3月18日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。
ニュージーランドで3月15日に発生した銃乱射事件に便乗した攻撃に注意したい。この事件では、実行犯がFacebook上で犯行の様子をライブ中継。これに犯罪者が便乗し、マルウェアを拡散するメールやフィッシングメールが懸念される。また、慈善団体を装って寄付を要求する電話や詐欺メールなどが送られてくる可能性もある。
これまでも大規模な事件や災害などで同様の攻撃が確認されているので、事件に関連する「釣り」に引っかからないようにしたい。
Facebook、パスワード数億人分を読み取り可能な状態で社内保管
Facebookは3月21日、2~6億人分のパスワードが読み取り可能な状態で社内保管されていたことを発表した。対象となるサービスは、Facebook、Instagram、Facebook Liteなど。外部への公開や悪用は確認されていない。
同社のサービスでは、アカウント作成時にパスワードをハッシュ化するため、パスワードそのものが流出する可能性は低い。また、これらのパスワードに社外からアクセスすることもできないという。心配という人は、パスワードを変更したり、2要素認証を利用するなどして対策をしておくことだ。
iOSアプリ「an」にディレクトリトラバーサルの脆弱性
3月19日の時点で、パーソルキャリアのiOS用バイト探しアプリ「an」に脆弱性が確認されている。対象となるのは、an バージョン 3.2.0以前。
脆弱性はディレクトリトラバーサルで、アプリで使用されているcordova-plugin-ionic-webviewに存在する。放置すると第三者によりiOSデバイス内のファイルなどが取得され、情報が漏洩する可能性がある。使用している人は、最新版へアップデートすることで対策できる。
キョードー東京、他の人のチケット情報を誤表示
キョードー東京は3月21日、チケット販売サイト「キョードー東京チケットオンライン」で、個人情報が漏洩したことを発表した。情報漏洩は、3月16日の4時7分から8時17分の間に発生。販売サイトにログインした人の画面に、第三者の情報が誤表示された。
表示されたのは、購入者確認画面 / 完了画面で、氏名 / 電話番号 / 住所 / メールアドレス。
新規会員情報登録および会員情報変更画面では、氏名 / 氏名カナ / 電話番号 / 住所 / メールアドレス / 性別 / 生年月日 / 秘密の質問 / 秘密の質問の答え。
ログイン画面および新規会員本登録完了画面では、ログインID。その他の画面では氏名。
キョードー東京チケットオンラインはサービスを休止していたが、3月27日12時に「申し込み履歴確認」と「会員情報の変更」についてサービスを再開。なお、サービス停止期間中に、抽選結果発表や入金手続き期間を迎えている人は、サービス再開と同時に手続きできるようになる。決済期限については延長される。
Mozilla、脆弱性を修正した「Firefox 66」を公開
Firefoxの開発チームは、Webブラウザ「Firefox 66」をリリースした。今回のアップデートでは、Windows 10においてWindows Helloを利用した「FIDO2」による認証をサポートし、音声の自動再生をデフォルトでブロックする機能などの強化が行われた。
脆弱性の修正は21件。内訳は、重要度「クリティカル(Critical)」が5件、「高(High)」が7件、「中(Moderate)」が5件「低(Low)」が4件となっている。脆弱性の内容は、解放後のメモリへアクセスする「Use After Free」、JavaScript JITコンパイラ「IonMonkey」での型の取り違え、マジック値の情報漏洩によるメモリ破壊など。Firefoxを使っている人は、速やかにアップデートしておきたい。
電子手帳サービス「Lifebear」のデータベースに不正アクセス
Lifebearは3月20日、電子手帳サービス「Lifebear」のデータベースが、第三者に不正アクセスされたと発表した。無料プラン・有料プランに関わらず、Lifebearでアカウント登録を行ったすべての顧客が対象となる。
流出した情報は、ユーザー名、メールアドレス、アプリ内の設定画面「カレンダーの表示に関する設定」の設定値、パスワードを確認するため文字列(本来のパスワードが推測できない形で変換されたもの)。
同社では、不正アクセスの原因となったサーバーへの通信経路の遮断を実施。不正にアクセスされたサーバーを含め、すべての管理用パスワードをリセット。また、念のためパスワードの変更を行うように注意喚起している。
