
クラウドセキュリティ|知る×学ぶ
セキュリティトピック 2023年5月 | 攻撃と対策手段 | CTC-CSS
セキュリティに関する事案は毎日世界中で発生しています。しかし、その多くのニュースからは個人に対する脅威や、政府機関に対する国家レベルの脅威など大小入り混じった事案が全て「セキュリティニュース」として取り扱われます。
その結果、企業や組織でセキュリティ対策を検討しなければならないセキュリティ担当者や経営層の方々にとって「対策を検討すべきセキュリティ事案」が一体どれなのか?がわからないという状況に陥っているのではないでしょうか?
伊藤忠テクノソリューションズ(CTC)では世界を代表するセキュリティベンダーやお客様のインシデント状況から国内外のインシデントや攻撃トレンド、それらに対抗するための対策技術の情報を収集しています。これらの情報源から得られた知見から「今」抑えておくべきセキュリティ事案を「セキュリティトピック」としてお知らせします。
▼ 目次
・2023年5月セキュリティトピック
・2023年4月セキュリティトピック
・2023年3月セキュリティトピック
・2023年2月セキュリティトピック
・2023年1月セキュリティトピック
・2022年11月セキュリティトピック
■2023年5月のセキュリティトピック
2023年4月に報道されたセキュリティインシデントから、組織におけるセキュリティ対策を検討される方々に重要と思われる3つのトピックを紹介します。
1.ランサムウェア増加に関する注意喚起
警察庁はサイバーセキュリティ便りにて「ランサムウェア感染拡大中」と注意喚起を行いました。
・侵入経路ナンバー1はVPN機器からの侵入
警察庁の発表によれば令和四年に発生した102件のランサムウェア被害のうち侵入経路として利用された割合が最も多いのはVPN機器からの侵入で62%を占めています。
次いでリモートデスクトップからが19%、3位が不審メールからで9%となっています。
・オフラインバックアップが重要
警察庁はランサムウェアへの有効な対策としてオフラインバックアップを推奨しています。警察庁は「バックアップを取得していたにも関わらず復旧出来なかった理由」について調査をしており、この理由の72%が「暗号化されていた」ことが理由で「バックアップをとっていたにも関わらず復旧出来なかった」としています。
ネットワーク経由でのバックアップではバックアップデータ自体も暗号化されてしまい、バックアップとしての意味を為さなくなるという調査結果が公開されています。
ランサムウェア対策を考える場合にはオフラインバックアップも併せて取得することが大切です。
・これは何故重要ですか?
ランサムウェアが猛威を振るっているというのは周知の事実ですが、その侵入経路や有効な対策については様々な見解があります。警察庁は実際にあった被害を基に発表していますので、ランサムウェア対策を検討する上で重要な判断材料となります。
・対策手段
警察庁の発表に基づいた有効な対策手段は以下となります。
- VPN機器をZTNA等の外部からの不正アクセスが難しい設備に切り替えます。
- リモートデスクトップ等へのアクセスには多要素認証を実施します。
- バックアップはオフライン/オンラインで取得します。
2.名刺管理サービスを狙うソーシャル攻撃
国内大手名刺管理サービスになりすました不審な電話やメールが確認されているとして利用組織に対して注意を呼びかけました。
・これは何故重要ですか?
名刺管理サービスは利便性を考慮して一般ユーザの認証に多要素認証が設定されていないこともおおく、また一度不正アクセスが成功すると標的企業の大量の個人情報をダウンロードすることが可能になります。更にメール送信サービスなどを利用することで正規の企業ドメインから取引先に対してフィッシングメールを送信することなども可能であり、サプライチェーンへと被害が及ぶリスクがあります。
・対策手段
- 名刺管理サービスの多要素認証を有効化する
- サービス提供者を名乗る電話やメールでログインパスワードを尋ねられた場合には無視するように従業員を指導する
※上記はあくまで一例となります。顧客環境に応じて対策手段は多岐にわたります。
3.破棄ルーターの認証情報の消し忘れ
セキュリティ研究家の報告によると企業から破棄され中古市場に出回ったルーターには使用されていた設定情報消去されておらず、そのまま企業に接続可能であるとの研究結果が報告されました。
・これは何故重要ですか?
