12月13日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

  • 先週のサイバー事件簿

2段階認証を破るフィッシングが急増-年末にかけてより警戒を-

金融機関の個人口座情報を狙うフィッシングメール・SMSを併用した、新しい手口の情報窃取・金品搾取が確認されている。最近は2段階認証を導入した金融機関が増え、不正アクセスや不正送金の被害は沈静化していたが、2019年の夏以降、再び被害件数が急増。フィッシングサイトを仕込む側が、2段階認証を突破するようになってきた。

新しい手口においても、フィッシングサイトへの誘導は従来通り。一例として、偽SMSでフィッシングサイトへ誘導してIDとパスワードを盗み、そのIDとパスワードを使って正規サイトへ不正ログイン。さらに正規ユーザーに届く2段階認証用のコードも偽サイトを使って盗んで、不正送金を完了させる。

金融機関から届くメールやSMS(特に不安を感じさせるような文面)は、すべて偽物と思ったほうがよいのかもしれない。基本のセキュリティ対策として、各金融機関の専用アプリを使ったり、Webブラウザから正規のWebサイトへ訪れるといった行動を取るようにしたいものだ。

また、独立行政法人 国民生活センターの注意喚起(PDF)「携帯電話会社をかたる偽SMSにご注意!‐あなたのキャリア決済が狙われています‐」も一読しておくとよい。

リース契約満了で返却したHDDから情報流出

すでに見聞きしている人は多いと思うが、今一度まとめておこう。神奈川県は12月7日、富士通リース横浜支店とのリース契約満了に伴って返却したサーバーから、県のHDDが盗まれていたことを明らかにした。

「県の情報と思われる電子データを持っている」という連絡を受け発覚。このデータを確認したところ、本物であった。確認されたデータは、総務局、環境農政局、保健福祉局、県民局、県土整備局、教育局といった公開情報や内部資料など。一部、個人情報と重要情報も含まれていた。

情報提供者によると、これらのデータはオークションサイトで落札した中古のHDD(合計9台)に含まれていたもの。入手したHDDにデータ復元ソフトを使用したところ、一部のデータが復元されたという。このHDDのシリアルナンバーが、富士通リース横浜支店に返却したものと一致したことから、HDDが外部に流出していたことが分かった。

富士通リースの調査によると、データ消去を委託しているブロードリンク社の社員1名が、データ消去前に18台のHDDを盗んでオークションサイトに出品していた。出品したHDDはすべて落札されている。

9台のHDDか回収されたものの、残り9台の行方は不明のまま(2019年12月5日時点)。神奈川県が被害届を出したことで、今後の調査は警察にゆだねられる。実被害は確認されていないとのことだが、不審な情報や確認したいことがある場合は、専用ダイヤルも問い合わせるとよいだろう。詳細は神奈川県のWebサイト「(情報システム課からのお知らせ)リース契約満了により返却したハードディスクの盗難について」を参照のこと。

マイクロソフト、12月のセキュリティ更新プログラムをリリース

マイクロソフトは12月11日、12月のセキュリティ更新プログラムを公開した。対象ソフトは以下の通り。

  • Microsoft Windows
  • Internet Explorer
  • Microsoft Office、Microsoft Office Servers および Web Apps
  • SQL Server
  • Visual Studio
  • Skype for Business

脆弱性についてのセキュリティ更新プログラムは、緊急4件、重要4件。修正内容はリモートでコードが実行される、情報漏えい、なりすましが含まれる。

新規のセキュリティアドバイザリ1件の公開、既存の脆弱性情報3件の更新も実施。今月の「悪意のあるソフトウェアの削除ツール」に新たな更新はない。

Apple、iOSやmacOSを含めたアップデートをリリース

Appleは12月11日、iOSやmacOSなど複数製品のアップデートを公開した。対象製品とバージョンは以下の通り。

  • iOS 13.3 より前のバージョン
  • iOS 12.4.4 より前のバージョン
  • iPadOS 13.3 より前のバージョン
  • macOS Catalina 10.15.2 より前のバージョン
  • macOS Mojave 10.14.6(Security Update 2019-002 未適用)
  • macOS High Sierra 10.13.6(Security Update 2019-007 未適用)
  • watchOS 6.1.1 より前のバージョン
  • watchOS 5.3.4 より前のバージョン
  • tvOS 13.3 より前のバージョン
  • Safari 13.0.4 より前のバージョン
  • Xcode 11.3 より前のバージョン
  • iTunes 12.10.3 for Windows より前のバージョン
  • iCloud for Windows 7.16(includes AAS 8.2)より前のバージョン
  • iCloud for Windows 10.9 より前のバージョン

今回のアップデートにより修正された脆弱性は、情報漏えい、情報の改ざん、任意のコード実行、サービス運用妨害、権限昇格、認証回避など。とにかく種類が多いので、1つ1つ確認しながらアップデートしていくことだ。

みずほ銀行を騙るフィッシングメールに注意

12月10日の時点で、みずほ銀行を騙るフィッシングメールが確認されている。メールの件名は以下の通り。

  • [重要]みずほ銀行からのご連絡
  • みずほ銀行からの重要なお知らせ(必ずご確認ください)

メールは、みずほダイレクト[インターネットバンキング]の偽サイトへ誘導し、情報を搾取しようとするもの。メールをよく読むと日本語がおかしい部分が多々あるので、記載されているリンクは絶対にクリックしないこと。

12月11日14:00の時点でフィッシングサイトは稼働していないが、類似のサイトが公開される可能性もあるので警戒を怠らないようにしたい。

洋菓子サイトでクレジットカード情報が流出

プレジィールは12月11日、同社が運営する洋菓子を取り扱う「グラマシーニューヨークオンラインショップ」が不正アクセスを受け、個人情報が流出したことを明らかにした。

不正アクセスはシステムの一部脆弱性をついたもの。2018年10月31日~2019年6月14日の期間中、同サイトでクレジットカード決済を行った人の情報が流出している。流出件数は3,312名分。流出した情報は、カード名義人名、クレジットカード番号、有効期限、セキュリティコード。

同社では、情報が流出した可能性のある人に電子メールにて連絡を行い、不正利用されていないか明細を確認するよう呼びかけている。