6月14日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

Apple、旧デバイスのセキュリティアップデートを公開

Appleは6月14日(米国時間)、旧モデル向けのセキュリティアップデート「iOS 12.5.4」を公開した。対象デバイスは、iPhone 5s、iPhone 6、iPhone 6 Plus、iPad Air、iPad mini 2、iPad mini 3、iPod touch(第6世代)。

今回修正したのは、WebKitのメモリ破損の脆弱性と解放済みメモリ使用の脆弱性。悪意を持って作成された証明書、もしくはWebコンテンツを処理すると、任意のコード実行の可能性がある。すでに悪用の実績を確認しているので、こうした旧デバイスを使用している場合はアップデートしておくべき。

iPhone 12シリーズなどの最新デバイスについては、「iOS 14.6」や「iPadOS 14.6」などのアップデートで対策済み。

セゾン自動車火災保険、「マイページ」への不正アクセス

セゾン自動車火災保険の公式Webサイトにて、契約者専用ページ「マイページ」が第三者から不正アクセスを受けた。

第三者によるマイページへの大量かつ不審なログイン試行が行われ、同社は不正アクセスを検知後、緊急措置としてアクセスを遮断した。しかし、すでに顧客情報が閲覧された可能性があるとして、被害内容や範囲などを特定する調査を続けている。

発表時点で判明しているのは、2021年5月24日から2021年6月1日にかけて、約1万件(6月3日17時時点)のユーザーIDに対応して不正アクセスがあったこと。不正アクセスを受けたユーザーIDについては調査を進め、新たな情報がわかりしだい改めて公表するとしている。

同社は、不正アクセスを受けたユーザーIDについて順次パスワードロックを実施。パスワード変更後でないと使用できないよう対策を講じた。また、不正アクセス防止の観点からも、ユーザーにパスワードを変更するよう呼びかけている。

日之出出版関連の通販サイトが不正アクセス被害

日之出出版が運営する「日之出出版公式ストア」と「Safari Lounge」が不正アクセスを受けた。ともにシステムの一部の脆弱性をついもの。2020年5月27日にクレジットカード会社からの連絡によって発覚し、同日、サイト内のクレジットカードトークン決済システムを停止した。

調査の結果、日之出出版公式ストアでは、2020年4月22日から2020年6月4日までの期間に、顧客のクレジットカード情報(1,403件)が流出。Safari Loungeでは、2020年1月9日から2020年5月29日までの期間に、顧客のクレジットカード情報(4,544件)が流出していた。流出情報の詳細はともに、クレジットカード名義人名、クレジットカード番号、有効期限、セキュリティコード。

同社は、クレジットカード取引のモニタリングを継続して実施し、顧客に対してはクレジットカードの利用明細書に不審な請求がないか確認するよう注意を呼びかけている。今後は、現行システムの改修、監視体制の強化などを行い、再発防止を図っていくとのこと。

カネダ、ランサムウエアによる不正アクセス

カネダの社内システムがランサムウエアによる不正アクセスを受けた。2021年6月2日早朝に発生し、ただちに全社システムを停止してネットワークを遮断し、感染経路や影響範囲、原因の特定などの調査を開始した。

発表時点で判明しているのは、一部のサーバーとPCがアクセス不能となったこと。それ以外の稼働可能な機器において、多くの不正アクセス痕跡を確認できたことなど。

情報流出の規模や被害状況については現在も調査中。並行してランサムウエアの影響を受けたシステムの早期復旧を進め、再発防止にも努めるとしている。

EC-CUBE 3.0系プラグインに脆弱性

JPCERT/CCは6月15日、EC-CUBE 3.0系用のプラグインに脆弱性が存在することを確認し、これを公表した。脆弱性はクロスサイトスクリプティングで、ETUNA製とイーシーキューブ製のプラグインが対象。脆弱性のあるプラグインは以下の通り。

  • ETUNA製プラグイン
  • 配送伝票番号プラグイン 1.0.10以前
  • 配送伝票番号csv一括登録プラグイン 1.0.8以前
  • 配送伝票番号メールプラグイン 1.0.8以前
  • イーシーキューブ製プラグイン
  • 帳票出力プラグイン
  • メルマガ管理プラグイン
  • カテゴリコンテンツプラグイン(EC-CUBE 3.0.0から3.0.8の環境でのみ発生)

これらの脆弱性を悪用すると、EC-CUBEにアクセスした管理者やユーザーのWebブラウザ上で任意のスクリプト実行の可能性がある。JPCERT/CCでは、これらを悪性した攻撃を確認しており注意が必要だ。

すでにプラグインの脆弱性を解消するためのアップデートは提供済み。関連するプラグインを使用している場合は早急にアップデートを行うこと。