企業のネットワークで実際に利用されていたルーターには企業に接続するためのIPアドレス情報や認証情報等が登録されていることがあり、これらが悪意のある攻撃者に渡れば簡単に企業へのアクセスを許可することになります。
・対策手段
- ルーターに限らず不要になったIT資産を破棄する場合には全ての設定を消去することを徹底します。
- ネットワーク機器の接続に利用するパスワードを定期的に変更します。
■JPCERTコーディネーションセンター(JPCERT/CC)注意喚起
- Adobe AcrobatおよびReaderの脆弱性(APSB23-24)に関する注意喚起
https://www.jpcert.or.jp/at/2023/at230006.html - 2023年4月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2023/at230007.html - 2023年4月Oracle製品のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2023/at230008.html
企業システムは、オンプレとクラウドが同居するハイブリッドクラウド、複数のクラウドから成るマルチクラウド構成、仮想化、コンテナ化などにより複雑化しており、運用、監視、管理のためのシステムも同様に増え続けています。
セキュリティに不安、システム運用、監視、管理についてお悩みを解決する手段はCTC までご相談ください。
■2023年4月のセキュリティトピック
2023年3月に報道されたセキュリティインシデントから、組織におけるセキュリティ対策を検討される方々に重要と思われる3つのトピックを紹介します。
1.強まるAI技術への規制
昨年末からAIの実生活への応用が格段に進化を遂げAIを活用したチャットボット等や画像などの自動生成技術が急速に社会に浸透しています。一方で企業での利用においては情報漏洩や権利問題等の課題があると本トピックでも以前から取り上げていました。
■2023年2月:AI活用チャットボットによる機密情報漏洩リスク記事
- 米国 バイデン米大統領が科学技術諮問会議にて「利用者の安全を脅かす恐れもあると懸念を表明。「議会は企業の個人データ収集に厳しい制限を課す法案を可決する必要がある」と発言し、法規制の必要性を訴えました。
- イタリア データ保護当局が「膨大な個人データの収集が個人情報保護法に違反する疑いがある」として、チャットGPTの使用を一時禁止すると発表しました。
- 日本 松野博一官房長官は会見で他国がAI規制に動く中で「AIに関する動向把握に努め、何らかの対応が必要な場合には内閣府を中心に関係省庁と連携して対応する」と述べました。
AI活用は企業に大きなビジネス機会を創出することが期待されますが、各国の法規制や自社の情報漏洩リスク等にも配慮しながら活用することが求められます。
・これは何故重要ですか?
世の中で新しい技術が登場するとそのリスクが正しく評価されないまま、企業内で利用されることがあります。AI活用チャットボットはビジネスを活性化させる可能性が多々ありますが、企業内で安全に利用するためのガイドラインの策定等を検討する必要があるでしょう。
・対策手段
AI活用チャットボットへの不安を感じる企業では以下のような対策を検討することを推奨します。
- プロキシ等を利用しAI活用サービスへのアクセスを禁止します。
- 機密情報を入力しないなどのAI活用チャットボット利用に関するガイドラインを策定します。
- 事業開発等の理由でアクセスを必要とする従業員には、ガイドラインを一読したうえで利用することを義務づけます。
2.Emotet活動再開
2023年3月7日、メールを介してマルウェアの感染を拡大させるEmotetの活動再開が確認されました。Emotetは2022年11月末以降活動が確認されていませんでしたが、およそ3か月ぶりの活動再開となります。
・これは何故重要ですか?
