12月5日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

バッファロー、複数のルーター製品に脆弱性

バッファローが販売したルーターなどの一部商品において、複数の脆弱性が公開された。対象製品は以下の通り。

■Wi-Fiルーター
・WSR-3200AX4S Ver. 1.30
・WSR-3200AX4B Ver. 1.30
・WSR-2533DHP Ver. 1.09
・WSR-2533DHP2 Ver. 1.23
・WSR-A2533DHP2 Ver. 1.23
・WSR-2533DHP3 Ver. 1.27
・WSR-A2533DHP3 Ver. 1.27
・WSR-2533DHPL Ver. 1.09
・WSR-2533DHPL2 Ver. 1.04
・WSR-2533DHPLS Ver. 1.10
・WCR-1166DS Ver. 1.35

■Wi-Fi中継機
・WEX-1800AX4 Ver. 1.14
・WEX-1800AX4EA Ver. 1.14

脆弱性は、OSコマンドインジェクション、およびドキュメント化していないデバッグ機能の有効化。影響は脆弱性によって異なり、管理画面にログイン可能な第三者による細工済みのリクエストの送信により、任意のコマンドが実行される可能性がある。

また、デバッグ機能の有効化により、任意のコマンド実行の可能性がある。「Internet側リモートアクセス設定を許可する」設定を有効にしていると、インターネット側から攻撃を受ける可能性もある。

すでに、脆弱性を解消すしたファームウェアを公開済み。該当する機器を使用している場合は早急にアップデートしておきたい。

ドワンゴ子会社の総合クリエイタースクールに不正アクセス

バンタンが運用するサーバーが不正アクセスを受けた。現在、被害の内容や範囲などの特定を進めている。

情報公開の時点で判明しているのは、2022年11月25日17時ごろ、バンタンが運営するWebサイトで使用している一部のサーバーが不正アクセスを受けたこと。被害の拡大を防ぐため、不正アクセスを受けたサーバーを停止し、このサーバーで管理していたWebサイトを一時停止した。

今のところ、被害は一部のサーバーに留まっており、ネットワークへの影響がないことを確認。個人情報の流出も想定しているが(詳細は不明)、クレジットカード情報は含まれていない。同社は調査と対応を進めつつ、新たな事実が判明しだい各スクールのホームページなどで告知するとしている。

「珈琲の王国Beans510」に不正アクセス、クレジットカード情報漏えい

ビーンズゴトーが運営する「珈琲の王国Beans510」が第三者による不正アクセスを受け、クレジットカード情報が流出した。不正アクセスは、システムの一部脆弱性を突いたペイメントアプリケーションの改ざんによるもの。2022年8月23日にクレジットカード会社からの連絡を受け発覚した。同日「珈琲の王国Beans510」でのクレジットカード決済を停止し、第三者機関による調査を依頼している。

調査の結果、2022年3月15日~2022年8月23日の期間に「珈琲の王国Beans510」で商品を購入した顧客のクレジットカード情報(252件)が漏えいしていた。一部は不正利用の可能性もあるという。漏えいした情報は、クレジットカード番号、有効期限、セキュリティコード。

同社はクレジットカード会社と連携し、漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施。顧客に対しては、クレジットカードの利用明細書に身に覚えのない請求項目がないかを確認するよう呼びかけている。合わせて、セキュリティ対策と監視体制を強化し再発防止に努めるとしている。

日本栄養士連盟、会員管理システムが不正アクセスを受け個人情報流出

日本栄養士連盟の会員管理システムが不正アクセスを受け、会員の個人情報が外部に流出した可能性がある。

不正アクセスは2022年5月10日2時19分ごろに発生。会員管理システムのURLを侵入者が取得していたと思われる。取得の経緯は不明。侵入者は侵入経路を秘匿するプログラムを使いてアクセスし、管理者IDを使ってデータを持ち出した。

流出した可能性があるのは、会員管理システムに登録した会員全員分。内容は、会員番号、生年月日、氏名、住所、電話番号、勤務先(一部)、メールアドレス(一部)。同連盟は警視庁と所轄警察へ届け出などを行い、個人情報保護委員会へ報告した。

不正アクセス後のセキュリティ対策として、システムセキュリティを最新のものにする、全パスワードの運用を変更、異常検出の精度向上などを実施。会員に対しては、不審なことがあった場合は日本栄養士連盟事務局へ連絡するよう呼びかけている。また、不審な郵便物や電話などを確認した場合は、警察への通報、国民生活センターへの相談なども行うよう促している。

山形スズキ、サイバー攻撃によるPC遠隔操作被害

山形スズキの社内で稼動しているPCがサイバー攻撃を受け、保存していた個人情報が外部に流出した可能性がある。

サイバー攻撃は2022年11月17日に発生。当該PCが攻撃者からの遠隔操作状態となり、顧客の個人情報が抜き取られた可能性があることがわかった。サイバー攻撃判明後は、このPCをネットワークから切り離している。

流出した可能性のある個人情報は2,455件分。内容は、氏名、住所(町名まで)、車両情報(車種、車台番号、登録日)。電話番号、クレジットカード情報などは含まれていない。同社は事態の判明後に山形県警察サイバー犯罪対策課へ通報。情報公開の時点では、個人情報の不正利用や悪用の事実はないという。

OCNを騙るフィッシングメール

11月30日以降、OCNを騙るフィッシングメールが拡散している。メールの件名例「【重要】OCNご利用額確定のお知らせ」など。

メール本文では、「OCNご利用確定のお知らせ」を送るといった内容を記載。確定した請求金額を「OCNマイページ」から確認するよう誘導する。誘導先は「OCNメール」を模したフィッシングサイトで、ログインID、パスワードの入力欄などを設置して情報を窃取しようとする。11月30日の時点でフィッシングサイトは稼動中なので注意されたい。