7月25日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。
ジャストシステム、オンラインアップデート機能に脆弱性
ジャストシステムのライセンス製品に添付のオンラインアップデート機能において、脆弱性が公開された。対象は「JUSTオンラインアップデート for J-License」を添付している製品すべて。
脆弱性は、「JUSTオンラインアップデート for J-License」に存在。内部処理の不具合により、意図しないプログラムを実行する可能性がある。第三者の悪用により、不正なプログラムの実行、任意のコード実行などの危険があるという。
すでに対策用アップデートを公開しているので、これを適用することで脆弱性は解消する。なお、脆弱性は各ライセンス製品本体には存在しない。「JUSTオンラインアップデート for J-License」を含むライセンス製品は以下の通り。
■オフィス・オフィス統合ソフト
・JUST Office 5、JUST Office 4、JUST Office 3、JUST Office 2
・JUST Government 5、JUST Government 4、JUST Government 3、JUST Government 2
・JUST Police 5、JUST Police 4、JUST Police 3、JUST Police 2
・JUST Medical 5、JUST Medical 4、JUST Medical 3、JUST Medical
・一太郎Pro 5、一太郎Pro 4、一太郎Pro 3
・一太郎Government 10、一太郎Government 9、一太郎Government 8
・JUST Calc 5、JUST Calc 4、JUST Calc 3
・JUST Note 5、JUST Note 4、JUST Note 3
・JUST Focus 5、JUST Focus 4、JUST Focus 3
■ATOK
・ATOK Pro 5 for Windows、ATOK Pro 4 for Windows、ATOK Pro 3 for Windows
・ATOK Medical 3 for Windows、ATOK Medical 2 for Windows
■花子
・花子Pro 5、花子Pro 4、花子Pro 3
・花子Police 7、花子Police 6、花子Police 5
■JUST PDF
・JUST PDF 5 Pro、JUST PDF 5
・JUST PDF 4 [作成・高度編集・データ変換]、JUST PDF 4 [作成・編集・データ変換]
・JUST PDF 4 [作成・編集]、JUST PDF 4 [作成・データ変換]
・JUST PDF 3 [作成・高度編集・データ変換]、JUST PDF 3 [作成・編集・データ変換]
・JUST PDF 3 [作成・編集]、JUST PDF 3 [作成・データ変換]
■Shuriken
・Shuriken Pro 7、Shuriken Pro 6
■ホームページ・ビルダー
・ホームページ・ビルダー22、ホームページ・ビルダー21、ホームページ・ビルダー20
■ジャストスクール
・ジャストスクール7、ジャストスクール6
■ジャストスマイル クラス
・ジャストスマイル クラス2
■ジャストスマイル
・ジャストスマイル8/7/6
■ジャストフロンティア
・ジャストフロンティア3
■ジャストジャンプ
・ジャストジャンプ8
・ジャストジャンプ クラス2
・ジャストジャンプ クラス
■Tri-De DataProtect
・Tri-De DataProtect
個人情報を保存していたデジタルカメラのSDメモリーカードを紛失
新潟県立新発田病院は、病棟で使用しているデジタルカメラのSDメモリーカードを紛失したことを明らかにした。
2022年7月13日の15時ごろ、病棟看護師がデジタルカメラを使用後にSDメモリーカードを抜いてPCに差し込み写真をプリントアウト。作業後にPCからSDメモリーカードを外してデジタルカメラに装着し、カメラを保管場所に戻した。同日20時ごろにほかの看護師がデジタルカメラを使おうとしたところ、SDメモリーカードが入っていなかった。この時点でSDメモリーカードを探すが見つからず、翌朝に看護師長と看護部長に報告。規模を広げて探すも発見には至っていない。
