11月1日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

ショーケース、「フォームアシスト」を含むサービスが改ざん

ショーケースが提供する「フォームアシスト」、「サイト・パーソナライザ」、「スマートフォン・コンバータ」などのサービスが、第三者による不正アクセスを受けた。ソースコードの改ざんが発生し、これらのサービスを利用している場合、入力情報が外部に流出している可能性がある。

改ざんは2022年7月26日に取引先からの情報によって発覚。「フォームアシスト」のソースコードに不審な記述があるとの指摘を受け調査を開始した。調査の結果、ソースコードが書き換えられ、一部取引先のWebサイトなどで入力情報が外部へ流出した可能性があることが判明した。

ただちに対象サービスのソースコードを修正。第三者の侵入を遮断する措置と、新設サーバーへの移行といった対策をとった。現在も再発防止策を継続しており、以降、不正なファイル埋め込みは行われていない。

ショーケースは第三者機関にフォレンジック調査を依頼するとともに、同社のサービスを利用している取引先が多いことから、クレジットカード情報漏えい事故調査機関によるフォレンジック調査も依頼。改ざん被害と情報漏えいを再確認するとともに、情報が漏えいした可能性のある取引先に個別に連絡を取るなどの対応を行っている。

多くの企業とWebサービスで情報漏えいの被害が発生しており、例えば以下のような情報公開もある。消費者側としては、クレジットカード明細の入念な確認や、不審なメールに対する警戒を強めておきたい。

・富士フイルムイメージングシステムズ「FUJIFILMプリント&ギフト」
弊社が運営するECサイト「FUJIFILMプリント&ギフト」への不正アクセスによるクレジットカード情報漏えいに関するお詫びとお知らせ

・ユーキャン
弊社が運営する「生涯学習のユーキャン」サイトにおける個人情報漏えいに関するお詫びとお知らせ

・エービーシーマート
弊社が運営する「ABC-MART公式オンラインストア」における個人情報漏えいの可能性に関するお詫びとお知らせ

じゃらんを騙るフィッシングメール

10月28日の時点で、じゃらんを騙るフィッシングメールが拡散している。メール件名の例は「 [じゃらんnet]にご登録のアカウント(名前、パスワード、その他個人情報)の確認」といったもの。

メールでは、じゃらんnetの会委員情報を更新できず、アカウント情報の一部が誤っている――などと記載。ログインするよう誘導する。誘導先はじゃらんnetを模したフィッシングサイトで、IDやパスワード、クレジットカード情報などの入力欄がある。10月28日の時点でフィッシングサイトは稼働中なので注意。

「ウイルダイレクト」、ペイメントアプリの改ざんにより情報流出

ウイル・コーポレーションが運営する「ウイルダイレクト」が第三者による不正アクセスを受け、クレジットカード情報(2,426件)が漏えいした可能性がある。システムの一部脆弱性をついたペイメントアプリケーションの改ざんによるもので、2022年7月19日にクレジットカード会社からの連絡を受け発覚、2022年7月19日にカード決済を停止した。

第三者機関の調査によると、2021年1月29日~2022年4月19日の期間に「ウイルダイレクト」で商品を購入した人のクレジットカード情報が漏えい。一部は不正利用の可能性もあるという。漏えいした可能性のある情報は、カード名義人名、クレジットカード番号、有効期限、セキュリティコード、ECサイトのログイン情報(メールアドレス、パスワード)、会員登録情報(電話番号)。

同社はクレジットカード会社と連携して、漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施。顧客に対しては、クレジットカードの利用明細書に身に覚えのない請求項目がないかを確認するよう呼びかけている。再発防止策として、システムのセキュリティ対策と監視体制の強化を図る。

アニメイトカフェ、「抱かれたい男1位に脅されています。」×DECOTTOコラボでメールアドレス流出

アニメイトカフェが導入した新予約システムにてトラブルがあり、一斉送信したメールで別の顧客のメールアドレスを表示していた。なお、旧予約システムで予約していた場合は該当しない。

2022年10月26日15時17分ごろ、新予約システムの一斉メール送信機能から、「抱かれたい男1位に脅されています。」×DECOTTOコラボ抽選予約に当選した人へ、当選通知メールを送信した。その際、「TO」の宛先に別人のメールアドレスを表示した状態で送信しており、漏えいしたメールアドレスは408名分となる。同社は該当するユーザーに謝罪メールを送信し、メールの削除を依頼した。新予約システムについては、一斉メール送信機能の使用を停止し修正と改善を実施する。