先週のサイバー事件簿 - 2023年4月はフィッシングメール大幅増

5月15日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

• 

2023年4月のフィッシングメール、前月より15,876件の増加

フィッシング対策協議会によると、2023年4月に寄せられたフィッシング報告件数 (海外含む) は92,932件。前月と比べて15,876件の増加だった。

このうちAmazonを騙るフィッシングは、報告数全体の約30.6％で増加傾向に。次いで、ファミペイ、えきねっと、Uber Eats、ETC利用照会サービスを騙るものが多く、これらを含めると全体の約64.2％を占める。1,000件以上の大量報告があったブランドは15ブランドとなり、引き続き警戒が必要だ。

分野別では、EC系が約32.2％、クレジット・信販系が約14.4％、決済サービス系が約14.2％、金融系が11.5％、交通系が約8.1％、デリバリーサービス系が約7.1％ 、オンラインサービス系が約6.6％、モバイル系が約 2.4％という割合。決済サービス系が急増し、クレジット・信販系が減少した。

フィッシングに悪用されたブランドは92ブランドに達し、クレジット・信販系が21ブランド、金融系が15ブランド、通信事業者・メールサービス系が12ブランド、EC系が8ブランド、官公庁系が6ブランド。これらはすべて増加傾向だった。

SMSから誘導するスミッシングも増えており、宅配便関連の不在通知を装うもの、Appleを騙るものを確認。金融系ブランドを騙るものも急増した。加えて、ビットコインを要求する脅迫メール、警察庁や日本銀行を騙りAndroid用不正アプリのインストールを誘導するメールも確認済み。Androidユーザーは、SMSやメールのリンクからアプリをインストールしないほうがよい。

フィッシング対策協議会は、メールサービスを提供している通信事業者に対して、DMARCポリシーに従ったメールの配信、迷惑メールフィルタの提供などを推奨。オンラインサービスを提供している事業者に対しては、DMARCでドメインを保護するよう呼びかけている。

個人の利用者に対しては、大量のフィッシングメールが届いている場合、メールアドレスが漏えいしている可能性が高い。フィッシング対策機能を強化しているメールサービスに新たにメールアドレスを作成し、メールアドレスを切り替えていくことを検討するよう提示している。

トヨタ、クラウド環境の誤設定で約215万人分の情報漏えい

トヨタ自動車が管理業務を委託していたトヨタコネクティッドにおいて、クラウド環境の誤設定によってデータの一部が公開状態となっていた。

情報効果の時点で判明しているのは、車載端末ID、車台番号、車両の位置情報・時刻が閲覧可能状態だったこと。対象は、2012年1月2日～2023年4月17日の期間にT-Connect／G-Link／G-Link Lite／G-BOOKを契約した顧客の約215万人。外部からアクセスできた期間は2013年11月6日～2023年4月17日まで。

加えて、法人向けサービスから収集したドライブレコーダーで撮影された車外の映像にも閲覧の可能性がある。2016年11月14日～2023年4月4日までの期間、外部からデータにアクセスできる状態だった。

問題が判明後、外部からのアクセスを遮断。トヨタコネクティッドは管理する全クラウド環境を含めた調査を継続して実施している。

トヨタ自動車とトヨタコネクティッドは、データ取り扱いのルール説明と徹底が不十分だったことを今回の主な原因として挙げており、以降は従業員への教育を徹底し、再発防止に取り組んでいくとしている。また、クラウド設定を監査するシステムの導入、クラウド環境の設定調査、継続的な設定状況監視の仕組みも構築するとのこと。

こうした「外部から閲覧の可能性がある顧客情報」だけでは、顧客の特定は難しい。今のところ第三者による二次利用や二次被害の事実はないとしている。

カドヤ公式オンラインショップ、不正アクセスを受けクレジットカード情報流出

カドヤが運営する「カドヤ公式オンラインショップ」が、第三者による不正アクセスを受けた。一部のクレジットカード会社から、クレジットカード情報の漏えい懸念の連絡を受け発覚した。2023年3月1日に決済を停止し、異なるプラットフォームと決済システム環境へのリニューアルを実施したが、やはり一部のクレジットカード決済を2023年3月24日に停止している。

