10月10日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

バッファロー、無線LANルータなどに複数の脆弱性

バッファロー製のルータなどで複数の脆弱性が公開された。脆弱性は、デバッグ機能の有効化、ハードコードされた認証情報の使用、認証回避という3種類。これにより任意のOSコマンドの実行、設定の変更、不正アクセスが行われる可能性がある。

脆弱性は製品によって異なるが、ファームウェアのアップデートで対処可能。対象機種は以下の通りで、当該モデルのユーザーは早急にファームウェアを最新の状態にアップデートすること。

■Wi-Fiルータ
DWR-HP-G300NH、HW-450HP-ZWE、WCR-300、WHR-300、WHR-300HP、WHR-G301N、WHR-HP-G300N、WHR-HP-GN、WPL-05G300、WRM-D2133HP、WRM-D2133HS、WTR-M2133HP、WTR-M2133HS、WXR-1750DHP、WXR-1750DHP2、WXR-1900DHP、WXR-1900DHP2、WXR-1900DHP3、WXR-5950AX12、WXR-6000AX12B、WXR-6000AX12S、WZR-300HP、WZR-450HP、WZR-450HP-CWT、WZR-450HP-UB 、WZR-600DHP、WZR-600DHP2、WZR-600DHP3、WZR-S600DHP、WZR-900DHP、WZR-900DHP2、WZR-S900DHP、WZR-D1100H、WZR-1166DHP、WZR-1166DHP2、WZR-1750DHP、WZR-1750DHP2、WZR-S1750DHP、WZR-HP-AG300H、WZR-HP-G300NH、WZR-HP-G301NH、WZR-HP-G302H、WZR-HP-G450H、DWR-PG、WER-A54G54、WER-AG54、WER-AM54G54、WER-AMG54、WHR-AM54G54、WHR-AMG54、WHR-AMPG、WHR-G、WHR-G54S、WHR-G54S-NI、WHR-G300N、WHR-HP-AMPG、WHR-HP-G、WHR-HP-G54、WS024BF、WS024BF-NW、WZR-AGL300NH、WZR-AMPG144NH、WZR-AMPG300NH、WZR-G144N、WZR-G144NH、WZR2-G108、WZR2-G300N

■Wi-Fi中継機
WEM-1266、WEM-1266WP

■Wi-Fiアダプタ
WLAE-AG300N、WLI-H4-D600、WLI-TX4-AG300N

■FREESPOT
FS-600DHP、FS-G300N、FS-HP-G300N、FS-R600DHP

■有線ルータ
BHR-4GRV

トヨタコネクティッド、コネクティッドサービスのソースコードにアクセス可能な状態

トヨタコネクティッドは、トヨタ自動車ならびにトヨタコネクティッドが提供するコネクティッドサービス「T-Connect」において、一部の顧客のメールアドレスと管理番号が漏洩した可能性があることを明らかにした。

漏洩の原因は、2017年12月に「T-Connect」のWebサイト開発を委託した企業が、ソースコードの一部を誤って公開設定のままGitHubアカウントへアップロードしたこと。これにより、2017年12月~2022年9月15日の期間、第三者がGitHub上のソースコードの一部にアクセス可能な状態だった。

2022年9月15日にはGitHub上のソースコードを非公開に設定し、9月17日にデータサーバーのアクセスキーを変更。ソースコードはデータサーバーへのアクセスキーを含んでおり、それを利用することでデータサーバーに保管しているメールアドレスと管理番号にアクセス可能になる。

漏洩件数は296,019件。対象となるのは、2017年7月以降に「T-Connect」のユーザーサイトで登録した人。漏洩情報の詳細は、メールアドレス、お客様管理番号。氏名、電話番号、クレジットカード情報などについては漏洩はない。

同社は顧客に対して、メールアドレスを悪用したなりすましメール、フィッシング詐欺メールなどの迷惑メールが届く可能性があるので、不審なメールを受信した場合は添付ファイルを開かずに消去するよう呼びかけている。

マイクロソフト、10月のセキュリティ更新プログラムをリリース

マイクロソフトは10月12日(米国時間)、セキュリティ更新プログラムの情報を公開した。緊急8件、重要3件の脆弱性を修正している。早期にセキュリティ更新プログラムを適用しておきたい。

■緊急:リモートでのコード実行
・Windows 11、v22H2
・Windows 10 v21H2、v21H1、v20H2
・Windows Server 2022(Server Core installationを含む)
・Windows Server 2019、2016(Server Core installationを含む)
・Windows 8.1、Windows Server 2012 R2、Windows Server 2012(Server Core installationを含む)
・Microsoft Office
・Microsoft SharePoint

