11月8日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

LINE、特定期間におけるLINEのストーリー機能の不具合

LINEは11月11日、2021年7月20日から10月10日までの期間に、LINEのストーリー機能に脆弱性が存在していたことを明らかにした。

この脆弱性は、2021年7月20日10時53分にiOS版「LINE」が、ストーリー機能の認証プロセスへのトラフィックが増加してシステム遅延が発生。暫定的な緊急処置で解消したものの、不具合につながった。対象期間中にストーリーを投稿したユーザーと、投稿したストーリーが影響を受けた可能性があるという。

不具合は、第三者が特定のユーザーから閲覧可能なストーリーの作成時刻、ストーリーの作成者の識別情報、特定のユーザーの友だちリスト(一部)を閲覧できるというもの。ストーリーの本文は第三者が閲覧できる状態にはなっていなかった。

同社は不具合発覚後に修正対応を実施し、2021年10月10日20時35分に完了している。今後は、緊急処置による認証プロセス修正に対する追加確認処理を強化し、再発を防止する。

リンクイットでクレジットカード情報を含む個人情報が流出

リンクイットが運営する「LINK IT MALL」が不正アクセスを受け、ペイメントアプリケーションが改ざんされ、クレジットカード情報が流出した。

不正アクセスの経緯は、2021年4月20日に決済代行会社からの連絡を受け発覚。同日クレジットカード決済を停止し、第三者機関による調査を依頼した。調査の結果、2020年4月27日~2021年3月24日の期間に商品を購入した顧客のクレジットカード情報6,485件(6,197名分)が流出。一部のクレジットカードは不正利用も確認している。

流出情報の詳細は、クレジットカード名義人名、クレジットカード番号、有効期限、セキュリティコード。そのほか、「LINK IT MALL」で個人情報を登録した顧客のログインパスワード、電子メールアドレスなども流出の可能性がある。

同社はクレジットカード会社と連携し、クレジットカードによる取り引きのモニタリングを継続して実施。顧客に対してはクレジットカードの利用明細書に不審な請求項目がないか確認するよう注意を呼びかけている。

今後の再発防止策として、システムのセキュリティ対策と監視体制を強化。クレジットカード決済の再開日は決定しだいWebサイト上で告知する。

ヤマハ製のルータ製品に脆弱性

11月9日の時点でヤマハの複数のルータに脆弱性を確認している。対象の製品とバージョンは以下の通り。

  • RTX830 Rev.15.02.17 以前
  • NVR510 Rev.15.01.18 以前
  • NVR700W Rev.15.00.19 以前
  • RTX1210 Rev.14.01.38 以前

脆弱性は、クロスサイトスクリプトインクルージョンとHTTPレスポンスヘッダインジェクション。影響は脆弱性によって異なるが、Web GUIにログインした状態のユーザーが攻撃者の作成したトラップページにアクセスすると、製品の設定情報変更、機微な情報の窃取などが発生する可能性がある。

すでに対策済みアップデートが提供済み。アップデート後のバージョンは以下の通り。また、httpd service offを設定しHTTPサーバ機能を無効にする、httpd host noneを設定して全ホストからのGUI設定画面へのアクセスを禁止するといった処置でも対策可能だ。

  • RTX830 Rev.15.02.20
  • NVR510 Rev.15.01.21
  • NVR700W Rev.15.00.22
  • RTX1210 Rev.14.01.40

マイクロソフト、11月のセキュリティ更新プログラムをリリース

マイクロソフトは11月10日、11月のセキュリティ更新プログラムを公開した。なお、セキュリティアドバイザリなどに更新はなく、今月の「悪意のあるソフトウェアの削除ツール」に追加したファミリもない。

  • Azure
  • Azure RTOS
  • Azure Sphere
  • Microsoft Dynamics
  • Microsoft Edge(Chromium-based)
  • Microsoft Edge(Chromium-based)in IE Mode
  • Microsoft Exchange Server
  • Microsoft Office
  • Microsoft Office Access
  • Microsoft Office Excel
  • Microsoft Office SharePoint
  • Microsoft Office Word
  • Microsoft Windows Codecs Library
  • Power BI
  • Role: Windows Hyper-V
  • Visual Studio
  • Visual Studio Code
  • Windows Active Directory
  • Windows COM
  • Windows Core Shell
  • Windows Cred SSProvider Protocol
  • Windows Cryptographic Services
  • Windows Defender
  • Windows Desktop Bridge
  • Windows Diagnostic Hub
  • Windows Fastfat Driver
  • Windows Feedback Hub
  • Windows Hello
  • Windows Installer
  • Windows Kernel
  • Windows NTFS
  • Windows RDP
  • Windows Scripting
  • Windows Virtual Machine Bus

脆弱性についてのセキュリティ更新プログラムは、緊急8件、重要5件。修正内容はリモートでのコード実行、なりすまし、特権の昇格、など。

注意点としては、Microsoft Excelのセキュリティ機能をバイパスする脆弱性と、Microsoft Exchange Server リモートコード実行の脆弱性は、すでに脆弱性の悪用を確認済み。早急に更新プログラムを適用してほしい。

また、今回のセキュリティ更新プログラムはActive Directory における複数のセキュリティ強化を含む。これらのセキュリティ強化は、今後リリース予定のセキュリティ更新プログラムでさらなる強化を行う予定としている。

三菱UFJ銀行と三井住友銀行を騙るフィッシングメール

11月10日の時点で、三菱UFJ銀行、三井住友銀行を騙るフィッシングメールが拡散している。メールの件名は以下の通り。

  • 三菱UFJ銀行-お客さまの口座間送金管理
  • 三菱UFJ会社から緊急のご連絡
  • 【三井住友SMBC】セキュリティシステム更新通知
  • 【三井住友銀行】異常振込入金のお知らせ

メールでは、口座にリスクが検出した、セキュリティのアップデートを行うなどと記載し、リンクをクリックするよう誘導する。リンク先はそれぞれの公式サイトを模したデザインで偽装しており、ログインID、キャッシュカード暗証番号などの入力欄などを用意して情報を窃取しようとする。11月10日の時点でフィッシングサイトは稼働中なので警戒のこと。