8月1日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。
7月のフィッシング報告件数は107,948件、前月から19,698件増加
フィッシング対策協議会は、2022年7月に寄せられたフィッシング報告件数(海外含む)を公開。7月は107,948件にのり、前月(6月)比で19,698件増加している。内訳は、フィッシングサイトのURL件数(重複なし)が、6月より21,971件増えて49,188件に、フィッシングに悪用されたブランド件数(海外含む)が、6月より14件減って86件だった。
詳細を見ていくと、「クレジットカードの利用確認を装うフィッシング」の報告が全体の約47.6%ともっとも多い。なかでも、VISA、マスターカード、JCBを騙るフィッシングメールの報告が多かった。これに、Amazonと三井住友カードを騙るフィッシング報告を含めると、全体の約73.2%を占める。分野別に見ると、クレジットおよび信販系が約67.6%、ECサイト系が約17.0%と、警戒すべき高い数字を示している。
ショートメッセージ(SMS)を利用したフィッシングでは、宅配便関連の不在通知を装うもの、Appleを騙るもの、モバイルキャリアを騙るもの、AmazonやYahoo! JAPANを騙るものが多い。マルウェアなど不正なアプリのインストールへ誘導するものは、au(KDDI)、日本郵便を偽るものが多かった。
フィッシング対策協議会は通信事業者に対して、送信元メールアドレスとDMARCの検証結果の確認、迷惑メールフィルタの提供などを推奨。オンラインサービス事業者に対しては、SPFとDMARCでドメインを保護するなど、なりすまし送信の検知を検討するよう提案している。
個人利用者に対しては、現時点で大量のフィッシングメールを受信している場合、フィッシング対策機能を強化しているメールサービスでメールアドレスを作成し、徐々にメインのメールアドレスを切り替えていくことを提案している。
基本的なことではあるが、SMSで身に覚えがないタイミングでの認証コードの通知、不審なログインを促すようなメールなどは、無視か削除が必須。自身の情報を確認するときは、正規アプリやブックマークから正規のサイトへ飛ぶように心がけたい。
JR西日本を騙るフィッシングメール
7月29日の時点で、JR西日本を騙るフィッシングメールが拡散している。メール件名の一例は以下の通り。
- 【JR西日本:Club J-WEST】できるだけ早くアカウント認証を完了する
- 【JR西日本:Club J-WEST】お客様への重要なお知らせです。
メールでは、7月29日にサービスをリニューアルしたので、最後にログインした日から2年以上利用していない場合自動的に退会処理を行うなどと記載。継続利用する場合は一度ログインをするようにと誘導する。リンク先は「J-WEST 会員サポートページ」を模したフィッシングサイトで、ID、パスワード、氏名、住所、クレジットカード情報などの入力欄がある。フィッシングサイトは消えたり現れたりすることがあるため注意のこと。
キャリタス資格検定への不正アクセス – 第2報を公開
ディスコは、2022年5月20日に報告した「キャリタス資格検定」への不正アクセスについて、調査結果が出たとして第2報を公開した。
不正アクセスについては、2022年5月15日15時29分ごろから5月16日16時57分ごろまでの間に、当該サービスを運用するWebサーバーに対して発生。アプリケーションの脆弱性を利用したSQLインジェクションにより、海外からの不正アクセスを受けた。
ログ解析の結果、サーバーに記録していた申込者情報の一部が第三者から閲覧され、流出した可能性があることもわかった。ただし、コンビニ端末受付サービス経由の申込者情報に対しての不正アクセスはなかったとしている。
流出した可能性のある利用者情報は、メールアドレスが最大298,826件(2022年5月16日までの利用者の一部)。氏名や住所などほかの情報に関する流出はなかった。クレジットカード情報は外部システムを利用しているためこちらも流出はない。