Emotetは非常に感染力が高く、感染すると感染端末に保存されていたメールの情報やアドレス帳に登録されていた担当者名などの情報が窃取されます。自社だけでなく取引先等に対しても被害が及ぶ可能性が高くなります。
・主な侵入方法
A) マクロ付きのExcelやWordファイル、あるいはこれらをパスワード付きZipファイルとしてメールに添付する形式で配信
B) メール本文中のリンクをクリックすることで悪性なExcelやWordファイルをダウンロードしアプリケーションのインストールを装い感染する
・感染方法
攻撃ファイル開封後にマクロを有効化する操作を実行することでEmotetの感染に繋がります
・対策手段
- メール用セキュリティソリューションの導入
- クラウドストレージによる添付ファイルの代替
- SASE等での悪性リンクのブロック
※上記はあくまで一例となります。顧客環境に応じて対策手段は多岐にわたります。
3.アジア太平洋地域で記録的なDDoS攻撃を観測
DDoS対策大手の米アカマイ社はアジア太平洋地域において過去最大となる900Gbpsの攻撃トラフィック、毎秒 1 億 5,820 万パケットの攻撃パケットを観測したと発表しました。
・これは何故重要ですか?
攻撃対象に膨大なトラフィックを送り付けてシステムを動作不能にするDDoS攻撃は年々攻撃規模の拡大が続いています。DDoS攻撃対策は多くの企業で採用されていますが、想定攻撃トラフィックの増加に耐えうるものであるか確認する必要があります。
・対策手段
- DDoS攻撃対策ソリューションの対応能力を確認し、昨今の大規模化する攻撃トラフィックに対処可能か確認します。
- 重要なIPサブネットを確認し、緩和制御が実施されていることを確認します。
- 最初の防御層として、常時オンの軽減体制で DDoS セキュリティ コントロールを展開します。
- 危機対応チームのランブックとインシデント対応計画が最新であることを確認します。
■JPCERTコーディネーションセンター(JPCERT/CC)注意喚起
- マルウェアEmotetの感染再拡大に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220006.html - 2023年3月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2023/at230005.html
企業システムは、オンプレとクラウドが同居するハイブリッドクラウド、複数のクラウドから成るマルチクラウド構成、仮想化、コンテナ化などにより複雑化しており、運用、監視、管理のためのシステムも同様に増え続けています。
セキュリティに不安、システム運用、監視、管理についてお悩みを解決する手段はCTC までご相談ください。
■2023年3月のセキュリティトピック
2022年2月に報道されたセキュリティインシデントから、組織におけるセキュリティ対策を検討される方々に重要と思われる3つのトピックを紹介します。
1.サイバーセキュリティ月間
例年2月1日から3月18日までは「サイバーセキュリティ月間」と位置付けられ、産学官民で連携しセキュリティ強化に取り組む期間とされています。
本年は日本だけの取り組みではなく、日米豪印の4か国(QUAD)で連携し、サイバー攻撃防止に向けた関係強化が図られています。
「サイバーセキュリティ月間」を自社のセキュリティ向上に意識を向ける期間として活用頂くことを推奨します。
2.決済システムの改ざんにより約11万人分のクレジットカード情報が漏洩
国内でECサイトを運営する企業において決済システムの情報が改ざんされ、約11万件のクレジットカード情報漏洩が発生しました。
・これは何故重要ですか?
