更新セキュリティ情報~(2019年 11月分)
  深刻度:緊急「6件」重要「4件」
  詳細情報:https://msrc-blog.microsoft.com/2019/11/12/201911-security-updates/
 ~Microsoft 月例更新セキュリティ情報~(2019年 12月分)
  深刻度:緊急「4件」重要「4件」
  詳細情報:https://msrc-blog.microsoft.com/2019/12/10/201912-security-updates/

━━★APEX セキュリティ情報★━━
■初めに APEXセキュリティ情報とは
  APEXセキュリティ情報は、各セキュリティ情報や製品情報を
  弊社が特選し掲載をするものです。
  Microsoft社に限らず、重要だと判断した情報は展開しておりますので
  ご活用頂ければ幸いでございます。

  情報源は、JPCERT/CCを主としております。
  JPCERT/CC : http://www.jpcert.or.jp/

【1】ISC BIND 9 の脆弱性に関する注意喚起

●概要
  ISC BIND 9 には、TCP パイプラインに関する脆弱性があります。
  脆弱性を悪用された場合、リモートからの攻撃によって、システムリソースを
  過度に消費し、結果として named が一時的に停止したり、サービスの品質の
  低下が発生する可能性があります。
  なお、ISC は、脆弱性 CVE-2019-6477 に対する深刻度を「中 (Medium)」と
  評価しています。
  脆弱性の詳細については、ISC の情報を確認してください。

  Internet Systems Consortium, Inc. (ISC)
  CVE-2019-6477: TCP-pipelined queries can bypass tcp-clients limit
  https://kb.isc.org/docs/cve-2019-6477

  影響を受けるバージョンの ISC BIND 9 を運用している場合は、「III. 対策」を
  参考に、修正済みバージョンの適用について検討してください。

●概要
  脆弱性の影響を受けるバージョンは次のとおりです。

  - BIND 9.14系 9.14.1 から 9.14.7 まで
  - BIND 9.12系 9.12.4-P1 から 9.12.4-P2 まで
  - BIND 9.11系 9.11.6-P1 から 9.11.12 まで
  - BIND Supported Preview Edition 9.11.5-S6 から 9.11.12-S1 まで

  ディストリビュータが提供している BIND をお使いの場合は、使用中の
  ディストリビュータなどの情報を参照してください。
  なお、ISC によると BIND 9.10系以前のサポートが終了しているバージョンに
  ついて当該脆弱性の影響の有無は評価されていないとのことです。

●対策
  ISC から脆弱性を修正したバージョンの ISC BIND 9 が公開されています。
  また、今後各ディストリビュータなどからも、修正済みのバージョンが提供されると
  思われますので、十分なテストを実施の上、修正済みのバージョンを適用することを
  ご検討ください。

  - BIND 9.11.13
  - BIND 9.14.8
  - BIND Supported Preview Edition version 9.11.13-S1

  また、以下の設定によって、サーバの TCP パイプラインを無効化することで、
  本脆弱性の影響を回避することができます。
  ただし、’reload’ や ‘reconfig’ ではなく、BIND を再起動する必要があります。

  keep-response-order { any; };

●情報源
  ISC BIND 9 の脆弱性に関する注意喚起
  https://www.jpcert.or.jp/at/2019/at190043.html

【2】Adobe Acrobat および Reader の脆弱性 (APSB19-55) に関する注意喚起

●概要
  アドビから PDF ファイル作成・変換ソフトウエア Adobe Acrobat および
  PDFファイル閲覧ソフトウエア Adobe Acrobat Reader に関する脆弱性が
  公開されました。
  脆弱性を悪用したコンテンツをユーザーが開いた場合、実行ユーザーの権限で任意の
  コードが実行されたり、情報が窃取されたりするなどの恐れがあります。
  脆弱性の詳細については、アドビの情報を確認してください。

  アドビシステムズ株式会社
  Security update available for Adobe Acrobat and Reader | APSB19-55
  https://helpx.adobe.com/security/products/acrobat/apsb19-55.html

