12月23日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

  • 先週のサイバー事件簿

通販サイトや金融機関をかたるフィッシングに注意

フィッシング対策協議会は、金融機関をかたるフィッシングサイトが多数確認されているとして注意を呼びかけている。

金融機関のフィッシングサイトは、Amazon、NTTドコモ、楽天などをかたるフィッシングサイトから、偽の金融機関選択画面を経て誘導されるものが多い。上記通販サイトのアカウント情報などを窃取した上で、さらに金融機関のアカウント情報も窃取しようとする悪質なものだ。

こうしたフィッシングサイトは稼働と閉鎖を繰り返す。今一度、「メールやSMSに書かれたURLはまず疑う」「Webブラウザを使って正規のサイトへアクセスする」といった基本を再認識しておきたい。確認されている金融機関の偽サイトは以下の通り。

  • 尼崎信用金庫
  • イオン銀行
  • 池田泉州銀行
  • 大阪シティ信用金庫
  • 大阪信用金庫
  • 沖縄銀行
  • 関西みらい銀行
  • 京都銀行
  • 京都中央信用金庫
  • 京都信用金庫
  • 紀陽銀行
  • 北おおさか信用金庫
  • きのくに信用金庫
  • 埼玉りそな銀行
  • ジャパンネット銀行
  • 滋賀中央信用金庫
  • GMO あおぞらネット銀行
  • 住信 SBI ネット銀行
  • 但馬銀行
  • 南都銀行
  • 福岡銀行
  • 北海道銀行
  • みずほ銀行
  • ゆうちょ銀行
  • 琉球銀行
  • 大和信用金庫
  • 三井住友銀行
  • 三菱 UFJ 銀行
  • 楽天銀行
  • りそな銀行

ジャパンネット銀行をかたるフィッシングメール

ジャパンネット銀行をかたるフィッシングメールが拡散している。メールの件名は、「お客さまの口座間送金管理」など。

メール本文は、セキュリティを高めるためシステムのバージョンアップを行った、などと記載。口座の更新が必要として偽サイトへと誘導し、店番号、口座番号、ログインパスワードなどの入力を促してくる。フィッシングサイトの一例は以下の通り。

  • https://www.japannetbank-●●●●-jp.com/
  • https://jp-bank-japan●●●●-jp-com.cn/index.html

Windows 7サポート終了間近、マイクロソフトや各機関がWindows 10への移行を呼びかけ

2020年1月14日にWindows 7の延長サポートが終了する。サポートが終了するとセキュリティ更新プログラムは提供されなくなり、新たな脆弱性が発覚してもそのままだ。

近年のサイバー攻撃の多くは、自分のPCが脆弱性を突いた攻撃を受けても、それとはわからない。不正なプログラムを密かにインストールされ、PC内の情報やユーザーの操作履歴を外部に送信したり、犯人が別のネットワークを攻撃するための踏み台にされたりする。

Windows 7をギリギリまで使うのはよいが、並行して新しいWindows 10マシンを購入してセットアップを始めるとよいだろう。また、Windows 7マシンをWindows 10へとアップグレードする選択もあるにはあるが、マシンパワーを考えると最新のWindows 10マシンを購入するほうがはるかに快適で移行も楽だ。

衣料品通販サイト「FULLSPEC. WEB SITE」で情報流出

通販サイト「FULLSPEC. WEB SITE」は、第三者による不正アクセスを受け、クレジットカード情報が流出したことを明らかにした。不正アクセスはシステムの一部の脆弱性を突いたペイメントアプリケーションの改ざんによるもの。

事件の経緯は、2019年1月30日にクレジットカード会社からクレジットカード情報の流出懸念の連絡を受け、同日カード決済を停止。第三者機関に調査を依頼したところ、2018年9月7日~2019年1月30日の期間に「FULLSPEC. WEB SITE」で商品を購入した人のクレジットカード情報が流出していた。一部のクレジットカード情報は不正に利用された可能性もあるという。

クレジットカード情報の流出件数は62件。流出した情報は、カード名義人名、クレジットカード番号、有効期限、セキュリティコード。

該当する62名については、別途電子メールにて個別に連絡済み。同サイトを利用したことのある顧客については、不正な利用がないか確認するよう注意を呼びかけている。

EC-CUBEを使って構築したWebサイトで情報漏えい

12月25日の時点で、イーシーキューブのECサイト構築ソフト「EC-CUBE」(2系列)を使って構築されたWebサイトにおいて、決済画面を改ざんされる被害が多発している。これによりクレジットカード情報が流出。流出被害は広範囲に及び、流出規模は14万件以上になると見られている。

EC-CUBEのセキュリティ対策が十分に行われていない場合、ファイルを改ざんされ、攻撃を受ける可能性がある。チェックすべきセキュリティ項目は以下の通り。

  • 正しいインストール環境設定
  • EC-CUBEの既知の脆弱性修正対策
  • 利用しているサーバーのセキュリティ対策
  • EC サイトの管理画面のセキュリティ対策
  • 同じ環境に設置されている他のCMSのセキュリティ対策

改ざんの一例は、購入確認画面などに覚えのないJavaスクリプトが設置されていないか、購入フローのクレジットカード入力画面が不正なURLになっていないかなど。