最近話題になったセキュリティ関連のニュースから、気になるものをピックアップしてお届けします。
2022/05/23
弊社運営の看護師および看護学生向けコミュニティサイト「看護 roo!」への“なりすまし”による不正アクセスについて【第2報】
https://919.jp/wp/wp-content/uploads/2022/05/22.5.23_kangoroo_HP.pdf
のべ 138,338,195 件のログインの試行が行われ、うち 60,518 件(0.04%)がログインされた
パスワードリスト攻撃による不正ログインで、ポイントの不正使用が確認されました。
同じパスワードを複数サイトで使いまわしていると被害に合う可能性があります。
ちなみに、成功率0.04%はパスワードリスト攻撃としてはかなり低いようです。
■パスワードリスト攻撃
何らかの方法で入手したIDとパスワードの組み合わせのリストを用いてログイン試行をする攻撃。
2022/05/24
不正アクセスによるメールアドレス漏洩の可能性に関するお知らせ
https://www.fcg-r.co.jp/news/220524.html
2022年5月18日未明、弊社のウエブサーバーに不正なアクセスが行われたことを検知いたしました。
その後弊社内で調査致しましたところ、5月24日 最大3万5千件のお客様のメールアドレスが漏洩している可能性があると確認するに至りました。
SQLインジェクション攻撃によるメールアドレスの漏えいが確認されました。
SQLインジェクション脆弱性があると、データベース内のすべての情報が外部から盗まれる可能性があり、非常に危険です。
■SQLインジェクション攻撃
データベースを制御するための言語「SQL」の断片を注入(インジェクション)することで、データベースを不正に操作する攻撃。
2022/05/24
宗家源吉兆庵オンラインショップ不正アクセスによる情報漏えいについて
https://www.kitchoan.co.jp/important/20220524_news/
このたび、弊社が運営する「宗家源吉兆庵オンラインショップ」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報(14,127件)が漏洩した可能性があることが判明いたしました。
原因として、システムの脆弱性をついたペイメントアプリケーションの改ざんが行われたためと説明しています。
攻撃の詳細は公表されていませんが、一定期間中に新規のクレジットカードで決済された情報のみが漏えいしているため、保存されたクレジットカード情報が漏えいしたのではなく、改ざんされた画面にクレジットカード情報を入力してしまい攻撃者に窃取されたと推測できます。
改ざんされていたとしても、正常に決済が完了していれば気づくことは困難です。
2022/05/27
iOS アプリ「モバオク-オークション&フリマアプリ」におけるサーバ証明書の検証不備の脆弱性
https://jvndb.jvn.jp/ja/contents/2022/JVNDB-2022-000040.html
株式会社ディー・エヌ・エーが提供する iOS アプリ「モバオク-オークション&フリマアプリ」には、サーバ証明書の検証不備の脆弱性 (CWE-295) が存在します。
多くの場合、アプリとWebサーバとの通信は暗号化通信のHTTPSが使用されています。これにより、攻撃者が通信の間に入ろうとしても暗号化されているため盗聴や改ざんが困難になります。ただし、通信相手が本物のWebサーバではなく、攻撃者がなりすましていた場合は、攻撃者に通信内容を盗聴されてしまいます。
そこで、サーバ証明書を用いることで通信相手が本物であるかどうかをチェックする仕組みがあります。
本アプリ「モバオク-オークション&フリマアプリ」には、サーバ証明書の検証に不備がありました。
本来、偽物のサーバ証明書が送られてきた場合は、警告を出し通信ができないようにするべきですが、本アプリはそのまま通信ができる状態でした。
これにより、攻撃者は中間者攻撃により暗号化通信の盗聴が可能になります。
■中間者攻撃(MITM)
通信を行う利用者とサーバの間に割り込んで、それぞれが送り出してきた情報を受け取り、盗聴、改ざんをする攻撃。
まとめのまとめ
今週はアプリケーションへの攻撃や脆弱性に関するニュースを取り上げました。
インシデントが発生すると、復旧コスト、賠償コスト、再発防止コストによる多大なコストが発生します。また、機会損失や企業イメージの低下により売上が減少する可能性もあります。
セキュリティ対策にはコストがかかりますが、社会的責務を果たすとともに事業継続と利益の最大化のため、適切なリスクマネジメントが大切です。
担当:HT
