8月2日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

2021年上半期の悪質ショッピングサイトなどの統計を公開

日本サイバー犯罪対策センター(以下、JC3)は、2021年上半期における悪質ショッピングサイトなどに関する統計情報を公開した。セーファーインターネット協会からJC3へ共有された通報内容を分析したものだ。

これによると、2021年上半期の悪質なショッピングサイトなどの通報件数は6,535件だった。前年同期の5,019件から約30.2%の増加で、新型コロナウイルス感染症の影響でインターネット利用が増えたことも要因だとしている。

通報の際に、悪質サイトを知った経緯を聞いたところ、2020年の回答状況と大きな変化はなかった。インターネットの検索結果が4,395件(67.3%)、メール記述のURLが875件(13.4%)、ツイッターなどのSNSが138件(5.1%)といった回答だった。

どのようなデバイスでそのサイトを知ったかという問いについては、PCブラウザが2,545件(46.4%)、スマートフォンブラウザが2,492件(45.5%)と大勢を占める。スマートフォンアプリ経由で知ったケースも443件(8.1%)あった。

悪質ECサイトを利用した場合に選択した決済方法については、銀行振込が662件(52.2%)、クレジットカードが378件(29.8%)。クレジットカードを使用する割合は増加傾向にある。

2021年上半期で多かった通報内容は、調理器具や家電などを取り扱う正規ショッピングサイトを模倣した偽サイト。暗号資産投資サイトに関する通報も増加傾向にあるという。「マッチングアプリやSNSで知り合った異性から(悪質ECサイトを)すすめられた」という接点が大幅に増加している点には注意したい。

悪質サイトは年々巧妙化しているため、正規サイトかどうかを見分けるのが難しくなってきている。注意点としては、決済方法が銀行振込しかない、振込先が法人名義ではなく個人名義の口座、といった場合は利用しないほうが無難。特に初めて利用するショッピングサイトは、サイトに不審な点がないか、被害報告などがないかを確認することが重要だ。

KLab IDにパスワードリスト攻撃による不正アクセス

KLabは7月28日、同社が提供するKLab IDgに外部からの不正ログインがあったことを明らかにした。

不正ログインは、サービス登録済みのメールアドレスに対して発生した大量のアクセスが原因。手法は外部から入手したパスワードを使ったパスワードリスト攻撃によるものとしている。2021年7月22日に不正なログインが発生し、2021年7月27日にこれを検知。2021年7月28日に、対象のメールアドレス(5,762件)に対してパスワード変更を実施した。

不正ログインの確認件数は2,439件。第三者による閲覧の可能性がある情報は、メールアドレス、ひみつの質問と回答、生年月日、性別、言語。また、サービスと連携中のアプリ名、サービスと連携したアプリ内で閲覧できる全情報も含む。

パスワード自体は復元不可能な形(一方向性暗号化、ソルト付きハッシュ)で保存しているため流出はなかったとのこと。ユーザーに対しては、不正ログインを防ぐ施策として、他社サービスとは異なるパスワードを設定する、二段階認証機能を設定する、などを呼びかけている。

日本年金機構を騙るフィッシングメール

日本年金機構を名乗るフィッシングメールが拡散している。メールは「<日本年金機構>個人年金電子ファイル情報更新」といった件名で届く。

このメールでは、年金電子ファイルを使うことで健康保険や厚生年金保険の手続きをインターネット上で行えるなどと記載。登録情報を更新する必要があるとして、メール内のリンクをクリックさせようとする。誘導先は「ねんきんネット」を模したフィッシングサイトで、基礎年金番号以外にもクレジットカード情報の入力欄があり、注意が必要だ。

日本年金機構は、このようなメールを送信している事実はないとしており、警戒を促している。

川崎重工、不正アクセスに関する調査結果を公表

川崎重工は7月30日、2020年12月28日に公表した第三者による不正アクセスについての調査結果をまとめた。

調査結果では、川崎重工グループの主要国内拠点へのマルウエア侵入がないことを確認。海外拠点においては、侵害を確認したPCとサーバー(約29,000台)のマルウエア調査を実施し、これを除去し正常化したと発表している。

通信量が多いPC・サーバー(約6,700台)を抽出して調査した結果、不正アクセスを受けた国内外拠点のサーバー(合計36台)を特定。これらのサーバーにフォレンジック分析を行い、うち15台のサーバーに不審な暗号化ファイルがあったことが判明。

通信ログを調査した結果では、タイ、インドネシア、米国の拠点からインターネット上の不審なサーバーに向けたデータ送信を確認している。これらの調査から、情報流出の可能性はあったものの、個人情報流出の事実はないと結論づけた。

現在の対策状況は、海外拠点と国内拠点間の通信管理を厳格化し、データ交換プロセスの変更、認証基盤の不正アクセス対策を実施している。

今後の再発防止策として、国内外拠点間の通信ネットワーク監視とアクセス制御の厳格化を進め、不正アクセスの早期検知を徹底。被害が出た場合でも、範囲の特定と対応を可能とするよう取り組んでいく。

札幌日信電子のサイトにフィッシングページ設置の改ざん被害

札幌日信電子は、2021年5月25日に同社サイトが改ざん被害に遭っていたことを明らかにした。

今回のサイト改ざんは、2021年5月25日にサイトを更新するアプリケーションへの不正ログインによって発生。2021年5月26日に改ざんを把握し、同日18時ごろにサイトを閉鎖した。この改ざんによるフィッシング目的のページ設置を確認したものの、正規サイトに利用者の個人情報はないため、被害は最小限に留まっているとしている。

同社は原因を特定し、サーバー内の全コンテンツ削除、サーバーアプリケーションの再インストール、バックアップデータ復元などを行い、改ざん防止・検知システムといった対策を導入。安全性を検証したのち、7月12日にサイトを再公開している。

ジャックスを騙るフィッシング

8月5日の時点で、ジャックスを騙るフィッシングメールが拡散している。メールの件名は以下。

  • <重要>JACCSカードご利用確認
  • <重要><JACCS>本人情報緊急確認

メールでは、本人の利用かどうかを確認したい取引があるなどと記載。リンクをクリックして確認するよう誘導する。誘導先はフィッシングサイトで、インターコムやジャックスのサイトに似せたデザインとなっている。8月5日の時点でフィッシングサイトは稼働中なので警戒したい。