セキュリティ関連のトピックス

個人情報の流出やマルウェア関連などセキュリティ関連の話題

LINE 中国の委託先で個人情報にアクセス可能な状態に
Salesforce の設定不備で情報漏えい
ドコモ口座の不正利用
アバストが収集した個人データを販売
トレンドマイクロから個人情報流出
Facebook 5億4000万の個人情報が公開状態に
不正アクセスが減少し不正マイニングが拡大
Coinhiveの問題
フェイスブック個人情報流出
HP のドライバにキーロガー
中国製 Android端末のファームウェアにバックドア
iPhone のアカウント情報を抜き取る KeyRaider
lenovo の PC に個人情報流出の脆弱性
lenovo の PC に悪質なアドウェアがプリインストール

LINE 中国の委託先で個人情報にアクセス可能な状態に

2021年 3月17日に LINE の個人データへ中国の委託先がアクセス可能な状態だったことが報じられた。
内容的には 2018年に報じられた Gmail を外部の開発企業が閲覧していたのと同じで不正アクセスではなく、LINE の委託先が国内にある LINE のサーバへのアクセス権を取得していたというもので、中国の技術者 4 名が 利用者の名前・電話番号・メールアドレス・利用者が保存したメッセージや画像 へアクセスでき、2018年 8月から計 32 回のアクセスがあったという報道もある。

中国の委託会社は韓国NAVER の中国法人 NAVER China ( 北京 ) と LINE の孫会社 LINE Digital Technology ( 大連 )。

LINE 個人情報が閲覧可能　中国の技術者がアクセス32回

LINE は個人情報へのアクセスとは別件でユーザーデータの一部を韓国 NAVER のサーバに保存していることを発表。
利用規約に個人データを第三国へ移転することが明記されており、2014年には LINE の内容を韓国の国家情報院が盗聴・傍受してると FACTA が報じて話題になったので今更感はあるが、保存されているデータはトークで使用された画像や動画のほか個人情報を含んでいない LINE Pay の取引情報などで今後は国内サーバへの移行を計画しているらしい。

日本のLINE利用者の画像・動画全データ、韓国で保管

LINE は 2013年に情報保護の信頼性を証明する SOC 2 ・ SOC 3・ SysTrust の認証を受けているものの不正アクセスが後を絶たず先月には 3000 件の個人情報が漏洩しており、個人情報が国内サーバに保存されていたところで安全が保証されるわけでもない。

日本を含め欧米でファーウェイや ZTE など中国の通信会社を自国の通信設備から排斥する動きは安全保障上の脅威になるためで、TikTok など中国製アプリへの懸念も同じ理由だが、システム開発を韓国・中国の企業が行っている LINE を利用者が多いという理由からインフラとして地方自治体が利用する国内の現状は非常に危ぶまれる。

LINE は韓国 NAVER が設立した日本法人ハンゲームジャパン ( 後に NHN Japan に社名変更 ) が開発して国内で爆発的に広がった無料メッセージアプリ。
2012年に NHN Japan , NAVERジャパ , ライブドアが経営統合し 2013年 LINE 株式会社に社名変更。
2016年に上場するが 2020年に上場を廃止してソフトバンク , ソフトバンクの持株会社 Zホールディングス , 韓国NAVER , LINE の経営統合が図られ、現在は Zホールディングスの完全子会社となり、LINE の議決権割合は韓国NAVER とソフトバンクが 50 : 50 になっている。

Salesforce の設定不備で相次ぐ情報漏えい

顧客情報管理システム ( CRM ) を提供している「セールスフォース・ドットコム」のクラウドサービスを使用する企業の設定ミスで情報漏えいが相次いで発生している。

Salesforce の製品の設定不備による意図しない情報が外部から参照される可能性について PDF

Salesforce は 2016年にクラウド型営業管理システムをアップデートした際にシステムのデフォルト設定が変更になり、再設定が行われていなかった企業はクラウドに保存されていたデータにアクセスが可能な状態だった。

