10月12日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

  • 先週のサイバー事件簿

2回目の特別定額給付金を騙るフィッシングメール

10月15日の時点で、特別定額給付金に関するフィッシングメールが拡散している。メールの件名は以下の通り。

  • 二回目特別定額給付金の特設サイトを開設しました。

メールの内容は、新型コロナウイルス対策として話題に上っている2回目の特別定額給付金について。簡単な仕組みで迅速に支援を行うためと偽り、フィッシングサイトへ誘導しようとする。

2回目の特別定額給付金については、自民党の有志などが政府に要望書を提出したが、麻生財務相などは否定的な見解を述べている。

似たようなメールを受信してもうのみにせず、信頼できる報道機関の情報を確認してほしい。10月15日10:00現在、フィッシングサイトは稼働中。類似のフィッシングサイト公開の可能性もあるので、おいしい話にだまされないように注意したい。

マイクロソフト、10月のセキュリティ更新プログラムをリリース

マイクロソフトは10月13日、10月のセキュリティ更新プログラムを公開した。対象ソフトは以下の通り。

  • Microsoft Windows
  • Microsoft Office、Microsoft Office Servers および Web Apps
  • Microsoft JET Database Engine
  • Azure Functions
  • Open Source Software
  • Microsoft Exchange Server
  • Visual Studio
  • PowerShellGet
  • Microsoft .NET Framework
  • Microsoft Dynamics
  • Adobe Flash Player
  • Microsoft Windows Codecs Library

脆弱性についてのセキュリティ更新プログラムは、緊急6件、重要4件。修正内容はリモートでのコード実行、情報漏えい、特権の昇格、など。ほかにも、既存の脆弱性情報3件を更新している。

10月15日には、定例外でのセキュリティアップデートも実施。重要2件を修正している。

修正した脆弱性の1つは、細工済みの画像ファイルを開くと、リモートで任意のコード実行の可能性があるというもの。Microsoft Storeのオプション「HEVC」コーデックをインストールしている場合に影響がある。

もう1つは、Visual Studio Codeにリモートでコード実行の可能性があるというもの。細工済みのpackage.jsonファイルを開くと影響を受ける。

ソフトバンク、配送業者などを装った不審メールへの注意を呼びかけ

ソフトバンクは10月5日、配送業者などを装った身に覚えのないメールやSMSが届く事例に対して注意を呼びかけた。

これらのメールやSMSに書かれているURLにアクセスし表示の指示に従うと、偽アプリのインストールが行われるという。この偽アプリはWebブラウザのGoogle Chromeにそっくりで、本物と見分けがつかないので注意が必要。インストールしてしまうと、不審なポップアップメッセージが現れたり、意図しないSMSが送信されたりする可能性があるとしている。

メールやSNSに書かれたURLはすぐにクリック(タップ)せず、別途Webブラウザを立ち上げて確認する習慣を付けたい。

青山学院購買会通販サイトでクレジットカード情報が流出

アイビー・シー・エスは10月7日、同社が運営する「青山学院購買会通販サイト」が不正アクセスを受けたことを明らかにした。

不正アクセスは、2020年5月12日にクレジットカード会社からの連絡を受け発覚。同日「青山学院購買会通販サイト」での商品販売を停止した。調査の結果、個人情報については「青山学院購買会通販サイト」への不正アクセスから流出。クレジットカード情報はペイメントアプリの改ざんによって流出していた。

流出期間は2015年6月2日~2020年9月16日で、会員登録をした、または商品の注文をした人の個人情報に不正アクセスが可能だったという。このうち、2019年6月25日~2020年5月12日の期間においては、一部顧客のクレジットカード情報も流出。不正利用による被害も発生した。

流出件数は、個人情報が最大7,808件、クレジットカード情報が最大519件。流出情報の詳細は、個人情報は氏名、会社名、住所、メールアドレス、電話番号、FAX番号、性別、職業、生年月日など。クレジットカード情報は、カード名義人名、クレジットカード番号、有効期限、セキュリティコードとなる。

同社は被害に遭った顧客と連絡を取りつつ、利用明細に不審な点がないかをチェックするよう呼びかけている。今後は、既存サイトを閉鎖し、セキュリティが強固なプラットフォームを使用した新サイトで運営を再開する予定。

Kasetusya ONLINE SHOPでクレジットカード情報流出

仮説社は10月15日、同社が運営する教育通販サイト「Kasetusya ONLINE SHOP」が第三者からの不正アクセスを受け、個人情報が流出したことを明らかにした。不正アクセスは、ホームページの内容が外部から書き換え可能になっていたことが原因としている。

経緯は、2020年7月10日にクレジットカード会社からの連絡を受け発覚。クレジットカード情報が漏えいしている可能性があることから、同日クレジットカードでの決済を停止して調査を開始した。

調査の結果、2019年9月3日~2020年7月10日の期間に、Kasetusya ONLINE SHOPでクレジットカード情報入力画面にカード情報を入力していた人の1,128名分が流出していた。流出した可能性のある情報は、カード会員氏名、カード番号、カード有効期限、セキュリティコード。クレジットカードの不正利用の疑いも確認している。

同社は該当する人にメールで連絡を取りつつ、クレジットカードの利用明細に不審な点がないか確認するよう注意を呼びかけている。今後の対策として、システムのセキュリティ対策と監視体制を強化し、再発防止を図っていくとのこと。クレジットカードでの決済は、システムの安全性が確認できしだい再開する予定。