4月26日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。
バッファロー、多数のネットワーク製品に脆弱性
バッファロー製のルータを含む各種ネットワーク製品で脆弱性の存在が明らかになった。製品と脆弱性は以下の通り。
■脆弱性:アクセス制限不備、コードインジェクション、認可・権限・アクセス制御
・有線ルータ:BHR-4GRV
・Wi-Fiルータ:WZR-300HP、WZR-450HP、WZR-450HP-CWT、WZR-450HP-UB、WZR-600DHP、WZR-D1100H、WZR-HP-AG300H、WZR-HP-G300NH、WZR-HP-G301NH、WZR-HP-G302H、WZR-HP-G450H、DWR-HP-G300NH、HW-450HP-ZWE、WPL-05G300、WHR-300、WHR-300HP、WHR-G301N、WHR-HP-G300N、WHR-HP-GN、FS-600DHP、FS-G300N、FS-HP-G300N、FS-R600DHP
脆弱性を放置すると、アクセス可能な攻撃者によって設定値などの情報窃取、root権限で任意のOSコマンド実行といった可能性がある。脆弱性に対処した最新ファームウェアが公開済みなので、該当機種を使用している場合はファームウェアをアップデートすること。
■脆弱性:デバッグオプションの有効化
・Wi-Fiルータ:WBR-B11、WBR-G54、WBR-G54L、WBR2-B11、WBR2-G54、WBR2-G54-KD、WHR2-A54G54、WHR2-G54、WHR2-G54V、WHR3-AG54、WHR-G54、WHR-G54-NF、WVR-G54-NF、WZR-G108、WZR2-G108、WZR-G54、WZR-HP-G54、WZR-RS-G54、WZR-RS-G54HP、FS-G54
・無線ブリッジ:WLA2-G54、WLA2-G54C、WLA-B11、WLA-G54、WLA-G54C、WLAH-A54G54、WLAH-AM54G54、WLAH-G54
・有線ルータ:BHR-4RV
・イーサネットコンバータ:WLI-T1-B11、WLI-T1-B11L、WLI-TX1-G54、WLI2-TX1-AG54、WLI2-TX1-AMG54、WLI2-TX1-G54、WLI3-TX1-AMG54、WLI3-TX1-G54
脆弱性を放置すると、アクセス可能な攻撃者によってデバッグ用Webページへのアクセスが行われ、情報窃取・任意のコード実行・設定の書き換え・機能停止などの可能性がある。当該製品のサポートはすでに終了しているため、使用中の場合は新しい製品への買い替えを検討してほしい。
スマホゲーム「ラクガキキングダム」のゲームデータ保管サーバーに不正アクセス
タイトーが運営するスマートフォンゲームアプリ『ラクガキ キングダム』が不正アクセスを受けた。2021年4月22日に、『ラクガキ キングダム』内のデータがダウンロードできないとの問い合わせを受け発覚。
同日17時から緊急メンテナンスを行い調査したところ、ゲームデータの一部を保存しているサーバーに不正アクセスの痕跡を発見した。これにより、ゲームデータの一部が削除、流出した可能性があるという。
4月23日の早朝5時には、セキュリティを強化したうえでサービスを再開。不正アクセスによって削除されたデータは復旧作業を継続中だが、4月23日17時時点において、一部データはダウンロードできない。今後も削除データの復旧を進めるとともに、再発防止に努めるとしている。なお、今回流出した可能性のあるデータに個人情報は含まれていない。
関西国際空港直営免税店 出発前予約サイトに不正アクセス
関西エアポートリテールサービスが運営する「関西国際空港直営免税店 出発前予約サイト」が不正アクセスを受けた。2021年3月11日20時ごろから4月15日19時ごろにかけて、以下の「関西国際空港直営免税店 出発前予約サイト」の当選確認画面で発生。これにより一部の当選者の情報が流出した可能性がある。
- 日本語・中国語(簡体字)合計2言語のモバイルサイト
- 日本語・中国語(簡体字)合計2言語のPCサイト
同社は4月16日に不正アクセスの可能性を確認後、抽選販売のエントリーフォームと本予約サイトを停止して調査を開始。その結果、2021年3月11から2021年4月15日の間に当選した顧客情報(最大31名)が流出した可能性があることがわかった。
流出した可能性のある情報は、当選番号、当選商品名、氏名(漢字表記及びアルファベット表記)、メールアドレス、出発日、出発時刻、搭乗便、受取店舗。対象となる顧客と個別に連絡を取るとともに、被害の拡大防止と再発防止に取り組むとしている。
スマホアプリ「ホットペッパーグルメ」に脆弱性
リクルートのスマートフォンアプリ「ホットペッパーグルメ(Android・iOS)ver.4.111.0以前」に脆弱性が存在する。
脆弱性はアクセス制限不備。アプリには、Custom URL Schemeを使用してリクエストしたURLにアクセスする機能が存在。これを悪用することで、第三者によって任意のWebサイトへ誘導される危険性があるという。フィッシングなどに悪用できるため注意が必要だ。
すでに脆弱性を修正した最新バージョンが公開済み。対策済みバージョンは、Android版、iOS版ともに「ver.4.111.5」となる。アプリを利用している人はすみやかにバージョンアップすること。
三井住友トラストクラブを騙るフィッシングについての注意喚起
三井住友トラストクラブを騙るフィッシングメールが拡散している。メールの件名は以下の通り。
- 三井住友トラストクラブお知らせ
- Diners Cardご利用確認
- ダイナースクラブカードご利用確認
メールでは、本人かどうかを確認したい取り引きがあったので、クレジットカードの利用を一部制限するなどと記載。記載URLにアクセスして、クレジットカードの利用確認をするよう促してくる。リンク先はフィッシングサイトだ。
4月27日の時点でフィッシングサイトは稼働中。類似のフィッシングサイト公開の可能性もあるので警戒を怠らないこと。