7月1日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

  • 先週のサイバー事件簿

7payに不正アクセス、被害額は約5,500万円

セブン&アイホールディングスは7月4日、セブン・ペイが運営するバーコード決済サービス「7pay」の一部アカウントが、第三者により不正アクセスされたことを発表した。

この不正アクセスにより、7pay利用者のアカウントが乗っ取られ、登録済みクレジットカードおよびデビットカードからチャージが行われたという。チャージ後は商品を購入されていた。

事件は、7月2日に顧客から身に覚えのない取引があったとの問い合わせがあり発覚。調査の結果不正利用が確認された。同社は7月3日にクレジットカード、およびデビットカードからのチャージを停止しサポートセンター緊急ダイヤルを設置。7月4日にはセブン銀行ATMでの現金チャージ、nanacoポイントでのチャージ、セブン‐イレブン店頭レジでの現金チャージなども含め全チャージ処理を停止している。「7pay」の新規登録も停止した。

今回の件で同社が開いた記者会見について、報道で見聞きした人も多いだろう。7payのシステムに2要素認証を導入していなかったなど、セキュリティ面の甘さが指摘されている。同社は、被害に遭った顧客に対して補償を行っていくとともに、原因を追及し抜本的な解決を模索するとしているが、本当にしっかりしてもらいたいものだ。

macOS狙う新種マルウェア「CrescentCore」

macOSを狙う新種のマルウェア「CrescentCore」が確認されている。CrescentCoreは、Adobe Flash Playerのインストーラーを偽装して拡散した。

拡散元は漫画をダウンロードできる海賊版サイトで、アクセスするとAdobe Flash Playerのアップデートが必要だとしてインストーラー配布サイトへと誘導。インストールを行うよう指示してくる。指示に従うとマルウェアに感染するといった流れだ。Googleの検索上位に表示されるサイトでも配布が確認されていたという。

Adobe Flash Playerのサポートは2020年に終了の予定。すでに各メーカーはAdobe Flash PlayerからHTML%などへの移行をはじめている。どうしても必要な場合は仕方ないが、正規版であってもAdobe Flash Playerはインストールしないほうがよいだろう。また、漫画や映画といった著作物を無料でダウンロードできるとうたっているサイトは利用しないことだ。

石井スポーツ、「Ski&Winter Sports Online Shop」でクレカ情報流出

石井スポーツは7月3日、同社運営の通販サイト「Ski&Winter Sports Online Shop」に不正アクセスが行われ、個人情報が流出したと発表した。不正アクセスは、システムの一部の脆弱性をつきペイメントアプリケーションを改ざんしたもの。

事件は2019年3月20日にクレジットカード会社からの連絡を受け発覚。調査によると、2018年9月10日~2019年3月20日の期間にクレジットカード決済利用した人のクレジットカード情報が流出していた。流出した個人情報は最大650件。クレジットカード情報の詳細は、カード名義人名、クレジットカード番号、有効期限、セキュリティコード。

同社は、クレジットカード会社に流出した可能性のあるクレジットカードのモニタリングを依頼。該当する顧客に対しては個別に連絡を取るとともに、クレジットカードの利用明細書を確認するよう注意喚起を行っている。

DigiBookの「みんなのデジブック広場」が2009年から不正アクセス被害

DigiBookは7月3日、同社運営の「みんなのデジブック広場」に不正アクセスが行われ、個人情報が流出したと発表した。「みんなのデジブック広場」は、撮影した画像を使って、フォトブックなどを作成できるサービス。不正アクセスは、システムの一部の脆弱性をついて行われた。

事件は2019年2月20日にクレジットカード会社からの連絡を受け発覚。調査の結果、2009年3月1日~2019年2月20日の期間に「みんなのデジブック広場」でクレジットカードを使用した人の情報が流出していた。流出した個人情報は最大15,370件(12,139名分)。流出情報の詳細は、カード名義人名、クレジットカード番号、有効期限 。

同社は、クレジットカード会社に流出した可能性のあるクレジットカードのモニタリングを依頼。該当する顧客に対してはメールにて連絡を取るとともに、クレジットカードの利用明細書を確認し、不正利用がないか確認するよう注意喚起を行っている。

今後については、2020年3月31日に「みんなのデジブック広場」の全サービスを終了予定とのこと。既存のプレミアム会員に対しては、サービス終了時まで無償で全プレミアム機能を利用できるようにする。

iDoorsリーダーに認証回避の脆弱性

IDマネジメントは7月1日、同社のネットワーク入出管理システム「iDoors リーダー」に脆弱性があることを発表した。影響を受けるのは、iDoors リーダー バージョン2.10.17以前。

脆弱性は2つ存在。1つは、iDoorsリーダーと直接通信ができるネットワークからの操作により、第三者が管理者のID・パスワード認証を回避して、管理Webの機能を実行できるもの。もう1つは、管理者権限を持たずに管理者用パスワードの再設定が行えるというもの。

この脆弱性により、第三者が管理者権限を迂回して、設定を変更したり機器を操作される可能性がある。また、管理者アカウントを再設定して悪用される可能性もある。

すでに対策済みファームウェアは提供されているので、速やかにファームウェアのアップデートを行うこと。なお、iDoorsクラウドの管理画面は脆弱性の影響を受けない。