10月3日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

楽天モバイル、2022年9月4日の通信障害についての情報を公開

楽天モバイルは、9月4日に発生した通信障害についての詳細が判明したことから、その概要を発表した。通信障害が発生した期間は、2022年9月4日11時20分〜13時26分にかけて。影響範囲は全国におよび、データ通信で約130万回線、音声通信で約11万回線が影響を受けた。原因は、同社の西日本データセンターに設置しているデータセンタースイッチのソフトウェア不具合によるもの。

通信障害発生の流れは、9月4日11時20分に西日本データセンタースイッチの再起動が発生。連動してパケット交換装置のシステムが再起動。これらの再起動によって端末からの再接続要求が集中し、西日本データセンターのポリシー制御装置に輻輳(ふくそう)が発生した。さらに、信号の再送が東日本データセンターのポリシー制御装置にも到達し、こちらにも輻輳が発生。その後、9月4日13時26分に障害時緊急モードへと移行。東日本と西日本のデータセンターのポリシー制御装置が平常時トラフィック相当に回復した。

ソフトウェアの不具合は、データセンタースイッチ内のシステムログが自動削除されず、ログ保存用のメモリが枯渇して動作が不安定となった。長期化した原因は、西日本データセンター内の輻輳発生後、東日本データセンター内でも同様の事象が発生し、トラフィックを片側のデータセンターに寄せることができなかったためとしている。また、障害時緊急モードの実行が初のことであり、移行判断が属人的だったことから実施可否にも時間を要した。

同社は当面の再発防止策として、自動削除する不要ログを定期的に削除するようにして対処する。恒久的な対策としては、改修済みのソフトウェアを2023年3月末に適用する予定だ。

世界堂オンラインショップ、不正アクセス被害で会員情報漏えい

世界堂が運営する「世界堂オンラインショップ」のシステム管理を委託している企業のサーバーが、外部からの不正アクセスを受けた。これにより、登録会員情報の一部が漏えいしている。

不正アクセスが発覚したのは2022年8月19日。プログラムの脆弱性を突いて、不正にシステムを扱っていた。現在は脆弱性の場所を特定し、サーバーの全情報を対象としてアクセス制御を強化。対策を完了している。

漏えいした情報は、2022年8月19日までに「世界堂オンラインショップ」に登録した会員のメールアドレス(最大186,704件)。氏名、生年月日、住所、電話番号、ログインパスワード、注文履歴やクレジットカード情報、口座情報は、保有していないため漏えいはない。

今後新たな事実が判明した場合は、世界堂オンラインショップのWebサイトにて告知するとのこと。会員に対しては、スパムメールやフィッシングメールなどが送られてくる可能性があるため、不審なメールを受け取った場合は直ちに消去するよう呼びかけている。

トレトク、特定の手順を踏むと登録者情報を閲覧できるバグ

山徳が運営するトレーディングカードショップ「トレトク」において、特定の条件下で第三者がサービス登録者情報を閲覧できる可能性があることが分かった。原因はシステムプログラムのバグによるもの。

2022年9月16日9時過ぎに発覚し社内調査を実施したところ、特殊な手順を踏むことで一時的に他の登録者の情報が閲覧できることが判明した。誤表示した内容は、登録情報の氏名、住所、電話番号、メールアドレス、一部クレジットカード情報(番号下4桁、有効期限)。購入履歴、お気に入り商品、ポイント履歴などの利用情報。

この不具合は2019年2月19日のサービス開始時から存在しており、個人情報誤表示における全可能性についての確認はできなかった。現時点で確認できた範囲では、今回指摘のあった事案以外は個人情報の流出はないとしている。

なお、2022年9月16日11時17分にシステムプログラムの改修を完了。同様の事象が今後発生しないことを確認している。

ダイリキ、メールアドレスを含む情報が漏えい

焼肉店などを運営するダイリキのWebサーバーが不正アクセスを受け、ダイリキ公式アプリの会員情報が漏えいした。2022年9月16日に、大阪府警察本部サイバーセキュリティ対策室からの情報提供によって、不正アクセスによる情報漏えいが発覚。漏えいしたと思われるWebサーバーは、即座に使用を停止した。

漏えいした情報は、9月2日までに会員登録を行った会員情報の83,644件。詳細は、メールアドレス、機種変更パスワード、生年月、性別、郵便番号、お気に入り店舗、会員ID、購買回数、購買金額、ポイント数。

原因などについては現在も調査中。同社は顧客に対して、スパムメール、フィッシング詐欺メールなどを受け取った場合、添付ファイルも含めて開封しないこと、他のサイトでログインIDとして同じメールアドレスとパスワードを使用している場合は変更する――といった対策を呼びかけている。

金融庁を騙るフィッシングメール

10月4日の時点で、金融庁を騙るフィッシングメールが拡散している。メール件名の一例は以下の通り。

  • 【金融庁緊急連絡】重要なお知らせ

メールでは、「マネーロンダリング及びテロ資金供与対策に関するガイドラインに基づき、審査と認証を行わなければならない」などと記載。認証のためにURLをクリックするよう誘導する。よく読むと日本語がおかしい箇所があり、「しなければならない」などの表記はフィッシングメールと判断するひとつの材料となる。

リンク先は金融庁を模したフィッシングサイトであり、10月4日の時点でフィッシングサイトは稼働中。クレジットカード情報などの窃取欄があるため注意されたい。

さいたま市民医療センター、診療情報を保存したカメラを紛失

さいたま市民医療センターは、2022年8月23日に同センターが所有するデジタルカメラを紛失したことを明らかにした。紛失発覚後すぐにセンター内を捜索したものの、発見には至っていない。

デジタルカメラに記録していたのは、同センターの5階北病棟に2022年5月6日以降に入院していた患者40名分の病変写真、排泄物を撮影した写真など全108枚。このなかで、個人を特定できる写真は、顔の病変部位を撮影した1枚のみ。

同センターは今後このようなことが起きないよう、撮影後に電子カルテに取り込んだ画像データを速やかに削除すること、日勤業務終了時にカメラを鍵のある所定保管場所にあるかの確認、データが残っていないかをリーダーが確認、などを徹底していくと発表した。なお現時点では、診療情報の外部流出、不正利用などの事実はないとしている。

日本骨髄バンク、コーディネート業務用のスマートフォンを紛失

日本骨髄バンクは、コーディネート業務用のスマートフォンを紛失したことを明らかにした。2022年9月21日の夜、日本骨髄バンクのコーディネーターが通常の収納場所に当該スマートフォンがないことに気付き発覚。スマートフォンの位置情報から探索を試みるも、収納前に電源を切っていたため位置情報は取得できなかった。その後も定期的に位置情報の取得を試みているものの、発見には至っていない。

紛失したスマートフォンにはドナー関係のメールを保存しており、個人情報も含まれていた。保存情報の内容は、2021年8月~2022年8月にコーディネートに協力したドナー登録者のもの。メール文中にフルネームの記載があったケースが2名、メール文中に伏せ字の氏名があったケースが27名。メール以外の情報についてはクラウドで管理していたため、クラウドの機能停止などの処理を行っている。

日本骨髄バンクは紛失の原因として、スマートフォンの携行や保管などの管理ルールを明確化していなかったこと、メール利用時のルールを守っていなかったことなどを挙げている。再発防止策としては、まず全国の地区事務局職員とコーディネーター(約160名)へ事案を共有し、個人情報の取り扱いに関するルールを徹底するようにする。