2019/01のWEBセキュリティ関連ニュース

2019/02/03

1月に発生したWEBサイトのセキュリティ関連ニュースをまとめました。

WEBサイトのセキュリティ被害や漏洩問題は気にしていないとあまり目に付かないものですが、実はかなりたくさん発生しています。

このところ、WEB制作者と顧客の間でセキュリティの重要性に対する認識の違いがけっこうある気がしていて、その溝を埋めたいなという問題意識から啓発の目的でニュースのまとめ作成をはじめてみました。わりと時間かかるので、引き続き継続するかどうかは未定ですが何らかの啓蒙に繋がれば嬉しいです。

※ちなみに「宅ファイル便」の件と「Peing」の件はニュースソースが大量すぎてまとめるのも大変だし、一定程度広く認知されているので今更いいかなと思って取り扱っていません。知らない人はググったら鬼ほど情報が出てくるので読んでみてください。

不正アクセス

軽視されがちなセキュリティですが、ニュースになるのは大手企業や公的機関だけで、実際はもっと大量に被害にあっています。

以前対応した改ざん案件では、同様の被害にあったサイトを調査したところ国内だけで10社以上、続々と出てきました。

【事例】WordPressサイト改ざんの復旧と対策を行いました

WEBサイト制作者はちゃんと学び、できれば保守も請ける／発注者はセキュリティ対策に予算をとり、パスワードなどの取り扱いに注意する、といった意識が必要なのではないでしょうか。

南紀白浜観光局

不正アクセスによりホームページが改ざん被害、現在は復旧済み（南紀白浜観光局） | ScanNetSecurity ホームページ管理システムに外部から侵入され不正な書き込みが行われた
不正アクセスによるウェブサイト改ざん被害、南紀白浜観光局のHPが一時閉鎖にシステムに侵入した攻撃者の手により、不正な書き込みを行うなどの被害が発生
【セキュリティニュース】年末年始にかけてサイト改ざん、閲覧者に影響なし – 南紀白浜観光局：Security NEXT マルウェアの感染など、閲覧者への影響については否定している
南紀白浜観光局のWebサイト改ざんについてまとめてみた – piyolog 一部コンテンツが改ざんされた。弁護士や児童ポルノなどの画像が掲載されていたとみられる

新潟県警察

新潟県警HPへ不正アクセス、爆破予告など書き込まれる改ざん被害攻撃者は県警のサーバーを経由してインターネット掲示板にて、「神奈川県警の爆破予告」の書き込みを実施。更にホームページが改ざんされ、無関係な画像が貼り付けられるなどの被害が生じた
新潟県警察公式サイトなどの改ざん（画像設置）についてまとめてみた – piyolog 2018年12月、2019年1月と掲示板に画像参照させるURLやそのアーカイブが投稿されています。画像は対象のWebサイトとの関係がないものとみられ、何者かが設置した可能性があります。

市立取手小学校

学校アカウントでスパムメール1,523件送信、取手市内の小学校が不正アクセス被害攻撃者は不正に乗っ取ったメールアカウントを悪用して、外部へ1,523件ものスパムメールを送信。
【セキュリティニュース】小学校の代表メールが乗っ取り、スパムの踏み台に – 取手市：Security NEXT 代表メールアカウントが乗っ取られ、スパムメールを送信するための踏み台に悪用されたほか、送受信したメールを閲覧された可能性／部性アクセスを受けた原因はわかっていない。問題のメールアカウントでは、8桁以上で英数字の大文字と小文字が混在するパスワードを利用していた

アルファメール（大塚商会）

【アルファメール/アルファメールダイレクト】お客様ご利用のWeb環境に対する不正アクセス発生のご報告(1/25 11:35更新) ｜お客様マイページ｜大塚商会公式のアナウンス
【セキュリティニュース】ホスティングサービスに不正アクセス、約5000サイトが改ざん – 利用者CMS経由でOS侵害：Security NEXT 「WordPress」を踏み台として、ウェブサーバが稼働するOSの脆弱性を突いた不正アクセスを受けた→WordPressのアカウント情報が漏れて、WP経由でOSの脆弱性を突くことができた、ということっぽい。
アルファメールのWebサーバーに不正アクセス、不正ファイルがWeb上に設置される（大塚商会） | ScanNetSecurity 一部のユーザーアカウントが利用され不正なファイルがWebサーバー上に置かれた
ホスティングサービス「アルファメール」で不正アクセス、WordPressを踏み台にウェブサーバーOSの脆弱性を突かれる – INTERNET Watch
国内ホスティングのっとりを主張する投稿について調べてみた – piyolog 関連情報まとめ、考察。一番わかりやすい。

