10月19日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

  • 先週のサイバー事件簿

公式を模した偽通販サイトを複数確認

消費者庁は、実在の通信販売サイトを騙る偽サイトに注意するよう呼びかけている。

令和2年の夏以降、家電・家具・生活雑貨などの通信販売サイトで商品を注文して代金を支払ったにもかかわらず、商品が届かないなどの相談が各地の消費生活センターなどに寄せられている。調査の結果、実在の通信販売サイトを騙った偽サイトの存在を確認した。消費者庁が確認した偽通信販売サイトは今のところ3カ所だ。

1つめは、ダイソンの偽サイト。掃除機などの家電製品を販売するダイソンを騙り、公式サイトから商品の画像や文章を盗用し構成も模倣。会社概要ページにダイソンの情報を記載するなど、周到になりすましている。

2つめは、 通信販売サイト「LOWYA」の偽サイト。家具を販売するベガコーポレーションを騙っている。ダイソンの偽サイトと同じく、盗用と模倣によって、一見しただけでは偽サイトと見分けがつかない。

3つめは、「特価用品専門店」と称する偽の通信販売サイト。実在の通信販売サイトを騙ったものではなく、独自に「特価用品専門店」という屋号を用いている。通信販売を総合的に装っているサイトといったところ。

これらの偽サイトは、不自然な日本語表記はほとんどなく、複数存在するというから厄介だ。対策のひとつはURLを確認することだが、本物と似たURLを取得している場合もあるので、その点には注意。また、価格がほかのショップより異常に安い場合も警戒しよう。検索して価格が安いからと安易に飛びつくのは危険だ。

エポックの通販サイトでメール誤送信による情報流出

エポックは10月20日、同社のシルバニアファミリー オンラインショップにおいて、商品発送完了メールが送るべき対象以外にも送られたことを発表した。

不具合は10月13日に行ったメンテナンス後に発覚。19:00~20:00ごろに送った「商品発送完了」メールが、同タイミングで他の顧客に送る「商品発送完了」メールに加えられていた。これにより20:30にオンラインショップを緊急停止。

調査の結果、メンテナンスを行った「商品発送完了」メールの改修でプログラムに不具合があったことが原因と判明。個人情報の流出は、10月13日に送付した29名分。流出情報の詳細は、メールアドレス、名前、配送先住所、電話番号、注文内容、荷物の問い合わせ番号。クレジットカード情報などは含まれていない。

障害発生の原因となったメール改修部分は修正を行い、10月20日に運営を再開した。今回の誤配信で影響を受けた顧客に対しては個別に連絡している。

マンション・ラボ、意図せぬリンクを埋め込まれる不正アクセス

マンション・ラボは10月14日、同社運用のマンション・ラボにおいて、第三者からの不正アクセスがあったことを明らかにした。10月3日1時55分~10月6日17時ごろの期間、記事ページが改ざんされた。

改ざんを発見した後、サイトを閉鎖して調査を開始。調査の結果、掲載記事に意図せぬリンクが埋め込まれていた。現在はサイト修復を完了しており、セキュリティ対策を強化。改ざん前の状態に戻ったため稼働を再開している。この件による個人情報流出はない。

今回は意図せぬリンクが埋め込まれたものだったが、このリンクがフィッシングサイトにつながっていた可能性もある。期間内にマンション・ラボにアクセスした後に個人情報を入力している場合、情報流出の可能性もあるので注意すること。

Mozilla、脆弱性を修正した最新バージョン「Firefox 82」

Mozilla Foundationは10月20日、Firefoxの最新バージョン「82.0」を公開した。延長サポート版の「Firefox ESR」もバージョン 78.4.0にアップデートしている。

今回のアップデートでは、セキュリティ関連7件を修正。内訳は、高4件、中2件。低1件。「高」では、メモリ関連の脆弱性や解放後のメモリ使用の脆弱性を修正している。

新機能はビデオ再生に関するものが多く、ピクチャーインピクチャーボタンの外見と位置を見つけやすく改善した。macOSでは、ピクチャーインピクチャーにキーボードショートカットを追加(Option+Command+Shift+)。この機能はビデオ再生の前でも機能する。Windowsでは、ビデオのハードウェアデコードにDirectCompositionを利用するように調整。CPUとGPUの使用率低減とバッテリ消費が改善する。

ほかにも各所の高速化修正を実装。flexboxベースのレイアウトを用いたWebサイトの読み込みを20%高速化、セッションの復元を17%高速化、Windowsで新規タブを開くのを10%高速化している。

りそな銀行、個人情報を記録したMOを紛失

りそな銀行は10月14日、顧客情報を記録したメディアを紛失したことを明らかにした。このメディアには14,561名分の個人情報を保存していた。

紛失したメディアは光磁気ディスク(MO)1枚。保存していた情報は、氏名および2019年12月時点での郵便番号と住所。電話番号、口座番号、残高など、そのほかの情報は記録していなかった。

MOメディアには、第三者が確認できないようパスワードを設定済みとのこと。記録情報が不正に使われたとの報告もない。ただし、住所が流出していることから、同社からの直接の手紙などが来た場合は警戒すること。