9月5日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

ロシア支持のハッカー集団「キルネット」が日本へサイバー攻撃

ロシアのウクライナ侵攻を支持するハッカー集団のキルネットは、日本政府が運営する行政サイトなどに対してサイバー攻撃を行ったことをSNSに投稿した。キルネットは、ロシアに敵対している国に対してサイバー攻撃を繰り返している。主な攻撃手段はDDoS攻撃で、アメリカの空港やイタリア政府のWebサイトにも攻撃を仕かけてインフラを麻痺させた。

日本での被害は、デジタル庁の行政情報ポータルサイト「eーGov」、総務省の地方税ポータルサイト「eLTAX」など。民間のWebサイトでは、クレジットカード大手のJCBの決済システム、SNSのmixi(ミクシィ)、名古屋港などへも攻撃を行ったと主張している。9月7日には東京メトロの公式ホームページにアクセスしにくい状況が発生。キルネットは「東京の地下鉄を止める」とSNSに投稿しており関与が疑われている。

今後も同様の攻撃が続く可能性は否定できない。攻撃内容も、DDoS攻撃だけでなく、より被害が大きい攻撃へと移行することもあり得る。

リケン、サーバーへの不正アクセスに関する第三報を公開

自動車や産業機器の部品メーカーであるリケンは、同社のサーバーに対して7月19日に発生した不正アクセスについて、第三報を公開。不正アクセスはリケンのサーバーに対するランサムウェア攻撃によるものだった。

フォレンジック調査専門会社などによる調査対策チームを設置し、不正アクセスを受けたサーバー、ファイルの特定、不正アクセスの原因、復旧の見通しなどの調査を行ってきた。現時点で流出した個人情報は約6,000件で、詳細は以下の通り。

  • 2018年3月末時点の株主の一部に関する情報(氏名、一部の住所、電話番号などを含む)
  • 従業員に関する情報(氏名、一部の所属部署、住所、電話番号、生年月日、顔写真などを含む)
  • 仕入れ先など取引先の個人に関する情報(氏名、会社名、一部の役職、連絡先などを含む)

顧客の機密情報(約60件)も流出。内容は、社名、一部のエンジン機種名、リケンが納める部品数量情報など。これまでのところ、今回の不正アクセスによるリケン製品の製造に大きな影響はなく、製品納入は滞りなく継続しているという。ただし、システム全体の復旧には、もうしばらくの期間を要するとのこと。

アイ・ビー・エス・ジャパンのホームページが改ざん被害

アイ・ビー・エス・ジャパンのホームページが第三者からの不正アクセスを受け、改ざん被害が発生した。

改ざんが行われていたのは、2022年8月30日4時~10時ごろ。同社は、この期間中にホームページにアクセスしていた場合は、現在使用しているセキュリティソフトを最新のバージョンに更新し、不正なプログラムへの感染がないかを確認するよう呼びかけている。この改ざんによる個人情報流出はない。被害を受けたサーバーは復旧作業を終えている。

明治、シンガポールのグループ会社がサイバー攻撃被害

明治の海外グループ会社「メイジセイカ・シンガポール」がサイバー攻撃を受けたシンガポールの関係当局に通報し、被害内容、情報流出の有無、および範囲の特定についての調査を開始している。現時点においては、顧客情報や同社グループの機密情報といった流出はないとしている。なお、サイバー攻撃は「メイジセイカ・シンガポール」限定となり、明治グループのほかの会社への影響はない。

QNAP製NASを狙うランサムウェアの攻撃キャンペーン

QNAP Systemsによると、写真管理アプリ「Photo Station」を実装する同社製NASを標的とした、ランサムウェア「DeadBolt」の攻撃キャンペーンが発生している。対象製品とバージョンは以下の通り。

  • QTS 5.0.1: Photo Station 6.1.2 より以前のバージョン
  • QTS 5.0.0/4.5.x: Photo Station 6.0.22 より以前のバージョン
  • QTS 4.3.6: Photo Station 5.7.18 より以前のバージョン
  • QTS 4.3.3: Photo Station 5.4.15 より以前のバージョン
  • QTS 4.2.6: Photo Station 5.2.14 より以前のバージョン

上記のPhoto Stationアプリには脆弱性が存在。Photo Stationアプリを使ってインターネット上で画像を公開していると、攻撃を受ける可能性がある。DeadBoltは、デバイスのログインページを乗っ取り、データを暗号化した上で身代金を要求するランサムウェアだ。

QNAPは緊急度を「クリティカル」に設定し、早急にデバイスのファームウェアアップデートを行うよう呼びかけている。応急処置的な対策として、「ルーターのポートフォワーディング機能を無効にする」、「NAS上でmyQNAPcloudをセットアップして安全なリモート アクセスを有効にする」などを挙げている。

みずほ銀行を騙るフィッシングメール

9月5日の時点で、みずほ銀行を騙るフィッシングメールが拡散している。メール件名の一例は以下の通り。

  • 【みずほ銀行】お取引目的等のご確認のお願い
  • 【みずほ銀行】必ずご回答ください/お客さま情報等の確認について

メールでは、「マネーロンダリングやテロ資金供与対策に関するガイドライン」に基づき、定期的にお客さま情報や取引の目的を確認しているなどと記載。フィッシングサイトへと誘導する。誘導先はみずほダイレクトのログインページを模しており、9月5日の時点でフィッシングサイトは稼働中なので注意のこと。