セキュリティ関連のトピックス

Infect-icon

個人情報の流出 や マルウェア関連 など セキュリティ関連の話題

目次

LINE 中国の委託先で個人情報にアクセス可能な状態に

2021年 3月17日 に LINE の個人データへ 中国の委託先が アクセス可能な状態だったことが報じられた。
内容的には 2018年に報じられた Gmail を 外部の開発企業が閲覧 していたのと同じで 不正アクセスではなく、LINE の 委託先が 国内にある LINE のサーバへのアクセス権を取得していたというもので、中国の技術者 4 名が「 利用者の名前 」「 電話番号 」「 メールアドレス 」「 利用者が保存したメッセージ や 画像 」へ アクセスでき、2018年 8月から 計 32 回 のアクセスがあったという報道もある。

中国の委託会社は 韓国NAVER の中国法人 NAVER China ( 北京 ) と LINE の 孫会社 LINE Digital Technology ( 大連 )。

LINE 個人情報が閲覧可能 中国の技術者がアクセス32回

LINE は 個人情報へのアクセスとは別件で ユーザーデータ の一部を 韓国 NAVER のサーバに保存していることを発表。
利用規約に 個人データを 第三国へ移転することが明記されており、2014年 には LINE の内容を 韓国の 国家情報院 が 盗聴・傍受してると FACTA が報じて 話題になったので 今更感はあるが、保存されているデータは トーク で使用された 画像 や 動画 のほか 個人情報を含んでいない LINE Pay の取引情報 などで 今後は 国内サーバへの移行を計画しているらしい。

日本のLINE利用者の画像・動画全データ、韓国で保管

LINE は 2013年 に情報保護の信頼性を証明する「 SOC 2 」「 SOC 3 」「 SysTrust 」の認証を受けているものの 不正アクセスが 後を絶たず 先月には 3000 件 の個人情報が漏洩しており、個人情報が国内サーバに保存されていたところで 安全が保証されるわけでもない。

日本を含め 欧米で ファーウェイ や ZTE など 中国の通信会社を 自国の通信設備から排斥する動きは 安全保障上の脅威になるためで、TikTok など中国製アプリへの懸念も同じ理由だが、システム開発を 韓国・中国の企業が行っている LINE を 利用者が多いという理由から インフラとして 地方自治体が 利用する国内の現状は 非常に危ぶまれる。

LINE は 韓国 NAVER が設立した 日本法人 ハンゲームジャパン ( 後に NHN Japan に社名変更 ) が開発して 国内で爆発的に 広がった 無料メッセージアプリ。
2012年に NHN Japan , NAVERジャパ , ライブドアが経営統合し 2013年 LINE 株式会社に社名変更。
2016年に上場するが 2020年 に上場を廃止して ソフトバンク , ソフトバンクの持株会社 Zホールディングス , 韓国NAVER , LINE の 経営統合が図られ、現在は Zホールディングスの完全子会社 となり、LINE の議決権割合は 韓国NAVER と ソフトバンクが 50 : 50 になっている。

Salesforce の設定不備で 相次ぐ情報漏えい

顧客情報管理システム ( CRM ) を提供している「 セールスフォース・ドットコム 」の クラウドサービス を使用する企業の設定ミスで 情報漏えいが相次いで発生している。

Salesforce の製品の設定不備による意図しない情報が 外部から参照される可能性について PDF

Salesforce は 2016年 に クラウド型営業管理システム をアップデートした際に システムのデフォルト設定が変更になり、再設定が行われていなかった企業は クラウドに保存されていたデータに アクセスが可能な状態だった。

