1月13日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

  • 先週のサイバー事件簿

マイクロソフト、2020年最初のセキュリティ更新プログラムをリリース

マイクロソフトは1月14日、1月のセキュリティ更新プログラムを公開した。対象ソフトは以下の通り。

  • Microsoft Windows
  • Internet Explorer
  • Microsoft Office、Microsoft Office Servers および Web Apps
  • NET Core
  • .NET Core
  • .NET Framework
  • OneDrive for Android
  • Microsoft Dynamics

脆弱性についてのセキュリティ更新プログラムは、緊急5件、重要3件。修正内容は、リモートでコードが実行される、なりすまし、セキュリティ機能のバイパスが含まれる。

今月の「悪意のあるソフトウェアの削除ツール」には、新たに Win32/Vatet.A!dha、Win32/Trilark.A!dha、Dopplepaymerに対する定義ファイルが追加された。

なお、1月14日(米国時間)で、Windows 7、Windows Server 2008 R2、Windows Server 2008のサポートが終了した。以降は例外を除いて更新は行われない。特にWindows 7のPCは今後も残ると思われるが、早急にWindows 10マシンへと乗り換えたいところだ。

トレンドマイクロの複数のパスワードマネージャーに脆弱性

トレンドマイクロは1月17日、同社のパスワードマネージャーに脆弱性があると発表した。脆弱性は2種類存在し、それぞれ対象ソフトとバージョンが異なる。

証明書用の秘密鍵が取得可能な脆弱性(Android版・iOS版は対象外)

  • パスワードマネージャー Windows版 5.0.0.1076 およびそれ以前
  • パスワードマネージャー Mac版 5.0.1047 およびそれ以前

こちらの脆弱性では、インストール時の鍵ペアとルートCA証明書の生成時の秘密鍵保護に問題がある。これにより、ローカルの第三者が秘密鍵を取得できてしまう。悪意ある第三者に秘密鍵を窃取されると、任意の SSL/TLS サーバー証明書が作成可能で、結果フィッシングなどに悪用される可能性がある。

情報漏えい(Android版・iOS版は対象外)

  • パスワードマネージャー Windows版 バージョン 3.8.0.1103 およびそれ以前
  • パスワードマネージャー Mac版 バージョン 3.8.0.1052 およびそれ以前

こちらの脆弱性は情報漏えいで、IDとパスワードなどの情報をメモリ上に平文で保持し続けている状態が発生するというもの。これにより、メモリ内容をスキャンできれば情報を取得できてしまう。管理者権限を持ったユーザーであれば、メモリをスキャンするだけで窃取が可能とのこと。

これらのソフトはすでに最新版が公開されているので、利用している人はすみやかにアップデートしてほしい。

ハードオフネットモールでパスワードリスト攻撃

ハードオフコーポレーションは1月10日、同社が運営するオンライン通販サイト「ハードオフネットモール」に不正ログインがあったことを明らかにした。不正ログインはパスワードリスト攻撃によるもの。

不正ログインは、2019年11月29日から2020年1月7日の期間に発生。これを受け、不正ログインされたIDはパスワードを変更しなければ使用できないように対策済み。不正ログインが確認された件数は、ハードオフネットモールに登録しているユーザーの149件分。

流出情報の詳細は、氏名(姓名、フリガナ)、住所(郵便番号、市区郡町村、番地、部屋番号)など。ほかにも、電話番号、携帯電話番号、メールアドレス、性別、職業、生年月日、購入履歴、配送先の氏名(姓名、フリガナ)、住所、電話番号などが流出したと見られる。

クレジットカード情報は、カード名義人、有効期限、クレジットカード番号の一部が流出。ただし下3桁以外は非表示で、CVV番号は表示/保存をしていないため閲覧された可能性はないとしている。

今回の不正アクセスはパスワードリスト攻撃なので、同社では他社のサービスと同一のパスワードを使用したり、第三者が推測できるような安直なパスワードを使用しないよう呼びかけている。

ダートバイクプラスオンラインストアに不正アクセス

ダートフリークは1月15日、同社が運営するショッピングサイト「ダートバイクプラスオンラインストア」において、外部からの不正アクセスがあったことを明らかにした。不正アクセスはシステムの一部の脆弱性をついたもの。

2019年7月1日に個人情報流出の連絡を受け、調査したところ情報漏えいが発覚。ただちにサイトを休止し、詳細な調査を開始した。

情報が漏えいした期間は、2018年12月27日から2019年7月3日。この期間内にクレジット決済を利用した人が対象となる。流出した個人情報は最大3,103件で、クレジットカード情報も流出。情報の詳細は、カード名義人名、クレジットカード番号、有効期限、セキュリティコード。

同社では該当する人に個別にメールにて連絡を取るとともに、クレジットカード利用明細に不正利用がないか確認するよう呼びかけている。

ペットサイトへの不正アクセスでクレジットカード情報が流出

ペットハグは1月15日、同社が運営する「ペットハグサイト」が、第三者による不正アクセスを受けたことを明らかにした。2019年5月7日に、クレジットカード会社からクレジットカード情報の流出懸念についての連絡を受け発覚。同日、サイトでのカード決済を停止し調査を開始した。

調査の結果、2018年6月28日~2019年5月7日の期間に同サイトでクレジットカード決済をした人と、2019年5月18日~2019年5月20日の期間にクレジットカード情報を入力した人のクレジットカード情報が流出していた。一部はクレジットカード情報の不正利用も確認されたという。

情報流出の原因は、システムの脆弱性をついたペイメントモジュールの改ざんによるもの。流出した件数はクレジットカード決済をした人が4,011件。

漏えいした情報の詳細は、クレジットカード名義人名、クレジットカード番号、有効期限、セキュリティコード。決済をせずにクレジットカード情報を入力したユーザーの87件分も流出。こちらでも、クレジットカード名義人名、クレジットカード番号、有効期限、セキュリティコードが流出した。

同社ではクレジットカード会社にモニタリングを依頼し、今後不正利用されないように対策を行うとのこと。ユーザーにしても、不正利用がないか明細を確認するよう注意を呼びかけている。