富士通にマルウェア被害、東京海上グループからは保険関連で5万件弱の情報漏えい：週刊セキュリティニュース

2024年7月8日週に起きた国内や海外の主要セキュリティニュースを中心に紹介する。

[畑陽一郎，キーマンズネット]

　2024年7月5日〜7月12日に報じられた主要セキュリティニュースをまとめて紹介する。日付は発表日に基づく。なお、ニュースソースが複数あるものはそのうちの一つを示した。

委託先から漏れる事例が続く

　委託先に預けた個人情報がランサムウェアによって漏えいする事例が続いている。前回取り上げたイセトーの事例は依然として被害が増え続けている。東京海上日動グループも委託先の髙野総合会計事務所から5万件弱の情報が漏えいした。

　この他、月例のWindowsセキュリティ更新プログラムや2024年8月に開催予定の「Black Hat USA 2024」について発表があった。

---

●2024年7月5日
　東海信金ビジネスは東海地区の一部信用金庫から委託を受けて、同社がダイレクトメールの印刷と発送を再委託しているイセトーがランサムウェア被害を受けた結果、顧客の個人情報が漏えいしたと発表した。漏えいしたのは2023年9月時点のダイレクトメール作成時に出力されるログデータ上の氏名で延べ7万7202件あるという。

　食品の製造販売に従事するユニテックフーズはサーバに対する不正アクセスのため、個人情報などが外部に流出した可能が高いと発表した。2024年6月24日に同社の従業員がサーバにあるファイルの拡張子が書き換えられていることを発見した。個人情報保護委員会と警視庁への報告を完了し、外部の専門機関の協力によりバックアップデータを用いてサーバを復旧した。

---

●2024年7月9日
　Microsoftが月例のWindowsセキュリティ更新プログラムを公開した。CVE（共通脆弱性識別子）で区別できる脆弱（ぜいじゃく）性が139件含まれている。深刻度が最も高い「Critical」と評価されている致命的な脆弱性は「CVE-2024-38023」「CVE-2024-38060」「CVE-2024-38074」「CVE-2024-38076」「CVE-2024-38077」の5つ。いずれもリモートでコードが実行される脆弱性だ。

　サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は脆弱性の一覧情報「Known Exploited Vulnerabilities Catalog」（KEV）の更新情報を発表した。Microsoftの「Hyper-V」で起きる権限昇格の脆弱性「CVE-2024-38080」と「Windows MSHTMLプラットフォーム」で起きるなりすましの脆弱性「CVE-2024-38112」だ。いずれもMicrosoftが更新プログラムを公開しており、ゼロデイ攻撃も起きているという。

　量子科学技術研究開発機構（QST）は2024年1月11日に起きたランサムウェア被害について発表した。被害に遭ったのは千葉市にあるQST病院の粒子線治療多施設共同臨床研究システム（J-CROS）、放射線治療症例全国登録システム（JROD）システムの2つ。いずれも診断業務用ネットワークとは独立しており、登録されている症例情報が匿名化されている上に患者の個人情報は含まれていないという。ただし、複数サーバ内のファイルが別名ファイルに置き換えられる被害を受けて匿名化された症例情報（J-CROSの約2.5万件、JRODの約45万件）の利用ができなくなった。攻撃を受けた原因としてネットワーク機器のソフトウェアを適切に更新していなかったことと、複数サーバの管理者アカウントで同一のパスワードを利用していたことを挙げた。

　オンラインコミュニティサイトのDark Readingでネイト・ネルソン氏は2024年8月3〜8日に開催される「Black Hat USA 2024」の内容を紹介した。メリーランド大学のエリック・ライ氏の研究によれば、AppleのWi-Fi測位システムが個人のWi-Fiアクセスポイントを収集するため、Apple製品を所有していない場合でも個人のWi-Fi情報（BSSID）を収集されてしまう。このデータはApple製品のユーザーでなくても自由に参照できるため、誰でも外部から特定個人を追跡できるとした。

---

●2024年7月10日
　富士通はマルウェア攻撃による個人情報を含む情報漏えいについて発表した。2024年3月15日に発表した情報の調査結果だ。ランサムウェア攻撃ではないものの「さまざまな偽装を行って検知されにくくするなど高度な手法によって攻撃を行う類いのものであり、発見が非常に困難な攻撃であった」という。まずマルウェアに1台の業務用PCが感染し、そこから国内の社内ネットワークに接続されていた49台のPCに広がったという。個人情報や顧客の業務に関連する情報が漏えいした可能性があるものの、数や内容などの詳細は公開していない。

　東京海上日動火災保険とグループのイーデザイン損害保険、東京海上日動あんしん生命保険は契約者などの個人情報が漏えいした可能性があると発表した。損害査定業務などの業務を委託している髙野総合会計事務所から、同事務所のサーバで暗号化を伴うランサムウェア被害が発生し、顧客の情報の漏えいの恐れが判明したという。東京海上日動火災保険からは保険の損害査定業務に関する情報と、一部委託先の財務状況など3968件が漏えいした可能性がある。契約者の氏名や被保険者の氏名、住所、電話番号などが含まれる。イーデザイン損害保険からは1万5438件、東京海上日動あんしん生命保険からは2万7906件の漏えいの可能性があるとした。なお、スルガ銀行も2024年6月26日に提携先の同会計事務所で管理されていた顧客情報がランサムェアの被害を受けたことを発表している。

　カオナビの子会社で労務管理クラウド「WelcomeHR」を提供するワークスタイルテックはサイバー保険に加入したことを発表した。同社は2024年3月、サーバの設定ミスにより顧客のマイナンバー情報など15万8929人分の個人情報が外部から閲覧できる状態になっていたと発表しており、実際に15万445人のデータが第三者にダウンロードされていた。

　JPCERT/CCは2024年7月9日にMicrosoftが公開したWindowsセキュリティ更新プログラムについて注意喚起を発表した。CVE-2024-38080とCVE-2024-38112はMicrosoftが悪用の事実を発表しており、CVE-2024-38112はCheck Point Softwareから同じく発表があったことを受けたものだ。

　Palo Alto Networksは同社のセキュリティ製品について主に5点の脆弱性を発表した。「CVE-2024-5911」では「Panorama」のWebインタフェースに脆弱性があり、任意のファイルをアップロードしたり、サービス拒否を実行できたりするという。

お詫び：タイトルを「富士通にランサムウェア攻撃」としておりましたが「マルウェア被害」の誤りでした。お詫びして訂正いたします（2024年7月17日）。