2023年1月はセキュリティ運用サービスを提供させていただいているお客様で以下のような通報を実施しております。
また、インターネットに公開しているサーバが受けた攻撃のうち件数が多かったものは以下の通りです。
| 攻撃対象の脆弱性 | CVE番号 | |
|---|---|---|
| 1 | Dasan GPON home router における認証に関する脆弱性 | CVE-2018-10561 |
| 2 | MVPower DVR TV-7104HEの認証回避に関する脆弱性 | - |
| 3 | PHPUnit の Util/PHP/eval-stdin.php における任意のPHPコードを実行される脆弱性 | CVE-2017-9841 |
| 4 | ThinkPHPのリモートコード実行の脆弱性 | CVE-2018-20062 |
| 5 | D-link DIR-806 デバイスにおけるコードインジェクションの脆弱性 | CVE-2019-10891 CVE-2015-2051 |
上記傾向は昨月と大差なく変化はありませんでした。
多くの攻撃はMiraiのようなボットネット、ZGrabやOPENVASのような脆弱性調査ツールによって機械的に行われているものと思われます。
2023年1月CVEに公開された脆弱性は2418件ありました。
今月は悪用が確認されているWindowsの脆弱性を紹介します。
ALPCはWindowsがプロセス間で高速なメッセージ通信を行う事ができる仕組みです。
この仕組みの中に権限昇格が可能になる脆弱性があり、悪用すると攻撃者がブラウザのサンドボックスを回避してSYSTEM権限で任意のコードを実行できる可能性があると報告されています。
本脆弱性は既にパッチが公開されているため未適用の場合は迅速な適用を推奨します。
顧客へのサービス内容の案内等を目的に外部委託業者に提供した個人情報が委託先から漏洩していたようです。
外部委託業者は自社よりもセキュリティレベルが低い事があり、情報漏洩の原因となる事例が度々発生していますが、外部委託業者のセキュリティレベルは委託元からは充分コントロールできないため、根本的な対策を図る事は難しい印象です。
委託内容に応じてプライバシーマークやPCIDSS等の基準に準拠した業者を利用する、委託する情報に一意の情報を付与して漏洩時に漏洩元をトレースできるようにする等対策が現実的な対応かと思います。
自動車メーカーM社が運用するWebサイトが攻撃を受け、保存されていた会員情報が漏洩したと報道されました。
漏洩に至る過程は報告されていないため一般論となりますが、Webサイトに対する攻撃を防ぐ根本的な手段としてはOSやミドルウェアの最新化、Webアプリケーションのセキュアコーディング、セキュアなシステム設計が考えられます。
上記対応に加えてゼロデイ攻撃や対策漏れを考慮し、Webアプリケーションファイアウォール(WAF)や侵入防御システム(IPS)を利用する事も有効です。
2023年1月10日、Google Chromeについてバージョン109を最後にWindows8.1、Windows Server 2012/2012R2の対応終了する事が発表されました。
対象のOSで今後もGoogle Chromeを利用する場合、セキュリティリスクが生じる可能性があるため利用を止めるか、OSをバージョンアップする必要があります。
特にWindows Server 2012R2はサーバとして現役稼働している環境も多いと思いますが、OS自体のEOLが2023年10月10日※ と終わりが見えているためこれを機にリプレースを検討しても良いのではないでしょうか。
なお、Google Chromeと同じくChromiumエンジンを採用しているMicrosoft社のMicrosoft EdgeについてはChrome同様バージョン109までの対応と発表があったものの、Windows Server 2012/2012R2に対してはOSがEOLを迎える10月10日までは脆弱性の修正が提供されるようです。
※やむを得ない理由からEOLを迎えたOSを使い続ける場合、仮想パッチと言う技術を用いて脆弱性対策を図る選択肢もあります。
2022年12月26日、IPA (情報処理推進機構)から「情報セキュリティ10大脅威 2023」が公開されました。具体的な内容は以下の通りです。
| 前年順位 | 個人 | 順位 | 組織 | 前年順位 |
|---|---|---|---|---|
| 1位 | フィッシングによる個人情報等の詐取 | 1位 | ランサムウェアによる被害 | 1位 |
| 2位 | ネット上の誹謗・中傷・デマ | 2位 | サプライチェーンの弱点を悪用した攻撃 | 3位 |
| 3位 | メールやSMS等を使った脅迫・詐欺の手口による金銭要求 | 3位 | 標的型攻撃による機密情報の窃取 | 2位 |
| 4位 | クレジットカード情報の不正利用 | 4位 | 内部不正による情報漏えい | 5位 |
| 5位 | スマホ決済の不正利用 | 5位 | テレワーク等のニューノーマルな働き方を狙った攻撃 | 4位 |
| 7位 | 不正アプリによるスマートフォン利用者への被害 | 6位 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | 7位 |
| 6位 | 偽警告によるインターネット詐欺 | 7位 | ビジネスメール詐欺による金銭被害 | 8位 |
| 8位 | インターネット上のサービスからの個人情報の窃取 | 8位 | 脆弱性対策情報の公開に伴う悪用増加 | 6位 |
| 10位 | インターネット上のサービスへの不正ログイン | 9位 | 不注意による情報漏えい等の被害 | 10位 |
| 圏外 | ワンクリック請求等の不当請求による金銭被害 | 10位 | 犯罪のビジネス化(アンダーグラウンドサービス) | 圏外 |
御覧の通り、各項目昨年度から順位が入れ替わっただけでほとんど変化がありません。
2022年は、徳島県や大阪府の病院に代表されるランサムウェア被害の報道があり、感染経路にサプライチェーンの弱点やテレワーク環境があったことを考えると妥当なラインナップではないかと思います。
弊社ではSOC事業の他、Webアプリケーションファイアウォール、侵入防御システム、仮想パッチ等の各種セキュリティソリューションの導入支援も提供しております。
問い合わせフォームから気軽にご相談ください。
Sakanishi Kazuma
