4月24日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

IPA、ゴールデンウィークにおける情報セキュリティに関する注意喚起

独立行政法人情報処理推進機構(以下、IPA)は、ゴールデンウィークの長期休暇における情報セキュリティ対策を公開した。

今年(2023年)のゴールデンウィークは10連休となるところもあり、システム管理者の長期不在期間が発生しがち。そんなときにウイルス感染や不正アクセスなどが発生すると、対処が遅れて被害が拡大する可能性がある。また個人においても、例えばSNSに投稿したの内容から留守の自宅を狙われたりすることもあるので注意したい。IPAは、ゴールデンウィーク中にやっておくべきセキュリティ対策を整理して公開している。

■企業や組織の管理者に対して
不測の事態が発生した場合に備えて緊急連絡体制を確立しておく。長期休暇中にメンテナンス作業などで社内ネットワークへ機器を接続する予定がある場合は、社内の機器接続ルールを事前に確認して遵守する。長期休暇中に使用しないサーバーなどは電源をオフにしておく。

■企業や組織の利用者
長期休暇中に社外で作業する場合など、PCやデータの情報持ち出しルールを事前に確認。長期休暇中に使用しない機器は電源をオフにしておく。

■個人の利用者
SNSに旅行の計画を書き込むと、長期不在を狙われて空き巣といったトラブルに発展することがある。また自宅にいる場合は、Webサイト閲覧中に「ウイルス感染している」「PCが壊れる」などの警告が画面に表示される場合があるので注意。こうした表示が出たら、詐欺への誘導、より悪質なマルウェアを仕込もうとする――などを疑うこと。合わせて、不審なメールやSMSにも警戒しておきたい。

そしてゴールデンウィーク明けは、OSや各種ソフトウェアの修正プログラムを確認し、最新版がある場合は更新する。セキュリティソフトの定義ファイルも古い状態のままでは危険なので、メールの送受信やWebサイトを閲覧する前に最新の状態へと更新することが重要だ。

佐川急便、会員制Webサービス「スマートクラブ」でシステム障害

佐川急便の会員制Webサービス「スマートクラブ」にてシステム障害が発生。これにより、4月3日10時27分~11時57分の間にログインした顧客の「ご依頼主情報」欄に、本人と異なる情報(氏名、郵便番号、住所、電話番号)を表示していた。

システム障害は復旧したものの、この間にアクセスしていた場合は別の「ご依頼主情報」を表示していた可能性がある(最大492回)。システム障害の原因については調査中であり、判明しだい再発防止策などを検討していくとしている。

シード、不正アクセス被害で個人情報7万件が流出の可能性

コンタクトレンズ関連を手がけるシードは、2022年11月30日に発表した不正アクセスによるシステム障害についての調査結果を公開した。

調査結果では、システム障害の原因が外部からの不正アクセスによるものだったと判明。システムメンテナンス用に設置していたネットワーク機器の脆弱性を突かれた可能性が高いとのこと。また、サーバーのファイル11件(個人情報6件を含む)の漏洩を確認。そのほか取引先情報、顧客の個人情報が漏洩した痕跡は認められなかった。

しかし、個人情報漏洩の可能性を完全には否定できない情報も存在している。2022年11月29日以前を対象とした調査にて、子会社のシードアイサービスが開催したファミリーセールで商品を購入した人の情報がそれにあたる。

ファミリーセールは、従業員およびその家族、取引先向けに開催しているもの。購入者は、個人株主、過去に在籍していた従業員とその家族、取引のある個人などさまざま。これら最大70,700件の情報に流出の可能性があるとのこと。なおクレジットカード情報は含まれていない。

不正アクセス確認後は、システム障害が発生しているサーバーの運用停止、ネットワークの遮断などを実施。社内システムの稼働も部分的に休止した。以降、バックアップデータから復旧している。

地元カンパニー、委託先のPCが不正アクセス被害

カタログギフトなどを手がける地元カンパニーの業務委託先にて、PCが不正アクセスを受けた。不正アクセスがあったのは2023年3月16日11時ごろで、委託先のPCでインターネット閲覧中に何らかのソフトウェアのインストール誘導が発生。このソフトウェアを使用したことによって、PCに保存したデータに不正にアクセスがあったと見られている。

判明後は当該PCをすべてのネットワークから遮断。委託先のアカウントからのシステムおよびデータへのアクセスを停止し、委託先に貸与していたシステムアカウントも停止した。以降、委託先が使用していたPCやアカウントから、システムとデータへのアクセス履歴を確認し、専門業者に調査を依頼。現在も調査は続けられている。

当該PCに保存していたのは、受け取り日の指定が必要な商品の届け先情報。荷届先名、郵便番号、住所、電話番号、メールアドレス、ギフト贈り主の氏名となる。

再発防止策としては、PCに個人情報を残さないことと、クラウド上で情報を扱う運用へと変更。今回の情報公開の時点では、システムやクラウドへの不正アクセスはなく、個人情報の不正利用などもないとしている。

ワン・ダイニングのブランドサイトが不正アクセス被害

焼き肉店のワンカルビを展開するワン・ダイニングが運営する各ブランドサイトにて、不正アクセスが発生した。第三者から不正アクセスを受けた期間は、4月13日14時ごろから18時ごろまで。これにより、アクセス時に不正なリダイレクトが行われる状態となり、サイトを正常に閲覧できなくなっていた。

原因は、サーバー内への不正プログラムの設置によるもの。原因判明後、サーバー内の不正なプログラムをすべて削除。個人情報の漏洩などはなく、復旧を完了している。今後は一層のセキュリティ対策を講じていくとのこと。

統計数理研究所、サーバーへの不正アクセスでメールアドレス漏洩

統計数理研究所のサーバーが不正アクセスを受け、研究参加者のメールアドレスが漏洩した可能性がある。2023年4月3日、共同研究データベースを運用しているサーバーに対してメールアドレス情報を狙ったSQLインジェクション攻撃が発生。サーバーのログを確認したところ、2月7日および3月16~17日に攻撃を受けていたことがわかった。以降、当該サーバーの運用を停止し、外部ネットワークとの接続を遮断。被害状況について調査を続けている。

流出した可能性がある情報は、2018年度以前に採択した共同利用・共同研究課題に関するもので、研究参加者のメールアドレス(5,527件)となる。メールアドレス以外の情報を狙った攻撃の形跡はなかった。統計数理研究所では、メールアドレスが漏洩していた場合、迷惑メールなどが届く可能性があるとして注意を呼びかけている。

FamiPayを騙るフィッシングメール

4月21日以降、FamiPayを騙るフィッシングメールが拡散している。送られてくるメールのタイトル例は以下の通り。

  • 【重要なお知らせ】ファミペイ ご利用確認のお願い
  • 【重要】ファミペイ本人確認のお知らせ
  • 【重要】FamiPay ご注文内容の確認
  • 【重要】ファミペイ重要なお知らせ
  • 【ファミペイ】重要:必ずお読みください
  • 【ファミペイ】個人情報確認
  • 「ファミペイ」ご利用環境確認用ワンタイムURLのお知らせ
  • <緊急!ファミペイ 重要なお知らせ>
  • FamiPay お支払い金額確定のご案内
  • お支払い方法変更のご案内【ファミペイ】

メールでは、ファミペイの利用が本人かどうか確認したい取引があったため、カードの利用を一部制限したなどと記載。リンクにアクセスするように誘導する。リンク先はファミリマートを模したフィッシングサイトで、電話番号、認証番号などの入力欄がある。4月21日以降もフィッシングサイトは稼働中とのことなので注意。