先週のサイバー事件簿 - ニコニコにパスワードリスト攻撃
12月13日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。
○ニコニコアカウントへの不正ログインで注意を呼びかけ
ドワンゴは12月10日、ニコニコアカウントへの不正ログインを複数検出したことを発表した。不正ログインは、ニコニコ以外のサービスで使われているメールアドレスとパスワードによるパスワードリスト攻撃によるもの。
WebサービスではIDにメールアドレスを使うことが多く、パスワードも共通化していると危険が大きい。1カ所からでもIDとパスワード情報が漏れると、ほかのサービスにもログインできてしまうからだ。このため、各Webサービスの事業者はサービスごとに異なるパスワードを設定するように呼びかけている(メールアドレスをIDとして使う場合、ID情報が共通化するのは仕方ない)。
自分のニコニコアカウントが不正ログインされた場合、所有しているニコニコポイントの利用、ニコニコポイントの追加購入、登録メールアドレスやパスワードの変更、動画やコメントなどの投稿、公開範囲を限定している登録情報の閲覧(性別や生年月日など)、などが行われる可能性がある。
ドワンゴは利用者に対して、ニコニコアカウントとほかのWebサービスで違うパスワードを使うこと、身に覚えのないログイン履歴がないかどうかを確認、従来のパスワードでログインできなくなっていた――といった点に注意するよう呼びかけている。
○約3割の郵便局で保管すべき個人情報を紛失
日本郵便とゆうちょ銀行は12月15日、4カ所の郵便局で2020年11月18日に発生した「金融商品仲介補助簿」の社内紛失について、全郵便局での調査が完了したことを発表した。調査の結果、約3割の郵便局で同様の社内紛失事例を確認している。
郵便局で取り扱った投資信託取引および国債取引の内容記録は、「金融商品仲介補助簿」として、法令上郵便局で10年保存が義務付けられている。これを適正に保存しているかを検査室社員が全郵便局19,816局を訪問し、2010年度から2019年度までの仲介補助簿の保存状況を確認した。
調査の結果では、6,389局で仲介補助簿の社内紛失が判明。顧客数は約72,000名分となる。合わせて、同じ期間で仲介補助簿以外の書類を確認したところ、176局で約142,000名分の社内紛失も判明した。
ただ、これらの書類は郵便局外に持ち出す必要のない書類であり、保存期間の認識相違や保存する箱を入れ間違うなどのミスにより廃棄された可能性が高く、顧客の照会や不正な要求なども発生していないことなどから、外部への情報漏えいの可能性は低いとしている。
日本郵便は再発防止策として、仲介補助簿の電子化を2021年6月に実施し、それ以外の書類についても電子化によるペーパーレスを進めていく。社員に対しては、個人情報の保護に関する指導を継続して行い、検査室社員による郵便局への検査も継続する。
○東京スポーツ文化館ホームページに不正アクセス
東京都は12月8日、東京スポーツ文化館ホームページが外部からの不正アクセスを受けたことを明らかにした。個人情報の流出については現在も確認中。
不正アクセスを検知したのは2021年11月22日で、11月23日に当該ホームページを遮断。調査の結果、2021年11月5日から11月23日までの期間、複数回にわたって不正アクセスが行われていた。
この不正アクセスにより、2021年11月5日〜11月23日22時57分にホームページを訪れ、予約・問い合わせフォームに入力した6件の申し込み内容(団体・会社名、氏名、電話番号、メールアドレス)に影響が出る可能性があるという。ただし、現在のところ被害報告はない。
○マイクロソフト、12月のセキュリティ更新プログラムをリリース
米Microsoftは12月14日(米国時間)、12月のセキュリティ更新プログラムを公開した。セキュリティアドバイザリなどに更新はなく、今月の「悪意のあるソフトウェアの削除ツール」に追加したファミリもない。
ASP.NET Core & Visual Studio
Azure Bot Framework SDK
Internet Storage Name Service
Microsoft Defender for IoT
Microsoft Devices
Microsoft Edge(Chromium-based)
Microsoft Local Security Authority Server(lsasrv)
Microsoft Message Queuing
Microsoft Office
Microsoft Office Access
Microsoft Office Excel
Microsoft Office SharePoint
Microsoft PowerShell
Microsoft Windows Codecs Library
Office Developer Platform
Remote Desktop Client
Role: Windows Fax Service
Role: Windows Hyper-V
Visual Studio Code
Windows Common Log File System Driver
Windows Digital TV Tuner
