先週のサイバー事件簿 - Zoomクライアントにセッション乗っ取りの可能性
10月24日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。
○Zoom、クライアントソフトにセッションを乗っ取れる脆弱性
オンラインミーティングやウェビナーのプラットフォームとなるZoomにおいて、クライアントソフトの脆弱性情報が公開された。対象のバージョンは以下の通り。
ミーティング用 Zoom クライアント バージョン 5.12.2 より前のバージョン(Android、iOS、Linux、macOS、Windows用)
Zoom VDI Windows ミーティング クライアント バージョン 5.12.2 より前のバージョン
会議室用Zoom Rooms バージョン 5.12.2 より前のバージョン(Android、iOS、Linux、macOS、Windows用)
脆弱性は「不適切なURL解析」で重大度は「高」にカテゴライズ。悪意のあるZoomミーティングURLを開くと、任意のネットワークアドレスに接続するよう誘導し、セッションの乗っ取りなどにつながる可能性があるという。
これらの脆弱性は最新バージョンへの更新で解消されるため、該当するZoomクライアントを利用しているユーザーはすみやかにアップデートしてほしい。
○JTB、クラウドサービスのアクセス権限設定ミスで個人情報漏洩
JTBは、クラウドサービスのデータに個別アクセスする権限を誤設定していたことを明らかにした。これにより、ログイン権限を持つ間接補助事業者間において情報漏洩が発生した。
情報漏洩の原因は、クラウドサービスの設定時に、間接補助事業者が自社の申請書以外にはアクセスできない設定とするところを誤って設定。ログイン権限を持っていれば、間接補助事業者間で情報が閲覧可能な状態となっていた。データはダウンロードも可能だった。
閲覧可能だった情報のうち、他の間接補助事業者がダウンロードしたデータは、最大11,483人分の個人情報。事業者数1,698件の申請書・申請事業者・申請事業者の連携先などを含む。詳細は組織名、部署名、役職名、氏名、業務連絡先用電話番号、メールアドレスなど。なお、ログイン権限を持つ間接補助事業者以外に情報の漏洩はない。
JTBは、申請書類などの情報が漏洩した事業者に謝罪するとともに、ファイルをダウンロードした間接補助事業(18件)に対してデータの削除を依頼。10月25日の時点で、すべての事業者から削除完了の連絡を受けている。また、クラウドサービスについては総点検を実施し、適切にアクセス権限の設定修正を行い、これを完了している。
○警察庁を騙るフィッシングの手口
10月26日の時点で、警察庁を装って不正アプリのインストールをうながしたり、国税庁のフィッシングサイトへ誘導したりするショートメッセージ(SMS)が拡散している。件名例は以下の通り。
【警察庁】重要なお知らせ、必ずお読みください。
警察庁を騙るSMSは、重要なお知らせとしてURLを記載して送ってくる。URLをクリックすると、国税庁を騙るフィッシングサイトへ誘導。差押最終通知などと表示して不安を煽ってくる。警察庁を騙るフィッシングサイトでは、マルウェアを検出したので「警察庁セキュリティ無料版アプリ」をインストールするよう誘導する。
10月26日の時点でこれらフィッシングサイトは稼働中であり、注意されたい。同様に、新生銀行を騙るフィッシングも拡散している。
○心斎橋接種センター、接種中止メールに他人の情報を記載して送信
大阪府の心斎橋接種センターにおいて、新型コロナウイルスのワクチン接種予約者に対して別の予約者の氏名を記載したメールを送信するトラブルが発生した。
心斎橋接種センターは、2022年9月18日に台風14号が接近したことから、9月19日12時以降のワクチン接種の中止を決定。その際、予約済みの37名にメールで接種中止の通知を送信したが、メールを受信した予約者からメール記載の氏名が自分ではないと連絡を受けて発覚した。送付者リストを確認したところ、予約者37名のうち36名に別の予約者の氏名を記載してメールを送信していたことがわかった。
誤送信の原因は、委託事業者の職員が予約者ごとに宛名を記載したメールを個々に送信したことによるもの。マニュアルではBccで一斉送信するよう定めていたが、これが守られていなかった。
心斎橋接種センターは該当する予約者に電話で経緯を説明。謝罪とともにメールの削除を依頼した。また、予約者36名に送信したメールには、ワクチン接種中止の対象ではない予約者20名の氏名を記載して送信したものがあり、こちらにも同様に説明と謝罪を行っている。
○ネクストリンクス、ホームページとメールシステムのサーバーが改ざん
BtoB向けのエンジニアリングサービスなどを展開するネクストリンクスのWebサイトが不正アクセスを受け、同社ホームページが改ざんされる被害が生じた。
改ざんは2022年8月26日に発覚。委託先のクラウドサービスセンターから、ネクストリンクスのWebサイトに不審なページがあるとの報告を受け調査したところ、脆弱性が確認され、フィッシング詐欺に利用するためと思われるホームページの一部改ざんが判明した。8月29日には不正ページの削除、パスワード変更、サービス変更などを実施したが、再度の改ざんを確認したためサービスを停止している。
8月30日にはサーバーの動作異常を確認。ホームページと同じサーバーで運用していたメールサービスも影響を受け、メール受信が不可能になった。また、同社メールアドレスの送受信メールが漏洩した可能性もあり(2014年10月から2022年8月31日まで送受信メール)、詳細は、氏名、住所、電話番号、メールアドレス、メール本文、添付ファイル情報など。
同社は関係者に対し、なりすましメールなどのサイバー攻撃が行われる可能性があるとして、不審な電子メールなどが届いてもメールを開かず、不審なリンクや添付ファイルもクリックしないよう呼びかけている。
