朝日新聞の本日の記事は、色々と考えさせられるものがありました。

www.asahi.com

　オークションサイトに架空出品した商品を自ら落札し、支払い代金に充てた決済サービス「PayPay（ペイペイ）」のポイントを不正に現金化したとして、警視庁が埼玉県草加市の男女3人を電子計算機使用詐欺容疑で逮捕したことが7日、捜査関係者への取材でわかった。

　3人は20～50代の家族で、アプリなどの認証代行業者だった。事業に使う約4万件の携帯番号でアカウントを作り、新規登録者に付与されるポイントを約2千万円分入手。現金化して、トヨタ自動車の高級ブランド車「レクサス」を購入するなどしたという。

　3人は昨年6～7月、オークションサイト「ヤフオク！」に実在しないトレーディングカードを約800回出品し、自ら落札してペイペイのポイントで決済。約40万円分を現金化した疑いがある。ポイントは新規登録キャンペーンの特典で、アカウントを作った人に500円分が付与されていた。登録に必要な電話番号は、事業用に所持していた大量の「SIMカード」を利用したという。

（朝日新聞記事より引用）

キタきつねの所感

ヤフオクやメルカリ等のオークションサイトや、オンラインゲーム等で複数アカウントを持ちたいというニーズは一定の需要があります。

大々的にそれをビジネスとしている”認証代行業者”があるいのは知っていましたが、オークションやゲームの運営側、警察もそうした業者に対し、人的な監視やAI検知などを使って対策を強化しており、認証代行なるビジネスが以前ほどには儲からなくなり始めている、そうした背景がこの事件にはあるのかも知れません。

※朝日新聞の用語解説では、認証代行業者を以下の様に説明しています。

アプリなどの利用者が新規登録やログインをする際、本人確認の手続きを代行する業者。自らが管理する携帯電話の番号を利用者に伝えてアプリに登録してもらい、その後にショートメッセージ（SMS）で送られてきた確認コードをさらに利用者に伝えて、アプリに入力してアクセスしてもらう。番号が登録された格安「SIMカード」を大量に仕入れているとみられる。他人になりすませるため、犯罪ツールになる危険性があるとの指摘がある。

（朝日新聞記事より引用）

Visaの新しいセキュリティアラートに関する記事が出ていました。コロナ禍を受けて海外や日本のカード情報を狙う攻撃は非対面取引（CNP）の加盟店が狙われる傾向が強いのですが、各国の経済活動再開を受けて対面取引（CP）の加盟店にまたハッカーが戻ってきた可能性を感じます。

securityaffairs.co

Visaは、2つの名前のない北米のホスピタリティ加盟店がPOS（point-of-sale）マルウェアのいくつかの株に感染していることを明らかにしました。
米国の支払い処理業者Visaは、北米の2つのホスピタリティマーチャントがハッキングされ、攻撃者が2つの名前のない組織のシステムにPOS（point-of-sale）マルウェアを感染させたことを明らかにしました。

先週発行されたセキュリティアラートによると、攻撃はそれぞれ2020年5月と6月に発生しました。

（Security Affairs記事より引用）※機械翻訳

公式発表（VISA）

• NEW MALWARE SAMPLES IDENTIFIED IN POINT-OF-SALE COMPROMISES　(POS侵害事件で識別された新しいマルウェアのサンプル)

キタきつねの所感

今年9月25日発行のVisaの新しいセキュリティアラートです。

Visaのセキュリティアラートは米国の加盟店向けサイト（※ページの下の方にあります）で平均すると月1回程度出ていますが、あまり日本で注目される事はありません。

私も海外記事で気づいた時に見る程度なのですが、カード情報のインシデントの詳細を知る立場にあるVisaだけに、攻撃を受けた加盟店情報は出ない（匿名かされている）ものの、詳細な攻撃手口が書かれているので、セキュリティ関係の方はウォッチしておいても良いソースと言えるかも知れません。

こんな感じで掲載されているのですが・・・読みにくいので、

一時期道民だった事もあるだけに、ススキノの感染店リストが漏えいした事件の”決着”には、何とも言えないモヤモヤ感がありました。

www.hokkaido-np.co.jp

札幌・ススキノ地区で新型コロナウイルスの感染者が確認されるなどした店舗リストが外部流出した問題で、札幌市は２日、流出の経緯は解明できなかったとする調査結果を発表した。

（中略）

　市保健所によると、調査は７月末から９月末に実施した。リストは庁内のサーバーに保管され、庁内の情報共有システムを利用できる全職員約１万４千人のパソコンの履歴を調べた結果、リストを閲覧した職員は７１人と判明。しかし、ＵＳＢメモリーなどへの保存や、外部組織へのメール送信などは見つからなかった。

（北海道新聞記事より引用）

キタきつねの所感

まず経緯を振り返ってみます。

お盆休み前に様々な所で報じられていたので、覚えていらっしゃる方もいるかと思いますが、札幌保健所が利用客・従業員からの新型コロナウィルス感染の相談があったススキノの27飲食店（キャバクラやスナック）の店名や営業形態、感染の可能性がある期間を掲載したA4用紙3枚の内部資料で、感染状況に応じた3段階の注意レベルがハートの数で示されたリストがSNSに流出・拡散しました。www.nikkei.com

リスト作成時に感染者が出てない（単に相談があっただけの）店舗も含まれているとされ、リストがSNSで拡散してしまったが故に、「風評被害」を含めて、店舗側は稼ぎ時のお盆休み前の”不意打ち”に当然のことながら、憤っていました。

www.hokkaido-np.co.jp

ここまでが前提です。

キャリアショップ等を運営するベルパークがランサム被害を受けていたと報じられていた件を調べてみました。

www.itmedia.co.jp

　全国でキャリアショップを運営するベルパーク（JASDAQ上場）は9月25日、同社がクラウド環境で運用している社内システムがランサムウエアによるサイバー攻撃を受け、同社に物件を賃貸している賃貸人の情報や物件の契約情報が流出した可能性があると発表した。

　流出した可能性があるのは、賃貸人の氏名（法人名）や住所、電話番号、振込口座の銀行名や口座番号、賃貸物件の名称や賃料などで、個人の賃貸人263件、法人839件分。

(IT Media記事より引用）

公式発表

• 不正アクセスによる情報流出の可能性について

キタきつねの所感

公式発表を見て、まず気になったのが、保有する賃貸借契約に関する情報漏えいを中心に書かれているのですが、社内システムがどの程度の影響を受けたのか？という点でしたが、意外に影響範囲が小さかったのかも知れません。

公式発表ではまったく触れられていません。この手の被害が出た際は、某巨大掲示板等に社員の方と思わしき投稿（仕事にならない・・・等々）が出てくる事が多いのですが、特にそれらしき内容は見当たりませんでした。

クラウド環境のバックアップがしっかりしていたという事なのかも知れません。

次に気になったのが、時系列です。公式発表ではしっかりと時系列によるインシデント対応の経緯が説明されています。

しかし、時系列を見ると、開発会社の動きが非常に”鈍い”気がします。