■緊急:特権の昇格
・Microsoft Azure-related software

■重要:リモートでのコード実行
・Microsoft Visual Studio

■重要:特権の昇格
・Microsoft Visual Studio
・Microsoft.NET
・Microsoft Malware Protection Engine

ジュエリーショップ「CASUCAオンライン」にてクレジットカード情報が漏洩

カスカが運営するジュエリーショップの「CASUCAオンラインショップ」が、第三者の不正アクセスによる、ペイメントアプリケーションの改ざん被害を受けた。

不正アクセスは、2022年7月15日にクレジットカード会社からの連絡を受け発覚。同日「CASUCAオンラインショップ」でのカード決済を停止し、調査を開始した。第三者機関の調査によると、2021年6月8日~2021年10月31日の期間に「CASUCAオンラインショップ」で商品を購入した顧客のクレジットカード情報が漏洩。一部は不正利用の可能性もあるという。漏洩件数は317名分で、詳細はカード名義人名、クレジットカード番号、有効期限、セキュリティコード。

同社は、クレジットカード会社と連携し漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施。顧客に対しては、クレジットカードの利用明細書に身に覚えのない請求項目がないかを確認するよう呼びかけている。

今後については、これまでとは別のセキュリティ対策がしっかりと採られているショッピングカートサイトと契約。新ECサイトの構築を模索中とのこと。

全日本スキー連盟から委託を受けたしゅくみねっとで個人情報流出

全日本スキー連盟から会員情報の管理を委託されているしゅくみねっとは、会員管理システムの管理者向け検索機能に不具合があり、特定の条件下において管理下にない会員の情報を閲覧できてしまうケースがあることを明らかにした。

今回の不具合は、システム内の各管理団体(加盟団体、地域連盟、クラブ)の管理者向け画面に設けられた「会員管理」機能に存在。日付で検索するとき、ポップアップ表示されるカレンダーで「yyyy/mm/dd」 以外の値を入力すると、すべての会員情報が閲覧できていた。管理者向け画面にはCSVファイルのダウンロード機能もあり、データのダウンロードも可能だった。

漏洩件数は110,807件(退会者含む)。画面の表示項目は、会員番号、氏名、所属組織(所属地域連盟、所属クラブ・団体)、会員区分、会員状況。CSVファイルには、氏名、生年月日、性別、郵便番号、住所、電話番号、メールアドレス、所属加盟団体・地域連盟・所属クラブ・団体、会員状況、会員番号、登録競技名などを記載していた。クレジットカード情報などの信用情報は含まれていない。

同社は本事案の発覚後、入力値にエラーが発生した場合に管理配下の会員のみを表示対象とする修正を実施した。

加賀電子、個人情報を保存した業務用ノートPCを紛失

加賀電子において、個人情報を保存した業務用ノートPC(1台)の紛失が発生。紛失したのは9月22日で、同社の社員が帰宅途中にPCが入っていたカバンを紛失したことが原因。

発覚後ただちに警察へ遺失物届を提出。盗難の可能性も含めて関係各所への問い合わせを行ったものの回収には至っていない。紛失したノートPCにはメールソフトをインストールしており、グループ社員(約2,800人分)、および取引先(約200人分)の個人情報が保存されていた。氏名、会社名、メールアドレスなどが確認できるという。

紛失発覚後から、社内の監視システムを通じてリモート調査を継続。現時点では第三者による不正使用などはないとしている。今後の対応として、当該ノートPCの発見に全力を尽くし、PCの社外持ち出しについての管理徹底、個人情報の適切な取り扱いについての周知徹底を行っていく。

青森県むつ市で個人情報を保存していたUSBメモリを紛失

青森県むつ市にて、福祉部障がい福祉課で使用していたUSBメモリの紛失が発生。USBメモリには個人情報を含むデータを保存していた。

紛失の経緯は、2022年9月28日に障がい福祉課執務室内で職員がUSBメモリを事務処理に使い、20時まで勤務。翌日9月29日に別の職員がUSBメモリを使おうとしたところ、保管場所にないことに気づいた。最後にUSBメモリを使っていた職員から保管場所へ返却した事実も確認できず、執務室内および庁舎内などを捜索するも発見できなかった。

紛失したUSBメモリには、後期高齢者医療保険加入者(549名分、576件)の情報を保存。詳細は被保険者番号、氏名、口座情報、高額療養費支給額となる。

同市は再発防止策として、「むつ市USBメモリ等取扱要綱」による利用手順の徹底を図り、目視による保管状況の確認も実施。今後は、自動暗号化機能搭載のUSBメモリの導入なども検討していくとのことだ。