先週のサイバー事件簿 - Emotet被害が急増中、不審なメールに細心の注意を

©株式会社マイナビ

11月2日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

急増するEmotetによる攻撃 - Zloaderへの感染でさらなら被害を招く恐れ

ラックのサイバー救急センター(脅威分析チーム)は、2020年9月に「Emotet」による攻撃メールが急増したことで注意を呼びかけている。

Emotetは、感染すると端末の情報を摂取したり、スパムメールを送信するマルウェア。サイバー救急センターに寄せられたEmotetに関する問い合わせは、2020年8月以降増え続け、9月には50件を超えている。攻撃は金融機関などのサイトを中心に、仮想通貨取引所、ショッピングサイト、検索エンジンなどに広がる可能性があるという。

また、Emotetは、ほかのマルウェアをダウンロードするための呼び水にもなっている。ダウンロードされるマルウェアには、Trickbot、Qbot(Qakbot)、Zloaderなどがあり、サイバー救急センターが2020年9月に調査したケースでは、約90%がZloaderに感染していたという。

Zloaderは、オンラインバンキングの情報を窃取するためのマルウェア。追加モジュールをC2サーバーからダウンロードして、遠隔操作のためのVNC(Virtual Network Computing)や情報窃取が可能なキーロガーなどの機能を拡充する。

このZloaderの感染経路としては、3種類を確認済み。1つは2020年8月下旬から確認しているEmotet経由のもの。2つめは、2020年10月中旬に確認した不正なマクロ付きOfficeドキュメントファイルを実行してダウンロードするケース。3つめは、Webサイト上の不正広告を使ったエクスプロイトキット経由での感染。これは2019年12月下旬に確認済み。

日本の金融機関に対しては、2020年6月ごろ~10月まで攻撃が続いている。Zloaderはバージョンアップも頻繁で、初期バージョンが1.0.8.0だったものが、現在は1.6.28.0まで進化して攻撃機能も増加している。

Zloaderに感染しているかどうかは、レジストリキーを確認することで判断できるが、予防が第一だ。ウイルス対策の基本をまず守ること。OSと各種ソフトウェアは最新の状態にアップデートし、ウイルス対策ソフトのパターンファイルも最新に。メールでは、添付ファイルを開く前によく調べる癖をつける、本文記載のURLはクリックしない、などだ。マクロに関する警告が表示された場合は、安易にマクロを有効にしないこと。

関西医科大学、「Emotet」感染で不審メールを送信

学校法人関西医科大学は10月23日、一部職員のPCが「Emotet」に感染し、職員を装ったメールが送信されていることを明らかにした。

不審なメールは、過去に職員とメールで連絡を取った人に送られている。同大学が公用メールとして使用するメールアドレスは、「~@***.kmu.ac.jp」が基本となっている。そのため、同大学の職員を名乗るメールが届いた場合は、開封する前に発信元メールアドレスを確認すること。

同大学では、これ以外のメールアドレス、または心当たりのないメールアドレスから届いたメールに対しては、開封せずに削除するよう呼びかけている。なお、附属する各病院の電子カルテといった診療系ICTシステムは、インターネットに接続しない独立ネットワークで運用しているため、今回の感染の影響はない。

カプコン、第三者による不正アクセスでシステム障害

カプコンは11月4日、同社が第三者からの不正アクセスを受け、システム障害が発生したことを明らかにした。グループシステムの一部でメールやファイルサーバーにアクセスしづらくなっているという。

不正アクセスは2020年11月2日未明に発生。同日から社内ネットワークの稼働を部分的に見合わせている。公開した時点では、顧客情報などの流出はなく、同社のゲームをプレイするためのインターネット接続やホームページなどへのアクセスに影響はない。

上毛新聞愛読者クラブ「ジョモだち」が不正アクセスで情報流出

上毛新聞社は10月29日、同社が運営する「上毛新聞愛読者クラブ ジョモだち」で、会員情報の一部が流出したことを明らかにした。

調査によると、金銭を要求する不審な英文メールを受け取ったという会員や、セキュリティサービス提供会社からの情報で事件が発覚。流出件数は約5,000件で、メールアドレスとパスワード、氏名、住所、 生年月日などの登録情報が流出した可能性があるという。詳細は調査中。

現在は二次被害防止のため、「ジョモだち」へのログインと新規会員登録を一時停止中。会員に対しては、「ジョモだち」で使用しているメールアドレスとパスワードをほかのサイトでも使用している場合、これを変更するよう促している。また、パスワードの変更などを依頼する不審なメールなどが来ても、メールを開かないよう注意を呼びかけている。

保険代理店業務を行うライフィで個人情報流出

ライフィは10月29日、同社のサイトが不正アクセスを受け、個人情報が流出した可能性があると発表した。

不正アクセスは、10月13日に同社が管理するシステムに対して行われた。直ちに管理システムへの外部アクセスを遮断し、セキュリティ対策を追加で導入。アクセスログを解析したところ、個人情報の一部が流出した可能性があることが判明した。

流出した可能性のある個人情報は、氏名、住所、電話番号、メールアドレス、面談内容の記録など。保険契約情報や病歴といった情報も流出した可能性がある。原因や流出した個人情報の特定に向けて調査中とのこと。なお、クレジットカード番号の情報はない。

顧客に対しては、身に覚えのないメールや電話、郵便物などに注意するよう呼びかけている。

スマートフォンアプリ「Studyplus」に脆弱性

11月5日の時点で、スタディプラスのスマートフォンアプリ「Studyplus」に脆弱性を確認済み。対象のバージョンは以下の通り。

  • Studyplus v6.3.7 およびそれ以前(Android)
  • Studyplus v8.29.0 およびそれ以前(iOS)

脆弱性は、外部サービスのAPIキーがハードコードされているというもの。これにより、アプリ内のデータを解析して、外部サービスと連携するためのAPIキーを不正に窃取される可能性がある。すでに、APIキーをアプリ内から削除した修正版をリリース済み。

Google、Chromeの最新バージョン「86.0.4240.183」を公開

Googleは11月2日、Chromeの最新バージョン「86.0.4240.183」を公開した。アップデートは、Windows、macOS、Linux向けに提供する。

今回のアップデートでは、「高」7件の脆弱性を含む10件を修正している。脆弱性はユーザーインタフェースでの解放後メモリ使用、不十分なポリシー施行、JavaScript「V8」での不適切な実装、ヒープベースのバッファーオーバーフローなど。Chromeを使っている場合は、すみやかにアップデートすること。

トランクルーム運営のマリンボックスでクレジットカード情報が流出

11月2日の時点で、トランクルームを運営するマリンボックスのサイト「マリンボックス」において、顧客のクレジットカード情報が流出した可能性があることが判明した。

JCB、セゾン、楽天など複数のクレジットカード会社は、会員に対して、過去にマリンボックスを利用したことがある場合、明細に不審な点があるかどうかを確認するよう呼びかけている。