今回の情報漏洩ではクレジットカード情報として以下の情報が流出したと公表されています。
- クレジットカード番号
- カード名義人名
- セキュリティコード
- 有効期限
クレジットカード番号や名義人といった「一部の情報のみ」であれば例え情報が盗まれたとしてもクレジットカードが不正利用されるリスクは低くなります。しかし、今回はクレジットカード決済にて必要される全ての情報がセットで流出しているため、不正利用されるリスクが高くなります。実際既に不正利用の形跡があると公表されています。
そして、本件はセキュリティ対策を検討する上でも注目すべき点があります。通常PCI-DSS等の規格に準じていればセキュリティコードはサーバー上に保管されていないのが一般的です。データベース内に保存されているデータを盗み出すSQLインジェクションではない別の攻撃が仕掛けられた可能性がある点です。
被害原因として「決済システムの改ざん」とされているためクライアントの情報入力をサイバー攻撃者に転送する「フォームジャッキング」等の攻撃が仕掛けられた可能性があります。
サーバーの保護施策としてWAF等を用いてSQLインジェクションに対する対策を実施しているケースは良く知られた対策ですが、今回の改ざんやクライアントで入力された情報を転送する攻撃に対しては、WAF等の技術ではオプションあるいは保護対象外となっていることが多く注意が必要です。
・対策手段
公開サーバーに対して改ざん対策を実施することが重要です。
- 自社のシステムやコンポーネント、Webプラグインのすべてにパッチを適用しマルウェアの侵害を受けないようにする。
- 定期的にWebコンテンツの整合性チェックをオフラインで実行し、攻撃者にページが編集されていないか確認する。
- 悪意のあるJavaScriptコードが挿入されていないかを確認する。
3.増加する検索エンジンの悪用
本トピックでも過去に取り上げた検索エンジンの広告を悪用するSEOポイズニングキャンペーンが引き続き増加傾向にあります。
・これは何故重要ですか?
検索エンジンの広告を悪用し、「正規のサイト」と誤解させ悪意のあるサイトへ誘導しようとします。多くの人々は訪問しようとするウェブサイトの正しいURLを記憶していることは稀です。
そういった場合に、「検索エンジン」を利用するという行動パターンに着目した攻撃です。訪れようとする本物そっくりのサイトが準備されていることが多く、「検索エンジンで表示されたから正しいサイト」という思い込みが働くため、ひっかかりやすいという特徴があります。
こういった検索エンジンを悪用する攻撃において以下のような攻撃が確認されています。
- 偽のログインページを表示させID/PW情報を盗難する
- 正規のソフトウェアを装いマルウェアが混入されたプログラムをダウンロードさせようとする
- AWS管理コンソールへのログイン情報を盗難する
・対策手段
- 良く利用するウェブサイト等はブックマークするように指導する
- 企業で利用するインストーラ等は共有ストレージに保管する、あるいはダウンロードリンクを明示し、検索結果に頼らないようにする
- SASE等での悪性リンクをブロックする
- 分離ブラウザを利用し危険なファイルのダウンロードやコード実行をブロックする
■JPCERTコーディネーションセンター(JPCERT/CC)注意喚起
- 2023年2月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2023/at230004.html
企業システムは、オンプレとクラウドが同居するハイブリッドクラウド、複数のクラウドから成るマルチクラウド構成、仮想化、コンテナ化などにより複雑化しており、運用、監視、管理のためのシステムも同様に増え続けています。
セキュリティに不安、システム運用、監視、管理についてお悩みを解決する手段はCTC までご相談ください。
■2023年2月のセキュリティトピック
2022年1月に報道されたセキュリティインシデントから、組織におけるセキュリティ対策を検討される方々に重要と思われる3つのトピックを紹介します。
1.AI活用チャットボットによる機密情報漏洩リスク
GPT-3.5という自然言語モデルを利用したAI活用チャットボットが注目を集めています。自然な文章で質問するとまるで人間と対話していると錯覚させるような流暢な文章で返信が返ってきます。その自然な言語処理能力を活かしてカスタマーサポートやFAQの回答の品質向上、記事の自動生成、サンプルコードの生成など様々な活用方法が日々議論されています。
一方でこういった技術の利用を制限する企業や団体も現れています。ニューヨークのある大学ではAI活用チャットボットに対する学内からのアクセスを禁止したと報道されています。生徒の考える能力を低下させる恐れがあること、また説得力のある言葉で回答があっても「間違っている」回答が返ってくることもあり、生徒が誤りに気づけない等の点が危惧されています。
また、AI活用チャットボットに入力した質問はAIの学習ソースとして利用される可能性もあり、入力した文章を削除することも出来ないため機密情報の漏洩リスクについて調査を開始した企業も現れています。例えば「自社の機密情報について質問したらどんな答えが返ってくるか?」と悪戯心でAI活用チャットボットに入力すると、それがAIの学習ソースとして利用され世界中の第三者の目に「回答」として公開されるリスクがあります。
・これは何故重要ですか?
