6月24日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

  • 先週のサイバー事件簿

東京ディズニーリゾートの撮影サービスで写真データが流出

オリエンタルランドは6月26日、保有する顧客の写真データの一部が、本人以外にも閲覧できる状態だったことを発表した。

閲覧できる状態の写真データは、6月7日から6月24日の期間に、東京ディズニーリゾート内でキャストからフォトキーカードを受け取った人のフォトキーカードのもの。フォトキーカードには、撮影した写真データにアクセスするため16桁のアクセスナンバーが記載されている。このアクセスナンバーが、ミスにより重複してしまったという。

重複したアクセスナンバーのフォトキーカードで最初に「東京ディズニーリゾート・オンラインフォト」へログインすると、本人以外の写真が閲覧できる状態だった。

アクセスナンバーが重複していたフォトキーカードは7,438枚で、そのうち1,549枚のフォトキーカードの写真データが閲覧された。重複したアクセスナンバーをもつフォトキーカードは、6月22日から6月24日まで配布されたもの。6月24日の時点で閲覧できない状態に修正されている。

OneDrive上に作成された「OneDrive」悪用フィッシングサイト

6月27日の時点で、マイクロソフトのクラウドストレージサービス「OneDrive」を悪用したフィッシングメールが確認されている。メール本文では、OneDriveの保存領域が不足している、またはアカウントが閉鎖されるなどと煽り、フィッシングサイトへ誘導。

注意すべき点は、誘導先の入力フォームが「OneDrive」上に作成されていること。このため、正規のものと勘違いしやすく、情報を入力してしまう場合があるという。

OneDriveを悪用して認証情報を窃取する攻撃は多数確認されているので、メールのリンクをクリックしないことが一番だ。ただそうもいかない場面はあると思うので、ブラウザでIDやパスワードなどの重要な情報を入力する画面が表示されたら警戒することだ。

ひかり電話ルータ/ホームゲートウェイにおける複数の脆弱性

東日本電信電話と西日本電信電話は6月27日、両社が提供する一部の「ひかり電話ルータ/ホームゲートウェイ」のWeb設定画面に脆弱性が存在することを発表した。該当製品は以下の通り。

  • PR-S300NE/RT-S300NE/RV-S340NE ファームウェア「Ver. 19.41」以前
  • PR-S300HI/RT-S300HI/RV-S340HI ファームウェア「Ver.19.01.0005」以前
  • PR-S300SE/RT-S300SE/RV-S340SE ファームウェア「Ver.19.40」以前
  • PR-400NE/RT-400NE/RV-440NE ファームウェア「Ver.7.42」以前
  • PR-400KI/RT-400KI/RV-440KI ファームウェア「Ver.07.00.1010」以前
  • PR-400MI/RT-400MI/RV-440MI ファームウェア「Ver. 07.00.1012」以前
  • PR-500KI/RT-500KI ファームウェア「Ver.01.00.0090」以前
  • RS-500KI ファームウェア「Ver.01.00.0070」以前
  • PR-500MI/RT-500MI ファームウェア「Ver.01.01.0014」以前
  • RS-500MI ファームウェア「Ver.03.01.0019」以前

脆弱性は、クロスサイトスクリプティング、クロスサイトリクエストフォージェリで、ひかり電話ルータ/ホームゲートウェイの一部の設定画面において存在する。この脆弱性により、偽の入力フォームに入力した情報が攻撃者に送信される可能性がある。

対策は、ひかり電話対応機器の前面に記載されている機種名を確認し、該当するようであればファームウェアを最新版にアップデートすること。

運営が終了している通販サイト「見波亭」で不正アクセスが発覚

富洋観光開発は6月24日、同社運営の旧通販サイト「見波亭」において、クレジットカード情報を含む個人情報が流出していたことを発表した。

事件は、2018年4月17日にクレジットカード決済代行会社から、個人情報が流出している可能性があるとの指摘を受け発覚。調査の結果、2016年10月31日に運営を終了した旧通販サイトにおいて、不正アクセスの疑いがあることと、クレジットカード情報などが流出した可能性があることが判明した。

流出した期間は2015年2月5日~2016年10月31日で、旧通販サイトでクレジットカード決済を利用した人が対象となる。流出件数は289件。流出した可能性のある情報は、氏名(カード名義人名)、クレジットカード番号、有効期限。

事件発覚後、カード情報が流出した可能性のある顧客には郵送とメールにて連絡。現在は、専用コールセンターを設置し、カード会社に不正利用が行われていないかのモニタリングを依頼しているとのこと。

仮想通貨「Monero」を発掘するマルウェアが中国を標的に拡散中

トレンドマイクロのセキュリティブログによると、仮想通貨「Monero」を発掘するマルウェア拡散のために、難読化されたPowerShellスクリプト「PCASTLE」を利用した攻撃が確認されている。

この攻撃は5月17日に確認され、5日後の5月22日にピークに達し、6月5日時点で収束する気配がなかったという。この攻撃は主に中国のシステムを狙っている。以前の活動では、中国以外にも日本、オーストラリア、台湾、ベトナム、香港、インドなど他の国々でも拡散していたので注意が必要だ。

今回確認された活動は、仮想通貨発掘マルウェアを複数の方法で拡散するもの。拡散方法は、SMBの脆弱性を悪用した「EternalBlue」の使用、システムに対する辞書攻撃、Pass-the-Hash攻撃、ペイロードのダウンロードなど。

防御する手段は、第一にシステムをチェックして最新バージョンにすること。今回の攻撃でも、すでに修正されている脆弱性が利用されており、アップデートしていないシステムが狙われる。次に、システム管理ツールを使用できる人を制限すること。認証情報を複雑化することで辞書攻撃などは防御可能だ。