先週のサイバー事件簿 - フィッシングが増加の傾向、改めて警戒を
3月10日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。
○2月のフィッシング報告件数、前月から20,775件増加
フィッシング対策協議会によると、2023年2月に寄せられたフィッシング報告件数(海外含む)が、前月より20,775件増えて59,044件となった。2023年1月は旧正月とその前後で報告が減っていたものの、2月に入って大量のフィッシングメール配信が行われたと見ている。
フィッシングサイトのURL件数については、前月より2,290件増加して9,994件。フィッシングに使われたブランド件数(海外含む)は前月より13件増加し89件となっている。フィッシングに使われたブランドでは、Amazonを騙るものが大きく減少。代わりに、イオンカード、ヤマト運輸、ソニー銀行、セゾンカード、ETC利用照会サービス、えきねっとなど、幅広いブランドがフィッシングに使われている。これらだけで、全体の約74.5%を占めた。
分野別では、クレジット/信販系が約36.6%、EC系が約31.4%、金融系が11.2%、運送系が約10.1%、オンラインサービス系が約3.9%、交通系が約3.6%。特に金融系、運送系が増加傾向にある。
SMSから誘導するフィッシング (スミッシング) については、宅配便関連の不在通知を装うものが多く、Appleを騙るフィッシングサイトへ誘導するタイプも多かった。Androidスマートフォンの場合は、スミッシングから不正アプリのインストールへと誘導されることがあるため、SMSのリンクをクリックしてからのアプリインストールは特に注意だ。
フィッシング対策協議会はメールサービスを提供している通信事業者に対して、DMARC検証+迷惑メールフィルタをユーザーへ提供して利用を促すよう呼びかけている。オンラインサービスを提供している事業者に対しても、DMARCでドメインを保護するよう促している。
ユーザー側については、大量のフィッシングメールが届いている場合、宛先となる自分のメールアドレスが漏えいしている可能性が高いと認識して、フィッシング対策機能を強化しているメールサービスへ切り替えていくことを検討するようすすめている。
○オーディオテクニカ、ランサムウエア攻撃を受けシステム障害
オーディオテクニカの社内システムにおいて、2月25日未明からシステムとネットワークに障害が発生。3月7日には、障害の原因が外部からのランサムウェア攻撃によるものと判明した。これにより、社内の機密情報の一部が不正閲覧被害に遭った可能性があるという。オーディオテクニカは現在も調査を続けるとともに、復旧を進めている。
3月7日の次点で、電話システムが社内ネットワークを介していないことから安全であることを確認。電話対応を再開している。
○ドレスレンタルの「PARTY DRESS STYLE」で8,604件のクレジットカード情報が流出
プラチナスタイルが運営する「PARTY DRESS STYLE」が不正アクセスを受けたと発表した。これにより、顧客のクレジットカード情報(8,604件)が漏えいした可能性があるという。
不正アクセスは、2022年6月20日にクレジットカード会社からクレジットカード情報の漏えい懸念についての連絡を受け発覚。同日「PARTY DRESS STYLE」でのカード決済を停止し、第三者機関に調査を依頼した。
調査の結果、2021年10月21日〜2022年6月20日の期間に「PARTY DRESS STYLE」で商品を注文した顧客のクレジットカード情報が漏えい。一部は不正利用の可能性があるという。原因は、システムの一部の脆弱性を突いたペイメントアプリケーションの改ざんだった。流出情報は、クレジットカード名義人名、クレジットカード番号、有効期限、セキュリティコード、IPアドレス、メールアドレス。なお、Amazon payで決済した人は対象外。
プラチナスタイルは、クレジットカード会社と連携して漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施。顧客に対してはクレジットカードの利用明細書に身に覚えのない請求項目がないかを確認するよう呼びかけている。今回の調査結果を踏まえ、システムのセキュリティ対策と監視体制の強化を実施し、再発防止に努めるとしている。
○室蘭工業大学、不正アクセスで個人情報の漏えい
室蘭工業大学の教職員など4名が利用していたPCが不正アクセスを受けた。この不正アクセスは事案は2022年4月〜7月にかけて発生。攻撃者の遠隔操作によって、メールサーバーがスパムメールの送信などに使われた。
調査の結果、メールサーバー内にある過去の送受信メールが攻撃者によって閲覧された可能性があるという。メールには553人分の個人情報を確認できたが、情報は氏名のみで連絡先は含まれていない。現時点で個人情報の不正利用はないとしている。
室蘭工業大学は定期的にセキュリティ点検と研修を行ってきたが、改めて全教職員と学生に向けたセキュリティ点検と、システムのセキュリティ強化を実施するとしている。
○エプソン、設定変更ソフトに脆弱性