世の中で新しい技術が登場するとそのリスクが正しく評価されないまま、企業内で利用されることがあります。AI活用チャットボットはビジネスを活性化させる可能性が多々ありますが、企業内で安全に利用するためのガイドラインの策定等を検討する必要があるでしょう。
・対策手段
AI活用チャットボットへの不安を感じる企業では以下のような対策を検討することを推奨します。
- プロキシ等を利用しAI活用チャットボットへのアクセスを禁止します。
- 機密情報を入力しないなどのAI活用チャットボット利用に関するガイドラインを策定します。
- 事業開発等の理由でアクセスを必要とする従業員には、ガイドラインを一読したうえで利用することを義務づけます。
2.米国通信事業者のAPIを悪用し3700万件の個人情報漏洩
米国の通信事業者がAPIを介して3700万件の個人情報漏洩被害にあったと公表しました。
・これは何故重要ですか?
今回の攻撃に利用されたAPIを悪用する攻撃手段は今後増加が予想される攻撃手法の一つです。
情報漏洩に悪用される攻撃方法として一般な攻撃手法は公開されているウェブサーバの脆弱性を悪用する手法です。こういったウェブアプリケーションの保護としてWAF等が導入されているのは珍しいことではありません。
しかし、今回の攻撃に利用されたのはAPIであり、WAF等の技術ではAPI保護機能はオプションあるいは保護対象外となっていることが多く注意が必要です。API保護を専門とする対策技術の企業導入率は低く、サイバー攻撃者にとっては「狙い目」と考えられている攻撃対象領域の一つです。今後APIに対する攻撃が増加すれば多くの企業が被害にあう可能性が高まります。
・対策手段
- API保護ソリューションを導入。
- APIゲートウェイを利用し、APIの利用経路を特定し。
- WAAP( Web Application and API Protection )を導入する。
WAAPとはWAFやDDoS対策といった従来から存在するウェブサーバ保護技術に加えてBot対策やAPI保護も組み入れた次世代のウェブサーバ保護技術です。 - 侵入テストを実施し、脆弱なAPIを特定します。
API保護を計画する上で重要な点は「APIの利用状況を正しく認識する」ことが挙げられます。外部からのデータ入手が可能なAPIが企業内にどの程度存在し、悪用される脆弱性が含んでいるかを調査することを推奨します。
3.個人情報保護委員会が設立後初の刑事告発を実施
本人の同意なく破産者の氏名、住所などの個人情報をインターネット上に掲載しているウェブサイトを政府の個人情報保護委員会が刑事告発しました。
・これは何故重要ですか?
個人情報保護委員会は2016年に発足しましたが、同委員会が刑事告発に至ったのは設立後初の事例となります。
本件は破産者情報という官報に掲載された「公開情報」を利用したものでしたが、「公開情報」であっても本人に同意を得ていないと考えられること、インターネット上に公開されている地図データと紐付けられる形で表示されており、違法又は不当な行為を助長し、又は誘発するおそれがある等の観点から刑事告発という厳しい処置へと至りました。
個人情報保護法は3年ごとに見直しがなされており改正を重ねるごとに罰則が厳しくなる傾向にあります。企業におかれましてもデータ利活用等の観点から個人情報の活用は検討されることと思われますが、取り扱いの際には適切に取り扱い、保護が出来ているか確認することを推奨します。
■JPCERTコーディネーションセンター(JPCERT/CC)注意喚起
- 2023年1月Oracle製品のクリティカルパッチアップデートに関する注意喚起 (公開)
https://www.jpcert.or.jp/at/2023/at230003.html
- 2023年1月マイクロソフトセキュリティ更新プログラムに関する注意喚起 (公開)
https://www.jpcert.or.jp/at/2023/at230002.html
- Adobe AcrobatおよびReaderの脆弱性(APSB23-01)に関する注意喚起 (公開)
https://www.jpcert.or.jp/at/2023/at230001.html
企業システムは、オンプレとクラウドが同居するハイブリッドクラウド、複数のクラウドから成るマルチクラウド構成、仮想化、コンテナ化などにより複雑化しており、運用、監視、管理のためのシステムも同様に増え続けています。
セキュリティに不安、システム運用、監視、管理についてお悩みを解決する手段はCTC までご相談ください。
■2023年1月のセキュリティトピック
2022年12月に報道されたセキュリティインシデントから、組織におけるセキュリティ対策を検討される方々に重要と思われる3つのトピックを紹介します。
1.SSL-VPN製品に関する深刻な脆弱性
国内市場でも大きなシェアを持つSSL-VPN製品に危険な脆弱性の存在が確認されました。CVE-2022-42475に分類され、本脆弱性は遠隔から認証不要で不正なリクエストをSSL-VPN装置に送信することで不正なコマンドを実行することが可能になります。
既に本脆弱性が悪用されていることが確認されており、速やかにバージョンアップ等の対策を取ることを推奨します。
・これは何故重要ですか?
