1月30日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

IPA、「情報セキュリティ10大脅威 2023」を公開

情報処理推進機構(以下、IPA)は、「情報セキュリティ10大脅威 2023」を公開した。

「情報セキュリティ10大脅威 2023」は、情報セキュリティ分野の研究者や企業の実務担当者など約200名のメンバーからなる「10大脅威選考会」が決定したもの。脅威の候補は、2022年に発生した事案から社会的に影響が大きかったと考えられるものをIPAが選出している。

前年(2022年)から見ると小刻みな順位変動はあるが、脅威の内容はおおむね例年通り。圏外から10位にランクインした「ワンクリック請求等の不当請求による金銭被害」は、日ごろから不審なSMSなどに注意していないとうっかり引っかかりやすいので注意してほしい。順位は以下の通りだ。

■情報セキュリティ10大脅威 2023(個人)
1位:フィッシングによる個人情報等の詐取(前年順位:1位)
2位:ネット上の誹謗・中傷・デマ(前年順位:2位)
3位:メールやSMS等を使った脅迫・詐欺の手口による金銭要求(前年順位:3位)
4位:クレジットカード情報の不正利用(前年順位:4位)
5位:スマホ決済の不正利用(前年順位:5位)
6位:不正アプリによるスマートフォン利用者への被害(前年順位:7位)
7位:偽警告によるインターネット詐欺(前年順位:6位)
8位:インターネット上のサービスからの個人情報の窃取(前年順位:8位)
9位:インターネット上のサービスへの不正ログイン(前年順位:10位)
10位:ワンクリック請求等の不当請求による金銭被害(前年順位:圏外)

■情報セキュリティ10大脅威 2023(組織)
1位:ランサムウェアによる被害(前年順位:1位)
2位:サプライチェーンの弱点を悪用した攻撃(前年順位:3位)
3位:標的型攻撃による機密情報の窃取(前年順位:2位)
4位:内部不正による情報漏えい(前年順位:5位)
5位:テレワーク等のニューノーマルな働き方を狙った攻撃(前年順位:4位)
6位:修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)(前年順位:7位)
7位:ビジネスメール詐欺による金銭被害(前年順位:8位)
8位:脆弱性対策情報の公開に伴う悪用増加(前年順位:6位)
9位:不注意による情報漏えい等の被害(前年順位:10位)
10位:犯罪のビジネス化(アンダーグラウンドサービス)(前年順位:圏外)

スシローアプリに情報漏えいの脆弱性

あきんどスシローが提供するAndroid アプリ「スシロー」において、脆弱性情報が公開されている。対象のアプリとバージョンは以下の通り(海外向けも含む)。

  • スシロー Ver.4.0.31
  • ซูชิโร(タイスシロー)Ver.1.0.0
  • 香港壽司郎 Ver.3.0.2
  • Singapore Sushiro Ver.2.0.0
  • 台灣壽司郎 Ver.2.0.1

脆弱性はログファイルからの情報漏えい。放置すると、ログファイルからユーザーIDとパスワードが取得される可能性がある。すでにバージョンアップで対策済みとなっているため、利用している場合はすみやかにアップデータとしておきたい。以下のバージョン以降が対策済み。

  • スシロー Ver.4.0.32
  • ซูชิโร(タイスシロー)Ver.2.0.3
  • 香港壽司郎 Ver.3.0.3
  • Singapore Sushiro Ver.2.0.3
  • 台灣壽司郎 Ver.2.0.3

KKS、ランサムウェア「LOCKBIT」によるデータロック被害

業務用の印刷関連機器などを手がけるKKSは、同社が所有するサーバーが不正アクセスを受け、顧客の個人情報が外部に流出した可能性があることを明らかにした。

不正アクセスが発生したのは2022年11月5日。総務部の従業員が作業を行っていた際に、サーバー内のファイルにアクセスできない異常に気付いた。複数のサーバーを調べたところ、各ディスプレイに「LOCKBIT 2.0」の表示があったという。被害拡大を防ぐため、直ちに外部ネットワークを遮断し、調査を開始した。

調査の結果、複数のサーバーに対して不正侵入と内部データの暗号化を確認。このサーバーには、顧客のメール情報や部品発送に関する情報などを保管しており、個人情報も含んでいた。ただ、個人情報を外部に持ち出した痕跡はなく、不正利用なども今のところはないという。

流出の可能性のある情報は、2018年4月1日~2022年11月4日までの間に、直接名刺を受け取った顧客、ならびに製品・部品の注文をした顧客の情報。詳細は、氏名、所属会社情報(会社名、住所、電話番号、メールアドレス)、注文履歴、発送に関する情報、個人住所、電話番号など。

