11月28日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

埼玉大学、メール転送の設定ミスで電子メールが学外に漏えい

埼玉大学にて転送先メールアドレスの設定ミスが発生し、個人情報を含む電子メールが学外に漏えいしていた。

漏えいの経緯は、2021年5月6日に大学のメールアカウントからGmailへの自動転送設定を行った際に、転送先メールアドレスのドメインを「@gmail.com」とすべきところを誤って「@gmai.com」としてしまった。この「@gmai.com」は、ドッペルゲンガー・ドメインと呼ばれるもので、転送先のメールアドレスが存在しない場合でもエラーを返さずにメールをすべて受信する(そのドメインを運用しているサーバーの設定による)。そのためミスに気付けなかった。事態に気付いたのは2022年3月3日。この時点で自動転送設定を停止している。

漏えいしたのは「@gmai.com」宛に転送した電子メール4,890件。メールに含まれている個人情報は以下の通り。

■学内教職員情報:485件
・氏名、メールアドレス(一部に電話番号などを含む):89件 ・氏名(一部に電話番号などを含む):278件 ・メールアドレスのみ:118件

■学内学生情報:849件
・氏名、学籍番号、メールアドレス(一部に電話番号などを含む):237件 ・氏名、学籍番号:600件 ・氏名、メールアドレス:3件 ・氏名:1件 ・メールアドレス:8件

■学外関係者情報:788件
・氏名、メールアドレス(一部に電話番号などを含む):240件 ・氏名(一部に電話番号などを含む):405件 ・メールアドレス:143件

すでにメールアカウントのメール転送設定は停止済み。現時点で電子メール内容が悪用された事実はない。

GENTOS公式ストアで5,471件のクレジットカード情報が漏えい

ジェントスが運営する「GENTOS公式ストア」が不正アクセスを受け、個人情報が漏えいした。漏えいの原因となったのは、第三者の不正アクセスによるペイメントアプリケーションの改ざんによるもの。2022年8月12日にクレジットカード会社からの連絡を受け発覚した。同日「GENTOS公式ストア」でのカード決済を停止。第三者機関による調査を依頼した。

調査の結果、2020年9月25日~2022年8月12日の期間に「GENTOS公式ストア」で商品を購入した顧客のクレジットカード情報(5,471件)と、会員登録(仮登録含む)を行った人の個人情報(最大5,521件)が漏えいした。一部顧客のクレジットカード情報は不正利用の可能性もあるという。

漏えいしたクレジットカード情報は、名義人名、クレジットカード番号、有効期限、セキュリティコード。一方、個人情報の漏えい期間は2020年4月1日~2022年8月24日の期間。詳細は、氏名、住所(郵便番号含む)、電話番号、メールアドレス、ログインパスワード、メールマガジン送付の可否、生年月日、性別、職業、会社名、法人属性(法人・個人)。および、登録住所以外へ発送を希望する場合の、発送先の氏名、住所、電話番号などの任意入力情報となる。

同社は、クレジットカード会社と連携して漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施。顧客に対しては、クレジットカードの利用明細書に不審な請求項目がないかを確認するよう呼びかけている。なお、「GENTOS公式ストア」以外のほかのサイトや実店舗は、別システムとなっているため影響はない。

琉球大学、外部で公開した資料に不適切な個人情報を掲載

琉球大学は2022年11月25日、外部Webサイトで公表した資料(2021年7月公表)において、外部に出てはならない個人情報が記載されて閲覧可能な状態だったことを明らかにした。

閲覧可能だったのは、学生、学外者、職員情報(378名分)。詳細は、学生の個人情報(氏名、性別、学籍番号、所属学部など)、学外者の個人情報(氏名、勤務先など)、教職員の個人情報(氏名、電話番号)となっている。

これを受け外部Webサイトの運営機関は、2022年9月30日に公開を停止。当該データは、10月19日までに外部機関のサーバーから削除した。なお、このWebページに関して学外からのアクセスは13件。現時点では個人情報の不正利用はないとしている。

ユニモテクノロジー、デジタルビデオレコーダーに複数の脆弱性

業務向けの防犯カメラなどを取り扱うユニモテクノロジーのデジタルビデオレコーダーにおいて、複数の脆弱性が存在する。対象製品は以下の通り。

UDR-JA1604 / UDR-JA1608 / UDR-JA1616
ファームウェアバージョン 71x10.1.107112.43Aより前のバージョン

脆弱性は製品によって異なり、不適切な認証、OSコマンドインジェクション、ドキュメント化していないデバッグ機能の有効化、などが存在。脆弱性を放置すると、第三者のリモート攻撃によって任意のOSコマンドの実行、機器の設定変更などが行われる可能性がある。これらの脆弱性を悪用した攻撃も確認済みとのこと。

同社は、脆弱性を解消するためのファームウェアを公開中。対象製品を利用している場合は最新ファームをダウンロードして導入すること。最新バージョンは「71x10.1.107114.43A」。

BIGLOBを騙るフィッシングメール

11月28日以降、BIGLOBを騙るフィッシングメールが拡散している。メールの件名例は以下の通り。

  • 【BIGLOBE】2022年11月ご請求のご案内

メールでは、支払いの失敗による失効を回避するため、記載のURLから更新するよう誘導する。また、11月の請求料金が確定したとも記載。確認のためのURLを記載している。誘導先は「BIGLOBE」を模したフィッシングサイトで、BIGLOBEのログインID、パスワードの入力欄のほか、au IDでのログインボタンもある。もちろん情報を入力してはならない。11月28日の時点でフィッシングサイトは稼働中なので注意のこと。

Google、脆弱性28件を修正したChrome最新バージョン「108」

Googleは11月29日、Chromeの最新バージョン「108」を公開した。Windows向けが「108.0.5359.71/72」、macOSおよびLinux向けが「108.0.5359.71」となる。

今回のアップデートでは、「高」8件、「中」14件を含む28件の脆弱性を修正している。「高」の脆弱性は、拡張機能などでの解放後のメモリ使用など。「中」の脆弱性では、ポップアップブロッカーでのポリシー適用が不十分、などを修正している。多くの脆弱性を修正しているので、Chromeを使っている場合は早めにアップデートしておくこと。