先週のサイバー事件簿 - 三井住友カード、DM宛先にクレジットカード番号を誤印字
5月29日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。
○三井住友カード、宛先にクレジットカード番号を記載してDMを送付
三井住友カードが送付したダイレクトメール(以下、DM)の表面宛先部に、誤ってクレジットカード番号が印字されていた。該当するDMは、2023年4月18日と4月20日に送付したもの。
DMを送る際の手順として、住所、氏名、お客さま照会番号などの情報を基幹システムから抜き出し、DM表面の宛先部に印字する。この作業が通常と異なる確認となったことによって、誤印字が発生した。
対象となる券種は、AOYAMA VISAカード、AOYAMA PiTaPaカード(VISA)、AOYAMA LiVE MAX VISAカード、BLUE ROSE CARD(VISA)で、合計290,771件。なおDMには、クレジットカード番号以外の情報は記載していない。
送られたDMについては、すべて本人宛てに発送しているため第三者がカード番号を知り得える可能性は低い。万が一、カードの不正利用が発生した場合は、会員規約に基づき同社が被害分を補償する。今後は同様のミスが再発しないよう管理を強化し、顧客情報の取り扱いについても重要性を社内で周知徹底していく。
○Google、2年以上使っていないGoogleアカウントを削除 - 2023年12月から
Googleは、Googleアカウントに関するポリシーを5月17日に変更。2年間以上未使用、または未ログインのGoogleアカウントを削除する。削除は2023年後半(12月)から行うとしている。
アカウントの削除は、作成後に一度も使われていないアカウントから開始する。削除する前には、Googleアカウントのメールアドレスと再設定用のメールアドレスに複数の通知を送信するとのこと。
該当するGoogleアカウントで利用しているコンテンツても削除の対象になる。Google Workspace(Gmail、Google ドキュメント、Google ドライブ、Google Meet、Google カレンダー )、YouTube、Googleフォトなどだ。過去にこうしたコンテンツを作成、利用していて、大事なデータを保存しておきたい場合は、上記の通知メールを見逃さないようにしてほしい。
削除対象から外れるには、少なくとも2年に1回はGoogleアカウントにログインする必要がある。なお、今回の更新は個人のGoogleアカウントにのみ適用し、学校や企業といった組織のアカウントには行われない。
○フーヅフリッジWebサイトが改ざん被害
フーヅフリッジが運営する「フーヅフリッジ」Webサイトが2つの改ざん被害に遭った。1つは不適切なWebページの表示で、発生日時は2023年5月10日7時22分。もう1つは注文に関する一部情報の不正ダウンロード。発生日時は2023年5月10日18時49分〜5月11日13時53分。
改ざん被害に遭ったWebページはすでに修正を完了。注文情報の不正ダウンロードは、内容が注文番号、注文日時、会員コードであることから、第三者が顧客を特定できるものではなかったことを確認している。
フーヅフリッジは、「フーヅフリッジ」Webサイトで利用しているアカウントがあれば、パスワードを変更するよう呼びかけている。また、被害発生期間に「フーヅフリッジ」Webサイトを閲覧・利用している場合は、セキュリティソフトからウイルスチェックを行うよう促している。
○沖縄県立看護大学学生のMicrosoft365アカウントに不正アクセス
沖縄県立看護大学は、学生1名のMicrosoft365アカウントで不正アクセス被害が発生したことを明らかにした。2022年12月6日〜2023年3月8日の期間、該当する学生のメールアドレスから12,941件の迷惑メールが不特定多数の宛先に送られていたという。迷惑メールの多くは、外国語で海外サイトへのリンクが貼られたものだった。今回の不正アクセスは、Microsoft365のメール送信サーバーへ直接アクセスすることで行われた可能性が高いとしている。
漏洩した可能性のある情報は、該当する学生アカウントのメールボックス内データ。内容は、メールアドレス、氏名、メール本文、添付ファイル。学内関係者宛てのメールが330件、大学部外者宛てのメールが139件となる。
該当するメールアドレスのパスワードはすでに変更しており、変更後の不正アクセスはない。今後は教職員と学生への情報リテラシー研修を実施し、セキュリティの強化を図るとしている。
○沖縄県豊見城市のメールサーバーが不正中継状態に
沖縄県豊見城市の教育委員会が管理するメールサーバーが不正アクセスを受け、外部から第三者に宛てたメールを不正に中継していた。