2022年10月20日には、セキュアな環境でホームページの再公開を完了。不正アクセスを受けた当該サーバーは社内の環境と切り離しているため、社内ネットワークやその他のサービスへの影響はなかった。
○Zoom、クライアントソフトにセッションを乗っ取れる脆弱性
オンラインミーティングやウェビナーのプラットフォームとなるZoomにおいて、クライアントソフトの脆弱性情報が公開された。対象のバージョンは以下の通り。
ミーティング用 Zoom クライアント バージョン 5.12.2 より前のバージョン(Android、iOS、Linux、macOS、Windows用)
会議室用Zoom Rooms バージョン 5.12.2 より前のバージョン(Android、iOS、Linux、macOS、Windows用)
脆弱性は「不適切なURL解析」で重大度は「高」にカテゴライズ。悪意のあるZoomミーティングURLを開くと、任意のネットワークアドレスに接続するよう誘導し、セッションの乗っ取りなどにつながる可能性があるという。
これらの脆弱性は最新バージョンへの更新で解消されるため、該当するZoomクライアントを利用しているユーザーはすみやかにアップデートしてほしい。
○JTB、クラウドサービスのアクセス権限設定ミスで個人情報漏洩
JTBは、クラウドサービスのデータに個別アクセスする権限を誤設定していたことを明らかにした。これにより、ログイン権限を持つ間接補助事業者間において情報漏洩が発生した。
情報漏洩の原因は、クラウドサービスの設定時に、間接補助事業者が自社の申請書以外にはアクセスできない設定とするところを誤って設定。ログイン権限を持っていれば、間接補助事業者間で情報が閲覧可能な状態となっていた。データはダウンロードも可能だった。
閲覧可能だった情報のうち、他の間接補助事業者がダウンロードしたデータは、最大11,483人分の個人情報。事業者数1,698件の申請書・申請事業者・申請事業者の連携先などを含む。詳細は組織名、部署名、役職名、氏名、業務連絡先用電話番号、メールアドレスなど。なお、ログイン権限を持つ間接補助事業者以外に情報の漏洩はない。
JTBは、申請書類などの情報が漏洩した事業者に謝罪するとともに、ファイルをダウンロードした間接補助事業(18件)に対してデータの削除を依頼。10月25日の時点で、すべての事業者から削除完了の連絡を受けている。また、クラウドサービスについては総点検を実施し、適切にアクセス権限の設定修正を行い、これを完了している。
○警察庁を騙るフィッシングの手口
10月26日の時点で、警察庁を装って不正アプリのインストールをうながしたり、国税庁のフィッシングサイトへ誘導したりするショートメッセージ(SMS)が拡散している。件名例は以下の通り。
【警察庁】重要なお知らせ、必ずお読みください。
警察庁を騙るSMSは、重要なお知らせとしてURLを記載して送ってくる。URLをクリックすると、国税庁を騙るフィッシングサイトへ誘導。差押最終通知などと表示して不安を煽ってくる。警察庁を騙るフィッシングサイトでは、マルウェアを検出したので「警察庁セキュリティ無料版アプリ」をインストールするよう誘導する。
10月26日の時点でこれらフィッシングサイトは稼働中であり、注意されたい。同様に、新生銀行を騙るフィッシングも拡散している。
○心斎橋接種センター、接種中止メールに他人の情報を記載して送信
大阪府の心斎橋接種センターにおいて、新型コロナウイルスのワクチン接種予約者に対して別の予約者の氏名を記載したメールを送信するトラブルが発生した。
心斎橋接種センターは、2022年9月18日に台風14号が接近したことから、9月19日12時以降のワクチン接種の中止を決定。その際、予約済みの37名にメールで接種中止の通知を送信したが、メールを受信した予約者からメール記載の氏名が自分ではないと連絡を受けて発覚した。送付者リストを確認したところ、予約者37名のうち36名に別の予約者の氏名を記載してメールを送信していたことがわかった。
誤送信の原因は、委託事業者の職員が予約者ごとに宛名を記載したメールを個々に送信したことによるもの。マニュアルではBccで一斉送信するよう定めていたが、これが守られていなかった。
心斎橋接種センターは該当する予約者に電話で経緯を説明。謝罪とともにメールの削除を依頼した。また、予約者36名に送信したメールには、ワクチン接種中止の対象ではない予約者20名の氏名を記載して送信したものがあり、こちらにも同様に説明と謝罪を行っている。
○ネクストリンクス、ホームページとメールシステムのサーバーが改ざん
BtoB向けのエンジニアリングサービスなどを展開するネクストリンクスのWebサイトが不正アクセスを受け、同社ホームページが改ざんされる被害が生じた。
改ざんは2022年8月26日に発覚。委託先のクラウドサービスセンターから、ネクストリンクスのWebサイトに不審なページがあるとの報告を受け調査したところ、脆弱性が確認され、フィッシング詐欺に利用するためと思われるホームページの一部改ざんが判明した。8月29日には不正ページの削除、パスワード変更、サービス変更などを実施したが、再度の改ざんを確認したためサービスを停止している。
8月30日にはサーバーの動作異常を確認。ホームページと同じサーバーで運用していたメールサービスも影響を受け、メール受信が不可能になった。また、同社メールアドレスの送受信メールが漏洩した可能性もあり(2014年10月から2022年8月31日まで送受信メール)、詳細は、氏名、住所、電話番号、メールアドレス、メール本文、添付ファイル情報など。
同社は関係者に対し、なりすましメールなどのサイバー攻撃が行われる可能性があるとして、不審な電子メールなどが届いてもメールを開かず、不審なリンクや添付ファイルもクリックしないよう呼びかけている。
2022年10月20日には、セキュアな環境でホームページの再公開を完了。不正アクセスを受けた当該サーバーは社内の環境と切り離しているため、社内ネットワークやその他のサービスへの影響はなかった。
