9月19日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

「ニトリアプリ」が不正アクセスで個人情報流出

ニトリホールディングスのスマートフォンアプリ「ニトリアプリ」が第三者による不正アクセスを受けた。ニトリネットのニトリアプリ認証プログラムに対して行われ、攻撃はパスワードリスト攻撃によるもの。別のサービスから不正入手したユーザーID(メールアドレス)とパスワードを使って、なりすましログインを行ったと見られている。

不正アクセスが発生したのは9月15日。ニトリネットおよびニトリアプリで会員登録した人、シマホネットでニトリポイント利用手続きをした人、シマホアプリで会員登録した人の情報が漏洩した可能性がある。

不正ログインがあった期間は、2022年9月15日~9月20日。現時点で判明している不正ログインを受けた可能性のあるユーザーID数は約132,000件。閲覧された可能性のある情報は、メールアドレス、パスワード、会員番号、ニトリメンバーズの保有ポイント数、氏名、電話番号、住所、生年月日、性別、建物種別(戸建、集合住宅)、エレベーター有無、一部が目隠し済みのクレジットカード番号、有効期限。

同社は、不正ログインの可能性がある顧客のアカウントに対してパスワードのリセットを実施。新たな不正ログイン防止のため、セキュリティ機器も強化した。なお、同社グループではクレジットカード決済に必要な情報を保持していないため、クレジットカード情報の流出はない。

日本盛、管理運用するサーバーが不正アクセス被害

酒造メーカー大手、日本盛が管理運用するサーバーが第三者による不正アクセスを受けた。これにより、社内システムで障害が発生している。

不正アクセスは9月18日に発生し、当日中にサーバーをネットワークから遮断。9月19日に関係機関へと届け出た。不正アクセスを受けた情報の内容、原因、経路、情報漏洩の可能性など、詳細は現在も調査中。公表すべき重要な問題が判明した場合は、同社ホームページなどで情報を公開するとのこと。

武州製薬、不正アクセスを受け個人情報流出の可能性 - 脅迫メールも届く

武州製薬は、第三者からの不正アクセスによって保有する個人情報が流出した可能性があることを公表した。

不正アクセスは6月25日に発生。同社の従業員が犯行グループから脅迫メールを受信したことで発覚。調査会社を含めた対応チームが調査したところ、不正アクセスの起点となった可能性が高いのはVPN装置の脆弱性。ただちにこれを修正し、全社員のパスワード変更を実施した。

流出した可能性が高い個人情報は、従業員情報(退職者含む)が3,000件、採用選考候補者情報が3,100件、派遣社員情報(退職者・候補者含む)が2,900件、取引先会社関係が4,000件。情報流出の可能性を受け、武州製薬は照会専用窓口を設置している。

さらなる対策として、社内の全サーバーおよびPCに外部セキュリティ専門家が提供するエンドポイントエージェントを導入。セキュリティスキャンを実施し、監視体制を強化した。現在は不正アクセスを受けた社内サーバーは復旧している。

中村食肉ショッピングサイト、不正アクセスによりクレジットカード情報が流出

中村食肉が運営する「中村食肉ショッピングサイト」が不正アクセスを受けた。これにより、クレジットカード情報が流出している。

不正アクセスは、システムの一部の脆弱性をついたペイメントアプリケーションの改ざんによるもの。2021年7月29日にクレジットカード会社からの連絡で発覚した。2021年7月30日にはカード決済を停止し、サイトを閉鎖している。

第三者機関による調査によると、2021年5月10日11時7分~2021年6月6日16時17分の期間に商品を購入した人のクレジットカード情報(94件)が流出。一部顧客のクレジットカードには不正利用の可能性があるという。流出情報の詳細は、カード名義人名、クレジットカード番号、有効期限、セキュリティコード、ログインID(メールアドレス)、電話番号。

同社はクレジットカード会社と連携し、クレジットカード取引のモニタリングを実施。顧客に対しては、クレジットカードの利用明細書に不審な請求項目がないかを確認するよう呼びかけている。再発防止策として、システムのセキュリティ対策と監視体制の強化を実施するとのこと。

りそな銀行・埼玉りそな銀行を騙るフィッシング

9月15日の時点で、りそな銀行・埼玉りそな銀行を騙るフィッシングメールが拡散している。メール件名の一例は以下の通り。

  • カードのサービス停止に関するお知らせ。
  • りそなデビットカード(Visa)緊急のご連絡!

メールでは、クレジットカードの認証に問題があるためカードをロックしている――などと記載し、URLをクリックしてカードのロック解除を行うよう誘導。リンク先はりそな銀行を模したフィッシングサイトで、クレジットカード情報などの窃取欄がある。9月15日の時点でフィッシングサイトは稼働中なので注意されたい。

同様に、日本赤十字社、国税庁を騙るフィッシングメールも引き続き出回っているので警戒してほしい。

Mozilla、 Firefoxのメジャーアップデート版「Firefox 105」

Mozilla Foundationは9月20日(米国時間)、Webブラウザ「Firefox」の最新バージョン「105.0」を公開した。延長サポート版である「102.3.0」もリリースしている。

今回のアップデートによるセキュリティ更新は7件。内訳は、高3件、中2件、低2件。「高」では、一時ページでのFeaturePolicy制限のバイパス、スレッドで非UTF-8 URLを解析するときのデータ競合、メモリ安全性のバグなどを修正している。

機能面では、印刷プレビューのオプションに「現在のページのみ」を追加、Windowsにおいて2本の指でタッチパッドを左右にスワイプすることで履歴をナビゲートする機能を追加、リストから検索するスピードを2倍に高速化――などを実装した。Firefoxのユーザーはすみやかにアップデートしてほしい。