セキュリティに関する事案は毎日世界中で発生しています。しかし、その多くのニュースからは個人に対する脅威や、政府機関に対する国家レベルの脅威など大小入り混じった事案が全て「セキュリティニュース」として取り扱われます。

　その結果、企業や組織でセキュリティ対策を検討しなければならないセキュリティ担当者や経営層の方々にとって「対策を検討すべきセキュリティ事案」が一体どれなのか?がわからないという状況に陥っているのではないでしょうか?

　伊藤忠テクノソリューションズ（CTC）では世界を代表するセキュリティベンダーやお客様のインシデント状況から国内外のインシデントや攻撃トレンド、それらに対抗するための対策技術の情報を収集しています。これらの情報源から得られた知見から「今」抑えておくべきセキュリティ事案を「セキュリティトピック」としてお知らせします。

▼ 目次
・2023年1月セキュリティトピック
・2022年11月セキュリティトピック

■2023年1月のセキュリティトピック

　2022年12月に報道されたセキュリティインシデントから、組織におけるセキュリティ対策を検討される方々に重要と思われる3つのトピックを紹介します。

 

１．SSL-VPN製品に関する深刻な脆弱性

　国内市場でも大きなシェアを持つSSL-VPN製品に危険な脆弱性の存在が確認されました。CVE-2022-42475に分類され、本脆弱性は遠隔から認証不要で不正なリクエストをSSL-VPN装置に送信することで不正なコマンドを実行することが可能になります。

　既に本脆弱性が悪用されていることが確認されており、速やかにバージョンアップ等の対策を取ることを推奨します。

・これは何故重要ですか?

　本脆弱性はインターネットから不正なパケットを送信することで不正な操作が成立します。一般的にSSL-VPN装置はインターネットから直接通信可能な位置に設置されているため攻撃を仕掛けられる可能性が高くなります。

　また、日本国内のランサムウェアの侵入経路としてVPN装置の脆弱性利用が最も多い傾向があります。SSL-VPNに対する今回のような脆弱性が公開されると本攻撃を悪用可能なSSL-VPNを検索する行為が増加するため、該当製品を利用されているお客様は早急に対策を進めることを推奨します。

・対策手段

• 利用中のSSL-VPN製品が脆弱性の影響を受けるか、製品およびバージョンなどの利用状況を確認する
• 脆弱性の影響を受ける場合、メーカーが提供している情報をもとに対策を実施する

 　※上記はあくまで一例となります。顧客環境に応じて対策手段手段は多岐にわたります。

 

２．EU、NIS2指令の採択を決定

　欧州連合官報（OJEU）は2022年12月27日、EU全域で高い共通レベルのサイバーセキュリティを確保するための措置NIS2指令を採択すると発表しました。

　NIS2指令は、2016年に成立した「ネットワークと情報システムのセキュリティに関する指令（NIS指令）」を改定し、対象分野を拡大しサイバーセキュリティのリスク管理対策と報告義務の枠組みを提供するものです。さらに、NIS2指令は、サイバーセキュリティの要件と各EU加盟国におけるサイバーセキュリティ対策の実施を調和させることを目指しています。

　NIS2指令は官報掲載から20日後に発効する予定です。EU加盟国はその後21ヶ月以内に同指令を国内法に反映させる必要があります。

　また、NIS2指令の規制対象となる企業はそれまでの間にセキュリティ体制を整備する必要があります。違反企業に対しては制裁金が課せられるようになります。

・これは何故重要ですか?

　欧州でビジネスを営み、NIS2指令で指定された業種に分類される企業はNIS2指令の求めるセキュリティ体制を整える必要があります。これに違反した場合には巨額の制裁金を課せられるリスクがあります。

• 不可欠な主体(Essential Entity):違反企業に対しては1000万ユーロ、または全世界年間売上高の2%の制裁金が課せられます。
• 重要な主体(Important Entity):違反企業に対しては700万ユーロ、または全世界年間売上高の1.4%の制裁金が課せられます。

 

３．詐欺メールで食品を盗む攻撃

　米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は「食品の窃取」を目的としたビジネスメール詐欺についてアラートを公開しました。

・これは何故重要ですか?