●対象
  対象となる製品とバージョンは次のとおりです。

  - Adobe Acrobat Reader DC Continuous (2019.021.20056) およびそれ以前 (Windows, macOS)
  - Adobe Acrobat Reader 2017 Classic 2017 (2017.011.30152) およびそれ以前 (Windows, macOS)
  - Adobe Acrobat Reader 2015 Classic 2015 (2015.006.30505) およびそれ以前 (Windows, macOS)
  - Adobe Acrobat DC Continuous (2019.021.20056) およびそれ以前 (Windows, macOS)
  - Adobe Acrobat 2017 Classic 2017 (2017.011.30152) およびそれ以前 (Windows)
  - Adobe Acrobat 2017 Classic 2017 (2017.011.30155) およびそれ以前 (macOS)
  - Adobe Acrobat 2015 Classic 2015 (2015.006.30505) およびそれ以前 (Windows, macOS)

●対策
  Adobe Acrobat および Reader を次の最新のバージョンに更新してください。

  - Adobe Acrobat Reader DC Continuous (2019.021.20058) (Windows, macOS)
  - Adobe Acrobat Reader 2017 Classic 2017 (2017.011.30156) (Windows, macOS)
  - Adobe Acrobat Reader 2015 Classic 2015 (2015.006.30508) (Windows, macOS)
  - Adobe Acrobat DC Continuous (2019.021.20058) (Windows, macOS)
  - Adobe Acrobat 2017 Classic 2017 (2017.011.30156) (Windows, macOS)
  - Adobe Acrobat 2015 Classic 2015 (2015.006.30508) (Windows, macOS)

  更新は、Adobe Acrobat および Reader の起動後、メニューより “ヘルプ (H)”の
  次に “アップデートの有無をチェック (U)” をクリックすることで実施できます。
  メニューからの更新が不可能な場合は、以下の URL から 最新の Adobe Acrobat
  および Reader をダウンロードしてください。
  詳細は、アドビの情報をご確認ください。

  Adobe.com – New downloads
  https://supportdownloads.adobe.com/new.jsp

●情報源
  Adobe Acrobat および Reader の脆弱性 (APSB19-55) に関する注意喚起
  https://www.jpcert.or.jp/at/2019/at190045.html

【3】2019年12月マイクロソフトセキュリティ更新プログラムに関する注意喚起

●概要
  マイクロソフトから 2019年12月のセキュリティ更新プログラムが公開されました。
  本情報には、深刻度が「緊急」のセキュリティ更新プログラムが含まれています。
  脆弱性を悪用された場合、リモートからの攻撃によって任意のコードが実行される
  などの恐れがあります。

  脆弱性の詳細は、次の URL を参照してください。

  2019 年 12 月のセキュリティ更新プログラム
  https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/2019-Dec

  [修正された脆弱性 (深刻度「緊急」のセキュリティ更新プログラムを含む)]
  ※ サポート技術情報 (Microsoft Knowledge Base, KB) は、深刻度「緊急」のものを
  挙げています。

  CVE-2019-1349
  Git for Visual Studio のリモートでコードが実行される脆弱性
  https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-1349
  ※ 本脆弱性は、KB番号が採番されていないため、記載はありません

  CVE-2019-1350
  Git for Visual Studio のリモートでコードが実行される脆弱性
  https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-1350
  ※ 本脆弱性は、KB番号が採番されていないため、記載はありません

  CVE-2019-1352
  Git for Visual Studio のリモートでコードが実行される脆弱性
  https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-1352
  ※ 本脆弱性は、KB番号が採番されていないため、記載はありません

  CVE-2019-1354
  Git for Visual Studio のリモートでコードが実行される脆弱性
  https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-1354
  ※ 本脆弱性は、KB番号が採番されていないため、記載はありません

  CVE-2019-1387
  Git for Visual Studio のリモートでコードが実行される脆弱性
  https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-1387
  ※ 本脆弱性は、KB番号が採番されていないため、記載はありません

