6月13日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

Emotetに新機能、Chromeに保存したクレジットカード情報を窃取

警察庁はマルウェア「Emotet」に関して、Webブラウザ「Google Chrome」に保存したクレジットカード情報を外部に送信する機能追加があったことをアナウンスした。

Google Chromeは個人情報を暗号化して保存しているが、Emotetの新機能は暗号データを戻すための鍵も窃取するため、感染するとクレジットカード情報が第三者に知られる可能性がある。

警察庁の解析によると、情報窃取の対象メールソフトが拡大していることも判明。これまでは、Microsoft Outlookで過去にやり取りしたメール本文、メールアドレスなどの情報窃取機能がメインだったが、Thunderbirdといったオープンソースのメールソフトも対象となっている。今後も対象メールソフトは拡大していく可能性があるので注意が必要だ。

対策としては、Chromeを使っている場合はつねに最新バージョンにしておくこと。合わせて、不審なメールや自分が送信したメールへの返信であっても、添付ファイルを開く前に正規のものかを確認すること。メール本文のURLも同様に注意する。ほかにも、マクロの自動実行機能を備えたソフトで当該機能を無効化する、メールセキュリティ製品の導入、不正通信ブロックサービスなどの導入も提案している。

CtoCマーケットプレイス「SNKRDUNK」が外部から不正アクセス

SODAが運営するCtoCマーケットプレイス「SNKRDUNK」が、外部から不正アクセスを受けた。これにより、一部顧客の個人情報が流出した可能性がある。不正アクセスは、6月7日に「SNKRDUNK」のデータベースに対して発生。調査の結果、一部顧客の個人情報が流出している可能性が判明した。原因は不正なリクエストに対するDBデータを含めたレスポンスとのこと。

流出件数は2,753,400件で、詳細は氏名、生年月日、メールアドレス、住所、電話番号、購入情報、口座情報、パスワード(復号できないハッシュ化された状態)。このうち約6割は生年月日、メールアドレス、パスワード(復号できないハッシュ化された状態)のみ流出している。

現在は対策を施し、不正アクセス元をブロック。対象URLでレスポンスにエラー内容を含めないよう処理した。また、同様のリクエストに対して他URLでもレスポンスにエラー内容を含めないよう対処。WAFを導入して不正アクセスのリクエストのブロックも行った。合わせて外部セキュリティ専門家に脆弱性の診断を依頼し、不正アクセスの監視も強化する。今後は、外部セキュリティ専門家の意見を聞きつつ、再発防止策の検討を含めセキュリティの強化に取り組んでいく。

H&M、他人の個人情報と過去の注文履歴を表示してしまう不具合

H&M JAPANの会員制度「H&Mメンバー」において、一部顧客の個人情報をほかの顧客アカウントで表示してしまう事例を確認した。

調査の結果、ハッキングなどによる外部からの不正アクセスではなく、社内で行ったシステムアップデートで発生したエラーによるものとのこと。表示情報は個人情報と過去の注文履歴だが、すでに不具合は解消済み。詳細は現在も調査中で、新たな情報が得られた場合は改めて公式Webサイトで報告するとしている。

ナフコ、不正アクセスを受けポイントが使えないなどの不具合が発生

全国でホームセンターなどを展開するナフコのサーバーが不正アクセスを受け、不具合情報の第1報が公開された。

不正アクセスは2022年5月30日午前2時ごろに確認し、ただちに外部とのネットワークを遮断。現在判明している不具合は、同社のポイントカードで支払いができない、ポイント残高の表示が行われないなど。同社は顧客のクレジットカード情報を保持していないため、個人情報流出の可能性はないとしている。

また、会計システムは社外のクラウドサービスを利用しており、こちらへの不正アクセスはなかった。現在は復旧に向けて取り組んでおり、早期回復を図るとしている。

マイクロソフト、6月のセキュリティ更新プログラムをリリース

米Microsoftは6月15日(米国時間)、セキュリティ更新プログラムの情報を公開した。緊急5件、重要7件の脆弱性を修正している。これらの脆弱性を悪用するマルウェアの攻撃に備え、早期にセキュリティ更新プログラムを適用すること。

■緊急:リモートでのコード実行
・Windows 11
・Windows 10 v21H2、v21H1、v20H2
・Windows Server 2022(Server Core installationを含む)
・Windows Server 2019、2016、v20H2(Server Core installationを含む)
・Windows 8.1、Windows Server 2012 R2、Windows Server 2012(Server Core installationを含む)
■重要:リモートでのコード実行
・Microsoft Office
・Microsoft SharePoint
・Microsoft SQL Server
■重要:情報漏えい
・Microsoft .NET
・Microsoft Visual Studio
■特権の昇格
・System Center Operations Manager(SCOM)
・Azure Open Management Infrastructure

ヤマト運輸を騙るフィッシングに注意

ヤマト運輸を騙るフィッシングメールが拡散している。メール件名の一例は以下の通り。

  • 【ヤマト運輸】お届け時ご不在のご連絡
  • ヤマト運輸株式会社お荷物投函のお知らせ[数字]

メールでは、重要な荷物が届いたものの荷物に不備があり、荷物の確認するようにと記載。URLをクリックするように誘導する。リンク先はヤマト運輸のロゴマークを使ったフィッシングサイトで、個人情報やクレジットカード情報の入力欄を設置して情報を窃取しようとする。6月15日の時点でフィッシングサイトは稼働中なので注意のこと。