4月12日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

○カプコン、不正アクセス事件に関する調査結果の続報

カプコンは4月13日、2020年11月4日に発生した不正アクセスに関する調査結果の第4報を公開した。

調査報告書によると、社内ネットワークへの不正侵入は、2020年10月に同社の北米現地法人「Capcom U.S.A」が保有していた予備の旧型Virtual Private Network(以下、VPN)装置がサイバー攻撃を受けたためと結論づけている。

当時、カプコングループでは新たなVPN装置を導入していたが、Capcom U.S.Aの所在地であるカリフォルニア州にて新型コロナウイルス感染症が急拡大し、ネットワーク負荷が増大。通信障害などが発生した際の緊急避難用として旧型のVPN装置1台を残していた。この旧型VPN装置を経由して情報が窃取された模様。現時点でこのVPN装置は廃棄済み。

カプコンは以前から境界型のセキュリティ対策を行っており、Security Operation Center(SOC)やEndpoint Detection and Response(EDR)といった防御策の導入に着手していた。しかし、新型コロナウイルス感染症の拡大でインフラ整備を優先。結果として、検証の途上で今回の不正アクセスが発生した。

なお、カプコングループのシステムは現時点でほぼ復旧。新設したセキュリティ監督委員会と連携して、継続的にセキュリティおよび個人情報保護の強化を図っていくとしている。
○スマートフォンアプリ「ぐるなび」に脆弱性

ぐるなびのスマートフォンアプリ「ぐるなび」に脆弱性があり、修正を図ったアップデートを公開中。修正前のバージョンは以下の通り。

Android アプリ「ぐるなび」 ver.10.0.10以前
iOS アプリ「ぐるなび」 ver.11.1.2以前

脆弱性はアクセス制限不備。アプリには、Custom URL Schemeを使用してリクエストしたURLにアクセスする機能を実装しているが、これを悪用して任意のアプリからリクエストを受け取ってアクセスを実行し、任意のWebサイトにアクセスしてしまう可能性がある。フィッシングサイトへの誘導に悪用される可能性もあるので注意が必要だ。利用しているユーザーはアップデートしておくこと。
○白泉社のホームページが不正改ざん被害

白泉社は4月14日、同社のホームページが第三者からの改ざん被害に遭ったことを明らかにした。改ざん期間は2021年4月11日未明〜2021年4月12日午後17時半ごろ。

改ざんは一部ページに不正コードを加えていたもので、アクセスすると悪意あるサイトへ自動的に飛ばされてしまう。上記の改ざん期間中に白泉社のホームページにアクセスした人は、マルウェアなどが感染した可能性がある。白泉社は、セキュリティソフトを使って感染の有無を確認し、感染していた場合は駆除を行うよう呼びかけている。なお、改ざんによる個人情報の流出はない。
○カステラ本舗長崎異人堂、不正アクセスによってクレジットカード情報流出

異人堂は4月12日、同社が運営する「カステラ本舗長崎異人堂」が不正アクセスを受けたことを明らかにした。システムの一部の脆弱性をついたペイメントアプリケーションの改ざんによるもの。

今回の不正アクセスは、2020年11月20日にクレジットカード会社からの連絡を受け発覚。同日、クレジットカードによる決済を停止した。

調査の結果、2019年11月29日〜2020年11月20日の期間に、同サイトで商品を購入した人のクレジットカード情報が流出した可能性が判明。一部のクレジットカードについては不正利用も確認している。流出したのは、クレジットカード情報738件(709名)。情報の詳細は、カード名義人名、クレジットカード番号、有効期限、セキュリティコード。

異人堂は該当する顧客に対し、電子メールと書状にて謝罪とお知らせを送付。クレジットカード会社と連携して、クレジットカードのモニタリング実施するとともに、顧客には利用明細に身に覚えのない請求項目がないか確認するよう注意を呼びかけている。

今後は、システムのセキュリティ対策と監視体制を強化し、再発防止に努めるとのこと。サイトの再開日については決定しだい告知する。
○BTCボックス、メール配信システムが不正アクセス被害

BTCボックスは4月12日、同社が利用しているメール配信システムが不正アクセスを受けたことを明らかにした。

不正アクセスは2021年4月6日3時ごろに発生。攻撃者は、BTCボックスのシステムと外部メール配信システムに不正接続し、顧客に対してBTCボックスの名前を騙った詐欺メールを送っていた。この不正アクセスで使用されたメールアドレスと、サーバー内に保管していた一部の本人確認用の画像データが流出した可能性があるという。

BTCボックスは、外部から対象となるサーバーへのアクセスを制限し、合わせて外部へ出る情報も制限した。なお、この不正アクセスによって、顧客から預かっている資産やその他の個人情報に影響はないとのこと。詳細は現在も調査中。
○マイクロソフト、4月のセキュリティ更新プログラムをリリース

マイクロソフトは4月14日、4月のセキュリティ更新プログラムを公開した。対象ソフトは以下の通り。

Azure AD Web Sign-in
Azure DevOps
Azure Sphere
Microsoft Edge (Chromium-based)
Microsoft Exchange Server
Microsoft Graphics Component
Microsoft Internet Messaging API
Microsoft NTFS
Microsoft Office Excel
Microsoft Office Outlook
Microsoft Office SharePoint
Microsoft Office Word
Microsoft Windows Codecs Library
Microsoft Windows Speech
Open Source Software
Role: DNS Server
Role: Hyper-V
Visual Studio
Visual Studio Code
Visual Studio Code – GitHub Pull Requests and Issues Extension
Visual Studio Code – Kubernetes Tools
Visual Studio Code – Maven for Java Extension
Windows Application Compatibility Cache
Windows AppX Deployment Extensions
Windows Console Driver
Windows Diagnostic Hub
Windows Early Launch Antimalware Driver
Windows ELAM
Windows Event Tracing
Windows Installer
Windows Kernel
Windows Media Player
Windows Network File System
Windows Overlay Filter
Windows Portmapping
Windows Registry
Windows Remote Procedure Call Runtime
Windows Resource Manager
Windows Secure Kernel Mode
Windows Services and Controller App
Windows SMB Server
Windows TCP/IP
Windows Win32K
Windows WLAN Auto Config Service

脆弱性についてのセキュリティ更新プログラムは、緊急5件、重要5件。修正内容はリモートでのコード実行、情報漏洩など。ほかにも、既存の脆弱性情報1件を更新している。今月の「悪意のあるソフトウェアの削除ツール」では、新たに CobaltLoader.A/IISExchgSpawnCMD.A/Kwampirsなどに対する定義ファイルを追加した。