9月16日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。
LINEのAndroid版に複数の脆弱性
「LINE」アプリのAndroid版に、複数の脆弱性があることが明らかになった。対象となるのは、LINE(Android版)4.4.0~9.15.1未満。
脆弱性は、apng-drawableに起因する整数オーバーフローと、画像処理に起因する整数オーバーフローの二つ。細工された画像をLINE(Android版) で読み込むと、アプリがクラッシュする可能性がある。また、悪意ある攻撃者により、任意のコードが実行される可能性もあるという。
最新バージョンでは脆弱性が解消されているので、AndroidでLINEを利用しているユーザーは、速やかに最新版にアップデートすること。
日本郵便を騙るフィッシングメール
日本郵便を騙るフィッシングSMSが拡散している。SMS文面の一例は、「お客さま宛にお荷物のお届けにあがりましたが、不在のため持ち帰りました。下記よりご確認ください。http://jppost-●●●.com」など。
SMSはフィッシングサイトへの誘導を促し、携帯電話番号と認証コードを窃取しようとする。Android端末でアクセスすると、不正なアプリケーションのダウンロードが行われる。iPhoneでアクセスしリンクをタップすると、Apple IDの入力を求められる。
9月19日の時点でフィッシングサイトは稼働中。一般論として、SMSやメールのURLをタップすることは避けたほうがよい。また、類似のフィッシングサイトが公開される可能性もあるので常に警戒しておくことだ。
Google、Chromeの最新バージョン「77.0.3865.90」をリリース
Googleは9月18日、Chromeの最新バージョン「77.0.3865.90」を公開した。アップデートは、Windows / mac OS / Linux向けに提供される。
今回のアップデートでは脆弱性4件を修正。重要度「クリティカル(Critical)」に指定されている、UIの解放後使用の脆弱性が含まれている。そのほか3件も、メデイアの解放後使用、オフラインページの解放後使用など、重要度が「高(High)」と高く指定されている。
緊急性が高めの脆弱性だけに、Chromeをメインに使っているユーザーは早急にアップデートしておくこと。
ジャックスの「インターコムクラブ」にパスワードリスト攻撃
ジャックスは9月18日、同社のWeb会員サービス「インターコムクラブ」に、第三者による不正ログインがあったことを明らかにした。
事件の経緯は、9月14日に同社が不正対策として行っているモニタリングで発覚。不正ログインを検知し、調査を行った結果、パスワードリスト型攻撃による不正ログインと判明した。これに伴い、9月17日に不正ログインされたIDを無効化している。
不正ログインされた可能性のあるIDは634件。閲覧・利用された可能性のある項目は、カード名称、カード利用金額、カード利用明細、利用可能額、ポイント残高、ポイント交換など。氏名、カード番号、住所、電話番号、メールアドレスはマスキング処理を施していた。
一部の顧客情報は、クレジットカードの利用金額などが閲覧された可能性があることからIDを無効化し、個別に連絡のうえ再登録を依頼している。
ハーバルインデックスの通販サイトが不正アクセス
ハーバルインデックスは、同社のアロマオイル通販サイト「Naturas Psychos Product」が不正アクセスを受け、クレジットカード情報が流出した可能性があることを明らかにした。
調査によると、第三者の不正アクセスによりサイトが改ざんされ、2018年12月11日から2019年1月26日までの期間に、クレジットカード決済をした人が偽の決済画面へ誘導され、そこで入力された情報が流出したとのこと。
流出したクレジットカード情報は203件で、カード名義人名、クレジットカード番号、有効期限、セキュリティコードが含まれる。偽の決済画面でクレジットカード情報を入力したが製品を購入しなかった人、および、正規の決済画面で入力したカード情報と異なるカード情報を偽の決済画面に入力した場合についても、クレジットカード情報流出の懸念があるという。
同社では情報を流出した人に対し個別に連絡し、クレジットカードの利用明細に身に覚えのない請求項目がないかを確認するよう呼びかけている。連絡がなくても「Naturas Psychos Product」を利用していた場合は、利用明細に注意しておきたい。
「10mois WEBSHOP」がサイトを改ざんされ顧客情報流出
フィセルは9月19日、同社運営のベビー用品通販サイト「10mois WEBSHOP」が外部からの不正アクセスを受け、クレジットカード情報が流出したことを明らかにした。情報の流出はWebサイトの改ざんによるもので、偽のクレジットカード決済画面に誘導されるようになっていた。
同社は、2019年3月27日に個人情報流出の可能性を把握。調査会社や決済代行会社、クレジットカード会社との協議を実施していたが、その最中にも個人情報が流出したという。流出のケースは3段階に分かれている。
最初の段階は、2018年8月7日~2019年3月27日に「10mois WEBSHOP」でクレジットカード決済をした人の情報が流出。件数は最大11,913件。流出した可能性のあるクレジットカード情報は、カード会員名、カード番号、有効期限、セキュリティコード。
次に、2014年12月12日~2019年5月20日の期間に、「10mois WEBSHOP」に会員登録をした人と、商品を購入した人、ギフト商品が届いた人の情報が流出。対象は、10moisAOYAMA店、10mois NAGOYA店で会員登録をした人で、件数は最大108,131件。
流出した情報は、氏名、電話番号、FAX番号、メールアドレス、住所、性別、職業、勤務先、生年月日、注文履歴、会員ID、メールマガジンの送付希望、登録店舗、DM送付(登録店舗からのみ)。クレジットカード情報は流出していない。
3段階目は、2019年5月14日~2019年5月20日に「10mois WEBSHOP」から転送された偽決済ページで、クレジットカード情報を入力した人。件数は最大30件。流出した可能性のある情報は、カード会員名、カード番号、有効期限、セキュリティコード。
今回の情報流出は、フィセルの対応が遅れて被害が拡大した面が否めない。10mois WEBSHOPを利用している場合、クレジットカードの明細を確認し、不正利用がないかを確認してほしい。