9月7日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

  • 先週のサイバー事件簿

ドコモ口座の不正な口座登録で被害拡大

キャッシュレス決済などに利用できる、NTTドコモが提供する「ドコモ口座」において、銀行口座の預金がドコモ口座へ不正に移動される被害が拡大を見せている。

ドコモ口座は誰でも開設でき、任意の銀行口座とひも付けることで、その銀行口座からドコモ口座へと残高チャージなどが可能。今回の被害の犯人は、不正に入手した他人名義の銀行口座の情報を使って、犯人が開設したドコモ口座に他人の銀行口座を新たに関連付け、他人の銀行口座の預金を犯人のドコモ口座へ移動したと見られている。より詳しくは以下の記事を参照のこと。

■「ドコモ口座」不正利用でドコモが謝罪、問題点を整理する
■「ドコモ口座」不正利用、被害総額は2,542万円に - ドコモが最新の被害状況を説明

9月15日0時の時点で被害総額は2,676万円にのぼり、NTTドコモは全額を保証すると発表している。9月15日時点では、ドコモ口座に関する手続きとして以下を停止中だ。

  • すべての提携銀行における銀行口座登録
  • すべての提携銀行における銀行口座変更
  • 一部銀行におけるチャージ

今回の事件に関わる金融機関(35銀行)は以下の通り。これらの銀行に口座を設けている人は、身に覚えがない出金がないかどうか、過去にもさかのぼって確認してほしい。

みずほ銀行、三井住友銀行、ゆうちょ銀行、イオン銀行、伊予銀行、池田泉州銀行、愛媛銀行、大分銀行、大垣共立銀行、紀陽銀行、京都銀行、滋賀銀行、静岡銀行、七十七銀行、十六銀行、スルガ銀行、仙台銀行、ソニー銀行、但馬銀行、第三銀行、千葉銀行、千葉興業銀行、中国銀行、東邦銀行、鳥取銀行、南都銀行、西日本シティ銀行、八十二銀行、肥後銀行、百十四銀行、広島銀行、福岡銀行、北洋銀行、みちのく銀行、琉球銀行

また、以下の銀行ではドコモ口座へのチャージを停止している(9月15日時点)。

ゆうちょ銀行、イオン銀行、池田泉州銀行、伊予銀行、愛媛銀行、大分銀行、大垣共立銀行、紀陽銀行、京都銀行、滋賀銀行、静岡銀行、七十七銀行、十六銀行、仙台銀行、第三銀行、但馬銀行、千葉銀行、千葉興業銀行、中国銀行、東邦銀行、鳥取銀行、南都銀行、広島銀行、百十四銀行、北洋銀行、みちのく銀行、琉球銀行

マイクロソフト、9月のセキュリティ更新プログラムをリリース

マイクロソフトは9月9日、9月のセキュリティ更新プログラムを公開した。対象ソフトは以下の通り。

  • Microsoft Windows
  • Microsoft Edge(EdgeHTML-based)
  • Microsoft Edge(Chromium -based)
  • ChakraCore
  • Internet Explorer
  • SQL Server
  • Microsoft JET Database Engine
  • Microsoft Office、Microsoft Office Servers および Web Apps
  • Microsoft Dynamics
  • Visual Studio
  • Microsoft Exchange Server
  • Microsoft Malware Protection Engine
  • SQL Server
  • ASP.NET
  • Microsoft OneDrive
  • Azure DevOps

※Microsoft Edge(Chromium-based)の更新プログラムは8月31日に公開済み。

脆弱性についてのセキュリティ更新プログラムは、緊急9件、重要2件、警告1件。修正内容はリモートでのコード実行、セキュリティ機能のバイパスを含む、など。ほかにも、既存の脆弱性情報1件を更新している。今月の「悪意のあるソフトウェアの削除ツール」では、Win32/Ammyrat、Cipduk、Badaxis、Basicape、Mackler、Strilixに対する定義ファイルを追加した。

注意点は、UACが有効になっているサーバー上で、Exchange向けの更新プログラムを標準モード(管理者権限ではなく)で手動インストールした際に、いくつかのファイルが正しく更新されず、OWAやECPが正常に動作しない可能性があること。このため、管理者権限で更新プログラムをインストールすることを推奨している。

また、いくつかの製品はサポートが終了する点にも注意が必要。2020年10月13日には、Office 2010、Office 2010 for Macのサポートが終了。これにより、Microsoft 365への接続は、Microsoft 365 AppsやOffice 2016・2019のみが対象となる。Windows 10 Version 1803のEnterprise / Education / IoT Enterpriseエディションについては、サービス終了日が2021年5月11日に延期となった。

Microsoft Edge(EdgeHTML-based)とInternet Explorerに対して行う予定だったTLS 1.0/1.1の既定での無効化措置は、2021年春に変更。Windows 10向けの累積的な更新プログラムでは、WSUSにおけるスキャン動作を変更している。

ヨドバシカメラのAndroidアプリに脆弱性

ヨドバシカメラが提供しているAndroid用アプリ「ヨドバシ」に脆弱性が見つかった。対象のバージョンは以下の通り。

  • ヨドバシ(Androidアプリ)バージョン 1.8.7 およびそれ以前

脆弱性はアクセス制限不備で、任意のアプリを経由してほかのURLへと誘導される可能性がある。フィッシングサイトへの誘導に使われることもあり得るので注意が必要だ。

すでに対策済みバージョンが提供済みなので、アプリをインストールしている人は早急にアップデートすること。

犬猫用の関連グッズ通販サイトでクレジットカード情報が流出

安立屋は9月4日、同社が運営する通販サイトが不正アクセスを受けたことを明らかにした。クレジットカード情報を含む顧客情報が流出している。

不正アクセスは、サイトの脆弱性を突いた偽の決済フォーム設置によるもの。2020年5月14日にクレジットカード会社からの連絡を受け発覚し、同日クレジットカードによる決済を停止した。

調査の結果、2019年8月8日から2020年6月16日にかけてクレジットカード決済を行った57名分の情報が流出。一部は不正利用も確認済み。流出情報の詳細は、カード名義人名、クレジットカード番号、有効期限、セキュリティコード。

安立屋は、該当する人に対して個別に連絡を取り対応。クレジットカード会社と連携してモニタリングを行うとともに、利用者に対してクレジットカード明細に不審な請求がないかの確認をするよう呼びかけている。

Google、Chromeの最新バージョン「85.0.4183.102」を公開

Googleは9月8日、Chromeの最新バージョン「85.0.4183.102」を公開した。アップデートは、Windows、macOS、Linux向けに提供する。

今回のアップデートでは、「高」の脆弱性5件を修正。脆弱性は、インストーラーやネットワーキングでのポリシー施行が不十分なこと、ビデオやオフスクリーンでのメモリの解放後使用、など。