カテゴリー: I C T

象印マホービン 最大28万件の顧客情報流出 フィッシング詐欺も

象印マホービンは、同社のグループ会社が運営するショッピングサイト「象印でショッピング」がサイバー攻撃を受け、顧客情報最大28万52件が流出した可能性があると発表しました。流出した情報のうちメールアドレスが使われ、いわゆるフィッシングサイトへの誘導も行われています。

ショッピングサイト システムの脆弱性

28万件というのは、同サイトの利用者全員のことのようですね。最初に目にしたときはリスト型アカウントハッキングかと思いましたが、全部抜かれているとなると違いますね。システムの持つ脆弱性を突いたまさにハッキング。顧客情報を抜かれたうえ、サイトもフィッシングサイトに改ざんされてしまったようです。

顧客情報にはクレジットカード情報は含まれていなかったようで、そのため攻撃者はカード情報を手に入れるため、手に入れたメールアドレス宛に、フィッシングサイトのURLを添付した不正メールを発信。URLをクリックした顧客はフィッシングサイトに誘導されます。

そこでカード情報とパスワードを入力させ、これを盗み見しようとしたわけです。っていうか、入力した情報は盗み取られてるでしょう。実際に使われた誘導の文句は「おめでとうございます。オリジナルQUOカードキャンペーン実施中」。ログインすることで手に入るという流れでしょうか。

狙われたサイト

象印ユーサービス株式会社が運営するこの「象印でショッピング」。今は閉鎖中で確認できないんですが、どうやら同社商品の部品や消耗品を販売するサイトだったようですね。高額の買い物する顧客もなく、そのため、サイトの安全性に対する配慮が不足した、、、といった面はあったのかもしれません。

しかし、攻撃者は顧客の情報が手に入ればいいわけですから、サイトの安全対策は怠れません。フィッシングサイトがこれほど簡単に、かつ本物らしく作られちゃうわけですから、顧客のメールアドレスだけだとしても管理はしっかりしてくれないと。これ、すべてのサイトへの教訓ですね。

神奈川県情報流出 やってくれるやないかぃ ブロードリンク

神奈川県庁のハードディスクが犯人によりヤフオク等で不正に転売され、情報流出が懸念されている事件。3年以上にわたりブロードリンク社から持ち出した記憶媒体等、計7844個をネットオークションへ出品、落札されていたとのこと。凄い量ですよね。毎日7商品ずつ出品してた計算になります。

発覚の端緒

今回の問題では、廃棄したはずのハードディスクがネットオークションで転売されていたという外部からの連絡を受けて、ブロードリンクが11/27に社内調査を始めたようです。手荷物検査などから12/3に容疑の男を特定し、12/6に被害届を出し、同日夜、緊急逮捕となっています。

犯人のものとみられるヤフオクのアカウントには、5000件以上の取引記録があり、約2000万円の売り上げがあったともいわれています。出品の記録と同社で取り扱った記憶媒体とを突合させ、社内から持ち出されたものかどうかを精査すると言いますから、このあと新たな被害顧客が一体何社出てくることやら。

神奈川県以外の顧客分も

こうなると当然、神奈川県以外の顧客についても注目されることになります。当初の報道でも、ほかに防衛省や最高裁判所などがブロードリンクとの取引があると伝えられていました。「当社はブロードリンクと取引ないんだろうな」の経営の一言で社内は大混乱。

サーバーやPCの廃棄処分を委託する業者の中に、ブロードリンク社が入り込んでいないか。ブロードリンク以外の業者であったとしても、ちゃんと廃棄証明書を受領し、保存できているか。全国の企業でこうした調査が始まっているはずです。kuniの周りもすでにそうなっています。

今回のケースがそうだったように、委託先は大丈夫でも、再委託先にブロードリンクが入っていることもありますしね。この業界再委託や再々委託なんてしょっちゅうなんで。「やってくれるやないかぃ、、、ブロードリンク」。全国でそんな独り言を口にしながら悉皆調査に翻弄されるIT担当者の皆さん、めげずに頑張ってください。

トレンドマイクロ 顧客情報流出 公表されない二つの事実

従業員が顧客情報を不正に持ち出し、販売していたことを公表したトレンドマイクロ。プレスリリースでは経緯やお詫びを発表しましたが、この中で二つの事実が明かされなかったと、日経コンピューターが報じています。

公表されない二つの事実

流出した顧客情報がサポート詐欺に使われていたということで、当ブログでも以前取り上げました「ラック株急落(3857) トレンドマイクロ(4704)は大幅高」。今回報じられた、この二つの事実なるモノは、日経コンピューターもしくは電子版の日経XTECHで確認していただくしかないんですが(どちらも有料情報ですので)、トレンドマイクロの情報公開の在り方にはやや疑問が残りますね。

