10月25日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

埼玉大学、学内のPCとサーバーが不正ログイン被害

埼玉大学の学内サーバーが不正アクセスによる被害を受けた。不正アクセスは第三者の不正ログインによるもの。2021年7月31日に、業務で利用しているPCに脆弱なパスワードを設定していたことが原因となり、このPCを経由してサーバー内のファイル改変が判明した。

調査の結果、被害にあったPCとサーバーには、個人情報や機密情報を保持していないことを確認。当該サーバーから別の学内サーバーに対して情報参照も行われたが、第三者の情報参照は拒否する設定となっていたため、情報流出はなかったとのこと。今回の被害を踏まえ、不正ログインされたPCは撤去し、学内サーバーはパスワード変更を実施した。

KLab IDが外部からの不正ログイン被害

ゲーム事業やブログ運営を手がけるKLabが提供する「KLab ID」が、外部からの不正なログイン被害を受けた。社外から入手したIDとパスワードを用いたパスワードリスト攻撃の可能性が高いとし、2021年10月26日に不正ログインを検知。調査の結果、最初に不正ログインがあったのは2021年10月24日1時9分以降だった。

不正ログインを確認したユーザー数は2,846件(2021年10月26日18時現在)で、閲覧の可能性がある情報は、メールアドレス、ひみつの質問と回答、生年月日、性別、言語、KLab IDと連携中のアプリ名、KLab IDと連携したアプリ内で閲覧できるすべての情報。パスワードは復元不可能な形(一方向性暗号化、ソルト付きハッシュ)で保存しているため、流出はないとしている。

対策として、2021年10月26日22時57分に全KLab IDアカウントに対して二段階認証の必須化を実施。ログイン時にIDとパスワードに加え、確認コードによるアカウント認証を行うように変更した。KLabでは、他社のサービスと異なるパスワードを設定する、ログイン通知を有効にする――といった対策を紹介して注意を呼びかけている。

バイク用品のタナックスで3DセキュアPWを含む個人情報流出

タナックスが運営する「TANAXオンラインショップ」において、第三者による不正アクセスが発生。これによりクレジットカード情報が流出している。

不正アクセスは、システムの一部の脆弱性をついたペイメントアプリケーションの改ざんによるもの。2021年1月7日に顧客からクレジットカード情報の漏洩懸念があるとの連絡を受け、2021年1月15日にクレジットカード決済を停止した。

第三者機関の調査によると、2020年12月7日~2021年1月7日の間に商品を購入した顧客のクレジットカード情報(26名分)が流出。流出情報の詳細は、購入者名、郵便番号、住所、電話番号、メールアドレス、クレジットカード名義人名、クレジットカード番号、有効期限、セキュリティコード、3Dセキュアのパスワード。一部顧客のクレジットカードは不正利用された事実も確認している。

タナックスはクレジットカード会社と連携し、流出した可能性のあるクレジットカードによる取引のモニタリングを継続して実施中。顧客に対しても、クレジットカードの利用明細書に身に覚えのない請求項目がないか確認するよう呼びかけている。合わせて、タナックスはシステムのセキュリティ対策と監視体制を強化。クレジットカード決済の再開日については、決定しだいWebサイトで告知するとしている。

スズキのインドネシア子会社で不正アクセス、情報流出はなし

スズキがインドネシアで展開する子会社、スズキ・インドモービル・モーターが不正アクセスを受けた。不正アクセスは10月15日に発生し、生産システムが影響を受け、四輪工場の一部が2日間にわたって稼働できなくなったという。顧客情報を保存しているサーバーに対する不正アクセスを確認しているものの、顧客情報の流出の事実はないとしている。

現在は復旧が完了して通常稼働に戻っているが、詳細を把握するため調査を継続。また、子会社を含めてセキュリティ強化を推進していく。

犬用ウェアの通販サイトで不正アクセス

アイコンズが運営する「アルファアイコンオフィシャルショップサイト」が不正アクセスを受けた。システムの一部の脆弱性をついたペイメントアプリケーションの改ざんによるもの。2021年7月12日に保守会社からの連絡を受け発覚し、アルファアイコンオフィシャルショップサイトでのクレジットカード決済を停止した。

第三者機関による調査によると、2021年7月6日~2021年7月12日の期間に、同サイトで商品を購入した顧客のクレジットカード情報(93件)が漏洩した可能性がある。漏洩情報の詳細は、カード名義人名、クレジットカード番号、有効期限、セキュリティコード。一部については不正利用の可能性もあるという。

アイコンズは該当の93名に電子メールや書面で個別に連絡。サイトを利用した顧客に対しては、クレジットカードの利用明細書に不審な請求項目がないかを確認するよう呼びかけている。今後は旧システムを破棄し、新システムでサイトを再構築する。

タピオカ通販サイトが不正アクセス被害

ネットタワーが運営する「www.tapiocaworld.jp」が不正アクセスを受けた。顧客のクレジットカード情報が流出した可能性がある。

不正アクセスは、2021年4月9日に一部のクレジットカード会社からの連絡を受け発覚。同日、www.tapiocaworld.jpでのカード決済を停止した。第三者機関による調査の結果、システムの一部の脆弱性をついたペイメントアプリケーションの改ざんが行われていた。

流出した個人情報は、2020年2月14日~2021年3月29日の期間に商品を購入した人のクレジットカード情報が301件(226名)。一部は不正利用の可能性があるという。流出情報の詳細は、カード名義人名、クレジットカード番号、有効期限、セキュリティコード。該当する226名には電子メールなどで個別に連絡済み。

ネットタワーはクレジットカード会社と連携し、流出した可能性のあるクレジットカードによる取引のモニタリングを継続。そのほかの顧客に対しては、クレジットカードの利用明細書に不審な請求項目がないか確認するよう呼びかけている。

被害を受けた通販サイトは2021年3月29日に旧サイトを閉鎖。2021年4月5日に新プラットフォームで再開しているが、新サイトでもクレジットカード決済は停止したままだ。クレジットカードの決済再開については、決定しだい告知するとしている。