12月16日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。
iPhoneやiPadに修正できない脆弱性
Appleの複数の製品に脆弱性が確認されている。プロセッサ「A5」から「A11」を搭載する以下の製品だ。
- iPhones 4sからiPhone Xまで
- iPad 第2世代から第7世代まで
- iPad Mini第 2世代、第3世代
- iPad Air、iPad Air2
- iPad Pro 10.5インチ、12.9インチ第2世代
- Apple Watch Series1からSeries3まで
- Apple TV 第3世代、4k
- iPod Touch 第5世代から第7世代
脆弱性は、解放後のメモリを使用するuse after freeで、SecureROM(ブートROM)に存在。A5からA11のプロセッサを搭載する機種が影響を受ける。これにより、物理的にアクセス可能な第三者から任意のコードを実行される可能性がある。
脆弱性がSecureROMに存在するため、ファームウェアアップデートなどによる脆弱性の解消はできない。使用プロセッサがA12以降であれば影響はないので、脆弱性を完全になくしたいのであれば、現状では使用機器の買い替えしか方法はない。
「A12」以降のプロセッサを搭載しているiPhone Xs、iPhone XR、iPhone 11シリーズ、iPad Pro 12.9インチ第3世代は、この脆弱性の影響を受けない。
Yahoo! JAPANを騙るフィッシングメール拡散中
12月17日の時点で、Yahoo! JAPANを騙るフィッシングサイトに誘導するメール、SMSが確認されている。メール件名の一例は以下の通り。
- 「アカウント情報を更新、確認してください。」
メール本文に書かれている「情報の確認と更新」をクリックすると、Yahoo! JAPANのログイン画面そっくりの偽サイトへと飛ばされる。これはフィッシングサイトなので、決して情報を入力してはならない。このようなメール、SMSが届いたら、内容を確認せずに削除することだ。類似のサイトが公開される可能性もあるので注意を怠らないようにしたい。
表示されているサイトが本物かどうか分からない場合は、Webブラウザを起動してGoogleなど検索サイト経由で表示する。公式アプリが用意されている場合は、それを使うのも有効だ。
りそな銀行を騙るフィッシングメールを確認
12月16日の時点で、りそなグループ(りそな銀行、埼玉りそな銀行、関西みらい銀行)を騙るフィッシングSMSが拡散しているようだ。同社は「ログインを依頼することはない」として注意を呼びかけている。
SMSでは、セキュリティ強化のためと偽り、フィッシングサイトへ誘導するためのURLを記載。クリックするとフィッシングサイトに飛ばされる。フィッシングサイトはりそなグループのログインページを模倣しているため、本物と間違える可能性が高い。
Androidアプリ「日テレニュース24」に脆弱性
12月19日の時点で、日本テレビ放送網が提供するAndroidアプリ「日テレニュース24」に脆弱性が確認されている。対象のバージョンは以下の通り。
- 日テレニュース24 Ver3.0.0より前のバージョン
脆弱性はSSLサーバー証明書の検証不備で、中間者攻撃により通信内容を取得されたり改ざんされる可能性がある。すでに脆弱性が修正された最新バージョンがリリースされているので、利用している人はGoogle Playからアップデートを行うこと。
関西エアポートで他人の情報が表示されてしまう不具合
関西エアポートリテールサービスは12月11日、同社が運営する「関西国際空港直営免税店出発前予約サイト」において、ログインしたときに別の会員情報などが表示されてしまう不具合を明らかにした。
問題は12月10日17:57ごろ~12月11日10:30ごろに発生。調査の結果、システムに不具合が発生し、ログインしていた会員の情報が残り、別の会員が当該情報を閲覧できる状態になっていたという。12月11日にシステムの不具合が確認され、10:10ごろにサーバー側のシステムを解除。10:30ごろに同サイトを停止し、登録情報を参照・変更できないように対応した。
閲覧可能な状態にあった顧客情報は、最大816名分。閲覧可能だった情報は、名前、メールアドレス、電話番号、生年月日、性別、クレジットカード下3桁と有効期限(年月)、予約履歴、カートに入っている商品情報、サイトからのお知らせ受け取りの有無、過去に登録したお気に入り商品情報など。予約への影響はなく、誤った予約手続きや会員情報の変更などもなかった。なお、12月13日午後8:30にサイトは再開されている。