本脆弱性はインターネットから不正なパケットを送信することで不正な操作が成立します。一般的にSSL-VPN装置はインターネットから直接通信可能な位置に設置されているため攻撃を仕掛けられる可能性が高くなります。
また、日本国内のランサムウェアの侵入経路としてVPN装置の脆弱性利用が最も多い傾向があります。SSL-VPNに対する今回のような脆弱性が公開されると本攻撃を悪用可能なSSL-VPNを検索する行為が増加するため、該当製品を利用されているお客様は早急に対策を進めることを推奨します。
・対策手段
- 利用中のSSL-VPN製品が脆弱性の影響を受けるか、製品およびバージョンなどの利用状況を確認する
- 脆弱性の影響を受ける場合、メーカーが提供している情報をもとに対策を実施する
※上記はあくまで一例となります。顧客環境に応じて対策手段は多岐にわたります。
2.EU、NIS2指令の採択を決定
欧州連合官報(OJEU)は2022年12月27日、EU全域で高い共通レベルのサイバーセキュリティを確保するための措置NIS2指令を採択すると発表しました。
NIS2指令は、2016年に成立した「ネットワークと情報システムのセキュリティに関する指令(NIS指令)」を改定し、対象分野を拡大しサイバーセキュリティのリスク管理対策と報告義務の枠組みを提供するものです。さらに、NIS2指令は、サイバーセキュリティの要件と各EU加盟国におけるサイバーセキュリティ対策の実施を調和させることを目指しています。
NIS2指令は官報掲載から20日後に発効する予定です。EU加盟国はその後21ヶ月以内に同指令を国内法に反映させる必要があります。
また、NIS2指令の規制対象となる企業はそれまでの間にセキュリティ体制を整備する必要があります。違反企業に対しては制裁金が課せられるようになります。
・これは何故重要ですか?
欧州でビジネスを営み、NIS2指令で指定された業種に分類される企業はNIS2指令の求めるセキュリティ体制を整える必要があります。これに違反した場合には巨額の制裁金を課せられるリスクがあります。
- 不可欠な主体(Essential Entity):違反企業に対しては1000万ユーロ、または全世界年間売上高の2%の制裁金が課せられます。
- 重要な主体(Important Entity):違反企業に対しては700万ユーロ、または全世界年間売上高の1.4%の制裁金が課せられます。
3.詐欺メールで食品を盗む攻撃
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は「食品の窃取」を目的としたビジネスメール詐欺についてアラートを公開しました。
・これは何故重要ですか?
