11月4日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

  • 先週のサイバー事件簿

Microsoft Office for MacにXLMマクロが実行されてしまう問題

11月7日の時点で、Microsoft Office for Macにおいて、特定環境下でマクロが実行されてしまう問題が確認されている。

「警告を表示しないですべてのマクロの実行を無効化」する設定にしていても、XLMマクロが組み込まれたSYLK形式のファイルを開くことで、警告なしにマクロが実行されてしまうというもの。

Microsoft Officeは、SYLK形式(Symbolic Link File)のファイルおよびXLMマクロ形式をサポートしており、SYLK形式のファイルを開くときに、マクロを実行しなくても内容を確認できる保護ビューが存在する。しかし今回の問題を利用すると、攻撃者が標的としたユーザーのMac環境において、悪意を持ったマクロを実行させることが可能。サポート期間中の「Office 2016 for Mac」や「Office 2019 for Mac」もこの影響を受ける。

現状では、Office 2016 for MacとOffice 2019 for Macについては、SYLK形式のファイルは極力オープンしないようにするしかない。Microsoftのセキュリティアップデートに期待だが、サポート期間が終了している旧バージョンの「Office 2011 for Mac」などは、対応されない可能性が高いので注意。

RIZAPに不正アクセス、迷惑メールが大量に送信される

RIZAPは11月6日、メールアカウント1件に対して不正アクセスがあり、取引先に対して意図しない迷惑メールが送信されたことを明らかにした。また、不正アクセスを行った第三者に情報が流出した可能性もあるという。

迷惑メールは10月31日に、1,648社2,111件に送信された。RIZAPは事件の発覚後、当該アカウントのパスワードを変更している。RIZAPと第三者機関における一次調査では、攻撃者による情報の持ち出し、情報流出の痕跡は確認されていない。RIZAPは、迷惑メールの送信先に対して謝罪メールを送るとともに、注意を呼びかけている。

AKIBA-HOBBYでクレジットカード情報が流出

イザナギは11月6日、同社運営のオンラインホビーショップ「AKIBA-HOBBY」で不正アクセスが発生したことを明らかにした。不正アクセスはアプリの脆弱性を利用し、クレジットカード決済システムの一部を改ざんして行われた。これによりクレジットカード情報が窃取された可能性がある。

今回の不正アクセスは、3月20日に決済代行会社を通じたクレジットカード会社からの連絡によって発覚。クレジットカード情報が流出した可能性があるとして、被害の拡大を防止するため、同日中にカード決済の利用を停止した。

情報流出の期間は、2018年9月28日から2019年3月20日まで。この期間にクレジットカード決済を利用していた220件が対象となる。流出したクレジットカード情報は、カード名義人名、クレジットカード番号、有効期限、セキュリティコード。

現在は、情報が流出したクレジットカードのモニタリングを実施中。今後は、システムの脆弱性をなくし、セキュリティの強化・改修を行うとしている。

なお、情報流出の公表が遅くなったことについて謝罪するとともに、「調査の完了前に公表することで混乱を招く可能性があるため、調査を完了したうえで、クレジットカード会社と連携した対策を十分に整えることが必要不可欠だった」としている。

NVIDIA、セキュリティアップデートで9件の脆弱性を修正

NVIDIAは11月7日、NVIDIA GPU Display Driverのソフトウェアセキュリティアップデートを公開した。9件の脆弱性を修正している。

スコアが最も高い脆弱性は7.8で2種類が存在。ともにカーネルモードレイヤー(nvlddmkm.sys)ハンドラーにおけるもので、サービス拒否や権限昇格が引き起こされる可能性がある。

アップデートは、NVIDIA Driverのダウンロードページから実行可能。vGPUソフトウェアアップデートの場合は、NVIDIA Licensing Centerからソフトウェアアップデートをダウンロードしてインストールすること。

スマートフォンアプリ「ラクマ」に認証情報漏えいの脆弱性

11月8日の時点で、スマートフォンアプリ「ラクマ」に脆弱性が確認されている。対象は以下のバージョン。

  • Android版 ラクマ バージョン 7.15.0 およびそれより前のバージョン
  • iOS版 ラクマ バージョン 7.16.4 およびそれより前のバージョン

脆弱性は「認証に関する情報漏えい」。攻撃者による何らかの方法で端末にインストールされた攻撃用アプリによって、ラクマユーザーの認証情報が奪われる可能性があるという。すでに対策バージョンが公開されているので、利用している人はすぐに最新版へアップデートすること。

気象庁を騙る偽メールに注意

気象庁は11月6日、気象庁の報道発表を騙る偽メールが確認されているとして、広く注意を呼びかけた。現在、気象庁はアプリの配信は行っていない。

偽メールは、地震や津波の早期警報を行うためのアプリを開発したという報道発表を偽装したもの。メールでは、地震発生から数秒以内にPCや携帯電話などに通知するアプリと説明。記載のリンクをクリックすると圧縮ファイルがダウンロードされ、この圧縮ファイルに不正アプリが保存されている。