
クラウドセキュリティ|知る×学ぶ
セキュリティトピック 2023年11月 | 攻撃と対策手段 | CTC-CSS
セキュリティに関する事案は毎日世界中で発生しています。しかし、その多くのニュースからは個人に対する脅威や、政府機関に対する国家レベルの脅威など大小入り混じった事案が全て「セキュリティニュース」として取り扱われます。
その結果、企業や組織でセキュリティ対策を検討しなければならないセキュリティ担当者や経営層の方々にとって「対策を検討すべきセキュリティ事案」が一体どれなのか?がわからないという状況に陥っているのではないでしょうか?
伊藤忠テクノソリューションズ(CTC)では世界を代表するセキュリティベンダーやお客様のインシデント状況から国内外のインシデントや攻撃トレンド、それらに対抗するための対策技術の情報を収集しています。これらの情報源から得られた知見から「今」抑えておくべきセキュリティ事案を「セキュリティトピック」としてお知らせします。
▼ 目次
・2023年11月 政策研究大学院大学(GRIPS)の情報システムに対する不正アクセスについて
・2023年10月 BEC(ビジネスメール詐欺)に関するリスクと対策
・2023年9月 内閣サイバーセキュリティセンター(NISC)の電子メール関連システムに対するゼロデイ攻撃について
・2023年8月 富士通のネットワークサービス「FENICS」における不正侵入事案について
・2023年7月 生成AIの情報セキュリティへの影響について
・2023年6月 DDoS攻撃に関する注意喚起
・2023年5月 ランサムウェア増加に関する注意喚起/名刺管理サービスを狙うソーシャル攻撃 他
・2023年4月 強まるAI技術への規制/アジア太平洋地域で記録的なDDoS攻撃を観測 他
・2023年3月 決済システムの改ざんにより約11万人分のクレジットカード情報が漏洩/増加する検索エンジンの悪用 他
・2023年2月 AI活用チャットボットによる機密情報漏洩リスク/米国通信事業者のAPIを悪用し3700万件の個人情報漏洩 他
・2023年1月 SSL-VPN製品に関する深刻な脆弱性/詐欺メールで食品を盗む攻撃 他
・2022年11月 活動を再開したEmotet/インフラ系企業を狙う高度な標的型攻撃 他
■2023年11月のセキュリティトピック
2023年10月に報道されたセキュリティインシデントから、組織におけるセキュリティ対策を検討される方々に重要と思われるトピックを紹介します。
1.政策研究大学院大学(GRIPS)の情報システムに対する不正アクセスについて
政策研究大学院大学は、2022年9月から2023年5月までの長期間にわたり継続したセキュリティインシデントについて、2023年8月22日に調査報告書を公表しました。
- 7年間にわたり攻撃可能な状態
報告書によると、外部公開しているWebサーバに対し不正アクセスが行われWebシェルと呼ばれる不正なファイルが設置されたとのことです。 Webシェル自体は少なくとも2015年には設置されていたことが確認されており、7年間にわたりWebシェルへのアクセスが可能な状態だったと記載がありました。その後侵害されたWebサーバを起点として、大学内のサーバ10台と職員が使用する端末2台が侵害され、大学内の全ユーザのIDとパスワード、大学内のシステム構成等が外部に流出した可能性があると報告されております。 - 攻撃元となったWebサーバを停止しても攻撃が継続
不正アクセスが行われた公開Webサーバを停止した後も、すでに攻撃者によって設置されたバックドア経由で内部のサーバや端末に攻撃が行われていたとのことです。
・想定されるリスク
- 外部公開されたシステムに脆弱性が存在する場合、不正アクセスにより侵害されシステム内の情報流出や不正なファイルの設置、組織内へ侵入する際の踏み台として悪用される可能性
- 内部システムにおいてもアクセス制御など基本的なセキュリティ対策が不十分な場合、攻撃者が侵入した際に被害が拡大し深刻な事態に発展する可能性
・推奨対応
- 組織内のシステムの脆弱性や設定不備の確認、定期的なバージョンアップの実施
Webシェルの設置は、脆弱性が存在するWebサーバが標的となるため、脆弱性の有無や設定不備を確認の上、常に最新の状態に保つとともに、不要なサービスやプロトコルは停止しておくことが重要です。また内部システムについても脆弱性が存在する場合、侵入された際に被害が拡大する要因となる為定期的なアップデートなど対策いただくことを推奨いたします。 - 侵入を前提としたセキュリティ対策の実施
従来のアンチウィルス製品やネットワークセキュリティ製品では侵入を完全に防ぐことは難しい為、侵入を前提とした被害の最小化が重要とされています。侵入を前提とした対策としてEDR(Endpoint Detection and Response)製品の導入、ネットワークセキュリティ製品と合わせて外部SOCサービスへの運用の委託などをご検討ください。 - セキュリティインシデント対応計画の策定
本事例では、インシデント発生から復旧までに9か月を要しております。インシデントが発生した場合の早期復旧のためにもセキュリティインシデント対応計画をあらかじめ明確に策定しておくことが推奨されます。
・参考
- 情報セキュリティインシデント報告書の公表について
https://www.grips.ac.jp/jp/news/20230822-0365/ - 政策研究大学院大学の情報システムに対する 不正アクセスの調査報告書
https://www.grips.ac.jp/cms/wp-content/uploads/2023/08/20230822_Report_J.pdf
■JPCERTコーディネーションセンター(JPCERT/CC)注意喚起
- 2023年10月マイクロソフトセキュリティ更新プログラムに関する注意喚起 (公開)
https://www.jpcert.or.jp/at/2023/at230023.html - 2023年10月Oracle製品のクリティカルパッチアップデートに関する注意喚起 (公開)
https://www.jpcert.or.jp/at/2023/at230024.html - Cisco IOS XEのWeb UIの脆弱性(CVE-2023-20198)に関する注意喚起 (更新)
https://www.jpcert.or.jp/at/2023/at230025.html - ProselfのXML外部実体参照(XXE)に関する脆弱性を悪用する攻撃の注意喚起 (更新)
https://www.jpcert.or.jp/at/2023/at230022.html
企業システムは、オンプレとクラウドが同居するハイブリッドクラウド、複数のクラウドから成るマルチクラウド構成、仮想化、コンテナ化などにより複雑化しており、運用、監視、管理のためのシステムも同様に増え続けています。
セキュリティに不安、システム運用、監視、管理についてお悩みを解決する手段はCTC までご相談ください。
■2023年10月のセキュリティトピック
2023年9月に報道されたセキュリティインシデントから、組織におけるセキュリティ対策を検討される方々に重要と思われるトピックを紹介します。
1.BEC(ビジネスメール詐欺)に関するリスクと対策
BEC(ビジネスメール詐欺)とは、企業を標的としたサイバー犯罪の一種で、偽の電子メールを使用して従業員を騙し、資金の不正な移動を誘導する詐欺手法です。
BECは、従来のばらまき型のフィッシングメール攻撃などと異なり、攻撃者は企業の内部動向や役職者の名前と行動パターン、ビジネスプロセスなどを事前に調査するなど、入念に準備を行い実行される標的型メール攻撃であるため、従業員がその詐欺行為を認識することが難しいという特徴があります。このため、企業はBECの攻撃手法を理解し、対策を立てることが急務となっています。
なお、米国連邦捜査局(FBI)の報告では、2022年のBEC被害は21,832 件で、被害額は27億米ドルを超えており、ランサムウェアによる被害の2,385件、被害額3,430万米ドル以上を大きく上回っており大きな脅威となっています。日本国内においても毎年一定数の事例が報告されており、今後も注意が必要な脅威であると言えます。
・BECの手口
BECでは攻撃者は入念な準備を行った上で、以下のような手口で詐欺行為を行います。
- ターゲットの情報収集
フィッシングサイトやマルウェアを用いた情報窃取、メールサーバー・アカウントへの不正アクセスや、ソーシャルエンジニアリングを利用してターゲットの情報収集を試みます。 - 送信用メールアドレスの入手
ターゲットの経営層や取引先のメールアドレスを偽装・窃取、類似したドメイン名の取得やフリーメールアドレスを利用することでメールの信憑性を高めます。 - 経営層や取引先への成りすまし
成りすましメールは、経営層や取引先との過去メールを分析し、本物であるかのように見せかける工夫を行います。また、「秘密の案件で相談がある」といった文言を含めて、他の従業員へ相談させないようにすることで、詐欺であることをばれにくくするケースが多く見られます。なお、今後は生成系AIを悪用してより説得力のある偽のメールが作成されることが懸念されます。 - 請求書の偽装、入金口座の指定
