資産運用会社から個人情報が大量流出【セキュリティ注目トピック】
個人情報を扱う企業は、情報の流出を防ぐためにさまざまな対策を立てている。だが、攻撃者は各種の手法を織り交ぜて攻撃を仕掛けてくる。どうすれば対策を改善できるだろうか。
2024年12月9日を含む前後の週では、個人情報の流出に関連したニュースが関心を集めた。流出のきっかけはパスワード管理の失敗やランサムウェア感染などさまざまだ。
個人情報流出の可能性、危険な脆弱性も公表される
あいざわアセットマネジメントやキッザニア東京、サイゼリアなど個人情報流出に関するニュースの他、Adobe Systems、Ivanti、Microsoft、SAP、Splunkは多数の脆弱(ぜいじゃく)性を発表した。ユーザーにどのような影響があるのだろうか。発生したインシデントや見つかった脆弱性について、詳しくみていこう。
●2024年12月6日
あいざわアセットマネジメントは個人情報の流出について調査結果を発表した。同社のクラウドeメールサービスが外部から不正アクセスを受けたことによる情報漏えいだ。2024年5月13日に同社の特定の社員から顧客へ、投資を促すスパムメール811通が不正に送られた。調査の結果、2024年4月28日〜同5月13日に複数の不正アクセスによって同サービスのメールサーバに保存されていた約2年分のメールが漏えいしていたことが分かった。漏えいした個人情報は合計2540人分だという。同社は漏えいのパターンを10種類に分類しており、最も人数が多かったのは1103人の投資家候補や同業者、投資先、投資先関係者の担当者名、メールアドレス、法人名、所属部署・役職、電話番号、パスポート番号、住所、年齢だった。
同社によると漏えいの原因は定期的なパスワードの変更を実行していなことと、二段階認証の導入を検討したものの対応していなかったことだという。第三者調査機関によるフォレンジック調査によると、漏えいした原因の可能性として、同社の特定の社員が外部サイトに登録していたパスワードが漏えいした可能性がある。なお、顧客に送られたメールにはマルウェアは含まれていなかったという。
KCJ GROUPはキッザニア東京から個人情報が流出した恐れがあると発表した。2024年10月16日に同社のWebサイトへの不正アクセスを検知し、同10月17日に個人情報流出の恐れがあることが分かった。外部専門機関の協力を得て調査した結果、2024年10月17日以前にキッザニア東京の予約時に登録された顧客の個人情報2万4644件(氏名、メールアドレス、電話番号、住所)が不正アクセスされたことが分かった。
●2024年12月10日
サイゼリアは不正アクセスによる個人情報漏えいについて発表した。2024年10月5日以降にシステム障害が発生して一部サービスが停止したため原因を調査したところ、2024年10月13日にランサムウェア攻撃を受けたことが分かった。その結果、従業員や元従業員、従業員の家族に関する氏名、住所、生年月日、電話暗号、メールアドレスなど5万8853件の個人情報が漏えいした恐れがあることが分かった。この他、取引先企業の従業員の氏名、住所、メールアドレス、電話番号など2234件が漏えいした可能性もあるという。
Ivantiは「Ivanti Cloud Services Application」についてセキュリティアドバイザリを発表した。同製品はセキュアな通信と機能をインターネット上で提供するインターネットアプライアンスだ。脆弱性は3つあり、リモートで認証されていない攻撃者が管理者アクセスを取得できる「CVE-2024-11639」が最も危険だ。共通脆弱性評価システム「CVSSv3.1」のベーススコアは「10.0」、評価は「critical」だ。コマンドインジェクションを引き起こす「CVE-2024-11772」とSQL インジェクションを起こす「CVE-2024-11773 」はそれぞれ「9.1」でもいずれも(Critical)だ。
SAPは月間セキュリティアドバイザリを発表した。13件の脆弱性に対処した。Java用の「SAP NetWeaver AS」 (Adobe Document Services)における複数の脆弱性「CVE-2024-47578」が最も危険で、CVSSv3.1のベーススコアは「9.1」、評価は「critical」だ。
Splunkは「Splunk Enterprise」で見つかった脆弱性についてセキュリティアドバイザリを発表した。脆弱性は5件ある。最も危険なのは同製品に含まれる「Splunk Secure Gateway」アプリケーションで、信頼できないデータのデシリアライズに起因してリモートコードが実行される脆弱性「CVE-2024-53247」だ。CVSSv3.1のベーススコアは「8.8」、評価は「hot news」だ。
●2024年12月11日
JPCERTコーディネーションセンター(JPCERT/CC)は、Microsoftの脆弱性について注意喚起を発表した。Microsoftが公開した「2024年12月のセキュリティ更新プログラムのうち、Windows共通ログファイルシステムドライバーの特権の昇格の脆弱性「CVE-2024-49138」が悪用されているため、Windows Updateなどを用いたセキュリティ更新プログラムの適用が必要だとした。
Adobe SystemsはAdobe Acrobatと同Readerの脆弱性情報についてセキュリティ情報を発表し、JPCERT/CCが注意喚起した。同社が「APSB24-92」と命名した脆弱性を悪用したコンテンツをユーザーが開いた場合、任意のコードの実行やメモリリーク、アプリケーションのサービス拒否任意につながる可能性があるという。この脆弱性は6つの脆弱性を含んでおり、任意のコードが実行される「CVE-2024-49530」はCVSSv3.1のベーススコアが「7.0」で評価は「high」だ。
ポンプを製造、販売する浪速ポンプはランサムウェア攻撃を受けたことを発表した。2024年9月10〜14日に第三者が不正に認証情報を取得し、同社のサーバにアクセスしてランサムウェアを実行した結果、ファイルが暗号化された他、同社従業員と取引先企業の従業員の個人情報(氏名、会社名、生年月日、性別、住所、電話番号、会社用の電話番号、会社用のメールアドレス)が漏えいした可能性があるという。漏えい件数は公表していない。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
3億人分の情報漏えい事件から見えた、金銭では済まない代償とは
3億人以上が対象となった個人情報漏えい事件が決着を迎えた。個人情報漏えいに対しておわびだけで済ませる事例が多い中、多額の罰金が科せられた。だが罰金だけでは済まなかった。
ネットワーク障害のはずが……5000万顧客情報が漏えいか 情報開示をミスった送金事業者
サイバー攻撃で被害に遭う業界はさまざまだ。攻撃対象も個人情報や取引先の情報、業務上の秘密、業務を遂行するために必要なIT、インフラを制御するITシステムなど、多岐にわたる。ではどのような業界が攻撃されると最も被害が大きくなるのだろうか。
「最も危険な脆弱性」とは何か Googleの研究者が発見
Google傘下のMandiantの調査によれば、攻撃者が悪用する脆弱性の性質が変わってきたという。攻撃者は最も危険な脆弱性を集中的に狙っていた。