2022年の年末にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。
ビューカードを騙るフィッシングメール
2022年12月21日以降、ビューカードを騙るフィッシングメールが拡散している。メール件名の一例は以下の通り。
- 【重要】VIEW's NET客様の個人情報の確認
- 【重要】ビューカードご利用確認
- ◇◎。ご利用確認のお願い。◎◇
- ★。VIEW's NET アカウントご利用確認のお願い
メールでは、登録している各種情報が最新のものかどうか確認したいなどと記載。確認するためにURLをクリックするよう誘導する。誘導先は「VIEW's NET」を模したフィッシングサイトで、ログインIDやパスワード、クレジットカード情報などの入力欄がある。メールに書かれたURLや添付ファイルはクリックせず、自分の情報を確認するときは公式アプリやブラウザの検索結果からアクセスするようにしたい。
奈良県立医科大学、パスワード流出で大量の迷惑メールを送信
奈良県立医科大学が利用しているマイクロソフトのクラウドサービス「Microsoft365」において、職員に付与したアカウントのパスワードが不正窃取被害に遭った。これにより、迷惑メールの送信や個人情報の漏えいなどが発生している。
ことの経緯は、2022年10月31日4時ごろにシステムから「メッセージを多数送信したのでユーザー制限をかける」と通知が届いたことで発覚。調査したところ、5件のアカウントから学外への迷惑メール送信を確認した。あわせて、海外のIPアドレスから6件のアカウントに対しての不正ログインも確認している。このときに個人情報を含むメールを閲覧できる状態だった。
事実を確認後、すぐに当該職員などのPCをウイルス対策ソフトでフルスキャンを行い、アカウントのパスワードも変更。所属内で共有使用しているPC×1台、職員使用のPC×1台から不正プログラムを発見した。パスワード窃取の原因は現時点では不明。対策後の不正ログインはなくなっている。
迷惑メールの送信件数は1,120件(うち送信成功781件)。個人情報は、治験患者1名の疾患名、氏名、性別、共同研究者、および治験関係者の氏名、電話番号、メールアドレス約800件に漏えいの可能性がある。再発防止策として、技術的な対策とともに個人情報保護や情報セキュリティの確保に関する教育研修を強化するとしている。
「日経スマートクリップ」のホスティングサーバーに不正アクセス
日本経済新聞社が提供している新聞記事クリッピングサービス「日経スマートクリップ」のサーバーが不正アクセスを受けた。これにより、顧客企業の個人情報の一部が流出した可能性がある。
不正アクセスを受けたのは、子会社の日経メディアマーケティングが契約するホスティングサーバー。12月14日に判明し社内調査を進め、発覚後はサーバーを外部から遮断するなどの対策を講じた。流出した情報のは、顧客企業の一部利用者(266人)の個人情報で、氏名、ユーザーID、メールアドレスを含む。詳細な被害の内容や範囲については現在も特定を進めている。今後は情報管理の徹底に努めていくとし、個人情報保護委員会に被害を報告済み。
「つの食品webショップ」に不正アクセス、クレジットカード情報流出
築野食品工業が運営する「つの食品webショップ」が不正アクセスを受け、個人情報が漏えいしている。不正アクセスは、システムの一部の脆弱性をついたペイメントアプリケーションの改ざんによるもの。
2022年11月22日に一部のクレジットカード会社から連絡を受け発覚。ただちにカード決済を停止し、第三者機関による調査を依頼した。調査の結果、2021年3月19日~2022年2月27日の期間に「つの食品webショップ」で商品を購入した顧客のクレジットカード情報(2,068件)が漏えい。一部は不正利用の可能性もあるという。漏えい情報の詳細は、カード名義人名、クレジットカード番号、有効期限、セキュリティコード。
同社は、クレジットカード会社と連携して漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施。顧客に対しては、クレジットカードの利用明細書に身に覚えのない請求項目がないかを確認するよう呼びかけている。
再発防止策として、厳重なセキュリティ対策を講じているとされるショッピングカート会社と新たに契約。改修後の「つの食品webショップ」の再開日は決定しだい告知するとしている。
愛知県病院薬剤師会、本来とは違う書類をホームページ上に誤掲載
愛知県病院薬剤師会のホームページ上にメーリングリスト利用者のメールアドレス情報が誤って掲載され、情報が流出した可能性がある。
2022年10月5日8時30分ごろ、ホームページ上のお知らせに調査委員会の『令和4年度「薬剤業務一般に関するアンケート」(Excel形式)』を掲示しようとしたところ、誤ってメーリングリスト利用者のメールアドレスリストを掲載していた。
同日の9時2分に、愛知県病院薬剤師会の会員から誤掲載の連絡を受け、9時15分に書類を差し替えた。誤った情報の掲載時間は最大45分間で、漏えいした可能性のある個人情報は2019年時にメーリングリストに登録していた26人分のメールアドレス(メーリングリストからの退会者を含む)。
公表時点でこれらメールアドレスが不正利用された形跡はないものの、メールアドレスを悪用した「なりすまし」や「フィッシング詐欺」などに使われる可能性があり、注意を呼びかけている。同会は、個人情報の取り扱いが不適切であったことを踏まえ、取り扱いに関する管理の徹底、セキュリティ機能の強化に向けた取り組みを進めていくとしている。
スタイリッシュ・エイチ・アンド・エイ運営のオンラインショップ3店舗で情報流出
キッズ向け商品を手がけるスタイリッシュ・エイチ・アンド・エイが運営するオンラインショップが不正アクセスを受けた。「COLORFUL CANDY STYLE公式オンラインショップ」「BOTANY&WATERCOLORS公式オンラインショップ」「Colorful Textile Maker公式オンラインショップ」の3店舗にて被害が生じている。
2021年7月2日に、クレジットカード会社からの連絡を受け発覚。社内調査と第三者機関の調査によると、個人情報の流出とクレジットカード不正利用の可能性もあるという。原因は、「Colorful Textile Maker公式オンラインショップ」の脆弱性をついたペイメントアプリケーションの改ざんによるもの。被害内容は以下の通り。
- 2020年6月26日~2021年4月26日の期間に「COLORFUL CANDY STYLE公式オンラインショップ」で商品を購入した人(最大17,472名分)
- 2020年7月14日~2020年10月30日の期間に「BOTANY&WATERCOLORS公式オンラインショップ」で商品を購入した人(最大23名分)
- 2021年5月18日~2021年6月29日の期間に「Colorful Textile Maker公式オンラインショップ」で商品を購入した人(最大7名分)
流出情報は、クレジットカード名義人名、クレジットカード番号、有効期限、セキュリティコード、ログインID、メールアドレスパスワードなど。このほかにも、氏名や住所などの個人情報(最大2,358名分)に流出の可能性がある。
同社は、クレジットカード会社と連携して漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施。顧客に対しては、クレジットカードの利用明細書に身に覚えのない請求項目がないかの確認と、ログインIDやパスワードの変更を呼びかけている。今後はシステムのセキュリティ対策と監視体制を強化していくとしている。