相手を騙すために送信される「詐欺メール」自体は最もメジャーなサイバー攻撃手法ですが、その大半は「電子マネー」を盗む目的であることが一般的です。今回の警告は「食品」という物品の盗難を目的としているのが新しい点となります。
サイバー攻撃者は正規の従業員になりすまし、食品を注文させます。被害企業は注文に応じ商品を発送しますが、サイバー攻撃者が代金を支払うことはありません。
一般的に「詐欺メールの訓練」は偽サイトへの誘導や不正送金を想定した訓練となっており、このような「物品」を対象とした訓練が行われていることは少なく、誤って正規の注文と判断してしまうリスクがあります。
・対策手段
「詐欺メール対策」は従業員に対する訓練とシステム的な対応の二つの側面での対策が重要です。以下のような対策を取り入れることを推奨します。
- 定期的に詐欺メール訓練を実施する。
- SPF、 DKIM、DMARC 認証を有効化し、電子メール認証を強化します。
- 悪質なメールをブロックするフィッシング対策やなりすまし防止のセキュリティ機能を有効化する。
- すべてのメールアカウントで多要素認証を有効にする。
- 外部アドレスへの電子メールの自動転送を禁止する。
- 会社のメールサーバーの設定や特定のアカウントのカスタムルールが変更されていないか監視する。
- POP、IMAP、SMTP1 など、多要素認証の回避に使用可能なレガシー電子メールプロトコルを禁止する。
- メールボックスのログインと設定の変更がログに記録され、少なくとも90日間保持されることを確認する。
- 海外からのログインなど、不審な動きに対するアラートを有効にする。
■JPCERTコーディネーションセンター(JPCERT/CC)注意喚起
- FortiOSのヒープベースのバッファーオーバーフローの脆弱性(CVE-2022-42475)に関する注意喚起 (更新)
https://www.jpcert.or.jp/at/2022/at220032.html
- Citrix ADCおよびCitrix Gatewayの脆弱性(CVE-2022-27518)に関する注意喚起 (公開)
https://www.jpcert.or.jp/at/2022/at220033.html
- 2022年12月マイクロソフトセキュリティ更新プログラムに関する注意喚起 (公開)
https://www.jpcert.or.jp/at/2022/at220034.html
企業システムは、オンプレとクラウドが同居するハイブリッドクラウド、複数のクラウドから成るマルチクラウド構成、仮想化、コンテナ化などにより複雑化しており、運用、監視、管理のためのシステムも同様に増え続けています。
セキュリティに不安、システム運用、監視、管理についてお悩みを解決する手段はCTC までご相談ください。
■2022年11月のセキュリティトピック
2022年11月に報道されたセキュリティインシデントから、組織におけるセキュリティ対策を検討される方々に重要と思われる3つのトピックを紹介します。
1.活動を再開したEmotet
2022年7月頃から国内での感染活動が停止していましたが、2022年11月から再び国内でもEmotetの感染が確認されるようになりました。基本的な攻撃手口に変化はなく、主要な攻撃侵入経路はメールとなっています。メールの添付ファイルや本文中のリンククリックを用いて感染を狙います。
・これは何故重要ですか?
Emotetは非常に感染力が高く、感染すると感染端末に保存されていたメールの情報やアドレス帳に登録されていた担当者名などの情報が窃取されます。自社だけでなく取引先等に対しても被害が及ぶ可能性が高くなります。
・主な侵入方法
A) マクロ付きのExcelやWordファイル、あるいはこれらをパスワード付きZipファイルとしてメールに添付する形式で配信
B) メール本文中のリンクをクリックすることで悪性なExcelやWordファイルをダウンロードしアプリケーションのインストールを装い感染する
・感染方法
- 攻撃ファイル開封後にマクロを有効化する操作を実行することでEmotetの感染に繋がります
・対策手段
- メール用セキュリティソリューションの導入
- クラウドストレージによる添付ファイルの代替
- SASE等での悪性リンクのブロック
※上記はあくまで一例となります。顧客環境に応じて対策手段は多岐にわたります。
2.在宅勤務者を狙うSEOポイズニングキャンペーン
2022年10月19日、国内の大手切符予約サービスを装うフィッシングサイト(偽サイト)が検索結果ページのトップに表示される事態が発生しました。知名度の高いサービスが利用されたことで国内でも盛んに取り上げられました。
一般の方々が特定の情報を検索するために「検索エンジン」を利用することに着目し、その「検索エンジン」の検索結果を用いて不正なサイトに誘導するSEOポイズニングキャンペーンと呼ばれる攻撃手法となります。
・これは何故重要ですか?