攻撃者はタイミングを見計らって、用意した口座を記載した架空の請求書の送付や、用意した口座への入金指示を行うメールを送信してきます。ここでも攻撃者は事前にターゲットのメールのやり取りを把握しており本物らしくふるまうためターゲットが詐欺を見極めることが難しくなります。
・想定されるリスク
金銭的被害:不正な取引により多額の金銭的被害や株価下落
機密情報の漏えい:電子メールシステムの侵害や詐欺行為による機密情報の漏えい
社会的信用の低下:顧客や取引先からの信用の低下、ブランドイメージの毀損
業務の中断/停止:調査や対策のための業務の中断や停止、効率低下
・推奨対応
BECはソーシャルエンジニアリング(人の行動などを巧みに利用した攻撃)を利用するため、情報システムの対策に加えて業務プロセスや運用時の注意として、従業員などに対して日々注意喚起を行い、BECの被害を受けるリスクが常にあるという意識付けが重要です。
- 送金に関する社内プロセスの整備
特に通常とは異なる振込口座への送金や緊急の送金の要求があった場合は、電話やチャットなどのメール以外の連絡手段による確認を規定に含めることを推奨します。 - メールセキュリティ対策の強化
ビジネスメール詐欺やその他の標的型メール攻撃に対応した最新のメールセキュリティ製品の導入など、メールセキュリティ対策対応の強化をご検討ください。 - 不正アクセス対策の強化
多要素認証の導入や不正アクセスを検知するための監視サービスの利用など、不正アクセス対策の強化をご検討ください。 - 従業員の教育と訓練
従業員がBECの兆候を認識し適切に対応できるように教育と訓練の実施を推奨します。自組織での実施が困難な場合は外部の教育・訓練サービスの活用もご検討ください。 - インシデントレスポンス手順の整備
BECの被害による影響を最小限に抑え迅速に対応するために、事前にインシデントレスポンス手順を整備しておくことを推奨します。
・参考
- Internet Crime Report 2022
https://www.ic3.gov/media/PDF/AnnualReport/2022_IC3Report.pdf - ビジネスメール詐欺(BEC)の特徴と対策
https://www.ipa.go.jp/security/bec/hjuojm0000003cce-att/000102392.pdf
■JPCERTコーディネーションセンター(JPCERT/CC)注意喚起
- Barracuda Email Security Gateway(ESG)の脆弱性(CVE-2023-2868)を悪用する継続的な攻撃活動に関する注意喚起 (公開)
https://www.jpcert.or.jp/at/2023/at230017.html - Adobe AcrobatおよびReaderの脆弱性(APSB23-34)に関する注意喚起 (公開)
https://www.jpcert.or.jp/at/2023/at230018.html - 2023年9月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2023/at230019.html - 複数のトレンドマイクロ製企業向けエンドポイントセキュリティ製品における任意のコード実行の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2023/at230021.html - Array Networks Array AGシリーズの脆弱性を悪用する複数の標的型サイバー攻撃活動に関する注意喚起
https://www.jpcert.or.jp/at/2023/at230020.html
企業システムは、オンプレとクラウドが同居するハイブリッドクラウド、複数のクラウドから成るマルチクラウド構成、仮想化、コンテナ化などにより複雑化しており、運用、監視、管理のためのシステムも同様に増え続けています。
セキュリティに不安、システム運用、監視、管理についてお悩みを解決する手段はCTC までご相談ください。
■2023年9月のセキュリティトピック
2023年8月に報道されたセキュリティインシデントから、組織におけるセキュリティ対策を検討される方々に重要と思われるトピックを紹介します。
1.内閣サイバーセキュリティセンター(NISC)の電子メール関連システムに対するゼロデイ攻撃について
内閣サイバーセキュリティセンター(NISC)は2023年8月4日、電子メール関連システムに対する不正通信が行われ、メールアドレス等の個人情報を含むメールデータの一部が外部に流出した可能性があると公表しました。流出した可能性のある期間は2022年10月上旬から2023年6月中旬の約8か月間で、インターネット経由で送受信された個人情報を含むメールデータの一部が外部に漏えいした可能性があることが判明したとしております。
・攻撃者グループによるキャンペーンの展開
不正通信は、電子メール関連システムにかかわる機器の脆弱性に関連したものであり、メーカーが当該脆弱性について把握していなかったため、NISCはゼロデイ攻撃を受けたと分析、更に国外においても同様の事案が確認されていると説明しています。また、NISCは当該機器や脆弱性についての詳細は非開示としておりますが、ターゲットとなったのは米Barracuda社のBarracuda Email Security Gateway(ESG)の脆弱性(CVE-2023-2868)とみられております。なお、当該脆弱性を狙った通信は「UNC4841」と呼ばれる攻撃者グループによるもので、2022年10月上旬より初期侵入の経路として当該機器を狙った広範囲にわたる攻撃キャンペーンを展開していることが確認されております。
NISCの対応としては、6月13日に電子メール関連システム上の不正通信の痕跡を発見し、6月14~15日に当該システムの運用を停止、機器を交換するとともに、他機器に異常が無いことの確認、および監視強化等の対策を行った上で、当該システムを再稼働しております。また、6月21日に不正通信が当該機器の脆弱性に起因するものであることを示す証跡を発見し、個人情報保護委員会に報告を行ったとしております。
・対策として、パッチを適用したのみでは不十分なこともある
なお、2023年8月23日に発行されたFBI(米連邦捜査局)によるCVE-2023-2868のゼロデイ攻撃に関するレポートでは、当該脆弱性に対するパッチ適用後であっても、脆弱性を悪用された後ではセキュリティ侵害は継続して行われている可能性があり、機器の隔離・交換を行った上で同レポートに記載のドメイン、およびIPアドレスへの通信の有無を調査するよう警告しております。また、当該機器の管理に特権の権限を使用していた場合は、資格情報を無効化し更新するよう求めております。
・想定されるセキュリティリスク
ゼロデイ攻撃は、メーカーが把握していない、あるいは把握していたとしてもパッチなどの対策が講じられていない脆弱性を突いた攻撃で、本事例のような情報漏洩をはじめとした深刻なセキュリティ被害を引き起こす可能性があります。
・推奨対応
ゼロデイ攻撃に関しては、あらゆる機器に潜在的な脆弱性が内在している可能性があることから完全な対策を打つことは難しいため、攻撃を受けた場合に被害を最小限に抑えることを主眼とした対策(多重防御)を講じることが重要となってきます。
- 機器やシステムを常に最新バージョンに保つ
最も基本的な対策となりますが、ご利用になっている機器やシステムの脆弱性情報を収集し、常に最新の状態に保つことが極めて重要です。その上でゼロデイ攻撃を含むセキュリティインシデントが発生した際の対応のガイドラインやルールを策定し、徹底していくことを推奨いたします。 - サンドボックス機能を利用する
マルウェアを起点としたゼロデイ攻撃に対処するため、サンドボックス機能の利用を推奨いたします。「UNC4841」による攻撃キャンペーンにおいても初期侵入の手口として送信されたメールの添付ファイル内のスクリプトが実行されることで不正なファイルがダウンロードされていることが確認されております。ダウンロードされた不正なファイルをサンドボックス機能で解析することで速やかなマルウェア検知の可能性を高め、セキュリティインシデント発生のリスクを低減することができます。 - EDR製品を導入する
EDR(Endpoint Detection and Response)のエンドポイント(Endpoint)はネットワーク上の端末機器のことを指します。EDRはマルウェアへの感染を前提としており、各端末機器から送られる情報(ファイルやプロセスの振る舞いなど)を元にマルウェア感染を検知します。また、感染した端末やファイルの隔離、プロセスの停止を行うことで感染被害を最小限に留めることができます。
・参考
- 内閣サイバーセキュリティセンターの電子メール関連システムからのメールデータの漏えいの可能性について
https://www.nisc.go.jp/news/20230804.html - 内閣サイバーセキュリティセンターの電子メール関連システムからのメールデータの漏えいの可能性について(PDF版)