メールの不正中継は、2023年5年3月13日〜2023年4月17日に発生。不正中継に使われた可能性のあるドメインは「@city.tomigusuku.okinawa.jp」(はランダム)となる。このドメインは、豊見城市立の小中学校と中央図書館が利用していたもの。なお、豊見城市が運用している「@city.tomigusuku.lg.jp」に被害はなかった。
主な原因はファイアウォールの設定不備。すでに不正中継の状態は解消しているが、詳細については調査を続けており、今後の再発防止策へとつなげていく。豊見城市は、もし期間中に不審なメールを受信した場合は、本文中のリンクをクリックせず、添付ファイルも開かず削除するよう呼びかけている。
○ファスマック、メールアドレスの乗っ取り被害
ファスマックのバイオ研究支援事業部NGSグループにおいて、使用中のメールアドレスがサイバー攻撃を受けた。これによりメールアドレスの乗っ取り被害が発生している。
サイバー攻撃は、2023年5月28日21時30分〜29日9時30分にかけて。職員が出勤後、乗っ取り被害に気付いて対策したが、会員宛てのメールを国内外問わず大量に配信してしまっていた。
5月29日12時の時点では、被害状況はメールの大量配信のみ。顧客情報の流出はない。もしこの配信メールを受信している場合は、本文中のURLをクリックせず、添付ファイルも開かずにメールを消去するよう呼びかけている。ファスマックは再発防止策として、情報セキュリティ対策の強化を行い、新たな事実が判明した場合は速やかに情報を開示するとしている。
○秋田銀行を騙るフィッシングメール
5月24日以降、秋田銀行を騙るフィッシングメールが拡散している。メールの件名例は以下。
【秋田銀行】振込(出金)、ATMのご利用(出金)利用停止のお知らせ
メールの内容は、ログイン異常によって振込(出金)やATMの利用を停止したと記載。解除手続きのためとしてリンクをクリックするよう誘導する。リンク先は秋田銀行を模したフィッシングサイトで、お客さまID、支店番号、口座番号、パスワードの入力欄がある。
5月25日以降もフィッシングサイトは稼働中とのことであり、一層の注意を心がけてほしい。ほかにも、メルカリ、楽天楽間、みなと銀行を騙るフィッシングも確認しされているので注意すること。
○Apple、iTunes for Windowsのセキュリティアップデート
Appleは5月24日、iTunes for Windowsのセキュリティアップデートを公開した。対象のバージョンは以下の通り。
iTunes for Windows 12.12.9より前のバージョン
脆弱性はアプリの権限昇格に関してのもの。Windows 10以降のOSが対象となる。アップデートではチェックの強化により、ロジックの脆弱性に対処している。iTunesとiPhoneやiPadと連携して使用しているユーザーは、できるだけ早期にアップデートしておくこと。
○三井住友カード、宛先にクレジットカード番号を記載してDMを送付
三井住友カードが送付したダイレクトメール(以下、DM)の表面宛先部に、誤ってクレジットカード番号が印字されていた。該当するDMは、2023年4月18日と4月20日に送付したもの。
DMを送る際の手順として、住所、氏名、お客さま照会番号などの情報を基幹システムから抜き出し、DM表面の宛先部に印字する。この作業が通常と異なる確認となったことによって、誤印字が発生した。
送られたDMについては、すべて本人宛てに発送しているため第三者がカード番号を知り得える可能性は低い。万が一、カードの不正利用が発生した場合は、会員規約に基づき同社が被害分を補償する。今後は同様のミスが再発しないよう管理を強化し、顧客情報の取り扱いについても重要性を社内で周知徹底していく。
○Google、2年以上使っていないGoogleアカウントを削除 - 2023年12月から
Googleは、Googleアカウントに関するポリシーを5月17日に変更。2年間以上未使用、または未ログインのGoogleアカウントを削除する。削除は2023年後半(12月)から行うとしている。
アカウントの削除は、作成後に一度も使われていないアカウントから開始する。削除する前には、Googleアカウントのメールアドレスと再設定用のメールアドレスに複数の通知を送信するとのこと。
該当するGoogleアカウントで利用しているコンテンツても削除の対象になる。Google Workspace(Gmail、Google ドキュメント、Google ドライブ、Google Meet、Google カレンダー )、YouTube、Googleフォトなどだ。過去にこうしたコンテンツを作成、利用していて、大事なデータを保存しておきたい場合は、上記の通知メールを見逃さないようにしてほしい。
削除対象から外れるには、少なくとも2年に1回はGoogleアカウントにログインする必要がある。なお、今回の更新は個人のGoogleアカウントにのみ適用し、学校や企業といった組織のアカウントには行われない。
○フーヅフリッジWebサイトが改ざん被害
