12月6日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。
LINE Payの一部ユーザー情報が閲覧できる状態でアップロード
LINE Payユーザーのアカウント情報が、ソースコード共有サイト「GitHub」上で閲覧できる状態になっていた。この状態は、2021年9月12日15時13分ごろから2021年11月24日18時45分ごろまで続いていた。
今回の原因は、LINE Payの委託先となっているグループ会社の従業員が、2021年1月および4月にポイント付与漏れの調査を実行したこと。2021年9月12日に、調査を行うためのプログラムと、対象となる決済に関する情報を「GitHub」上にアップロードしてしまい、それが閲覧できる状態が続いた。
アップロード済みデータのアクセス状況を調査したところ、部外者からとなる11件のアクセスを確認。ただし12月6日の時点で、これらデータが検索エンジンやアーカイブサイト上に残存していないことも確認している。
閲覧できる状態にあったのは、日本国内のLINE Payユーザーの情報。対象アカウント数は51,543件で、海外のグループ会社を含めると133,484件にのぼる。情報の詳細は、対象ユーザーの識別子、加盟店管理番号、キャンペーン情報(キャンペーンコードなど)となる。氏名、住所、電話番号、メールアドレス、クレジットカード番号、銀行口座番号などの重要情報は含まれない。
GitHub上のデータは11月24日に削除済み。すでに該当ユーザーへの連絡も行っており、現時点でユーザーへの影響は確認されていない。L
ドレス通販「Tika」でクレジットカード情報情報8,306名分が流出
DRESS DESIGN WORKSが運営する通販サイト「Tika」が不正アクセスを受け、顧客の個人情報が流出した。今回の不正アクセスは、ペイメントアプリケーションの改ざんによるなりすましによるもの。
2021年4月21日にシステム会社からの連絡を受け発覚し、2021年5月19日に「Tika」でのカード決済を停止。第三者機関の調査によると、2020年2月24日~2021年4月20日の期間に「Tika」で商品を購入した顧客のクレジットカード情報が流出。一部のクレジットカードの不正利用も確認している。
情報流出件数は最大8,306名。情報の詳細は、カード名義人名、クレジットカード番号、有効期限、セキュリティコード。登録済みのクレジットカードで決済したカード情報は流出していない。また、2020年2月24日~2021年4月20日の期間に「Tika」にログインした顧客のメールアドレス、パスワード、生年月日も流出した可能性があるという。
同社は2021年5月18日10時までに、会員登録をした全会員様のログインパスワードを停止し、再設定した顧客のみログインできるようにした。
ロイヤルホームセンターWebサイトに不正アクセス
ロイヤルホームセンターの公式Webサイトを運用しているサーバーが不正アクセスを受けた。11月1日、管理を委託している事業者からの連絡を受け発覚。緊急対応としてサイトを停止し、外部からのアクセスをすべて遮断した。専門調査会社による調査の結果、個人情報を含むデータが外部に流出した事実はなく、形跡も確認できなかったという。
同社はこの調査結果を受け、今回の不正アクセスによる情報流出の可能性は極めて低いと判断。ただし、今後新たな事実が判明した場合は、改めて状況を報告するとしている。
現在は調査会社のアドバイスなどを参考にセキュリティ対策を講じ、12月1日にサイト運用を再開している。なお、ロイヤルホームセンター公式アプリ(スマホ会員証)と、ロイモール(公式通販サイト)は、別システムを使用しているため不正アクセスの影響はない。
トレンドマイクロのウイルスバスター クラウドに複数の脆弱性
トレンドマイクロのセキュリティソフトの「ウイルスバスター クラウド バージョン 17.0(月額版含む)」の脆弱性情報が公開された。
脆弱性を放置すると、攻撃者によってローカルの特権昇格が行われる可能性がある。ただし脆弱性を悪用するには、攻撃者が対象のシステムでアクセス権とユーザー権限を取得している必要があるため、攻撃の条件としてはそれほど緩くはない。
今回の脆弱性を解消するアップデートは、すでにリリース済み。ウイルスバスター クラウドの当該バージョンを利用している場合、すみやかにアップデートすること。
Mozilla、 Firefoxのメジャーアップデート版「Firefox 95」
Mozilla Foundationは12月7日(米国時間)、Firefoxの最新バージョン「95.0」を公開した。延長サポート版の「Firefox ESR 91.4.0」もリリースしている。
今回のアップデートでセキュリティ更新は13件。内訳は、高6件、中5件、低2件だ。脆弱性「高」では、非同期機能実行中のナビゲート時のURL漏洩、MacOSのフルスクリーンオブジェクトにおける解放後のメモリ使用などを修正している。
機能面では、サードパーティ製モジュールの脆弱性から保護するサンドボックス技術「RLBox」を有効化できるようにした。また、サイドチャネル攻撃対策のサイト分離機能なども実装している。Firefoxのユーザーは早々にアップデートしてほしい。
住友生命を騙るSMSに注意
12月8日の時点で、住友生命を騙るフィッシングメールが拡散している。メールの件名は「住友生命保険から重要なお知らせ」など。
メールでは、セキュリティシステムを更新するため、登録済みの個人情報を更新する必要があるなどと記載。更新しないと利用制限をかけると煽り、URLをクリックするよう誘導する。リンク先は「スミセイダイレクト サービスログイン画面」を偽装したフィッシングサイトで、お客さま番号、パスワードなどを窃取するための入力欄がある。12月6日の時点でフィッシングサイトは稼働中なので注意されたい。
