原子力規制委員会の田中俊一委員長は１９日の定例記者会見で、脱原子力発電依存を掲げる民主党から、安全が確認された原発の再稼働を強調する自民党への政権交代について触れ、「政治家は常に色んな意見を言うが、安全規制を変えてはいけない」と述べた。

　来夏から適用される安全規制の見直し作業が進められていることを念頭に、規制委の独立性を強調したものだ。

　原発の再稼働に向けた安全確認について田中委員長は、敷地内に活断層があることが疑われる原発で規制委が調査を進めていることを踏まえ、「あくまで科学的事実に基づいて判断する。それを崩すつもりはない」と語った。

　田中委員長はまた、今年９月の規制委発足からの３か月間の成果として、原発敷地内での断層調査を挙げ、「３か所で着手し、一定の成果が得られ始めている」と強調した。

　マカフィーは12月18日、不正なポップアップ画面や「SpyEye」や「Zeus」といったマルウェアを用いたサイバー金融詐欺の現状に関する説明会を開催した。

　米マカフィーのテクニカル・ソリューションズ ディレクター ブルース・スネル氏は、こうした金融詐欺に使われる手法は「攻撃のたびにカスタマイズされており、既存のセキュリティ製品では検知できないよう巧妙化、高度化が進んでいる。その数も、マカフィーのデータベースへの登録件数は1億を超えるほど増加している」と指摘。攻撃の深刻さが増していると警告した。

　マカフィーのサイバー戦略室兼グローバル・ガバメント・リレイションズ 室長 本橋裕次氏によると、サイバー金融詐欺の手法は、当初の「キーロガー」から徐々に進化しているという。

　日本では2012年後半、金融機関のWebサイトにアクセスすると偽のポップアップ画面を表示し、ユーザーIDやパスワードなどの情報を盗み取る「Webインジェクション」という手口による被害が複数報告された。「無料のウイルス対策ソフトウェア」といった宣伝文句でユーザーをだましてマルウェアをインストールさせ、そのマルウェアが偽のポップアップ画面を表示させて情報を外部に送信する。攻撃者はこうして得た情報を用いて、手動で金銭を詐取するという手法だ。

　一方海外では、攻撃のさらなる「効率化」を求め、自動化が進んでいるという。

　2012年初めにヨーロッパで始まった大規模な金融詐欺、「Operation High Roller」では、「Man-in-the-Browser（MITB）攻撃」という手法が使われた。銀行などのサイトにアクセスすると、表ではそれに応じた画面を表示させつつ、バックグラウンドでマルウェアがさまざまな不正な処理を行うというものだ。通信内容を改ざんし、画面の一部を書き換えてフォームを追加しユーザーの入力を促したり、「処理中」と偽のページを表示しておいて、攻撃者が用意した口座に勝手に振り込みを行ってしまったりする。

　二要素認証などを採用していても、MITB攻撃への対策は難しい。また「中には、検索で見つけ出した文面をコピーし、『処理が完了しました』という銀行からのメール通知を送って隠蔽を図るケースもあり、ユーザーはなかなか気付きにくい」（スネル氏）。

　スネル氏によると、さらに「Automated Transaction Server（サーバサイド自動不正送金）」という手法が登場しているという。偽の画面を表示させるところまではクライアント側で実行するものの、それ以降の不正送金処理などはすべて、攻撃者のサーバ側で実行してしまうという方法で、攻撃のあくなき効率化を求めての「進化」だという。

　スネル氏は、OSなどのセキュリティ対策が進化し、攻撃を食い止める手段が実装されるにつれて、好奇心や同情心をくすぐって「人」という脆弱性を狙うソーシャルエンジニアリングが使われるようになってきたと指摘。OSのアップデートやウイルス対策ソフトの導入と更新という基本的な対策を取るとともに、「何かをクリックする前に、一呼吸置いてよく考える癖をつけてほしい」と呼びかけた。

