10月21日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

  • 先週のサイバー事件簿

スタバ「My Starbucks」に不正ログイン

スターバックス コーヒー ジャパンは10月24日、同社の「My Starbucks」ページがパスワードリスト攻撃を受け、数件が不正ログインされたことを明らかにした。

パスワードリスト攻撃に使われたメールアドレスとパスワードは、外部から入手したものと見られ、同社から流出したものではないとのことだ。

スターバックス コーヒー ジャパンはこの不正ログインを受け、スターバックスカードへのオンライン入金とオートチャージ機能を10月26日まで停止すると発表。利用者に対してはパスワードを変更するよう呼びかけている。「My Starbucks」はセキュリティを強化し、10月28日7時に運営を再開した。

Firefoxのメジャーアップデート版「Firefox 70.0」公開

Mozilla Foundationは10月23日、Firefoxのメジャーアップデート版となる「Firefox 70.0」をリリースした。「Firefox 70.0」となったことで「Firefox Quantum」の呼称が終了し、「Firefox Browser」として刷新される。

アップデートによる主な新機能は、強化型トラッキング防止機能によるプライバシー保護。FacebookやツイッターなどによるクラスサイトトラッキングCookieを、ETPの標準機能としてブロックするよう改良した。

パスワード保護ツール「Lockwise」では、デスクトップ版にてログイン情報とパスワードの作成・更新・削除 が可能となった。Lockwiseモバイルアプリなどとの同期にも対応する。ほかにも、JavaScriptコードの処理を高速化し、ページ読み込みを最大8%高速化。macOSではピクセル合成の改良により、電力消費を削減し、ページ読み込みを22%高速化したという。

セキュリティ関連では、カテゴリ別に最高1件、高3件、中8件、低1件の合計13件を修正。メモリ破壊の脆弱性などをケアした。Firefoxを使っているユーザーは、様子を見つつアップデートするとよいだろう。

Google、Chromeの最新バージョン「78.0.3904.70」をリリース

Googleは10月22日、Chromeの最新バージョン「78.0.3904.70」をリリースした。アップデートは、Windows、macOS、Linux向けに提供される。

今回のアップデートでは脆弱性37件を修正。重要度は「高(High)」に分類されているものが3件あり、解放後のメモリ使用、Blinkのバッファオーバーラン、ナビゲーションにおけるURLのなりすましなどが含まれる。ほか、重要度「中(Medium)」を12件、重要度「低(Low)」を6件、修正した。

緊急性が高い「クリティカル(Critical)」の脆弱性はないが、Chromeを使っているユーザーは早急にアップデートしてほしい。

マイクロソフト、2020年セキュリティ更新プログラムのスケジュールを発表

マイクロソフトは、セキュリティ更新プログラムの2020年度の更新日を発表した。セキュリティ更新プログラムは、米国の日付で毎月第2火曜日に公開。日本では時差の関係上、基本的に毎月第2水曜日に公開されることとなる。脆弱性などの悪用状況を踏まえ、危険性が高い場合は定例外で更新することもある。

2020年セキュリティ更新プログラムの公開予定日は以下の通り。()内は米国時間。

  • 2020年1月 2020年1月15日(2020年1月14日)
  • 2020年2月 2020年2月12日(2020年2月11日)
  • 2020年3月 2020年3月11日(2020年3月10日)
  • 2020年4月 2020年4月15日(2020年4月14日)
  • 2020年5月 2020年5月13日(2020年5月12日)
  • 2020年6月 2020年6月10日(2020年6月9日)
  • 2020年7月 2020年7月15日(2020年7月14日)
  • 2020年8月 2020年8月12日(2020年8月11日)
  • 2020年9月 2020年9月09日(2020年9月8日)
  • 2020年10月 2020年10月14日(2020年10月13日)
  • 2020年11月 2020年11月11日(2020年11月10日)
  • 2020年12月 2020年12月09日(2020年12月8日)

三菱UFJ銀行を騙るフィッシングメール

10月24日現在、三菱UFJ銀行を騙るフィッシングメールが拡散している。メール件名の例は以下の通り。

  • 通知 - 払い戻し保留中の情報
  • (三菱UFJ銀行)口座情報
  • 【三菱UFJ銀行】 個人名義の口座を開設されるお客さまへ
  • 【三菱UFJ銀行】-口座振替受付サービス
  • 【三菱UFJ銀行】振替受払通知票Web照会サービスでご確認ください
  • (三菱UFJ銀行)振替口座に入金する「口座間送金」のみとなります。
  • 【三菱UFJ銀行】貯金等規定の改定等のお知らせ
  • 【三菱UFJ銀行】送金等が利用できるよう、設定できます
  • 【三菱UFJ銀行】お客さまの口座間送金管理
  • 【三菱UFJ銀行検索アプリ】のサービス開始
  • お客様の【三菱UFJ銀行】口座・通帳一時利用停止中、再開のお手続きの設定してください。

手口はいくつか確認されているが、口座の利用制限解除などの理由でメール記載のURLをクリックさせ、ワンタイムパスワードの入力を促す。ワンタイムパスワードを入力後にパスワードが違うと表示して再入力させ、何度もワンタイムパスワードを詐取する。

携帯電話会社を装ったものでは、携帯電話の不正利用の可能性をほのめかし、本人認証と称してSMSを送信。記載されているURLをクリックさせ、銀行口座情報を窃取しようとする。

D-Link製のルータに脆弱性

10月24日の時点で、D-Link製の複数ルータ製品に脆弱性が確認されている。現在判明している製品は以下の通り。

  • DIR-655
  • DIR-866L
  • DIR-652
  • DHP-1565
  • DIR-855L
  • DAP-1533
  • DIR-862L
  • DIR-615
  • DIR-835
  • DIR-825

脆弱性はコマンドインジェクションで2種類の問題が存在。悪用されると、未認証の第三者がルート権限で任意のコマンドを実行できる可能性があるという。

問題は、対象製品のサポートがすでに終了していることで、ファームウェアのアップデートといった対策は実行できない。対象製品を利用している場合はすぐに使用を止め、別の製品に買い替えよう。