　相手を騙すために送信される「詐欺メール」自体は最もメジャーなサイバー攻撃手法ですが、その大半は「電子マネー」を盗む目的であることが一般的です。今回の警告は「食品」という物品の盗難を目的としているのが新しい点となります。

　サイバー攻撃者は正規の従業員になりすまし、食品を注文させます。被害企業は注文に応じ商品を発送しますが、サイバー攻撃者が代金を支払うことはありません。

　一般的に「詐欺メールの訓練」は偽サイトへの誘導や不正送金を想定した訓練となっており、このような「物品」を対象とした訓練が行われていることは少なく、誤って正規の注文と判断してしまうリスクがあります。

・対策手段

　「詐欺メール対策」は従業員に対する訓練とシステム的な対応の二つの側面での対策が重要です。以下のような対策を取り入れることを推奨します。

• 定期的に詐欺メール訓練を実施する。
• SPF、 DKIM、DMARC 認証を有効化し、電子メール認証を強化します。
• 悪質なメールをブロックするフィッシング対策やなりすまし防止のセキュリティ機能を有効化する。
• すべてのメールアカウントで多要素認証を有効にする。
• 外部アドレスへの電子メールの自動転送を禁止する。
• 会社のメールサーバーの設定や特定のアカウントのカスタムルールが変更されていないか監視する。
• POP、IMAP、SMTP1 など、多要素認証の回避に使用可能なレガシー電子メールプロトコルを禁止する。
• メールボックスのログインと設定の変更がログに記録され、少なくとも90日間保持されることを確認する。
• 海外からのログインなど、不審な動きに対するアラートを有効にする。

■JPCERTコーディネーションセンター（JPCERT/CC）注意喚起

• FortiOSのヒープベースのバッファーオーバーフローの脆弱性（CVE-2022-42475）に関する注意喚起 (更新)
  https://www.jpcert.or.jp/at/2022/at220032.html

• Citrix ADCおよびCitrix Gatewayの脆弱性（CVE-2022-27518）に関する注意喚起 (公開)
  https://www.jpcert.or.jp/at/2022/at220033.html
  

• 2022年12月マイクロソフトセキュリティ更新プログラムに関する注意喚起 (公開)
  https://www.jpcert.or.jp/at/2022/at220034.html

　企業システムは、オンプレとクラウドが同居するハイブリッドクラウド、複数のクラウドから成るマルチクラウド構成、仮想化、コンテナ化などにより複雑化しており、運用、監視、管理のためのシステムも同様に増え続けています。

　セキュリティに不安、システム運用、監視、管理についてお悩みを解決する手段はCTC までご相談ください。

 

■2022年11月のセキュリティトピック

　2022年11月に報道されたセキュリティインシデントから、組織におけるセキュリティ対策を検討される方々に重要と思われる3つのトピックを紹介します。

 

１．活動を再開したEmotet

　2022年7月頃から国内での感染活動が停止していましたが、2022年11月から再び国内でもEmotetの感染が確認されるようになりました。基本的な攻撃手口に変化はなく、主要な攻撃侵入経路はメールとなっています。メールの添付ファイルや本文中のリンククリックを用いて感染を狙います。

・これは何故重要ですか?

　Emotetは非常に感染力が高く、感染すると感染端末に保存されていたメールの情報やアドレス帳に登録されていた担当者名などの情報が窃取されます。自社だけでなく取引先等に対しても被害が及ぶ可能性が高くなります。

・主な侵入方法

　A) マクロ付きのExcelやWordファイル、あるいはこれらをパスワード付きZipファイルとしてメールに添付する形式で配信 　
　B) メール本文中のリンクをクリックすることで悪性なExcelやWordファイルをダウンロードしアプリケーションのインストールを装い感染する

・感染方法

• 攻撃ファイル開封後にマクロを有効化する操作を実行することでEmotetの感染に繋がります

 

・対策手段

• メール用セキュリティソリューションの導入
• クラウドストレージによる添付ファイルの代替
• SASE等での悪性リンクのブロック

 　※上記はあくまで一例となります。顧客環境に応じて対策手段手段は多岐にわたります。

 

２．在宅勤務者を狙うSEOポイズニングキャンペーン

　2022年10月19日、国内の大手切符予約サービスを装うフィッシングサイト（偽サイト）が検索結果ページのトップに表示される事態が発生しました。知名度の高いサービスが利用されたことで国内でも盛んに取り上げられました。

　一般の方々が特定の情報を検索するために「検索エンジン」を利用することに着目し、その「検索エンジン」の検索結果を用いて不正なサイトに誘導するSEOポイズニングキャンペーンと呼ばれる攻撃手法となります。
 

・これは何故重要ですか?

