2月13日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

ソースネクスト、不正アクセスを受け12万件以上の個人情報漏えい

ソースネクストの公式ホームページが第三者による不正アクセスを受け、112,132件のクレジットカード情報、120,982件の個人情報が漏えいした。

原因は、システムの脆弱性をついたペイメントアプリケーションの改ざんによるもの。2023年1月4日にクレジットカード会社からの連絡を受け発覚した。2023年1月5日にはサイト上でクレジットカード決済を停止し、第三者機関に調査を依頼している。

調査結果によると、2022年11月15日~2023年1月17日の期間に、商品を購入した顧客のクレジットカード情報と個人情報の漏えいがあり、一部のクレジットカード情報は不正利用の可能性もあるという。漏えい情報の内容は、クレジットカードの名義人名、クレジットカード番号、有効期限、セキュリティコード。個人情報は、氏名、メールアドレス、郵便番号、住所、電話番号。

ソースネクストはクレジットカード会社と連携し、漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施。顧客に対してはクレジットカードの利用明細書に身に覚えのない請求項目がないかを確認するよう呼びかけている。

今後の再発防止策として、調査結果を踏まえてシステムのセキュリティ対策と監視体制の強化を図る。サイト上でのクレジットカード決済再開については、決定しだい告知するとのこと。

アイ・オー・データ機器、別の顧客情報を誤って送信

アイ・オー・データ機器が顧客に送信したメールの本文に、別の顧客の情報が記載されるミスがあった。NAS製品「HDL-XR/XV」シリーズを利用している人に案内メールを送信したところ、メールを受け取った人から記載情報に他人の情報があるとの指摘を受けて判明した。顧客にメールを送る際、本文に別の顧客の会社名、管理者名、製品名、シリアル番号、MACアドレス、製品の設置場所の法人名、部署名、氏名、住所が記載されていた。発生件数は1,257件。

誤送信の原因は、送信データ編集時の操作ミスによるもの。メールアドレスと本文に記載すべき内容にズレがあった。メール送信前のチェックも不十分だったことから、そのまま送信していた。今後は送信データ編集時の手順とチェック方法を見直し、社内教育を徹底して再発を防止するとしている。

明治大学、本学サーバーが不正アクセスを受け個人情報漏えい

明治大学が運用する教育研究システムが第三者による不正アクセスを受け、サーバーに保管していたメールアドレスに窃取の可能性があるという。当該サーバーは生田キャンパスで教育研究システムに使用していたもので、不審なプログラム実行を2022年10月19日に確認した。直ちに被害拡大の防止措置を行い調査を開始。その結果、不審な攻撃は2022年7月25日から複数回にわたって行われていたことがわかった。

対象のメールアドレスは、サービス名称「MeijiMail」が大学構成員(36,692件分)に発行しているもので、このうち48件がメールアドレスから氏名類推の可能性があるとのこと。ただし発表時点ではメールアドレス悪用の報告はない。

明治大学は、不正使用されたアカウントの停止、通信の遮断などの対策とともに、攻撃プログラムの除去を実施。脆弱性の点検を行い被害の拡大を防いでいる。

丹野こんにゃくオンラインショップが不正アクセスで個人情報漏えい

丹野こんにゃくが運営する「丹野こんにゃくオンラインショップ」において、第三者による不正アクセス被害が発生した。これにより、顧客のクレジットカード情報(861件)が漏えいした可能性があるという。

不正アクセスは、2022年11月11日にクレジットカード会社からの連絡を受け発覚。同日、外部からのアクセスを遮断し、「丹野こんにゃくオンラインショップ」でのクレジットカード決済を停止した。第三者機関の調査によると、2021年3月9日~2022年3月31日の期間に「丹野こんにゃくオンラインショップ」で商品を購入した顧客のクレジットカード情報が漏えい。一部は不正利用の可能性もあるという。

不正アクセスの原因は、システムの一部の脆弱性をついたペイメントアプリケーションの改ざんによるもの。漏えい情報の内容は、クレジットカード名義人名、クレジットカード番号、有効期限、セキュリティコード。

丹野こんにゃくはクレジットカード会社と連携し、漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施。顧客に対しては、クレジットカードの利用明細書に身に覚えのない請求項目がないかを確認するよう呼びかけている。再発防止策として、システムのセキュリティ対策、および監視体制の強化を行い、「丹野こんにゃくオンラインショップ」を新システムへと切り替えた。

マイクロソフト、2月のセキュリティ更新プログラムをリリース

マイクロソフトは2月15日(米国時間)、セキュリティ更新プログラムの情報を公開した。緊急10件、重要6件の脆弱性を修正している。これらの脆弱性を悪用するマルウェアの攻撃に備え、早期にセキュリティ更新プログラムを適用すること。

■緊急:リモートでのコード実行
・Windows 11、v22H2
・Windows 10 v21H2、v21H1、v20H2
・Windows Server 2022(Server Core installationを含む)
・Windows Server 2019、2016(Server Core installationを含む)
・Windows Server 2012 R2、Windows Server 2012(Server Core installationを含む)
・Microsoft Office
・Microsoft SharePoint
・Microsoft.NET
・Microsoft Visual Studio
・Microsoft SQL Server

■重要:リモートでのコード実行
・Microsoft Exchange Server
・Microsoft Dynamics 365
・Microsoft Azure関連のソフトウェア

■重要:セキュリティ機能のバイパス
・Windows Malicious Software Removal Tool

■重要:特権の昇格
・Microsoft Defender for IoT

■重要:なりすまし
・Power BI Report Serve

イオン銀行を騙るフィッシングメール

2月13日以降、イオン銀行を騙るフィッシングメールが拡散している。送られてくるメールのタイトル例は「【イオン銀行】からのお知らせ」など。

メールでは、フィッシングにより不正出金被害防止のためセキュリティシステムの大幅アップデートを実施したので、個人情報の再確認が必要などと記載。リンクを記載してアクセスするよう誘導する。誘導先はイオン銀行を模したフィッシングサイトで、IDやパスワード、口座情報などの入力欄がある。2月13日以降もフィッシングサイトは稼働中なので注意のこと。