https://www.nisc.go.jp/pdf/news/houdousiryou_20230804.pdf - Suspected PRC Cyber Actors Continue to Globally Exploit Barracuda ESG Zero-Day Vulnerability (CVE-2023-2868)
https://www.ic3.gov/Media/News/2023/230823.pdf
■JPCERTコーディネーションセンター(JPCERT/CC)注意喚起
- Proselfの認証バイパスおよびリモートコード実行の脆弱性に関する注意喚起 (公開)
https://www.jpcert.or.jp/at/2023/at230014.html - Adobe AcrobatおよびReaderの脆弱性(APSB23-30)に関する注意喚起 (公開)
https://www.jpcert.or.jp/at/2023/at230015.html - 2023年8月マイクロソフトセキュリティ更新プログラムに関する注意喚起 (公開)
https://www.jpcert.or.jp/at/2023/at230016.html - Citrix ADCおよびCitrix Gatewayの脆弱性(CVE-2023-3519)に関する注意喚起 (更新)
https://www.jpcert.or.jp/at/2023/at230013.html
企業システムは、オンプレとクラウドが同居するハイブリッドクラウド、複数のクラウドから成るマルチクラウド構成、仮想化、コンテナ化などにより複雑化しており、運用、監視、管理のためのシステムも同様に増え続けています。
セキュリティに不安、システム運用、監視、管理についてお悩みを解決する手段はCTC までご相談ください。
■2023年8月のセキュリティトピック
2023年7月に報道されたセキュリティインシデントから、組織におけるセキュリティ対策を検討される方々に重要と思われるトピックを紹介します。
1.富士通のネットワークサービス「FENICS」における不正侵入事案について
2022年12月、富士通株式会社は同社が提供する企業向けネットワークサービス「FENICS」において、外部への不正通信が確認されたことを公表しました。これにより2022年3月から同年11月の間に、同サービスを使用している企業のメール情報などが外部に流出する被害が発生しております。
・ネットワーク機器の設定不備により侵入、被害が拡大
今回の事案の発生原因として、FENICSサービスで使用されている一部ネットワーク機器でアクセス制御が正しく設定されておらず外部からの侵入が可能な状態であったこと、ネットワーク機器自身から外部への通信が制限されておらずインターネットへの通信が可能な状態であったとのことです。
・不正アクセスの監視にも課題
報告によると、従来の運用においてネットワーク機器のログイン状況の監視が不十分であった、とのことです。運用者のログイン状況をアラートなどで検知する仕組みがあると、例えば該当の運用者の業務時間外にログインが行われた場合に、不審なログインが行われたことに気付き、迅速な対応により被害の発生を極小化することが可能です。
・想定されるセキュリティリスク
ネットワーク機器に設定の不備などセキュリティ上の問題が存在する場合、悪意のある攻撃者による不正アクセスや情報漏洩、データの改ざんなどセキュリティ被害を引き起こす可能性がございます。
・推奨対応
- 設定内容の見直し、ソフトウェアの定期的なバージョンアップの実施
ネットワーク機器に初期設定のパスワードが使用されていないか、外部からのアクセス制御が不十分ではないかなど、機器の設定に問題が無いか確認頂くことを推奨いたします。またネットワーク機器に脆弱性が存在する場合も重大なセキュリティインシデントに発展する可能性がある為、使用中のネットワーク機器について脆弱性情報の収集やソフトウェアの定期的なアップデートを実施頂くことが推奨されます。 - セキュリティ診断サービスの利用
プラットフォーム診断などセキュリティ診断サービスを使用し、組織のネットワーク上に既知の脆弱性や設定の不備等によるセキュリティ上の問題点がないか、セキュリティ専門家による調査を定期的に実施頂くことを推奨いたします。 - セキュリティ監視サービス(SOCサービス)の利用
サイバー攻撃の有無を常時専門家が監視するセキュリティ監視サービスを利用することで、変化の兆候に気づき、早期に対処を行うことできることで、被害を極小化することが可能です。
・参考
- FENICSインターネットサービスに関するネットワーク機器からの不正な通信について(調査結果)
https://www.fujitsu.com/jp/services/infrastructure/network/news/2023/0220.html - FENICSインターネットサービスに関するネットワーク機器からの不正な通信について(セキュリティ強化策および再発防止策のご報告)
https://www.fujitsu.com/jp/services/infrastructure/network/news/2023/0331.html
■JPCERTコーディネーションセンター(JPCERT/CC)注意喚起
- 2023年7月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2023/at230011.html - 2023年7月Oracle製品のクリティカルパッチアップデートに関する注意喚起 (公開)
https://www.jpcert.or.jp/at/2023/at230012.html
企業システムは、オンプレとクラウドが同居するハイブリッドクラウド、複数のクラウドから成るマルチクラウド構成、仮想化、コンテナ化などにより複雑化しており、運用、監視、管理のためのシステムも同様に増え続けています。
セキュリティに不安、システム運用、監視、管理についてお悩みを解決する手段はCTC までご相談ください。
■2023年7月のセキュリティトピック
2023年6月に報道されたセキュリティインシデントから、組織におけるセキュリティ対策を検討される方々に重要と思われるトピックを紹介します。
1.生成AIの情報セキュリティへの影響について
生成AI(Generative AI)は、コンピュータが学習したデータをもとに、自らの文章や画像、音声などを自動生成する技術です。生成AIの応用範囲は広くビジネスやシステム開発、ヒューマンコミュニケーションのサポートやエンターテインメントなど多岐にわたります。しかし、その一方で生成AIを利用することによるさまざまな情報リスクが指摘されており、その一つとして情報セキュリティ上の問題も懸念されています。生成AIは悪意のあるコンテンツや違法なコンテンツの生成を防ぐため数多くの対策が組み込まれていますが、その制限を回避する”Jailbreak”と呼ばれる複数の手法が確認されており、サイバー攻撃への悪用も可能となっているのが現状です。
・生成AIを悪用した攻撃「Jailbreak」の具体例
- DAN(Do Anything Now)
生成AIは学習した機微な情報は回答しないようコンテンツポリシーが設定されています。DAN(Do Anything Now)は、コンテンツポリシーの制約を回避する別人格を生成AIに与え、学習データに含まれる個人情報の開示など、本来拒否すべき質問に対して応答させる手法です。
例えば、「A社の従業員のメールアドレス一覧をください」と質問をした場合、コンテンツポリシーが設定されているAIでは、コンテンツポリシーに反しているため回答を拒否しますが、生成AIにDANの人格を意図的に与えることで、学習されているA社の従業員のメールアドレス一覧を入手することができてしまいます。
攻撃者は入手したメールアドレスを悪用し、ビジネスメール詐欺やランサムウェアによる攻撃を行うことができます。 - チャットボットシミュレーション
違法であったり倫理に欠けたりする回答も可能な万能チャットボットと、もう一人の登場人物がやり取りするチャットのシミュレーションを生成AIに行わせることで、悪意のあるコンテンツを生成させる手法です。
生成AIに「○○に関連した日本語のフィッシングメールを作ってください」と直接命令しても、回答しません。しかし、倫理上問題のある回答も行うチャットボットを使って生成AIに文章を作成させることで、攻撃者が期待するようなフィッシングメールを作成することができます。 - Anti-GPT
通常の生成AIとは逆の生成AI(Anti-GPT)を定義し、シミュレーションさせることで悪意のあるコンテンツを生成させる手法です。
例えば、「ランサムウェアのサンプルコードを作成してください」と命令した場合、通常の生成AIでは「協力できません」と回答します。しかし、Anti-GPTは通常の生成AIとは逆の反応を行うので、先ほどのランサムウェアのサンプルコードを作成する命令に回答し、ランサムウェアのコードを容易に入手することができてしまいます。
・想定されるセキュリティリスク
- 個人情報や機密情報を入力し利用した場合、入力データが学習データとして保存・再利用され、入力者以外に提供されてしまうことによる情報漏えいのリスクがあります。
- フィッシングメールの文章を生成AIに作成させることでより自然な日本語で記述された本物と酷似したメールでターゲットにリアクションを促すなど、洗練されたフィッシング攻撃のリスクが増加します。