不正アクセスを公表した企業 と 流出した情報
楽天:最大 138万 1735件
期間 2016年1月~2020年11月
「楽天市場」の法人向け資料請求者と店舗情報 / 楽天Edy 故障端末の残高移行サービス申込者情報 / 楽天カード の事業者向けビジネスローン申込者情報
クラウド型営業管理システムへの社外の第三者によるアクセスについて
PayPay:最大 2007万 6016件
期間 2020年10月~2020年12月
加盟店に関する営業情報
当社管理サーバーのアクセス履歴について
イオン銀行:2,062件
来店予約・オンライン相談サービスの情報
「来店予約・オンライン相談サービス」システムへの第三者による不正アクセスについて
バンダイ / BANDAI SPIRITS:147件
期間 2020年12月~2021年1月
お客様相談センターのシステムに保管された 氏名 や 電話番号などの情報
クラウド型営業管理システムの第三者による不正アクセスについて PDF
日本政府観光局 ( JNTO ) :最大 4万 9774件
期間 2015年8月~2021年1月
賛助団体・会員情報・担当者情報 / JNTO 主催イベント情報及び参加者情報 / 海外に送付する印刷物関連情報
クラウド型情報管理システムへの第三者によるアクセスの可能性について
freee:2,898件
期間 2020年1月~2021年2月
「アカウント再設定申請」「料金・お支払い関連用問い合わせ」「人材募集」での問い合わせを行った際の メールアドレス や 氏名 などの情報
クラウド型お問い合わせ管理システムに対しての第三者によるアクセスの可能性について

地方自治体が提供しているアプリでも Salesforce の設定不備が発覚しており、奈良県香芝市 / 千葉県木更津市 / 神戸市 / 愛媛県西条市 / 兵庫県高砂市 / 大阪府寝屋川市 / 東京都東村山市 / 船橋市 / 茨城県守谷市 の 市公式アプリなどのほか、両備システムズ が提供している 自治体様向けシステム「 Web住民けんしん予約 」「 住民生活総合支援アプリ 」「 i-Blend 」「 Net119 」を利用している 71団体で 13団体 が 不正アクセスを発表。

両備システムズ クラウド型システムへの第三者からのアクセスについて

ドコモ口座の不正利用

2020年 9月 電子決済サービス ドコモ口座からの不正引き出しが発覚。
ドコモ口座は 開設時に 銀行口座の登録 で本人認証が完了するため、口座情報と4桁の暗証番号があれば 第三者が パソコンから メールアドレス のみで ドコモ口座を開設でき、開設したドコモ口座へ 銀行の口座から 預金を引き出すことが可能になる。

不正利用は ドコモ口座 に留まらず PayPay や ゆうちょ銀行と連携している決済サービスでも発覚した。

ドコモ口座に続きPayPayでも17件、ゆうちょ銀連携の6決済サービスで不正利用

ゆうちょ銀のVISAデビット「mijica」で不正送金 332万円

本人認証が 口座登録 で完了する ドコモ口座 の セキュリティも、本人認証なしに ドコモ口座 と連携する 銀行のセキュリティも穴だらけだが、今回発覚した不正利用 は 被害にあったユーザーが報告しなければ発覚せず、当初は報告しても信用して貰えなかったという憂慮すべき実態がある。

銀行口座の登録が本人認証になっている以上、登録されている口座への送金は本人しかできないことが前提のシステムのため、銀行もドコモも 送金が正常なのか不正なのか判断できない。

「ドコモ口座」の被害者「信じてもらえず憤り」補償求める

口座不正「隠蔽しようとした」ドコモに被害者憤り

ドコモ口座 を はじめ不正利用が確認された キャッシュレスサービス や ゆうちょ銀行のデビットカードの送金 は 不正アクセスでの情報流出が確認されていないため「 リバースブルートフォース 」や「 パスワードスプレー 」など総当りの攻撃で口座情報が取得された可能性 のほか 被害者本人からの情報漏えいの疑いもあるが、口座情報の入手元に大きな謎が残っている。

ソフトバンクの代理店から口座情報が流出

ドコモ口座 の不正利用は 2021年 1月 6日 に 電子計算機使用詐欺容疑 で 菅 拓朗 被告が逮捕され、2019年2月 ~ 8月の間に 約60人の口座から 約 2,300 万円を不正に得ていたとされ、菅 拓朗 被告の捜査 から ソフトバンクからの 顧客情報が流出が発覚。

