セキュリティエンジニアが気になったニュースまとめ 2022/6/27~7/3
最近話題になったセキュリティ関連のニュースから、気になるものをピックアップしてお届けします。
2022/7/1
・行政処分に関するお知らせ
https://www.metaps-payment.com/company/20220701_01.html メタップスペイメント
さらに、同社は令和2年7月から令和3年10月の間に実施したPCIDSSで求められている自社システムのサーバーを対象としたネットワーク脆弱性スキャンをスキャンツールを用いて委託先で実施し、「High」レベルの脆弱性が複数検出されていたにもかかわらず、当該脆弱性スキャンの報告書では、「High」レベルのうちシグネチャ未更新に関する脆弱性をなかったものに改ざんし、令和2年及び同社が法第35条の16第1項第4号及び第7号に規定する事業者に該当することとなった令和3年のPCIDSS監査に際し、改ざんした報告書を監査機関に提出していた。
https://www.meti.go.jp/press/2022/06/20220630007/20220630007.html 経済産業省
また、同社は、平成30年から令和3年の間に実施したPCIDSSで求められているWEBアプリケーション(自社システムの管理画面を含む。)の脆弱性診断を診断ツールを用いて自社で実施し、「High」「Medium」レベルの脆弱性が複数検出されていたにもかかわらず、当該脆弱性診断の報告書ではこれらの脆弱性をなかったものに改ざんし、平成30年から同社が法第35条の16第1項第4号及び第7号に規定する事業者に該当することとなった令和3年のPCIDSS監査に際し、改ざんした報告書を監査機関に提示又は提出していた。
2021年10月から2022年1月にわたって脆弱性を突いたサイバー攻撃によって複合的な不正アクセスが行われ、
クレジットカードが不正利用された件での行政処分でした。(詳細→https://www.metaps-payment.com/company/20220701_02.html)
「High」レベルの脆弱性をなかったことにするのは、かなり大胆ですね…。
2022/7/1
・弊社オンラインショップ登録個人情報漏えいに関するお詫びとご報告
〇漏えいの可能性が確認された個人情報
対象: 弊社オンラインショップ「diskunion.net」ならびに「audiounion.jp」にご登録されたお客様
項目: 氏名、住所、電話/FAX番号、Eメールアドレス、ログインパスワード、会員番号
件数: 最大約701,000件
※なお、弊社オンラインショップにおける決済は全て外部委託しておりますので、クレジットカード情報を保有しておりません。そのため、クレジットカード情報については漏えいの可能性はございません。
利用者にはパスワードの変更の呼びかけと、不審なメールへの注意喚起がされています。
全国に店舗がある有名な音楽CD・レコードチェーン店ということもあり、利用されている方もかなり多い印象です。
2022/7/3
・au携帯電話サービスがご利用しづらい状況について
1.日時
2022年7月2日(土) 01時35分頃から継続中
2.対象サービス
au携帯電話、UQ mobile携帯電話、povo、au回線利用事業者の通信、ホームプラス電話、
ホーム電話、auフェムトセル、SMS送受信
3.影響エリア
全国
4.原因
2022年7月2日(土)未明の設備障害により
VoLTE交換機でトラヒックの輻輳が生じております。
5.影響
トラヒックの輻輳を軽減するため、流量制御などの対処を講じており、
個人・法人のお客さまの音声通話およびデータ通信がご利用しづらい状況が発生しております。
7/2からauの携帯電話サービスで大規模な障害が起きています。土曜日から発生した障害ということもあり、影響があった方も多いですね。
まとめのまとめ
7/2から始まったauの通信障害ですが、UMAもauユーザーなので電話が使えず、エアコン修理業者と連絡手こずっております…。
担当:UMA