3月20日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

Emotet感染につながるOneNote形式のファイルに注意

JPCERT/CCは、新たな配布手法を実装したEmotet感染メールが拡散していることに対して、注意を呼びかけている。このメールは2023年3月7日から確認しているとのこと。

新しい手法では、メール添付のZIPアーカイブに500MBを超えるdocファイルが含まれている。サイズを大きくすることでアンチウイルスソフトの検知を回避できる場合があることが理由。

2023年3月16日には、Microsoft OneNote(.0ne)形式のファイルを添付するメールがEmotet感染につながる事例を確認している。ファイル実行後に画面上のボタンをクリックすると、ボタンの裏に隠れているスクリプトの実行によって感染するという流れ。

当該メールは、一見すると業務に関係がありそうな内容となっている。取引先や知り合いから送られてきたメールの添付ファイルでもEmotetに感染する可能性があるため、信頼できるものと確実に判断できない場合は添付ファイルやリンクなどを開かず、まず送信元へ確認することを心がけたい。

3月20日には、Emotetの感染をチェックできる「EmoCheck v2.4.0」をGitHubで公開。最新のEmotetを検出できるので(前バージョンでは不可)、感染状況を確認する場合は最新バージョンを利用してほしい。

「TRINUS STORE」が不正アクセスを受けクレジットカード情報流出

デザイン業務や開発業務を手がけるTRINUSが運営する「TRINUS STORE」において、第三者による不正アクセスが発生した。これにより、顧客のクレジットカード情報(402件)が漏えいした可能性がある。

情報漏えいは、2022年7月27日にクレジットカード会社からの連絡を受け発覚。同日「TRINUS STORE」でのカード決済を停止し、第三者機関に調査を依頼した。その結果、2021年4月22日~2022年7月27日の期間に「TRINUS STORE」で商品を購入した顧客のクレジットカード情報の漏えいが判明。一部は不正利用の可能性もあるという。

不正アクセスの原因は、システムの一部の脆弱性をついたペイメントアプリケーションの改ざんによるもの。漏えいした情報は、カード名義人名、クレジットカード番号、有効期限、セキュリティコード。そのほか、データベース管理用ツール「Adminer」の設置により、データベース内の顧客情報が漏えいした可能性がある。

TRINUSはクレジットカード会社と連携し、漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施。顧客に対しては、クレジットカードの利用明細書に不審な請求項目がないかを確認するよう呼びかけている。再発防止策としては、システムのセキュリティ対策と監視体制の強化を実施。なお、すでに「TRINUS STORE」はサービスを終了しており、再開の予定はない。

アイ工務店、資料請求をした顧客の情報が外部に流出

アイ工務店は、資料請求をした顧客の情報が外部に流出したことを明らかにした。2022年3月4日に外部から情報提供があり確認したところ、元従業員が顧客情報を不正に持ち出していたことが分かった。元従業員は、持ち出した情報を転職先の企業に提供していた事実も判明している。

アイ工務店は、元従業員の転職先企業に個人データの返却と情報利用の停止を求めるとともに、警察へも被害届を提出。該当する情報は、氏名、電話番号、住所、メールアドレス。銀行口座やクレジットカード番号の情報は含まれていない。アイ工務店は、現状の管理体制と監視体制を改善・強化し、従業員教育の徹底を図りつつ再発防止に努めるとしている。

TP-Link、マネージスイッチ「T2600G-28SQ」に脆弱性

TP-LINKは3月10日、28ポートギガビット SFP L2マネージスイッチ「T2600G-28SQ」に脆弱性があると発表した。対象製品とファームウェアバージョンは以下の通り。

  • T2600G-28SQ(T2600G-28SQ(UN)V11.0.6 Build 20230227)より前のファームウェア

脆弱なSSHホスト鍵を使用しており、管理者が偽デバイスに接続することで、認証情報を抜き取られる可能性がある。最新ファームウェアではこの脆弱性を修正。アップデートすることで脆弱性は解消する。

Android アプリ「Wolt ウォルト:フードデリバリー/出前」に脆弱性

3月13日の時点で、WoltのAndroidアプリ「Wolt ウォルト:フードデリバリー/出前」に脆弱性を確認している。対象のアプリとバージョンは以下の通り。

  • 「Wolt ウォルト:フードデリバリー/出前」バージョン 4.27.2 およびそれ以前(Android)

脆弱性は、外部サービスのAPIキーのハードコード。放置するとアプリ内のデータ解析の可能性があり、外部サービスと連携するためのAPIキーの不正窃取が考えられる。すでにAPIキーを削除して脆弱性を修正したバージョンは2022年11月に公開済み。

佐川急便を騙るフィッシングメール

3月15日以降、佐川急便を騙るフィッシングメールが拡散している。送られてくるメールのタイトル例は以下の通り。

  • 【お荷物お届けのお知らせ】
  • 佐川急便-お荷物お届けのお知らせ

メールでは、重要な荷物が届いたが荷物に不備があり受取人と連絡が取れなかった――などと記載。リンクにアクセスして確認するように誘導する。リンク先は佐川急便を模したフィッシングサイトで、顧客情報、クレジットカード情報などの入力欄がある。

3月15日以降もフィッシングサイトは稼働中とのことであり、警戒を怠らないようにしたい。ほかにも、ライフカード、リクルートID、ソフトバンクを騙るフィッシングなども拡散している。