5月30日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

ゆうちょ銀行を騙るフィッシングに注意

6月2日の時点で、ゆうちょ銀行を騙るフィッシングメールが拡散している。メール件名の一例は以下の通り。

  • <緊急連絡>【株式会社ゆうちょ銀行】ご確認の願い

メールでは、不正監視システムを導入したのでアクセスして確認するようとURLを記載。リンク先へ誘導しようとする。リンク先は「ゆうちょダイレクト」を模したデザインのフィッシングサイトであり、メールアドレスや記号番号などの入力欄を設置して情報を窃取しようとする。

6月2日の時点でフィッシングサイトは稼働中。同様に、九州カード、東京電力、日専連ファイナンスを騙るフィッシングも確認しているので注意のこと。

月桂冠、ネットワーク機器の脆弱性を突かれ不正アクセス被害

月桂冠が管理運用するサーバーが不正アクセスを受けた。これにより社内システムで障害が発生し、顧客の個人情報が流出した可能性がある。

サーバーへの不正アクセスは4月2日に発生。社内システムに障害をきたし、4月3日に被害の拡大を防ぐためサーバーを停止。外部とのネットワーク接続を遮断した。侵入経路は、インターネットに接続されたネットワーク機器の脆弱性を悪用した可能性が高いとのこと。

外部専門家の協力を受け調査を進めたところ、情報の外部持ち出しの痕跡はなかった。しかし、サーバーに保存していた個人情報の流出を完全には否定できないことも判明。流出の可能性がある個人情報は以下の通り。

(顧客情報)
・通販サイト商品発送リスト(993件、2022年2月~3月、氏名、住所、電話番号)
・お客様相談室受注リスト(74件、2021年9月~2022年3月、氏名、住所、電話番号)
・進物品斡旋販売受注および発送リスト(2,061件、2019年12月~2021年12月、氏名、住所、電話番号、一部メールアドレス)
・キャンペーンプレゼントなどの発送リスト(707件、2019年6月~2022年3月、氏名、住所、電話番号)
・お客様相談室へのお申し出報告書(2,153件、1995年~2022年3月、氏名または氏、住所、電話番号)

(取引先などの情報)
・取引先などの連絡先(2,167件、2022年3月時点、会社名、部署、役職、住所、電話番号、一部生年月日)

(採用選考参加者の情報)
・採用選考参加者名簿(17,000件、1999年3月~2022年3月、氏名、学校名)

(株主情報)
・月桂冠株主情報(2022年3月時点、氏名、住所、電話番号)

(退職者含む月桂冠従業員の情報)
・従業員情報(2,560件、1999年11月~2022年3月、氏名、住所、生年月日、電話番号)

今後は原因や経路の究明、流出の可能性がある情報について調査を進め、セキュリティの厳格化や監視体制の強化を図っていく。

デジタ、不正アクセスによる個人情報流出の最終報告

デジタが運営する「印刷通販デジタ」に関して、不正アクセス被害の最終調査結果が公開された。2022年2月25日から4月1日にかけて順次状況を公開していたが、その後も追加調査を進めた結果、新たに9,700件の情報流出を確認。累計で36,173件の情報流出となった。

最初の不正アクセスは2022年2月21日に発生し、顧客情報の流出が発覚。不正アクセス元のIPアドレス群からの通信を遮断して調査を開始した。このときの調査では、21,042件の情報流出を確認している。

3月10日以降は、セキュリティ専門企業に脆弱性の診断を依頼。第三者機関によるフォレンジック調査の結果、新たな情報流出を確認し、累計で26,473件に増加。さらに調査を継続したところ、累計流出件数は36,173件となった。流出情報の概要は以下の通り。

■初回公表で判明した流出内容
・2021年4月10日から2022年2月21日に商品の発送が行われた人のメールアドレス
・2016年12月28日から2018年9月4日の期間に送信した一部の発送完了メールに記載の氏名、住所、電話番号、注文者のメールアドレス

