5月17日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

メルカリ、外部ツール「Codecov」が不正アクセスを受け2万件超の情報が流出

メルカリが利用しているコードカバレッジツール「Codecov」が不正アクセスを受けた。Codecov LLCが運営するCodecovは、プログラムのソースコードが自動テストされた割合を計測するツール。

Codecov LLCは2021年1月31日から、Bash Uploaderスクリプトが第三者によって定期的に不正変更される事象を確認し、Codecovを利用する企業の認証情報、トークン、キーなどが流出した可能性を公表していた。

メルカリはこのツールを利用しており、Codecovに接続するCI(継続的インテグレーション)環境にある認証情報に流出リスクがあることから、4月16日からCI環境の認証情報の初期化に着手。しかし、4月23日にソースコード管理システム「GitHub」からの連絡によって、ソースコードの一部が影響を受けている可能性が発覚した。調査の結果、第三者が認証情報を不正に取得し、GitHubに格納しているソースコードに不正アクセスしていることが判明。不正アクセスによる情報流出は以下の通り。

・ GitHub上に格納していたメルカリとメルペイのソースコードの一部(US版メルカリ、過去提供サービスを含む)

・売上金の顧客口座への振込みに関連した情報:17,085件
期間:2013年8月5日〜2014年1月20日
情報:銀行コード、支店コード、口座番号、口座名義人(カナ)、振込金額

・カスタマーサービス対応に関連した情報:217件
期間:2015年11月~2018年1月
情報:氏名、住所、Eメールアドレス、電話番号、お問い合わせ内容

・実施したイベントの関連情報:6件
期間:2013年5月
情報:氏名、年齢、性別、Eメールアドレス

・メルペイ加盟店情報(個人事業主名):7,925件

・メルカリ、メルペイの取引先などに関する情報:41件
情報:氏名、生年月日、所属、Eメールアドレスなど

・子会社を含む一部従業員情報:2,615件
期間:2021年4月時点
情報:氏名、会社のEメールアドレス、従業員ID、電話番号、生年月日など(過去の在籍者や一部外部委託先含む)

なお、現時点で今回の不正アクセスによる顧客への被害はなく、稼働中のサービスへの不正アクセスもない。サービスや運営への影響もないと発表している。

婚活マッチングアプリ「Omiai」で画像データが流出

ネットマーケティングは5月21日、同社の恋活・婚活マッチングアプリ「Omiai」が不正アクセスを受けたことを明らかにした。会員情報の一部が流出している。

不正アクセスは、Omiaiを管理するサーバーに対して発生。2021年4月28日15時ごろ意図しない挙動を観測し点検したところ、顧客の年齢確認書類の画像データに対する不正アクセスを確認。緊急処置として、不正アクセス元のIPを遮断するといった措置を講じた。

通信ログの解析などによる調査の結果、4月20日~4月26日の期間に、一部会員(退会者を含む)の年齢確認書類の画像データが外部に流出した可能性があることが判明。対象となる情報は2018年1月31日~2021年4月20日のもので、件数は1,7117,56件分(アカウント数)にのぼる。

この年齢確認書類の画像データは、運転免許証、健康保険証、パスポート、マイナンバーカード(表面)などで、約6割が運転免許証。読み取れる情報は、氏名、住所、生年月日、顔写真、年齢確認書類毎の登録番号などとなっている。

スマホゲーム『ブルーアーカイブ』にDDoS攻撃

Yostarのスマートフォンゲーム『ブルーアーカイブ』が不正アクセスを受けた。5月13日18時30分ごろから緊急メンテナンスを実施し、現在は復旧している。

同社の公式ツイッターによると、不正アクセスは不特定多数のIPアドレスがサーバーに負担をかけるアクセス。いわゆるDDoS攻撃によるもので、ゲームがプレイできない状態が長く続いた。最終的な対処の完了は5月14日20時ごろまでずれ込んだ。

