10月5日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。
ゆうちょ銀行のmijicaサイトに不正ログイン、mijica不正利用も
ゆうちょ銀行は10月4日、mijica専用Webサイトへの不正なアクセスにより、一部のmijica会員が不正にログイン被害の可能性があると発表した。
不正ログイン人数は1,422人。調査は7月28日~30日、8月1日~4日、8月14 日~20日、9月9日~13日。これらの期間、mijica Webサイトへのログインが成功している履歴について調査を実施。画面遷移が異常に早く機械的操作による可能性が高いことから、同行では不正ログイン被害に遭った顧客のmijicaカードの利用を一時停止し、過去の利用状況を調査した上で、不審な取り引きがないかを確認するとしている。
不正取得の可能性がある情報は、mijica会員情報の氏名(漢字・カナ)と生年月日、およびカード情報のカード番号下4桁と有効期限。
今後は調査対象期間を広げ、不正ログインを確認した場合には、すみやかに同様の措置を取るとのこと。不正ログイン被害に遭った人には、損害を全額補償する。
また10月6日には、不正に入手した口座情報を利用して、mijicaカードの作成・利用の可能性について調査結果を公表。
mijicaカード申し込み後、登録した住所に届くまでのまでの間に、mijica専用Webサイトでカード番号の一部と有効期限が確認可能だったため、残りカード番号を推測して一致させれば、不正利用が行える可能性があった。
この調査によって、不正な作成・利用を3件(1件は決済未成立)を確認している。該当するmijicaカードは利用を停止した。また、9月29日以降に発行を申し込んだmijicaカードについて、顧客に届いていないmijicaカードの利用を一時的に停止している。
10月3日から当面の間、mijica専用Webサイトを停止。mijicaの新規発行も停止している。
エレコムの無線LANルータにOSコマンドインジェクションの脆弱性
エレコムは10月5日、同社製の無線LANルータに脆弱性があることを明らかにした。対象製品は以下の通り。
- WRC-2533GST2
- WRC-1900GST2
- WRC-1750GST2
- WRC-1167GST2
脆弱性はOSコマンドインジェクションで、管理画面にアクセス可能なユーザーによって、任意のOSコマンド実行の可能性がある。
すでに対策済みファームウェアが公開済みなので、対象機種を使用している場合はすみやかにファームウェアアップデートを行うこと。対策後のファームウェアバージョンは、WRC-2533GST2、WRC-1900GST2、WRC-1750GST2が「1.14以降」、WRC-1167GST2が「1.10以降」となる。
ウイルスバスター for Mac に権限昇格の脆弱性
トレンドマイクロは10月1日、「ウイルスバスター for Mac」のバージョン9.0とバージョン10.3に脆弱性があることを明らかにした(月額版含む)。
脆弱性はシンボリックリンクを悪用した権限昇格で、アクセス可能な第三者によって不正なシンボリックリンクを作成後、任意のファイルやフォルダが削除される可能性がある。
バージョン9.0には修正アップデートがないため、最新バージョンとなる11.0へのアップグレードを推奨。バージョン10.0には修正プログラムを提供済みで、適用後のバージョンは「10.0.1803」となる。2020年10月1日現在、この脆弱性を利用した攻撃は確認されていない。
通販サイト「CASAぐんま」でクレジットカード情報流出
群馬県観光物産国際協会は、同協会が運営する通販サイト「CASAぐんま」が不正アクセスを受けたことを明らかにした。システムの一部の脆弱性を突いたペイメントアプリの改ざんによるもの。
流出の経緯は、2020年6月2日にクレジットカード会社から流出懸念の連絡を受け発覚。同日「CASAぐんま」でのカード決済を停止して調査を開始した。調査の結果、2019年9月12日~2020年6月2日の期間にクレジットカードで決済をした人(決済フォームでクレジットカード情報を入力した人を含む)の情報708件が流出していた。一部については不正利用も確認済み。流出情報は、カード名義人名、クレジットカード番号、有効期限、セキュリティコード。
同社は、該当する顧客に電子メールなどで連絡を取りつつ、クレジットカードの利用明細に不審な点がないかを確認するよう呼びかけている。今後はシステムのセキュリティと監視体制を強化し、再発防止を図るとのこと。
Google、Chromeの最新バージョン「86.0.4240.75」を公開
Googleは10月6日、Chromeの最新バージョン「86.0.4240.75」を公開した。アップデートは、Windows、macOS、Linux向けに提供する。
今回のアップデートでは、「クリティカル」1件、「高」7件の脆弱性を含む35件を修正している。「クリティカル」の脆弱性は、ペイメント機能での解放後メモリ使用に関するもの。Chromeを使っている場合はすみやかにアップデートすること。