学研

「Beyond Publishing」に不正アクセス、利用者情報712名分が流出の可能性（学研プラス） | ScanNetSecurity 個人情報流出の可能性があるのは、同サイトの環境下で提供している「学研図書ライブラリー」サービスの利用者最大712人の氏名、ニックネーム、メールアドレス
ウェブサイトへ不正アクセス　学研プラス | 中小企業情報セキュリティ.COM 学研プラスが運営する「Beyond Publishing」が不正アクセスを受け、利用者情報が外部に流出した可能性
学研プラスのサービスが不正アクセス被害、ユーザー情報712件流出の可能性開発委託先業者より同サイトに内在する脆弱性に関する通知を受けた／調査を実施したところ、実際に不正アクセスを受けた痕跡が発覚
【セキュリティニュース】学研の電子書籍配信サービスに不正アクセス – 個人情報流出の可能性：Security NEXT 同サイトを開発した委託先から脆弱性に関する連絡があり、調査を行ったところ不正アクセスの痕跡を確認

釣りビジョン

【セキュリティニュース】つり番組サイトに不正アクセス – 「脆弱性診断ツール」を悪用か：Security NEXT 正アクセスを受けたデータベースを削除。個人情報を取得するフォームの運用を一時中止
SQLインジェクション攻撃で個��情報約6万4千件が流出、株式会社釣りビジョン何者かが脆弱性診断ツールを悪用しSQLインジェクション攻撃を仕掛け、サーバー内に侵入した痕跡が発見された

ベーシック社

ベーシック社不正アクセス被害｜仮想通貨発掘が目的か、情報流出確認されず攻撃者は同社従業員が利用していたAWSアクセス権限を悪用して仮想サーバーを設置。その後、仮想通貨「Ethereum」の発掘を目的にしたと思われるシステムを起動

海外の事例

韓国の支援センターが不正アクセス被害、脱北者情報約1,000件が流出何者かのサイバー攻撃を受け、脱北者らおよそ1,000名の個人情報が流出／流出の原因はマルウェア感染によるもの。／職員はガイドラインを守らず端末を運用
ニュージーランドの仮想通貨交換所Cryptopiaが不正アクセス被害の可能性攻撃によりクリプトピアから大量の仮想通貨が流出した可能性がある
オーストラリアの気象情報サービスの不正アクセスについてまとめてみた – piyolog 何者かにより勝手に通知メッセージ（スパム）が送信される被害が発生
不正アクセス被害でHIV患者らの個人情報1万6,000件が流出｜シンガポール保健省容疑者はシンガポール人の医師とパートナー関係にあり、医師が持つアクセス権限を利用し流出に関わったものと見られています

システム不具合・管理ミスによるお漏らしなど

個人情報の流出などのニュースです。制作側の技術力の問題であるパターンもありますが、ヒューマンエラーが原因の場合がかなりあります。出来る限り、ヒューマンエラーの入り込む余地のないシステムづくりが重要なのかなと思います。

熊本県天草広域本部

結核患者の個人情報を誤ってホームページに掲載｜熊本県天草広域本部情報流出の原因はアップロードの際の操作ミス／本来掲載するべきサンプルファイルの代わりに、男性が記入したものが掲載されていた

ケーズデンキ

パソコン出張サポートの申込者情報がインターネット上で閲覧可能状態に（ケーズホールディングス） | ScanNetSecurity 同社が提供するパソコン出張サポートの申込者情報がインターネット上で閲覧可能だったことが判明
ケーズデンキ、PC出張サポートサービス申込顧客98名の情報が流出同社が提供するパソコン出張サポートを申込んだ顧客情報合計98件が、インターネット上で自由に閲覧可能な状態にあった
【セキュリティニュース】PC出張サポート申込者の個人情報が閲覧可能に – ケーズデンキ：Security NEXT 同社では問題のサイトを閉鎖。対象となる顧客に説明と謝罪を行っている。

ユニクロ

国内外の社外協力者804名の個人情報が流出の可能性（ユニクロ） | ScanNetSecurity 同社の商品開発や販売促進に協力する国内外の社外協力者の個人情報を管理するWebサイトのURLとユーザーID、パスワードがインターネット上に公開され、協力者の一部804名（日本448名、海外356名）の個人情報が流出した可能性が判明
【セキュリティニュース】社外協力者の個人情報が流出した可能性、関連情報がネット上に – ユニクロ：Security NEXT 情報を管理していたウェブサイトの関連情報が15カ月以上にわたりインターネット上で公開された状態だった
ユニクロ、社外協力者の個人情報804件が流出の可能性社外協力者の情報を管理するWEBサイトのURLやユーザーID、パスワードがインターネット上に公開されていた

