1月27日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

  • 先週のサイバー事件簿

NECの防衛事業部門に不正アクセス

日本電気(NEC)は1月31日、同社の防衛事業部門で利用している社内サーバーの一部が、第三者による不正アクセスを受けたと発表した。調査の結果、情報流出による被害は確認されていない。

不正アクセスは2016年12月以降に行われており、セキュリティ企業の脅威レポートに記載された通信パターンの発生有無を確認したところ、社内PCからの不正通信を確認。当該PCを隔離・遮断し、調査していた。

2018年7月には、外部サーバーと不正通信をしていた暗号化通信の解読に成功。NECの防衛事業部門で利用しているサーバー(他部門との情報共有用)のファイルに対する、不正アクセスの存在が明らかになった。不正アクセスされたファイルは27,445件に上ると見られている。

NECによると、これらのファイルには秘密情報や個人情報は含まれていない。ファイルに関連する顧客に対しては、2018年7月以降個別に状況を説明しているという。

Apple、macOSやiCloudなどのアップデートを公開

Appleは1月29日、macOSやiOSなどのアップデートを公開した。各製品における脆弱性を修正している。対象製品は以下の通り。

  • macOS Catalina 10.15.3 より前のバージョン
  • macOS Mojave 10.14.6(Security Update 2020-001 未適用)
  • macOS High Sierra 10.13.6(Security Update 2020-001 未適用)
  • iOS 13.3.1 より前のバージョン
  • iPadOS 13.3.1 より前のバージョン
  • Safari 13.0.5 より前のバージョン
  • tvOS 13.3.1 より前のバージョン
  • iTunes 12.10.4 for Windows より前のバージョン
  • watchOS 6.1.2 より前のバージョン
  • iCloud for Windows 10.9.2 より前のバージョン
  • iCloud for Windows 7.17 より前のバージョン

脆弱性は製品によって異なるが、情報漏えい、情報の改ざん、任意のコード実行、サービス運用妨害(DoS)、権限昇格、認証回避、メモリ破損、アクセス制限不備、ヒープ領域破損などが含まれる。

「MyPallete」で作成したバンキングアプリに脆弱性

NTTデータは1月28日、Androidアプリ「MyPallete」と、MyPalleteを用いて作成されたバンキングアプリの一部に脆弱性があることを明らかにした。該当するバンキングアプリは以下の通り。

  • あしぎんアプリ バージョン 1.0.4 およびそれ以前
  • 池田泉州銀行バンキングアプリ バージョン 3.0.4 およびそれ以前
  • 四国銀行アプリ バージョン 2.0.1 およびそれ以前
  • とうぎんアプリ バージョン 1.0.1 およびそれ以前
  • ながぎんアプリ バージョン 1.0.1 およびそれ以前
  • 七十七銀行アプリ バージョン 2.0.1 およびそれ以前
  • どうぎんアプリ バージョン 3.0.1 およびそれ以前
  • 北陸銀行ポータルアプリ バージョン 2.0.1 およびそれ以前

脆弱性は、SSLサーバー証明書の検証不備と、ホストの不一致による証明書の不適切な検証に起因するもの。悪意を持って設置されたWi-Fiアクセスポイントなどを介して当該バンキングアプリを利用した場合、通信内容の盗聴や改ざんが行われる可能性があるという。

1月28日時点で最新バージョンが公開されており、脆弱性は修正されている。該当アプリを使用している場合は早急にアップデートすること。なお、パスワードや暗証番号といった認証情報は影響を受けず、iOS版アプリにも影響はないとしている。

Firefoxの脆弱性を突いた攻撃を国内で確認

1月27日の時点で、Webブラウザ「Firefox」の脆弱性を悪用した攻撃が国内で確認されている。対象のバージョンは以下の通り。

  • Firefox 72.0.1 より前のバージョン
  • Firefox ESR 68.4.1 より前のバージョン

この脆弱性は、2020年1月8日(米国時間)にMozillaが情報を公開したもの。脆弱性はJITコンパイラ「IonMonkey」における型の混同で、リモート攻撃によって任意のコードが実行される可能性がある。

Firefoxは、1月7日にバージョン「72」にアップデートしたばかりだったが、悪用の事実が確認されたことをうけ、1月8日に「Firefox 72.0.1」と「Firefox ESR 68.4.1」を公開した。WebブラウザにFirefoxを使っている人は、すみやかにアップデートしてほしい。

ビジネスメール詐欺でアメリカの学校運営組織が230万ドルの被害

トレンドマイクロのセキュリティブログによると、2019年11月から12月にかけて、米テキサス州マナー市の独立学区「Manor Independent School District(MISD)」にてビジネスメール詐欺が発生している。

今回の詐欺では、同学区と取引先のやりとりを偽装したメールが使われた。攻撃者は、同学区内の複数の担当者を狙い、送金を促す偽装メールを送信。メールを受信した担当者は、送金先の銀行口座が今まで使用していたものと違うことに気づかず、偽装メールの指示通りに送金してしまっていた。被害額は推定230万米ドル(日本円で約2億5,300万円)におよぶ。

最近では、学校や地方政府機関がサイバー攻撃の標的となることが増えている。被害も拡大しており、全世界における累計被害総額は3年で262億米ドル以上(日本円で約2兆8,500億円)と言われている。日本の組織が狙われる可能性も十分に考えられるため、メールの扱いには常に注意しておきたい。