紛失したSDメモリーカードは、NICU(新生児集中治療室)で使用しているデジタルカメラに挿入していたもの。新生児を写した写真を保存しており、親の写真を含んでいる場合もあるという。対象となるのは50人分。
同病院はSDメモリーカードに保存していた写真の関係者に状況を説明。SDメモリーカードの捜索を続けるとともに再発防止に努めるとしている。
栃木県、森林簿に係る個人情報をホームページで誤掲載
栃木県のホームページに掲載している「森林簿データ(渡良瀬川森林計画区(足利市)、那珂川森林計画区(那須烏山市))」の一部に個人情報が含まれ、不特定多数が閲覧可能な状態となっていた。
誤掲載は2021年12月6日からとなっており、森林簿データの一部に森林所有者氏名、および住所が含まれていた。本来は個人情報を担当者が削除した上で掲載するはずだったが、一部に削除漏れがあったとしている。
誤掲載に気付いたのは2022年7月20日。同日、上記情報の掲載を停止した。掲載していた個人情報は1,786人分で、内訳は足利市315人、那須烏山市1,471人。二次被害は7月21日14時時点で確認していない。
栃木県は、対象の森林所有者に文書でお詫びを送付。再発防止策として、改めて情報の取り扱いについて注意するとともに、ホームページへ掲載する際は職員2人以上で確認を行うなど、チェック体制を強化する。
アプリ「Hulu」に脆弱性、iOS版とAndroid版に存在
HJホールディングスのアプリ「Hulu」に脆弱性が存在している。対象のバージョンは以下の通り。
- Hulu / フールー バージョン 3.0.81より前のバージョン(iOS版)
- Hulu / フールー バージョン 3.0.47から3.1.2より前のバージョン(Android版)
脆弱性は、iOS版がサーバー証明書の検証不備、Android版が外部サービスのAPIキーのハードコード問題となる。脆弱性を放置すると、iOS版では中間者攻撃により暗号通信の盗聴などの可能性がある。Android版では、アプリ内のデータ解析、それに伴う外部サービスと連携するためのAPIキーの不正窃取とった可能性がある。
ともに最新版へとアップデートすることで脆弱性は解消。なおAndroid版では、当該APIキーを2022年6月7日に無効化しており、バージョン 3.1.1以前でも影響はない。
えきねっとを騙るフィッシングメール
7月29日の時点で、えきねっとを騙るフィッシングメールが拡散している。メール件名の一例は以下の通り。
- 登録手続き完了のお知らせ 申込内容(JRきっぷ)のご案内
- 「えきねっと」アカウントの自動退会処理について
- 【重要】えきねっとアカウントの自動退会処理について
- 【重要】えきねっとアカウントの緊急更新
- 【重要】えきねっと情報を更新なお知らせ
- 【重要】えきねっとアカウント制限のお知らせ
メールでは、7月26日にサービスをリニューアルしたたため、最後にログインした日から2年以上利用していない場合は自動的に退会処分になるなどと記載。継続利用する場合はログインをするようにとリンクをクリックするよう誘導している。
リンク先はえきねっとを模したフィッシングサイトで、氏名や住所などの個人情報、クレジットカード情報などの入力欄がある。7月29日の時点でフィッシングサイトは稼働中。フィッシングサイトにはJR東日本の名前も記載しており、注意が必要だ。
Apple、iOSなどのセキュリティアップデートを公開
Appleは7月20日、iOS、iPadOS、macOSなどのセキュリティアップデートを公開した。アップデート後のバージョンは以下の通り。
- Safari 15.6
- watchOS 8.7
- macOS Catalina
- macOS Big Sur 11.6.8
- macOS Monterey 12.5
- tvOS 15.6
- iOS 15.6、iPadOS 15.6
修正した脆弱性は、macOS Monterey 12.5で55件、macOS Big Sur 11.6.8で32件、macOS Catalinaで38件となる。Safari 15.6では3件、iOS、iPadOSなども多くの修正を適用している。これらの脆弱性を放置すると悪用を受ける可能性もあるため、早期にアップデートを適用すること。