  CVE-2019-1468
  Win32k Graphics のリモートでコードが実行される脆弱性
  https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-1468
  - KB4530681, KB4530684, KB4530689, KB4530691, KB4530692, KB4530695
  KB4530698, KB4530702, KB4530714, KB4530715, KB4530717, KB4530719
  KB4530730, KB4530734

  CVE-2019-1471
  Hyper-V のリモートでコードが実行される脆弱性
  https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-1471
  - KB4530684, KB4530715, KB4530717

  なお、マイクロソフトによると、CVE-2019-1458 (重要) の脆弱性の悪用を
  確認しているとのことです。
  セキュリティ更新プログラムの早期の適用をご検討ください。

●対策
  Microsoft Update、もしくは Windows Update などを用いて、
  セキュリティ更新プログラムを早急に適用してください。

  Microsoft Update Catalog
  https://www.catalog.update.microsoft.com/

  Windows Update: FAQ
  https://support.microsoft.com/ja-JP/help/12373/windows-update-faq

●情報源
  2019年12月マイクロソフトセキュリティ更新プログラムに関する注意喚起
  https://www.jpcert.or.jp/at/2019/at190046.html

━━★お知らせ★━━

~お問い合わせ窓口に関するご案内~

  より良い保守サービスを皆様にお届けさせて頂く為に、
  可能な限り障害発生時の第一報を下記までご連絡下さいますよう、
  ご協力をお願い申し上げます。

【連絡先】

  電話番号: sales
   ※ 中部地区以外のお客様につきましては、保守メニュー
     によって別の電話番号をご案内させて頂いている
     場合がございますので、その場合は引き続き現状の
     電話番号をご利用下さい。
  メールアドレス(保守専用): helpdesk
   ※ 保守メニューによっては、個別のメールアドレスを
     ご案内させて頂いている場合がございますので、
     その場合は引き続き現状のメールアドレスをご利用下さい。

  より一層「お客様の為」のサービスとなるよう、
  保守環境の 整備を実施して参りますので、引き続きご愛顧の程、
  よろしくお願い申し上げます。

~DM配信スケジュール~
  3か月に1度(春号:4月 夏号:7月 秋号:10月 冬号:1月)配信予定

~ご質問受付について~
  今号でご紹介致しましたITトレンド情報及び技術情報、
  または弊社についてのご質問をお受けいたします。
  なお、ご質問内容に関しては、事前に公開可否をお伺いさせて頂きます
  ので、その旨予めご了承下さいますよう、よろしくお願いいたします。

  ご質問は下記までお願いいたします。

  ヘルプデスク : helpdesk

  ぜひお待ちしております。
  #回答は次号以降、順次させて頂く予定です。

~次号配信予定~
  2020年4月15日(水)

【編集後記】
  寒の入りとともに、寒さが一段と厳しく感じられるこの頃ですが、
  皆様いかがお過ごしでしょうか。
  私は、今冬は名古屋で過ごす初めての冬となりますが、地元静岡よりも
  はるかに寒いと感じる日が多く、寒さと格闘する毎日を過ごしております。
  寒さがつらいと感じる一方で、名古屋では雪が降るとのことで、地元では
  雪を見る機会がほぼなかったため雪が降る日を楽しみに思っていたりもします。
  厳しい寒さが続きますので、皆様もお体に気をつけてお過ごしくださいね。

 ◆◇————————————-
  【文責】 APEX ソリューション推進部            
       APEX NEWS 編集者 加茂                 
  —————————————◇◆

編集責任者: 加茂 玲那斗
発行責任者: 新開 康彦

内容のお問い合わせについて、また本メールの配信停止については
お手数ですが、下記までご連絡をお願い致します。

株式会社エイペクス
ソリューション推進部
TEL : sales
Email : helpdesk
これまでのAPEX NEWSはこちら
─┬─────────────
 └─→ http://www.kk-apex.co.jp/contents/support/news
———————————————————————-
Copyright(C) 2020 APEX co.,ltd.
———————————————————————-