12月21日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。
2020年に使われた最も危ないパスワード
NordPassは、2020年における最も一般的なパスワードトップ200を発表した。言い換えれば、最も危険なセキュリティ性の低いパスワードでもある。下記はそのうちトップ10だ。カッコ内の時間は、そのパスワードがクラックされるまでの時間を表している。このようなパスワードがいまだに使われていることに驚く。
- 1位「123456」(1秒未満)
- 2位「123456789」(1秒未満)
- 3位「picture1」(3時間)
- 4位「password」(1秒未満)
- 5位「12345678」(1秒未満)
- 6位「111111」(1秒未満)
- 7位「123123」(1秒未満)
- 8位「12345」(1秒未満)
- 9位「1234567890」(1秒未満)
- 10位「senha」(10秒)
現代は、PCやスマホといったデバイスごと、アプリやWebサイトごとにパスワードを使う場面が多い。そのすべてにクラックされにくいパスワードを設定して覚えるのは難しいので、パスワードマネージャーやWebブラウザの機能をうまく利用したいところ。スマホアプリなら生体認証に対応したものも増えているし、2段階認証に対応したシステムなら確実に設定しておくべきだ。くれぐれもパスワードの使い回しはしないように。
PCパーツ通販サイトでクレジットカード情報流出
アントラックは12月23日、同社が運営するPC&PCパーツ販売サイト「OVERCLOCK WORKS」が不正アクセスを受けたことを明らかにした。これにより、顧客のクレジットカード情報714件が流出した可能性がある。
不正アクセスは、システムの一部の脆弱性を突いたもの。情報流出は、2020年7月3日にクレジットカード会社からの連絡を受け発覚。2020年7月3日にカード決済を停止して調査を開始した。結果、2019年6月18日~2020年7月3日の期間に、同サイトで商品を購入した顧客のクレジットカード情報が流出し、一部顧客のクレジットカードが不正に使われた可能性があることがわかった。流出した情報の詳細は、カード名義人名、クレジットカード番号、有効期限、セキュリティコード。
同社は、クレジットカード会社と連携してクレジットカードのモニタリングを行い、不正利用の防止を図っている。顧客に対しては、クレジットカードの利用明細に不審な点がないかを確認するよう呼びかけている。今後は、システムのセキュリティ対策と監視体制を強化。同サイトにおけるクレジットカード決済の再開は、決定しだいWebサイトで告知の予定。
駅レンタカーシステムで、顧客のメールアドレスなどが流出
駅レンタカーシステムは、同社運営の駅レンタカーWebサイトが第三者からの不正アクセスを受けたことを明らかにした。同社はこの件について2020年12月11日に速報を出しており、今回は詳細な続報となる。
流出の経緯は、2020年12月1日に顧客から「不審なメールが届いている」との連絡を受け発覚。システムの調査を行ったところ、12月7日に不正アクセスが判明。追加で構築したシステムに存在した脆弱性を悪用された。
流出したのは顧客のメールアドレス253,979件、生年月日の生まれ年10件・生まれ月21件・生まれ日11件。それぞれ独立した数字のみが流出した。氏名、住所、電話番号、免許証番号といった、顧客の特定につながる情報は流出していない。
そのほかにも、駅レンタカー営業所のメールアドレス65件、駅レンタカーおよび提携レンタカー会社営業所の電話番号1,359件、駅レンタカーおよび提携レンタカー会社営業所のFAX番号1,382件も流出していた。クレジットカードの情報は保有していないため、流出はないとしている。
同社は、不正アクセス防止に向けた対策として、監視体制とWebサイトを強化。外部機関によるシステム面の検証を委託するとしている。
歯科医専門出版社が不正アクセスでクレジットカード情報流出
デンタルダイヤモンドが運営する「ホームページショッピング」が第三者による不正アクセスを受けた。クレジットカード情報690件が流出した可能性があるという。
不正アクセスは、システムの一部の脆弱性を突いたもの。2020年10月2日にクレジットカード会社からの連絡を受け流出が発覚し、同日中にサイトでのクレジットカード決済を停止した。
調査の結果、2020年4月30日~2020年8月25日の期間に、同サイトでクレジットカード決済をした顧客のクレジットカード情報が流出。一部の顧客のクレジットカード情報については、不正利用の可能性もある。流出した可能性のある情報は、カード名義人名、クレジットカード番号、有効期限、セキュリティコード。
同社はクレジットカード会社と連携して、流出した可能性のあるクレジットカードのモニタリングを実施。顧客に対しては、クレジットカードの利用明細に不審な点がないか確認するよう呼びかけている。
再発防止策として、システムのセキュリティ対策、および監視体制の強化を行う。同サイトの再開日については決定しだい告知するとしている。