他人のドコモ口座から100万円不正引き出し容疑 37歳逮捕

ソフトバンクは 2021年 3月 4日 に 2015 ~ 2018年 に 訪問販売代理店 で 携帯電話を契約した 6,347 件 の個人情報が 不正に取得されていたことを公表。

訪問販売代理店でのお客さま情報の不正取得について

不正取得された情報は「 氏名 」「 住所 」「 生年月日 」「 連絡先電話番号 」「 携帯電話番号 」「 携帯電話機の製造番号」「 交換機暗証番号 」「 料金支払い用の金融機関名と口座番号 」で 、流出した情報の中に 菅 拓朗 被告が 使用した 約 60名 の口座情報も含まれていた。

流出した個人情報には 暗証番号は含まれていないが 口座情報が取得できれば  効率的に 1つの暗証番号に対して 口座番号を総当りする 「 リバースブルートフォース 」が利用できる。

NTTドコモ が 2020年 10月に発表した 不正利用の 保証件数は 127件 金額は 2,850万円 。

「ドコモ口座」不正利用、補償終えた件数が公表

トレンドマイクロから個人情報流出

国内のセキュリティソフトで大きなシェアを持っているウイルスバスターを開発しているトレンドマイクロが、2019年11月6日 元従業員の不正行為による個人情報流出があったことを発表した。

詐欺を疑ったユーザーの通報を発端に発覚したもので、海外のテクニカルサポート担当だった元従業員が 12万人分の顧客データ を持ち出して 第三者へ提供。

米国 ,イギリス , オーストラリア など「 英語圏 」のユーザー情報が持ち出されており、ユーザー名  , メールアドレス , サポートチケット番号 などが流出し、すでに サポートを装った 詐欺被害が発生。

トレンドマイクロ、内部不正による個人ユーザーの情報流出を発表- ZD NET Japan

海外市場において個人向け製品をご利用いただいているお客さまの情報流出に関するお知らせとお詫び – トレンドマイクロ

Facebook 5億4000万 の個人情報が 公開状態に

1年前の 個人情報流出問題 以降、Facebookは プライバシー保護への取り組みを強化を全面に打ち出しているものの 2019年 3月 19日 には 一部 ユーザーの パスワードが 暗号化されていない状態で保存されていることが判明し、更に Facebook の ユーザー情報 が Amazon の「 保護されていないクラウドサーバ 」に保存されていたことが 4月 4日 に発覚。

アクセス可能な状態にあったデータは 5億 4000万 件以上 で Facebook は 即日 保存されていたデータの削除を行っている。

5.4億件のFacebookデータがサードパーティーのサーバーに公開

不正アクセスが減少し 不正マイニングが拡大

IPA ( 情報処理推進機構 ) が公表した「 コンピュータウイルス・不正アクセスの届出状況および相談状況[2018年第3四半期(7月~9月)]」では、ウイルス や 不正アクセス の 届出数・検出数ともに前年度よりも大幅に減少している。

コンピュータウイルス・不正アクセスの届出状況および相談状況[2018年第3四半期(7月~9月)]

security-topics 009

2017年は 春頃 からランサムウェア「 WannaCry 」が世界的に流行し 国内でも大手企業で感染が確認され、現在も WannaCry のようなランサムウェア や 2016年 に流行した IoT機器の脆弱性 を狙って攻撃する「 Mirai 」のようなマルウェアは確認されているものの 脅威の規模は確実に減少しているが、IPAの統計情報には「不正マイニング」という今年になって台頭した新たな脅威や、広告ネットワークから侵入してくるアドウェアが含まれていない。

security-topics-011

トレンドマイクロの分析では 2018 年第 1 四半期 は ランサムウェア が激減し「 不正マイニング 」が拡大している。

サイバー犯罪の狙いは「ランサムウェア」から「不正マイニング」へ、2018 年第 1 四半期の脅威動向を分析

Googleのロケーション履歴

2018年 8月 14日 AP通信が「 ロケーション履歴をオフにしていてもGoogleが一部の位置データを保存している 」と報道し、4日後には 米国で ユーザーが Google を提訴している。