　マルウェアをダウンロードさせたり、認証情報を不正に取得するために「検索エンジン」が誘導手段として利用される古くからある攻撃ですが、昨今再び攻撃手法として報道が目立つようになってきています。

　特に海外ではSEOポイズニングキャンペーンを利用して認知度の高いオンラインビデオ会議サービス等のインストーラを検索しているユーザーを対象とした不正サイトを準備し著名オンラインビデオ会議のインストーラを装いマルウェアを混入させるような攻撃が確認されています。

　在宅勤務者が新規にこのようなツールを自宅でインストールする行動を想定し、メール添付ではなく検索エンジンが利用されていると推測されます。

・対策手段

• 良く利用するウェブサイト等はブックマークするように指導する
• 企業で利用するインストーラ等は共有ストレージに保管する、あるいはダウンロードリンクを明示し、検索結果に頼らないようにする
• SASE等での悪性リンクのブロック

 

３．インフラ系企業を狙う高度な標的型攻撃

　警察庁サイバー警察局は、日本国内の学術関係者、シンクタンク研究員、報道関係者等に対し、講演依頼や取材依頼等を装い不正なプログラム(マルウェア)を実行させる「高度な標的型攻撃」の存在について注意を呼びかけました。

・これは何故重要ですか?

　相手を騙すために送信される「詐欺メール」自体は最もメジャーなサイバー攻撃手法ですが、その大半は「ばらまき型」であり、詐欺メール用のテンプレートを入手したメールアドレスに一斉に送信するというものです。この「ばらまき型」の利点は低コストで「詐欺メール」を送付可能で、ある程度ひっかかる人が居るということです。

　今回の「高度な標的型攻撃」は「詐欺メール」を利用する点は同じですが、対象人物像を調査し、その「標的」がクリックや開封しやすいように工夫する点が異なります。通常このような攻撃は高コストとなるため「明確な目的意識」を持つサイバー攻撃者が仕掛けるものとなります。このような「高度な標的型攻撃」を仕掛けるサイバー攻撃者は国家による支援を受けている可能性が高く、目的を達成するまで執拗に手段を変えて攻撃を仕掛けてくることが考えられますので、警戒が必要です。

 

・日本だけではなく他国でも攻撃が確認

　エネルギー関連企業に関するサイバー攻撃が活発化しているとの報告が複数のセキュリティベンダーからアナウンスされています。米国大手ソフトメーカは2005年以降に製造中止となったウェブサーバーに影響を与える脆弱性が発見され、エネルギー分野の組織を標的として侵害するために使用されていると発表しています。

　また、脅威インテリジェンス企業のRecorded FutureもRedEchoと名付けられた国家に支援されたと推測されるサイバー攻撃集団がインドのエネルギー企業に対してサイバー攻撃キャンペーンを実施していると報告しています。

　エネルギー関連企業におかれましては、より一層の監視強化、セキュリティ対策強化、そしてサプライチェーン含めた従業員への注意喚起を実施頂くことを推奨致します。

■JPCERTコーディネーションセンター（JPCERT/CC）注意喚起

• OpenSSLの脆弱性（CVE-2022-3602、CVE-2022-3786）に関する注意喚起 (公開)
  https://www.jpcert.or.jp/at/2022/at220030.html

• マルウェアEmotetの感染再拡大に関する注意喚起 (更新)
  https://www.jpcert.or.jp/at/2022/at220006.html
  

• 2022年11月マイクロソフトセキュリティ更新プログラムに関する注意喚起 (公開)
  https://www.jpcert.or.jp/at/2022/at220031.html

　企業システムは、オンプレとクラウドが同居するハイブリッドクラウド、複数のクラウドから成るマルチクラウド構成、仮想化、コンテナ化などにより複雑化しており、運用、監視、管理のためのシステムも同様に増え続けています。

　セキュリティに不安、システム運用、監視、管理についてお悩みを解決する手段はCTC までご相談ください。