7月22日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。
7payがパスワードの一斉リセットを実施も、サービス終了を発表
セブン&アイ・ホールディングスは8月1日、キャッシュレス決済サービス「7pay」を9月30日に廃止することを発表した。
7payは7月1日にスタートしたキャッシュレス決済サービス。セブン-イレブンなどで使用できることから期待も高かったが、サービス開始直後に不正利用が発覚。7月30日には「7iD」のパスワードリセットも実施されたが、根本的な解決にはいたらなかった。
同社は、このまま継続してもシステムに不安を抱えたままとなるため、サービスの継続が困難と判断。サービス再開に向けて対応が完了するのにも時間がかかるため、改善するよりも廃止することを決定した。問題となった不正利用は「パスワードリスト攻撃」によるもの。システムの認証レベルが不十分だったことや、リスク管理体制に不備があったことは認めている。
7月29日の17時点における「7pay」での被害状況は、被害者807人、被害額は38,605,335円と発表された。7月11日に発表された数字から被害者数は減っているものの、被害額は増加している。なお同社では、認定したすべての被害者に対して補償する方針とのこと。
Google、Chromeの最新バージョン「76.0.3809.87」をリリース
Googleは7月30日、Chromeの最新バージョン「76.0.3809.87」を公開した。アップデートは、Windows / mac OS / Linux向けに提供される。
今回のアップデートでは脆弱性43件を修正。その内重要度「高(High)」が5件あり、オフラインページフェッチャーやPDFiumにおける「Use After Free」の脆弱性が修正されている。そのほかにも、重要度「中(Medium)」が4件、重要度「低(Low)」が7件なども修正された。Chromeのユーザーは早急にアップデートすること。
不正に広告を表示するAndroidマルウェア「Agent Smith」
トレンドマイクロのセキュリティブログによると、2019年の第1四半期において、モバイルマルウェア「Agent Smith」が増加傾向にあることが確認されている。
Agent Smithは不正に広告を表示し、攻撃者が金銭的利益を得るマルウェア。対象のデバイスにインストールされているアプリ情報を抽出し、不正な広告を表示するモジュールに置き換える。
解析の結果によると、9Appsなどのサードパーティーストアにある約900個のアプリに不正なモジュールが埋め込まれており、うち3つはGooglePlayストアでも確認されたという。ダウンロード数の合計は11,000件にのぼり、被害は大きい。
セシールオンラインショップに不正アクセス
ディノス・セシールは7月31日、同社運営の通販サイト「セシールオンラインショップ」において、不正アクセスがあったことを明らかにした。
不正アクセスはパスワードリスト攻撃によるもので、外部で不正に取得されたID(メールアドレス)とパスワードが使われていた。この不正アクセスにより、顧客情報が閲覧された可能性がある。
不正アクセスがあったのは7月28日で、国内のIPアドレスから22回の不正アクセスを検知。うち1件が不正ログインされた。閲覧された情報の詳細は、お客様番号、氏名、生年月日、性別、保有ポイント、会員ランク、メールアドレス、確認メール送付先、確認メール受信設定、特典案内、メール受信設定。これらの顧客情報がファイルとして出力されたり、外部に流出したりはしていないとう。
対策として、不正ログインされたIDはログインできないように処理。不正アクセスが行われた特定IPアドレスのブロックも行った。不正ログインされたIDと、不正ログインが失敗に終わったIDにも連絡済み。
日本酒定期購入サービス「KURAND CLUB」で顧客情報流出
リカー・イノベーションは7月29日、同社運営の日本酒定期購入サービス「KURAND CLUB」において、クレジットカード情報を含む個人情報が流出したと発表した。顧客情報の流出は、サイトの脆弱性を突いたペイメントモジュールの改ざんによるものだった。
流出したのは、2019年3月11日~2019年3月14日の期間にクレジットカード決済を試行した顧客。流出件数は23件で、流出情報の詳細はカード会員名、カード番号、カード有効期限、セキュリティコード。ほか、2019年3月11日~2019年3月14日の期間に会員登録をした人の情報も流出。件数は最大4,921件で、流出した情報は氏名、住所、連絡先、購買履歴。
同社では個人情報が流出した可能性のある顧客に連絡するとともに、同サイトを利用している場合はクレジットカードの利用履歴を確認するよう呼びかけている。なお、同社運営の日本酒オンラインストア「KURAND」は別システムとなっているため、顧客情報の流出はないとしている。