5月22日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

富士通Japan、抹消した印鑑登録証明書を発行できてしまう不具合

自治体向けのシステムなどを手がける富士通Japanは、「Fujitsu MICJET 住民記録システム(政令市版)」の不具合を明らかにした。「Fujitsu MICJETコンビニ交付」において、申請者本人の抹消済み印鑑登録証明書が発行できてしまうという。2023年5月12日に一部の自治体で発生していた。

問題が発生した13時ごろ、自治体はコンビニ交付サービスの提供を停止し、富士通Japanに調査を依頼。システムログによる調査では、同様の事象が2件発生していることがわかった。ほかの自治体を調査したところでは、一部の政令指定都市の自治体で同様の事象が発生する可能性があったことも判明した。

不具合の原因は、「Fujitsu MICJET 住民記録システム(政令市版)」と「Fujitsu MICJETコンビニ交付」の連携。具体的な発生条件は、政令指定都市の自治体で当該製品とサービスを使用し、住民がA区で印鑑登録をした状態でB区へ転出、B区で印鑑登録廃止申請を行いA区へ再転入すると発生するという。

対応策として、個別にデータ修正を行い5月18日までにプログラムを改修する。今後の製品開発においては、開発プロセスの強化にも取り組んでいく。

セシールオンラインショップで「なりすまし」による不正ログイン被害

セシールが運営する通販サイト「セシールオンラインショップ」が不正アクセスを受けた。ID(メールアドレス)とパスワードを使った「なりすまし」によるものだが、これらの情報は社内からの流出ではなく、第三者が外部で不正に取得したものと見ている。

5月14日に国内のIPアドレスから10回にわたって不正アクセスが試行され、うち3件が不正ログインに成功。2名分の顧客情報が漏えいした。内容は、顧客番号、氏名、住所、生年月日、性別、メールアドレス、保有ポイント、会員ランク、クレジットカード番号(下4桁)。

対応として、不正ログインしたIDでのログインを禁止し、特定IPアドレスからのアクセスをブロックした。なお、顧客情報のファイル出力、転送、ダウンロードの形跡はないという。

エーザイ、海外法人の社員アカウントに不正アクセス

エーザイの子会社および関連会社のEAファーマ、カン研究所、サンプラネットの取引先関係者(一部)の氏名とメールアドレスが、外部からの不正アクセスによって漏えいした可能性がある。

2023年4月28日(日本時間)に、エーザイグループの海外法人社員アカウントが第三者による不正利用を受けた。これにより、クラウドプラットフォームの一部情報への不正アクセスを確認している。この情報には取引先関係者の情報が含まれる可能性があることから、直ちにアクセスを遮断し、ネットワークの監視を強化。流出した可能性がある情報のモニタリングを継続している。

漏えいの可能性があるのは、2018年5月から2023年4月に、管理するMicrosoft製品またはID管理システムに業務上の目的でユーザー登録した顧客(氏名とメールアドレス)。具体的には以下のような内容となり、グループ全体として約11,000件の取引先関係者情報が対象。

  • Microsoft Teamsへプロジェクトなどで招待した人
  • Microsoft SharePointへのアクセス権を付与した人
  • Microsoft 365 グループ(メーリングリスト)に登録した人
  • ID管理システムに登録した人(業務委託会社など)

詳細は現在も検証中とのこと。そのほかの情報については漏えいの可能性はない。ただし、今後メールアドレスを悪用した迷惑メールが送られてくる可能性があるため、注意を呼びかけている。

Beads&Parts通販サイト、不正アクセス被害で最大2,881件の個人情報流出

ビーピークラフトが運営する「Beads&Parts通販サイト」が不正アクセスを受けた。原因は、システムの一部の脆弱性をついたペイメントアプリケーションの改ざんによるもの。2023年2月17日に、Beads&Parts通販サイトを利用した顧客からサイトを開けないとの連絡を受け事案が発覚。緊急対策としてサイトを閉鎖し、クレジットカード決済も停止した。

第三者機関の調査によると、2023年1月12日~2023年2月17日の期間に商品を購入した顧客のクレジットカード情報が漏えい。一部顧客のクレジットカード情報は不正利用の可能性があることがわかった。

漏えいしたのは、1,771件のクレジットカード情報。内容は、カード名義人名、クレジットカード番号、有効期限、セキュリティコード。個人情報は2,821件。内容は、氏名、メールアドレス、郵便番号、住所、電話番号。なお、1,771件のクレジットカード情報は個人情報の2,821件に含まれる。

ビーピークラフトはクレジットカード会社と連携し、漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施。顧客に対しては、クレジットカードの利用明細書に身に覚えのない請求項目がないかを確認するよう呼びかけている。今後の再発防止策として、調査結果を踏まえてシステムのセキュリティ対策と監視体制の強化を実施。サイトのクレジットカード決済再開日は決定しだい告知する。

東京都、読者プレゼント応募フォームで応募者の個人情報が閲覧状態に

東京都の交通局広報誌を紹介するホームページ内「読者プレゼント応募フォーム(外部リンク)」において、2023年5月2日から16日にかけて応募者の個人情報を閲覧できる状態だった。

具体的には、広報誌「ふれあいの窓(2023年5月号)」を紹介するホームページ内の「読者プレゼント応募フォーム(外部リンク)」で発生。応募フォームは、広報誌を受託作成している文化工房が制作・運用し、応募者の個人情報も管理していた。

原因は、文化工房が2023年5月2日に応募フォームの編集作業をした際に、公開範囲を誤って設定したこと。応募者166名分の氏名、住所、電話番号、メールアドレス、自由意見が閲覧可能な状態となっていた。

東京都は再発防止策として、文化工房に対して厳重に注意し、個人情報保護に必要な措置を至急講じるよう指示。個人情報を取り扱うすべての委託事業者には、個人情報の適正な取り扱いを周知徹底し、局職員に対しては監督を適切に行うよう通知を発出した。なお、情報公開の時点で二次被害はないとしている。

岩手県大槌町で不正アクセス被害

岩手県大槌町のシステムが不正アクセスを受け、個人情報が漏えいした可能性がある。経緯は、2023年4月24日に水道事業および下水道事業で支払い処理に使用している会計システムに障害が発生し、起動できないという状態に。システムのリース・保守契約をしている事業者に状態確認を依頼したところ、マルウェアに感染した可能性があることがわかった。感染の原因については調査中とのこと。

これに伴い個人情報が漏えいした可能性も判明。対象は町内外の個人および法人の代表者名をあわせて566名。内容は、氏名、住所、電話番号、口座情報となる。大槌町は今後の対応として、感染経路の確認と情報漏えいの有無について調査を進め、調査結果が確定しだい改めて連絡するとしている。

国税庁を騙るフィッシングメール

5月15日以降、国税庁を騙るフィッシングメールが拡散している。メールの件名例は以下の通り。

  • 税務署からの【未払い税金のお知らせ】

メールはe-Tax利用に関する内容。所得税(または延滞金)の督促をしてきたが納付がまだなどと記載され、期限までに納付しない場合は差押処分もあるとしてリンクのクリックを誘導している。誘導先は国税庁を模したフィッシングサイトで、メールアドレス、クレジットカード情報、電子マネー(vプリカ発行コード)の入力欄がある。

5月15日以降もフィッシングサイトは稼働中とのことであり、一層の注意を心がけてほしい。ほかにも、メルカリ、楽天ラクマ、みなと銀行を騙るフィッシングも確認しているので注意すること。