1月11日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。
カプコン、新たに16,000人超の情報流出
カプコンは1月12日、2020年11月16日に発生した同社への不正アクセスに対する第三報を公開した。
2020年11月16日、カプコンは第三者からのオーダーメイド型ランサムウェアによる不正アクセス被害を受け、保有する個人情報が流出。さらに調査を進めた結果、新たに16,415人の情報流出を確認。情報流出の累計は最大約39万人まで拡大した。ただ総数については、一部ログの喪失などから特定できず、現時点で判明している最大数となる。再調査の結果、北米における流出件数としていた約18,000件分は流出の可能性がないことも判明した。流出情報の詳細は以下の通り。
■新たに流出を確認した情報
・取引先等の個人情報:3,248人
氏名、住所、電話番号、メールアドレスなどから1つ以上
・退職者および関係者の個人情報:9,164人
氏名、メールアドレス、人事情報などから1つ以上
・社員および関係者の個人情報:3,994人
氏名、メールアドレス、人事情報などから1つ以上
・その他
売上情報、営業資料、開発資料、取引先情報など
■新たに流出の可能性を確認した情報
・採用応募者:約58,000人分 氏名、住所、電話番号、メールアドレスなどから1つ以上
マイクロソフト、1月のセキュリティ更新プログラムをリリース
マイクロソフトは1月13日、1月のセキュリティ更新プログラムを公開した。対象のソフトウェアは以下の通り。
- Microsoft Windows
- Microsoft Edge(EdgeHTML-based)
- Microsoft Office、Microsoft Office Servers および Web Apps
- Microsoft Windows Codecs Library
- Visual Studio
- SQL Server
- Microsoft Malware Protection Engine
- .NET Core
- .NET Repository
- ASP .NET
- Azure
脆弱性についてのセキュリティ更新プログラムは、緊急4件、重要5件。修正内容はリモートでのコード実行、サービス拒否、特権の昇格、など。既存の脆弱性情報3件も更新している。
今月の「悪意のあるソフトウェアの削除ツール」では、AnchorBot、AnchorDNS、AnchorLoader、BazaarLoader、BazarldrCrypt、Bazzarldr、BazarLdr、BazaLoder、Bazar、BazarBackdoor、Bazarcrypt、ZLoader、Zload、ZloaderCrypt、ZloaderTeams、ZloaderVbs、Rotocrypt、Rotaderp、TrickBotCrypt、Vatetに対する定義ファイルを追加している。
Adobe、複数製品のアップデートを公開
Adobeは1月12日、同社の複数製品に対して脆弱性を解消するアップデートを公開した。対象の製品、バージョン、プラットホームは以下の通り。
- Adobe Campaign Classic Windows、Linux
- ゴールドスタンダード10 以前
- 20.3.1以前
- 20.2.3以前
- 20.1.3以前
- 19.2.3以前
- 19.1.7以前
- Photoshop 2021 22.1以前 Windows、macOS
- イラストレーター2020 25.0以前 Windows
- Adobe Bridge 11.0以前 Windows
- Adobe Animate 21.0以前 Windows
- Adobe InCopy 15.1.3以前 Windows
- Adobe Captivate 2019 11.5.1.499以前 Windows
脆弱性の重要度は、Adobe Captivate 2019が「重要」で、それ以外は「クリティカル」と全体的に高い。対象製品を使用している場合は速やかにアップデートすること。
総務省を騙った特別定額給付金に関するフィッシングメールに注意
日本サイバー犯罪対策センターによると、総務省を騙るフィッシングメールが1月7日から拡散している。
今回のフィッシングメールは、2020年10月15日に確認済みの「特別定額給付金」のオンライン申請を促すものと類似した内容。1月14日時点では、2回目の特別定額給付金は発表されていないので、情報を窃取することが目的と思われる。
トレンドマイクロ、InterScan Web Securityに脆弱性
トレンドマイクロは、「ウイルスバスタービジネスセキュリティ」シリーズの脆弱性情報を公開した。対象のバージョンは以下の通り。
- ウイルスバスタービジネスセキュリティ 9.5 および 10.0 SP1
- ウイルスバスタービジネスセキュリティサービス 6.7
脆弱性は、認証バイパス、境界外読み取り、パストラバーサル。放置すると、エージェントのアンロードオプションのプロセス操作によって権限昇格の可能性がある。エージェントがインストール済みの環境で管理者権限を持たない第三者による機微な情報窃取、認証を回避して管理サーバー上のファイル変更・削除などが行われる可能性があるとしている。
ウイルスバスタービジネスセキュリティ 10.0 SP1についてはパッチ「Patch 2260」以降の適用で対応可能。ウイルスバスタービジネスセキュリティ 9.5では、ウイルスバスタービジネスセキュリティ 10.0 SP1 Patch 2260以降へのアップグレードが必要となる。ウイルスバスタービジネスセキュリティサービスは、2020年8月15日のメンテナンスで修正済み。
オリックス生命保険、不採用通知を1万人以上に誤送信
オリックス生命保険は1月11日、1万人以上のメールアドレスに対して、不採用通知のメールを誤送信したことを明らかにした。
中途採用選考にあたり約10人に不採用メールを送ろうとしたところ、誤って1万人以上に送信してしまったもの。原因は、送信先の設定を間違えたとのことだ。メールが送られた人は、過去5年間に採用試験に応募した人のものだという。翌日に問い合わせが相次いだことから事件が発覚し、同社は該当する全員にメールで謝罪した。