11月11日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

モバイル決済を悪用する偽カメラアプリに注意

トレンドマイクロのセキュリティブログによると、カメラアプリを偽装して不正決済を行うAndroidアプリ「AndroidOS_SMSNotfy」がGoogle Playで確認された。このアプリは「Yellow Camera」といい名称でGoogle Playからインストール可能だったとのこと。いわゆる、正規アプリにマルウェアなどを混入させた不正アプリだ。現在は、Yellow Cameraと類似のアプリはGoogle Playストアから削除されている。

Yellow Cameraはカメラアプリとして機能するが、裏ではシステム通知からSMS認証コードを読み取る機能が埋め込まれていた。Wireless Application Protocol(以下、WAP)を用いたモバイルでのWeb決済を有効化し、一定期間ごとに利用料を徴収するサブスクリプションサービスを、ユーザーの知らないところで契約する。

WAPを使用した決済サービスは、利便性が良いことから広く利用されているが、それを悪用した形だ。今回の事例は、デバイスの通知機能の悪用を抑止するセキュリティ制御を迂回するため、不正アプリをユーザーにインストールさせる。その上で、デバイスの別機能を利用して金銭を窃取するものだ。カメラアプリやフォトアプリはユーザーの興味が高いものだが、インストール前に必ず情報収集して安全かどうかを調べるようにしたい。

マイクロソフト、11月のセキュリティ更新プログラムをリリース

マイクロソフトは11月13日、11月のセキュリティ更新プログラムを公開した。対象ソフトは以下の通り。

  • Microsoft Windows
  • Internet Explorer
  • Microsoft Edge(EdgeHTML-based)
  • ChakraCore
  • Microsoft Office、Microsoft Office Servers および Web Apps
  • Open Source Software
  • Microsoft Exchange Server
  • Visual Studio
  • Azure Stack

脆弱性についてのセキュリティ更新プログラムは、緊急が6件、重要が4件。修正内容には、リモートでコードが実行される、情報漏洩、なりすまし、特権の昇格などが含まれる。

新規のセキュリティアドバイザリ1件の公開、既存の脆弱性1件の公開も実施。今月の「悪意のあるソフトウェアの削除ツール」には、新たに Win32/Trickbotに対する定義ファイルが追加されている。

Adobe、複数製品向けにアップデートをリリース

Adobe Systemsは11月13日、同社の製品に対してセキュリティアップデートを公開した。対象製品は以下の通り。

  • Adobe Illustrator CC
  • Adobe Media Encoder
  • Adobe Bridge CC
  • Adobe Animate CC

Adobe Illustrator CCの脆弱性は3件。危険度「クリティカル(Critical)」のものが含まれている。Adobe Media Encoderは5件を修正。こちらにも「クリティカル(Critical)」の脆弱性が存在していた。Adobe Bridge CC、Adobe Animate CCは、危険度「重要(Important)」の脆弱性を修正している。

公開時点では、これらのソフトウェアで脆弱性は悪用されていないが、アップデートしないと悪用される危険性が残る。ユーザーはできるだけ早期にアップデートを行うこと。

NHK受信料収納委託業務を行っていた男を逮捕、契約者情報を漏洩した可能性

NHKは11月8日、放送受信料の契約・収納業務をしていた元委託先法人の社長が10月23日に逮捕されていたことを明らかにした。逮捕されたのは、名古屋拠点放送局・中央営業センターの元委託先法人の社長(29歳)。NHKは委託契約を10月25日付で解除している。

今回の事件では、名古屋市と春日井市の受信契約者23人分の個人情報を悪用。氏名、住所、電話番号、口座振替用の金融機関名などが流出した。NHKでは今後、携帯端末で金融機関名を表示しないよう改修。全国の委託先法人を対象に、個人情報の管理状況について点検などを行うとしている。

ゼロフィット公式オンラインショップでクレジットカード情報が流出

イオンスポーツは11月14日、同社運営の「ゼロフィット公式オンラインショップ」において、不正アクセスによりクレジットカード情報が流出したと発表した。

不正アクセスは、システムの一部の脆弱性を突き、ペイメントアプリケーションを改ざんして行われた。流出期間は2015年01月01日~2018年07月24日で、この期間にクレジットカード決済をした人の情報が流出した。流出件数は983件で、流出内容はカード名義人名、クレジットカード番号、有効期限。

すでに該当する人にはメールなどで連絡を行い、クレジットカードのモニタリングも実施。顧客に対してはクレジットカードの利用明細書を確認するよう注意を呼びかけている。現在「ゼロフィット公式オンラインショップ」は停止中。再開日時は決定しだい、Webサイト上で告知するとしている。