8月31日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

  • 先週のサイバー事件簿

トレンドマイクロを騙る不正プログラム添付メールを確認

トレンドマイクロは9月3日、同社のサポートメールを偽装し、不正プログラムを添付したメールが拡散していることを発表した。添付ファイルやマルウェアの詳細は以下の通り。

  • ファイル名:トレンドマイクロ・カスタマー満足度アンケート調査 ご協力のお願い.doc
  • 検出名:Trojan.W97M.EMOTET.UAJS
  • サンドボックス製品による検出名:VANWORM.UMXX / VANDROPPER.UMXX
  • 機械型学習検索による検出名:Downloader.VBA.TRX.XXVBAF01FF009

メールは日本語で書かれているため、うっかり添付ファイルを開いて不正プログラムを実行しないよう注意が必要だ。もしこれらに該当するメールが届いても、添付ファイルを実行せずに破棄すること。

トレンドマイクロでは、送信するメールにいかなるファイルも添付することはないとして注意を呼びかけている。

トレンドマイクロの2製品に複数の脆弱性

トレンドマイクロの「Trend Micro Deep Security」と「Trend Micro Virtual Patch for Endpoint」に脆弱性が確認された。対象のバージョンは以下の通り。

  • Trend Micro Deep Security Manager 10.0、11.0、12.0
  • Trend Micro Virtual Patch Manager 2.0

脆弱性は2種類存在。1つは管理コンソールの脆弱性で、管理者権限を持つ攻撃者によってファイルの整合性チェックを回避するというもの。これにより、リモートからコードを実行される可能性がある。コード実行にはアクセス権が必要になるため、PCがリモートでアクセスされないように対策することで、脆弱性の影響を軽くできる。

もう1つはLDAP認証が有効になっている場合で、標的となる組織を事前に知っている未認証の攻撃者が、認証をバイパスできる可能性があるというもの。ログインにActive Directoryと同期したユーザーを使用している場合が該当する。脆弱性を悪用するには管理コンソールへのアクセスが必要なので、管理コンソールへのアクセス制御やログインパスワードを適切に管理することで、攻撃の可能性を軽減できる。なお、作成したユーザーを使っての認証、またはSAML認証を使用している場合はこの脆弱性の影響を受けない。

どちらも修正アップデートがリリース済み。該当するソフトウェアを使っている場合は早急にアップデートすること。

サイバーセキュリティクラウドの「攻撃遮断くん サーバセキュリティ」に脆弱性

サイバーセキュリティクラウドは8月31日、Webアプリケーションファイアウォール「攻撃遮断くん サーバセキュリティタイプ」の脆弱性を発表した。対象のバージョンは以下の通り。

  • 攻撃遮断くん サーバセキュリティタイプ Ver.1.5.3 およびそれ以前

脆弱性はDoS(サービス妨害)。ユーザー側のサーバーに設置している遮断用スクリプトを利用する環境において発生する。脆弱性を悪用されると、新たに検知した攻撃元IPアドレスを遮断対象として追加できない状態が10分程度発生する可能性がある。

対策として、契約者向けポータルサイト「攻撃遮断くん 管理画面」で修正済スクリプトファイルを提供。すぐに適用するよう呼びかけている。なお、通常遮断方式を利用している場合は脆弱性の影響は受けない。

ウェスティンホテル大阪オンラインショップでクレジットカード情報が流出

ウェスティンホテルが運営する「ウェスティンホテル大阪 オンラインショップ」が不正アクセス(決済システムの改ざん)を受けた。

今回の案件は、5月29日にクレジットカード会社からの連絡を受け発覚。同日、クレジットカード決済機能を停止した。調査の結果、2019年5月6日~5月17日の期間にWebサイトを利用した人のクレジットカード情報が流出していた。流出件数は最大1,039件。

流出情報の詳細は、クレジットカード会員名、クレジットカード番号、有効期限、セキュリティコード。氏名や住所などを保存しているサーバーは不正侵入されていない。

ウェスティンホテルはユーザーに対して、念のためクレジットカードの利用明細を確認し、不正利用がないかを確認するよう注意を呼びかけている。

コムテックス、顧客情報約2,800件が流出

コムテックスは8月28日、同社が運営するWebサーバーサイト内の顧客情報が流出したことを明らかにした。不正アクセスは第三者によるもので、Webサーバーサイト内の顧客情報が約2,800件、流出した可能性がある。

2020年8月25日18時ごろに個人情報の流出を確認し、サーバーから個人情報を削除。漏洩の可能性がある情報は、オンライントレード口座開設申し込み時に入力したもの。情報の詳細は、氏名、住所、生年月日、メールアドレス、電話番号、勤務先情報、銀行口座情報、パスワードなど。ユーザーID、個人番号(マイナンバー)、売買の履歴、口座内容は流出していない。

コムテックスでは、情報が漏洩した可能性のあるユーザーに対して電子メールなどで個別に連絡。今後の対策として、当面の間新規口座開設の申し込みを停止し、システムの見直しやセキュリティの強化などを行っていくとしている。現在のところ被害報告はない。

カジュアルギフトサービス「giftee」が不正アクセス被害

ギフティが運営する個人向けカジュアルギフトサービス「giftee」において、不正アクセスが発生した。外部で取得したIDとパスワードを使った「パスワードリスト攻撃」によるもの。

不正アクセスは、8月19日から8月24日にかけて発生。ユーザーから「身に覚えのない登録情報変更の通知メールが届いた」との連絡が複数あり、調査を開始した。結果、8月19日から8月24日にかけて、不正ログインの試行を確認。337件が不正ログイン被害に遭い、一部は登録内容を改ざん後、不正決済が行われていた。不正決済の人数は29名(決済の取り消し手続きを実施)。

不正ログインで流出した可能性のある情報情報は、ニックネーム、メールアドレス、性別、生年月日、購入履歴。クレジットカード情報を登録している場合は、クレジットカード情報の有効期限、クレジットカード番号の下4桁が含まれる。

ただし、クレジットカード番号とCVV番号(セキュリティコード)については、同社で保有していないことから流出はない。不正ログインを受けたアカウントについては、8月24日にアカウントを無効化。再度会員登録をするようメールで連絡している。

ギフティは、「giftee」を利用しているユーザーに対して不正ログイン防止策として、他社サービスとは異なるパスワードを設定すること、第三者が推測できるパスワードを使用しないことを促している。