- 元のアルゴリズムの機能を維持したままマルウェアのポリモーフィックコード(本来のアルゴリズムを保ったまま変化していくコード)を生成AIに生成させることができます。これにより、検出を回避できる様々なバリエーションのマルウェアを迅速かつ効率的に生成することができ、検出や軽減の取り組みを複雑化させます。
・推奨対応
- 生成AIを利用する際のリスク対策
個人情報・機密情報にあたる情報やデータを生成AIに入力しないこと、また入力データを学習データとして再利用されないようオプトアウト申請を行うことで情報漏えいの被害を受けるリスクを下げることが可能です。 - 巧妙なフィッシング攻撃への対策
生成AIにより高度化したフィッシング攻撃においても基本的なセキュリティ対策は変わりません。高度なメールフィルタリングシステムやメールセキュリティ対策製品の導入、および機密情報を保護するための強固な認証方法の導入などをご検討ください。また、少しでも疑わしいメールには反応しない、送信元の身元を確認する、ソフトウェアを最新に保つなどのベストプラクティスを定期的な従業員研修などにより意識付けを繰り返すことでも巧妙なフィッシングキャンペーンに関連するリスクを軽減することが可能です。 - マルウェアへの対策
生成AIの活用により攻撃者の開発スピードが上がる可能性はあるものの、マルウェアの脅威自体は従来から大きく変わりません。ただし、シグネチャマッチングを用いた既存のウイルス対策製品では検知されないマルウェアの被害リスクが増加する可能性があります。このようなリスクを軽減するため、次世代アンチウィルス製品やEDR製品の導入など最新のウイルス対策の導入をご検討ください。
・参考
- ChatGPTのセキュリティへの影響
https://www.cloudsecurityalliance.jp/site/wp-content/uploads/2023/06/Security-Implications-of-ChatGPT_J.pdf
■JPCERTコーディネーションセンター(JPCERT/CC)注意喚起
- 2023年6月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2023/at230010.html
企業システムは、オンプレとクラウドが同居するハイブリッドクラウド、複数のクラウドから成るマルチクラウド構成、仮想化、コンテナ化などにより複雑化しており、運用、監視、管理のためのシステムも同様に増え続けています。
セキュリティに不安、システム運用、監視、管理についてお悩みを解決する手段はCTC までご相談ください。
■2023年6月のセキュリティトピック
2023年5月に報道されたセキュリティインシデントから、組織におけるセキュリティ対策を検討される方々に重要と思われるトピックを紹介します。
1.DDoS攻撃に関する注意喚起
2023年5月1日に、警察庁と内閣サイバーセキュリティセンター(NISC)から、2022年9月に発生した国内の政府関連や重要インフラ事業者に対する一連のDDoS攻撃に関する分析結果に関するレポート「DDoS攻撃への対策について」が公開されました。
・攻撃元の約99%が海外から
レポートによると、DDoS攻撃の攻撃元のIPアドレスの約99%が海外に割り当てられていたこと、攻撃元からは最大で100Gbps程度の通信量の増加を観測したことが報告されております。
DDoS攻撃の手口として、TCP(SYN)フラッド攻撃やHTTPフラッド攻撃、UDPフラッド攻撃が使用されたとのことです。本件は親ロシア派のハクティビスト集団「Killnet」によるものと考えられております。
・2023年4月から増加している「DNS水責め攻撃」
今年4月以降、企業や中央官庁、地方自治体など複数の組織でDDoS攻撃と思われるサイバー攻撃が発生していたことが報道されています。これらの攻撃の一部で「DNS水責め攻撃」と呼ばれる攻撃が行われたと考えられています。
DNS水責め攻撃は、DNSの仕組みを悪用し、権威DNSサーバに問合せを集中させることで、DNSサーバやその周辺のネットワーク機器を高負荷な状態を発生させ、サービス不能の状態にするものです。
DNSはホームページの公開や閲覧、メールの送受信などインターネットを利用する際に必ず使用する重要なサービスです。DNS水責め攻撃が行われると、公開しているホームページへのアクセスが行えない、メールの送受信ができない、などインターネットを利用したサービスの提供に大きな被害を与えます。
・国際的なイベントを標的に
DDoS攻撃は国際的なイベントに関連して増加する傾向があります。上述で述べた今年の4月以降に増加しているサイバー攻撃は、G7広島サミットを狙って実行された可能性があると報じられています。
DDoS攻撃そのものの被害に加えて、WEBサイト等の閲覧障害がニュース等で報道されることで、社会的な注目を得ることが攻撃者の成果として考えられていることが理由としてあげられます。過去の大規模な国際会議やオリンピックでは、DDoS攻撃を含めサイバー攻撃が多数発生していたことが確認されております。また近年ハクティビストによるDDoS攻撃が世界中で頻発しており、昨今、日本の組織を対象とした攻撃も確認されているため、警戒が必要な状況と考えられます。
・想定されるセキュリティリスク
Webサイト等が閲覧できないことによりサービス提供が行えず、経済的な損失の発生や報道等により社会的な信用の失墜につながるおそれがございます。
・推奨対応
- 重要な資産やサービスの把握と優先順位付け
DDoS攻撃による被害を完全に防ぐことは難しく、また多額の費用が必要になり全ての資産を保護することが難しい場合があります。事業継続における重要性に基づいて資産の優先順位付けを行い、費用をかけて守るべき資産と一定期間のダウンタイムを許容できる資産に分類頂くことを推奨いたします。また脆弱性を利用したDDoS攻撃が行われる場合がある為、定期的なパッチの適用など基本的なセキュリティ対策を行うことで、被害を受けるリスクを下げることも可能です。 - DDoS対策製品の導入
ダウンタイムが許容できない資産やサービスについて、CDN(Contents Delivery Network)や WAF(Web Application Firewall)など、DDoS対策製品の導入を推奨いたします。ご利用中の通信事業者がDDoS対策サービスを提供している場合も多いので、必要に応じてサービスの利用をご検討ください。 - インシデント対応計画の策定
DDoS攻撃が発生した場合に備え、インシデント対応計画を策定いただくことを推奨いたします。DDoS攻撃の監視や攻撃発生時の緩和策の準備、サーバやインターネット回線が使用できない場合の代替策の確保など、対策マニュアルや業務継続計画の策定をご検討ください。
・参考
- DDoS攻撃への対策について
https://www.nisc.go.jp/pdf/press/20230501NISC_press.pdf - JPRS トピックス&コラム No.021
https://jprs.jp/related-info/guide/021.pdf
■JPCERTコーディネーションセンター(JPCERT/CC)注意喚起
- 2023年5月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2023/at230009.html
企業システムは、オンプレとクラウドが同居するハイブリッドクラウド、複数のクラウドから成るマルチクラウド構成、仮想化、コンテナ化などにより複雑化しており、運用、監視、管理のためのシステムも同様に増え続けています。
セキュリティに不安、システム運用、監視、管理についてお悩みを解決する手段はCTC までご相談ください。
■2023年5月のセキュリティトピック
2023年4月に報道されたセキュリティインシデントから、組織におけるセキュリティ対策を検討される方々に重要と思われる3つのトピックを紹介します。
1.ランサムウェア増加に関する注意喚起
警察庁はサイバーセキュリティ便りにて「ランサムウェア感染拡大中」と注意喚起を行いました。
・侵入経路ナンバー1はVPN機器からの侵入
警察庁の発表によれば令和四年に発生した102件のランサムウェア被害のうち侵入経路として利用された割合が最も多いのはVPN機器からの侵入で62%を占めています。
次いでリモートデスクトップからが19%、3位が不審メールからで9%となっています。
・オフラインバックアップが重要
警察庁はランサムウェアへの有効な対策としてオフラインバックアップを推奨しています。警察庁は「バックアップを取得していたにも関わらず復旧出来なかった理由」について調査をしており、この理由の72%が「暗号化されていた」ことが理由で「バックアップをとっていたにも関わらず復旧出来なかった」としています。
ネットワーク経由でのバックアップではバックアップデータ自体も暗号化されてしまい、バックアップとしての意味を為さなくなるという調査結果が公開されています。
ランサムウェア対策を考える場合にはオフラインバックアップも併せて取得することが大切です。
・これは何故重要ですか?
