9月18日週に発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。iPhone 8が発売され、iOSのアップデートも始まった。加えてAppleからはiTunesやSafariなどのアップデータも配布されている。Appleユーザーを狙ったフィッシングメールもあとを絶たないので、脆弱性をなくす意味でも、iTunesなどのアップデートは済ませておきたい。

Appleを騙るフィッシングメール

Appleを騙るフィッシングメールが拡散している。メールの件名は、「アラート: あなたのアカウントは一時的に無効になっています」など。フィッシングサイトは稼働と停止を繰り返すため、メールに書かれたURLは基本的にクリック/タップしないこと。特に、iPhone 8に買い替えた人は、メールに惑わされないようにしよう。

Apple製品の脆弱性に対するアップデートを提供

Appleは9月20日、Apple製品向けのアップデートを公開。影響を受けるバージョンは、iOS 11以前、Safari 11以前、tvOS 11以前、watchOS 4以前、Xcode 9以前、iTunes 12.7 以前、iTunes 12.7 for Windows以前。

サービス運用妨害(DoS)、アドレスバー偽装のほか、任意のスクリプトや任意のコードが実行される恐れがあるので、いずれも最新版へのアップデートを推奨している。

Amazonを騙る巧妙なフィッシングメール

Amazon.co.jpを騙るフィッシングメールが拡散している。メールの件名は、「注文通知:Launchpad Pro 2017年9月21日」など。Amazonでも告知しているが、たとえ未納料金があったとしても、Amazon.co.jpがメール、SMS、電話、はがきなどで商品代金の未納料金を督促することはない。メールに書かれたURLにはアクセスせず、まずAmazonのWebサイトで自分の注文履歴などを確認することをおすすめする。

「モンスト」でメールアドレスが流出

ミクシィは9月20日、同社のiOSおよびAndroid用ゲームアプリ「モンスターストライク」のメール配信において、顧客のメール情報が流出したと発表した。

現在「モンスターストライク」では、鋼の錬金術師モンストコラボ記念キャンペーンを開催中しており、事務局から「鋼の錬金術師モンストコラボ記念キャンペーン当選賞品に関して」(送信元アドレス : support@hagaren-monst-cp.jp)というメールを送信。

送信先のメールアドレスを「BCC」で送信すべきところを、「TO」で送信していたことが判明した。流出日時は9月20日13時50分頃となる。同社では同日15時10分頃に、メールを受信した当選者からの報告を受けて事象を把握した。

流出したのはメールアドレス672件と一部の氏名。今後このようなことが発生しないよう、個人情報の取り扱い、および情報セキュリティに関する社内教育、管理体制の強化に取り組み、再発を防止するとしている。

全研本社の「Allin1OFFiCE」サイトに不正アクセス

学習塾や英会話教室などの教育事業を手がける全研本社は9月11日、ネットショップ構築ホームページ制作モバイルサイト「Allin1OFFiCE」のサーバーに不正アクセスされたことを発表した。この不正アクセスにより、一部の顧客情報が流出した可能性がある。

9月11日午後6時頃、「Allin1OFFiCE」のWebサイトにサーバートラブルが発生しメンテナンスを行ったところ、9月5日に第三者による不正アクセスが判明した。流出したと思われる個人情報の第三者による不正使用の事実は確認されていないが、詳細を調査中で、調査結果が判明し次第報告を行うとしている。

9月13日19時の情報では、漏えいの可能性があるのは「利用者様のメールアドレス・電話番号・パスワード」。また、「氏名・住所・クレジット情報・ログインID」の漏えいはなかったことが判明したという。

ガス・電気料金情報Web照会サービス「myTOKYOGAS」に不正アクセス

東京ガスは22日、ガス/電気料金情報Web照会サービス「myTOKYOGAS」が不正アクセスを受け、106件の顧客情報が流出したと発表した。うち24件については、保有していた38,000円相当のポイントが不正に使用され、他社のポイントに交換されている形跡が確認されているという。

9月20日に、一部の顧客からパスワードが変更されているのではないかという連絡があり、調査したところ、9月11日以降に「リスト型攻撃」と見られる方法で合計106件の顧客アカウントに不正アクセスの疑いを確認。閲覧されたのは、氏名、ガス・電気の請求予定金額、保有ポイント数の情報。

東京ガスは現在、すべての顧客アカウントにて、他社ポイントへの交換を停止。不正なログインが疑われる106件のアカウントも一旦停止している。本件については、警視庁 / 経済産業省にも報告済みとのこと。今回の事件を受けて東京ガスは、myTOKYOGASサイトの利用者に対して、ログインパスワードを変更するようメールを送付。同時に、アクセス監視なども強化していくとしている。