2023年3月20日に第三者機関が調査を開始。その結果、2021年4月30日～2023年3月1日の期間に商品を購入した顧客のクレジットカード情報と、過去に個人情報を入力した人の個人情報漏えいが発覚した。一部は不正利用の可能性もある。

原因となったのは、システムの一部の脆弱性をついた第三者によるペイメントアプリケーションの改ざん。漏えいしたクレジットカード情報は最大6,263名分。内容は、カード名義人名、クレジットカード番号、有効期限、セキュリティコード。

個人情報は最大28,658名分が漏えい。氏名、住所、郵便番号、電話番号、メールアドレス、購入履歴、会社名、FAX番号、性別、生年月日となる。

カドヤは、クレジットカード会社と連携し漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施。顧客に対しては、クレジットカードの利用明細書に不審な請求項目がないかを確認するよう呼びかけている。再発防止策として、システムのセキュリティ対策と監視体制を強化。現在も一部クレジットカードが利用できない状況が続いているが、復旧しだい再開を告知するとしている。

三重県立総合医療センターのホームページ、不正アクセスによる改ざん被害

三重県立総合医療センターのホームページに、不正アクセスによる書き込みがあった。不正アクセスに気付いたのは、ホームページの編集作業をしていた職員。この職員が外部へのリンクを発見した。

内容を調査したところ、2023年5月5日21時30分ごろに更新履歴が残っていた。この時間には、職員および保守業務委託業者の更新作業がなかったことから、第三者による不正アクセスと判断している。

ホームページの全ページを確認したところ、6ページで外部へのリンクを確認。すでに該当するページの修正作業は終了している。病院や個人情報への影響については、電子カルテなどの医療情報システムがインターネットから分離しているため影響はない。個人情報の漏えいもなかった。今後の対応としては、原因の調査を続行しつつセキュリティ対策・監視を強化する。

日本コンクリート工業、サーバーがランサムウエアに感染

日本コンクリート工業のサーバーが第三者による不正アクセスを受け、ランサムウエアの感染被害が生じている。

不正アクセスは2023年5月5日の深夜に発生。サーバーに保存している各種ファイルが暗号化された。翌朝、外部の専門家とともに状況調査を行い、ランサムウェアの種類を特定。感染拡大を防ぐための対応を行った。5月8日には対策本部を設置。情報を共有するとともに復旧を進めている。

暗号化によってアクセス不能な状況となったのは、サーバーに保存していた各種業務データと業務用ソフトウエア。情報の流出については現在も調査中とのこと。今後の対応としては、外部専門家と連携して早期復旧に向けて作業しつつ、通常業務が可能となるように対応を進めていく。

セゾンカードを騙るフィッシングメール

5月12日以降、セゾンカードを騙るフィッシングメールが拡散している。メールの件名例は以下の通り。

• 【セゾンカード】重要なお知らせ
• 【セゾンカード】事務局からのお知らせ
• 【セゾンカード】本人情報緊急確認
• 【セゾンカード】個人情報確認
• 【セゾンカード】アカウントの確認をお願いします
• 【重要】セゾンカード からの緊急の連絡
• 【重要なお知らせ】セゾンカード ご利用確認のお願い
• 【Saison Card】アカウントに異常あります,確認してください
• ＜緊急!セゾンカード 重要なお知らせ＞

メールでは、本人の利用か確認したい取引があったなどと記載。カードの利用を一部制限したとして、利用確認を行うよう誘導する。誘導先は「Netアンサー」を模したフィッシングサイトで、ID、パスワード、クレジットカード情報の入力欄がある。5月12日以降もフィッシングサイトは稼働中とのことであり、一層の注意を心がけてほしい。