6月21日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

中日新聞社、業務委託会社のサーバーに不正アクセス

中日新聞社が業務委託契約しているランドマークスが不正アクセスを受け、保有していた顧客情報が流出した可能性がある。

今回の不正アクセスは6月23日23時ごろ、中日新聞社が運営業務を委託しているランドマークスからの連絡で発覚。サーバーに対し外部からの不正アクセスがあり、保管していた個人情報が削除されたとの報告を受けた。

削除件数は約143,000件で、中日新聞社はデータ削除だけでなく流出の可能性もあるとして対処を進めている。流出した可能性のある情報は、キャンペーン応募ページで入力した氏名、住所、性別、年代、新聞購読歴、電話番号、メールアドレス。これらの情報に流出の可能性がある。該当するキャンペーンは以下。

  • 東京新聞
  • 2009年~2012年の「ほっとフォト・コラム」
  • 2011年~2012年の「東京ほっと大検定」
  • 2013年~2019年の「東京ほっとフォトコンテスト」
  • 2014年~2017年の「東京ほっと Web ワクワクプレゼントキャンペーン」
  • 中日新聞
  • 2015年の「中日新聞懸賞キャンペーン」
  • 2016年~2019年の「中日新聞ほっと Web キャンペーン」
  • 北陸中日新聞
  • 2016年の「北陸ほっとフォトコンテスト」

中日新聞社は、個人情報が流出した可能性がある顧客に対して謝罪するとともに、再発防止策として対策チームを設置。契約関係にある企業も含めてセキュリティ強化を図るとしている。

スポーツクラブNASのサーバーがランサムウェア被害

スポーツクラブNASのサーバーがランサムウェアに感染し、会員管理システムに障害が発生した。

被害は2021年4月2日に確認。サーバーはファイヤーウォールを設定していたものの、外部とのアクセスのために設けていた暗号鍵を第三者が特定してランサムウェアを仕込まれたという。これにより、サーバーに保管していたデータがすべて暗号化され、一部店舗(計9店舗)で運用していた会員管理システムが使用不能となった。

サーバーに保管していた個人情報は、会員情報150,084人分(うちクレジットカード情報を含む34,920人)。内容は、氏名、住所、生年月日、性別、電話番号、会員番号、メールアドレス、緊急連絡先、クレジットカード情報、口座情報、勤務先(名称、住所、電話番号)のうち1つ以上。従業員情報は460人分で、氏名、生年月日。

調査専門会社による調査の結果、2021年5月18日時点で顧客情報は情報公開サイトなどに存在せず、第三者から復号ツールの購入が必要とのメッセージを受け取ってはいるものの、身代金の要求などはない。このことから、今回のランサムウェアは情報を窃取しない「無差別型ランサムウェア」である可能性が高いと見ている。なお現在まで、顧客情報の利用による二次被害はない。

同社は、今後の対応としてシステムに個人情報がある会員に書面で連絡。再発防止策として、ファイヤーウォールなどによるセキュリティ対策、各端末のリアルタイム監視、異常検知時のネットワーク遮断など、被害を最小限に抑える防御ソフトを導入して対策強化を図る。

クラウディア、ペイメントアプリの改ざんでクレジットカード情報流出

クラウディアが運営する「クラウディア HP」が第三者による不正アクセスを受けた。システムの一部の脆弱性をついたペイメントアプリケーションの改ざんによるもので、2020年10月8日にクレジットカード会社からの連絡を受け発覚し、同日カード決済を停止した。

調査の結果、2019年10月4日~2020年10月8日の期間に、商品を購入した人のクレジットカード情報8,644件が流出していた。流出情報の詳細は、カード名義人名、クレジットカード番号、有効期限、セキュリティコード。

同社は、個人情報が流出した可能性のある人に、電子メールと書状で個別に連絡を取っている。また、クレジットカードのモニタリングを実施し、顧客に対しては身に覚えのない請求項目がないか確認するよう注意を呼びかけている。

今後はシステムのセキュリティ対策と監視体制の強化を行い、再発防止を図っていくとのこと。サイトの再開日については決定しだい告知する。

大阪メトロサービス、不正アクセスでなりすましメールを大量送信

大阪メトロサービスが運用している特定のメールアドレスを踏み台にした「なりすましメール」の大量送信を確認した。

2021年6月4日から5日にかけて発生し、同社のメールサーバーが不正アクセスを受け、送信が行われた模様だ。大阪メトロサービスは当該メールアドレスのパスワード変更などの対策を行い、状況を継続的に監視している。

合わせて、メールアドレスのドメイン「@osakametro-service.jp」から不審なメールが届いても、本文記載のURLにアクセスしたり、添付ファイルを開いたりなどはせず、メールごと削除するよう呼びかけている。今回のなりすましメールによる被害はまだなく、顧客データなどの流出もない。

Spotifyを騙るフィッシング

6月22日の時点で、Spotifyを騙るフィッシングメールが拡散している。メールの件名は「お支払い情報を更新してください」など。

メールでは「サービスを提供するために請求の詳細を確認する必要がある」などと記載しリンクをクリックするするよう促している。誘導先はフィッシングサイトだ。Spotifyに限らず、原則としてメール記載のURLはクリックせず、公式サイトから情報を得るようにしてほしい。

Google、Chromeの最新バージョン「91.0.4472.114」を公開

Googleは6月17日、Chromeの最新バージョン「91.0.4472.114」を公開した。アップデートは、Windows、macOS、Linux向けとして、数日から数週間かけて配信する。

今回のアップデートでは、「高」4件の脆弱性を修正。WebGLやWebAudioなどでのメモリ解放後の使用といった脆弱性が含まれる。Chromeを使っているユーザーはすみやかにアップデートすること。