ランサムウェアが猛威を振るっているというのは周知の事実ですが、その侵入経路や有効な対策については様々な見解があります。警察庁は実際にあった被害を基に発表していますので、ランサムウェア対策を検討する上で重要な判断材料となります。
・対策手段
警察庁の発表に基づいた有効な対策手段は以下となります。
- VPN機器をZTNA等の外部からの不正アクセスが難しい設備に切り替えます。
- リモートデスクトップ等へのアクセスには多要素認証を実施します。
- バックアップはオフライン/オンラインで取得します。
2.名刺管理サービスを狙うソーシャル攻撃
国内大手名刺管理サービスになりすました不審な電話やメールが確認されているとして利用組織に対して注意を呼びかけました。
・これは何故重要ですか?
名刺管理サービスは利便性を考慮して一般ユーザの認証に多要素認証が設定されていないこともおおく、また一度不正アクセスが成功すると標的企業の大量の個人情報をダウンロードすることが可能になります。更にメール送信サービスなどを利用することで正規の企業ドメインから取引先に対してフィッシングメールを送信することなども可能であり、サプライチェーンへと被害が及ぶリスクがあります。
・対策手段
- 名刺管理サービスの多要素認証を有効化する
- サービス提供者を名乗る電話やメールでログインパスワードを尋ねられた場合には無視するように従業員を指導する
※上記はあくまで一例となります。顧客環境に応じて対策手段は多岐にわたります。
3.破棄ルーターの認証情報の消し忘れ
セキュリティ研究家の報告によると企業から破棄され中古市場に出回ったルーターには使用されていた設定情報消去されておらず、そのまま企業に接続可能であるとの研究結果が報告されました。
・これは何故重要ですか?
企業のネットワークで実際に利用されていたルーターには企業に接続するためのIPアドレス情報や認証情報等が登録されていることがあり、これらが悪意のある攻撃者に渡れば簡単に企業へのアクセスを許可することになります。
・対策手段
- ルーターに限らず不要になったIT資産を破棄する場合には全ての設定を消去することを徹底します。
- ネットワーク機器の接続に利用するパスワードを定期的に変更します。
■JPCERTコーディネーションセンター(JPCERT/CC)注意喚起
- Adobe AcrobatおよびReaderの脆弱性(APSB23-24)に関する注意喚起
https://www.jpcert.or.jp/at/2023/at230006.html - 2023年4月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2023/at230007.html - 2023年4月Oracle製品のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2023/at230008.html
企業システムは、オンプレとクラウドが同居するハイブリッドクラウド、複数のクラウドから成るマルチクラウド構成、仮想化、コンテナ化などにより複雑化しており、運用、監視、管理のためのシステムも同様に増え続けています。
セキュリティに不安、システム運用、監視、管理についてお悩みを解決する手段はCTC までご相談ください。
■2023年4月のセキュリティトピック
2023年3月に報道されたセキュリティインシデントから、組織におけるセキュリティ対策を検討される方々に重要と思われる3つのトピックを紹介します。
1.強まるAI技術への規制
昨年末からAIの実生活への応用が格段に進化を遂げAIを活用したチャットボット等や画像などの自動生成技術が急速に社会に浸透しています。一方で企業での利用においては情報漏洩や権利問題等の課題があると本トピックでも以前から取り上げていました。
■2023年2月:AI活用チャットボットによる機密情報漏洩リスク記事
- 米国 バイデン米大統領が科学技術諮問会議にて「利用者の安全を脅かす恐れもあると懸念を表明。「議会は企業の個人データ収集に厳しい制限を課す法案を可決する必要がある」と発言し、法規制の必要性を訴えました。
- イタリア データ保護当局が「膨大な個人データの収集が個人情報保護法に違反する疑いがある」として、チャットGPTの使用を一時禁止すると発表しました。
- 日本 松野博一官房長官は会見で他国がAI規制に動く中で「AIに関する動向把握に努め、何らかの対応が必要な場合には内閣府を中心に関係省庁と連携して対応する」と述べました。
AI活用は企業に大きなビジネス機会を創出することが期待されますが、各国の法規制や自社の情報漏洩リスク等にも配慮しながら活用することが求められます。
・これは何故重要ですか?
世の中で新しい技術が登場するとそのリスクが正しく評価されないまま、企業内で利用されることがあります。AI活用チャットボットはビジネスを活性化させる可能性が多々ありますが、企業内で安全に利用するためのガイドラインの策定等を検討する必要があるでしょう。
・対策手段
AI活用チャットボットへの不安を感じる企業では以下のような対策を検討することを推奨します。
- プロキシ等を利用しAI活用サービスへのアクセスを禁止します。
- 機密情報を入力しないなどのAI活用チャットボット利用に関するガイドラインを策定します。
- 事業開発等の理由でアクセスを必要とする従業員には、ガイドラインを一読したうえで利用することを義務づけます。
2.Emotet活動再開
2023年3月7日、メールを介してマルウェアの感染を拡大させるEmotetの活動再開が確認されました。Emotetは2022年11月末以降活動が確認されていませんでしたが、およそ3か月ぶりの活動再開となります。
・これは何故重要ですか?
Emotetは非常に感染力が高く、感染すると感染端末に保存されていたメールの情報やアドレス帳に登録されていた担当者名などの情報が窃取されます。自社だけでなく取引先等に対しても被害が及ぶ可能性が高くなります。
・主な侵入方法
A) マクロ付きのExcelやWordファイル、あるいはこれらをパスワード付きZipファイルとしてメールに添付する形式で配信
B) メール本文中のリンクをクリックすることで悪性なExcelやWordファイルをダウンロードしアプリケーションのインストールを装い感染する
・感染方法
攻撃ファイル開封後にマクロを有効化する操作を実行することでEmotetの感染に繋がります
・対策手段
- メール用セキュリティソリューションの導入
- クラウドストレージによる添付ファイルの代替
- SASE等での悪性リンクのブロック
※上記はあくまで一例となります。顧客環境に応じて対策手段は多岐にわたります。
3.アジア太平洋地域で記録的なDDoS攻撃を観測
DDoS対策大手の米アカマイ社はアジア太平洋地域において過去最大となる900Gbpsの攻撃トラフィック、毎秒 1 億 5,820 万パケットの攻撃パケットを観測したと発表しました。
・これは何故重要ですか?
