9月12日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。
リクルート、スタディサプリ 中学講座で別アカウントへのログイントラブル
リクルートが提供する個人向けオンライン学習サービス「スタディサプリ 中学講座」において、一部の学習者が別の学習者のアカウントにログインできてしまう事象が発生していた。
2022年8月10日に学習者の保護者から問い合わせを受け発覚。8月22日に2つの事象を確認し、問題を解決している。1つは、ログイン中または一定期間中学講座にログインのなかった学習者が、中学講座のログインが必要となる一部ページにアクセスした場合、ほかの学習者としてログインできてしまうというもの。ログイン時に必要となるアクセストークンの割り当てミスが原因で、別の学習者のアカウントで操作が可能な状態だった。
問題が発生していた期間は2022年1月31日~8月22日。ほかの学習者からログインがあったのは1,754人。別の学習者のアカウントでログインしてしまった人は1,211人(ともに退会者除く)。
2つめは、中学講座の学習者が小中高講座でログアウト、またはパスワードリセットを行っても、アクセストークン削除ミスによって中学講座からログアウトされないというもの。同一端末で不具合発生後、ほかの学習者が中学講座を利用した場合、その前に利用していた学習者のアカウントで操作が可能な状態だった。こちらはデータが完全には残っていないため、正確な対象者数を特定できないという。修正には時間がかかり、10月末ごろ解消の予定。
これら2つの事象によって、閲覧・編集の可能性がある項目は以下の通り。
■学習ページのプロフィール画面
・在籍する学校情報
・在籍する中学校がある都道府県
・在籍する中学校がある市区町村
・在籍する中学校名
・使用している教科書情報
・ミッションの教科設定
■設定画面
・効果音を鳴らすの設定
■定期テスト
・定期テストの日付
■その他
・学習履歴(ミッション進捗も含む)
・入会コース
・学年
同社は再発防止策として、開発の検証過程で確認の徹底と、検証パターンの拡充を進めるとしている。
三重県四日市市の偽Instagramアカウントに注意
三重県四日市市は、四日市市公式Instagramアカウント「@yokkaichi_style」になりすました偽アカウントが存在するとして、注意を呼びかけている。一部のユーザーには、現在開催中の「四日市市特産品プレゼントキャンペーン」の偽当選DMが送られる事案も確認している。
公式アカウントと偽アカウントの違いは、アンダーバーが二重になっている点。また、偽アカウントは投稿数やフォロワー数も少ないため、これらの部分を見て判別できる。同市は10月2日までにDMを送信することはなく、景品送付先以外の個人情報を聞くこともないとしている。もし不審なDMを受け取った場合はすみやかに削除し、なりすまし報告やブロックするよう呼びかけている。
同市はすでにInstagram側になりすましアカウントの報告を行い、削除を要請。対応を待っている状態だ。
休日ハック、「お問い合わせフォーム」で問い合わせると個人情報が閲覧可能な状態に
休日ハックが提供する「休日ハック!」サービスにおいて、サービス利用方法などに関する「お問い合わせフォーム」で問い合わせした人の情報が、外部から閲覧可能な状態だった。
原因はヒューマンエラーによるシステムの設定ミス(リンク設定、アクセス権限)。閲覧可能となっていた期間は2022年4月26日~8月30日。サービスの「お問い合わせフォーム」で問い合わせをした人の個人情報(274件)が閲覧可能な状態だった。
情報の内訳は、まず個人情報が31件。詳細は、氏名、メールアドレス、電話番号、問い合わせ内容。法人情報は243件で、詳細はご担当者様氏名、メールアドレス、電話番号、住所、問い合わせ内容。現在は当該情報を閲覧できない状態になっている。
現時点において当該情報の不正利用などはなく、当該情報のインターネットでの不正公開もない。同社は再発防止策として、個人情報取り扱い業務における管理体制の厳重化を徹底するとしている。
茨城県産業技術イノベーションセンターのトップページが改ざん被害に
茨城県が運営する産業技術イノベーションセンターのホームページが、改ざん被害にあった。原因などの詳細は調査中。
改ざんが発覚したのは2022年9月9日8時30分ごろ。産業技術イノベーションセンターのトップページの新着情報欄に、外部からの書き込みと思われる表記を確認した。9時15分ごろにはセンター内に設置してあるWebサーバーを停止し、ホームページを閲覧できない状態に設定。現在はWebサーバーの管理委託会社とともに原因を究明しつつ、対応策を協議している。
なお、現在までにホームページ閲覧者からの問い合わせなどはなく、ウイルスの拡散や情報漏洩などもない。今回の事案は外部者からの改ざんが原因としており、詳細にログを確認した上で、今後はセキュリティの強化といった対策を講じる。
フルハシEPO、データセンターのサーバーに不正アクセス
リサイクル事業やエネルギー事業を手がけるフルハシEPOが運用するデータセンターのサーバーが、第三者による不正アクセスを受けた。
不正アクセスは2022年9月3日に発生。被害の拡大を防ぐため、すぐにサーバーを停止しネットワークを遮断。この不正アクセスによって基幹システムや関連システムにも被害が及び、一部業務に支障をきたしている。
同社は対策本部を設置するとともに、外部専門家の協力を受け不正アクセスによる被害範囲と情報の特定を急いでいる。現時点では情報流出などの被害はないが、全容の把握には時間を要するという。同社は業績などに重要な影響を及ぼす事態や、新たな事実が判明した場合すみやかに情報を開示するとしている。
マイクロソフト、9月のセキュリティ更新プログラムをリリース
マイクロソフトは9月14日(米国時間)、セキュリティ更新プログラムの情報を公開した。緊急6件、重要6件の脆弱性を修正している。これらの脆弱性を悪用するマルウェアの攻撃に備え、早期にセキュリティ更新プログラムを適用しておきたい。
■緊急:リモートでのコード実行
・Windows 11
・Windows 10 v21H2、v21H1、v20H2
・Windows Server 2022(Server Core installationを含む)
・Windows Server 2019、2016、v20H2(Server Core installationを含む)
・Windows 8.1、Windows Server 2012 R2、Windows Server 2012(Server Core installationを含む)
・Microsoft Dynamics 365
■重要:リモートでのコード実行
・Microsoft Office
・Microsoft SharePoint
・Microsoft.NET
■重要:特権の昇格
・Microsoft Visual Studio
・Microsoft Azure-related software
・Microsoft Defender for Endpoint for Mac
イオンカードを騙るフィッシングメール
9月8日の時点で、イオンカードを騙るフィッシングメールが拡散している。メール件名の一例は以下の通り。
- 【重要】イオンカードご利用確認のお願い
- 【重要】イオンカード本人確認のお知らせ
- 【最終警告】イオンカードからの緊急のご連絡
- 【イオンカード】現在カードのご利用が一時停止されました
- クレジットカード等に一部サービスがかかる 休止のお知らせ
- <緊急!イオンカード 重要なお知らせ>
メールでは、本人の利用かどうか確認したい取り引きがあったので、カードの利用を一部制限したなどと記載。URLをクリックしてカードの利用を確認するよう誘導する。リンク先はフィッシングサイトで、「AEON CARD」を模したサイトとなっているため注意が必要だ。