12月20日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。
新ランサムウェア「Memento」、ビットコインで100万ドルを要求
ソフォスは、新たな脅威となるランサムウェア「Memento」の情報を公開した。調査レポートによると、Mementoはパスワード付きアーカイブとしてユーザーのファイルをロックし、暗号化の保護を回避する機能を持つという。
Mementoは、2021年10月23日に存在が確認されたランサムウェア。ファイルを直接暗号化する機能を持っていたものの、攻撃はセキュリティツールによって阻まれ、使用ツールを変更してランサムウェアを再度展開したという経緯がある。
悪用に使われたのはWinRARで、暗号化していないファイルをパスワード保護なしの圧縮ファイルにコピー。パスワードを暗号化して元のファイルを削除する。攻撃者はファイル復元のためにビットコインで100万ドルを要求した。しかし、攻撃を受けた側がバックアップからのデータ復旧に成功したため、身代金は支払われていない。
この新たなランサムウェアに対しての防御手段としては、攻撃者がネットワークに侵入できないようセキュリティを固めること、バックアップを含めた多層防御などが効果的としている。もしネットワークやPCへの侵入を許した場合、被害が生じる前に検知する機能もあると被害を最小限に抑えられる。
日常的にしておくことは、アラートの監視、強度の高いパスワードの設定、多要素認証の使用、外部からアクセス可能なサービスのロックなど。セキュリティ製品を正しく設定しているか、ソフトのパッチはすべて最新か、などを定期的にチェックすることも重要だ。
神戸物産、不正アクセスにより個人情報の一部が流出
業務用スーパーなどを手がける神戸物産のサーバーが不正アクセスを受け、個人情報と一部の企業情報が流出した。
不正アクセスは12月4日未明に発生。当該サーバーに対する第三者による不正アクセスを検知し、外部通信を遮断。12月6日には社内システムを復旧したものの、情報の流出範囲については調査中とのこと。
同社は会員用サービス「Gyomuca」を通じて個人情報を取り扱っている。しかし、Gyomucaの会員情報、ポイントカード情報、およびクレジットカード情報については、保管と管理を外部委託していたため流出はなかったとしている。
会計システムに関する情報については、社外のクラウドサービスを利用しておらず、調査の結果でも不正アクセスは確認できなかったとのことだ。
「SuiSavon-首里石鹸-オンラインショップ」に不正アクセス
コーカスが運営する「SuiSavon-首里石鹸-オンラインショップ」への不正アクセスが発生し、ペイメントアプリケーションの改ざん攻撃を受けている。
不正アクセスは、2021年4月21日に同社が委託している決済代行会社からの連絡を受け発覚。情報漏えいを確認するため、2021年5月17日に第三者調査機関にフォレンジック調査を依頼した。同時にクレジットカード決済システムも停止している。
調査の結果、2020年12月24日から2021年3月11日までの期間に、当該サイトでクレジットカード情報を入力した最大1,217名の顧客情報が流出していた。流出情報の詳細は、クレジットカード名義人名、クレジットカード番号、セキュリティコード、有効期限。同社は、クレジットカードによる取引のモニタリングを継続して実施するとともに、顧客に対しては身に覚えのない請求項目がないか確認するよう呼びかけている。
合わせて、2021年5月20日に、登録済みの全ログインパスワードを無効化。ユーザーが再ログインするときにパスワードを変更するよう処理している。以前と同じパスワードは使わないようにも呼びかけている。
砺波信用金庫、トップページにアクセスできない改ざん被害
砺波信用金庫のホームページが不正アクセスによる改ざんを受け、一時的に利用できない状態になった。改ざんが発覚したのは2021年12月16日で、同日の正午ごろにホームページを閉鎖。トップページからのインターネットバンキング取引などができない状態となった。改ざんによる被害は、トップページへのアクセスができない、正規サイトへアクセスできない、別のサイトへ飛ばされるなどだ。
12月18日午後3時には復旧したと告知され、今回の件による顧客情報などの流出はないとしている。
TP-Link、無線LANルータ「TL-WR802N V4」にOSコマンドインジェクションの脆弱性
12月23日の時点で、TP-Link製の無線LANルータ「TL-WR802N V4」のファームウェアに脆弱性を確認済み。対象製品は以下の通り。
- TP-Link TL-WR802N V4(JP)ファームウェア211202より前のバージョン
脆弱性はOSコマンドインジェクションで、製品のWebインタフェースにログインできるユーザーが、OSコマンドを実行する可能性がある。
対策ファームウェアとなる「TL-WR802N(JP)V4211202」は12月8日にリリース済み。利用しているユーザーは速やかにアップデートを行うこと。
朝日生命を騙るフィッシングに注意
12月20日の時点で、朝日生命を騙るフィッシングメールが拡散している。メールの件名は「朝日生命から重要なお知らせ」など。
メールでは、セキュリティシステムの更新のため、個人情報の確認が必要と記載。更新しないと利用制限を行うとし、記載してあるURLをクリックさせようとする。リンク先は朝日生命を偽装したフィッシングサイトで、お客さま情報や暗証番号のなどの入力欄がある。もちろん情報を入力してはならない。
12月20日の時点でフィッシングサイトは稼働中。こうしたメールが来ても、記載のリンクは絶対にクリックしないことだ。