‘Location history’ off? Google’s still tracking you

2017年 11月には Android デバイスで 位置情報をオフにしていても、端末のGPSではなく モバイルネットワークの基地局の情報 ( Cell ID ) を収集していたことも問題になったことがある。

Google、位置情報オフのAndroid端末からも「Cell ID」収集、終了を約束

google-location

ロケーション履歴 は Google アカウント の設定で「 一時停止 」にすることが可能で 説明には「 ロケーション履歴はいつでもオフにできます。ロケーション履歴をオフにすると、移動した場所は保存されなくなります。」と表示されているが、今回 「 一時停止 」でも Google Map など 一部の Google アプリは タイムスタンプが押されたロケーションデータが自動的に保存していることが指摘された。

google-location108

ロケーションデータの保存について Google は 密かに行っていたのではなく、Google は ロケーション履歴 を無効にする際 に表示される 説明画面で「 アクティビティの一部として位置情報データが保存されていることがある 」と明示している。

google-location002

位置情報データの保存を完全に停止するためには Googleアカウント の設定にある 「ウェブとアプリのアクティビティ」を無効にする必要があり、Google が提供しているアプリの利便性が大きく損なわれてしまう。

今回のロケーション履歴に限っては Google に大きな落ち度があるとは思えず、便利なサービスを無償利用しながら難癖をつけ「 盗っ人猛々しい 」といった感がある。

Gmail の内容を 外部の開発企業が閲覧

サードパーティアプリケーション開発者が Gmail にアクセスでき 数千通 の メールを読んでいたことが 2018年 7月 2日 の WSJ で 報じられた。

Gmail に接続する アプリは 必要な権限 を インストール時に 許可を求め ユーザーが許可した場合にのみアクセス可能になるため、外部の開発企業 が 闇雲に Gmail へアクセスできるわけではない。

Google は 2017年に 広告に利用するために行っていた メールの自動スキャンを廃止しており、現在は スパム や フィッシングメール をブロックするため メールの 自動スキャンが行われている。

「Gmail」の内容が外部開発企業に読まれているとの報道

Coinhiveの問題

ウェブサイトに専用の JavaScript コードを埋め込み、閲覧者に仮想通貨「 Monero 」のマイニング(採掘)をさせる「 Coinhive 」は、サイト運営者からすれば 広告収入に変わる 画期的な収入源となるが、「 Coinhive 」を使用したサイト運営者ら 16名 が 「 不不正指令電磁的記録保管の罪 」で 摘発された。

家宅捜索を受けた Web デザイナーは刑事裁判を起こし、一審は横浜地裁で「 無罪判決 」で結審したが 二審では 2020年 2月に 東京高裁 が逆転有罪判決を言い渡した。
現在は 弁護側が最高裁に上告中。

security-topics-001

2017年末 から マイニングするマルウェアが急増しており 国内では「 CoinMiner 」の検出が圧倒的に多いという調査結果が公表されている。

国内でマイニングマルウェアが爆発的流行、1月は「CoinMiner」の検出数がトップ

流通しているモネロの約5%、マルウェアによってマイニング

閲覧者が予測しないコードが実行されるという点では Google の アドセンス や アナリティクス のほか アフィリエイト も 同じだが、スロバキア の セキュリティベンダー「 ESET 」が マイニングするスクリプトに関して「 この種の CPU リソース を激しく消費するタスクは 通常は 広告配信の世界では禁止されている 」と記載している通り コードを実行する点で 広告と同じでも Coinhiveが「禁じ手」であることが分かる。

Coinhive は 仮想通貨 モネロ の暴落によって 経済的に プロジェクトの継続が困難な状況に陥り2019年 3月 8日 に終了することを発表。

仮想通貨「 モネロ 」を マイニング する クリプトジャック系 の マルウェアは 現在も存在しており、2019年 2月には Microsoft ストア から「 Fast-search Lite 」「 Battery Optimizer (Tutorials) 」「 VPN Browsers+ 」など 8つのアプリが「 利用者の同意なしにモネロをマイニングしていた 」として削除されている。

