2月6日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

国民生活センター、インターネット通販「偽サイト」に関して注意喚起

国民生活センターは、実在する企業のインターネット通販サイトと誤解するように作られた「偽サイト」に注意するよう呼びかけている。

偽サイトに関する相談は、全国の消費生活センターなどに多く寄せられるようになった。相談内容は、インターネット通販において「注文した商品が届かない」「商品は届いたが偽物だった」「販売業者に連絡したいが連絡先がわからない」「通販サイトに注文後、偽サイトだったことに気が付いた」といったものだ。

こうした偽サイトの手口としては、大幅な値引きをうたってSNSやインターネット上の広告などから偽サイトへと誘導。フィッシングによるクレジットカード情報の搾取や、銀行振込での前払い、代金引換サービスなどで金銭をかすめ取ろうとしてくる。価格が安いからと言って安易にサイトを信じず、少しでも怪しいと感じたら注文しない――といった心構えが大切だ。「偽サイト」かどうかのチェックポイントは以下の通り。1つでも該当したら警戒してほしい。

  • サイトのURL表記が、ブランドの正式な英語表記と少しだけ異なる
  • 日本語の字体、文章表現がおかしい
  • 販売価格を大幅に値引きしている
  • 事業者の住所の記載がなく、記載していても虚偽の場合がある
  • 事業者への連絡方法が、問い合わせフォームやフリーメールだけ
  • 支払い方法がクレジットカード決済、銀行口座などへの前払い、代金引換サービスのみ
  • サイト内のリンクが適切に機能しない

デンツプライシロナ、フィッシングメール被害で個人情報漏えい

歯科用機器メーカーのデンツプライシロナは、従業員1名が使用する業務用スマートフォンが不正アクセスを受けことを明らかにした。これにより、当該スマートフォンに保存していた個人情報が漏えいした可能性があるという。

不正アクセスは、2022年11月29日に宅配業者を装ったフィッシングメールが届き、記載URLから偽ログインサイトにアクセスしたことで発生。アカウントIDとパスワードを入力してしまったため不正ログインを許し、自身のアカウントにログインできなくなった。

調査したところ、スマートフォンの電話帳に登録していた取引先や従業員の個人情報に漏えいの可能性がある。内容は、取引先の氏名と電話番号(350件)、従業員の氏名と電話番号(300件)。ともに一部メールアドレスを含む。

再発防止策として、全従業員に定期的な個人情報などの管理、および情報セキュリティに関する教育や指導を徹底していくとしている。なお現時点で二次被害はない。

ジェイ・クリエイション、サーバーへの不正アクセスで情報漏えい

ジェイ・クリエイションは、2022年12月2日付で報告した社内サーバーへのサイバー攻撃について、詳細を公開した。調査の結果、運用するサーバーが外部からの不正アクセスを受け、サーバーおよび従業員が業務に使用するPC端末に保管していた情報の一部が暗号化被害に遭っていたことがわかった。これにより、一部業務に支障をきたすこととなった。

発覚後、直ちにサーバーとPC端末を外部ネットワークから隔離。被害の拡大を防ぎつつ対応を進めている。外部専門家の調査によれば、すでに個人情報を含むデータの一部は漏えいしているとのこと。漏えいを確認したのは、2件の取引先情報(会社名、役職名、氏名)、および4件のジェイ・クリエイション情報(会社名、部署名、役職名、氏名)となる。

ジェイ・クリエイションは再発防止に向け、外部の専門家などの協力を得ながら、より一層のセキュリティ強化と安全性の確保に努めていくとしている。

スマホアプリ「一蘭公式アプリ」に脆弱性

2月6日の時点で、ビートレンドが開発したスマートフォンアプリ「一蘭公式アプリ」に脆弱性を確認している。対象のバージョンは、一蘭公式アプリ 3.1.0 より前のバージョン(iOS版、Android版)。

脆弱性はサーバー証明書の検証不備。放置すると、中間者攻撃によって暗号通信の盗聴などの可能性があるという。最新バージョンでは脆弱性を解消しているので、アプリを利用している人は早急にアップデートしておきたい。

ビックカメラを騙るフィッシングメール

2月3日以降、ビックカメラを騙るフィッシングメールが拡散している。送られてくるメールのタイトル例は以下の通り。

  • 【ビックカメラ】ご本人様確認完了のご連絡

メールでは、本人確認の認証が行われたので、追加認証のためメールを送信したなどと記載。リンクを載せてアクセスするよう誘導する。誘導先はビックカメラを模したフィッシングサイトで、IDやパスワード、連絡先、クレジットカード情報などの入力欄がある。当然、情報を入力してはならない。2月3日以降もフィッシングサイトは稼働中とのことなので注意されたい。