7月22日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。
クロネコヤマト、パスワードリスト攻撃による不正アクセス
ヤマト運輸は7月25日、同社の無料会員制サービス「クロネコメンバーズ」に不正ログインがあったことを発表した。不正ログインはパスワードリスト攻撃によるもので、他社サービスから流出したIDとパスワードが使われた模様。
不正アクセスは7月23日に特定のIPアドレスから実行され、不正ログインの確認後に緊急措置として該当のIPアドレスからのログインを遮断した。
不正ログインの試行回数は約3万件で、3,467件が不正ログインされたと見られる。閲覧された可能性のある情報は、クロネコID、メールアドレス、利用端末種別(PC・携帯電話・スマートフォン)、氏名、氏名ふりがな、電話番号、性別、郵便番号、住所、クレジットカード情報(カード番号の下4桁・有効期限・氏名)、アドレス帳情報(氏名・住所・電話番号)など。
不正ログインのあったクロネコIDについては、パスワードを変更しなければ使用できないように対策を行った。またパスワードの共通化や、安易なパスワードの使用などを控えるよう注意を促している。
なお、クロネコメンバーズの会員であっても、メールアドレスを登録していなければ今回の対象にはならない。
叶匠寿庵オンラインショップでクレジットカード情報流出
和菓子店を運営する叶匠寿庵は7月22日、「叶匠寿庵オンラインショップ」において、第三者による不正アクセスがあったことを発表した。クレジットカード情報が流出した可能性がある。
経緯は、2019年3月13日に顧客からクレジットカード情報の流出について連絡があり発覚。決済を停止した。調査の結果、2018年9月17日~2019年3月13日の期間に、同社オンラインショップでクレジットカード決済を利用した人のクレジットカード情報が不正取得された可能性があることが確認された。
流出件数は1,767名分で、この期間のうち2018年9月17日~2018年10月3日に利用した人は、偽の決済フォームによりクレジットカード情報が不正取得されたという。流出した可能性のある情報は、カード会員名、クレジットカード番号、有効期限、セキュリティコード。
偽の決済フォームにクレジットカード情報を入力したものの、購入にいたらなかった場合も流出の可能性がある。なお、同社オンラインショップの再開日やクレジットカード決済の再開日については、決定次第ホームページ上にて告知するとしている。
仏具店通販サイト「金剛堂」で改ざんによる情報流出
仏具店を運営する金剛堂は7月23日、同社運営の「金剛堂オンラインストア」が不正アクセスを受け、クレジットカード情報などが流出したと発表した。調査の結果、不正アクセスはシステムの脆弱性をついたフォームジャッキングによるものだという。
個人情報が流出した期間は2014年12月31日~2019年2月21日の間で、当該サイトでクレジット決済した人の情報30,830件が流出した。流出したクレジットカード情報は、カード名義人名、クレジットカード番号、有効期限、セキュリティコード。
この件でクレジットカード情報が流出した可能性のある人には、手紙にて連絡を行っている。電話での注文と実店舗での購入で使用したクレジットカード情報については、システムが異なるため流出していない。
ブックオフを騙るパスワード再設定メールに注意
ブックオフは7月23日、ブックオフオンラインを騙ったパスワード再設定メールが一部の会員に届いていると発表した。現段階での調査では、パスワードリスト攻撃による不正アクセスが濃厚。第三者がパスワード再設定画面にアクセスして、さまざまなメールアドレスを入力したものと思われる。
2019年7月23日13時時点で、不正アクセスによりメールが配信されたユーザー数は44,505件。同社では7月23日12時の時点で、直接アクセスされている当該機能にシステム制御をかける対応を実施。不正なログインが確認されたIDはないとしている。
同社によれば、パスワード再設定メールが第三者に配信されることはなく、登録したメールアドレスにしか配信されない。なお、今回のパスワード再設定メールの送信による個人情報やパスワードの流出は発生していない。
MyJCBを騙るフィッシングメール
CBの会員専用Webサービス「MyJCB」を騙るフィッシングメールが確認されている。メールの件名は「【重要:必ずお読みください】」など。
「MyJCB」を利用しているJCB会員の人は、仮にメールを開いたとしても、メールに書かれたURLにはアクセスしないこと。必要があれば、検索サイトを利用するなどして、公式サイトで情報を確認したり、個人ページにログインしたりすることだ。また、類似のフィッシングサイトが公開される可能性もあるので、常に警戒しておきたい。
Apple、同社製品の脆弱性に対するアップデートを実施
Appleは7月23日、同社の製品向けのアップデートを公開した。複数の製品の脆弱性を修正している。対象製品は以下の通り。
- iOS 12.4より前のバージョン
- tvOS 12.4より前のバージョン
- Safari 12.1.2より前のバージョン
- watchOS 5.3より前のバージョン
- macOS Mojave 10.14.6より前のバージョン
- High Sierra(Security Update 2019-004 未適用)
- Sierra(Security Update 2019-004 未適用)
脆弱性は、任意のコード実行、アクセス制限不備、情報漏えい、サービス運用妨害(DoS)、情報改ざん、権限昇格、サンドボックス回避など。対象製品のユーザーは速やかにアップデートしてほしい。