攻撃対象に膨大なトラフィックを送り付けてシステムを動作不能にするDDoS攻撃は年々攻撃規模の拡大が続いています。DDoS攻撃対策は多くの企業で採用されていますが、想定攻撃トラフィックの増加に耐えうるものであるか確認する必要があります。
・対策手段
- DDoS攻撃対策ソリューションの対応能力を確認し、昨今の大規模化する攻撃トラフィックに対処可能か確認します。
- 重要なIPサブネットを確認し、緩和制御が実施されていることを確認します。
- 最初の防御層として、常時オンの軽減体制で DDoS セキュリティ コントロールを展開します。
- 危機対応チームのランブックとインシデント対応計画が最新であることを確認します。
■JPCERTコーディネーションセンター(JPCERT/CC)注意喚起
- マルウェアEmotetの感染再拡大に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220006.html - 2023年3月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2023/at230005.html
企業システムは、オンプレとクラウドが同居するハイブリッドクラウド、複数のクラウドから成るマルチクラウド構成、仮想化、コンテナ化などにより複雑化しており、運用、監視、管理のためのシステムも同様に増え続けています。
セキュリティに不安、システム運用、監視、管理についてお悩みを解決する手段はCTC までご相談ください。
■2023年3月のセキュリティトピック
2022年2月に報道されたセキュリティインシデントから、組織におけるセキュリティ対策を検討される方々に重要と思われる3つのトピックを紹介します。
1.サイバーセキュリティ月間
例年2月1日から3月18日までは「サイバーセキュリティ月間」と位置付けられ、産学官民で連携しセキュリティ強化に取り組む期間とされています。
本年は日本だけの取り組みではなく、日米豪印の4か国(QUAD)で連携し、サイバー攻撃防止に向けた関係強化が図られています。
「サイバーセキュリティ月間」を自社のセキュリティ向上に意識を向ける期間として活用頂くことを推奨します。
2.決済システムの改ざんにより約11万人分のクレジットカード情報が漏洩
国内でECサイトを運営する企業において決済システムの情報が改ざんされ、約11万件のクレジットカード情報漏洩が発生しました。
・これは何故重要ですか?
今回の情報漏洩ではクレジットカード情報として以下の情報が流出したと公表されています。
- クレジットカード番号
- カード名義人名
- セキュリティコード
- 有効期限
クレジットカード番号や名義人といった「一部の情報のみ」であれば例え情報が盗まれたとしてもクレジットカードが不正利用されるリスクは低くなります。しかし、今回はクレジットカード決済にて必要される全ての情報がセットで流出しているため、不正利用されるリスクが高くなります。実際既に不正利用の形跡があると公表されています。
そして、本件はセキュリティ対策を検討する上でも注目すべき点があります。通常PCI-DSS等の規格に準じていればセキュリティコードはサーバー上に保管されていないのが一般的です。データベース内に保存されているデータを盗み出すSQLインジェクションではない別の攻撃が仕掛けられた可能性がある点です。
被害原因として「決済システムの改ざん」とされているためクライアントの情報入力をサイバー攻撃者に転送する「フォームジャッキング」等の攻撃が仕掛けられた可能性があります。
サーバーの保護施策としてWAF等を用いてSQLインジェクションに対する対策を実施しているケースは良く知られた対策ですが、今回の改ざんやクライアントで入力された情報を転送する攻撃に対しては、WAF等の技術ではオプションあるいは保護対象外となっていることが多く注意が必要です。
・対策手段
公開サーバーに対して改ざん対策を実施することが重要です。
- 自社のシステムやコンポーネント、Webプラグインのすべてにパッチを適用しマルウェアの侵害を受けないようにする。
- 定期的にWebコンテンツの整合性チェックをオフラインで実行し、攻撃者にページが編集されていないか確認する。
- 悪意のあるJavaScriptコードが挿入されていないかを確認する。
3.増加する検索エンジンの悪用
本トピックでも過去に取り上げた検索エンジンの広告を悪用するSEOポイズニングキャンペーンが引き続き増加傾向にあります。
・これは何故重要ですか?
検索エンジンの広告を悪用し、「正規のサイト」と誤解させ悪意のあるサイトへ誘導しようとします。多くの人々は訪問しようとするウェブサイトの正しいURLを記憶していることは稀です。
そういった場合に、「検索エンジン」を利用するという行動パターンに着目した攻撃です。訪れようとする本物そっくりのサイトが準備されていることが多く、「検索エンジンで表示されたから正しいサイト」という思い込みが働くため、ひっかかりやすいという特徴があります。
こういった検索エンジンを悪用する攻撃において以下のような攻撃が確認されています。
- 偽のログインページを表示させID/PW情報を盗難する
- 正規のソフトウェアを装いマルウェアが混入されたプログラムをダウンロードさせようとする
- AWS管理コンソールへのログイン情報を盗難する
・対策手段
- 良く利用するウェブサイト等はブックマークするように指導する
- 企業で利用するインストーラ等は共有ストレージに保管する、あるいはダウンロードリンクを明示し、検索結果に頼らないようにする
- SASE等での悪性リンクをブロックする
- 分離ブラウザを利用し危険なファイルのダウンロードやコード実行をブロックする
■JPCERTコーディネーションセンター(JPCERT/CC)注意喚起
- 2023年2月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2023/at230004.html
企業システムは、オンプレとクラウドが同居するハイブリッドクラウド、複数のクラウドから成るマルチクラウド構成、仮想化、コンテナ化などにより複雑化しており、運用、監視、管理のためのシステムも同様に増え続けています。
セキュリティに不安、システム運用、監視、管理についてお悩みを解決する手段はCTC までご相談ください。
■2023年2月のセキュリティトピック
2022年1月に報道されたセキュリティインシデントから、組織におけるセキュリティ対策を検討される方々に重要と思われる3つのトピックを紹介します。
1.AI活用チャットボットによる機密情報漏洩リスク
GPT-3.5という自然言語モデルを利用したAI活用チャットボットが注目を集めています。自然な文章で質問するとまるで人間と対話していると錯覚させるような流暢な文章で返信が返ってきます。その自然な言語処理能力を活かしてカスタマーサポートやFAQの回答の品質向上、記事の自動生成、サンプルコードの生成など様々な活用方法が日々議論されています。
一方でこういった技術の利用を制限する企業や団体も現れています。ニューヨークのある大学ではAI活用チャットボットに対する学内からのアクセスを禁止したと報道されています。生徒の考える能力を低下させる恐れがあること、また説得力のある言葉で回答があっても「間違っている」回答が返ってくることもあり、生徒が誤りに気づけない等の点が危惧されています。
また、AI活用チャットボットに入力した質問はAIの学習ソースとして利用される可能性もあり、入力した文章を削除することも出来ないため機密情報の漏洩リスクについて調査を開始した企業も現れています。例えば「自社の機密情報について質問したらどんな答えが返ってくるか?」と悪戯心でAI活用チャットボットに入力すると、それがAIの学習ソースとして利用され世界中の第三者の目に「回答」として公開されるリスクがあります。
・これは何故重要ですか?
