9月28日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。
Hulu、パスワードリスト攻撃でアカウント情報流出
Huluの一部アカウントが外部から攻撃を受け、第三者による不正ログイン施行が行われている。アカウント情報の流出ではなく、パスワードリスト攻撃によるもの。9月23日に779件、9月26日に18件、10月1日に1件を確認している。
この不正ログイン施行により、登録しているHuluアカウントにアクセスしての動画閲覧や、マイリスト(お気に入り、視聴履歴)情報閲覧の可能性があるという。
アカウントページ閲覧の可能性もあり、eメールアドレス、名前、加入年月日、アカウントに接続した機器一覧、プロフィール情報(名前、生年月日、性別)、登録支払い情報の一部(設定している支払い方法、請求日)など、Huluストア登録の支払い情報が流出した可能性もあるとしている。
ただし、クレジットカード情報や各種支払い方法のIDとパスワードなどは、同社で保持していないため、閲覧被害はない。
Huluは、アクセス元IPアドレスからのアクセス制限を実施し、不正アクセスを確認した779件に対してパスワード強制リセットを行った。対象アカウントで登録済みのメールアドレスには注意を促すメールを送信している。Huluに入会している場合、パスワード変更をおすすめしたい。
UQモバイル、指定信用情報機関への信用情報の誤登録
UQモバイルは9月28日、個別信用購入あっせん契約/割賦販売契約を契約した人の契約に関する登録情報に誤りがあることを明らかにした。
同社はこれらの情報を指定信用情報機関のシー・アイ・シー(以下、CIC)に報告しているが、システムの不具合によって一部の顧客内容に誤りがあることが判明。誤った情報の登録期間は、2018年1月~2020年9月。これにより毎月の割賦代金を指定の期日までに支払えなかった場合、CICに加盟している会員会社の与信判断に影響が生じた可能性があるという。与信判断で影響が生じた可能性がある人数は最大で12,176名。
UQモバイルはでは、本件で影響のある可能性のある人に対して、9月29日に書面を発送。現在は誤った登録情報を修正し、正しい内容が登録済みとなっている。
東映ビデオ、クレジットカード情報約1万人分が流出か
東映ビデオは9月30日、同社が運営する「東映ビデオ オンラインショップ」が不正アクセスを受けたことを明らかにした。
今回の不正アクセスは、5月11日に決済代行会社から連絡を受け発覚。ただちに全サービスを停止して調査したところ、システムの一部の脆弱性をついた不正アクセスを示す形跡を確認した。ただし、クレジットカード情報の不正取得につながる改ざんや、不正プログラムなどは見つからなかったという。
クレジットカード情報が流出した可能性はある。件数は、2019年5月27日から2020年5月11日までの期間に、クレジットカードで決済した人最大10,395件(10,021名)。漏えいした可能性があるのは、クレジットカード名義人名、クレジットカード番号、有効期限、セキュリティコード。
今回の一件で公表が遅れたのは、カード情報の漏えい有無についてカード会社と見解の相違があったとのこと。不確定情報の公開は混乱を招く恐れがあり、被害を最小限に食い止める準備を整えてからの告知が最善と判断したものだった。
今後の対策は、現行システムを破棄し、サーバーを含めてシステムを移行。監視体制の強化を行うとしている。
BTCBOXを騙るフィッシング広告
9月28日の時点で、BTCBOXを騙る偽広告を確認している。偽広告記載の「ログインはこちら」のリンクをクリックすると、フィッシングサイトへ飛んでしまうので注意が必要だ。
Webサイトで個人情報を入力するときは、細心の注意を払うこと。メールアドレス、ログインパスワード、Google 2段階認証、携帯の認証コードなどはうかつに入力しないように。自分が会員になっているサイトにログインする必要がある場合は、PCではブラウザのブックマークから(またはGoogleの検索結果から)、スマートフォンでは公式アプリなどを使ってアクセスするようにしてほしい。
9月28日の時点でフィッシングサイトは稼働中。類似のフィッシングサイト公開の可能性もあるので、警戒を怠らないことだ。
Apple、同社製品の脆弱性を解消するアップデートを公開
Appleは9月24日、iOSやmacOSなど複数製品のアップデートを公開した。対象製品とバージョンは以下の通り。
- tvOS 14.0 より前のバージョン
- watchOS 7.0 より前のバージョン
- Safari 14.0 より前のバージョン
- Xcode 12.0 より前のバージョン
- iOS 14.0 より前のバージョン
- iPadOS 14.0 より前のバージョン
- iCloud for Windows 11.4 より前のバージョン
- macOS Catalina 10.15.7 より前のバージョン
- macOS High Sierra(Security Update 2020-005 未適用)
- macOS Mojave(Security Update 2020-005 未適用)
- iCloud for Windows 7.21 より前のバージョン
今回のアップデートで修正した脆弱性は、任意のコード実行、サービス運用妨害(DoS)、認証不備、アクセス制限不備、情報漏えい、任意のスクリプト実行など。