不正アクセスを公表した企業と流出した情報

楽天：最大 138万 1735件
期間 2016年1月～2020年11月
「楽天市場」の法人向け資料請求者と店舗情報 / 楽天Edy 故障端末の残高移行サービス申込者情報 / 楽天カードの事業者向けビジネスローン申込者情報
クラウド型営業管理システムへの社外の第三者によるアクセスについて
PayPay：最大 2007万 6016件
期間 2020年10月～2020年12月
加盟店に関する営業情報
当社管理サーバーのアクセス履歴について
イオン銀行：2,062件
来店予約・オンライン相談サービスの情報
「来店予約・オンライン相談サービス」システムへの第三者による不正アクセスについて
バンダイ / BANDAI SPIRITS：147件
期間 2020年12月～2021年1月
お客様相談センターのシステムに保管された氏名や電話番号などの情報
クラウド型営業管理システムの第三者による不正アクセスについて PDF
日本政府観光局 ( JNTO ) ：最大 4万 9774件
期間 2015年8月～2021年1月
賛助団体・会員情報・担当者情報 / JNTO 主催イベント情報及び参加者情報 / 海外に送付する印刷物関連情報
クラウド型情報管理システムへの第三者によるアクセスの可能性について
freee：2,898件
期間 2020年1月～2021年2月
「アカウント再設定申請」「料金・お支払い関連用問い合わせ」「人材募集」での問い合わせを行った際のメールアドレスや氏名などの情報
クラウド型お問い合わせ管理システムに対しての第三者によるアクセスの可能性について

地方自治体が提供しているアプリでも Salesforce の設定不備が発覚しており、奈良県香芝市 / 千葉県木更津市 / 神戸市 / 愛媛県西条市 / 兵庫県高砂市 / 大阪府寝屋川市 / 東京都東村山市 / 船橋市 / 茨城県守谷市の市公式アプリなどのほか、両備システムズが提供している自治体様向けシステム「 Web住民けんしん予約」「住民生活総合支援アプリ」「 i-Blend 」「 Net119 」を利用している 71団体で 13団体が不正アクセスを発表。

両備システムズクラウド型システムへの第三者からのアクセスについて

ドコモ口座の不正利用

2020年 9月電子決済サービスドコモ口座からの不正引き出しが発覚。
ドコモ口座は開設時に銀行口座の登録で本人認証が完了するため、口座情報と4桁の暗証番号があれば第三者がパソコンからメールアドレスのみでドコモ口座を開設でき、開設したドコモ口座へ銀行の口座から預金を引き出すことが可能になる。

不正利用はドコモ口座に留まらず PayPay やゆうちょ銀行と連携している決済サービスでも発覚した。

ドコモ口座に続きPayPayでも17件、ゆうちょ銀連携の6決済サービスで不正利用

ゆうちょ銀のVISAデビット「mijica」で不正送金 332万円

本人認証が口座登録で完了するドコモ口座のセキュリティも、本人認証なしにドコモ口座と連携する銀行のセキュリティも穴だらけだが、今回発覚した不正利用は被害にあったユーザーが報告しなければ発覚せず、当初は報告しても信用して貰えなかったという憂慮すべき実態がある。

銀行口座の登録が本人認証になっている以上、登録されている口座への送金は本人しかできないことが前提のシステムのため、銀行もドコモも送金が正常なのか不正なのか判断できない。

「ドコモ口座」の被害者「信じてもらえず憤り」補償求める

口座不正「隠蔽しようとした」ドコモに被害者憤り

ドコモ口座をはじめ不正利用が確認されたキャッシュレスサービスやゆうちょ銀行のデビットカードの送金は不正アクセスでの情報流出が確認されていないため「リバースブルートフォース」や「パスワードスプレー」など総当りの攻撃で口座情報が取得された可能性のほか被害者本人からの情報漏えいの疑いもあるが、口座情報の入手元に大きな謎が残っている。

ソフトバンクの代理店から口座情報が流出

ドコモ口座の不正利用は 2021年 1月 6日に電子計算機使用詐欺容疑で菅拓朗被告が逮捕され、2019年２月～８月の間に約６０人の口座から約 2,300 万円を不正に得ていたとされ、菅拓朗被告の捜査からソフトバンクからの顧客情報が流出が発覚。

他人のドコモ口座から１００万円不正引き出し容疑　３７歳逮捕

ソフトバンクは 2021年 3月 4日に 2015 ~ 2018年に訪問販売代理店で携帯電話を契約した 6,347 件の個人情報が不正に取得されていたことを公表。

