カテゴリー: I C T

トレンドマイクロ サイバー対策ソフトに6種類の欠陥

昨年11月、従業員が顧客情報を不正に持ち出し、販売していたことを公表したトレンドマイクロ。この不祥事に対する同社の対応は非常に残念なものでした。詳細は下の方に出ている関連記事「トレンドマイクロ 顧客情報流出 公表されない二つの事実」をご覧ください。

そして今回は、自社製品である企業向けのサイバー対策ソフト、「エイペックスワン」と「ウィルスバスターコーポレートエディション」、「ウィルスバスタービジネスセキュリティ」で、6種類の脆弱性の存在が確認されたとのこと。

日経では2商品で5種類の欠陥と伝えられていましたが、トレンドマイクロの製品サポートページでは3商品で6種類の脆弱性が公表されています。

周知する気はあるの?

トレンドマイクロの顧客対応。今回もやはりいかがなものか、、、という感じです。先ほど製品サポートページで公表されていたと書きましたが、顧客が自社で導入している製品をクリックし、そのサポートページが表示されるまで、脆弱性存在の事実が分かりません。

トップページでの表示もなし。プレスリリースにもなし。お知らせのページにもなし。普通に考えたら、ホームページのあちこちにリンク等の導線を作って、顧客に早く気付いてもらおうと考えるんじゃないかな。まぁ、ポリシーはいろいろあるだろうけど、まずは顧客のことを考えるべきです。

脆弱性の詳細

CVE-2020-8467、CVE-2020-8468、CVE-2020-8470、CVE-2020-8598、CVE-2020-8599、CVE-2020-8600 (この番号で分かる人には分かるんだろうか)という6つの脆弱性が報告されていて、最初の2つについては、「トレンドマイクロはこの脆弱性が実際の攻撃に利用されたことを認知しています。」としています。

サイバーセキュリティ担当者の方、修正プログラムの適用、お急ぎくださいませ。

象印マホービン 偽装メールついてのご注意

昨年12月、象印マホービンのグループ会社が運営するショッピングサイト「象印でショッピング」がサイバー攻撃を受け、顧客情報最大28万件が流出した可能性があるという記事を書きました。今回はその流出した顧客宛にフィッシングメールが届いているとの注意喚起が行われています。

偽装メールについてのご注意

この注意喚起は3回目のようです。偽装メールのタイトルは「〇〇〇〇様 緊急入荷!数量限定! マスク使い捨て サージカルマスク レギュラー50枚 HEIKO」だそうです。本文にもぎこちない日本語の印象は全くなく、文末にフィッシングサイトのURLがつけられています。新型コロナウィルス便乗です。

昨年起きた同社の情報流出が原因であるかどうか判明していない偽装メールですが、こうして注意喚起していますし、情報が流出した可能性のある顧客に対する対応もしっかりやってます。

こんなことに巻き込まれた顧客は、ホームページも、メールも見たがらないでしょう。そんな顧客にも配慮してか、ホームページでの連絡、メールでの連絡、郵便による連絡と、顧客への説明責任を果たすため、アクセス方法も工夫されています。

さらに、お知らせ等の内容についても、象印マホービンが把握している情報を正直にかつ正確に伝えようとしているのがよく分かります。個人情報漏洩関係の事故でここまで誠意をもって事後対応しているケース、なかなかないんじゃないかな。参考になると思うので皆さんも一度象印のホームページご覧になったらどうでしょう。

第三者調査機関による調査結果

第三者調査機関による調査も行ったようで、結果が報告されています。同社を装った最初の偽装メールで、フィッシングサイトへの誘導がされていることは初報でも伝えられていました。調査の結果、実際に734件、クレジットカード情報等がフィッシングサイトへ入力されていたことも判明しているようです。

象印マホービンのこうした対応には、「自分たちだってサイバー攻撃を受けた被害者なんだ」という意識を感じさせません。あくまで、自分たちの不手際で顧客に迷惑をかけてしまっていることに対するお詫びの気持ちだけで行動しているように見えます。ココって重要だと思います。

個人情報1件500円 サイバー攻撃に対するリスク感度が低すぎる

2/26付け日本経済新聞に「サイバー保険に『ベネッセの呪縛』個人情報の安さ普及阻む」という記事がありました。サイバー保険があることを知っている中小企業でも、その加入率は6.9%でしかないんだそうです。日本の個人情報の安さがその原因だとしています。

ベネッセの個人情報漏えい事件

2014年にベネッセ(進研ゼミの会社)の委託先の契約社員が個人情報を不正に外部に持ち出し、3000万件を超える個人情報が名簿業者に売却されるという事件が起きました。この事件の被害者に対し、ベネッセは金券500円を配ったというお話です。

