3月3日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

JSSEC、「スマートフォン利用シーンに潜む脅威 Top10 2023」を公開

日本スマートフォンセキュリティ協会(以下、JSSEC)は、「スマートフォン利用シーンに潜む脅威 Top10 2023」を公開した。利用部会としてワークショップを開催し、参加したJSSEC会員企業とのディスカッションから候補を選出。選定委員が整理した15項目の候補から、最終的にワークショップに参加した人の投票で選んでいる。脅威は利用者視点での「利用シーン」でまとめたものだ。

利用者がスマートフォンを使う上で、こうした脅威を理解することが重要。しかし、スマートフォンに十分慣れていない子ども世代や高齢者世代は、使い方を教えてくれる人がまわりにいないといった理由から、知識が備わる前に被害に遭ってしまう可能性がある。

JSSECは「技術的な対策でスマートフォンを悪用した犯罪を完全に防ぐことは難しい」としており、利用者各人がスマートフォン利用時の危険性を十分理解すること、適切な判断をすることが重要とまとめている。

  • ■スマートフォン利用シーンに潜む脅威 Top10 2023
  • 第1位:依然猛威を振るうスミッシング詐欺
  • 第2位:なりすまし契約とアカウント搾取
  • 第3位:ディープフェイク
  • 第4位:メールを狙った様々な攻撃(フィッシングメール、ビジネスメール詐欺、ランサムウエアの脅威など)
  • 第5位:提供元不明アプリによるマルウエア感染
  • 第6位:誹謗・中傷
  • 第7位:SNS フェイクニュース
  • 第8位:アカウント乗っ取りと誤ったアカウント登録
  • 第9位:検索エンジンの汚染
  • 第110位:不正通販サイト
  • ランク外:アプリストアのマルウエア感染、不適切なパスワード管理、スマホカメラの悪用、短縮URL問題、盗難・紛失

オアシス珈琲、ペイメントアプリ改ざんでクレジットカード情報流出

オアシス珈琲が運営する『「きれいなコーヒー」の通販|オアシス珈琲』が不正アクセスを受け、顧客のクレジットカード情報4,215件(3,836名)が漏えいした。

原因は、システムの一部の脆弱性を突いたペイメントアプリケーションの改ざんによるもの。不正アクセスが発覚したのは2022年8月1日。一部のクレジットカード会社からクレジットカード情報の漏えい懸念についての連絡を受け、同日クレジットカード決済を停止した。

第三者機関の調査によると、2021年9月21日~2022年7月20日の期間に商品を購入した顧客のクレジットカード情報が漏えいしていた。一部のクレジットカード情報は不正利用の可能性もあるという。漏えい情報の詳細は、クレジットカード名義人名、クレジットカード番号、有効期限、セキュリティコード。

オアシス珈琲は、クレジットカード会社と連携しつつ漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施。顧客に対してはクレジットカードの利用明細書に身に覚えのない請求項目がないか確認するよう呼びかけている。再発防止策として、システムのセキュリティ対策と監視体制を強化していく。

日本原燃、グループ会社のPCに不正ファイル設置被害

日本原燃のグループ会社、六ケ所げんねん企画のPCが不正アクセスを受けた。これにより顧客の個人情報が漏えいした可能性がある。

不正アクセスは2023年2月19日に確認。六ケ所げんねん企画が視察者の個人情報を保管している1台のPCに不明ファイルが存在していた。調査したところ、2022年6月3日~2023年2月19日までの期間に視察を申し込んだ顧客情報が漏えいした可能性がわかった。被害拡大を防ぐためネットワークを遮断し、原因についても調査している。

漏えいした可能性のある個人情報件数は4,982人分。詳細は氏名、住所、電話番号、生年月日、身分証のコピーなど。顧客に対しては、身に覚えのない電話や郵便物が届いた場合は最寄りの警察署に相談するよう呼びかけている。今後は外部の専門機関とともに原因調査を進め、必要な対策を講じ再発防止に努めるとしている。

帝国データバンク、不正アクセスを受けシステム障害が発生

帝国データバンクの社内システムが第三者による不正アクセスを受けた。不正アクセスを確認したのは2023年2月21日で、影響を受けた社内システムが不具合を生じ、一部のサービスを提供できない状態となった。関係機関への報告を行い、外部の専門機関による協力を得ながら被害状況を確認している。

順次復旧を進めており、提供済みの商品および稼働中のサービスは安全を確認しているため、顧客や社外への被害拡大はないという。新たな情報が判明した場合は改めてホームページなどで告知する。

ディズニーを騙るフィッシングメール

2月27日以降、ディズニーを騙るフィッシングメールが拡散している。送られてくるメールのタイトル例は以下の通り。

  • Disneyアカウントの確認に必要な情報について
  • 最新のディズニー体験をお届けします!

メールでは、様々なデバイスからDisneyアカウントへのサインインへの試行を確認したなどと記載。アカウントをロックしたので、更新のためリンク先へアクセスするよう誘導する。リンク先はディズニーランドのオンライン予約・購入サイトを模したフィッシングサイトで、ID、パスワード、住所、クレジットカード情報などの入力欄がある。

2月27日以降もフィッシングサイトは稼働中なので注意のこと。ほかにも、SBJ銀行を騙るフィッシング、関税等お支払いサイトを装うフィッシングなども確認しているので警戒しておきたい。

Google、脆弱性6件を修正したChrome最新バージョン「111」

Googleは3月7日、Chromeのセキュリティアップデートを行い、Windows向けに「Chrome 111.0.5563.64(.65)」を、MacおよびLinux向けに「111.0.5563.64」を公開した。

今回のアップデートでは、「高」8件、「中」11件、「低」5件を含む40件の脆弱性を修正。「高」の脆弱性では、Swiftshader、DevTools、WebRTCでの解放後のメモリ使用、クラッシュレポートでのスタックバッファオーバーフロー、メトリクス、UMAでのヒープバッファオーバーフローなどを修正している。「緊急」の脆弱性はないものの、Chromeを使用している場合は早めにアップデートをしておくこと。