先週のサイバー事件簿 - ファーウェイのタブレット「M5 lite 10」に緊急性の高い脆弱性

1月6日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

○ファーウェイ、MediaPad M5 lite 10に脆弱性

ファーウェイのAndroidタブレット「HUAWEI MediaPad M5 lite 10」に脆弱性が確認されている。ファームウェアのバージョンは「8.0.0.182（C00）」。

脆弱性は入力確認に関するもので、メモリの改ざんと任意のコードを実行される可能性がある。脆弱性の深刻度は、共通脆弱性評価システム「CVSS v3」のベーススコアにおいて「9.8」と緊急性が高い。

脆弱性を解消したバージョン「9.1.0.120（C00E120R1P7T8）」がすでに公開されているので、HUAWEI MediaPad M5 lite 10を所持しているユーザーは更新プログラムを適用のこと。

○楽天カードを騙るフィッシングメール

楽天カードを騙るフィッシングメールが拡散している。メールの件名は、「[楽天]ログインしましたか？（[日付 時刻]）」など。

メール本文では、自身のアカウントが第三者に不正ログインされた可能性があるなどと記載し、リンクをクリックさせたのちアカウント情報を入力するよう促してくる。メールに記載のアドレスはフィッシングサイトのもので、本物そっくりに偽装。フィッシングサイトのドメイン例は以下の通り。類似のフィッシングサイトが公開される可能性もあるので常に警戒しておきたい。

http://www.rakuten-card.co.jp.userid●●●●.●●●●.●●●●.com/?token=●●●●&email=●●●●

http://www.rakuten-card.co.jp.userid●●●●.●●●●.●●●●.com/login.php?token=●●●●

○Google、Chromeの最新バージョン「79.0.3945.117」をリリース

Googleは1月7日、Chromeの最新バージョン「79.0.3945.117」を公開した。アップデートは、Windows、macOS、Linux向けに提供される。

今回のアップデートではセキュリティ関連3件を修正。中でも重要度が「高（High）」と高いオーディオに関する「Use after free」の脆弱性はすぐにでも解消しておきたい。Chromeは基本的に自動アップデートだが、Chromeユーザーは念のため設定「Chromeについて」で確認のこと。

○現代ギター「GGインターネットショップ」でクレジットカード情報流出

現代ギターは、同社が運営する「GGインターネットショップ」が不正アクセスを受け、個人情報が流出したことを明らかにした。不正アクセスは、システムの一部の脆弱性をついたペイメントアプリケーションの改ざんによるもの。

今回の不正アクセスは、2019年10月23日に「GGインターネットショップ」を利用した人からサイトに不具合があるとの連絡を受け発覚。2019年10月24日に調査したところ、情報が漏洩した可能性があることが判明。これを受けサイトの運営を停止した。

流出したクレジットカード情報は133件で、流出期間は2019年10月6日～2019年10月24日。流出情報の詳細は、カード名義人名、クレジットカード番号、有効期限、セキュリティコード。

クレジットカード情報とは別に、サーバー内の個人情報（19,328件）も流出。2008年6月25日～2019年10月24日の間に顧客情報を登録した人、および買い物をした人のうち、情報が残っていた人のものが窃取された可能性がある。情報詳細は、氏名、性別、郵便番号、住所、電話番号、FAX番号、メールアドレス、ログインパスワード（暗号化済み）。

第三者による不正利用も確認されているので、「GGインターネットショップ」を利用したことのある人は、自分のクレジットカード明細を確認してほしい。