ポニーキャニオン

システム障害で会員情報27件を誤表示、ポニーキャニオンショッピングクラブ顧客データ管理に関するシステムプログラム上の障害及びチェック上の不備が原因。本来別個の個人情報が同一のものと認識され、第三者が閲覧した可能性がある
【セキュリティニュース】通販サイトで個人情報を誤表示、プログラム不具合で – ポニーキャニオン：Security NEXT 同サイトで購入手続きを行い、レジ画面に進むと他会員の個人情報が表示される状態だった

ケイアイスター不動産株式会社

設定ミスで個人情報30件が閲覧可能な状態に｜ケイアイスター不動産株式会社プレゼントキャンペーンにて、当選者の住所や氏名など個人情報30件が流出／閲覧者を管理者のみに設定すべきところを、当選者も閲覧できる設定になっていた
【セキュリティニュース】SNSサイト「ふどうさん女子」で一部会員情報が閲覧可能に：Security NEXT 閲覧権限の設定を誤り、インターネット上に保存されたプレゼントの当選者情報が第三者より閲覧できる状態となっていた

ウェブマガジン「KODE」

【セキュリティニュース】会員登録時に他顧客情報を表示 – ウェブマガ「KODE」：Security NEXT 会員登録を途中で中止した顧客の個人情報がキャッシュに残存し、会員登録を行おうとした別の顧客の画面上に表示される状態となった

宅配買取サービス「買取now」

【セキュリティニュース】「買取now」で他顧客情報を表示 – キャッシュ設定ミスで：Security NEXT 申込登録時に個人情報を入力し、確認ページで修正を行った場合に他顧客情報が表示される可能性があった

サーファー向け情報サイト「波通」

【セキュリティニュース】サーファー向け情報サイトでパスワードなど流出：Security NEXT 会員のメールアドレスと平文のパスワード1万9700件が外部に流出／原因については断定できないものの、不正アクセスによる流出の可能性が高いと説明

Dos攻撃

「艦これ」に海外から攻撃的な大量接続　「グラブル」「プリコネ」にも同時に – ITmedia NEWS 海外から攻撃的な大量接続を受け、ゲームに接続しづらい状態になった
艦隊これくしょんへのDoS攻撃についてまとめみた – piyolog DoS攻撃とみられる影響（Twitter公式では「飽和接続攻撃」と表現）により、接続障害が発生
ロシア外務省が発表した公式サイトへのサイバー攻撃についてまとめてみた – piyolog 外務省ウェブサイトがサイバー攻撃を受けていたと発表

WordPressなどCMS・ソフトウェア関連

WordPress

JVNDB-2019-000001 – JVN iPedia – 脆弱性対策情報データベース WordPress 用プラグイン spam-byebye には、反射型のクロスサイトスクリプティング (CWE-79) の脆弱性が存在／対策[アップデートする]開発者が提供する情報をもとに、最新版へアップデートしてください。
【セキュリティニュース】WordPress向けスパム対策プラグインにXSSの脆弱性：Security NEXT 同プラグインの設定ページへアクセスできるユーザーが影響を受ける
【セキュリティニュース】WP用プラグインの開発者サイトに不正アクセス、顧客にメール – 元従業員が侵入か：Security NEXT 攻撃を行ったのは元従業員で、SSHの古いパスワードや過去にのこしたバックドアを利用したもの
【セキュリティニュース】WP向け寄付管理プラグインに深刻な脆弱性 – ゼロデイ攻撃発生中：Security NEXT プラグイン「Total Donations」に深刻な脆弱性が含まれていることがわかった／パッチの提供に向けて、開発者に連絡を取ろうと試みたが返事はなく、メンテナンスはすでに行われていないと見られている

Drupal

【セキュリティニュース】「Drupal」に複数の深刻な脆弱性 – アップデートが公開：Security NEXT リモートよりPHPコードの実行が可能となる脆弱性が判明

Adobe製品

【セキュリティニュース】「Adobe Acrobat/Reader」が定例外アップデート – 当初より重要度を格上げ：Security NEXT 悪用は確認されていないが、重要度を当初より格上げ

啓発・注意喚起

「カード有効期限が切れています！」Amazonかたるフィッシングメール出回る – ITmedia NEWS 件名には、「Amazoneプライムのお支払いにご指定のクレジットカード有効期限が切れています！」と書かれ、送信先のメールアドレスも書かれているという
インターネットの安全・安心ハンドブック[みんなでしっかりサイバーセキュリティ] 内閣サイバーセキュリティセンター（NISC）では、サイバーセキュリティに関する普及啓発活動の一環として、ハンドブックを作成▲こちらのリンクではPDF版がダウンロードできます。
インターネットの安全・安心ハンドブック[みんなでしっかりサイバーセキュリティ] ▲こちらのリンクではKindle版がダウンロードできます。