5月27日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

  • 先週のサイバー事件簿

ヤマダ電機の通販サイトでクレジットカード情報が流出

別記事でもお伝えしている通り、ヤマダ電機は5月29日、同社運営の「ヤマダウエブコム」と「ヤマダモール」が不正アクセスにより改ざんされ、クレジットカード情報を含む個人情報が流出したと発表した。流出件数は最大37,832件。流出した可能性のある情報は、クレジットカード番号、有効期限、セキュリティコード。

個人情報が流出した期間は、2019年3月18日~2019年4月26日。ヤマダウエブコムとヤマダモールで新規クレジットカードの登録か、クレジットカード情報を変更した人の情報が流出した。2019年4月26日時点で 新規クレジットカード登録とクレジットカード情報の変更は停止している。

現在はクレジットカード会社と連携し、流出した可能性のあるクレジットカードのモニタリングを実施。身に覚えのない請求がないかの確認を行うよう注意を呼びかけている。

同社は再発防止策として、システムのセキュリティ対策と監視体制を強化すると発表。ヤマダウエブコムとヤマダモールでの新規クレジットカード登録の再開日については、後日告知するとしている。

NTTグループカードを騙るフィッシングメール

5月29日の時点で、NTTグループカードを騙るフィッシングメールが確認されている。メールの件名は、「NTTグループカード【緊急のご連絡】」など。

フィッシングメールでは、「MyLink」のアカウントが不正ログインされた可能性が高いなどと煽り、フィッシングサイトへと誘導しようとする。5月29日時点でフィッシングサイトは稼働中。メールに書かれたリンクをうかつにクリックしないように気を付けたい。

サイバー犯罪集団「Mirrorthief」が米とカナダでスキミング攻撃

トレンドマイクロのセキュリティブログによると、2019年4月の時点で、クレジットカード情報を盗むスキミング攻撃「Magecart」が確認されている。Magecartは、サイバー犯罪集団「Mirrorthief」が実行と推測している。

今回の攻撃は、ECサイトなどの支払いページに不正なスキミングスクリプトを仕込み、入力された個人情報とクレジットカード情報を、遠隔のサーバーに送信するというものだ。

この攻撃によって、米国とカナダの大学が運用するオンラインストア(201店)がクレジットカード情報を窃取された。内訳は米国の大学のオンラインストアが176件、カナダの大学のオンラインストアが21件。

Apple、同社製品の脆弱性に対するアップデートを実施

Appleは5月29日、同社の製品向けのアップデートを公開した。対象となる製品は以下の通り。

  • iTunes for Windows 12.9.5より前のバージョン
  • iCloud for Windows 7.12より前のバージョン

脆弱性は製品によって異なるが、権限昇格、任意のコード実行、情報漏えいなどが含まれる。iTunesとiCloudを利用している人は、早急にアップデートすること。

東京五輪の類似ドメインに注意

5月31日の時点で、東京オリンピック・パラリンピックの公式サイトに類似したドメインが大量に取得されていることが判明している。利用目的は不明だが、フィッシング攻撃などに悪用される可能性が高いことから、セキュリティ研究者が注意を呼びかけている。

例えば、東京オリンピック・パラリンピックの観戦チケットは、抽選申し込みの受付を5月9日から5月28日の期間に実施。以降、6月20日に抽選結果が発表される。これに便乗して、抽選の当落通知を装ったフィッシングメールが送られてくる可能性があるだろう。

東京オリンピック・パラリンピックが利用するドメインは「tokyo2020.org」。これと類似した「.com」や「.tokyo」などを使っていたり、「0」を「o」に、「2」を「z」にしたりなど、文字列を似たものに変える手法もある。その上で、サイトデザインも同じように作られていたら判別は困難だ。

チケットの抽選申し込みの確認時に公式サイトを訪れる場合は、自分が本当に公式サイトにアクセスできているか、ドメインなどを慎重に確認してほしい。

ジャングル、不正アクセスにより個人情報流出の可能性

ジャングルは5月28日、データベースが不正アクセスを受け、顧客情報が流出した可能性があることを発表した。流出した可能性があるのは、同社の通販サイトでクレジットカード決済を行った人のクレジットカード情報など。情報が流出した期間は、2017年5月2日から2018年11月6日まで。流出件数は2,507件で、流出情報の詳細は、会員名、カード番号、有効期限、セキュリティコードなどが含まれる。

同社では、システム受託会社に設置されているサーバーにカード情報は保管されていないとの認識だったが、調査の結果、システム受託会社の担当者(退社済み)のプログラムエリアにカード情報らしきものがあったという。現在この情報はすべて削除されている。

クレジットカード情報のログはすでに削除済みのため、漏えいしたカード情報は特定できていない。同社では、クレジットカードの利用履歴に身に覚えのないものがあった場合、クレジットカード会社に連絡するよう呼びかけている。

今後は不正アクセス対策として、通販システムのリニューアルを実施。カード情報がサーバーを経由せずに、カード決済を行うオンラインカード決済を導入するとしている。