セイコーエプソンとエプソン販売は、一部のプリンターとネットワークインタフェース製品の「Web Config」に脆弱性があることを明らかにした。Web Configは、Webブラウザ上から当該機器の状態確認、もしくは設定変更が可能なソフトウェア。一部製品ではRemote Managerと呼ばれることもある。
脆弱性は2種類存在し、1つはクロスサイトスクリプティング。細工済みのページにアクセスすると、設定にスクリプトが埋め込まれて実行してしまう可能性がある。もう1つはクロスサイトリクエストフォージェリ。細工済みのページにアクセスすると、設定変更の可能性がある。
各製品への対処は、2023年4月上旬から7月にかけて順次ファームウエアを提供。ファームウエアの提供予定がない機種については、インターネットに直接接続せずにファイアウォールで保護したネットワーク内に設置すること、プライベートIPアドレスを設定することなどを回避策として提示している。製品個別に管理者パスワードを設定するのも有効だ。なお現在のところ、この脆弱性を悪用した攻撃の報告はない。
○マイクロソフト、3月のセキュリティ更新プログラムをリリース
マイクロソフトは3月15日(米国時間)、セキュリティ更新プログラムの情報を公開した。緊急6件、重要6件の脆弱性を修正している。
■緊急:リモートでのコード実行
・Windows 11、v22H2
・Windows 10 v21H2、v21H1、v20H2
・Windows Server 2022(Server Core installationを含む)
・Windows Server 2019、2016(Server Core installationを含む)
・Windows Server 2012 R2、Windows Server 2012(Server Core installationを含む)
・Microsoft Office
■重要:なりすまし
・Microsoft SharePoint
・Microsoft Azure関連のソフトウェア
■重要:リモートでのコード実行
・Microsoft Exchange Server
・Microsoft Visual Studio
■重要:情報漏えい
・Microsoft Dynamics 365
■重要:特権の昇格
・Windows Malware Protection Engine
○ローソン銀行を騙るフィッシングメール
2月27日以降、ローソン銀行を騙るフィッシングメールが拡散している。送られてくるメールのタイトル例は以下の通り。
【ローソン銀行】取引を規制いたしました。
メールでは、取引を規制したのでリンクにアクセスして解除するように誘導する。リンク先はローソン銀行ダイレクトを模したフィッシングサイトで、ID、パスワードの入力欄がある。2月27日以降もフィッシングサイトは稼働中なので注意すること。ほかにも、神奈川銀行、GMOあおぞらネット銀行、三井住友銀行、えきねっとを騙るフィッシングなども拡散しているので気を付けたい。
○2月のフィッシング報告件数、前月から20,775件増加
フィッシング対策協議会によると、2023年2月に寄せられたフィッシング報告件数(海外含む)が、前月より20,775件増えて59,044件となった。2023年1月は旧正月とその前後で報告が減っていたものの、2月に入って大量のフィッシングメール配信が行われたと見ている。
分野別では、クレジット/信販系が約36.6%、EC系が約31.4%、金融系が11.2%、運送系が約10.1%、オンラインサービス系が約3.9%、交通系が約3.6%。特に金融系、運送系が増加傾向にある。
SMSから誘導するフィッシング (スミッシング) については、宅配便関連の不在通知を装うものが多く、Appleを騙るフィッシングサイトへ誘導するタイプも多かった。Androidスマートフォンの場合は、スミッシングから不正アプリのインストールへと誘導されることがあるため、SMSのリンクをクリックしてからのアプリインストールは特に注意だ。
フィッシング対策協議会はメールサービスを提供している通信事業者に対して、DMARC検証+迷惑メールフィルタをユーザーへ提供して利用を促すよう呼びかけている。オンラインサービスを提供している事業者に対しても、DMARCでドメインを保護するよう促している。
ユーザー側については、大量のフィッシングメールが届いている場合、宛先となる自分のメールアドレスが漏えいしている可能性が高いと認識して、フィッシング対策機能を強化しているメールサービスへ切り替えていくことを検討するようすすめている。
○オーディオテクニカ、ランサムウエア攻撃を受けシステム障害
オーディオテクニカの社内システムにおいて、2月25日未明からシステムとネットワークに障害が発生。3月7日には、障害の原因が外部からのランサムウェア攻撃によるものと判明した。これにより、社内の機密情報の一部が不正閲覧被害に遭った可能性があるという。オーディオテクニカは現在も調査を続けるとともに、復旧を進めている。
3月7日の次点で、電話システムが社内ネットワークを介していないことから安全であることを確認。電話対応を再開している。
○ドレスレンタルの「PARTY DRESS STYLE」で8,604件のクレジットカード情報が流出