訪問販売代理店でのお客さま情報の不正取得について

不正取得された情報は「氏名」「住所」「生年月日」「連絡先電話番号」「携帯電話番号」「携帯電話機の製造番号」「交換機暗証番号」「料金支払い用の金融機関名と口座番号」で、流出した情報の中に菅拓朗被告が使用した約 60名の口座情報も含まれていた。

流出した個人情報には暗証番号は含まれていないが口座情報が取得できれば効率的に 1つの暗証番号に対して口座番号を総当りする「リバースブルートフォース」が利用できる。

NTTドコモが 2020年 10月に発表した不正利用の保証件数は 127件金額は 2,850万円。

「ドコモ口座」不正利用、補償終えた件数が公表

アバストが収集した個人データを販売

2019年 10月 AdBlockPlus の開発者 Wladimir Palant 氏は Avast のウェブブラウザのオンラインセキュリティ拡張機能がユーザーデータを収集していることをブログで告発し、2020年 1月に米国の PCマガジン PCMag と Motherboard は内部告発者の証言とともに Jumpshot のクライアントに Google・Microsoft・ペプシなど大手企業がいることを公表。

Avast はウェブブラウザのオンラインセキュリティ拡張機能を利用してユーザーの行動・タイムスタンプ・国・都市などのデータを収集し、2013年に買収した 匿名の使用データを集約して販売する Jumpshot に販売し、Jumpshot はデータを販売して数百万ドルの収益を上げていた。

問題発覚後 Google と Mozilla は Avast のブラウザ拡張機能を一時的にストアから削除、Avast は Jumpshot の運用を停止した後に閉鎖している。

匿名データの収集

Avast が収集していた個人データにはメールアドレスやユーザー名など個人を特定できる項目はないが、ユーザーが使用しているデバイスの固有識別番号が含まれており、オンラインショップでの購入・ SNS への書き込み・動画サイトの視聴など固有識別番号で集約された行動履歴は精査することで個人を特定できる。

トレンドマイクロから個人情報流出

国内のセキュリティソフトで大きなシェアを持っているウイルスバスターを開発しているトレンドマイクロが、2019年11月6日元従業員の不正行為による個人情報流出があったことを発表した。

詐欺を疑ったユーザーの通報を発端に発覚したもので、海外のテクニカルサポート担当だった元従業員が 12万人分の顧客データを持ち出して第三者へ提供。

米国 ,イギリス , オーストラリアなど「英語圏」のユーザー情報が持ち出されており、ユーザー名　 , メールアドレス , サポートチケット番号などが流出し、すでにサポートを装った詐欺被害が発生。

トレンドマイクロ、内部不正による個人ユーザーの情報流出を発表- ZD NET Japan

海外市場において個人向け製品をご利用いただいているお客さまの情報流出に関するお知らせとお詫び – トレンドマイクロ

Facebook 5億4000万の個人情報が公開状態に

１年前の個人情報流出問題以降、Facebookはプライバシー保護への取り組みを強化を全面に打ち出しているものの 2019年 3月 19日には一部ユーザーのパスワードが暗号化されていない状態で保存されていることが判明し、更に Facebook のユーザー情報が Amazon の「保護されていないクラウドサーバ」に保存されていたことが 4月 4日に発覚。

アクセス可能な状態にあったデータは 5億 4000万件以上で Facebook は即日保存されていたデータの削除を行っている。

5.4億件のFacebookデータがサードパーティーのサーバーに公開

不正アクセスが減少し不正マイニングが拡大

IPA ( 情報処理推進機構 ) が公表した コンピュータウイルス・不正アクセスの届出状況および相談状況［2018年第3四半期（7月～9月）］では、ウイルスや不正アクセスの届出数・検出数ともに前年度よりも大幅に減少している。

コンピュータウイルス・不正アクセスの届出状況および相談状況［2018年第3四半期（7月～9月）］

2017年は春頃からランサムウェア WannaCry が世界的に流行し国内でも大手企業で感染が確認され、現在も WannaCry のようなランサムウェアや 2016年に流行した IoT機器の脆弱性を狙って攻撃する「 Mirai 」のようなマルウェアは確認されているものの脅威の規模は確実に減少しているが、IPAの統計情報には「不正マイニング」という今年になって台頭した新たな脅威や、広告ネットワークから侵入してくるアドウェアが含まれていない。

