著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは…。

 2019年10月下旬の注目ニュースは3件。最初は、三菱UFJ銀行の不正アクセス被害を取り上げる。

顧客の口座情報や取引先の情報が漏洩(10月25日)

 三菱UFJ銀行は法人向けに提供するサービスが不正アクセスを受け、台湾を拠点とする企業の口座情報や取引先の情報が漏洩したと発表した。

不正アクセス被害を知らせるリリース
(出所:三菱UFJ銀行)

 漏洩したのは、13社の口座情報とその取引明細1305件。取引明細には、取引先名や取引先の従業員名、メールアドレスなどが含まれる。

 不正アクセスには、東京に設置した通信暗号化装置の脆弱性が悪用されたとしている。ただ原因となった装置名を明らかにしていない。

 筆者が不正アクセスを受けたサービスのログイン画面を確認したところ、URLに「/dana-na/auth/url_default/welcome.cgi」という文字列を含み、ソースに「JavaSript」というタイプミスがあることが分かった。どちらも米パルスセキュア(Pulse Secure)の製品の特徴と一致している。

不正アクセスを受けたと思われるサービスのログイン画面
(出所:三菱UFJ銀行)

 さらに該当のサービスを提供するWebサーバーは、ソフトウエアのバージョンらしき文字列を含むテキストファイルを公開していた。そこには「Pulse Secure Network Connect 8.2」と記載されていた。以上から、不正アクセスを受けたのはパルスセキュアの製品だと推測される。

 パルスセキュアの製品には2019年5月までに脆弱性が見つかり、修正プログラムが提供されていた。JPCERTコーディネーションセンターは2019年9月6日、この脆弱性が修正されていないサーバーが国内に残っているとして、注意喚起を出していた。この脆弱性を悪用されると、遠隔から任意のコードを実行される恐れなどがあった。

 三菱UFJ銀行は2019年10月4日に不正アクセスを確認し、その後脆弱性のないバージョンにアップデートしたとしている。不正アクセスを受けたのはパルスセキュアの製品かどうかを同行広報部に確認したところ、ノーコメントということだった。

https://www.bk.mufg.jp/news/news2019/pdf/news1025.pdf

この先は会員の登録が必要です。今なら有料会員(月額プラン)が12月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら