3月27日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

警視庁、「家庭用ルーターの不正利用に関する注意喚起」

警視庁は、家庭用ルーターの不正利用に関すして注意を喚起。サイバー攻撃によって家庭用ルーターが悪用されることが従来の対策のみでは防げないことを受け、複数のメーカーと協力し官民一体となって注意を促していく。警視庁の「家庭用ルーターの不正利用に関する注意喚起」の取り組みには、アイ・オー・データ機器、バッファロー、エレコムなどが賛同を表明している。

今回確認した悪用の手法は、一般家庭で使われているルーターをサイバー攻撃者が外部から不正に操作して機能を有効化するもの。一度設定変更の被害に遭うと、従来の対策では不正状態を解消できず、永続的に不正利用可能な状態となってしまう。

従来の対策は、初期設定の単純なIDやパスワードの変更、常に最新ファームウェアにしておく、サポートが終了したルーターの買い替え検討、などが主流だった。これに新たな対策として、見覚えのない設定変更が行われていないかの定期的な確認を加えた。

ルーターの管理画面でチェックするべき項目は、VPN機能設定、DDNS機能設定、インターネットからルーター管理画面への接続設定有効化など。もし身に覚えのない設定がある場合は注意が必要だ。

VPN機能設定に不審なVPNアカウントを見つけたら、状況を確認のうえルーターを初期化、ファームウェアを更新、パスワードを複雑なものに変更、といった処置を行う。メーカーサポートが終了したルーターはファームウェアの更新が行われないため、早いうちに買い替えておきたい。

ベビーランド、5,246件のクレジットカード情報が流出

ベビーランドタマベビーが運営するベビー用品のレンタルサイト「ベビーランド」が第三者による不正アクセスを受け、顧客のクレジットカード情報(5,246件)が漏えいした可能性がある。

不正アクセスが発覚したのは2022年12月16日。クレジットカード会社からクレジットカード情報の漏えい懸念について連絡を受けた。対象は2022年11月4日に閉鎖した旧サイトだったが、顧客情報の安全を考慮して2022年12月21日に新サイトでのカード決済を停止した。

第三者機関に依頼した調査によると、2021年3月9日~2022年10月28日の期間に「ECサイト ベビーランド」で商品を購入した顧客のクレジットカード情報が漏えい。一部は不正利用の可能性もあるという。原因はシステムの一部の脆弱性をついたペイメントアプリケーションの改ざんによるもの。

漏えい情報の内容は、カード名義人名、クレジットカード番号、カード有効期限、セキュリティコード。および、会員登録時に入力した名前、名前(フリガナ)、会社名、住所、メールアドレス、電話番号、FAX番号、パスワード、性別、職業、生年月日。

ベビーランドタマベビーはクレジットカード会社と連携し、漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続。顧客に対しては、クレジットカードの利用明細書に身に覚えのない請求項目がないかを確認するよう呼びかけている。今後の再発防止策として、システムのセキュリティ対策と監視体制の強化を図る。

日本臓器移植ネットワーク、メール事業者に対する不正アクセスの煽りを受けデータ消失

日本臓器移植ネットワークが業務委託しているメールサービスプロパイダが外部からの不正アクセスを受け、日本臓器移植ネットワークの一部データが消失した。発表の時点では、本件に関わるデータの流出、不正利用などはないとしている。

2023年1月16日に特定のメールアドレスで一部のデータが消失していることを確認。メールサービスを委託している事業者に問い合わせたところ、外部からの不正アクセスによるデータ消失だったことが判明した。

消失したデータは、ホームページの問い合わせフォームから連絡した人の中で、折り返し送受信したメールデータ最大199名分(201件)。含まれている可能性のあるデータは、氏名、メールアドレス、会社名などの所属、メール本文など。電話番号、住所、問い合わせ内容は含んでいない。今後の対応として、業務委託先としてセキュリティレベルの高いメール事業者への変更を検討する。

福岡県暴力追放運動推進センターのPCが遠隔操作被害、約3,500人の情報が流出

福岡県暴力追放運動推進センターは、業務で使用していたPCにおいて、セキュリティサポートを偽装した詐欺表示を原因とした情報漏えいの可能性があることを明らかにした。

この表示は3月20日に発生。職員が表示の電話番号に連絡し、相手の指示に従って操作したところPCが遠隔操作に切り替わった。遠隔操作状態は、回線を遮断するまで約20分間続き、PCに保存していた相談者の氏名、電話番号など約3,500人分の個人情報の一部が外部に流出した可能性があるという。

福岡県暴力追放運動推進センターは、「電話による現金の要求」や「至急の対応のお願い」などをすることはないので、職員や名称を使った電話や郵便物などが届いた場合、相手の要求に応じることなく連絡してほしいと県民に呼びかけている。本件の公開時点では、実害は発生していない。

三井住友信託銀行を騙るフィッシングメール

3月22日以降、三井住友信託銀行を騙るフィッシングメールが拡散している。送られてくるメールのタイトル例は以下の通り。

  • 【三井住友信託銀行】取引目的開示のお願い
  • 【三井住友信託銀行】お取引目的等の確認のお願い
  • 【重要】【SMBC信託銀行】「振込・振替」サービス制限のお知らせ
  • 【三井住友信託銀行】必ずご回答ください/お客様の直近の取引における重要な確認について

メールでは、犯罪収益移転防止法に基づきお取引を確認するなどと記載。いくつか質問があるのでリンクにアクセスするようにと誘導する。リンク先は三井住友信託銀行を模したフィッシングサイトで、口座情報やログインパスワードなどの入力欄がある。

3月22日以降もフィッシングサイトは稼働中とのことであり、警戒を怠らないようにしたい。ほかにも、広島銀行、PayPay銀行を騙るフィッシングなども確認している。

Apple、iOSのセキュリティアップデートを公開

Appleは3月27日、複数のソフトウェアのセキュリティアップデートを行った。対象ソフトウェアとバージョンは以下の通り。

  • Studio Display ファームウェアアップデート 16.4(macOS Ventura 13.3以降)
  • Safari 16.4(macOS Big Sur および macOS Monterey)
  • iOS 15.7.4 および iPadOS 15.7.4(iPhone 6s、iPhone 7、第1世代iPhone SE、iPad Air 2、第4世代iPad mini、第7世代iPod touch)
  • iOS 16.4 および iPadOS 16.4(iPhone 8以降、iPad Pro、第3世代iPad Air以降、第5世代iPad以降、第5世代iPad mini以降)
  • watchOS 9.4(Apple Watch Series 4以降)
  • tvOS 16.4(Apple TV 4K および Apple TV HD)
  • macOS Big Sur 11.7.5
  • macOS Monterey 12.6.4
  • macOS Ventura 13.3

脆弱性はソフトウェアによって異なるが、iOS 15.7.4/iPadOS 15.7.4ではカレンダーやカメラの脆弱性、iOS 16.4/iPadOS 16.4ではAppleニューラルエンジンの脆弱性を修正している。早期にアップデートしておきたい。