5月16日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

楽天モバイルの「Rakuten Casa」に脆弱性

楽天モバイルの「Rakuten Casa」にて脆弱性がアナウンスされた。対象はRakuten Casa のバージョン「APFV141」および「APFV200」だ。Rakuten Casaは屋内に設置して電波状況を改善する小型の室内アンテナ(フェムトセル)。

脆弱性は、ハードコートされた認証情報の使用とアクセス制限の不備。製品に関する情報を取得可能な第三者がroot権限でログインし、任意の操作を実行する可能性があるという。また、初期設定でWAN側からのSSH接続・HTTP接続を受け付ける状態になっており、認証情報を初期設定のまま変更せずにインターネットに接続している場合、第三者にroot権限でログインを許し、任意に操作や内部情報窃取などの可能性がある。

2021年8月のアップデートで脆弱性を修正しているので、設置規約に則っている場合は自動でアップデートが適用になるとのこと。アップデート後のソフトウェアバージョンは、APFV201以降、APFV151、およびそれ以降となる。

住信SBIネット銀行を騙るフィッシングに注意

5月19日の時点で、住信SBIネット銀行を騙るフィッシングメールが拡散している。メールの件名の一例は以下の通り。

  • 住信SBIネット銀行お客様の口座は悪用された可能性があります。

メールでは「アカウント保護を重視している」などと記載しているが、よく読むと日本語がおかしい部分が多い。こういう場合はフィッシングメールと判断してよく、リンクをクリックしないようにしたい。なお、リンク先はNEOBANKを模したデザインとなっており、IDとパスワードを窃取する入力欄が存在する。5月19日の時点でフィッシングサイトは稼働中なので注意のこと。

ファッションサイト「MACHATT ONLINE STORE」でクレジットカード情報流出

machattが運営する「MACHATT ONLINE STORE」が不正アクセスを受け、個人情報が流出している。不正アクセスは、システムの一部の脆弱性をついたペイメントアプリケーションの改ざんによるもの。2022年2月22日に一部のクレジットカード会社からの連絡を受け発覚。同日カード決済を停止し、第三者調査機関による調査を開始した。

情報の流出件数は、2021年8月10日~2022年2月22日の期間に「MACHATT ONLINE STORE」で商品を購入した顧客のクレジットカード情報(16,093件)。一部は不正利用の可能性もある。流出情報の詳細は、カード名義人名、クレジットカード番号、有効期限、セキュリティコード。

クレジットカード情報以外の個人情報については、ログファイルなどの調査の結果、個人情報を格納するデータベースへのアクセスが可能な状態だったものの、データの流出はないとした。

同社は、クレジットカード会社と連携して漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施。顧客に対してもクレジットカードの利用明細書に身に覚えのない請求項目がないかを確認するよう呼びかけている。今後は、事態を厳粛に受け止め、システムのセキュリティ対策、および監視体制を強化し再発を防止するとしている。

リョービの海外グループ会社で不正アクセスによるシステム障害が発生

リョービの海外グループ会社 利優比圧鋳(大連)有限公司において、社内サーバーなどでランサムウェアの被害を受け、不正アクセスによってシステム障害が発生した。

システム障害は2022年4月26日に発生。ただちに不正アクセスを受けたサーバーなどをネットワークから遮断し復旧対応を実施した。4月27日17時(日本時間)には復旧を完了し、現在は操業を再開している。

5月11日時点では、不正アクセスを受けたサーバーなどに保管していた情報の流出はなく、同社グループにおいても同様の被害はないと発表した。同社は今後情報セキュリティ体制を強化し、再発防止に努めるとしている。

Apple、iOSなどのセキュリティアップデートを公開

Appleは5月16日(米国時間)、iOS、iPadOS、macOSに関するセキュリティアップデートを公開した。アップデート後のバージョンは、iOSとiPadOSがそれぞれ15.5、macOSが12.4となる。

iOS、iPadOSで修正した脆弱性は、アプリケーションがカーネル権限で任意のコードを実行できる可能性があるというもの。また、悪意を持って作成された画像を処理すると、同じように任意のコード実行の可能性がある。対象モデルは、iPhone 6s以降、iPad Pro(全モデル)、iPad Air 2以降、iPad 5世代以降、iPad mini 4以降、iPod touch(第7世代)。macOSでも同様の脆弱性が存在している。これらの脆弱性はすでに悪用の報告を受けているため、できるだけ早期にアップデートを適用すること。