トレンドマイクロの分析では 2018 年第 1 四半期はランサムウェアが激減し「不正マイニング」が拡大している。

サイバー犯罪の狙いは「ランサムウェア」から「不正マイニング」へ、2018 年第 1 四半期の脅威動向を分析

Coinhiveの問題

ウェブサイトに専用の JavaScript コードを埋め込み、閲覧者に仮想通貨 Monero のマイニング（採掘）をさせる Coinhive はサイト運営者にとって広告収入に代わる画期的な収入源として注目されていたが、Coinhive を使用したサイト運営者ら 16名が 不不正指令電磁的記録保管の罪 で摘発された。

家宅捜索を受けた Web デザイナーは刑事裁判を起こし、一審は横浜地裁で「無罪判決」で結審したが二審では 2020年 2月に東京高裁が逆転有罪判決を言い渡した。
現在は弁護側が最高裁に上告中。

2017年末からマイニングするマルウェアが急増しており国内では CoinMiner の検出が圧倒的に多いという調査結果が公表されている。

国内でマイニングマルウェアが爆発的流行、1月は「CoinMiner」の検出数がトップ

流通しているモネロの約５％、マルウェアによってマイニング

閲覧者が予測しないコードが実行されるという点では Google のアドセンスやアナリティクスのほかアフィリエイトも同じだが、スロバキアのセキュリティベンダー ESET がマイニングするスクリプトに関して この種の CPU リソースを激しく消費するタスクは通常は広告配信の世界では禁止されている と記載している通り、コードを実行する点で広告と同じでも Coinhive は禁じ手であることが分かる。

Coinhive は仮想通貨モネロの暴落によって経済的にプロジェクトの継続が困難な状況に陥り2019年 3月 8日に終了することを発表。

仮想通貨 モネロ をマイニングするクリプトジャック系のマルウェアは現在も存在しており、2019年 2月には Microsoft ストアから Fast-search Lite ・ Battery Optimizer (Tutorials) ・ VPN Browsers+ など 8つのアプリが 利用者の同意なしにモネロをマイニングしていた として削除されている。

Microsoft removes eight cryptojacking apps from official store

Googleプレイストア , Apple Store も仮想通貨をマイニングするアプリは禁止され発見され次第削除されており、現在 Google の広告ポリシーの仮想通貨の項目には PC リソースの使用を有効化する場合は、ユーザーの同意を得る ことが条件になっている。

フェイスブック個人情報流出

英ケンブリッジ大学の研究者が開発した Facebook 上で利用できる性格診断アプリで収集された個人情報が英国の選挙コンサルティング会社 ケンブリッジ・アナリティカ に個人情報を横流しされていることが 2018年 3月 17日リークで発覚。
流出した個人情報は当初 5000万人と報じられたが後に 8700万まで膨らみケンブリッジ・アナリティカは事業を停止して破綻。

その後の調査で Facebook が Apple , Amazon , BlackBerry , Microsoft , Samsung のほか Huawei , Lenovo , Oppo などのデバイスメーカー 60社とデータを共有していたことも判明して波紋を呼んでいる。

「自動ログイン」に注意　フェイスブック個人情報流出
 アプリにより自分のFacebook情報が不正利用された可能性を確認するにはどうすればよいですか。
Facebook、中国通信機器大手Huaweiにデータを提供。米国政府がセキュリティーを懸念

Facebook はプライバシー保護への取り組みを強化するものの 2018年 12月には写真関連の API の不具合で 680万人の写真が流出した可能性があることを公表。

HP の PC で使用されているドライバにキーロガー

HP Audiodriverパッケージに含まれている Conexant HD ( High-Definition ) オーディオドライバ に監視しているキーストロークがログファイルとして保存されファイルが閲覧可能な状態になっている脆弱性を発見したとスイスのセキュリティ会社 modzero が 2017年 5月 11日に公表。

