3月1日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。
ANAマイレージクラブのプレミアムメンバー会員情報が流出
全日本空輸(以下、ANA)が運営する「ANAマイレージクラブ」のプレミアムメンバー会員情報が流出。件数は約100万件におよぶという。流出したのは国際航空情報通信機構(以下、SITA)が保管していた情報で、原因は外部からの不正アクセスによるもの。
流出した内容は、ANAマイレージクラブのプレミアムメンバー名(アルファベット表記の名前)、会員番号、スターアライアンスのステータス(スターアライアンスゴールド、スターアライアンスシルバー)の3点となる。
この3点の情報は、各社マイレージクラブのプレミアムメンバーが他の加盟航空会社を利用する際にプレミアムサービスを受けられるように相互共有しているもの。これ以外の、会員パスワードやクレジットカード情報などといった深刻なものは流出しなかった。
SITAはすでに対策を完了しており、今後の情報漏洩はないと発表。今回の流出による会員への被害やANAのシステムへの影響は現在のところはない。ANAは念のため、パスワードの変更を希望するユーザーに対して変更のための案内を告知している。
マイクロソフト、ExchangeServerの更新プログラムを定例外で公開
マイクロソフトは3月3日、Microsoft ExchangeServerのセキュリティ更新プログラムを公開した。対象のバージョンは以下の通り。
- Microsoft Exchange Server 2013
- Microsoft Exchange Server 2016
- Microsoft Exchange Server 2019
セキュリティ更新プログラムで対策される脆弱性を悪用する攻撃は、Exchangeサーバーのポート443に信頼できない接続を確立する機能が必要。緩和策としては、信頼できない接続を制限したり、Exchangeサーバーを外部アクセスから分離するようにVPNを設定することなど。ただし、これだけでは攻撃の最初の部分しか保護できず、攻撃者がすでにアクセス権を持っている状況では、チェーンのほかの部分がトリガーとなる可能性もある。
深刻なレベルの脆弱性であるため、影響を受けるシステムを運用している場合はすぐにセキュリティ更新プログラムを適用すること。脆弱性はMicrosoftExchangeServerに影響を及ぼすもので、ExchangeOnlineは影響を受けない。
Microsoftは、今回の脆弱性を悪用した攻撃は中国が支援するとされる攻撃グループ「HAFNIUM」が関与している可能性が高いと発表。「HAFNIUM」は米国関係者に対して幅広い攻撃を展開しており、攻撃は2021年1月6日ごろから発生していたという。
関西テレビハッズ、「カンテレショッピング」が不正アクセス被害
関西テレビハッズが運営する通販サイト「カンテレショッピング」が、外部からの不正アクセスを受けた。セキュリティ上の脆弱性を利用したものだ。
2021年1月~2月にかけて大量のメールが届くなどの事象が発生し、調査の結果、問題が発覚した。この不正アクセスによって、一部顧客のメールアドレス、氏名閲覧の可能性があるという。なお、メールアドレスと氏名以外の情報の閲覧はないとのこと。
同社は、情報閲覧の可能性がある顧客と個別に連絡を取り対処。すでに、不正アクセス先の遮断と、再発防止に向けたシステム改修を完了している。
コナミ運用のクラウド型顧客管理システムに不正アクセス
コナミデジタルエンタテインメントは3月1日、同社とコナミアミューズメントが運用する社外クラウド型顧客管理システムに、外部からの不正アクセスが発生したことを明らかにした。
不正アクセスは、クラウド型顧客管理システムのセキュリティ設定不備を突いたもの。2021年1月4日に外部からの指摘でシステムの設定不備を確認。調査の結果、不正アクセスが発覚した。
これにより、顧客情報35名の個人情報が流出。流出データの詳細は、ログインID、メールアドレス、電話番号。個人を識別できる複合情報(氏名・住所・電話番号・メールアドレス・生年月日など)は、別のシステムで管理しており流出していない。
対策としてシステムの設定変更を実施し、個人情報に該当するデータへの不正アクセスがあった顧客には個別に連絡。今後は、現状の点検と再発防止に取り組むことで再発防止に努めるとしている。なお、システムの設定変更後は第三者からのアクセスはなく、現時点において被害もないという。
楽天を騙るフィッシングメール
3月3日の時点で、楽天を騙るフィッシングメールが拡散している。メールの件名は以下の通り。
- 【楽天市場】障害解消: 複数サービスダウン復旧のお知らせ
メールでは、楽天市場の複数のサービスにおいてシステムダウンが解消したと記載。記載URLにアクセスして、アカウントが利用可能かどうか確認するよう促してくる。リンク先はフィッシングサイトで、本物そっくりに偽装しているので注意。
3月3日の時点でフィッシングサイトは稼働中。類似のフィッシングサイト公開の可能性もあるので警戒を怠らないこと。
ウイルスバスター クラウド(Windows版)に脆弱性
トレンドマイクロは2月9日、ウイルスバスター クラウドの脆弱性情報を公開した。対象のバージョンは以下の通り。いずれもWindows版で月額版を含む。
- ウイルスバスター クラウド バージョン17.0
- ウイルスバスター クラウド バージョン16.0
脆弱性はコードインジェクション。プログラムのパスワード保護やシステムの保護が無効になる可能性がある。ただしこの脆弱性を悪用するには、攻撃者が対象のコンピュータの管理者権限を取得することが必要。
対策済みバージョンがリリースされており、バージョン17の場合は17.0.1222以降へアップデート、バージョン16の場合は16.0.1413以降にアップデートする。
Google、Chromeの最新バージョン「89.0.4389.72」を公開
Googleは3月2日、Chromeの最新バージョン「89.0.4389.72」を公開した。アップデートは、Windows、macOS、Linux向けに提供する。
今回のアップデートでは、「高」8件の脆弱性を含む47件を修正している。「高」の脆弱性には、TabStripのヒープバッファオーバーフロー、WebAudioのヒープバッファオーバーフロー、リーダーモードでのデータ検証が不十分、などが存在していた。
