3月28日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

ウクライナの複数組織へワイパー型マルウェア攻撃

ESET Japanのブログによると、新たなワイパー型マルウェアを利用したサイバー攻撃によって、ウクライナの複数組織にてPCが影響を受けた。範囲はネットワークにつながったPCの数百台に上るという。

ワイパー型マルウェアはデータ消去マルウェアとも呼ばれ、感染したPCのデータを消去して使用不能にする。ESETではこのマルウェアを「HermeticWiper(Win32/KillDisk.NCVで検出)」と名付けて警戒を呼びかけている。

HermeticWiperはディスク管理ソフト「EaseUS Partition Master」の正規ドライバを悪用しており、キプロスのHermetica Digitalが発行した正規のコード署名証明書も利用していた。HermeticWiperによる攻撃は、ウクライナの複数のWebサイトに対して行われていたDDos攻撃によってダウンした端末を標的に、その数時間後に発生したという。ESETは、今後どのような影響があるか、情報を取得しだい公開していくとしている。

FamiPayを騙るフィッシングに注意

3月22日の時点で、FamiPayを騙るフィッシングメールが拡散している。メールの件名一例は以下の通り。

  • 【FamiPay】事務局からのお知らせ
  • 【FamiPay】重要なお知らせ
  • 【FamiPay】お支払い金額確定のご案内
  • 【FamiPay】個人情報確認
  • 【ファミペイ】個人情報確認
  • 【ファミペイ】本人情報緊急確認
  • 【重要なお知らせ】ファミペイ ご利用確認のお願い
  • 【重要なお知らせ】FamiPay ご利用確認のお願い
  • 【最終警告】ファミペイ からの緊急の連絡
  • 【最終警告】FamiPay からの緊急の連絡
  • 【重要】FamiPay本人確認のお知らせ
  • 【重要】ファミペイ本人確認のお知らせ
  • 【重要】ファミペイ からの緊急の連絡
  • 【重要】FamiPay からの緊急の連絡
  • 【重要】FamiPay からの緊急の連絡 [メールコード ●●●●]
  • 【ファミペイ】重要なお知らせ [メールコード ●●●●]
  • 【重要なお知らせ】ファミペイ ご利用確認のお願い [メールコード ●●●●]
  • 【最終警告】FamiPay からの緊急の連絡 [メールコード ●●●●]
  • <緊急!FamiPay 重要なお知らせ> [メールコード ●●●●]
  • 「ファミペイ」ご利用環境確認用ワンタイムURLのお知らせ
  • お支払い方法変更のご案内[ファミペイ]
  • お支払い方法変更のご案内[FamiPay]
  • FamiPay【重要:必ずお読みください】

メールはファミペイの利用に関するもので、本人かどうかを確認したい取引があったなどと記載。記載URLへアクセスして確認するよう促してくる。リンク先はファミリーマートのロゴを使ったフィッシングサイトで、電話番号とパスワードの入力欄を用意し情報を窃取しようとする。3月30日の時点でフィッシングサイトは稼働中だったが、1つのフィッシングサイトが閉じても別のフィッシングサイトが立ち上がることがあるので注意すること。

Apple、iOSなどのセキュリティアップデートを公開

Appleは3月31日(米国時間)、iOS、iPadOS、macOS Montereyに関するセキュリティアップデートを公開した。iOSとiPadOSはそれぞれ15.4.1、macOSは12.3.1となる。

修正された脆弱性は、アプリケーションがカーネル権限で任意のコードを実行できる可能性があるというもの。対象となるのはiPhone 6s以降、iPad Pro(全モデル)、iPad Air 2以降、iPad 5世代以降、iPad mini 4以降、iPod touch(第7世代)。

macOSでも同様の脆弱性を確認。加えて、インテルグラフィックスドライバにおいてアプリケーションがカーネルメモリを読み取れる脆弱性も確認している。これらの脆弱性はすでに悪用の報告が届いているため、早急にアップデートを適用したい。

プリントオンを装った不審メール、Emotet感染が原因

同人誌や少数部数といった本の印刷を手がけるプリントオンが運用しているPCがマルウェア「Emotet」に感染し、同社を装った不審メールの存在を確認した。

Emotetへの感染によって、当該PCに保存してある顧客の個人情報が抜き取られ、不審メールの送信へとつながった。感染したPCについては適切な処置を施し、二次的被害や拡散防止に努めている。ただし、2012年4月1日~2022年3月16日の期間に同社へ問い合わせたメールアドレスは流出している可能性が高いという。

同社は、不審なメールが届いた場合は添付ファイルを開かずにメールを削除するよう呼びかけている。もし添付ファイルを開いてしまった場合は、Emotet感染を検知する「EmoCheck」の実行を推奨している。EmoCheckは、JPCERT/CC(一般社団法人JPCERTコーディネーションセンター)が配布しているEmotet感染チェックツール。最新版は「v2.1.1」で、「GitHub」からダウンロードできる。

山陽新聞従業員のPCが「Emotet」に感染

山陽新聞事業社は、同社従業員のPCが「Emotet」に感染し、中国銀行が依頼していた「ちゅうぎん創業サポートパッケージ」のメールサーバーが不正アクセスを受けたことを明らかにした。

この不正アクセスにより、同サービスのメールアドレス「info@sogyo-support.jp」を騙った不審メールを確認している。もし不審メールを受信したら、送信者名とアドレスが一致しているかをチェックし、異なっている場合は添付ファイルなどを開かず、URLもクリックせずに削除するように呼びかけている。なお今回の出来事は山陽新聞事業社のメールサーバーに対する不正アクセスで、中国銀行のシステムへの影響はない。

mogans WEBショップが不正アクセスでクレジットカード情報流出

ヘアケア製品やボディケア製品を取り扱う「mogans WEBショップ」が不正アクセスを受け、クレジットカード情報が流出している。不正アクセスは、システムの一部の脆弱性をついたペイメントアプリケーションの改ざんによるもの。2022年1月28日に、一部のクレジットカード会社からの連絡を受け発覚した。同日「mogans WEBショップ」でのカード決済を停止。第三者調査機関による調査を開始した。

調査の結果、2021年3月2日~2021年12月1日の期間に「mogansWEBショップ」で商品を購入した顧客のクレジットカード情報(977名分)が流出した可能性がある。流出情報の詳細は、カード名義人名、クレジットカード番号、有効期限、セキュリティコード。

第三者調査機関によるログファイルなどの調査によると、個人情報を格納していたデータベースへはアクセス可能な状態だったが、現時点ではクレジットカード情報以外の個人情報の流出は確認できなかったという。

mogans WEBショップを運営する彩り株式会社は、クレジットカード会社と連携して流出した可能性のあるクレジットカードによる取引のモニタリングを継続して実施。顧客に対しては、クレジットカードの利用明細書に身に覚えのない請求項目がないか確認するよう呼びかけている。

2021年12月1日には新サーバー「mogans 公式オンラインストア」への切り替えを完了しており、以降の期間は対象外となる。