2月28日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

メタップスペイメント、不正アクセスによる情報流出の中間報告

メタップスペイメント(以下、メタップス)は2月28日、1月25日に発生した不正アクセスについての中間報告まとめを発表。合わせて、トークン方式のクレジットカード決済サービスも停止した。

報告では、不正アクセスによる攻撃が2021年8月2日から2022年1月25日にわたって発生。データベースに保存していた個人情報などが外部に流出した。すでに対策は完了しており、ログイン認証方式の強化、システム環境の分離、SQLインジェクション対策、バックドアの削除などを実施している。

情報の流出は3つのデータベースで発生。トークン方式クレジットカード決済情報データベースからは、2021年10月14日から2022年1月25日に使われたクレジットカード番号の460,395件が流出。情報の詳細は、カード番号、有効期限、セキュリティコード。

決済情報データベースからは、2021年5月6日から2022年1月25日に使われた顧客の決済データの合計593件が流出。内訳は、クレジットカード決済434件(カード番号、有効期限)、コンビニ決済109件(氏名、電話番号、メールアドレス)、ペイジー決済17件(氏名、郵便番号、住所、電話番号)、電子マネー決済33件(メールアドレス)。加盟店情報データベースからは38件(加盟店名、加盟店コード)が流出した。

メタップスは、情報が流出した人に対して加盟店を通じて電子メールで連絡している。同社が運営する「会費ペイ」「イベントペイ」を利用している人に対しては、直接メールで連絡するとしている。今後の対応として、PCI DSSアセスメントの実施、再発防止委員会の設置などを行っていく。

日本赤十字社への影響

メタップスの不正アクセス被害によって、日本赤十字社が保持する個人情報が流出。日本赤十字社が関連するのは、2つの決済情報データベースへの不正アクセス。

トークン方式クレジットカード決済情報データベースからは、2021年10月14日から2022年1月25日にクレジットカード決済を行った人のカード番号、有効期限、セキュリティコードが流出。メタップス側では最大で460,395件となる。そのうち日本赤十字社の情報として最大5,283件が対象。

決済情報データベースからは、2021年5月6日から2022年1月25日にクレジットカード決済を行った人の、カード番号、有効期限。メタップス側では434件、そのうち日本赤十字社は1件。日本赤十字社は、クレジットカード決済を利用した人に向けて、利用明細書に不審な請求項目がないか確認するよう呼びかけている。

デジタルSKIPステーションへの影響

デジタルSKIPステーションにおいては、メタップスにおける情報流出に関連して、主催イベントに参加した一部の顧客情報が流出した可能性がある。デジタルSKIPステーションはメタップスペイメントの決済サービスを利用しており、情報流出はこの決済システム環境下にあるデータベースの一部。

不正アクセスが行われた期間は、2021年10月14日~2022年1月25日。クレジットカード決済を行った人のカード番号、有効期限、セキュリティコードが流出した可能性があるという。対象のイベントは、ウィークエンドシアター、落語会、フィルム映画上映会。

デジタルSKIPステーションは顧客に対し、クレジットカードの利用明細書に身に覚えのない請求項目がないかを確認するように呼びかけ、不審な項目がある場合はカード外会社に問い合わせるよう促している。

小島プレス工業へのサイバー攻撃でトヨタの工場が稼働停止

トヨタ自動車は、同社に樹脂部品を納入している小島プレス工業がサイバー攻撃を受け、国内の全14工場で稼動する28の生産ラインを停止した。

小島プレス工業は、2月26日の深夜にファイルサーバーで障害を検知。マルウェアの感染と脅迫メッセージを確認したため、ネットワークを遮断して全サーバーを停止した。2月27日には一部が復旧したものの、メールサーバーやWebサーバーが利用できない状態となっている。調査を進めた結果、被害は複数のサーバーにおよび、被害規模や影響の範囲などは現在も調査中。

2月28日はネットワーク遮断前に授受したデータをもとに生産を続けたが、供給先や材料サプライヤーとデータをやりとりできないことから、3月1日から生産を見合わせている。合わせてトヨタ自動車も工場の稼働を停止した。

小島プレス工業の完全復旧はまだだが、暫定的なネットワークを用意することで対処し、データの授受できるようになったことから3月2日に生産を再開。トヨタで3月2日からすべての稼働を再開した。

琉球大学、Webサーバーが不正アクセスを受け情報流出

琉球大学 工学部の教員が管理しているWebサーバーが、第三者による不正アクセスを受けた。これにより、サーバー内に保存していた個人情報が流出した可能性がある。

流出した情報は、平成21年度から平成27年度に、同大学工学部に在籍していた卒業生のうち275名分。詳細は、氏名、学籍番号、研究室名、成績、レポート、インターンシップ先、指導教員名、3年次編入学関連情報(氏名、生年月日、学生番号、性別、出身校、認定単位)、大学メールアドレス(卒業時に無効)、電話番号、画像データ。工学部教員12名分の氏名とメールアドレス。

今後は再発防止策としてサーバー管理を強化し、全職員に対して情報セキュリティの意識向上を図る研修などを行っていく。現時点で二次被害はない。

ワコム、サプライチェーンへの攻撃でワコムストアの稼働が停止

ワコムの物流業務を担うパートナー企業がサイバー攻撃を受けた。物流システムのトラブルは2月21日に発生して出荷業務が影響を受けたため、ワコムストアでのサービスを一時停止。3月4日に一部再開している。

同社は復旧対応を進めているものの、完全復旧にはもう少し時間がかかるとしている。現在注文済みの商品については、3月2日以降に順次出荷を再開した。今回のシステムトラブルで個人情報などの流出はない。

Google、脆弱性28件を修正したChrome最新バージョン「99.0.4844.51」

Googleは3月1日、Webブラウザ「Chrome」の最新バージョン「99.0.4844.51」を公開した。Windows、macOS、Linuxに向けて、数日から数週間にわたってアップデートを配信する。

今回のアップデートでは、「高」9件を含む28件の脆弱性を修正。高の脆弱性は、キャストUI、WebShareの解放後のメモリ使用、ANGLEのヒープバッファオーバーフローなど。中の脆弱性は、インストーラーでのポリシーの適用が不十分、フルスクリーンモードでの不適切な実装など。

千葉銀行を騙るフィッシングに注意

3月4日の時点で、千葉銀行を騙るフィッシングメールが拡散している。メール件名の一例は「【千葉銀行】ご利用確認」など。

メールでは「千葉銀行からのお知らせ」と題し、利用を確認したい取引があったのでカードの利用を停止したと記載。フィッシングサイトへのリンクを記載し誘導する。フィッシングサイトは「ちばぎん」ロゴを模倣するなど、偽物と判別しづらいため注意が必要だ。