世の中で新しい技術が登場するとそのリスクが正しく評価されないまま、企業内で利用されることがあります。AI活用チャットボットはビジネスを活性化させる可能性が多々ありますが、企業内で安全に利用するためのガイドラインの策定等を検討する必要があるでしょう。
・対策手段
AI活用チャットボットへの不安を感じる企業では以下のような対策を検討することを推奨します。
- プロキシ等を利用しAI活用チャットボットへのアクセスを禁止します。
- 機密情報を入力しないなどのAI活用チャットボット利用に関するガイドラインを策定します。
- 事業開発等の理由でアクセスを必要とする従業員には、ガイドラインを一読したうえで利用することを義務づけます。
2.米国通信事業者のAPIを悪用し3700万件の個人情報漏洩
米国の通信事業者がAPIを介して3700万件の個人情報漏洩被害にあったと公表しました。
・これは何故重要ですか?
今回の攻撃に利用されたAPIを悪用する攻撃手段は今後増加が予想される攻撃手法の一つです。
情報漏洩に悪用される攻撃方法として一般な攻撃手法は公開されているウェブサーバの脆弱性を悪用する手法です。こういったウェブアプリケーションの保護としてWAF等が導入されているのは珍しいことではありません。
しかし、今回の攻撃に利用されたのはAPIであり、WAF等の技術ではAPI保護機能はオプションあるいは保護対象外となっていることが多く注意が必要です。API保護を専門とする対策技術の企業導入率は低く、サイバー攻撃者にとっては「狙い目」と考えられている攻撃対象領域の一つです。今後APIに対する攻撃が増加すれば多くの企業が被害にあう可能性が高まります。
・対策手段
- API保護ソリューションを導入。
- APIゲートウェイを利用し、APIの利用経路を特定し。
- WAAP( Web Application and API Protection )を導入する。
WAAPとはWAFやDDoS対策といった従来から存在するウェブサーバ保護技術に加えてBot対策やAPI保護も組み入れた次世代のウェブサーバ保護技術です。 - 侵入テストを実施し、脆弱なAPIを特定します。
API保護を計画する上で重要な点は「APIの利用状況を正しく認識する」ことが挙げられます。外部からのデータ入手が可能なAPIが企業内にどの程度存在し、悪用される脆弱性が含んでいるかを調査することを推奨します。
3.個人情報保護委員会が設立後初の刑事告発を実施
本人の同意なく破産者の氏名、住所などの個人情報をインターネット上に掲載しているウェブサイトを政府の個人情報保護委員会が刑事告発しました。
・これは何故重要ですか?
個人情報保護委員会は2016年に発足しましたが、同委員会が刑事告発に至ったのは設立後初の事例となります。
本件は破産者情報という官報に掲載された「公開情報」を利用したものでしたが、「公開情報」であっても本人に同意を得ていないと考えられること、インターネット上に公開されている地図データと紐付けられる形で表示されており、違法又は不当な行為を助長し、又は誘発するおそれがある等の観点から刑事告発という厳しい処置へと至りました。
個人情報保護法は3年ごとに見直しがなされており改正を重ねるごとに罰則が厳しくなる傾向にあります。企業におかれましてもデータ利活用等の観点から個人情報の活用は検討されることと思われますが、取り扱いの際には適切に取り扱い、保護が出来ているか確認することを推奨します。
■JPCERTコーディネーションセンター(JPCERT/CC)注意喚起
- 2023年1月Oracle製品のクリティカルパッチアップデートに関する注意喚起 (公開)
https://www.jpcert.or.jp/at/2023/at230003.html
- 2023年1月マイクロソフトセキュリティ更新プログラムに関する注意喚起 (公開)
https://www.jpcert.or.jp/at/2023/at230002.html
- Adobe AcrobatおよびReaderの脆弱性(APSB23-01)に関する注意喚起 (公開)
https://www.jpcert.or.jp/at/2023/at230001.html
企業システムは、オンプレとクラウドが同居するハイブリッドクラウド、複数のクラウドから成るマルチクラウド構成、仮想化、コンテナ化などにより複雑化しており、運用、監視、管理のためのシステムも同様に増え続けています。
セキュリティに不安、システム運用、監視、管理についてお悩みを解決する手段はCTC までご相談ください。
■2023年1月のセキュリティトピック
2022年12月に報道されたセキュリティインシデントから、組織におけるセキュリティ対策を検討される方々に重要と思われる3つのトピックを紹介します。
1.SSL-VPN製品に関する深刻な脆弱性
国内市場でも大きなシェアを持つSSL-VPN製品に危険な脆弱性の存在が確認されました。CVE-2022-42475に分類され、本脆弱性は遠隔から認証不要で不正なリクエストをSSL-VPN装置に送信することで不正なコマンドを実行することが可能になります。
既に本脆弱性が悪用されていることが確認されており、速やかにバージョンアップ等の対策を取ることを推奨します。
・これは何故重要ですか?
本脆弱性はインターネットから不正なパケットを送信することで不正な操作が成立します。一般的にSSL-VPN装置はインターネットから直接通信可能な位置に設置されているため攻撃を仕掛けられる可能性が高くなります。
また、日本国内のランサムウェアの侵入経路としてVPN装置の脆弱性利用が最も多い傾向があります。SSL-VPNに対する今回のような脆弱性が公開されると本攻撃を悪用可能なSSL-VPNを検索する行為が増加するため、該当製品を利用されているお客様は早急に対策を進めることを推奨します。
・対策手段
- 利用中のSSL-VPN製品が脆弱性の影響を受けるか、製品およびバージョンなどの利用状況を確認する
- 脆弱性の影響を受ける場合、メーカーが提供している情報をもとに対策を実施する
※上記はあくまで一例となります。顧客環境に応じて対策手段は多岐にわたります。
2.EU、NIS2指令の採択を決定
欧州連合官報(OJEU)は2022年12月27日、EU全域で高い共通レベルのサイバーセキュリティを確保するための措置NIS2指令を採択すると発表しました。
NIS2指令は、2016年に成立した「ネットワークと情報システムのセキュリティに関する指令(NIS指令)」を改定し、対象分野を拡大しサイバーセキュリティのリスク管理対策と報告義務の枠組みを提供するものです。さらに、NIS2指令は、サイバーセキュリティの要件と各EU加盟国におけるサイバーセキュリティ対策の実施を調和させることを目指しています。
NIS2指令は官報掲載から20日後に発効する予定です。EU加盟国はその後21ヶ月以内に同指令を国内法に反映させる必要があります。
また、NIS2指令の規制対象となる企業はそれまでの間にセキュリティ体制を整備する必要があります。違反企業に対しては制裁金が課せられるようになります。
・これは何故重要ですか?
欧州でビジネスを営み、NIS2指令で指定された業種に分類される企業はNIS2指令の求めるセキュリティ体制を整える必要があります。これに違反した場合には巨額の制裁金を課せられるリスクがあります。
- 不可欠な主体(Essential Entity):違反企業に対しては1000万ユーロ、または全世界年間売上高の2%の制裁金が課せられます。
- 重要な主体(Important Entity):違反企業に対しては700万ユーロ、または全世界年間売上高の1.4%の制裁金が課せられます。
3.詐欺メールで食品を盗む攻撃
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は「食品の窃取」を目的としたビジネスメール詐欺についてアラートを公開しました。
・これは何故重要ですか?
