1月24日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

IPAから「情報セキュリティ 10大脅威 2022」

独立行政法人情報処理推進機構(以下、IPA)は1月27日、2021年に社会的影響が大きかった情報セキュリティの脅威、「情報セキュリティ 10大脅威 2022」を公開した。

「情報セキュリティ10大脅威 2022」は、2021年に発生した社会的に影響が大きかったと考えられる情報セキュリティ事案から10大脅威を選出したもの。IPAが脅威候補を選出し、情報セキュリティ分野の研究者や企業の実務担当者など約150名のメンバーで構成する「10大脅威選考会」が審議・投票を行い決定している。脅威は個人向けと組織向けに分かれている。

■個人向け脅威
1位:フィッシングによる個人情報などの詐取
2位:ネット上の誹謗、中傷、デマ
3位:メールや SMSなどを使った脅迫、詐欺の手口による金銭要求
4位:クレジットカード情報の不正利用
5位:スマホ決済の不正利用
6位:偽警告によるインターネット詐欺
7位:不正アプリによるスマートフォン利用者への被害
8位:インターネット上のサービスからの個人情報の窃取
9位:インターネットバンキングの不正利用
10位:インターネット上のサービスへの不正ログイン

個人向け順位では、2年連続2位だった「フィッシングによる個人情報などの詐取」が1位となった。

■組織向け脅威
1位:ランサムウェアによる被害
2位:標的型攻撃による機密情報の窃取
3位:サプライチェーンの弱点を悪用した攻撃
4位:テレワークなどのニューノーマルな働き方を狙った攻撃
5位:内部不正による情報漏えい
6位:脆弱性対策情報の公開に伴う悪用増加
7位:修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
8位:ビジネスメール詐欺による金銭被害
9位:予期せぬIT基盤の障害に伴う業務停止
10位:不注意による情報漏えいなどの被害

組織向け順位では、ランサムウェアによる被害がトップ。国内の企業や病院といった重要インフラがターゲットになることが多く、被害規模も大きい。初のランキング入りとなったのは「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」だ。

Uber Eatsを騙るフィッシングに注意

1月28日の時点で、Uber Eatsを騙るフィッシングメールを確認している。メールの件名は以下の通り。

  • 【重要】ウーバーイーツ ご注文内容の確認 [メールコード UE●●●●]
  • 【重要】Uber Eats ご注文内容の確認 [メールコード UE●●●●]

メールでは、「Uber Eats」を名乗り利用店舗に注文が届いてると記載。注文店舗からの注文内容を表示し、内容確認のためのリンクをクリックするよう誘導する。リンク先にはメールアドレスと4桁のコード番号の入力欄があり、入力すると情報窃取の可能性がある。1月28日の時点でフィッシングサイトは稼働中なので注意のこと。

ビーグレンHPで46,702件のクレジットカード情報が流出

ビバリーグレンラボラトリーズが運営する「ビーグレンHP」が不正アクセスを受け、顧客のクレジットカード情報が流出した可能性がある。

ビーグレンHPは、外部のECプラットフォームと決済代行会社を利用しており、顧客のクレジットカード情報は保持していなかった。しかし、顧客がサイト利用時に入力した個人情報を外部に送信するプログラムの不正設置によって情報が流出した。2021年6月22日に新規クレジットカード決済機能を停止し、2021年6月24日に不正プログラムの存在を特定。直ちに除去した。合わせて、旧サーバーも停止している。

第三者機関の調査によると、2020年12月5日~2021年6月24日の期間に、ビーグレンHPで商品を購入した顧客のクレジットカード情報(46,702件)が流出。一部は不正利用の可能性があることも確認している。流出した可能性のある情報は、カード名義人名、クレジットカード番号、有効期限、セキュリティコード。

同社はクレジットカード会社と連携し、流出した可能性のあるクレジットカードの取引モニタリングを継続して実施。顧客に対しては、クレジットカードの利用明細書に身に覚えのない請求項目がないかを確認するよう呼びかけている。今後はシステムのセキュリティ対策および監視体制を強化し、再発防止を図るとしている。

ココシーズンズオンラインショップが不正アクセス被害

かわたが運営する「ココシーズンズオンラインショップ」が不正アクセスを受け、クレジットカード情報が流出した可能性がある。不正アクセスは、システムの一部の脆弱性をついたペイメントアプリケーションの改ざんによるもの。2021年9月3日にクレジットカード会社からの連絡を受け発覚した。同日、ココシーズンズオンラインショップでのカード決済を停止し、第三者機関による調査を依頼している。

調査の結果、2021年3月26日~2021年8月19日の期間にココシーズンズオンラインショップで商品を購入した顧客のクレジットカード情報(350件)が流出。一部は不正利用の可能性もあるという。流出したのは、カード名義人名、クレジットカード番号、有効期限、セキュリティコード。

同社はクレジットカード会社と連携し、クレジットカードによる取引のモニタリングを継続して実施。顧客に対しても、クレジットカードの利用明細書に身に覚えのない請求項目がないかを確認するよう呼びかけている。同社は再発防止策として、システムのセキュリティ対策と監視体制の強化を行うとしている。

トレンドマイクロ「Deep Security Agent Linux版」に脆弱性

トレンドマイクロ「Deep Security Agent Linux版」の脆弱性が明らかになった。対象のバージョンは、10.0、11.0、12.0、20.0だ。

脆弱性は2種類存在。ディレクトリトラバーサルの脆弱性では、攻撃者が悪用することで任意のファイルの読み取りが可能になる。ただし、Deep Security Managerが侵害済みであるか、未アクティベート状態のDSAに対してアクセスできることが悪用の条件。

コードインジェクションの脆弱性では、攻撃者が権限昇格を悪用し任意のコードをrootとして実行可能。こちらも未アクティベート状態のDSAに対してアクセスできることが条件となる。

すでに対策パッチが公開されているので、利用ユーザーはすみやかにパッチを適用のこと。

マカフィーエージェントに脆弱性

マカフィーは1月18日、同社のマカフィーエージェントに脆弱性があることを公開した。対象はマカフィーエージェント 5.7.5より前のバージョン。

脆弱性は2種類存在。コードインジェクションの脆弱性では、攻撃者がリバースシェルを取得し、root権限を取得するために権限昇格を引き起こす可能性がある。不適切な特権管理の脆弱性では、特権の低いユーザーが悪意のあるopenssl.cnfファイルを作成し、サブディレクトリを作った後に任意のコードを実行する可能性がある。

重要度の高い脆弱性だが、すでに対策バージョンを公開しているので、該当するユーザーはすみやかにアップデートされたい。対策後のバージョンは、マカフィーエージェント 5.7.5以降になる。