該当するモデルは法人向けの ProBook や EliteBook なので一般ユーザーへの影響は限定的。

「Conexant HD Audio Driver」のキーロガーが確認された対象モデル

2017年 5月12日現在も脆弱性を指摘された バージョン10.0.931.89 REV：Q はダウンロード可能だったが、HP は 5月 17日に問題を修正したドライバパッケージの配布を開始。

キーストロークを記録したログファイルは「 Cドライブ」→「ユーザー」→「パブリック」フォルダ内の「 MicTray.log 」のファイル名で保存されており該当ファイルの削除を推奨。

HPのPCにキーロガー？　セキュリティ企業が指摘

中国製 Android端末のファームウェアにバックドア

米国のモバイルセキュリティ企業 Kryptowire は 2016年 11月 16日に中国の Shanghai ADUPS Technology が開発したファームウェアを採用した中国製スマートフォンにバックドアが仕組まれていると発表。

ADUPS製のファームウェアを使用しているデバイスは ユーザーの位置情報・ユーザーの通話履歴・連絡先情報・入力したテキストメッセージ などを 72時間おきに中国のサーバーに送信していたことが判明。

問題になったのは BLU のデバイスだが ファーウェイ や ZTE も ADUPS製のファームウェアを使用しており潜在的なリスクが存在するデバイスは 7億台に上ると試算されている。

Shanghai ADUPS Technology は声明を発表し情報収集を認めつつ アップデートが正常に行われているか確認するため でテキストメッセージと通話履歴の収集に関してはユーザーエクスペリエンス向上を目的としたカスタムバージョンを誤って実装していたと釈明。

誤って実装 してしまった テキストメッセージと通話履歴の収集 機能はアップデートで削除されている。

Androidスマホの中国製ファームウェアにバックドア、中国サーバーに情報を送信

iPhone のアカウント情報を抜き取る KeyRaider

ジェイルブレイク ( 脱獄 ) した iPhone や iPad を標的にしたマルウェア「 KeyRaider 」はユーザー名やパスワードなどアカウント情報が抜き取られるだけでなく、ランサムウェアの性質もありデバイスを遠隔操作でロックして身代金を要求してくる事例も確認されている。

KeyRaide による被害は 18カ国で 225,000人を超えるらしい。

脱獄「iPhone」を狙ったマルウェアがアカウント情報を窃取

Appストアは審査が厳しくマルウェアの感染リスクは低いと言われているが、2012年 7月に初めてAppストアでマルウェアが確認されて以来、Android 同様イタチゴッコになっていることに変わりなく、7月にもスパイウェア販売会社「Hacking Team」が配布していたアプリにマルウェアが仕込まれていたことが確認されており、iOS の安全性を盲信するのは危険。

lenovo の PC に個人情報流出の脆弱性

悪質なアドウェア「 SuperFish 」が発見されたばかりのレノボの PC に組み込まれているプログラムに重大な脆弱性が見つかりウイルス感染や遠隔操作される可能性が指摘された。

国内で出荷された問題の PC は 2014年 10月から 2015年 6月に製造・販売された「 YOGA3 」などの16製品。

問題のプログラムは「パソコンの起動時に動作しシステム情報を自動的に自社サーバに送信する」ものでユーザーが簡単に削除できないようになっており、レノボは問題のプログラムを削除するプログラムを無償配布して対応。

Lenovo社製ノートパソコンから個人情報流出の恐れ

lenovo の PC に悪質なアドウェアがプリインストール

lenovo のコンシューマー向けのほぼ全てのノートPC に「 SuperFish 」という広告を表示するだけでなく電子証明書の偽造や暗号化された通信を傍受する悪質なアドウェアがプリインストールされていることが発覚。

国内で出荷された SuperFish をプリインストールしている PC は 5万台。

レノボは「素晴らしいユーザーエクスペリエンスを提供」するために SuperFish をプリインストールしたという見解と SuperFish がサーバと通信できないよう無力化したことを発表。

LenovoのノートPCに潜むアドウェア、Superfish

レノボ製の PC にはバックドアが仕込まれているというのは以前から噂になっており、2013年にはオーストラリアの諜報機関がレノボ製 PC の使用を禁止したというまことしやかなデマも流れたが、lenovo の安さの秘密がバックドアでないことを信じたい。