6月10日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

  • 先週のサイバー事件簿

イオン銀行、クレジットカード情報の一部が流出

イオン銀行は6月13日、会員向けインターネットサービス「暮らしのマネーサイト」とスマートフォンアプリ「イオンウォレット」において、なりすましによる不正ログインがあったことを公開した。

不正ログインは、外部で不正入手したIDとパスワードを使ったものと見られ、2019年5月28日から6月3日までの期間に発生。期間中、1,917名の会員が不正ログインされた可能性があるという。閲覧された可能性のある情報は以下の通り。

■カード会員情報
氏名(姓名 / フリガナ / ローマ字)、住所、電話番号、生年月日、性別、勤務先、年収、メールアドレス

■クレジットカード情報
請求金額、利用明細、利用可能枠、支払口座情報の一部、クレジットカード情報の一部(下4ケタ)

■暮らしのマネーサイトにイオン銀行口座を登録しているカード会員情報
口座番号上4ケタ、預金種別(普通預金 / 定期預金 / 積立式定期預金)、預金残高(普通預金 / 定期預金 / 積立式定期預金)、支店名、契約者ID上5ケタ

このうち、一部会員情報は登録電話番号が改ざんされており、スマートフォン決済アプリの登録と認証に悪用された。クレジットカードを不正に利用された会員数は708名、不正利用金額は22,044,816円にのぼる。

6月14日現在、不正ログインの通信元を特定しアクセスを遮断し、その他のアクセスについても監視を強化。不正ログインが確認されたカード会員に対しては個別に連絡済みとしている。

マイクロソフト、6月のセキュリティ更新プログラムをリリース

マイクロソフトは6月12日、6月のセキュリティ更新プログラムを公開した。対象のソフトウェアは以下の通り。

  • Internet Explorer
  • Microsoft Edge
  • Microsoft Windows
  • Microsoft Office、Microsoft Office Servers および Web Apps
  • Adobe Flash Player
  • ChakraCore
  • Skype for Business および Microsoft Lync
  • Microsoft Exchange Server
  • Azure

脆弱性についてのセキュリティ更新プログラムは、緊急6件、重要4件。修正内容はリモートでコードが実行されるものが含まれる。

新規のセキュリティアドバイザリは4件を公開、既存のセキュリティアドバイザリは2件の更新、既存の脆弱性情報1件の更新も行っている。今月の「悪意のあるソフトウェアの削除ツール」に追加はない。

楽天を騙るフィッシングメール

6月12日の時点で、楽天市場を騙るフィッシングメールが拡散している。メールの件名は「【重要】楽天株式会社から緊急のご連絡」など。

メールでは、楽天市場に登録しているクレジットカード情報が第三者に不正にログインされたなどと不安を煽り、アカウントを更新するよう促す。メールに記載されているのはフィッシングサイトへのリンクなので、リンク先でアカウント情報などを入力すれば窃取される可能性が高い。フィッシングサイトは稼働と停止を繰り返すことが多く、類似のフィッシングサイトが公開される可能性もあるため、常に警戒しておくこと。

Apple、iCloud for Windowsの脆弱性を修正

6月11日(米国時間)、AppleはiCloud for Windowsの新バージョン「iCloud for Windows 10.4」をリリースし、旧バージョンに存在していた脆弱性を修正した。脆弱性は、任意のコード実行、権限昇格、情報漏えいなど。

最新版はWindows Storeで配布されており、「Windows 10 May 2019 Update(バージョン 1903)」以降に対応している。

旧ジュニアーオンラインショップでクレジットカード情報が流出

ジュニアーは6月10日、同社が運営する女性向けのファッションECサイト「ジュニアーオンラインショップ(旧サイト)」において、第三者による不正アクセスにより、クレジットカード情報(2,407件)が流出した可能性があると発表した。

2018年11月22日にクレジットカード会社から情報流出の懸念について連絡を受け発覚。調査の結果によると、2017年9月18日~2018年9月21日の期間に「ジュニアーオンラインショップ(旧サイト)」で購入した人のクレジットカード情報の流出が確認された。一部顧客のクレジットカードが不正利用された可能性もあるという。

不正アクセスは、同Webサイトの脆弱性を突き、ペイメントアプリケーションを改ざんしたもの。流出情報は、カード名義人名、クレジットカード番号、有効期限、セキュリティコードとなる。

「ジュニアーオンラインショップ(旧サイト)」は、サイトの老朽化にともない、新サイトへ移行するため2018年9月21日13時にて運営を終了し、カード決済も停止していた。すでに顧客にはメールなどで連絡済みだが、上記の期間に同Webサイトを利用している場合はカードの利用明細などを確認し、問い合わせるように呼びかけている。

仮想通貨発掘ツールを送り込む「BlackSquid」に注意

トレンドマイクロのセキュリティブログによると2019年5月ごろ、仮想通貨「Monero」を発掘するためのツール「XMRig」を送り込むワーム「BlackSquid」が確認された。BlackSquidは検出回避機能を備え、ワーム的な機能によってネットワーク内で拡散活動を行う。さらに、「EternalBlue」や「DoublePulsar」を利用し、8つの脆弱性を突いて攻撃を行う。2019年5月最終週で最も検出数が多かった国は、タイと米国だった。

感染経路は、不正なWebサイトからのダウンロードによるもの。また、ネットワークストレージや外付けストレージを介しての拡散も確認されている。ストレージ内に自身のコピーを作り、Windows ShellにおけるRCE脆弱性を利用して実行。ローカルシステムのユーザーと同じ権限で、任意のコードが実行される可能性もあるという。

Webサーバーへの感染では、アプリケーションの脆弱性を利用。主に、中国で利用されているWebアプリケーション開発フレームワーク「ThinkPHP」の脆弱性を突いている。検出回避機能では、検出やブロックを避けるために感染活動を停止する。

感染すると、仮想通貨発掘ツール「XMRig」のコンポーネントをダウンロード。メインコンポーネントでは、NVIDIA製かAMD製のGPUが搭載されているかをチェック。搭載されている場合は、GPUを使って追加のコンポーネントをダウンロードする。

BlackSquidは、検出回避機能や攻撃手法の巧妙さなど、感染するとシステムに重大な被害をもたらす。現時点では、攻撃者が有効性をテストしている段階と推測されており、改良が加えられる可能性が高い。ただ今のところ、BlackSquidが利用する脆弱性は、各種ソフトウェアの修正プログラムを適用することですべて防御できる。