カテゴリー: I　C　T

創業1803年、京都の和菓子の老舗、亀屋良長株式会社が保有するPC端末が、マルウエア「Emotet（エモテット）」に感染。同社からの情報流出や流出した情報を悪用されたなりすましメールが確認されたとのこと。9月1日に発生しています。

感染の経緯と影響

9/1、実在する同社従業員を名乗る人物から別の従業員に、請求書の連絡メールに偽装した添付ファイル付きのメールが送られてきます。受信した従業員が添付ファイルを開封し、「コンテンツの有効化」を許可したことでエモテットに感染したそうです。

感染後、エモテットの影響でいろんなことが起きているようです。社内で利用する共通メールアドレスに大量の不正メールが届いたり、同社と取引関係がある顧客情報が別の顧客に配信されるなど。

専門会社の調査によると、メールサーバー内に記録されている個人情報（氏名、住所、電話番号、メールアドレス、メール本文の内容）の流出が確認されています。ただし、クレジットカード情報は流出してないそうです。

Emotet（エモテット）の巧妙化

エモテットが9月に入って活動を活発化させているようです。亀屋良長はまさにその攻撃対象になってしまったわけですが、情報処理推進機構（IPA）には、同社以外にも感染の一報や問い合わせが急増しているとのこと。

手口も巧妙化しているようで、従来の添付ファイルはワードだったんですが、パスワードを設定した「zipファイル」を使用し、セキュリティ対策製品のスキャンをすり抜ける可能性のあるものも見付かっているみたいです。

領収書や請求書などのファイルは、ほとんどの場合マクロを必要としません。くれぐれも、マクロを実行させるための「コンテンツを有効にする」ボタンは押さないように。

IPA（情報処理推進機構）は8/25、2019年度中に発生した不正アクセス事案などから、特に一般個人ユーザーにとって脅威度が高いとみられる案件をまとめた、「情報セキュリティ10大脅威2020」の個人向け情報を公開しました。その中にまったく知らないワードが・・・。

個人向け10大脅威

1　スマホ決済の不正利用
2　フィッシング による個人情報の詐取
3　クレジットカード情報の不正利用
4　インターネットバンキングの不正利用
5　メールやSMS等を使った脅迫・詐欺の手口による金銭要求
6　不正アプリによるスマートフォン利用者への被害
7　ネット上の誹謗・中傷・デマ
8　インターネット上のサービスへの不正ログイン
9　偽警告によるインターネット詐欺
10　インターネット上のサービスからの個人情報窃取

ランキングは上記のとおりです。一通り目を通したんですが、ネットショッピングする場面の説明で推奨されているサービスの用語、「3Dセキュア」。kuniはまったく知らない用語でした。

インターネット上のショッピングサイトなどでクレジットカードを利用してオンライン決済を行う場合、クレジットカード情報をショッピングサイトで入力することで決済します。クレジットカードを紛失して悪意のある人に拾得された場合やフィッシングサイトでクレジットカード情報を詐取された場合など、不正利用されるおそれがあるわけです。

これを避けるため、あらかじめクレジットカード会社にパスワードなどを登録しておき、そのパスワードで本人認証した上で決済を完了するという方式が3Dセキュアというんだそうです。確かにこれは安心。しかし、ショッピングするサイトも3Dセキュアに対応している加盟店でないとダメですが。

MyJCB

kuniはJCBユーザーなので、早速MｙJCB（JCBのインターネットサービス）で確認してみました。ほぉ、本人が知らないうちにちゃんと3Dセキュアは設定されていました。インターネットサービスで自分のデータを登録すれば、自動的に設定されるようです。ちなみにJCBの場合はJ/Secureというサービス名になっていました。これってみんな知ってること？

心配していたことが、やはり起こりました。8/25付け日本経済新聞の一面トップ。「テレワーク　暗証番号流出　国内38社に不正接続」という記事。パルスセキュア社のVPNサービスを使っていた38社が修正プログラムを適用することなく使用し、不正アクセスを受けたようです。

パルスセキュアのVPNサービス

世界で2万社以上の顧客を持つ業界大手であり、昨年4月に自ら脆弱性について情報を公表、修正プログラムも提供されています。国内においてもJPCERTなどが再三注意喚起を行っていました。

昨年8月時点の情報では、この脆弱性を抱えたまま運用されているVPNサーバは世界で1万4500台あり、そのうち1511台が日本国内にあるといわれていました。

その後各社とも対策を講じ、今年3月末時点では国内にあった未対応の1511台は298台にまで減少しました。とはいえ、まだ300台も、、、この辺りからテレワークが盛んになってきます。

そして今回日経が伝えるところによると、国内では38社が不正アクセスを受けたとしています（海外を含めると900社超）。38社のうち日経が把握した被害企業としては、日立化成、住友林業、ゼンショーホールディングス、オンキョー、全薬工業、岩谷産業、ダイヘン、自動車総連などの名前があがっています。

フォーティネット、パロアルトネットワークス

今回はパルスセキュアのVPNが狙われ、脆弱性に対する適切な対応を怠った企業がその被害にあったというお話です。実は他にも脆弱性が注意喚起されていたVPN製品として、フォーティネット、パロアルトネットワークスの名前が4月時点であがっていました。

パルスセキュアほど多くはないかもしれませんが、この両社の製品に関しても、既知の脆弱性に対してパッチの適用や必要なシステムアップデートが行われず、不正アクセスを受けてしまったというニュースも、、、たぶんこのあと出てくるんでしょうね。