同社は流出した可能性のある利用者に個別にメールにて連絡。以降、流出したメールアドレスを悪用したスパムメール、フィッシング詐欺メールなどの迷惑メールが届く可能性があるため、不審なメールは削除するよう呼びかけている。また、メールの添付ファイルの開封、メールに記載のURLへのアクセスもしないよう注意喚起している。
キャリタス資格検定Webサービスは、脆弱性修正と総点検が完了したことから8月1日午後に再開した。
通販サイト「DIY FACTORY Business」でクレジットカード情報流出
大都が運営するオンライン通販サイト「DIY FACTORY Business」において、クレジットカード情報が流出した。システムの一部の脆弱性をついたペイメントアプリケーションの改ざん被害を受け、偽のクレジットカード情報入力ページへの誘導が行われていた。2022年4月20日に、クレジットカード会社からの連絡を受け発覚した。
同日サイトを閉鎖し、第三者の専門調査会社に調査を依頼。その結果、2022年4月12日0時50分~2022年4月14日11時24分の間に、クレジットカード決済を利用した122名の情報が流出していた。さらに、クレジットカード情報を入力したものの購入にいたらなかった人、クレジットカード情報のみを入力した人も対象となるが、こちらは詳細を特定できていないという。流出情報の詳細は、クレジットカード番号、クレジットカード有効期限、セキュリティコード。流出情報は、他社のECサイトなどでの不正利用を確認している。
大都は、クレジットカード情報が流出した可能性のある顧客に電子メールで連絡。身に覚えのないクレジットカードの利用履歴がないかを確認するよう呼びかけている。再発防止策として、システムの脆弱性診断の定期的な実施、システムのファイル変更の監視、検知体制の強化、ECサイト管理画面のアクセス制限強化などを行うとしている。
昭和女子大学、個人情報を含むポータブル型メモリが盗難被害
昭和女子大学にて、個人情報を保存してあったポータブル型メモリの盗難被害が発生した。2022年6月下旬に同大学の専任教員が帰宅途中に窃盗の被害に遭い、その中に在学生、卒業生、受験生の個人情報を保存したポータブル型メモリが含まれていた(編注:昭和女子大学の発表にはポータブル型メモリと記載されているが、いわゆるUSBメモリと思われる)。個人情報の第三者への流出、不正使用は確認できていないが、所持品はまだ発見には至っていない。
該当する在学生には電子メールで連絡、卒業生と受験生には郵送で連絡。合わせて、全教職員に対して個人情報の適切な取り扱いについての指導を徹底し再発防止に努めるとしている。
任天堂、「Wi-Fi USBコネクタ」と「Wi-Fiネットワークアダプタ」を使用しないよう注意喚起
任天堂は7月29日、「ニンテンドーWi-Fi USBコネクタ」と「ニンテンドーWi-Fiネットワークアダプタ」において、セキュリティ保護の観点から使用を中止してほしいとの呼びかけを公開した。
これらの製品は発売から10年以上が経過しており、継続して使用すると問題があるとしている。対象の機器を使用している場合は、セキュリティ保護のためすみやかに使用を中止し、市販のネットワーク機器に切り替えるよう呼びかけている。各機器の問題点は以下の通り。
■ニンテンドーWi-Fi USBコネクタ(NTR-010)
暗号化方式にWEPを採用しており、第三者により短時間で暗号解読の可能性がある。これにより、第三者による通信データの改ざん、漏洩、ネットワークの乗っ取り、不正アクセスの危険がある。
■ニンテンドーWi-Fiネットワークアダプタ(WAP-001)
複数の脆弱性を確認しており、バッファオーバーフローやコマンドインジェクションを用いて、第三者が設定やファームウェアの書き換えを行う可能性がある。ほかにも、メインのSSIDが初期設定でセキュリティ「なし」になっている点や、サブSSIDの暗号化がWEP固定であることなどがセキュリティ上の懸念となる。これにより、第三者による通信データの改ざん、漏洩、ネットワークの乗っ取り、不正アクセスの危険がある。