　なお、最近はハクティビストによる攻撃も目立つようになった。中には、「企業から盗み出したクレジットカード情報」とされるデータがWebで公開されることもある。しかし「こうした行為が悪用される可能性もある。公開情報と称するサイトにユーザーを誘導し、自分のクレジットカード情報が含まれていないかどうか検索して確かめるためにCtrl＋Fを押してブラウザに表示された偽の検索バーにカード番号を入力させ、情報を盗むケースもある」（スネル氏）ため、安易に「確認サイト」を信用しないよう注意が必要だという。

　【小坪遊】国連の気候変動に関する政府間パネル（ＩＰＣＣ）が２０１３年９月に公表を予定している第５次評価報告書の一部が、ネット上に流出していることが分かった。ＩＰＣＣは「評価や査読を妨害し、残念だ」とのコメントを発表した。報告書では、人間の活動が気候変動の原因である「可能性が極めて高い」とし、今世紀中に海面が最高８２センチ上昇するなどと予測している。

　欧米メディアによると、報告書を流出させたのは、気候変動論に異議を唱える懐疑派のサイト。ＩＰＣＣは「報告書は最終版ではなく、内容は書き換えられる必要がある」としている。

　ＩＰＣＣは気候変動に関する最新の研究をまとめた報告書を５～６年ごとに更新している。第５次報告書は１３～１４年にかけて完成する予定。

　東京電力福島第一原子力発電所事故を教訓として、世界各国の原子力安全を向上させるため、政府と国際原子力機関（ＩＡＥＡ）が共催する「原子力安全に関する福島閣僚会議」が１５日、福島県郡山市で開幕した。

　福島原発事故に関する議長声明が同日夕、発表され、日本は同原発の廃炉や、除染について、ＩＡＥＡの調査団を受け入れ、適切な助言をもらいながら進めていくことが盛り込まれた。

　政府によると、技術的にまだ確立されていない、燃料が溶融した原発の廃炉や、広範囲にわたる除染作業について、ＩＡＥＡの専門家らによる調査団に、来年以降、現状を見てもらう。ＩＡＥＡが日本で得た情報は、国際的に共有し、廃炉や除染作業が将来必要となる原発保有国で生かしていく。

日本マイクロソフト株式会社は12月12日、2012年12月のセキュリティ情報を公開した。公開されたセキュリティ情報は事前通知通り7件で、最大深刻度「緊急」が5件、「重要」が1件となっている。今回の更新プログラムで修正された脆弱性は、CVEベースで12件。内容は以下の通り。

他の写真を見る

「緊急」
MS12-077：Internet Explorer 用の累積的なセキュリティ更新プログラム（2761465）要再起動
MS12-079：Microsoft Word の脆弱性により、リモートでコードが実行される（2780642）再起動が必要な可能性あり
MS12-078：Windows カーネルモードドライバーの脆弱性により、リモートでコードが実行される（2783534）要再起動
MS12-080：Microsoft Exchange Server の脆弱性により、リモートでコードが実行される（2784126）再起動が必要な可能性あり
MS12-081：Windows ファイル操作コンポーネントの脆弱性により、リモートでコードが実行される（2758857）要再起動

「重要」
MS12-082：DirectPlay の脆弱性により、リモートでコードが実行される（2770660）再起動が必要な場合あり
MS12-083：IP-HTTPS コンポーネントの脆弱性により、セキュリティ機能のバイパスが起こる（2765809）要再起動

このうち、脆弱性が公開されているものは「MS12-078」に含まれる「OpenTypeフォントの解析の脆弱性（CVE-1012-2556）」および「MS12-080」に含まれる「Oracle Outside In の悪用される恐れのある複数の脆弱性（CVE-2012-3214）」となっており、今回、悪用が確認されているものはない。マイクロソフトでは企業ユーザにおける適用優先度の最も高いものとして「MS12-077」および「MS12-079」を挙げている。


（吉澤亨史）