9月13日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

オリンパス、一部地域のITシステムに不正アクセス

オリンパスは、運用している一部地域のITサーバーに対して、不正アクセスを検出したことを明らかにした。不正アクセスは、2021年9月8日にヨーロッパ、中東、アフリカ地域(EMEA)で発生。検知後、セキュリティ分析の専門家を含む対策チームを設置し、影響を受けたシステムから外部へのデータ通信を遮断した。関連する取引先へは連絡済みとのこと。

今回、オリンパスではセキュリティインシデントの可能性もあると見ているが、詳細は調査中。正確な情報を入手しだい、改めて報告するとしている。

マイクロソフト、9月のセキュリティ更新プログラムをリリース

マイクロソフトは9月15日、9月のセキュリティ更新プログラムを公開した。対象のソフトウェアは以下の通り。

  • Azure Open Management Infrastructure
  • Azure Sphere
  • Dynamics Business Central Control
  • Microsoft Accessibility Insights for Android
  • Microsoft Edge (Chromium-based)
  • Microsoft Edge for Android
  • Microsoft MPEG-2 Video Extension
  • Microsoft Office
  • Microsoft Office Access
  • Microsoft Office Excel
  • Microsoft Office SharePoint
  • Microsoft Office Visio
  • Microsoft Office Word
  • Microsoft Windows Codecs Library
  • Microsoft Windows DNS
  • Visual Studio
  • Windows Ancillary Function Driver for WinSock
  • Windows Authenticode
  • Windows Bind Filter Driver
  • Windows BitLocker
  • Windows Common Log File System Driver
  • Windows Event Tracing
  • Windows Installer
  • Windows Kernel
  • Windows Key Storage Provider
  • Windows MSHTML Platform
  • Windows Print Spooler Components
  • Windows Redirected Drive Buffering
  • Windows Scripting
  • Windows SMB
  • Windows Storage
  • Windows Subsystem for Linux
  • Windows TDX.sys
  • Windows Update
  • Windows Win32K
  • Windows WLAN Auto Config Service
  • Windows WLAN Service

脆弱性についてのセキュリティ更新プログラムは、緊急4件、重要4件。修正内容はリモートでのコード実行、なりすまし――など。ほかにも、既存の脆弱性情報3件を更新している。今月の「悪意のあるソフトウェアの削除ツール」に追加したファミリはない。

Google、Chromeの最新バージョン「93.0.4577.82」を公開

Googleは9月13日、Chromeの最新バージョン「93.0.4577.82」を公開した。Windows、macOS、Linux向けとして、数日から数週間にわたってアップデートを公開する。

今回のアップデートでは、「高」9件を含む11件の脆弱性を修正している。脆弱性はSelectionAPIでの解放後のメモリ使用、ANGLEによる範囲外のメモリアクセスとスタックバッファオーバーフロー、V8エンジンにおける範囲外メモリ書き込みなど。

伊勢せきやオンラインショップで改ざんによる不正アクセス

関谷食品が運営する「伊勢せきやオンラインショップ」にて、不正アクセスによる被害が発生した。

不正アクセスは、2021年3月13日にオンラインショップの管理を委託している会社からの報告で発覚。同日オンラインショップの公開を停止し調査を行った。調査と復旧を終えて再公開したものの、2021年3月16日に再び不正アクセスが発覚。同日「伊勢せきやオンラインショップ」を非公開とし、クレジットカード決済を停止した。

その後、第三者機関に調査を依頼したところ、2021年3月11日~2021年3月16日の期間に商品を購入した顧客のクレジットカード情報(23件)が流出した可能性があることが判明。原因は、システムの一部の脆弱性を突いたペイメントアプリケーションの改ざんによるものだった。流出情報の詳細は、カード名義人名、クレジットカード番号、有効期限、セキュリティコード。

同社は、流出したクレジットカード取引のモニタリングを実施するとともに、顧客に対してはクレジットカードの利用明細書をチェックして身に覚えのない請求項目がないか確認するよう呼びかけている。再発防止策としては、システムのセキュリティ対策と監視体制の強化などを実施。オンラインショップのクレジットカード決済は、再開が決定しだい告知するとしている。

たち吉オンラインショップで不正アクセス、677件のクレジットカード情報が流出

たち吉が運営する「たち吉オンラインショップ」が不正アクセスを受けた。システムの一部の脆弱性を突いたペイメントアプリケーションの改ざんによるものだ。2021年6月4日に一部のクレジットカード会社からの連絡を受け発覚。同日オンラインショップの運営を停止し、第三者調査機関による調査を開始した。

調査の結果、2021年3月31日~2021年4月26日の期間に「たち吉オンラインショップ」で商品を購入した人のクレジットカード情報(677件)が流出した可能性あることが判明した。流出情報の詳細は、カード名義人名、クレジットカード番号、有効期限、セキュリティコード。

同社は、クレジットカード会社と連携しクレジットカード取引のモニタリングを継続して実施するとともに、顧客にはクレジットカードの利用明細書をチェックして身に覚えのない請求項目がないか確認するよう呼びかけている。合わせて、「たち吉オンラインショップ」のログインパスワードをリセットし、会員が次回のログイン時にパスワードを変更する必要がある。