海外の顧客情報ということもあり、外国も含めた捜査当局への協力のため、最低限の情報公開にとどめた、というような事情でもあるんでしょうか。11/6のプレスリリース以降も、なしのつぶてです。

トレンドマイクロ株は高値更新中

そして何より気になるのが、同社株の値動きです。プレスリリースを発表した11/6の株価は5310円。ここから快進撃が始まり、とうとう6000円を付けてきました。悪材料を抱えていた同社がそれを公表し、株価が上昇に転じる。相場の世界では「アク抜け」などと言います。悪材料が出尽くして、株価が下落から反発に転じることですね。

しかし、サイバー・情報セキュリティ管理を本業とする同社が、このような大失態。中途半端な情報を公表して、ヒトの管理が不徹底(内部不正)でした、、、で、アク抜けとはね。情報を売られた被害者が海外の人で、日本人には被害者が出なかったからでしょうか。メディアもほとんど叩きませんでしたね。いろいろと違和感のあることが続いている会社です。

IoT機器へのサイバー攻撃対策

重要生活機器連携セキュリティ協議会(CCDS)はIoT機器向けのセキュリティ認証制度を始めました。IoT機器として先行した家庭用ルーターや防犯カメラなどには、サイバー攻撃に対する安全対策が不十分な機器が多く、近年攻撃の標的になっていました。今後、家電や車載機器などに、さらに展開していくであろうIoT機器に対する「まもり」、重要です。

全体の約5割がIoT機器を標的に

情報通信研究機構が今年1~6月に調査した結果、国内外に設置した観測網でとらえたサイバー攻撃のうち、なんと約5割がIoT機器を攻撃対象としていたそうです。これらの機器は、機器の性能が限定されている、管理が行き届きにくい、ライフサイクルが長いといった、サイバー攻撃に狙われやすい特徴を持っています。

パソコンやスマホなど、通信することを前提とする機器は、IDとパスワードをしっかり管理しますが、IoT機器においては、IDやパスワードの変更すらできないものもあるわけです。

実際に攻撃された事例

IoT機器を狙うマルウェアとしては「mirai」が有名になりました。IoT機器に感染し、乗っ取ったのち、感染したIoT機器を使って指示されたサイトにDDos攻撃を仕掛けます。この際、同じように感染したその他のIoT機器同士がネットワーク上で連携して攻撃を仕掛けるのが特徴です。

2016年には、この「mirai」によって有名なセキュリティブログがダウンするという事件が起きました。また、同年「Amazon」や「Twitter」などの大手ウェブサービスが同様に攻撃され、約5時間にわたって接続不良を起こしています。

ユーザーの意識の問題も

パソコンやスマホがウィルスに感染した。そんなとき、ユーザーはパソコンやスマホのメーカーにクレームを付けることはないと思います。使用者責任がある程度定着していますよね。しかし、これがテレビや冷蔵庫となるとどうでしょう。

知らないうちに我が家の冷蔵庫が「mirai」に乗っ取られ、大手企業のECサイトへのDDos攻撃に参加していたとしたら。莫大な損害賠償請求は?。。。このときユーザーは自身の使用者責任だと考えるでしょうか。

スミッシング詐欺被害(SMSフィッシング詐欺) 9月急増

フィッシング詐欺のうち、SMS(ショートメッセージサービス)を使用するものをスミッシング詐欺と言いますが、これが9月激増しているそうです。10月のデータはまだ公開されてないようですが、注意が必要です。SMS、皆さんもご注意ください。

9月急増

インターネットバンキングに係る不正送金被害については、2016年以降、発生件数・被害額ともに減少傾向が続いており、今年も月間数十件程度、被害金額も3千万円以下という状況でした。ところが8月(105件、7400万円)、9月(436件、4億2600万円)と急増し、2012年以降の最多件数を記録しています。

最近の手口

メールにあるリンクをタップすることによりフィッシングサイトに誘導され、インターネットバンキングのパスワード等を入力させ、これを盗み取るという手口です。特に最近の手口としては、フィッシングメールにSMSが使用されていること。リンク先サイトでは、正規サイトのURLと誤認させるため、HTTPSが使用されていたり、.jpドメインが使用されているようです。

さらに、アカウントやパスワードの情報のみならず、ワンタイムパスワードや秘密の合言葉等を入力させるなど、巧妙な手口になっているようです。

以下は実際に送られてきたSMSの一例です。

お客様の〇〇銀行口座がセキュリティ強化のため、一時利用停止しております。再開手続きをお願いします。https;//www.・・・・

被害に遭わないために

被害に遭わないために、心当たりのないメールは放置すること。取引のある銀行からであっても、メールに記載されたリンクに安易にアクセスしないことですね。これだけSMSが悪用されていることは、金融機関も承知しています。SMSからリンクをたどるのではなく、正規のサイトを訪れて対処するようにしましょう。