11月9日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

  • 先週のサイバー事件簿

レプロ公式オンラインショップでクレジットカード情報流出

レプロエンタテインメントは11月11日、同社が運営する「レプロ公式オンラインショップ」が不正アクセスを受け、個人情報が流出したことを明らかにした。

不正アクセスはシステムの脆弱性をついたもの。情報流出については、8月12日に一部のクレジットカード会社からクレジットカード情報が流出していると連絡を受け発覚。同日に当該サイトの全サービスを停止し調査を開始したところ、2020年2月13日~2020年8月12日の期間に、当該サイトで商品を購入した人のクレジットカード情報(4,722名分)が流出していた。

流出した可能性のある情報は、カード名義人名、クレジットカード番号、有効期限、セキュリティコード。一部は第三者による不正利用も確認済み。同社では、該当する顧客に対して電子メールで個別に連絡を取っている。また、クレジットカードの利用明細書に不審な点がないかを確認するようにも呼びかけている。

今後は、再発防止策としてシステムのセキュリティ対策と監視体制を強化。サイトの再開は決定しだい告知するとしている。

UCSカードを騙るフィッシングメール

11月9日の時点で、UCSカードを騙るフィッシングメールが拡散している。メールの件名は以下の通り。

  • UCSカード株式会社から緊急のご連絡

メールでは、使用しているカードが第三者による不正利用の可能性がある、などと記載。「カードを一時停止するので情報を再登録するように」と促してくる。リンク先はフィッシングサイトなので決してリンクをクリックしてはいけない。

このようなメールを受信した場合は、何もせずに削除すること。もしリンク先に飛んでしまっても、重要な個人情報を入力したり、画像をアップロードしないように。どうしても不安なら、該当するサービスや企業の公式サイトから問い合わせる。

メッセンジャーアプリ「WhatsApp」iOS版に脆弱性

WhatsAppが提供するメッセンジャーアプリ「WhatsApp」「WhatsApp Business」(ともにiOS版)に脆弱性が存在している。

脆弱性は、ログの記録に用いるライブラリに起因する解放後のメモリ使用。ビデオ通話保留中にアニメーションステッカーを受信するなど、特定の条件を満たしたときにコード実行の可能性がある。また、悪用によってメモリ破壊後にクラッシュすることもあるという。

もう1つは、認証の回避が可能となる脆弱性。画面がロック状態でも、Siriを使うことで同アプリにアクセス可能となる。

これら脆弱性は、バージョン2.20.120で解消済み。iOS版の「WhatsApp」「WhatsApp Business」を使っている人は、早急にアップデートしてほしい。

ホテル会社でEmotetへの感染被害

ホテルマネージメントインターナショナルは11月5日、同社が運営する宿泊施設において、マルウェア「Emotet」への感染による情報流出があったことを明らかにした。

情報の流出は、Emotetに感染したことでメールによって拡散。同社が過去にメールをやりとりしたことのある相手の氏名、メールアドレス、メール内容などの一部が、正規のメールへの返信を装って送信されていた。

同社は、もし身に覚えないメールや不審なメールを受信した場合は、たとえ知り合いであっても添付ファイルを実行したり、メール本文記載のURLに飛ばないようにと呼びかけている。

マイクロソフト、11月のセキュリティ更新プログラムをリリース

マイクロソフトは11月10日、11月のセキュリティ更新プログラムを公開した。対象ソフトは以下の通り。

  • Microsoft Windows
  • Microsoft Office、Microsoft Office Servers および Web Apps
  • Internet Explorer
  • Microsoft Edge(EdgeHTML-based)
  • Microsoft Edge(Chromium -based)
  • ChakraCore
  • Microsoft Exchange Server
  • Microsoft Dynamics
  • Microsoft Windows Codecs Library
  • Azure Sphere
  • Windows Defender
  • Microsoft Teams
  • Azure SDK
  • Azure DevOps
  • Visual Studio

脆弱性についてのセキュリティ更新プログラムは、緊急6件、重要6件。修正内容はリモートでのコード実行。ほか、既存のセキュリティアドバイザリ1件を更新している。今月の「悪意のあるソフトウェアの削除ツール」に追加はない。

なお、2020年11月10日(米国時間)で、Windows 10 Version 1809(Home、Pro、Pro for Workstation、IoT Coreエディション)はサポート終了となる。このバージョンを使っている場合は、最新のセキュリティ更新プログラムを適用しつつ、サポートバージョンへの移行を始めてほしい。

Apple製品の脆弱性を解消するアップデートを公開

Appleは11月6日、iOSやiPadOSなど複数製品のアップデートを公開した。対象製品とバージョンは以下の通り。

  • watchOS 7.1 より前のバージョン
  • iOS 14.2 より前のバージョン
  • iPadOS 14.2 より前のバージョン
  • tvOS 14.2 より前のバージョン
  • iOS 12.4.9 より前のバージョン
  • watchOS 6.2.9 より前のバージョン
  • watchOS 5.3.9 より前のバージョン
  • macOS Catalina 10.15.7 ビルド番号 19H15 より前のバージョン
  • macOS Big Sur 11.0.1 より前のバージョン
  • Safari 14.0.1 より前のバージョン
  • macOS High Sierra(Security Update 2020-006 未適用)
  • macOS Mojave(Security Update 2020-006 未適用)

今回のアップデートで修正した脆弱性は、任意のコード実行、サービス運用妨害、情報漏えい、権限昇格、アクセス制限不備、サンドボックスの回避など多数。これらのOSを使用しているデバイスを所持している場合は、すみやかにアップデートしてほしい。