10月26日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。
クレジットカード会社を騙るフィッシングメールが増加傾向
ネット詐欺専用セキュリティソフト「詐欺ウォール」の調査によると、クレジットカード会社を騙るフィッシング詐欺が増加傾向にあるとのこと。
2020年9月度のインターネット詐欺リポートでは、過去1年間に収集したクレジットカード会社を騙るフィッシング詐欺サイト数は、2020年8月が54件だったのに対し、2020年9月は134件に急増。この数字はここ1年内で最も大きく、202年6月から4カ月連続で増加している。
フィッシング詐欺サイトが利用するブランドや企業名の上位は、amazon、楽天、三井住友カード、マイクロソフト、au、三井住友銀行、iPhone、楽天カード、WAKWAK、Netflixなど。この中にはクレジットカード会社が2社入っている。
ブランド名を詐称したフィッシングメールの内容の多くは、クレジットカードの利用を一時停止、クレジットカードの不正利用がある、アカウントが更新できなかった、異常な行為を検出など、不安を煽るものが多い。その上で、偽のログインページにアクセスさせてログイン情報を窃取するという手口だ。
最近の偽サイトは非常によくできており、一見して見破るのは難しくなっている。Web上で自分のIDやパスワード、クレジットカード情報、生年月日などを入力する場面になったら、細心の注意を払ってほしい。危険や不安を煽るメールを受信したら、まずはGoogle検索などから事業者の公式Webサイトへ行き、「お知らせ」などを入念に確認すること。個人情報を早急に入力しなければならないケースはそうそう多くないので、問い合わせフォームや電話サポートで確認するのもよいだろう。
くらしTEPCO webにパスワードリスト攻撃による不正ログイン
東京電力エナジーパートナーは10月13日、同社の会員制Webサービス「くらしTEPCO web」が不正アクセスを受けたことを明らかにした。
不正アクセスは、他社サービスなどから不正に入手したメールアドレスやパスワードを用いたパスワードリスト攻撃によるもの。10月5日~10月11日にかけて発生し、260件の顧客に対しての不正ログインを確認。会員ページの氏名・住所・電気使用量などについて閲覧された可能性があるとしている。
また、会員登録画面からの不正な仮登録申請も確認済み。会員ではない人に対して、「会員登録手続きのご案内(本登録案内のメール)」が自動で送信されていた。送信元は「くらしTEPCO web」。
同社は不正ログインへの対策として、全会員の登録パスワードを初期化し、全会員に登録パスワードの再設定をするよう呼びかけている。なお、今回の不正ログインが発覚した時点では、顧客の「くらしTEPCOポイント」の不正交換被害などはないものの、念のためポイント利用のサービスを停止。サービスの停止期間に応じて、ポイント失効期限も延長する。
Paramount Softwareのバックアップソフトに特権昇格の脆弱性
Paramount Softwareは10月26日、同社のバックアップソフト「Macrium Reflect」に存在する脆弱性を公開した。対象のソフトとバージョンは以下の通り。
- Macrium Reflectv7.3.5281より前のバージョン
脆弱性は特権昇格で、特別に細工されたopenssl.cnfファイルへのパスを作成して、システム特権で任意のコードを実行するというもの。すでに対策済みバージョンを公開しており、これを適用することで脆弱性を解消できる。対策後のバージョンは、Macrium Reflectv7.3.5281。
PowerDNS.COMのキャッシュDNSサーバーに脆弱性
日本レジストリサービスは10月16日、PowerDNS.COMが提供するキャッシュDNSサーバー「PowerDNS Recursor」に脆弱性があることを明らかにした。対象のバージョンは以下の通り。
- PowerDNSRecursor 4.1.17 / 4.2.4 / 4.3.4
脆弱性は、リモートの攻撃者が「安全と判断すべきキャッシュ済み情報」を検証失敗と誤認させ、不正なDNSSEC検証エラーを発生させるというもの。これによりサービス拒否の可能性がある。脆弱性の重要度が「高」と高く注意が必要だ。
すでに対策済みバージョンは公開済み。アップデートすることで脆弱性を解消できる。対策済みバージョンはそれぞれ、4.1.18 / 4.2.5 / 4.3.5。
GMOクリック証券の顧客1名の資産が不正出金被害
GMOクリック証券は10月26日、2020年9月7日に第三者による不正アクセスを受け、同社no 顧客資産が流出したことを明らかにした。
不正アクセスは、他社サービスなどからログインIDとパスワードを入手して行われたパスワードリスト攻撃の可能性が高いという。調査の結果、アクセス元のIPアドレスや操作ログを検証したところ、同社からのログインIDおよびパスワードの流出はないと結論づけた。
被害は、第三者がログイン後に取引画面にアクセス。出金先の銀行口座を、不正な手段で開設した別の銀行口座に変更し、当該銀行口座から出金を行っている。被害件数は顧客1名で、金額は149万円となる。
今後の対策としては、取引画面内でのオンラインによる出金先銀行口座の変更受付を一時停止し、本人確認済みの登録住所に書面を郵送する方法でのみ変更手続きを受け付けることとした。加えて、取引画面内での出金先変更と出金手続きなどについては、二段階認証の仕組みを導入する。顧客に対しては、ログインIDやパスワードなどが第三者に流出しないよう注意を呼びかけている。
