3月8日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

ブラウザの通知機能を悪用した不審サイトへの誘導に注意

情報処理推進機構(以下、IPA)セキュリティセンターは、Webブラウザの通知機能を悪用して不審サイトに誘導する手口に対して注意を呼びかけている。

ブラウザでいろいろなWebサイトを閲覧していると、何らかの通知を許可するように求められることがある。多くはブラウザの通知機能を使った正規のものだが、これを悪用した事例が増えているという。

手口としては、検索したWebサイトにアクセスするとブラウザから通知を許可するような表示が出る。これを許可すると、ブラウザ起動中に偽の通知も表示するようになってしまう。悪質な場合、「コンピュータが危険にさらされている」、「携帯をクリーンアップしてください」などと、こちらの不安をあおってクリックするよう仕向けてくる。

こうした通知をクリックすると不審なサイトへ誘導され、偽セキュリティソフトの購入サイトや偽当選サイトなどが表れる。もしこのような通知が止まらない場合は、使用しているブラウザから通知許可を削除。Chrome、Edge、Firefoxといったブラウザをはじめ、大半のブラウザで通知許可の削除は可能だ。

IPAでは、安易に通知を許可しない、繰り返し表示されるセキュリティ警告なども偽通知の場合が多いので鵜呑みにしない、もし誘導先に飛んでしまっても誘導先のWebサイトでは操作を行わず情報も入力しない、などを対策に挙げている。

マイクロソフト、3月のセキュリティ更新プログラムをリリース

マイクロソフトは3月10日、3月のセキュリティ更新プログラムを公開した。対象ソフトは以下の通り。

  • Application Virtualization
  • Azure
  • Azure DevOps
  • Azure Sphere
  • Microsoft ActiveX
  • Microsoft Exchange Server
  • Microsoft Graphics Component
  • Microsoft Office
  • Microsoft Office Excel
  • Microsoft Office PowerPoint
  • Microsoft Office SharePoint
  • Microsoft Office Visio
  • Microsoft Windows Codecs Library
  • Power BI
  • Role: DNS Server
  • Role: Hyper-V
  • Visual Studio
  • Visual Studio Code
  • Windows Admin Center
  • Windows Container Execution Agent
  • Windows DirectX
  • Windows Error Reporting
  • Windows Event Tracing
  • Windows Extensible Firmware Interface
  • Windows Folder Redirection
  • Windows Installer
  • Windows Media
  • Windows Overlay Filter
  • Windows Print Spooler Components
  • Windows Projected File System Filter Driver
  • Windows Registry
  • Windows Remote Access API
  • Windows Storage Spaces Controller
  • Windows Update Assistant
  • Windows Update Stack
  • Windows UPnP Device Host
  • Windows User Profile Service
  • Windows WalletService
  • Windows Win32K

脆弱性についてのセキュリティ更新プログラムは、緊急7件、重要4件。修正内容はリモートでのコード実行、セキュリティ機能のバイパス、情報漏洩など。ほかにも、既存のセキュリティアドバイザリ1件を更新、既存の脆弱性情報1件を更新している。今月の「悪意のあるソフトウェアの削除ツール」に追加はない。

SITAでの情報流出、JALの情報にも影響

日本航空(以下、JAL)は3月5日、国際航空情報通信機構(以下、SITA)が保管していた情報が漏洩した件について、JALの情報も流出していたことを明らかにした。SITAへの不正アクセスは、全日本空輸(以下、ANA)の情報流出につながったが、同様にJALも影響を受けていた。

サービスの共有情報である、アルファベット表記の名前、JMB会員番号、ワンワールドのエリートステータス(エメラルド、サファイア、ルビー)が流出しており、流出規模は「ワンワールド」全体で約3,000万件。このうち2011年11月24日~2021年2月14日のJALに関する約92万件が流出したとしている。情報の内訳は、JALがワンワールド内で共有していた英文字の氏名、マイル会員番号、ワンワールドの会員ランクの3項目。クレジットカード情報やパスポート情報は含まれていない。

SITAは、システムに対して外部からの遮断を実施済み。今後の情報漏洩はないとしているが、念のためパスワードを変更したいという人のために案内を掲載している。

佐賀市HPで個人情報を含む画像が閲覧状態に

佐賀市のホームページにおいて、問い合わせなどの際に添付した画像データがインターネット上で閲覧可能な状態になっていた。

外部からの情報提供によって発覚。同市ホームページの「電子提言箱」と「各課へのお問い合わせ」のメール送信フォームを利用して送信した添付画像が、特定のURLを直接入力することで閲覧できる状態だった。

今回の件は、同市のホームページ改修にともない、メール送信フォームに画像添付機能を追加する過程で発生。メール送信フォームへの入力情報には第三者が閲覧できないようアクセス制限を設定したものの、画像データについてはアクセス制限を適切に設定していなかった。

閲覧できる状態となっていた画像データは986件。画像データの内容は、マイナンバーカード4件、同通知カード2件、運転免許証2件、パスポート2件、申請書など113件の合計123件となる。ほかにも、風景や浸水状況などの報告写真やイラストなど、個人情報を含まない画像データ863件も同じ状態だった。

現時点ではシステムの不備による被害はない。同市は個人情報の取り扱い、および情報セキュリティ体制の強化に取り組み、再発防止に努めるとしている。

龍村美術織物オンラインショップで不正アクセス

龍村美術織物は3月11日、同社が運営するWebサイト「龍村美術織物オンラインショップ」が不正アクセスを受けたことを明らかにした。不正アクセスは、システムの一部の脆弱性を突いた決済モジュールの改ざんによるもの。2020年10月28日にクレジットカード決済代行会社からの連絡で発覚し、同日、クレジットカード決済を停止した。

調査の結果、2019年11月25日~2020年10月28日の期間に、当該サイトでクレジットカード決済を利用した人941名分のクレジットカード情報が流出していた。情報の詳細は、クレジットカード会員の氏名、クレジットカード番号、クレジットカード有効期限、セキュリティコード。加えて、同期間で購入手続きをした793名分の会員情報(ログインIDとログインパスワード)も流出した。

同社は、個人情報が流出した可能性のある顧客に対し、経緯説明とお詫びのメールを送信。クレジットカードの利用履歴に不審な点がないかを確認するよう注意を呼びかけている。今後は、よりセキュリティレベルの高いサイトの再構築を行うとしている。