■5月26日発表で判明した流出内容
・2015年10月10日から2016年4月2日の期間、注文完了メールの本文
・2016年4月11日から2017年1月23日の期間にお問い合わせフォーム、およびsupport@digitaprint.jpに送信した人のメールアドレス、メール本文、メール件名
・2016年11月14日に印刷通販デジタを利用した一部の人のメールアドレス、メール本文
・2017年の4月~5月に実施したアンケート調査の対象の人に送信したメールアドレス、メール本文

今回流出した情報はメールに付随するもので、ログインID、パスワード、クレジットカード情報、入稿データなどの流出はない。また、不審なログインやマルウェアの設置もなかった。

通販サイト「CHUOHネットショップ」でクリジットカード情報流出

中央教育研究所が運営する「CHUOHネットショップ」が不正アクセスを受け、個人情報が流出している。

不正アクセスは、「CHUOHネットショップ」のシステムの脆弱性を突いた第三者によるペイメントアプリケーションの改ざんによるもの。2022年3月9日に一部のクレジットカード会社からの連絡を受け発覚した。同日カード決済を停止し、第三者機関による調査を開始している。

調査の結果、2021年4月23日~2022年3月9日の期間に、当該サイトにおいてクレジットカード決済を行った2,270名のうち、クレジットカード情報を新規に入力、または追加、更新、変更した人の情報が流出した。一部のクレジットカードについては不正利用の可能性もあるという。流出情報の詳細は、カード名義人名、クレジットカード番号、有効期限、セキュリティコード。

同社はクレジットカード会社と連携してクレジットカードによる取引のモニタリングを継続して実施。顧客に対しては、クレジットカードの利用明細書に身に覚えのない請求項目がないかを確認するよう呼びかけている。

今後はシステムのセキュリティ対策と監視体制を強化し、再発防止を図っていく。サイトの再開時期については、決定しだいWebサイト上で告知するとしている。

エイチーム、クラウドに保存したファイルの設定ミスで個人情報が閲覧可能な状態に

エイチームグループの採用活動に関する個人情報が外部から閲覧可能な状態になっていた。2022年4月7日10時ごろ、グループの採用に関する情報がインターネット上で閲覧可能になっているとの指摘を受けて発覚。

事実関係を調査したところ、クラウドサービス上に作成したファイル内に個人情報を含むファイルが存在。閲覧範囲を「このリンクを知っているインターネット上の全員が閲覧できます」と設定していたため、リンクを知っていれば誰でも閲覧できる状態となっていた。現在は設定を変更しており、個人情報を閲覧できる状態は解消している。閲覧できた期間と内容は以下の通り。

2018年卒~2021年卒を対象にした新卒採用イベントやインターンシップに参加した学生:4,588名分
・期間:2017年4月~2022年4月21日
・詳細:氏名、学校名、メールアドレス、電話番号、インターンシップ参加時に作成し自己紹介シート、インターンシップ参加学生の評価、顔写真、出身地

■新卒採用活動に参加した当社グループ従業員:161名分
・期間:2017年4月~2022年4月21日
・詳細:氏名、所属部署、顔写真、出身地、出身校

■2016年~2017年に実施した中途採用イベントに参加した人の情報:30名分
・期間:2016年4月~2022年5月11日
・詳細:氏名、メールアドレス、職業、電話番号、年齢

■2017年8月~2021年10月に同社オフィスに来社し、面接などで交通費を支給した人:1,078名分
・期間:2016年4月~2022年5月10日
・詳細:氏名、振込先口座番号

同社は再発防止策として、今後は一般的なクラウドサービスで作成したファイルの業務利用を禁止する。会社で管理しているクラウドサービスで作成したファイルのみ使用可能とし、これを徹底。ほか、アカウントのIDやパスワード管理の最適化なども図り、社内のチェック体制を強化する。