6月27日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。
ディスクユニオンのサイトで大量の個人情報が流出
ディスクユニオンが運営するオンラインショップ「diskunion.net」と「audiounion.jp」において、顧客の個人情報が外部へ流出した可能性があると発表した。
発覚したのは6月24日。第三者からの情報提供を受け社内調査をしたところ、オンラインショップに登録した顧客の個人情報が流出している可能性があることがわかった。同日23時にオンラインショップを停止し、6月25日に社内緊急対策チームを発足。外部機関に調査を依頼した。現在も詳細は調査中。
現時点で判明している流出件数は最大約70万1,000件。流出情報の詳細は、氏名、住所、電話/FAX番号、メールアドレス、ログインパスワード、会員番号。一部、こうした情報がすでにWeb上で販売されていたり、フィッシング詐欺の被害が発生しているとの情報もある。なお、決済はすべて外部委託となっており、クレジットカード情報の流出はない。
同社は顧客に対し、「diskunion.net」と「audiounion.jp」で登録したメールアドレスとパスワードを同じ組み合わせで他社サイトやサービスで使っている場合、不正ログインに使われる可能性があるとして、パスワードを変更するよう呼びかけている。
「diskunion.net」と「audiounion.jp」のオンラインショップについては、原因の究明と再発防止対策が完了し、安全を確認するまで停止するとしている。
日経メディカル Onlineへの不正アクセスでギフト券の不正利用
日経BPが運営する医療従事者専門サイト「日経メディカル Online」が不正アクセスを受けた。不正アクセスは6月21日午後に一部会員のアカウントに対して発生し、現在は個人情報流出の可能性を含めて被害範囲などの特定を進めているものの、原因や情報流出内容などの解明にはいたっていない。
判明しているのは、第三者がポイント交換に必要なパスワードなどの情報を入手し、一部の会員について電子ギフト券のコードを不正に読み取ったこと。不正アクセスが確認されたアカウントは559人で、そのうち不正にギフト券コードを読み取られた人数は50人となる。被害の拡大を防ぐため、電子ギフトコードの表示画面を停止中だ。電子ギフト券の不正利用が発覚した場合の補償は検討中とのこと。
同社は、日経メディカル Onlineの会員に対して、日経メディカルIDで登録しているパスワードを変更するよう呼びかけている。
カラーコンタクト通販サイト「サンシティ」でクレジットカード情報1,133件が流出
サンシティが運営する「サンシティ」が不正アクセスを受け、顧客のクレジットカード情報(1,133件)が流出した可能性がある。
不正アクセスは、システムの一部の脆弱性をついたペイメントアプリケーションの改ざんによるもの。2021年6月10日にクレジットカード会社からの連絡を受け発覚した。その後はカード決済を停止し、別の決済会社でそれまでとは別の決済方法を用いて決済を再開したが、調査が完了するまでは決済を停止することが最善と判断し、2021年11月10日にカード決済を完全停止した。
依頼した第三者機関の調査によると、 2020年2月23日~2021年4月28日の期間に商品を購入した人のクレジットカード情報が流出。一部は不正利用の可能性もあるという。流出情報の詳細は、カード名義人名、クレジットカード番号、有効期限、セキュリティコード。
同社はクレジットカード会社と連携し、流出した可能性のあるクレジットカードによる取引のモニタリングを継続して実施。不正利用の防止に努めるとともに、顧客に対してはクレジットカードの利用明細書に身に覚えのない請求項目がないか確認するよう呼びかけている。
今後はシステムのセキュリティ対策と監視体制の強化を行い、再発防止を図る考え。サイト改修後のクレジットカード決済の再開日は、決定しだいWebサイト上で告知するとしている。
名古屋大学、Q&Aシステムへの不正アクセスでメールアドレスが流出
東海国立大学機構名古屋大学情報連携推進本部が運用しているQ&Aシステム(情報システムに関する問い合わせシステム)が、第三者の不正アクセスを受けた。これによりメールアドレスが流出した可能性がある。
不正アクセスの原因はブラインドSQLインジェクションで、Webアプリケーションのデータベースを不正に操作する攻撃によるもの。2022年5月16日にQ&Aシステムのログを確認した際に発覚した。
調査の結果、5月10日4時27分から10時35分の間と、5月14日11時14分から5月15日8時45分の間で不正アクセスが発生。アクセスログを解析したところ、当該システムに連絡先として保存していたメールアドレス(2,086件)が流出した可能性が判明した。不正アクセスが発覚した翌日にはプログラムを修正して脆弱性を解消しており、その時点において、流出したメールアドレスの悪用実績はない。
今後は、サーバー管理や情報セキュリティの確保に関する教育研修を強化して再発防止に努める。設備面ではWeb Application Firewallの導入も検討するとしている。
Mozilla、Firefoxのメジャーアップデート版「Firefox 102」
Mozilla Foundationは6月28日(米国時間)、Firefoxの最新バージョン「102.0」を公開した。「Firefox ESR 91.11.0」もリリースしている。
今回のアップデートにおけるセキュリティ更新は19件。リスクによる内訳は、高4件、中11件、低4件。「高」では、ポップアップウィンドウのサイズを変更してアドレスバーへWebコンテンツをオーバーレイ表示する脆弱性、nsSHistoryでの解放後のメモリ使用、CSPサンドボックスのバイパスなどを修正している。
機能面では、新しくダウンロードを開始するたびにダウンロードパネルが自動的に開かれる動作を停止できるように変更。また、強化型トラッキング防止機能のモードにて、クエリーパラメーターによるトラッキングからの保護が可能となった。Firefoxのユーザーはすみやかにアップデートすること。