12月6日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

NTTドコモの5G対応モバイルルーター「Wi-Fi STATION SH-52A」に脆弱性

11月30日の時点で、NTTドコモのモバイルルーター「Wi-Fi STATION SH-52A」に脆弱性が存在する。

脆弱性はクロスサイトスクリプティングで、当該製品のWebUIにアクセスしているユーザーのWebブラウザ上で、任意のスクリプトが実行される可能性がある。脆弱性を解消するアップデートは提供済みなので、使用しているユーザーはアップデートを行うこと。

エレコムの無線LANルーターに脆弱性

エレコムは11月30日、同社の一部無線LANルーターに脆弱性があると発表した。対象製品と脆弱性の概要は以下の通り。

・WRH-733GBK、WRH-733GWH
バッファーオーバーフロー、OSコマンドインジェクション、クロスサイトスクリプティング

・WRC-2533GHBK-I
クロスサイトスクリプティング

・WRC-1167GST2、WRC-1167GST2A、WRC-1167GST2H、WRC-2533GST2、WRC-2533GST2SP、WRC-2533GST2-G、EDWRC-2533GST2、WRC-2533GS2-B、WRC-2533GS2-W、WRC-1750GS、WRC-1750GSV、WRC-1900GST、WRC-2533GST、WRC-2533GSTA
OSコマンドインジェクション、クロスサイトリクエストフォージェリ、アクセス制限不備、telnetサービスへのアクセス制御不備

影響は脆弱性によって異なるが、LAN側からアクセス可能な攻撃者による任意のスクリプトやコマンドの実行、ログインした状態のユーザーが細工ページにアクセスしてしまった場合の意図しない操作、LAN側からアクセス可能な攻撃者によるCSRFトークンの不正取得、設定を変更、認証なしでの管理画面へのアクセス、telnetサービスの有効化などが起こる可能性がある。

すでに脆弱性を解消するファームウェアは公開済みで、エレコムは当該製品のユーザーにファームウェアのアップデートを呼びかけている。

EVANGELION STORE(オンライン)でクレジットカード情報17,828件が流出

グラウンドワークスが運営する「EVANGELION STORE(オンライン)」が不正アクセスを受けた。システムの一部の脆弱性をついたペイメントアプリケーションの改ざんによるものだ。

2021年7月12日にクレジットカード会社からの連絡を受け、同日「EVANGELION STORE(オンライン)」でのカード決済を停止。第三者機関の調査によると、2020年6月8日~2021年6月30日の期間に「EVANGELION STORE(オンライン)」で商品を購入した顧客のクレジットカード情報が流出していた。一部は不正利用も確認済み。

個人情報の流出状況はクレジットカード情報17,828名分。情報の詳細は、カード名義人名、クレジットカード番号、有効期限、セキュリティコード、ログオンID、パスワード。現時点では上記の情報以外の個人情報は流出していないという。

同社はクレジットカード会社と連携し、流出した可能性のあるクレジットカードによる取引のモニタリングを継続して実施。顧客に対しては、利用明細書に不審な請求項目がないかを確認するよう呼びかけている。また、同社は今回の事態を重く受け止め、システムのセキュリティ対策と監視体制の強化を行うとしている。

EVANGELION STOREは、EVANGELION STOREグループの別サイトとは完全に分離しているため、「EVANGELION STORE Yahoo!店(オンライン)「EVANGELION STORE TOKYO-01(池袋店)」「箱根湯本えヴぁ屋」への影響はない。

山口県の動物愛護センターホームページが改ざん被害

山口県の動物愛護センターが不正アクセスを受け、ホームページが改ざんされた。不正アクセスの原因、発生時期などは現在も調査中。

今回の不正アクセスは、匿名メールの情報提供で発覚。ホームページにあるリンクをクリックすると、本来のページと異なる外部サイトへ誘導される。この現象を11月29日に認知し、11月30日11時ごろ同ホームページの公開停止作業を開始。14時25分にホームページを完全に停止した。

このホームページを保存しているのは外部サーバーで、個人が特定できる氏名や住所などの情報は保存していないとのこと。同社は、11月30日の停止以前にこのホームページを閲覧している場合、ウイルスに感染している可能性があるのでチェックを行うよう呼びかけている。なお、動物愛護センターホームページが復旧するまでの間は、保健所(健康福祉センター)の収容動物情報が各保健所(健康福祉センター)などで情報を公開している。

Joshin Webを騙るSMSに注意

11月30日の時点で、Joshin Webを騙るフィッシングメールが拡散している。メールの件名は「[Joshin Web] カード情報更新のお知らせ」など

メールでは、Joshin Webのカード情報が更新できないといった偽の情報を記載し、アカウント維持のために記載URLをクリックするようを促す。飛び先はフィッシング目的の偽造サイトだ。フィッシングサイトでは、メールアドレス、パスワード、会員情報、クレジットカード情報などの入力欄があり、11月30日の時点でフィッシングサイトは稼働中なので注意したい。