Windows DirectX
Windows Encrypting File System(EFS)
Windows Event Tracing
Windows Installer
Windows Kernel
Windows Media
Windows Mobile Device Management
Windows NTFS
Windows Print Spooler Components
Windows Remote Access Connection Manager
Windows Storage
Windows Storage Spaces Controller
Windows SymCrypt
Windows TCP/IP
Windows Update Stack
Windows Encrypting File System(EFS)のリモートでのコード実行の脆弱性についてだが、段階的に修正をかけていくとのこと。2021年12月の更新プログラムでは、 EFSサーバーに接続する際にパケットレベルのプライバシー使用を制御する新たなレジストリ「AllowAllCliAuth」を追加。2022年2月22日に公開予定の月例更新プログラムでは、EFSサーバーがEFSサーバーにパケットレベルのプライバシーを既定で強制しなくなる。2022年3月8日以降の更新プログラムでは、EFSサーバーは「AllowAllCliAuth」での設定を無視して、常にパケットレベルのプライバシーを強制するようになる、といった流れになる。
○Google、Chromeの最新バージョン「96.0.4664.110」を公開
Googleは12月13日、Chromeブラウザの最新バージョン「96.0.4664.110」を公開した。Windows、macOS向けとして、数日から数週間にわたってアップデートを公開する。
今回のアップデートでは、「緊急」1件を含む5件の脆弱性を修正。脆弱性は、解放後のメモリ使用、ヒープバッファオーバーフローなど。脆弱性の緊急性も高いので、Chromeのユーザーは早急にアップデートしておくこと。
○ヤマダデンキを騙るフィッシングに注意
12月15日の時点で、ヤマダデンキを騙るフィッシングメールが拡散している。メールの件名は「【ヤマダウェブコム】セキュリティ強化により情報確認」など。
メールでは、セキュリティの安全性強化のため更新が必要といった内容を記載。更新しないとアカウントを利用停止すると不安を煽り、記載してあるURLをクリックさせようとする。リンク先はロゴマークや公式サイトを模倣しており、見た目で本物のヤマダウェブコムと見分けるのは難しい。
この偽サイトにはログインと新規会員登録のページがあり、先に進むと個人情報やクレジットカード情報の入力欄が出てくるが、もちろん情報を入力してはいけない。このフィッシングサイトは12月15日の時点で稼働中なので注意のこと。
○ニコニコアカウントへの不正ログインで注意を呼びかけ
ドワンゴは12月10日、ニコニコアカウントへの不正ログインを複数検出したことを発表した。不正ログインは、ニコニコ以外のサービスで使われているメールアドレスとパスワードによるパスワードリスト攻撃によるもの。
WebサービスではIDにメールアドレスを使うことが多く、パスワードも共通化していると危険が大きい。1カ所からでもIDとパスワード情報が漏れると、ほかのサービスにもログインできてしまうからだ。このため、各Webサービスの事業者はサービスごとに異なるパスワードを設定するように呼びかけている(メールアドレスをIDとして使う場合、ID情報が共通化するのは仕方ない)。
ドワンゴは利用者に対して、ニコニコアカウントとほかのWebサービスで違うパスワードを使うこと、身に覚えのないログイン履歴がないかどうかを確認、従来のパスワードでログインできなくなっていた――といった点に注意するよう呼びかけている。
○約3割の郵便局で保管すべき個人情報を紛失
日本郵便とゆうちょ銀行は12月15日、4カ所の郵便局で2020年11月18日に発生した「金融商品仲介補助簿」の社内紛失について、全郵便局での調査が完了したことを発表した。調査の結果、約3割の郵便局で同様の社内紛失事例を確認している。
郵便局で取り扱った投資信託取引および国債取引の内容記録は、「金融商品仲介補助簿」として、法令上郵便局で10年保存が義務付けられている。これを適正に保存しているかを検査室社員が全郵便局19,816局を訪問し、2010年度から2019年度までの仲介補助簿の保存状況を確認した。
調査の結果では、6,389局で仲介補助簿の社内紛失が判明。顧客数は約72,000名分となる。合わせて、同じ期間で仲介補助簿以外の書類を確認したところ、176局で約142,000名分の社内紛失も判明した。
ただ、これらの書類は郵便局外に持ち出す必要のない書類であり、保存期間の認識相違や保存する箱を入れ間違うなどのミスにより廃棄された可能性が高く、顧客の照会や不正な要求なども発生していないことなどから、外部への情報漏えいの可能性は低いとしている。
日本郵便は再発防止策として、仲介補助簿の電子化を2021年6月に実施し、それ以外の書類についても電子化によるペーパーレスを進めていく。社員に対しては、個人情報の保護に関する指導を継続して行い、検査室社員による郵便局への検査も継続する。
