9月27日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

NETGEAR製ルータにリモートでのコード実行の脆弱性

NETGEAR製の一部ルータが抱える脆弱性が公開された。対象製品は以下の通り。

  • R6400v2
  • R6700
  • R6700v3
  • R6900
  • R6900P
  • R7000
  • R7000P
  • R7850
  • R7900
  • R8000
  • RS400

脆弱性はリモートでのコード実行。重要度は「高(High)」と高いため注意が必要。すでに各製品の対策ファームウェアが公開済みなので、該当製品のユーザーはすみやかに更新してほしい。対策済みバージョンは以下の通り。

  • 修正バージョン
  • R6400v2はファームウェアバージョン1.0.4.120
  • R6700はファームウェアバージョン1.0.2.26
  • R6700v3はファームウェアバージョン1.0.4.120
  • R6900はファームウェアバージョン1.0.2.26
  • R6900Pはファームウェアバージョン3.3.142_HOTFIX
  • R7000はファームウェアバージョン1.0.11.128
  • R7000Pはファームウェアバージョン1.3.3.142_HOTFIX
  • R7850はファームウェアバージョン1.0.5.76
  • R7900はファームウェアバージョン1.0.4.46
  • R8000はファームウェアバージョン1.0.4.76
  • RS400はファームウェアバージョン1.5.1.80

トレンドマイクロ、スマートホームスキャナーに脆弱性

トレンドマイクロのスマートホームスキャナーで脆弱性が公開された。対象のバージョンは以下の通り。

  • スマートホームスキャナー(Windows版)バージョン5.3.1225以前

脆弱性は権限昇格で、当該製品にログイン可能なユーザーによって特定のフォルダに悪意あるファイルが置かれると、攻撃者に管理者権限取得の可能性がある。ただし、この脆弱性を悪用するには、攻撃者が対象のPCで低位の特権を持ったコードを事前に入手している必要がある。

対策は、バージョン番号5.3.1225以前を利用している場合、インストールを最新版で行うようにすること。なお9月24日現在、本脆弱性の悪用はない。

アメリカン・エキスプレス・カードを騙るフィッシングメール

9月30日の時点で、アメリカン・エキスプレス・カードを騙るフィッシングメールが拡散している。メールの件名は以下の通り。

  • [AMERICAN EXPRESS]電話番号変更のお知らせ
  • [AMERICAN EXPRESS]Eメールアドレス登録のお知らせ
  • [American Express] ご請求確定後のサービスのご案内
  • 【AMERICAN EXPRESS】ご請求金額確定のご案内
  • 【American Express】のセキュリティ通知●●●●
  • 【AmericanExpress 重要なお知らせ】カードの一時利用停止は解除されました
  • 【American Express】ログイン通知
  • 【American Express】カードご利用金額のお知らせ
  • 【重要なお知らせ】会員様向けマイページのログインID・パスワードが業務委託先へ誤って提供されていたことに関するお詫び

メールでは、請求金額が確定したのでサービスへログインするように記載し、リンクをクリックさせようとする。リンク先にはユーザーID、パスワード、クレジットカード情報などの入力欄があり、9月30日の時点でフィッシングサイトは稼働中なので注意のこと。

体組成計のインボディ・ジャパン、スマートフォンアプリ「InBody」に脆弱性

インボディ・ジャパンのスマートフォンアプリ「InBody」に脆弱性が存在する。対象のバージョンは以下の通り。

  • InBody(iOS) 2.3.30以後
  • InBody(Android) 2.2.90(510)以後

家庭用体組成計「InBody Dial」の測定結果をInBodyアプリに転送するとき、InBody Dialに接続可能な第三者が情報を取得する可能性がある。測定が終了したタイミングで近くの人が同じ機器にアプリ連動すると、自身の測定結果が他人のアプリに転送されてしまうという現象。

最新バージョンではこの脆弱性を解消。InBody Dialの測定結果をアプリと自動連動する場合は、必ずアプリ経由で測定を開始するように改善している。

リポカプセルビタミンC公式通販サイトが不正アクセス被害

スピックが運営する「リポカプセルビタミンC公式通販サイト」が不正アクセスを受けた。サイトの脆弱性を突いたサーバー内部への不正プログラム設置によるもの。

情報流出は、2021年2月16日にセキュリティ強化業務を委託している業者からの連絡を受け発覚。ただちに悪性ファイルを削除し、システムアカウントのパスワード変更などの処置を実施した。2021年2月24日にはクレジットカード決済機能も停止。第三者機関による調査の結果、2020年11月6日~2021年2月24日の期間に新規会員登録を行った人、および商品を購入した人のクレジットカード情報が流出した可能性がある。

流出件数は、新規会員登録者15,674名分、クレジットカード決済をした人9,515名分となる。流出情報の詳細は、メールアドレス、ログインパスワード、カード名義人名、クレジットカード番号、有効期限、セキュリティコード。

同社はクレジットカード会社と連携し、流出した可能性のあるクレジットカードによる取引のモニタリングを継続して実施。顧客には、クレジットカードの利用明細書に身に覚えのない請求項目がないか確認するよう呼びかけている。

「リポカプセルビタミンC公式通販サイト」については、2021年3月4日に閉鎖。環境が異なる新サイトに切り替え、一部カード決済ブランドを除いて販売を再開している。

こだわりふぐショップかぶやまでクレジットカード情報272名分が流出

山賀が運営する「こだわりふぐショップかぶやま」が不正アクセスを受けた。システムの一部の脆弱性をついたペイメントアプリケーションの改ざんによるもの。

同ショップは2020年12月18日にシステム変更のためカード決済を停止していたが、2020年12月24日に一部のクレジットカード会社からクレジットカード情報流出の連絡を受け調査を開始。結果、2019年11月7日~2020年12月18日の期間に商品を購入した人のクレジットカード情報272名分(283件)が流出した可能性がある。流出情報の詳細は、カード名義人名、クレジットカード番号、有効期限、セキュリティコード。

山賀はクレジットカード会社と連携し、流出した可能性のあるクレジットカードによる取引のモニタリングを実施。顧客には、クレジットカードの利用明細書に身に覚えのない請求項目がないか確認するよう注意を呼びかけている。再発防止策として、システムのセキュリティ対策と監視体制の強化を行う。「こだわりふぐショップかぶやま」の再開日については、決定しだい改めて告知するとしている。