6月15日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。
カメラのキタムラにパスワードリスト攻撃
キタムラは6月15日、同社通販サイト「カメラのキタムラネットショップ」で、なりすましによる不正アクセスが発生したことを明らかにした。
この不正アクセスは、同社以外で不正に入手したメールアドレスとパスワードを使ったパスワードリスト攻撃によるもの。2020年4月4日~5月27日にかけて、日本国外の複数のIPアドレスからアクセスを受けた。5月28日には複数名が不正ログインに成功し、顧客情報閲覧の可能性があることが判明。不正アクセスはその後も継続して行われているとのこと。
流出した情報は、顧客の氏名、フリガナ、郵便番号、住所(お届け先住所)、生年月日、電話番号、性別、メールアドレス、ニックネーム、利用店舗(最大4店)、注文履歴、保有Tポイント残高など。クレジットカード情報は保持してないので流出はない。
不正ログインされた人については、同社がログインパスワードを初期化し、メールによってパスワードの再設定を依頼。同社では、他社のサービスと同一のユーザーIDとパスワードを使わないよう注意を呼びかけている。
Google、Chromeの最新バージョン「83.0.4103.106」を公開
Googleは6月15日、Chromeの最新バージョン「83.0.4103.106」を公開した。アップデートは、Windows、macOS、Linux向けに提供する。
今回のアップデートでは、重要度「高」の脆弱性3件を含む4件の脆弱性を修正。スピーチ機能における解放後のメモリにアクセスする「Use After Free」、WebViewでのポリシーの施行が不十分、JavaScript V8でのメモリ書き込み、などに対応している。Chromeのユーザーはすみやかにアップデートをしておくこと。
肉の御嵩屋への不正アクセスでクレジットカード情報流出
肉の御嵩屋は6月17日、同社が運営する「肉の御嵩屋オンライン SHOP」が不正アクセスを受け、クレジットカード情報が流出したことを明らかにした。
今回、2020年1月22日にクレジットカード会社からクレジットカード情報流出の連絡を受け発覚。即日カード決済を停止した。調査によると、2019年11月9日~2020年1月22日の期間に商品を購入した人のクレジットカード情報が流出。一部クレジットカードの不正利用も判明した。
不正アクセスは、システムの脆弱性を突いたもの。流出件数は530件で、流出した可能性のある情報は、クレジットカード番号、有効期限、カード名義、セキュリティコード。
同社では、クレジットカードの明細に身に覚えのない請求項目がないか確認するよう促している。クレジットカードの差し替えを希望する場合は、カード再発行の手数料を負担するとのこと。オンラインショップの再開日については、決定しだいWebサイトで告知するとしている。
EC-CUBE 3.0系/4.0系にディレクトリトラバーサルの脆弱性
イーシーキューブは6月18日、ECサイト構築パッケージ「EC-CUBE」に脆弱性が存在すると発表した。対象のソフトとバージョンは以下の通り。
- EC-CUBE 3.0.0~3.0.18まで
- EC-CUBE 4.0.0 ~4.0.3まで
脆弱性はディレクトリトラバーサルで、管理画面の商品登録機能を利用して任意のパスのファイル/ディレクトリ削除の可能性があるというもの。ただし、管理画面にログインしてサーバー内のファイル/ディレクトリの削除権限を持つユーザーでなければ実行できない。
対策バージョンは提供済みなので、利用しているユーザーはバージョンアップを行うこと。また、バージョンアップする以外にも、修正用の差分ファイルの利用や、修正箇所のソースコード差分を確認し必要に応じて適用するなどで対処できる。