タグ: サイバーセキュリティ

昨年11月、従業員が顧客情報を不正に持ち出し、販売していたことを公表したトレンドマイクロ。この不祥事に対する同社の対応は非常に残念なものでした。詳細は下の方に出ている関連記事「トレンドマイクロ　顧客情報流出　公表されない二つの事実」をご覧ください。

そして今回は、自社製品である企業向けのサイバー対策ソフト、「エイペックスワン」と「ウィルスバスターコーポレートエディション」、「ウィルスバスタービジネスセキュリティ」で、6種類の脆弱性の存在が確認されたとのこと。

日経では2商品で5種類の欠陥と伝えられていましたが、トレンドマイクロの製品サポートページでは3商品で6種類の脆弱性が公表されています。

周知する気はあるの？

トレンドマイクロの顧客対応。今回もやはりいかがなものか、、、という感じです。先ほど製品サポートページで公表されていたと書きましたが、顧客が自社で導入している製品をクリックし、そのサポートページが表示されるまで、脆弱性存在の事実が分かりません。

トップページでの表示もなし。プレスリリースにもなし。お知らせのページにもなし。普通に考えたら、ホームページのあちこちにリンク等の導線を作って、顧客に早く気付いてもらおうと考えるんじゃないかな。まぁ、ポリシーはいろいろあるだろうけど、まずは顧客のことを考えるべきです。

脆弱性の詳細

CVE-2020-8467、CVE-2020-8468、CVE-2020-8470、CVE-2020-8598、CVE-2020-8599、CVE-2020-8600　（この番号で分かる人には分かるんだろうか）という6つの脆弱性が報告されていて、最初の2つについては、「トレンドマイクロはこの脆弱性が実際の攻撃に利用されたことを認知しています。」としています。

サイバーセキュリティ担当者の方、修正プログラムの適用、お急ぎくださいませ。

昨年12月、象印マホービンのグループ会社が運営するショッピングサイト「象印でショッピング」がサイバー攻撃を受け、顧客情報最大28万件が流出した可能性があるという記事を書きました。今回はその流出した顧客宛にフィッシングメールが届いているとの注意喚起が行われています。

偽装メールについてのご注意

この注意喚起は3回目のようです。偽装メールのタイトルは「〇〇〇〇様　緊急入荷！数量限定！　マスク使い捨て　サージカルマスク　レギュラー50枚　HEIKO」だそうです。本文にもぎこちない日本語の印象は全くなく、文末にフィッシングサイトのURLがつけられています。新型コロナウィルス便乗です。

昨年起きた同社の情報流出が原因であるかどうか判明していない偽装メールですが、こうして注意喚起していますし、情報が流出した可能性のある顧客に対する対応もしっかりやってます。

こんなことに巻き込まれた顧客は、ホームページも、メールも見たがらないでしょう。そんな顧客にも配慮してか、ホームページでの連絡、メールでの連絡、郵便による連絡と、顧客への説明責任を果たすため、アクセス方法も工夫されています。

さらに、お知らせ等の内容についても、象印マホービンが把握している情報を正直にかつ正確に伝えようとしているのがよく分かります。個人情報漏洩関係の事故でここまで誠意をもって事後対応しているケース、なかなかないんじゃないかな。参考になると思うので皆さんも一度象印のホームページご覧になったらどうでしょう。

第三者調査機関による調査結果

第三者調査機関による調査も行ったようで、結果が報告されています。同社を装った最初の偽装メールで、フィッシングサイトへの誘導がされていることは初報でも伝えられていました。調査の結果、実際に734件、クレジットカード情報等がフィッシングサイトへ入力されていたことも判明しているようです。

象印マホービンのこうした対応には、「自分たちだってサイバー攻撃を受けた被害者なんだ」という意識を感じさせません。あくまで、自分たちの不手際で顧客に迷惑をかけてしまっていることに対するお詫びの気持ちだけで行動しているように見えます。ココって重要だと思います。