マルウェアをダウンロードさせたり、認証情報を不正に取得するために「検索エンジン」が誘導手段として利用される古くからある攻撃ですが、昨今再び攻撃手法として報道が目立つようになってきています。
特に海外ではSEOポイズニングキャンペーンを利用して認知度の高いオンラインビデオ会議サービス等のインストーラを検索しているユーザーを対象とした不正サイトを準備し著名オンラインビデオ会議のインストーラを装いマルウェアを混入させるような攻撃が確認されています。
在宅勤務者が新規にこのようなツールを自宅でインストールする行動を想定し、メール添付ではなく検索エンジンが利用されていると推測されます。
・対策手段
- 良く利用するウェブサイト等はブックマークするように指導する
- 企業で利用するインストーラ等は共有ストレージに保管する、あるいはダウンロードリンクを明示し、検索結果に頼らないようにする
- SASE等での悪性リンクのブロック
3.インフラ系企業を狙う高度な標的型攻撃
警察庁サイバー警察局は、日本国内の学術関係者、シンクタンク研究員、報道関係者等に対し、講演依頼や取材依頼等を装い不正なプログラム(マルウェア)を実行させる「高度な標的型攻撃」の存在について注意を呼びかけました。
・これは何故重要ですか?
相手を騙すために送信される「詐欺メール」自体は最もメジャーなサイバー攻撃手法ですが、その大半は「ばらまき型」であり、詐欺メール用のテンプレートを入手したメールアドレスに一斉に送信するというものです。この「ばらまき型」の利点は低コストで「詐欺メール」を送付可能で、ある程度ひっかかる人が居るということです。
今回の「高度な標的型攻撃」は「詐欺メール」を利用する点は同じですが、対象人物像を調査し、その「標的」がクリックや開封しやすいように工夫する点が異なります。通常このような攻撃は高コストとなるため「明確な目的意識」を持つサイバー攻撃者が仕掛けるものとなります。このような「高度な標的型攻撃」を仕掛けるサイバー攻撃者は国家による支援を受けている可能性が高く、目的を達成するまで執拗に手段を変えて攻撃を仕掛けてくることが考えられますので、警戒が必要です。
・日本だけではなく他国でも攻撃が確認
エネルギー関連企業に関するサイバー攻撃が活発化しているとの報告が複数のセキュリティベンダーからアナウンスされています。米国大手ソフトメーカは2005年以降に製造中止となったウェブサーバーに影響を与える脆弱性が発見され、エネルギー分野の組織を標的として侵害するために使用されていると発表しています。
また、脅威インテリジェンス企業のRecorded FutureもRedEchoと名付けられた国家に支援されたと推測されるサイバー攻撃集団がインドのエネルギー企業に対してサイバー攻撃キャンペーンを実施していると報告しています。
エネルギー関連企業におかれましては、より一層の監視強化、セキュリティ対策強化、そしてサプライチェーン含めた従業員への注意喚起を実施頂くことを推奨致します。
■JPCERTコーディネーションセンター(JPCERT/CC)注意喚起
- OpenSSLの脆弱性(CVE-2022-3602、CVE-2022-3786)に関する注意喚起 (公開)
https://www.jpcert.or.jp/at/2022/at220030.html
- マルウェアEmotetの感染再拡大に関する注意喚起 (更新)
https://www.jpcert.or.jp/at/2022/at220006.html
- 2022年11月マイクロソフトセキュリティ更新プログラムに関する注意喚起 (公開)
https://www.jpcert.or.jp/at/2022/at220031.html
企業システムは、オンプレとクラウドが同居するハイブリッドクラウド、複数のクラウドから成るマルチクラウド構成、仮想化、コンテナ化などにより複雑化しており、運用、監視、管理のためのシステムも同様に増え続けています。
セキュリティに不安、システム運用、監視、管理についてお悩みを解決する手段はCTC までご相談ください。