3月2日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。
JR東日本の鉄道サービス「えきねっと」で不正アクセス
JR東日本は、同社のスマートフォンアプリ「えきねっと」において、パスワードリスト攻撃による不正アクセスがあったことを明らかにした。一部会員に対して不正ログインが成功し、個人情報が流出したという。
不正アクセスは2020年3月2日17時半ごろから翌3日の12時過ぎに発生。海外の特定IPアドレスからログインの試行が行われ、3,729件が不正ログイン被害に遭った。このうち、会員情報などのページへのアクセスを13件確認。流出情報の詳細は、氏名、住所、電話番号、クレジットカードの下4桁など。
情報流出はスマートフォンアプリからのもので、Webサイト経由での攻撃は確認されていない。同社は不正アクセスが行われた会員のパスワードを強制変更して対処。これまでクレジットカード被害は確認されていないものの、えきねっとに会員登録している人は警戒しておくことだ。
厚生労働省を詐称した詐欺、攻撃メール
厚生労働省は、新型コロナウイルス感染症に関する相談窓口を設けているが、詐欺や攻撃メールに類する相談が増えているとして、注意を呼びかけている。
手口の一例は、「費用を肩代わりするので検査を受けるように」と持ちかけて個人情報を聞き出そうとするもの、予防策を知らせるとした攻撃メールなどがある。情報処理推進機構(IPA)が公開している攻撃メールの例では、「通知」と称する添付ファイルを開かせようとしていた。この添付ファイルは、悪意あるマクロを仕込んだWordファイルだ。
すでに「マスクを配る」という釣り文句を使ったフィッシングメールも確認されており、今後も増加することが予想される。それらしいメールを受け取っても、メール本文のURLをクリックしたり、添付ファイルを開いたりせず、十分に情報収集したうえで対処してほしい。
Google、Chromeの最新バージョン「80.0.3987.132」を公開
Googleは3月3日、Webブラウザ「Chrome」の最新バージョンとなる「80.0.3987.132」を公開した。アップデートは、Windows、macOS、Linux向けに提供される。
今回のアップデートでは、セキュリティ関連4件を修正。「高(High)」に分類される脆弱性として、メディアでのポリシー施行が不十分な問題を修正している。Chromeを使っているユーザーは、すみやかにアップデートすること。
業務用タピオカ通販サイトが不正アクセス被害
タピオカエキスプレスは3月4日、同社が運営する通販サイト「タピオカエキスプレス」が不正アクセス被害を受けていたことを明らかにした。システムの一部の脆弱性を突いたペイメントアプリケーションの改ざんによるものだ。
この不正アクセスにより、顧客のクレジットカード情報623件が流出した。2019年10月31日に、クレジットカード情報の流出懸念について連絡を受け発覚。サイト移転のタイミングが重なったこともあり、サイトでのカード決済は10月21日に停止していた。
情調査の結果、報流出期間は2019年9月17日~2019年10月21日で、商品を購入した人のクレジットカード情報が流出。流出情報は、カード名義人名、クレジットカード番号、セキュリティコード、有効期限、決済トークン。一部のクレジットカードは不正利用も確認済み。
なお、2019年10月21日から運営を開始している移転後のサイト「タピオカ卸専門店タピオカエキスプレス」における情報漏洩はない。
IoTゲートウェイ機器「OpenBlocks IoT VX2」に複数の脆弱性
ぷらっとホームは3月2日、Windows搭載エッジコンピューティングIoTゲートウェイ「OpenBlocks IoT VX2」のファームウェア「Ver.4.0.0」をリリースした。Ver.4.0.0より前のバージョン(Ver.3系)に存在した脆弱性を解消している。
脆弱性はOSコマンドインジェクションと認証不備で、root権限で任意のOSコマンドの実行や、認証を回避して機器を初期化するといったことが可能になるという。ファームウェア「Ver.4.0.0」では、脆弱性への対応だけでなく、メジャーアップデートとして機能も追加している。