『ブルーアーカイブ』は5月12日にも攻撃を受けており、サーバーを増強するなどの対策を行っていたが、その効果は薄かったようだ。Yostarはユーザーに対して、緊急メンテナンスのお詫びとして多数のアイテムを配布する。

メガネブランド「Zoff」のサーバーが不正アクセス

インターメスティックは5月17日、同社のメガネブランド「Zoff」と「GLASSAGE」が不正アクセスを受けたことを明らかにした。これにより顧客情報が流出している。クレジットカード情報は含まれていない。

不正アクセスはマルウェアによるもので、5月10日に発生。情報の流出を確認したため、即日通信を遮断するなどの措置を講じた。5月11日には全端末のセキュリティチェックを実施。5月13日に脅迫メッセージを受信したことから警察へ通報している。流出情報は以下の通り。

  • 「Zoff」メールマガジン登録の個人情報:92,426件(氏名、性別、生年月日、メールアドレス)
  • 「Zoff」の通販サイトを利用した人の個人情報:757件(氏名、性別、住所、生年月日、メールアドレス)
  • メガネブランド「GLASSAGE」顧客の個人情報:3,616件(氏名、性別、住所、年齢、電話番号)
  • メガネブランド「GLASSAGE」顧客の個人情報:112件(氏名、メールアドレス)
  • 従業員の個人情報
  • 一部の取引先情報

インター目スティックは流出した情報の調査と特定を進めつつ、社外との通信、サーバーへのアクセス制限強化、全端末のセキュリティ調査・処置、マルウェアの検知・感染処置など、セキュリティ強化を行うとしている。

QND Windowsクライアントに脆弱性解消のアップデート

クオリティソフトは5月20日、同社のQND Windowsクライアント「QND Premium(Advance) / Standard」に脆弱性があると発表した。対象のバージョンは以下の通り。

  • QND Premium(Advance)Ver.11.0.4i以前
  • QND Standard Ver.11.0.4i以前

脆弱性を放置すると、QNDクライアントPCでログイン可能な一般ユーザーにより管理者権限取得の可能性がある。対策として、製品利用者専用のポータルサイトで修正プログラムを提供。ただし、Ver.10.3i SP3以前のバージョンはサポートが終了しているため、悪用を防ぐには最新版へのアップデートが必要になる。

ScanSnap ManagerにDLL読み込みの脆弱性

5月21日の時点で、富士通のScanSnap Managerのインストーラに脆弱性が存在する。対象ソフトとバージョンは以下の通り。

  • ScanSnap Manager V7.0L20よりも前のバージョン
  • WinSSInst2JP.exe、WinSSInst2iX1500JP.exeよりも前のインストーラ

脆弱性は、同一ディレクトリの特定DLLを読み込んでしまうというもの。これにより、インストーラの実行権限で特定のDLLを読み込む可能性がある。

脆弱性の影響を受けるのはインストーラの起動時のみ。対策としては、インストーラ実行の際にインストーラがあるディレクトリに不審なファイルがないかを確認すること。すでにインストール済みの場合、影響はない。

ヨドバシカメラを騙るフィッシング

5月20日の時点で、ヨドバシカメラを騙るフィッシングメールが拡散している。メールの件名は以下の通り。

  • アカウント再設定ページへの連絡
  • ヨドバシ・ドット・コム:カード情報更新のお知らせ
  • アカウント凍結通知
  • [Yodobashi会員]ログインしましたか?(日付 時刻)
  • [Yodobashi会員]セキュリティシステムのアップグレード(日付 時刻)

メールでは、クレジットカード情報を削除するなどと記載し、URLにアクセスするよう誘導。メールもリンク先のサイトも同社を模している。5月20日の時点でフィッシングサイトは稼働中。会員情報にアクセスするときは、ヨドバシ・ドット・コムの正式なWebサイトからのリンクを使うことだ。