3月29日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

BBSS、2021年2月度のインターネット詐欺リポート

BBソフトサービス(以下、BBSS)は3月31日、2021年2月度のインターネット詐欺リポートを公開した。

BBSSの調査によると、クレジットカード会社を騙るフィッシング詐欺サイトが増加傾向にあるという。フィッシングサイト件数は、2020年12月の時点で534件、2021年1月は350件に減少したが、2月は453件と1月比で29%増加した。前年同月比では、前年2月が33件なのに対して13.7倍にも増えている。フィッシングサイトは2020年10月から急増しており、それまでは月100件以下だったものが300件以上となっている。

こうしたフィッシング詐欺サイトでよく使われるブランドは、以前は楽天やamazonなどのショッピングサイトを騙るものが上位を占めたが、2021年2月度は三井住友、三菱UFJニコス、JCBなど、クレジットカード会社を騙るものが多くランクイン。ランキングは以下の通り。

  1. 楽天
  2. amazon
  3. 三井住友
  4. 三菱UFJニコス
  5. JCB
  6. Microsoft
  7. エポスカード
  8. ぷらら
  9. SAISON CARD
  10. TS CUBIC CARD

2021年2月は、春の高校野球とプロ野球の開幕が近くなり、野球グッズなどの偽販売サイト、品薄状態が続く最新ゲーム機の偽販売サイトなどを確認。こうした偽販売サイトで商品を購入すると、粗悪な商品が送られてきたり、商品が送られずに購入代金やクレジットカード情報窃取の可能性もある。

BBSSでは、4月以降に新生活用品の安売りを謳う偽販売サイトが発生すると予測。特にはじめて利用する通販サイトでは、会社概要のチェック、会社住所のチェック、決済方法や口座名義のチェックなどを行うよう注意を呼びかけている。

EikiSoftの書庫一括操作ユーティリティに脆弱性

EikiSoftは4月1日、同社の「書庫一括操作ユーティリティ(英語名:Archive collectively operation utility)」に脆弱性があることを明らかにした。対象のバージョンは「書庫一括操作ユーティリティ Ver.2.10.1.0以前」となる。

脆弱性はディレクトリ・トラバーサルで、細工済みのZIP形式ファイルを展開すると、ソフトがアクセス可能な範囲内で意図しない場所にファイルが作成されたり、既存ファイル上書きの可能性がある。

すでに脆弱性を修正した「Ver.2.10.2」を公開しているので、使用しているユーザーはアップデートすること。アップデート版は、公式サイトのほか、Vector(日本語)やSoftPedia(英語)でも公開している。

アパレル資材通販サイト「ApparelX」が不正アクセス被害

デザインXは3月29日、同社が運営する「ApparelX」が第三者による不正アクセスを受けたことを明らかにした。不正アクセスはファイルアップロードプログラムの脆弱性をついた決済ページの改ざんによるもの。

2020年12月9日に、同社のITチームが決済ページ上でのファイルの改ざんを検知。改ざんファイルは、決済ページ上のクレジットカード入力フォームを偽装し、情報窃取を行っていた。

調査によると、2020年11月27日~2020年12月9日の期間に「ApparelX」で商品を購入した顧客のクレジットカード情報(195件)が流出。クレジットカード不正利用の可能性もあるという。流出した情報の詳細は、クレジットカード番号、有効期限、セキュリティコード、当該注文の出荷先名、出荷先メールアドレス、出荷先住所、出荷先電話番号など。

同社は、個人情報が流出した可能性のある顧客に、電子メールにて謝罪とお知らせを送信。クレジットカードの利用明細にて、身に覚えのない請求項目がないか確認するよう呼びかけている。現在、クレジットカード決済は停止中。再開日程については決定しだい告知するとしている。

宝仙堂の通販サイトで第三者による不正アクセス

宝仙堂は3月23日、同社が運営するショッピングサイト「すっぽんコラーゲン」「宝仙堂パワーライフ」において、第三者による不正アクセスが発生したことを明らかにした。

不正アクセスは、2020年9月14日にサイトへのアクセス障害とサーバー障害を確認したことで発覚。システムの管理と運営業務を委託する企業から、個人情報を保存したファイルの削除・流出の懸念があるとの連絡を受け、2020年9月16日に「すっぽんコラーゲン」と「宝仙堂パワーライフ」へのアクセスを制限し、クレジットカード決済を停止した。

調査の結果、2019年6月15日~2019年10月26日の期間に、「すっぽんコラーゲン」で商品購入申し込みを行った顧客のクレジットカード情報が流出。また、2014年9月19日~2017年11月9日の期間に「宝仙堂パワーライフ」で購入申し込みを行った顧客の個人情報も流出の可能性がある。

クレジットカード決済での情報流出件数は、「すっぽんコラーゲン」で4名、「宝仙堂パワーライフ」で73名。流出情報の詳細は、住所、電話番号、メールアドレス、生年月日、クレジットカード情報(カード名義人名、クレジットカード番号、有効期限)。

そのほかの決済方法を利用している場合の情報流出件数は、「すっぽんコラーゲン」で11名、「宝仙堂パワーライフ」で155名。流出情報の詳細は住所、電話番号、メールアドレス、生年月日。

同社はクレジットカード会社と連携し、流出した可能性のあるクレジットカードのモニタリング実施。顧客に対しては、身に覚えのない請求がないかを確認するよう注意を呼びかけている。今後はシステムのセキュリティ対策と監視体制を強化し、再発防止を図るとのこと。現在は決済方法などを限定し、新たに構築したシステムを別サーバーで再開している。

bitFlyerを騙るフィッシングメール

4月1日の時点で、bitFlyerを騙るフィッシングメールが拡散し、フィッシングサイトが稼働中だ。メール件名の一例は以下の通り。

  • ログイン確認メール
  • 【bitFlyer】ログイン確認メール
  • 【重要】定期的な残高確認に伴う暗号資産送金ならびにBTC出庫の一時停止について
  • [緊急]: bitFIyer アカウント情報を確認する!
  • [緊急]:bitFIyerアカウント情報を確認してください!
  • bitFlyerお問い合わせメール お問い合わせ番号:BFQ●●●●

フィッシングメールは、アカウント情報の確認を促す内容。手続きは1回限り、数分で終了するなどと記載し、フィッシングサイトへのリンクをクリックさせようとする。誘導先は公式サイトと酷似しており、外見だけで見分けることは困難だ。もしアクセスしてしまっでも重要な情報は入力しないこと。

情報を入力させようとするメールやSNSはそのほとんどがフィッシングサイトと思ってよい。被害を避けるには、起点となる「メール記載のリンク」をクリックしないことだ。サービスにログインする場合は、ブラウザのブックマークや検索サイトの検索結果などからアクセスするように心がけたい。類似のフィッシングサイト公開の可能性もあるので注意すること。

Google、Chromeの最新バージョン「89.0.4389.114」を公開

Googleは3月30日、Chromeの最新バージョン「89.0.4389.114」を公開した。アップデートは、Windows、macOS、Linux向けとして、数日から数週間にわたって順次配信する。

今回のアップデートでは、「高」6件の脆弱性を含む8件を修正。脆弱性「高」では、画面キャプチャ時のメモリ解放、ヒープバッファオーバーフロー、域外メモリの読み込みなどが含まれる。Chromeをメインブラウザにしているのであれば、アップデートをしておくこと。