〇 OS、アプリケーション、アンチウイルスのデータベース等を常に最新の状態に保つ
〇 UTM導入等によるネットワーク全体の防御を行う
– 12/5号 目次 –
01. 「リスト型攻撃」で不正ログイン…ECサイトから97,533件の個人情報流出か
02. Windows 11ハードウェア要件緩和の噂を否定か…MS「TPM 2.0は必須」
03. 三菱UFJ銀行、貸金庫資産窃盗事件に便乗した詐欺メールに注意喚起
「リスト型攻撃」で不正ログイン…ECサイトから97,533件の個人情報流出か
– 11月26日(日本時間)、オイシックス・ラ・大地社より、同社が運営する食品宅配ECサイト「Oisix.com」が不正アクセスを受け、個人情報が不正に閲覧された可能性があると発表されました。
– 被害を受けたのは、同サイトユーザのうち約97,533件の個人情報(氏名・住所・電話番号・メールアドレス・届け先情報・予約・購入履歴)とされており、クレジットカード情報は含まれていないとのことです。
– 同24・25日に、いわゆる「リスト型攻撃」によって不正ログインを受けたとされ、対象ユーザーについてはパスワードのリセットを行い、再設定を案内したとしています。
https://www.itmedia.co.jp/news/articles/2411/27/news182.html
https://www.oisixradaichi.co.jp/news/posts/20241126/
AUSからの所感
発表では当該サイトでの不正ログイン攻撃対策としてWAFを導入していながら不正ログインを防げなかったとし、さらなる対策の強化を行うとしています。
発表においてユーザーに対し定期的なパスワードの変更も呼び掛けていますが、逆にパスワードの安全性を下げる可能性もあることからセキュリティ専門家の間では「悪手」とされ、リスト型攻撃を回避するため、ユーザー側においては各サービスで共有していない独自のパスワードを設定することが最も重要であり、またアカウントが不正ログインを受けた場合の他、万が一パスワードを他で共有していた場合には、それら全てのサービスで速やかにパスワードの変更を行う必要があります。
一方で、このようなセオリーが定着して何年も経っている現在に至っても、今回のようにリスト型攻撃で一つのサイトから大量の不正ログインが発生する事態は度々発生しており、特に大規模なサービス提供側において、不審なログイン試行を遮断する各種機構の導入のみならず、多要素認証やパスキーといった強力な認証機構についても導入と利用の推奨さらには義務化が進むのかが注目されるところです。
Windows 11ハードウェア要件緩和の噂を否定か…MS「TPM 2.0は必須」
– 12月4日(現地時間)、Microsoft(以下・MS)より、Windows 11インストールのためのハードウェア要件に関する記事が「Windows IT Pro Blog」で発表されました。
– 従来からハードウェア要件の一つとしていた「TPM(Trusted Platform Module) 2.0」への対応について、各種セキュリティの問題に対処し、Windows 11の安全性と将来性を確保するために必要な要素とし、今後も要件から外す予定はないとしています。
– 11月28日に「要件を満たさない古いPCについても11のインストールが許可される」という真偽不明の情報が海外のブログに投稿されており、これを否定する意味も含めての発表ともみなされています。
https://forest.watch.impress.co.jp/docs/news/1644814.html
https://techcommunity.microsoft.com/blog/windows-itpro-blog/tpm-2-0/4339066
https://forest.watch.impress.co.jp/docs/news/1645150.html
AUSからの所感
インプレス「窓の杜」においても日本マイクロソフト社に問合せており、同様に「Microsoftから変更の発表をした事実はなく、Windows 11のシステム要件に変更はありません」と回答されたとのことです。
TPM 2.0非対応のPCにWindows 11をインストールする非公式な方法はネット上で見つかるものの、MSではこれを行った場合「PCはサポートされなくなり、更新プログラムを受け取る資格がなくなる」としているとのことです。
またそのようなPCは、CPU・メモリ・ストレージ等の要因により、10でも快適な動作が期待できず、2025年10月の10サ
ポート終了時には5年以上は稼働しているとみられることから、より新しいPCへのリプレースを行う機会と考えるべきでしょう。
三菱UFJ銀行、貸金庫資産窃盗事件に便乗した詐欺メールに注意喚起
– 11月25日(日本時間)、三菱UFJ銀行より、同行の貸金庫取引を騙る詐欺メールが報告されたとして注意喚起が出されています。
– 詐欺メールは、同22日に発表された、当時の同行行員による貸金庫資産窃盗事件に便乗するものとされ、暗証番号等を詐取する偽ページに誘導し、個人情報を奪取しようとする内容とされています。
– 同行では、現時点ではメールにて貸金庫取引に関する連絡は行わないとし、不審なページで暗証番号等を入力しないよう呼び掛けています。
https://www.itmedia.co.jp/news/articles/2411/25/news185.html
https://www.bk.mufg.jp/emeg/10_1490.html
https://www.itmedia.co.jp/news/articles/2411/22/news174.html
AUSからの所感
同行で発生した窃盗事件は十数億円の被害が出る等してニュースでも大きく報じられ、金融業界全体に対する貸金庫業務への信頼性についても議論となっているようです。
国内外でニュースとなるような大きな事件・イベントには必ず便乗しての詐欺・フィッシング・マルウェア感染を目論む攻撃が発
生するものであり、本物の企業・運営団体やセキュリティ関連団体からの注意喚起、実際にメールやSMSが送信される場合のポリ
シーを確認し、決して無闇にリンクをクリックしないこと、また実際に利用しているサービスのWebサイトには予め登録したブックマークやスマホアプリからアクセスする等、慎重に行動するよう心掛けることが重要です。
