7月27日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。
キタムラジャパンオンラインストアにてクレジットカード情報などが流出
Kitamura Japanは7月30日、同社が運営する「キタムラジャパンオンラインストア」において、第三者による不正アクセスがあったことを明らかにした。システムの一部脆弱性を突いたものだ。
2020年1月7日にWebサイトの脆弱性調査を行ったところ、不正アクセスが行われた可能性があることが発覚。この時点で情報漏えいはなかったとしていたが、1月8日にカード決済を停止し、新Webサイトの立ち上げ準備を開始していた。しかし2020年5月14日に、クレジットカード会社からクレジットカード情報の流出の連絡を受け、「キタムラジャパンオンラインストア」での営業を停止した。
調査によると、2019年10月25日から2020年5月22日の期間に商品を購入した顧客のクレジットカード情報が流出。その一部は不正利用の可能性が判明した。同時に、顧客の個人情報を保管していたサーバーへの不正侵入も発覚した。
個人情報の流出件数は、クレジットカード情報が44件。情報の詳細は、カード名義人名、クレジットカード番号、有効期限、セキュリティコード。クレジットカード情報以外については、以下の通り。
- 氏名:5,589件
- 住所:5,589件
- 性別:5,402件
- 生年月日:3,228件
- 電話番号:5,589件
- FAX番号:301件
- メールアドレス:5,418件
ただし、上記情報についてはアクセスログなどが残っていないため、盗取の事実は不明。「キタムラジャパンオンラインストア」の再開日については、決定しだいWebサイトで告知する。
アパレル通販の旧ECサイトでクレジットカード情報流出か
7月21日の時点で、TATRAS INTERNATIONALの旧通販サイト「strada-est」において、顧客のクレジットカード情報が漏えいした可能性がある。この件は複数のクレジットカード会社が公表したもので、現在各社は24時間体制でクレジットカードの監視を続けている。
クレジットカード各社は、過去に「strada-est」でクレジットカードを利用したことがある場合、クレジットカードの利用明細書を確認し、不審なご利用が含まれていないか確認するよう、注意を呼びかけている。
7月28日の時点で、TATRAS INTERNATIONALからはクレジットカード情報流出についての発表はない。
キッチハイクで不正アクセスによる情報流出
キッチハイクは7月24日、同社が運営するサービス「キッチハイク」のユーザー情報が流出したことを公開した。
情報の流出は7月16日に判明したもので、流出経路は現在調査中だが第三者による不正アクセスの可能性が高いという。同社は不正アクセス遮断のため、サーバーのリプレースを実施。7月22日に作業を完了している。情報流出の事実や流出情報の内容は現在調査中。なお、流出した情報にクレジットカード情報は含まれていない。
ユーザーに対しては、パスワード変更に関するメールマガジンを7月20日に配信。キッチハイクアカウントを所持している場合は、ログインパスワードを変更するよう注意を呼びかけている。
トヨタ、Global TechStreamに脆弱性を確認
トヨタ自動車のディーラー向け故障診断ツール「Global TechStream(GTS)」 に脆弱性が発覚。対象のバージョンは以下の通り。
- Global TechStreamソフトウェア バージョン 15.10.032 およびそれ以前
Global TechStreamは、ディーラーや修理工場で整備士が使う車の故障診断ツール。脆弱性はバッファオーバーフローで、放置すると第三者により任意のコード実行やサービス運用妨害(DoS)攻撃を受ける可能性がある。すでに対策を施した最新バージョンを公開済み。
Mozilla、脆弱性を修正した最新バージョン「Firefox 79」
Mozilla Foundationは7月28日、Firefoxの最新バージョン「79」を公開した。延長サポート版の「Firefox ESR」もバージョン 78.1.0、および68.11.0にアップデートしている。
今回のアップデートでは、セキュリティ関連10件を修正。内訳は、高4件、中3件、低3件。「高」での脆弱性は、ポップアップを許可する時にiframeサンドボックスをバイパスする、メモリ解放後使用などが存在していた。
新機能は、WebRenderがAMD製GPU搭載のWindows環境で利用可能となり、グラフィックスパフォーマンスが向上している。Firefoxのユーザーは早めにアップデートしておくこと。
