XSS攻撃で決済フォーム改ざんか…約5,200件の個人情報・クレカ情報流出

セキュリティニュース
ここで紹介するニュースは、ほとんどの場合下記の方法で対策できます。
〇 OS、アプリケーション、アンチウイルスのデータベース等を常に最新の状態に保つ
〇 UTM導入等によるネットワーク全体の防御を行う

XSS攻撃で決済フォーム改ざんか…約5,200件の個人情報・クレカ情報流出

– 1月31日(日本時間)、株式会社ファインエイドより、同社が運営する「健康いきいきライフスタイル」のWebサイトが外部から攻撃を受け、一部利用者のクレジットカード情報を含む個人情報が流出した可能性があると発表されました。

– 被害を受けたとされるのは、2021年1月5日~2023年11月15日に同サイトを利用した利用者5,193人分の個人情報(氏名・住所・メールアドレス・電話番号・FAX番号・注文履歴・生年月日・性別)およびクレジットカード情報(名義人名・カード番号・有効期限・セキュリティコード)とされています。

– 2023年12月11日にカード会社からの連絡を受けて同12日にカード決済を停止、第三者機関による調査の結果、同26日に流出の可能性が確認されたとしています。

AUS便りからの所感 AUS便りからの所感

流出の原因としては、サイトのシステムに存在していたクロスサイトスクリプティング(XSS)の脆弱性を悪用され、決済のためのアプリケーションが改ざんされたためとしています。

XSSによる攻撃はサイトへの訪問者に対して行うパターンだけでなく、管理画面に出力される登録情報・注文内容およびログ等に不正な文字列を仕込むことにより、閲覧した管理者の権限で不正なスクリプトを実行させるパターンもあり、2021年4月には国内ECサイトで実際にこのパターンの攻撃による管理者アカウント情報・カード情報等の奪取を狙った攻撃が確認され、JPCERT/CC等から注意喚起が出されています( https://blogs.jpcert.or.jp/ja/2021/07/water_pamola.html )。

今回のケースで行われたXSS攻撃の詳細な情報は出ていませんが、不特定多数がアクセスする表側はもちろん、管理画面においても各種情報の出力を安全に行うようWebアプリケーション上での根本的な対策は不可欠です。


厚労省内部メーリングリストでアドレスの誤登録、個人情報・公開前内部資料等流出

– 2月2日(日本時間)、厚生労働省より、省内のメーリングリスト(ML)に誤って外部の第三者のメールアドレスが登録され、内部情報がメールで送信されていたと発表されました。

– 同省の発表によれば、2023年9月15日~2024年1月23日にかけて、行政機関職員650名分のメールアドレスおよび民間人25名分の電話番号がMLから第三者に送信される状態にあったとしており、加えて一部報道によれば、岸田総理大臣の国会答弁案や公表前の内部資料も同様に外部へ送信されていた模様です。

– 同省職員が、夜間・休日の緊急連絡先として私用のメールアドレスを登録しようとした際に誤登録が発生したのが原因としており、再発防止策として「テレワーク環境の改善を踏まえ、本省における私用メールアドレスの業務上の使用については、禁止する」としています。

AUS便りからの所感 AUS便りからの所感

職員は夜間・休日においてもリモートアクセスで公務用の内部メールアドレスを使用した対応を行っており、(本来MLの登録が想定されていた)私用のメールアドレスにメールが届いているかを確認していなかったとし、発表ではこれが誤登録の確認が遅れた要因としています。

一方で、リモートアクセスと内部メールアドレスによるメール送受信の実施を徹底し、同時にMLからのメール配信を組織内ドメイン名のメールアドレスに限定することは、私用メールアドレス等外部へのメール送信による情報の流出の可能性を抑止することが期待できるという意味では、一定の効果が見込まれるとみられます。


auの古いWi-Fiルーターに脆弱性…サポート終了のためアップデートなし

– 2月2日(日本時間)、IPA・JPCERT/CCが運営する脆弱性情報サイト「JVN」より、KDDIがauユーザーに提供していたWi-Fiルーター「HOME SPOT CUBE2」に脆弱性が確認されたとして注意喚起が出されています。

– 脆弱性(CVE-2024-21780・CVE-2024-23978)は、外部から不正なリクエスト等を送信することにより、サービス拒否(DoS)状態に陥ったり、任意のコードを実行され、機器を乗っ取られたりする恐れがあるとされています。

– 当該機器は2022年9月にKDDIによるサポートが終了しており、アップデートの提供予定はないとのことです。

AUS便りからの所感 AUS便りからの所感

JVNでは回避策として「本製品は、信頼できるネットワークにのみ接続する」ことを挙げています。

ルーターやIoT機器の脆弱性は他のメーカーにおいても度々報告されており、攻撃者はあらゆる機器の脆弱性情報をもとに日々アップデートを行っていない機器を検索し、攻撃あるいはその準備を行っていると考えられるため、外部ネットワークから管理画面等にアクセス可能な状態にある物を含めあらゆるIoT機器・ネットワーク機器についてその存在を把握して管理すること、ファームウェアのアップデートが提供されているものは必ず最新バージョンに保つこと、一方でアップデートの提供が終了している機器は確実にリプレースする体制をとることが重要です。