Microsoft removes eight cryptojacking apps from official store

Googleプレイストア , Apple Store も 仮想通貨 をマイニングするアプリは禁止され 発見され次第削除されており、現在 Google の広告ポリシーの 仮想通貨の項目には「 PC リソースの使用を有効化する場合は、ユーザーの同意を得る 」ことが条件になっている。

フェイスブック個人情報流出

英ケンブリッジ大学の研究者 が開発した Facebook 上で利用できる 性格診断アプリで収集された個人情報が 英国の選挙コンサルティング会社「 ケンブリッジ・アナリティカ 」に 個人情報 を 横流しされていることが 2018年 3月 17日 リークで発覚。
流出した個人情報は 当初  5000万人 と報じられたが 後に 8700万 まで膨らみ「 ケンブリッジ・アナリティカ 」は 事業 を停止して破綻。

その後の調査で Facebook が Apple , Amazon , BlackBerry , Microsoft , Samsung のほか Huawei , Lenovo , Oppo などの デバイスメーカー 60社 と データを共有していたことも判明して 波紋を呼んでいる。

「自動ログイン」に注意 フェイスブック個人情報流出
アプリにより自分のFacebook情報が不正利用された可能性を確認するにはどうすればよいですか。
Facebook、中国通信機器大手Huaweiにデータを提供。米国政府がセキュリティーを懸念

Facebook は プライバシー保護への取り組みを強化するものの 2018年 12月には 写真関連の API の不具合 で 680万人 の写真が流出した可能性があることを公表。

HP の PC で使用されているドライバにキーロガー

HP Audiodriverパッケージ に含まれている「Conexant HD ( High-Definition ) オーディオドライバ 」に 監視しているキーストロークがログファイル として保存され ファイルが閲覧可能 な状態になっている脆弱性を発見したと スイスのセキュリティ会社「 modzero 」が 2017年 5月 11日 に公表。

該当するモデルは「 法人向け 」の ProBook や  EliteBook なので 一般ユーザーへの影響は限定的。

「Conexant HD Audio Driver」のキーロガーが確認された 対象モデル

hp-keylogger

2017年 5月12日 現在も 脆弱性を指摘された「 バージョン10.0.931.89 REV:Q 」は ダウンロー能だったが HP は 5月 17日 に 問題を修正したドライバパッケージの配布を開始。

キーストローク を記録したログファイルは「 Cドライブ 」→「 ユーザー 」→「 パブリック 」フォルダ内の「 MicTray.log 」のファイル名で保存されており 該当ファイルの削除を推奨。

HPのPCにキーロガー? セキュリティ企業が指摘

中国製 Android端末のファームウェアにバックドア

米国の モバイルセキュリティ企業「 Kryptowire 」は 2016年 11月 16日 に 中国の「 Shanghai ADUPS Technology 」が開発したファームウェアを採用した 中国製スマートフォン に バックドア が仕組まれていると発表。

security-topics-002

ADUPS製の ファームウェアを使用しているデバイスは「 ユーザーの位置情報 」「 ユーザーの通話履歴 」「 連絡先情報 」「 入力したテキストメッセージ 」などを 72時間おきに 中国のサーバーに送信していたことが判明。

問題になったのは BLU のデバイスだが 「 ファーウェイ 」や「 ZTE 」も ADUPS製のファームウェアを使用しており 潜在的なリスクが存在する デバイスは 7億台に上ると試算されている。

「 Shanghai ADUPS Technology 」は声明を発表し 情報収集を認めつつ「 アップデートが正常に行われているか確認するため 」で「 テキストメッセージ と 通話履歴 の収集 」に関しては ユーザーエクスペリエンス向上 を目的とした カスタムバージョン を 誤って実装していたと釈明。

「 誤って実装 」してしまった「 テキストメッセージ と 通話履歴 の収集 」機能はアップデートで削除されている。

Androidスマホの中国製ファームウェアにバックドア、中国サーバーに情報を送信

iPhone のアカウント情報を抜き取る KeyRaider

ジェイルブレイク ( 脱獄 ) した iPhone や iPad を標的にしたマルウェア「 KeyRaider 」は ユーザー名やパスワードなどアカウント情報が抜き取られるだけでなく、ランサムウェア の性質もあり デバイスを 遠隔操作でロックして 身代金を要求してくる事例も確認されている。