フーヅフリッジが運営する「フーヅフリッジ」Webサイトが2つの改ざん被害に遭った。1つは不適切なWebページの表示で、発生日時は2023年5月10日7時22分。もう1つは注文に関する一部情報の不正ダウンロード。発生日時は2023年5月10日18時49分〜5月11日13時53分。
改ざん被害に遭ったWebページはすでに修正を完了。注文情報の不正ダウンロードは、内容が注文番号、注文日時、会員コードであることから、第三者が顧客を特定できるものではなかったことを確認している。
フーヅフリッジは、「フーヅフリッジ」Webサイトで利用しているアカウントがあれば、パスワードを変更するよう呼びかけている。また、被害発生期間に「フーヅフリッジ」Webサイトを閲覧・利用している場合は、セキュリティソフトからウイルスチェックを行うよう促している。
○沖縄県立看護大学学生のMicrosoft365アカウントに不正アクセス
沖縄県立看護大学は、学生1名のMicrosoft365アカウントで不正アクセス被害が発生したことを明らかにした。2022年12月6日〜2023年3月8日の期間、該当する学生のメールアドレスから12,941件の迷惑メールが不特定多数の宛先に送られていたという。迷惑メールの多くは、外国語で海外サイトへのリンクが貼られたものだった。今回の不正アクセスは、Microsoft365のメール送信サーバーへ直接アクセスすることで行われた可能性が高いとしている。
漏洩した可能性のある情報は、該当する学生アカウントのメールボックス内データ。内容は、メールアドレス、氏名、メール本文、添付ファイル。学内関係者宛てのメールが330件、大学部外者宛てのメールが139件となる。
該当するメールアドレスのパスワードはすでに変更しており、変更後の不正アクセスはない。今後は教職員と学生への情報リテラシー研修を実施し、セキュリティの強化を図るとしている。
○沖縄県豊見城市のメールサーバーが不正中継状態に
沖縄県豊見城市の教育委員会が管理するメールサーバーが不正アクセスを受け、外部から第三者に宛てたメールを不正に中継していた。
メールの不正中継は、2023年5年3月13日〜2023年4月17日に発生。不正中継に使われた可能性のあるドメインは「@city.tomigusuku.okinawa.jp」(はランダム)となる。このドメインは、豊見城市立の小中学校と中央図書館が利用していたもの。なお、豊見城市が運用している「@city.tomigusuku.lg.jp」に被害はなかった。
主な原因はファイアウォールの設定不備。すでに不正中継の状態は解消しているが、詳細については調査を続けており、今後の再発防止策へとつなげていく。豊見城市は、もし期間中に不審なメールを受信した場合は、本文中のリンクをクリックせず、添付ファイルも開かず削除するよう呼びかけている。
○ファスマック、メールアドレスの乗っ取り被害
ファスマックのバイオ研究支援事業部NGSグループにおいて、使用中のメールアドレスがサイバー攻撃を受けた。これによりメールアドレスの乗っ取り被害が発生している。
サイバー攻撃は、2023年5月28日21時30分〜29日9時30分にかけて。職員が出勤後、乗っ取り被害に気付いて対策したが、会員宛てのメールを国内外問わず大量に配信してしまっていた。
5月29日12時の時点では、被害状況はメールの大量配信のみ。顧客情報の流出はない。もしこの配信メールを受信している場合は、本文中のURLをクリックせず、添付ファイルも開かずにメールを消去するよう呼びかけている。ファスマックは再発防止策として、情報セキュリティ対策の強化を行い、新たな事実が判明した場合は速やかに情報を開示するとしている。
○秋田銀行を騙るフィッシングメール
5月24日以降、秋田銀行を騙るフィッシングメールが拡散している。メールの件名例は以下。
【秋田銀行】振込(出金)、ATMのご利用(出金)利用停止のお知らせ
メールの内容は、ログイン異常によって振込(出金)やATMの利用を停止したと記載。解除手続きのためとしてリンクをクリックするよう誘導する。リンク先は秋田銀行を模したフィッシングサイトで、お客さまID、支店番号、口座番号、パスワードの入力欄がある。
5月25日以降もフィッシングサイトは稼働中とのことであり、一層の注意を心がけてほしい。ほかにも、メルカリ、楽天楽間、みなと銀行を騙るフィッシングも確認しされているので注意すること。
○Apple、iTunes for Windowsのセキュリティアップデート
Appleは5月24日、iTunes for Windowsのセキュリティアップデートを公開した。対象のバージョンは以下の通り。
iTunes for Windows 12.12.9より前のバージョン
脆弱性はアプリの権限昇格に関してのもの。Windows 10以降のOSが対象となる。アップデートではチェックの強化により、ロジックの脆弱性に対処している。iTunesとiPhoneやiPadと連携して使用しているユーザーは、できるだけ早期にアップデートしておくこと。