9月2日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。
LINE、プロフィール画像のアップロード機能に脆弱性
LINEアカウントのプロフィール画像を変更できる脆弱性が明らかになった。脆弱性の対象は、通常の個人用LINEアカウント、LINE@、LINE公式アカウント。脆弱性は5月17日より存在しており、脆弱性を突いた攻撃が8月30日~8月31日にかけて行われていたことが確認された。この脆弱性は8月31日に修正済み。
脆弱性はアクセス制御の不備で、LINEアカウントのプロフィール画像を変更する際に使われる、画像アップロード機能のAPIに存在する。これを第三者に悪用されると、プロフィール画像を意図的に変更される可能性があるという。
LINEでは、個人のLINEアカウント利用しているユーザーに対し、自身のプロフィール画像の確認を行うとともに、自身でプロフィール画像を復旧させた場合にタイムラインに不審な投稿がないかどうかを確認するよう呼びかけている。
LINE公式アカウントやLINE@の場合は、管理画面上で正しい画像が設定されていても、画像が置き換わっている場合があるので注意。すでにアカウントを友だち登録している場合は、一度ブロックしてからブロック解除を行うことで、プロフィール画像の置き換えを確認できる。
この脆弱性は画像アップロード機能に関するもので、パスワードや個人情報の流出などへの影響はない。
NTTドコモ、Android 10で「d払い」が使用不可
NTTドコモは9月4日、同社の「d払い」アプリがAndroid 10上で動作しないことを発表した。Android 10は9月3日に正式リリースされた最新OS。NTTドコモの製品では、Pixel 3、Pixel 3 XL、Pixel 3a、Pixel 3a XLがアップデートの対象モデルとなっている。
これら機種においてAndroid 10へのアップデートを行うと「d払い」アプリが使用できなくなるという。フォトアプリも同様。このほかにも、みずほWalletアプリ、パズドラ、クロネコヤマト公式アプリ、FGO、星のドラゴンクエスト、ポケモンマスターズなど、多くのアプリが起動しない事例が確認されている。
現時点では影響が大きいので、Pixel 3、Pixel 3 XL、Pixel 3a、Pixel 3a XLなどの機種を使っている場合はアップデートを控えたほうがよい。なお、Android 10対応の「d払い」アプリは10月末ごろ、フォトアプリは11月ごろに提供予定としている。
Mozilla、脆弱性を修正した「Firefox 68.0.2」を公開
Mozilla Foundationは9月3日、Firefoxの最新バージョン「69.0」を公開した。今回のアップデートでは、セキュリティ関連20件を修正している。セキュリティ上の脅威による内訳は、最高1件、高11件、中5件、低3件となる。
「最高」に分類されている脆弱性は、ユーザーがチャットアプリなどで悪意のあるリンクをクリックし、Firefoxが別のプログラムによって起動された場合、ロギング関連のコマンドラインパラメーターに異常が生じるというもの。これを悪用すると、Windowsの「スタートアップ」フォルダーなどの任意の場所にログファイルを書き込めてしまうという。そのほかにも、権限の昇格、解放後のメモリ使用、サンドボックスエスケープなどが修正された。
新機能としては、プライバシー保護機能「Enhanced Tracking Protection」を、全ユーザーに対して有効にできるようになった。また、暗号通貨マイニングのブロック機能や、すべての動画の再生をブロックできるようにも改良されている。
マイクロソフト騙るフィッシングメール
9月6日の時点で、マイクロソフトを騙るフィッシングメールが確認されている。メールの件名は以下の通り。
- ご注意!!OFFICEのプロダクトキーが不正コピーされています。
- 警告!!マイクロソフトのプロダクトキーが不正コピーされている恐れがあります。
- 警告!!ご利用のマイクロソフトのプロダクトキーが何者かにコピーされています。
- Microsoftアカウントの不審なサインイン
メールでは、Officeなどのプロダクトキーが不正コピーされているといった記載を用い、このままでは使用できなくなると不安を煽ってくる。誘導先はフィッシングサイトへのリンクなので、決してクリックはしないこと。
セガ、「maimai動画作成サービス」への不正アクセスで情報流出
セガ・インタラクティブは9月5日、同社が運営する「maimai動画作成サービス」で、第三者による不正アクセスと情報流出が確認されたと発表した。
流出の可能性があるのは、2017年12月31日までに「maimai MURASAKi」をAimeカード、バナパスポートカード、おサイフケータイを使用してプレイの上、「maimaiNET」を利用したユーザー。流出情報はアクセスコード、「maimai」上のプレイヤー名。流出件数は最大3,255件。今回の情報流出による不正利用対策と注意点は以下の通りだ。
Aime対応のゲームをプレイしていて、アクセスコードでゲーム連動サービスにログインしている場合、対象アクセスコードでのゲーム連動サービスへのログインができない状態になっている。SEGA IDや外部アカウントなどでログインすること。
Aime対応のゲームをプレイしていて、Aimeサービスサイトに登録している場合は、Aimeサービスサイトに登録したカード、おサイフケータイの再登録ができなくなっている。そのため、カードの解除などはしないこと。
バナパスポート対応のゲームをプレイしていて、バナパスポートカードサイトに登録していないユーザーは、対象のカードはバンダイナムコIDに登録できない。
これらの不正利用対策は暫定的なもの。9月中旬には、使用しているアクセスコードが対象アクセスコードであるかを判別できるページを用意する予定。対象アクセスコードについては、新規のAimeカード、バナパスポートカードへの無償交換を検討中。おサイフケータイについては、アクセスコードの変更(Aime利用分のみ対象、バナパスポート利用分は対象外)を検討している。
なお、SEGA ID、パスワード、氏名、住所、電話番号などは流出しておらず、9月5日までに流出情報が不正利用された形跡もないとしている。