万が一個人情報が漏えいしても、一人500円くらいなら、、、ということでインパクトがなく、日本ではサイバー保険が浸透しないということを言ってる記事ですね。確かに、GDPRやカリフォルニアの新法の下では、個人情報の漏えいでも高額の制裁金や損害賠償となります。

しかし、この記事、サイバー攻撃=個人情報漏洩、的な論調になり過ぎてますね。いまどきのサイバー攻撃は攻撃対象とした中小企業の情報だけを狙っているわけではありません。何でもかんでも繋がってる時代です。中小企業を攻撃してそこから繋がっている取引先大企業だって狙われます。ECサイトが攻撃されれば、何日も商売が止まってしまいます

メディアにも責任

新型コロナウィルスはこれでもかというほどニュースにしますが、どこかの企業がサイバー攻撃を受けて、結果どういう実害が生じたか、、、なんて調べもしないし、ニュースにもなりません。毎日のように攻撃を受けた企業が出てくるのに、ものの2~3日もしたらどこも報道しなくなります。

コロナウィルスは病気に感染する恐怖ではなく、自社で感染者を出すレピュテーショナルリスクに対する恐怖に変化しているように感じます。メディアの力、もの凄い破壊力です。サイバーリスクも同じように報道すればいいのに。自社が踏み台になって大勢の被害者を出してしまうリスクを企業経営者に実感させるような報道を。。。そう思いません?

新型コロナウィルスに乗じたフィッシング詐欺に注意

当ブログでも何度か取り上げたことのあるフィッシング詐欺。新型コロナウィルスに関連した新しい手口も確認されたそうです。お店で手に入らなくなったマスクを無料でとか、在庫があるように見せかけた悪質なショッピングサイトに誘導するといった手口のようです。

フィッシング

日本サイバー犯罪対策センターが2/4付で注意喚起しています。まず一つ目はフィッシング。以前、佐川急便等の運送会社を名乗ったSMSを利用したフィッシングが話題になりましたが、ほぼ同じ手口だそうです。

SMSで送られてくる文面は「新型コロナウィルスによる肺炎が広がっている問題で、マスクを無料送付確認をお願いします」というもの。これに応じるとフィッシングメールをばらまく不正アプリがインストールされてしまうらしいです。踏み台にされるということですね。

SMSの文面自体は不自然な日本語なんですが、日本国内これだけパニクってる状況ですから、思わずタップしてしまう人が居るんでしょうね。利用者の心理につけ込んだ非情な手口です。

悪質なショッピングサイト

インターネット利用者がマスクなどを検索した際、上位に表示されるように細工されているサイトのようです。そのリンクを押下した利用者は悪質なショッピングサイト(公式サイトをに偽装した偽ページ)に自動的に転送されます。そこでは商品を発送しなかったり、会員登録時の個人情報や決済時のクレジットカード情報等を盗み取るんだそうです。

このようなサイトで、マスクの在庫があるように見せかけるわけですね。今、「マスク 在庫あり」で検索してみたところ、楽天市場や通販モノタロウ、ビックカメラとかいろいろ出てきます。名前の通った企業だからといって安心はできません。そもそもそのリンクが偽物だったりするわけですから。読者のみなさま、お気を付けください。

お茶の水女子大学 不正アクセスで308万件のフィッシングメールを送信

ちょっとこのニュースは見おぼえなかったんですが、エライことですね。昨年11月上旬に外部へ公開したサーバが不正アクセスを受け、踏み台とされたうえでフィッシングメールを送信されてしまったとのこと。なんとその数、、、3,086,870件です。こりゃ酷い、何が酷いって・・・。

昨年11月28日に認識

昨年11月28日に外部からの情報提供により同大学研究室からフィッシングメールが送信されていることを確認しています。さらに、すぐにネットワークを遮断し、、、までは良いんですが、公表が今年1月28日です。2か月間も何してたん?ってことですよね。

内部情報にアクセスされたくらいであればまだしも。11/28にフィッシングメールが送信されたことを把握してるんですよね。そのメール見て釣られて偽ホームページで詐欺に引っ掛かる人がこれからたくさん発生する可能性があるんです。これだけのリスクを認識しながら、なぜ2か月も隠ぺいしてきたんでしょう。防衛装備等、国防に関する秘密なんてこの大学にないでしょうに。

お願い

公表文の最後に「お願い」とあります。「11月4日~11月28日の間、本学のIPアドレス[133.65.65.66]が送信元になっているメールについては、ご注意くださいますようお願いいたします」。同大学からのフィッシングメール、初期段階で受信した人にとっては約3か月前に受け取ったメールですよ。マジで酷すぎますね。

お茶の水女子大学を騙ったメールは確認できていないといいます。ということは受信者がお茶の水女子大学でこんなことが起きていることを知っても、自分が被害者であることを理解できないわけです。同大学のように、不正アクセスにより踏み台として利用された企業等が、損害賠償請求されるケースは今後出てくるといわれています。これ、第1号になるんでしょうか。