3月22日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

警察庁、スマホ決済サービスの不正チャージ事件の手口を公開

警察庁は3月18日、スマートフォン決済サービスを利用した不正チャージ事件について、どのような手口が使われたかなどの情報を公開した。不正チャージ事件は、ドコモ口座などのスマートフォン決済サービスを悪用し、金融機関から不正チャージを行うというも。2020年9月ごろに問題となっていた。

今回、警察庁が発表した犯行の手口を大まかにいうと、まず犯行に用いるためスマートフォン決済サービスのアカウントを作成。口座番号やキャッシュカード暗証番号を不正に取得し、その情報を使ってスマートフォン決済サービスと連携している金融機関で不正チャージを行うという流れだ。

判明している主な手口は、(1)携帯電話販売代理店から不正入手した個人情報を無断で利用し、預貯金口座をスマートフォン決済サービスとひも付けてチャージを実施するというもの。(2)第三者の電子メールアカウントを無断利用して、スマートフォン決済サービスのアカウントを作成するもの。(3)アカウント作成から被害口座との連携を短期間で大量に行い、買い子が別の端末から連続して決済を実施するという事例もあった。

警察庁はこれらの対策として、不正に取得された口座情報(約3,600)について、該当する金融機関に情報を提供。サービス提供事業者に対しては、無断で用いられた電子メールアカウント情報(約600件9について、情報提供、パスワードリセット、アカウント停止、正規利用者へ連絡、などを実施するよう働きかけている。金融庁や関係団体に対しては、悪用の手口などの情報を提供し、不正防止対策の強化を要請した。

正規サイトのダミーを使って検出を回避するフィッシングサイト

トレンドマイクロは3月24日、ダミーの正規サイトで検出回避を試みるフィッシング詐欺の手口を解説した。

このフィッシング詐欺は、一般企業の公式サイトのように見せかけたドメインを利用する。一連の流れとしては、まずユーザーが偽装メールを受け取るところからはじまる。記載のリンクをクリックすると偽のログインフォームに誘導、となるが、ここまでは一般的なフィッシングメールの手口と変わらない。

フィッシングサイトのドメインを見ると、企業名が入っており、一見すると本物そっくりなのがポイント。よく見ると、トップレベルドメインに「.pro」などを使用している。「.com」「.net」「.jp」といったメジャーなトップレベルドメインと違い、「.pro」は安価で使えることが多く、サイバー犯罪者が利用している可能性が高いという。

ドメインの登録日を調べると、サイバー犯罪に使われているものの多くは1年以内に登録したものとなっている。この手法では、セキュリティソフトウェアが備えるアンチスパム機能や不正URLブロック機能、ドメイン情報を精査するリアルタイム検知が回避できる可能性がある。

セキュリティソフトを回避するこうした脅威への対策は、当面はユーザー自身の手で行うしかない。メールの内容をしっかりと確認し、不審な点がないかチェックする、メールのリンクはできるだけクリックしない、ドメインに「.pro」などが入ってないことを確認する――などだ。

コダマオンラインショップ、不正アクセスでカード情報流出

コダマは3月18日、同社が運営するコダマオンラインショップが、第三者による不正アクセスを受けたことを明らかにした。システムの一部の脆弱性をついたもので、2020年7月27日にクレジットカード会社からの連絡によって発覚。7月28日にオンラインショップを停止し、調査を開始した。

調査の結果、2019年6月24日~7月28日の期間にオンラインショップで商品を購入した顧客のクレジットカード情報(10,219件)が流出していた。一部については不正利用の可能性もあるという。流出情報の詳細は、カード名義人名、クレジットカード番号、有効期限、セキュリティコード。

同社はクレジットカード会社と連携し、クレジットカードのモニタリングを実施。顧客に対しては利用明細に不審な点がないか確認するよう注意を呼びかけている。今後は、システムのセキュリティ対策と監視体制を強化し、再発防止を図っていく。クレジットカード決済の再開日については、あらためて告知する予定となっている。

Mozilla、脆弱性を修正した「Firefox 87」

Mozilla Foundationは3月23日、Firefoxのメジャーアップデート版「87.0」を公開した。延長サポート版の「Firefox ESR」もバージョン 78.9.0にアップデートしている。

今回のアップデートでは、セキュリティ関連8件を修正。内訳は、高2件、中4件、低2件。脆弱性には、未バインドのバッファへのテクスチャアップロードに関するものやメモリ破壊関連のものが含まれる。

新機能は、Webサイトの表示を正常化するSmartBlockの導入により、Web互換性とプライバシー保護を両立。また、プライバシー保護向上のため、新しいHTTPリファラーポリシー を導入している。これはドメインをまたぐリファラー送信のときに、パスとクエリー文字列をリファラーヘッダーから削除するというものだ。

Firefox 87は、macOS 10.9 / 10.10 / 10.11をサポートしていないため、これらのバージョンを利用している場合はFirefox ESRへ移行するよう推奨している。

松井証券、委託先の元従業員が顧客の資産を不正売却

松井証券は3月24日、同社の証券取引システムの開発・運用業務委託先であるSCSKの元従業員が、電子計算機使用詐欺罪などの容疑で警視庁に逮捕されたと発表した。

今回の事件は、SCSKの元従業員1名が、2017年6月29日~2019年11月12日にかけて、複数の顧客ID、パスワード、取引暗証番号を不正に取得。顧客になりすまして有価証券を売却し、売却代金や預かり金を不正に取得していたというもの。加えて、被害顧客と同姓同名の架空の銀行口座を開設するための本人確認書類の偽造も行っていた可能性がある。

これまでの調査の結果、被害人数は15名。被害総額は約2億円にのぼることが判明した。なお被害金額は全額返金済み。元従業員は、2002年5月ごろからシステム開発などに関わっており、プロジェクトマネージャーも務めていた。元従業員が関わっていたのは松井証券のシステムのみで、他のシステム開発には関与していない。