侵入経路については、セキュリティの脆弱性を悪用した可能性が高いとして、脆弱性を修正。すべてサーバーに新たなウイルス対策ソフトや不正アクセス監視ソフトを導入し、電子証明を必要とする外部アクセスシステムを構築している。データロック被害に遭ったサーバーは、バックアップデータから復旧済み。

「あっとよか」でクレジットカード情報漏えい

イングが運営する会員用ECサイト「長寿の里 あっとよか」にて、顧客のクレジットカード情報(73件)が漏えいした可能性がある。原因は、システムに用いていたショーケース製の画面表示最適化サービスが不正アクセスを受けたこと。

不正アクセスは、Webページの表示を最適化するツール「サイト・パーソナライザ」で発生。第三者による改ざんを受け、2022年8月24日に「あっとよか」でカード決済を停止している。

第三者機関による調査の結果、改ざんが発生した2022年7月19日~2022年7月29日の期間に、「あっとよか」の決済方法選択ページ、またはマイページで新規にクレジットカードを利用した会員が入力した情報に、漏えいの可能性があることがわかった。内容は、クレジットカード番号、有効期限、セキュリティコード。

イングはクレジットカード会社と連携し、漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施。顧客に対しては、クレジットカードの利用明細書に身に覚えのない請求項目がないかを確認するよう呼びかけている。また、被害拡大の防止に努めるとともに、再発防止策の徹底、情報セキュリティ対策を行っていくとしている。

北海道の北斗興業と北ガスジェネックス、不正アクセスを受け個人情報流出の可能性

北斗興業と北ガスジェネックスは、不正アクセスによって個人情報が流出した可能性があることを明らかにした。ネットワークを共有している会社が不正アクセスを受け、北斗興業のサーバーにて不正アクセスの被害が生じている。

北斗興業は灯油配送業務を北ガスジェネックスから委託しており、記録していた顧客情報が漏えいした形だ。不正アクセスは2022年12月6日に発生。すぐにサーバーをネットワークから遮断し、侵入経路の特定、専門業者によるインターネット上での監視を継続している。

なお、北斗興業分の流出情報は1,080件で、内容は氏名、住所、電話番号。北ガスジェネックス分の流出情報は88件となり、内容は氏名、住所、電話番号。こちらは2020年2月以前に北斗興業に灯油配送業務を委託している情報(函館地区)となる。現時点で個人情報の流出などはなく、両社は管理体制の強化に努めていくとしている。

アダストリアへの不正アクセス第2報、100万件超の個人情報が流出した可能性

アダストリアは、1月19日に公開した不正アクセス被害に関して、1月24日に第2報を発表した。第2報では個人情報流出の詳細が判明。流出件数は1,044,175件にのぼった。内容は氏名、住所、電話番号、メールアドレス、会員識別番号。

対象となるのは、2022年7月~2023年1月の期間にWebストア「ドットエスティ」からの商品を受取り済み(受取り予定)の顧客。同じく2021年4月~2023年1月の期間に、店舗受け取り、および自宅配送サービスを申し込んだ一部の顧客。これらは2023年1月18日以前に商品を注文している顧客が、加えて2019年8月~2019年9月に商品を購入した一部の顧客も対象となる。

流出情報には、クレジットカードなどの決済情報は含まれていない。また、ドットエスティへのログイン情報は、不正アクセスを受けたサーバーには保有していないため流出対象とはなっていない。

今後は外部の専門機関と連携して原因や経路の究明を行い、流出の可能性がある情報の調査を継続。ドットエスティについては、物流システムの再稼働と安全性を確認できたことから、10月26日に再開している。

セゾンNetアンサーを騙るフィッシングメール

1月23日以降、セゾンNetアンサーを騙るフィッシングメールが拡散している。送られてくるメールのタイトル例は以下の通り。

  • SAISON 株式会社から緊急のご連絡
  • SAISONカードご利用確認のお願い
  • 【緊急の連絡 】SAISONカードご利用確認のお願い
  • 【最終警告】SAISONカードご利用確認のお願い
  • 【セゾンカード】24時間以内に以下の個人情報改善認証を行う必要があります承認後にのみ使用できます。
  • 【セゾンのクレジットカード】セキュリティ上の観点からご利用制限をかけさせていただくことを予めご了承下さい

メールでは、セキュリティシステムを更新するため登録した個人情報を更新する必要があるなどと記載。リンクを載せてアクセスするよう誘導する。誘導先はセゾンカードを模したフィッシングサイトで、IDやパスワード、クレジットカード情報などの入力欄がある。1月23日以降もフィッシングサイトは稼働中なので注意のこと。