1月17日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

個人情報保護委員会、誤ったPDFファイルを公表し個人情報漏えい

個人情報保護委員会事務局は1月18日、意見募集手続の結果をWeb上で公表する過程において、個人情報が漏えいしたことを明らかにした。

同委員会は、2021年1月7日13時に意見募集手続の結果をWeb上で公表が、13時40分までの間、誤ったPDFファイルを掲載。これにより、意見募集参加者12名の氏名、一部所属先を公表してしまった。原因は、公表資料ファイルの作成時、公表資料の削除すべき内容を含めてしまったこと。さらに確認漏れも重なった。

漏えい情報12名分のうち、11名については連絡先を特定でき、そのうち7名について事実関係を電話などで説明。連絡が取れなかった残り4名については、1月18日までに連絡を取り説明するとしている。

今後はWeb上に資料を掲載する場合、公表の対象となるファイルを作業ファイルとは区別するとし、その上で公表ファイルついて事前に複数人での確認を徹底するとした。

キヤノン製レーザープリンタと複合機に脆弱性

キヤノン製のレーザープリンタとスモールオフィス向け複合機で脆弱性が明らかになった。対象の製品は以下の通り。

  • LBP162L/LBP162
  • MF4890dw
  • MF269dw/MF265dw/MF264dw/MF262dw
  • MF249dw/MF245dw/MF244dw/MF242dw/MF232w
  • MF229dw/MF224dw/MF222dw

脆弱性はクロスサイトスクリプティングで、Remote UI機能に存在。当該製品の設定画面にアクセスしたユーザーのWebブラウザ上で任意のスクリプト実行の可能性がある。この脆弱性を悪用するには管理者権限が必要で、今のところ被害は確認できていない。すでに対策済みファームウェアが提供済みなので、該当する機種を使用している場合はすみやかにファームウェアのアップデートを行うこと。

LINE、LINE VOOMへの移行時の設定ミスによる不具合

コミュニケーションアプリ「LINE」内で提供するLINE VOOMにて不具合が判明。LINE VOOMは、2021年11月25日に旧LINEタイムラインから移行したサービス。

今回の不具合は、LINEタイムラインにユーザーが任意で非公開とした「友だち」が誤って含まれるというもの。LINEタイムラインで一部の「友だち」を非公開にして、LINE VOOMで「フォローの初期設定」を行った場合に発生する。これにより、公開範囲を「友だち」または「LINE友だち」に設定した投稿が、非公開に設定した「友だち」から閲覧できる状態となっていた。

不具合の原因は、LINEタイムラインからLINE VOOMへのシステム移行時の設定ミスとのこと。2022年1月3日に暫定的な処置を実施し、非公開設定の「友だち」から閲覧できる状態にあった投稿を、非公開と設定した「友だち」が閲覧できないようにした。だがこの段階では、非公開と設定した「友だち」が表示上は含まれたままだった。その後1月10日および11日に、「LINE友だち」の公開先リストから、非公開と設定していた「友だち」を含まないよう修正している。

2022年1月12日時点でこの不具合の発生件数は、公開設定した「友だち」の画面に投稿を表示したものが日本国内ユーザーで約84万アカウント、海外ユーザーを含めると約111万アカウント。公開先リストの「LINE友だち」に非公開設定の「友だち」が含まれたものが、日本国内約764万アカウント、海外ユーザーを含めると約911万アカウント。

LINEは再発防止策として、システム開発時のチェック体制を強化するとともに、問題の早期発見・原因特定に向けた体制強化などを図るとしている。

マルカンオンラインショップ、ペイメントアプリケーションの改ざんで情報流出

マルカンが運営する「マルカンオンラインショップ」が不正アクセスを受け、顧客のクレジットカード情報が流出した可能性がある。今回の不正アクセスは、システムの一部の脆弱性をついたペイメントアプリケーションの改ざんによるもの。不正アクセス発覚後、2021年6月21日に「マルカンオンラインショップ」は閉鎖した。

第三者機関の調査によると、2019年8月5日~2021年6月21日の期間に「マルカンオンラインショップ」で商品を購入した顧客のクレジットカード情報が流出。一部についてはクレジットカード情報の不正利用の可能性があるとのこと。流出件数は、クレジットカード情報1,152件で、内容はカード名義人名、クレジットカード番号、有効期限、セキュリティコード。

同社はクレジットカード会社と連携し、漏えいした可能性のあるクレジットカードによる取り引きのモニタリングを継続して実施。顧客に対しては、クレジットカードのご利用明細書に身に覚えのない請求項目がないかを確認するよう呼びかけている。なお、「マルカンオンラインショップ」については、今後再開する予定はないとのこと。

石橋楽器店、外部からの不正アクセスでメールアドレスが流出

石橋楽器店のWebサーバーが外部からの不正アクセスを受けた。不正アクセスは2021年12月20日に発生。SQLインジェクションを利用したもので、対象のテーブルへのアクセスを許した。これにより、2006年9月5日から2020年11月27日までにIMC(イシバシミュージシャンズクラブ)へ会員登録をした人のメールアドレス98,635件が社外に流出した可能性があるという。

不正アクセス判明後はプログラムを停止し、再攻撃を受けないよう対策。今回の不正アクセスはメールアドレスへの限定的な攻撃だったため、氏名、住所、クレジットカードなどの情報漏えいはない。

同社は顧客に対して、流出したメールアドレスの悪用により、スパムメール送信などの被害を想定。不審なメールを受け取った場合は、直ちに削除し、添付ファイルの実行、記載URLへのアクセスは行わないよう呼びかけている。また、他社サービスと同じメールアドレスを利用している場合、推測しやすいパスワードによる不正ログインの可能性もある。これについても注意を呼びかけている。