6月26日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

志布志市ふるさと納税特設サイトで寄付者のクレジットカード情報が漏えい

鹿児島県志布志市が運営する「志布志市ふるさと納税特設サイト」が不正アクセスを受け、利用者のクレジットカード情報が流出した。

今回の不正アクセスは、クレジットカード会社からの連絡を受け2023年4月6日に発覚。サイトの保守管理会社、および第三者機関による調査によると、システムの一部の脆弱性を悪用したクロスサイトスクリプティングが原因で、サーバーにクレジットカード決済時に情報を窃取するためのプログラムが埋め込まれていた。

漏えいした情報は、2021年3月12日から2021年12月29日までの期間に、クレジットカードで寄付の決済を行った利用者の910件分。内容は、クレジットカード番号、有効期限、セキュリティコード、Webサイトのログイン情報、電話番号。クレジットカード以外の個人情報漏えいについては調査を継続中とのこと。

志布志市は、クレジットカード会社と連携して漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施。寄付者に対しては、クレジットカードの利用明細書に身に覚えのない請求項目がないかを確認するよう呼びかけている。

再発防止策として、セキュリティ管理体制の見直し、外部委託先選定基準と監督方法の見直しなどを図る。Webサイトについても、利用しているソフトウェアの脆弱性対応を徹底。セキュリティ・ソリューションの導入や、重要ファイルの変更検知機能によるチェック体制の強化も行っていく。

ロイヤルカナン、ペットオーナーの個人情報が漏えい

ロイヤルカナン ジャポンが運営するペット向けダイエット製品購入サイト「ロイヤルカナン ベッツホームデリバリー」において、ペットオーナーの個人情報が一部の登録動物病院に漏えいしていた。

事案は2件発生。うち1件は、登録動物病院向け管理画面において、登録動物病院がほかの登録動物病院と紐づいたペットオーナーの購入履歴に関するデータをダウンロードできる状態となっていた(2023年5月24日13時30分ごろから5月25日12時58分ごろ)。

もう1件は、同様の管理画面において、登録動物病院がほかの登録動物病院に紐づいたペットオーナーの保有ポイントに関するデータをダウンロードできる状態となっていた(2023年5月24日13時30分ごろから5月31日11時40分ごろ)。

原因はアクセス権限の設定ミス。ただちに設定を修正し、自院以外での登録動物病院に紐づいたペットオーナーに関するデータをダウンロードできなくした。

今回の件で漏えいした購入履歴に関するデータは77,709名分。内容は、氏名、注文ID、注文種別、注文日時、出荷日、キャンセル日、顧客番号、動物病院ID、動物病院名、支払方法、明細小計、配送料、注文金額合計、クーポン利用、ポイント利用、請求金額合計。

保有ポイントに関するデータは77,117名分。内容は、氏名、フリガナ、顧客ID、保有ポイント数。

二次被害については、サイトのパスワードが含まれていないことから、第三者が情報を得てもログインはできない。また、氏名と病院IDを利用して新たなアカウントを作成しても、すでに入力済みの支払情報とは結びつかないため、ペットオーナーになりすますことはできないとしている。

ロイヤルカナン ジャポンは再発防止策として、今後追加機能のリリースにおけるプロセス定義を見直し、リリース前の動作確認を徹底する。

ヤマハの米国子会社が不正アクセスを受け情報漏えい

ヤマハの米国販売子会社、ヤマハ・コーポレーション・オブ・アメリカの社内ネットワークが、第三者による不正アクセスを受けた。

2023年6月15日(日本時間)に不正アクセスを検出し、ただちに当該機器のネットワーク接続を遮断。不正アクセスはランサムウエアによるもので、現地の取引先に関する情報が漏えいした可能性がある。グループの今期業績に及ぼす影響については調査中とのこと。

その後、不正アクセスを受けた機器は通常通り稼働しており、日本国内のシステムへの影響がないことも確認済み。ヤマハでは、グループを含めてセキュリティ対策を強化し、再発防止に取り組むとしている。

