「SecureOWL」は2022年4月1日付で、 京セラコミュニケーションシステム株式会社(KCCS)から エムオーテックス株式会社(MOTEX)へ事業統合されました。

NTTドコモを騙るフィッシング詐欺、被害額1億円に
~2021年10月の気になるセキュリティニュース~ セキュリティニュース

2021年11月9日

セキュリティニュース一覧

トピックスを紹介します。

NTTドコモを名乗るフィッシング詐欺による被害額が、1億円に上るとの報道がありました。フィッシングの報告件数は年々増加傾向にあり、コロナ禍に伴うテレワークの広まりや、ECサイトの利用増がひとつの要因ともされています。
フィッシングは、決して個人だけの問題ではありません。組織内のネットワークにアクセスするための認証情報を提供させる、マルウェアをインストールさせるなど、多段階にわたる攻撃の第一段階でフィッシングメールを利用されるケースも想定されるため、組織には、その対策や従業員への教育が求められると考えます。

・NTTドコモ SMSでフィッシング詐欺 1億円被害
株式会社NTTドコモは、利用者のスマートフォンにドコモを名乗るSMS(ショートメッセージサービス)が届き、不正にギフトカードなどを購入させるフィッシング詐欺の被害が発生したことを公表しました[1]。被害は約1,200人、被害金額は1億円に上るとしています[2]。同社では、フィッシングSMS内のURLや電話番号にはアクセスしないよう呼びかけ、万が一不正なアプリをインストールした場合には、アプリをアンインストールするよう注意を促しています。

主なマルウェア・不正アクセス関連の記事を紹介します。

・三菱電機に不正アクセス、子会社の顧客情報流出
三菱電機株式会社は、同社が管理するネットワークが第三者から不正アクセスを受け、同社子会社である三菱電機インフォメーションシステムズ株式会社の顧客情報が流出したことを公表しました[3]。流出した情報に機密情報など重大な情報は含まれておらず、顧客への影響はないとし、同社では調査を進めています[4]。

・オリンパス米法人、不正アクセスで一部データ流出の可能性
医療機器大手のオリンパス株式会社は、同米国法人のITシステムが不正アクセスを受け、一部のデータが流出した可能性があることを公表しました[5]。不正アクセスはマルウェアによるものとし、同社では調査を進めています。一時的に米州地域における事業活動に混乱が生じましたが、現時点で他の地域への影響は確認されていないとしています[6]。

・千葉市運営のポイント事業に不正アクセス 個人情報流出のおそれ
千葉市は、市内のボランティア活動の参加者などに地域ポイント「ちばシティポイント」を付与する、業務委託先の実証実験のサーバーが不正アクセスを受け、約1万9,000人分の個人情報が外部に流出した可能性があることを公表しました[7]。SQLインジェクション攻撃が行われたとし、同市では調査と再発防止策のためセキュリティ強化を進めるとしています[8]。

主要なOS、ミドルウェアにおけるインシデントを紹介します。

該当する製品を利用されている場合は、システムへの影響などに鑑み、対策などを速やかに実施することが推奨されています。

・「Apache HTTP Server」のゼロデイ脆弱性、国内でも攻撃を確認
JPCERTコーディネーションセンター(JPCERT/CC)は、「Apache HTTP Server」にパストラバーサルの脆弱性(CVE-2021-41773)があるとして注意喚起を公開しました[9]。 本脆弱性が悪用されると、ドキュメントルート外のファイルであっても、明示的にアクセス制限を行っていない場合に漏えいする可能性があるとしています。本脆弱性を悪用した攻撃は既に国内でも確認されているとし、同センターではThe Apache Software Foundationが公開している情報を確認し、速やかに対策を適用するよう呼びかけています[10]。

・Ghostscriptの任意のコマンド実行が可能な脆弱性(CVE-2021-3781)に関する注意喚起
JPCERT/CCは、PostScriptファイルやPDFを処理するインタプリタ「Ghostscript」に、任意のコマンドを実行されるおそれがあるとして、注意喚起を公開しました[9]。同ソフトや依存するソフトウェアを利用している場合には、速やかに対策を講じるよう推奨しています[10]。

・Oracle社製品、クリティカルパッチアップデートに関する注意喚起
JPCERT/CCは、Oracle社の複数の製品に対するクリティカルパッチアップデートに関する注意喚起を公開しました[11]。脆弱性が悪用された場合、リモートからの攻撃により不正に操作されたり、機微な情報を不正に削除・改ざんされたりする可能性があるとして、速やかに修正プログラムを適用するよう呼びかけています。

・「Movable Type」XMLRPC APIにおける脆弱性(CVE-2021-20837)に関する注意喚起
JPCERT/CCは、シックス・アパート株式会社の「Movable Type」の、XMLRPC APIにおけるOSコマンドインジェクションの脆弱性(CVE-2021-20837)に関する注意喚起を公開しました[12]。本脆弱性が悪用された場合、遠隔の第三者が任意のOSコマンドを実行できる可能性があるとしており、同社の公開情報を確認し、速やかに対策を適用するよう推奨しています[13]。

その他、政府・業界動向などに関連する記事を紹介します。

・IPA 「DX白書2021」を公開
情報処理推進機構(IPA)は、企業におけるDXの動向などを取りまとめた「DX白書2021」を発行しました[14]。同白書では、米国企業との比較において、国内企業における意識の低さや対応の遅れなどの日米の差が明らかとなり、課題の多さが目立つ結果となったとの報道もされています[15]。

出典

最後に

本記事は、2021年10月に報道されたセキュリティニュースをもとに、特に注目するセキュリティ情報を掲載しています。
注目するセキュリティニュースをまとめて掲載することで、読者の皆さまがよりセキュリティに興味を持ち、日々の対策にご活用いただくきっかけとなれば幸いです。


京セラコミュニケーションシステム株式会社
セキュリティニュースチーム

掲載されている情報は、発表日現在の情報です。最新の情報と異なる場合がありますのでご了承ください。

ページトップへ