相手を騙すために送信される「詐欺メール」自体は最もメジャーなサイバー攻撃手法ですが、その大半は「電子マネー」を盗む目的であることが一般的です。今回の警告は「食品」という物品の盗難を目的としているのが新しい点となります。
サイバー攻撃者は正規の従業員になりすまし、食品を注文させます。被害企業は注文に応じ商品を発送しますが、サイバー攻撃者が代金を支払うことはありません。
一般的に「詐欺メールの訓練」は偽サイトへの誘導や不正送金を想定した訓練となっており、このような「物品」を対象とした訓練が行われていることは少なく、誤って正規の注文と判断してしまうリスクがあります。
・対策手段
「詐欺メール対策」は従業員に対する訓練とシステム的な対応の二つの側面での対策が重要です。以下のような対策を取り入れることを推奨します。
- 定期的に詐欺メール訓練を実施する。
- SPF、 DKIM、DMARC 認証を有効化し、電子メール認証を強化します。
- 悪質なメールをブロックするフィッシング対策やなりすまし防止のセキュリティ機能を有効化する。
- すべてのメールアカウントで多要素認証を有効にする。
- 外部アドレスへの電子メールの自動転送を禁止する。
- 会社のメールサーバーの設定や特定のアカウントのカスタムルールが変更されていないか監視する。
- POP、IMAP、SMTP1 など、多要素認証の回避に使用可能なレガシー電子メールプロトコルを禁止する。
- メールボックスのログインと設定の変更がログに記録され、少なくとも90日間保持されることを確認する。
- 海外からのログインなど、不審な動きに対するアラートを有効にする。
■JPCERTコーディネーションセンター(JPCERT/CC)注意喚起
- FortiOSのヒープベースのバッファーオーバーフローの脆弱性(CVE-2022-42475)に関する注意喚起 (更新)
https://www.jpcert.or.jp/at/2022/at220032.html
- Citrix ADCおよびCitrix Gatewayの脆弱性(CVE-2022-27518)に関する注意喚起 (公開)
https://www.jpcert.or.jp/at/2022/at220033.html
- 2022年12月マイクロソフトセキュリティ更新プログラムに関する注意喚起 (公開)
https://www.jpcert.or.jp/at/2022/at220034.html
企業システムは、オンプレとクラウドが同居するハイブリッドクラウド、複数のクラウドから成るマルチクラウド構成、仮想化、コンテナ化などにより複雑化しており、運用、監視、管理のためのシステムも同様に増え続けています。
セキュリティに不安、システム運用、監視、管理についてお悩みを解決する手段はCTC までご相談ください。
■2022年11月のセキュリティトピック
2022年11月に報道されたセキュリティインシデントから、組織におけるセキュリティ対策を検討される方々に重要と思われる3つのトピックを紹介します。
1.活動を再開したEmotet
2022年7月頃から国内での感染活動が停止していましたが、2022年11月から再び国内でもEmotetの感染が確認されるようになりました。基本的な攻撃手口に変化はなく、主要な攻撃侵入経路はメールとなっています。メールの添付ファイルや本文中のリンククリックを用いて感染を狙います。
・これは何故重要ですか?
Emotetは非常に感染力が高く、感染すると感染端末に保存されていたメールの情報やアドレス帳に登録されていた担当者名などの情報が窃取されます。自社だけでなく取引先等に対しても被害が及ぶ可能性が高くなります。
・主な侵入方法
A) マクロ付きのExcelやWordファイル、あるいはこれらをパスワード付きZipファイルとしてメールに添付する形式で配信
B) メール本文中のリンクをクリックすることで悪性なExcelやWordファイルをダウンロードしアプリケーションのインストールを装い感染する
・感染方法
- 攻撃ファイル開封後にマクロを有効化する操作を実行することでEmotetの感染に繋がります
・対策手段
- メール用セキュリティソリューションの導入
- クラウドストレージによる添付ファイルの代替
- SASE等での悪性リンクのブロック
※上記はあくまで一例となります。顧客環境に応じて対策手段は多岐にわたります。
2.在宅勤務者を狙うSEOポイズニングキャンペーン
2022年10月19日、国内の大手切符予約サービスを装うフィッシングサイト(偽サイト)が検索結果ページのトップに表示される事態が発生しました。知名度の高いサービスが利用されたことで国内でも盛んに取り上げられました。
一般の方々が特定の情報を検索するために「検索エンジン」を利用することに着目し、その「検索エンジン」の検索結果を用いて不正なサイトに誘導するSEOポイズニングキャンペーンと呼ばれる攻撃手法となります。
・これは何故重要ですか?
マルウェアをダウンロードさせたり、認証情報を不正に取得するために「検索エンジン」が誘導手段として利用される古くからある攻撃ですが、昨今再び攻撃手法として報道が目立つようになってきています。
特に海外ではSEOポイズニングキャンペーンを利用して認知度の高いオンラインビデオ会議サービス等のインストーラを検索しているユーザーを対象とした不正サイトを準備し著名オンラインビデオ会議のインストーラを装いマルウェアを混入させるような攻撃が確認されています。
在宅勤務者が新規にこのようなツールを自宅でインストールする行動を想定し、メール添付ではなく検索エンジンが利用されていると推測されます。
・対策手段
- 良く利用するウェブサイト等はブックマークするように指導する
- 企業で利用するインストーラ等は共有ストレージに保管する、あるいはダウンロードリンクを明示し、検索結果に頼らないようにする
- SASE等での悪性リンクのブロック
3.インフラ系企業を狙う高度な標的型攻撃
警察庁サイバー警察局は、日本国内の学術関係者、シンクタンク研究員、報道関係者等に対し、講演依頼や取材依頼等を装い不正なプログラム(マルウェア)を実行させる「高度な標的型攻撃」の存在について注意を呼びかけました。
・これは何故重要ですか?
相手を騙すために送信される「詐欺メール」自体は最もメジャーなサイバー攻撃手法ですが、その大半は「ばらまき型」であり、詐欺メール用のテンプレートを入手したメールアドレスに一斉に送信するというものです。この「ばらまき型」の利点は低コストで「詐欺メール」を送付可能で、ある程度ひっかかる人が居るということです。
今回の「高度な標的型攻撃」は「詐欺メール」を利用する点は同じですが、対象人物像を調査し、その「標的」がクリックや開封しやすいように工夫する点が異なります。通常このような攻撃は高コストとなるため「明確な目的意識」を持つサイバー攻撃者が仕掛けるものとなります。このような「高度な標的型攻撃」を仕掛けるサイバー攻撃者は国家による支援を受けている可能性が高く、目的を達成するまで執拗に手段を変えて攻撃を仕掛けてくることが考えられますので、警戒が必要です。
・日本だけではなく他国でも攻撃が確認
エネルギー関連企業に関するサイバー攻撃が活発化しているとの報告が複数のセキュリティベンダーからアナウンスされています。米国大手ソフトメーカは2005年以降に製造中止となったウェブサーバーに影響を与える脆弱性が発見され、エネルギー分野の組織を標的として侵害するために使用されていると発表しています。
また、脅威インテリジェンス企業のRecorded FutureもRedEchoと名付けられた国家に支援されたと推測されるサイバー攻撃集団がインドのエネルギー企業に対してサイバー攻撃キャンペーンを実施していると報告しています。
エネルギー関連企業におかれましては、より一層の監視強化、セキュリティ対策強化、そしてサプライチェーン含めた従業員への注意喚起を実施頂くことを推奨致します。
■JPCERTコーディネーションセンター(JPCERT/CC)注意喚起
- OpenSSLの脆弱性(CVE-2022-3602、CVE-2022-3786)に関する注意喚起 (公開)
https://www.jpcert.or.jp/at/2022/at220030.html
- マルウェアEmotetの感染再拡大に関する注意喚起 (更新)
https://www.jpcert.or.jp/at/2022/at220006.html
- 2022年11月マイクロソフトセキュリティ更新プログラムに関する注意喚起 (公開)
https://www.jpcert.or.jp/at/2022/at220031.html
企業システムは、オンプレとクラウドが同居するハイブリッドクラウド、複数のクラウドから成るマルチクラウド構成、仮想化、コンテナ化などにより複雑化しており、運用、監視、管理のためのシステムも同様に増え続けています。
セキュリティに不安、システム運用、監視、管理についてお悩みを解決する手段はCTC までご相談ください。