新潟大学、メールアカウントへの不正アクセスでスパムメールを送信

新潟大学が管理するメールサーバー×1台が不正アクセスを受け、2名分のメールアカウントが第三者に悪用された。2023年4月13日22時ごろから4月17日14時30分ごろにかけて、基幹メールサーバーを経由して迷惑メールを送信していた。送信メール件数は約151万件にのぼる。

判明後、当該部署のメールサーバーの運用を停止。被害については、迷惑メール送信以外はなく、個人情報などの流出がなかったことを確認している。新潟大学は今後のセキュリティ対策として、メールアカウントの強固なパスワード設定を含めた厳密な管理について周知を徹底する。教職員および学生に対しては情報セキュリティの意識啓発を行い、再発防止に努めるとしている。

NVIDIA、ディスプレイドライバの脆弱性を解消する最新アップデート

NVIDIA製GPUに対するディスプレイドライバのセキュリティアップデートが公開された。ディスプレイドライバに存在する脆弱性を解消する。NVIDIA製品の、GeForce、Studio、NVIDIA RTX、Quadro、NVS、Teslaと多くが対象となるため、NVIDIA製品のユーザーは早急にアップデートしておきたい。

該当のディスプレイドライバには複数の脆弱性が存在。Windows用ではユーザーモード層に脆弱性が存在し、コード実行、情報漏えい、サービス拒否につながる。

Windows用およびLinux用では、予期しない・信頼できないデータ解析の脆弱性が存在し、コード実行、サービス拒否、権限昇格、データの改ざん、情報漏えいにつながる可能性がある。

Linux用にはカーネルモード層に脆弱性が存在。特権のないユーザーが整数オーバーフローを引き起こす可能性がある。

VGPUソフトウェアには、仮想GPUマネージャー(vGPU プラグイン)に脆弱性が存在し、情報漏えいやデータ改ざんにつながる。

NECの無線LANルータに脆弱性

6月27日の時点で、NECプラットフォームズ製の無線LANルータに複数の脆弱性が存在している。対象のモデルは以下の通り。すべてのバージョンが対象となる。

WG2600HP2、WG2600HP、WG2200HP、WG1800HP2、WG1800HP、WG1400HP、WG600HP、WG300HP、WF300HP、WR9500N、WR9300N、WR8750N、WR8700N、WR8600N、WR8370N、WR8175N、WR8170N

脆弱性は、特定ファイルの閲覧・削除、高権限を取得した攻撃者による任意のスクリプト実行、root権限での任意のOSコマンド実行。

対象機種の中で「Aterm WG2200HP」は2023年3月1日でサポートが終了している。そのほかの機種はアップデートで対処可能だ。

ジャックスを騙るフィッシングメール

6月27日以降、ジャックスを騙るフィッシングメールが拡散している。メールの件名例は以下の通り。

  • 【重要】ジャックスカード からの緊急の連絡
  • 【重要】JACCSカード重要なお知らせ
  • 【重要】JACCSカード からの緊急の連絡
  • 【重要なお知らせ】ジャックスカード ご利用確認のお願い
  • 【ジャックスカード】二段階認証の導入についてのお知らせ
  • 【ジャックスカード】重要なお知らせ
  • 【ジャックスカード】お支払い金額確定のご案内
  • 【JACCSカード】重要:必ずお読みください
  • 「JACCSカード」ご利用環境確認用ワンタイムURLのお知らせ

メールでは、セキュリティシステムの大幅なアップグレードを実施しているため、個人情報を再確認する必要があるなどと誘導。リンク先はジャックスインターコムクラブを模したフィッシングサイトで、ユーザーID、パスワード、クレジットカード情報の入力欄がある。

6月27日以降もフィッシングサイトは稼働中とのことなので、警戒を続けたい。こうした不審なメールを受信したら、無視するかすぐに削除すること。