プラチナスタイルが運営する「PARTY DRESS STYLE」が不正アクセスを受けたと発表した。これにより、顧客のクレジットカード情報(8,604件)が漏えいした可能性があるという。
不正アクセスは、2022年6月20日にクレジットカード会社からクレジットカード情報の漏えい懸念についての連絡を受け発覚。同日「PARTY DRESS STYLE」でのカード決済を停止し、第三者機関に調査を依頼した。
調査の結果、2021年10月21日〜2022年6月20日の期間に「PARTY DRESS STYLE」で商品を注文した顧客のクレジットカード情報が漏えい。一部は不正利用の可能性があるという。原因は、システムの一部の脆弱性を突いたペイメントアプリケーションの改ざんだった。流出情報は、クレジットカード名義人名、クレジットカード番号、有効期限、セキュリティコード、IPアドレス、メールアドレス。なお、Amazon payで決済した人は対象外。
プラチナスタイルは、クレジットカード会社と連携して漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施。顧客に対してはクレジットカードの利用明細書に身に覚えのない請求項目がないかを確認するよう呼びかけている。今回の調査結果を踏まえ、システムのセキュリティ対策と監視体制の強化を実施し、再発防止に努めるとしている。
○室蘭工業大学、不正アクセスで個人情報の漏えい
室蘭工業大学の教職員など4名が利用していたPCが不正アクセスを受けた。この不正アクセスは事案は2022年4月〜7月にかけて発生。攻撃者の遠隔操作によって、メールサーバーがスパムメールの送信などに使われた。
調査の結果、メールサーバー内にある過去の送受信メールが攻撃者によって閲覧された可能性があるという。メールには553人分の個人情報を確認できたが、情報は氏名のみで連絡先は含まれていない。現時点で個人情報の不正利用はないとしている。
室蘭工業大学は定期的にセキュリティ点検と研修を行ってきたが、改めて全教職員と学生に向けたセキュリティ点検と、システムのセキュリティ強化を実施するとしている。
○エプソン、設定変更ソフトに脆弱性
セイコーエプソンとエプソン販売は、一部のプリンターとネットワークインタフェース製品の「Web Config」に脆弱性があることを明らかにした。Web Configは、Webブラウザ上から当該機器の状態確認、もしくは設定変更が可能なソフトウェア。一部製品ではRemote Managerと呼ばれることもある。
脆弱性は2種類存在し、1つはクロスサイトスクリプティング。細工済みのページにアクセスすると、設定にスクリプトが埋め込まれて実行してしまう可能性がある。もう1つはクロスサイトリクエストフォージェリ。細工済みのページにアクセスすると、設定変更の可能性がある。
各製品への対処は、2023年4月上旬から7月にかけて順次ファームウエアを提供。ファームウエアの提供予定がない機種については、インターネットに直接接続せずにファイアウォールで保護したネットワーク内に設置すること、プライベートIPアドレスを設定することなどを回避策として提示している。製品個別に管理者パスワードを設定するのも有効だ。なお現在のところ、この脆弱性を悪用した攻撃の報告はない。
○マイクロソフト、3月のセキュリティ更新プログラムをリリース
マイクロソフトは3月15日(米国時間)、セキュリティ更新プログラムの情報を公開した。緊急6件、重要6件の脆弱性を修正している。
■緊急:リモートでのコード実行
・Windows 11、v22H2
・Windows 10 v21H2、v21H1、v20H2
・Windows Server 2022(Server Core installationを含む)
・Windows Server 2019、2016(Server Core installationを含む)
・Windows Server 2012 R2、Windows Server 2012(Server Core installationを含む)
・Microsoft Office
■重要:なりすまし
・Microsoft SharePoint
・Microsoft Azure関連のソフトウェア
■重要:リモートでのコード実行
・Microsoft Exchange Server
・Microsoft Visual Studio
■重要:情報漏えい
・Microsoft Dynamics 365
■重要:特権の昇格
・Windows Malware Protection Engine
○ローソン銀行を騙るフィッシングメール
2月27日以降、ローソン銀行を騙るフィッシングメールが拡散している。送られてくるメールのタイトル例は以下の通り。
【ローソン銀行】取引を規制いたしました。
メールでは、取引を規制したのでリンクにアクセスして解除するように誘導する。リンク先はローソン銀行ダイレクトを模したフィッシングサイトで、ID、パスワードの入力欄がある。2月27日以降もフィッシングサイトは稼働中なので注意すること。ほかにも、神奈川銀行、GMOあおぞらネット銀行、三井住友銀行、えきねっとを騙るフィッシングなども拡散しているので気を付けたい。
