2018年の年末にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

  • 先週のサイバー事件簿

PayPay、不正利用対策として3Dセキュア対応を発表

PayPayは12月27日、クレジットカードを不正利用された人に対する補償内容について発表した。併せて、2019年1月から3Dセキュア(本人認証サービス)に対応することも発表している。

PayPayでは、クレジットカードを利用する際、セキュリティコードの入力回数が制限されてなかったことで、何度でも入力を試行できてしまっていた。PayPayが依頼した調査によると、クレジットカード登録時にセキュリティコードを20回以上入力し、登録にいたった件数はサービス開始以来13件で、うち9件は本人による利用だったことが判明。これらのカードにおいて、カード会社で不正利用の疑いが確認された場合は、請求停止や返金などの措置を行うように要請し、返金額についてはPayPayが全額を補償するとした。

12月18日にはクレジットカード情報の入力回数に制限を設けて対策を行ったものの、不正利用の主な要因は、悪意ある第三者が外部から入手したクレジットカード情報を利用した可能性が高く、クレジットカード情報の入力回数に制限を設けるだけでは根本的な対策にはならないと判断。3Dセキュアへの対応を行うことを決定した。

なお、3Dセキュアの対応が完了するまで、12月21日に「クレジットカードご利用時の上限金額の設定」を対策として実施する。

三井住友銀行を騙るフィッシングメール

三井住友銀行を騙りフィッシングサイトへ誘導するショートメッセージ(SMS)が大きく拡散。全国銀行協会を騙るフィッシングサイトも公開されており、重ねて注意されたい。フィッシングサイトのURLはhttp://www.●●●.pl/となっているので、まずこの部分に注目する。

SMSやメールに書かれたURLをクリック(タップ)するときは、細心の注意が必要だ。アクセスの必要性が高いなら、GoogleのWebサイトなどで検索して、検索結果から目的のサイトへアクセスするほうが安心できる。

DLmarket、流出した情報にクレジットカード情報も

ディー・エル・マーケットは12月25日、同社運営の「DLmarket」が不正アクセスを受けて情報が流出した問題について、クレジットカード情報の一部も流出していたことを発表した。当初の発表では、流出した情報はメールアドレス/氏名/会員IDのみとしていた。

情報流出の原因は、偽の決済フォームに誘導するようにサーバが改ざんされていたこと。偽の決済フォームから入力された顧客の情報が漏洩している可能性があるという。情報流出時期は、2018年10月17日22時05分から2018年11月12日21時50分の間で、流出内容はクレジットカード番号、名義、セキュリティコード、有効期限。

流出件数は7,741件で、決済は成立していないが偽の決済フォームに誘導された件数は903件となる。当該サイトを利用している場合は、早急に同社と連絡を取って対策してほしい。

WordPress用プラグインにクロスサイトスクリプティングの脆弱性

12月25日の時点で、オープンソースのブログソフト「WordPress」のプラグイン「Google XML Sitemaps」に脆弱性が確認されている。対象となるのは、Google XML Sitemaps Version 4.0.9以前。

脆弱性はクロスサイトスクリプティングで、このプラグインを使用しているWebサイトを複数の管理者で共同管理している場合、ほかの管理者がプラグイン設定ページにアクセスした際に、悪意ある第三者に任意のスクリプトを実行される可能性がある。

最新バージョンでは対策が施されているので、対策方法は最新版へのアップデートとなる。当該ソフトを利用している場合は速やかにアップデートを実行すること。