2月25日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。
今週は、消防職員を騙った電話に注目したい。「サイバー」とはちょっと違うが、不安を煽ってさまざまな情報を聞き出そうとする。なんらかの理由をつけてこちらの情報を聞き出そうとしてくる場合、まず犯罪絡みを疑うことだ。
消防職員を騙る電話に注意
東京消防庁は2月以降、消防関係者を装って個人情報聞き出す電話が多発しているとして注意喚起を行った。電話の内容は、以下の通り。
- 「消防の者ですが、防災グッズを送るので家族の人数を教えてください。」
- 「防災マップを配布しますので、一緒に住んでいる人を教えてください。」
- 「消防署の者ですが、防災グッズを送るので受け取ってください。」
- 「防災グッズを無料で配布していますので、お名前と住所を教えてください。」
- 「消防署の者です。現在、一人暮らしの方へ防災グッズを無料で配布していますが、一人暮らしですか?」
電話では、防災グッズや防災マップなどを送るなどと伝え、家族の人数や同居人の有無などの個人情報を聞き出そうとする。
同庁では、管内において電話をかけ防災グッズを配布するようなことなく、名前や住所を聞くこともないので、安易に答えないよう注意を呼びかけている。
Windows 7にDLL読み込みの脆弱性
2月28日の時点で、Windows 7には、DLL読み込みの脆弱性が確認されている。Windows 7の標準DLLファイルの中には、ほかのDLLファイルを呼び出し同一のディレクトリから読み込むように作られているものが存在。細工したDLLファイルを読み込ませ、任意のコードを実行するなど悪用される可能性がある。
この脆弱性に対しては、セキュリティ更新プログラムによる修正は行われないので注意が必要。
確実な対策は、Windows 10へアップグレードすること。Windows 7は2020年1月14日に延長サポートが終了するため、いずれにしても計画的なアップグレードやPCのリプレースが必要だ。
Microsoft Teams のインストーラーに脆弱性
2月28日の時点で、グループチャットツール「Microsoft Teams」のインストーラーに脆弱性が確認されている。脆弱性はインストーラーと同一ディレクトリに存在する特定のDLLを読み込んでしまうというもの。上記、Windows 7の脆弱性と同じように、攻撃者が細工したDLLファイルを読み込ませ、任意のコードを実行するなど悪用される可能性がある。
この脆弱性に対しても、セキュリティ更新プログラムによる修正は行われないので注意が必要だ。
対策としては、インストーラー起動時に怪しいファイルが同一ディレクトリにないことを確認すること。インストーラーを読み取り専用にするなど。
PayPalを騙るフィッシングメール
2月28日の時点で、オンライン決済サービス「PayPal」を騙るフィッシングメールが確認されている。メールの件名は、「[大切] PayPal アカウントでの不審なログインアクティビティ - ケース ID#英数字」など。
PayPalでは、クレジットカードやデビットカードの番号、銀行口座番号、運転免許証番号、メールアドレス、パスワードをメールで確認することはないと告知。もしこのような情報を入力するように促された場合は、フィッシングメールとして削除することを推奨している。
2月28日時点でフィッシングサイトは稼働中。決してアカウント情報やクレジットカード情報などは入力しないように。また類似のフィッシングサイトが公開される可能性もあるので、警戒を怠らないように。
阪神タイガース、メール経由で個人情報流出
阪神タイガースは2月19日、2月13日に発生したチケット案内メールにおける個人情報誤送信についての報告をまとめた。
個人情報の誤送信は、業務委託先の送信データ編集時に人的な操作ミスが発生し、送信データのメールアドレスと顧客情報にズレが生じたもの。誤送信による流出対象は1,369アドレスで、記載されていたのは本人以外の氏名漢字、氏名カナ、電話番号。
現在は対象者に電話などで連絡を行い、今後は再発防止に取り組むとしている。