日付 |
タイトル・内容 |
31日 |
|
|
|
【状況】
メールで「ログイン認証をリセットする必要がある」、「カードの期限切れ」、「請求先住所が変更されている可能性がある」などとだまし、Googleの短縮URLサービスを用いてフィッシングサイトへ誘導。
フィッシングサイトは、フィリピンの企業が運営していると見られる旅行サービスサイトを改ざんし設置され、正規に発行されたSSL証明書を用いて接続されるためSSL証明書により接続時にブラウザ上で「鍵マーク」が表示される。
遷移先ページで氏名や住所、電話番号のほか、クレジットカード番号やセキュリティコード、有効期限などをだまし取る。
【対応】
協議会はフィッシングサイトの停止に向けてJPCERTコーディネーションセンターに調査を依頼。類似した攻撃へ注意するようアナウンス。 |
|
|
|
|
|
31日 |
|
|
|
【状況】
資生堂子会社のイプサが不正アクセスを受けた問題の調査結果を追公表。
オンラインショップの登録個人情報(顧客の氏名や住所、電話番号、性別、生年月日、職業、メールアドレス、ログインパスワード、購入履歴など)42万1313件に加え、未登録の150件流出。
さらにクレジットカード情報(会員名、番号、住所、有効期限)も、当初の5万6,121件以外に、9,699件が情報漏えいした可能性。
【経緯・原因】
通販サイトへの不正アクセスによる顧客情報が流出が2016年11月に決済代行業者の指摘で発覚。
2015年12月から不正アクセスがあり、2016年8月、10月に同じ攻撃者による2台のウェブサーバ攻撃によりバックドアが設置された。
本来クレジットカード情報を保持しない設計としていたが、立ち上げ時に利用していたデバッグモードのまま運用し、決済処理のログが残っていた。
またサイトの開発事業者から保守運用事業者に情報が引き継がれておらず、デバッグモードのまま運用。
【対応】
eコマースサイトの再構築を進め、クレジットカード情報を同社サイト上で入力を求めない決済システムを導入予定。
運用体制見直しを実施し、6月にサイトを再開予定。 |
|
|
|
|
|
31日 |
|
|
|
【状況】
中国の脆弱性情報サイト「WooYun」でDBを不正に操作される「SQLインジェクション」の脆弱性を持つ日本国内のウェブサイトが多数明らかとなった。
政府機関5件や株式上場企業21件をはじめ、地方自治体5件や団体35件、教育機関27件などを含み、セキュリティを踏まえた上でのウェブサイト開発や脆弱性の検証作業などがほとんど実施されていないと現状を指摘。
【対応】
IPAはこれら248件のサイト運営者に対して脆弱性検査を至急実施するよう注意を喚起。
「SQLインジェクション」以外にも脆弱性が含まれるウェブサイトが公開されており、ウェブサイトの開発者や運営者へセキュリティ対策を講じるよう呼びかけた。 |
|
|
|
|
|
31日 |
|
|
|
IPAが、新たな法制度やガイドラインに対応した「組織における内部不正防止ガイドライン」第4版を公開。
ガイドラインは、企業や組織に求められる内部不正対策を効果的に実行するための指針をまとめ、資産管理や技術的管理、証拠確保、コンプライアンス、職場環境、事後管理など10の観点で、30項目の具体的な内部不正対策を提示。
付録では、内部不正に関する調査で得られた事例を紹介。組織内における内部不正対策の状況を把握するためのチェックシート、対策のヒントとなるQ&Aなどを提供。 |
|
|
|
|
|
31日 |
|
|
|
警視庁は約218万円分のビットコインを詐取したとして、電子計算機使用詐欺罪などで起訴されていた容疑者を、不正取得した仮想通貨「ビットコイン」をマネーロンダリング(資金洗浄)する目的で、換金して他人の口座に送金したとして追送検した。
ビットコインでの資金洗浄行為を立件するのは全国初。
不正入手した他人名義のクレジットカードの情報で購入した計41万5千円分のビットコインを日本円に換金し、他人名義の口座に振り込んだ容疑。
容疑者は、米国のコイン交換サイトに架空名義の複数のアカウントを開設し、アカウント間でコインを次々と移動させて購入元を分かりにくくしていた。 |
|
|
|
|
|