1月16日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

「TOEIC申込サイト」に不正アクセス

国際ビジネスコミュニケーション協会が運営する「TOEIC申込サイト」が、第三者による不正アクセスを受けた。不正アクセスは、別のサービスから入手したユーザーIDとパスワードを用いて行われた模様。

不正アクセスは2023年1月8日から発生。一部会員の情報が不正に閲覧された可能性があることがわかった。不正ログインの可能性があるアカウントについては利用停止の措置を講じ、情報閲覧の可能性がある会員へは個別に連絡を取っているとのこと。

今回の不正アクセスで閲覧被害に遭った情報は、登録ID、氏名、生年月日、性別、住所、電話番号、メールアドレス、出身国、母国語、秘密の質問、質問の回答など。テスト結果やクレジットカード情報などの閲覧被害はないとしている。

国際ビジネスコミュニケーション協会は会員に対して、ほかのサービスで使用しているパスワードを使い回さないことと、パスワードが同じ場合は変更するよう呼びかけている。

ベストリンク運営サイト、ショーケースのシステム改ざんで情報漏えい

ベストリンクが運営する「e-ca公式サイト」において、ショーケース製システムへの不正アクセスによって個人情報が漏えいした。原因は、画面表示を最適化するショーケース製サービスの改ざん。

2022年7月28日にシステムとの接続を解除し、2022年8月31日に「e-ca公式サイト」でのカード決済を停止。調査の結果、2022年7月24日~2022年7月26日の期間に「e-ca公式サイト」で顧客が入力したクレジットカード情報(15名分)が漏えいした可能性がある。内容は、クレジットカード番号、有効期限、セキュリティコード。

ベストリンクは、クレジットカード会社と連携して漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施。顧客に対しては、クレジットカードの利用明細書に身に覚えのない請求項目がないかを確認するよう呼びかけている。今後はセキュリティ対策の強化を図りつつ、「e-ca公式サイト」のクレジット決済再開は決定しだい告知するとしている。

TP-Link製ルーターに複数の脆弱性

1月18日の時点で、TP-Link製ルーターにおいて脆弱性の情報が公開されている。対象の製品は以下の通り。

  • TL-WR710N V1 ファームウェア 151022
  • Archer C5 V2 ファームウェア 160201

脆弱性は、HTTPベーシック認証の処理におけるバッファオーバーフローと、サイドチャネル攻撃によるユーザー名とパスワードが推測可能になるというもの。放置すると、任意のコード実行や、ユーザー名とパスワードがハッキング被害に遭う可能性がある。

製品のアップデートは、TL-WR710N V1が2015年に、Archer C5 V2が2016年に停止しており、以降もアップデートの可能性は低いと思われる。該当製品を使っているユーザーは買い替えを検討してほしい。

ヤマト運輸、「迷惑メール・電話」と「なりすましサイト」に注意喚起

ヤマト運輸は、ヤマト運輸を装った迷惑メールについて多数の問い合わせがあったとして注意を呼びかけている。

問い合わせ内容は、「ヤマト運輸を装った迷惑メールがEメール(またはショートメール)で届く」、「ヤマト運輸を装い、セキュリティに必要な認証番号等を聞き出そうとする電話がかかってきた」、「ヤマト運輸を装ったなりすましサイトが存在する」といったもの。

こうした迷惑メールでは多くの場合、記載のURLをクリックするとフィッシングサイトに飛ばされる。また、添付ファイルを開くとマルウェアに感染する可能性が高い。

ヤマト運輸は、ショートメールによる不在連絡や荷物到着予定日通知は行っておらず、電話でセキュリティに必要な認証番号を確認することもない。受け取り日時の変更や再配達の依頼に関しても、顧客に問い合わせることもないとしている。なお、ヤマト運輸は「.com」ドメインは使用しておらず、URLを確認することが被害を未然に防ぐ有効な手立てのひとつとなる。

Amazonを騙るフィッシングメール

1月5日以降、Amazonを騙るフィッシングメールが拡散している。送られてくるメールのタイトル例は「プライムの自動更新設定を解除いたしました」など。

メールでは、Amazonへの登録がキャンセルとなったので、ほかの有効な支払い方法を更新・追加するよう記載。本人確認のURLとQRコードからアクセスするよう誘導する。誘導先は「Amazon」を模したフィッシングサイトで、ログインIDやパスワード、個人情報、クレジットカード情報などの入力欄がある。Amazonを偽ったフィッシングメールは非常に多いため、常に疑ってかかるようにしたい。

Mozilla、 Firefoxのメジャーアップデート版「Firefox 109」

Mozilla Foundationは1月17日(米国時間)、Firefoxの最新バージョン「109.0」を公開した。延長サポート版である「Firefox ESR 102.7.0」もリリースしている。

今回のアップデートでは10件のセキュリティ更新を実施。内訳は、高4件、中4件、低2件。「高」では、任意のファイルを読み取れるプロセス割り当てのロジックバグ、LinuxにおいてGTKドラッグアンドドロップから読み取った任意のファイル脆弱性、メモリ安全性のバグなどを修正している。Firefoxを使っている場合はすみやかにアップデートしておくこと。

機能面では、マニフェストバージョン3に準拠したネットワークのサポートをデフォルトで有効化。Windowsにおいては、メディアの再生管理プロセスのArbitrary Code Guardエクスプロイト保護を有効化し、セキュリティの向上を図った。また、日時入力のためのネイティブHTML日時ピッカーが、キーボード単体から利用可能となっている。