2月22日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

ハワイ州の観光局公式インスタグラムでなりすましアカウント

2月23日の時点で、ハワイ州観光局公式インスタグラムアカウント「@gohawaii_jp」を装ったなりすましアカウントが確認されている。この偽アカウントは、ユーザーネームと文章が公式アカウントと酷似しており、公式ロゴも使用しているため注意が必要だ。

偽アカウントの特徴は、アカウントが「gohawaijp」のように「i」が足りないなど微妙に異なっている。公式アカウントの投稿数は2015年10月3日から697件以上あるのに対して異様に少なく、フォロワー数も公式の13.6万人以上に及ばない。「gohawaijp」の偽アカウントは3月2日の時点でも存在しており、非公開のアカウントとなっている。

こうした偽アカウントは、フィッシングサイトに誘導し、個人情報やクレジットカード情報の窃取を目的としたものが多い。アカウントの文字列をはじめ、投稿数やフォロワー数にも気を配り、フィッシングサイトへのリンクを踏まないように注意したい。

イオン銀行の来店予約サービスが不正アクセス被害

イオン銀行がWebサイトで提供している「来店予約・オンライン相談サービス」が不正アクセスを受けた。「来店予約・オンライン相談サービス」が利用しているクラウド型システムに対するもの。同社は、2020年12月ごろから他社で発生していたクラウド型システムへの不正アクセス事案を受け、独自調査を実施。調査の結果、第三者がアクセスできる状態だったという。

並行してクラウド型システムに対して過去のアクセス状況を調査。クラウド型システムに保管していた顧客情報の一部に第三者による不正にアクセスが発覚し、個人情報が閲覧されていた。

同社はこれらの件を踏まえ、当該サービスの利用を2021年1月29日から1月30日まで停止。システムの設定を変更して安全を確認した後サービスを再開した。閲覧情報の詳細は以下の通り。なお、口座番号、クレジットカード番号、 暗証番号は流出していない。

  • 氏名(姓または名だけのものを含む):2,062名分
  • (上記の顧客に関する以下の情報)
  • 電話番号:608件
  • メールアドレス:49件
  • お客さま管理番号:227件
  • 弊行口座の有無:779件
  • ご来店希望店舗名/日時:15件
  • ご相談内容(商品・サービス名など):13件

イオン銀行は、情報閲覧の可能性がある顧客に対して個別に連絡を取るとともに、謝罪と注意喚起を行っている。

横浜市の「イーオのごみ分別案内」が不正アクセス

横浜市のごみ分別案内チャットボット「イーオのごみ分別案内」が不正アクセスを受けた。

「イーオのごみ分別案」は、横浜市がNTTドコモと契約して提供しているごみ分別案内チャットボット。NTTドコモのサーバーで管理していたが、アクセス権の設定に誤りがあり、第三者によってファイルが改ざんされた。これにより、「イーオのごみ分別案内」にアクセスすると、関係のないWebサイトへの誘導事案が発生していた。

同市は市民からの通報でこの状況を把握。「イーオのごみ分別案内」を休止してアクセス権を適切に設定し直したのち、複数のサーバーを一元化。安全性を確保した上で、2月17日12時からサイトを再開した。今回の改ざんによる具体的な被害はないとしている。

通販サイト「Kenko卸.com」が不正アクセスを受けクレカ情報流出

新日本機能食品の通販サイト「Kenko卸.com」が不正アクセスを受けた。システムの一部脆弱性を突いたもので、2020年10月9日にクレジットカード会社からの連絡で発覚。同日、クレジットカード決済を停止している。調査の結果、2019年10月21日~2020年10月9日までの期間に、同サイトでクレジットカード決済を利用した人の個人情報224件が流出していた。

流出情報の詳細は、カード名義人名、クレジットカード番号(336件)、有効期限、セキュリティコード。一部は不正利用も行われたという。

同社は、個人情報が流出した可能性のある顧客にメールにて謝罪。心当たりのない請求がないか、クレジットカード明細を確認するよう注意を呼びかけている。今後はセキュリティ対策と監視体制を強化し、k再発防止に努めるとのこと。なお、通販サイトは新サイトへの切り替えを完了し、2020年10月15日に営業を再開している。

Mozilla、脆弱性を修正した「Firefox 86」

Mozilla Foundationは2月23日、Firefoxの最新バージョン「86.0」を公開した。延長サポート版の「Firefox ESR」もバージョン 78.8.0にアップデートしている。

今回のアップデートでは、セキュリティ関連12件を修正。内訳は、高5件、中4件、低3件。「高」では、誤った宛先へのリダイレクトなどが含まれる。

新機能は、ピクチャーインピクチャーによる複数動画の同時再生をサポート。また、「Total Cookie Protection」を実装し、サイト限定のCookie利用を可能とした。そのほか、PCの印刷設定と統合した印刷機能の改善、カナダにおいてクレジットカード情報の管理と自動入力が有効となるよう変更している。

Firefox 86は、macOS 10.9 / 10.10 / 10.11をサポートしていないため、これらのバージョンを利用している場合はFirefox ESRへ移行するよう推奨している。