企業へのサイバー攻撃、情報流出相次ぐ
~2020年11月の気になるセキュリティニュース~
セキュリティニュース
2020年12月8日

セキュリティニュース一覧
11月のトピックスを紹介します。
オンラインのイベント運営や電子チケット販売などを手がけるPeatix社が、外部からの不正アクセスを受け、最大677万件もの個人情報が流出しました。利用者情報などのリストがインターネット上で取り引きされていることも判明し、波紋が広がっています。
企業へのサイバー攻撃で個人情報が盗み取られ、インターネット上で取引される問題は後を絶ちません。いったん流出した情報を回収するのは難しく、不正送金などの別の犯罪に悪用されるおそれもあります。流出被害の発生が相次ぐなか、企業にはあらかじめ流出を想定した備えが求められています[1]。
・電子チケット販売「Peatix」に不正アクセス 最大677万件の個人情報流出か
オンラインのイベント運営や電子チケット販売などを手がけるPeatix(ピーティックス)社は、外部から不正アクセスを受け、最大677万件の個人情報が流出したと発表しました[2]。流出した個人情報には、顧客の氏名やメールアドレス、暗号化されたパスワードが含まれており、約420万件余りのリストがインターネット上の個人情報売買サイトで取引されているとのことです[3]。同社では、不正アクセスを受けた経路を遮断するとともにパスワードのリセットを実施、同じパスワードを他のサービスで使用している場合には変更するよう呼びかけています[4]。同サービスは、個人や企業・自治体のイベントなどで広く利用されており、一部の自治体では、プレミアム商品券の販売やコロナ感染拡大を受けた宿泊助成事業等にも利用されていることから、今後の被害拡大が懸念されています。
11月の主なマルウェア・不正アクセス関連の記事を紹介します。
・マルウェア 「IcedID」 の感染に関する注意喚起
JPCERT/CCは、マルウェア「IcedID」の感染を狙う不正なメールが複数報告されているとして注意を呼びかけました[5]。IcedIDは近年流行するマルウェア「Emotet」の攻撃方法に類似しており、件名には返信(Re:)や転送(FW:)の内容が記されています。感染した場合、Webブラウザに保存された金融機関のログイン情報やWebメールのアカウント情報が窃取される可能性があるとのことです[6]。・カプコン、不正アクセスで個人情報最大約35万件流出
ゲーム会社大手のカプコンが、ランサムウェアによる不正アクセスを受け、最大約35万件の個人情報が流出した問題[7]は、声明を公表したサイバー犯罪集団が、インターネット上に同社の売上情報のほか、従業員の個人情報や社内メールとみられるデータを公開したことが判明し、波紋が広がっています[8]。同集団は、不正に入手したこれらのデータと引き換えに、11億円相当の仮想通貨で「身代金」を支払うよう要求していましたが、同社では支払いや交渉には応じないという方針を公表していました[9]。・三菱電機、不正アクセスで取引先口座情報約8,000件流出
三菱電機は、同社が使用するクラウドサービスに対して外部から不正アクセスがあり、取引先の銀行口座などが流出したと発表しました[10]。同社では2019年に大規模なサイバー攻撃を受け、機密性の高い防衛や電力関連の情報が流出した可能性があることを今年1月に公表、その後、セキュリティ面での対策強化を進めてきました。今回は、第三者が正規のIDとパスワードでクラウドにアクセスするといった前回とは異なる手口での攻撃であり、強化した対策が不十分だったのではないかとの報道もなされています[11]。11月の主要なOS、ミドルウェアにおけるインシデントを紹介します。
該当する製品を利用されている場合は、システムへの影響などに鑑み、対策などを速やかに実施することが推奨されています。
・Microsoft 製品の脆弱性対策について(CVE-2020-17087等)
IPAは、Microsoft製品に関する脆弱性対策について、11月の月例セキュリティ更新プログラムを公開しました[12]。これらの脆弱性を悪用された場合、アプリケーションプログラムの異常終了や、攻撃者によってパソコンを制御されるなどの被害が発生するおそれがあります。このうち、CVE-2020-17087の脆弱性についてはすでに悪用が確認されており、今後被害が拡大するおそれがあるため、至急修正プログラムを適用するよう呼びかけています[13]。その他、政府・業界動向などに関連する記事を紹介します。
・経済産業省、「IoTセキュリティ・セーフティ・フレームワーク」を策定
経済産業省では、IoTやAIによって実現される「Society5.0」、「Connected Industries」におけるフィジカル空間とサイバー空間のつながりの信頼性の確保の考え方を整理した「IoTセキュリティ・セーフティ・フレームワーク」を策定し、関連資料を公開しました[14]。出典
-
[1]流出情報は闇市場で取引 企業へのサイバー攻撃相次ぐ - 日本経済新聞 -
https://r.nikkei.com/article/DGXMZO66543290T21C20A1CR8000?disablepcview=&s=5
-
[2]弊社が運営する「Peatix」への不正アクセス事象に関するお詫びとお知らせ - Peatix Inc. -
-
[3]チケット販売サイト「Peatix」利用者リスト ネットで取り引き - NHK -
https://www3.nhk.or.jp/news/html/20201120/k10012721531000.html
-
[4]最大677万件情報流出 オンラインイベント運営のPeatix - 日本経済新聞 -
-
[5]「IcedID」に感染させるパスワード付き圧縮ファイルに注意 - INTERNET Watch -
-
[6]「Emotet」だけじゃない - メール返信偽装、PW付zipファイル悪用マルウェアに要警戒 - Security NEXT -
-
[7]不正アクセスによる情報流出に関するお詫び - 株式会社カプコン -
-
[8]カプコン脅迫、犯罪グループがファイル公開 機密情報か - 朝日新聞 -
-
[9]カプコンが「身代金」を拒否 犯罪集団、11億円要求か - yahoo!ニュース -
https://news.yahoo.co.jp/articles/d0008bf0f7b49a640d14750ab26beb26a4286f88
-
[10]不正アクセスによる情報流出について - 三菱電機株式会社 -
-
[11]三菱電機、不正アクセスで取引先の口座情報8000件流出 - 日本経済新聞 -
https://www.nikkei.com/article/DGXMZO66468150Q0A121C2TJC000/
-
[12]Microsoft 製品の脆弱性対策について(2020年11月) - IPA -
-
[13]MS、月例パッチで脆弱性112件に対処 - 一部ゼロデイ攻撃も - Security NEXT -
-
[14]IoTセキュリティ・セーフティ・フレームワーク(IoT-SSF)を策定しました - 経済産業省 -
https://www.meti.go.jp/press/2020/11/20201105003/20201105003.html
最後に
本記事は、2020年11月に報道されたセキュリティニュースを基に、特に注目するセキュリティ情報を掲載しています。
注目するセキュリティニュースをまとめて掲載することで、読者の皆さまがよりセキュリティに興味を持ち、日々の対策にご活用いただくきっかけとなれば幸いです。
京セラコミュニケーションシステム株式会社
セキュリティニュースチーム
掲載されている情報は、発表日現在の情報です。最新の情報と異なる場合がありますのでご了承ください。