KeyRaide による 被害は 18カ国で 225,000人を超えるらしい。

脱獄「iPhone」を狙ったマルウェアがアカウント情報を窃取

Appストア は 審査が厳しく マルウェアの感染リスクは低いと言われているが、2012年 7月 に 初めてAppストアでマルウェアが確認されて以来、Android 同様 イタチゴッコ になっていることに変わりなく、7月にも スパイウェア販売会社「Hacking Team」が配布していたアプリに マルウェアが仕込まれていたことが確認されており、iOS の安全性を盲信するのは危険。

lenovo の PC に個人情報流出の脆弱性

悪質なアドウェア「 SuperFish 」が発見されたばかりの レノボの PC に 組み込まれているプログラムに 重大な脆弱性が見つかり ウイルス感染 や 遠隔操作される可能性が指摘された。

security-topics-002

国内で出荷された 問題の PC は 2014年 10月から 2015年 6月に 製造・販売された「 YOGA3 」などの16製品。

問題のプログラムは「 パソコンの起動時に動作し システム情報を自動的に自社サーバに送信する 」もので ユーザーが簡単に削除できないようになっており、レノボは問題のプログラムを削除する プログラムを無償配布 して対応。

Lenovo社製ノートパソコンから個人情報流出の恐れ

lenovo の PC に悪質なアドウェアがプリインストール

lenovo の コンシューマー向けの ほぼ全てのノートPC に「 SuperFish 」という 広告を表示するだけでなく 電子証明書の偽造 や 暗号化された通信を傍受 する悪質な アドウェアが プリインストールされていることが発覚。

security-topics-003

国内で出荷された SuperFish をプリインストールしている PC は 5万台。

レノボ は「 素晴らしいユーザーエクスペリエンスを提供 」するために SuperFish をプリインストールしたという見解 と  SuperFish がサーバと通信できないよう無力化したことを発表。

LenovoのノートPCに潜むアドウェア、Superfish

レノボ製の PC には バックドア が仕込まれているというのは以前から噂になっており、2013年 にはオーストラリアの 諜報機関 が レノボ製 PC の使用を禁止したという まことしやかなデマも流れたが、lenovo の安さの秘密が バックドア でないことを信じたい。




関連記事

Infect-icon

セキュリティ関連のトピックス

個人情報の流出 や マルウェア関連 など セキュリティ関連の話題 目次 LINE 中国の委託先で個人情報にアクセス可能な状態に Salesforce の設定不備で 情報漏えい ドコモ口座の不正利用 トレンドマイクロから個 […]

dvdfab-icon

DVDFab の 製品リリース情報

DVD / BD リッピングのトータルソリューション DVDFab 関連のトピックス DVDFab公式サイト 目次 DRM ダウンローダー が ストリーミングサービス別のモジュールに分割 DRM ダウンローダー をリリー […]

message-icon

コンテンツ連動型広告配信サービス 関連のトピックス

Google アドセンスの仕様変更 など コンテンツ連動型広告配信サービス の話題 目次 Google リンク広告の提供を終了 2019年 の Google コアアップデート AdSense の広告ユニット デザインを変 […]

Apps-File-News-icon

Huawei・ ZTE 制裁 関連のトピックス 

米国 をはじめ オーストラリア や 日本でも Huawei と ZTE への制裁が強まる 米国 が 「 安全保障上の脅威 」として 通信機器から Huawei を排除するのは、Huawei が 任正非 ら 中国人民解放軍 […]

message-icon

Meltdown and Specter – CPUの脆弱性 MeltdownとSpecter

CPU の 投機的実行 の セキュリティホール  2018 年 の年明け早々に 世間を騒がせている「 メルトダウン 」と「 スペクター 」。 炉心溶融 と 幽霊 という 物騒な名前が付けられた CPU の脆弱性は、悪用さ […]





タイトルとURLをコピーしました