○東京スポーツ文化館ホームページに不正アクセス
東京都は12月8日、東京スポーツ文化館ホームページが外部からの不正アクセスを受けたことを明らかにした。個人情報の流出については現在も確認中。
不正アクセスを検知したのは2021年11月22日で、11月23日に当該ホームページを遮断。調査の結果、2021年11月5日から11月23日までの期間、複数回にわたって不正アクセスが行われていた。
この不正アクセスにより、2021年11月5日〜11月23日22時57分にホームページを訪れ、予約・問い合わせフォームに入力した6件の申し込み内容(団体・会社名、氏名、電話番号、メールアドレス)に影響が出る可能性があるという。ただし、現在のところ被害報告はない。
○マイクロソフト、12月のセキュリティ更新プログラムをリリース
米Microsoftは12月14日(米国時間)、12月のセキュリティ更新プログラムを公開した。セキュリティアドバイザリなどに更新はなく、今月の「悪意のあるソフトウェアの削除ツール」に追加したファミリもない。
ASP.NET Core & Visual Studio
Azure Bot Framework SDK
Internet Storage Name Service
Microsoft Defender for IoT
Microsoft Devices
Microsoft Edge(Chromium-based)
Microsoft Local Security Authority Server(lsasrv)
Microsoft Message Queuing
Microsoft Office
Microsoft Office Access
Microsoft Office Excel
Microsoft Office SharePoint
Microsoft PowerShell
Microsoft Windows Codecs Library
Office Developer Platform
Remote Desktop Client
Role: Windows Fax Service
Role: Windows Hyper-V
Visual Studio Code
Windows Common Log File System Driver
Windows Digital TV Tuner
Windows DirectX
Windows Encrypting File System(EFS)
Windows Event Tracing
Windows Installer
Windows Kernel
Windows Media
Windows Mobile Device Management
Windows NTFS
Windows Print Spooler Components
Windows Remote Access Connection Manager
Windows Storage
Windows Storage Spaces Controller
Windows SymCrypt
Windows TCP/IP
Windows Update Stack
Windows Encrypting File System(EFS)のリモートでのコード実行の脆弱性についてだが、段階的に修正をかけていくとのこと。2021年12月の更新プログラムでは、 EFSサーバーに接続する際にパケットレベルのプライバシー使用を制御する新たなレジストリ「AllowAllCliAuth」を追加。2022年2月22日に公開予定の月例更新プログラムでは、EFSサーバーがEFSサーバーにパケットレベルのプライバシーを既定で強制しなくなる。2022年3月8日以降の更新プログラムでは、EFSサーバーは「AllowAllCliAuth」での設定を無視して、常にパケットレベルのプライバシーを強制するようになる、といった流れになる。
○Google、Chromeの最新バージョン「96.0.4664.110」を公開
Googleは12月13日、Chromeブラウザの最新バージョン「96.0.4664.110」を公開した。Windows、macOS向けとして、数日から数週間にわたってアップデートを公開する。
今回のアップデートでは、「緊急」1件を含む5件の脆弱性を修正。脆弱性は、解放後のメモリ使用、ヒープバッファオーバーフローなど。脆弱性の緊急性も高いので、Chromeのユーザーは早急にアップデートしておくこと。
○ヤマダデンキを騙るフィッシングに注意
12月15日の時点で、ヤマダデンキを騙るフィッシングメールが拡散している。メールの件名は「【ヤマダウェブコム】セキュリティ強化により情報確認」など。
メールでは、セキュリティの安全性強化のため更新が必要といった内容を記載。更新しないとアカウントを利用停止すると不安を煽り、記載してあるURLをクリックさせようとする。リンク先はロゴマークや公式サイトを模倣しており、見た目で本物のヤマダウェブコムと見分けるのは難しい。
この偽サイトにはログインと新規会員登録のページがあり、先に進むと個人情報やクレジットカード情報の入力欄が出てくるが、もちろん情報を入力してはいけない。このフィッシングサイトは12月15日の時点で稼働中なので注意のこと。
