2023年2月はセキュリティ運用サービスを提供させていただいているお客様で以下のような通報を実施しております。
特に2月はサポート詐欺に関連する検知、通報が多い傾向が確認されました。
「サポート詐欺」とは、インターネット閲覧者に、ウイルスに感染したかのような偽のポップアップ画面を見せて不安を煽り、サポート窓口への電話を促し、ポップアップ画面を消す等によってウイルス除去したかのように見せ、修理費用として金銭を騙し取ろうとする詐欺です。
サポート詐欺につながる不審なWebサイトは昨年9月頃より増加傾向にあり、不審なポップアップ画面が表示された際は速やかに閉じる、警告文の内容には従わない等といった注意が必要です。
また、インターネットに公開されたサーバについて、脆弱性を狙った攻撃件数が多いものは以下の通りです。
| 攻撃対象の脆弱性 | CVE番号 | |
|---|---|---|
| 1 | Dasan GPON home router における認証に関する脆弱性 | CVE-2018-10561 |
| 2 | Apache Log4jの任意のコード実行の脆弱性 | CVE-2021-44228 CVE-2021-45046 |
| 3 | MVPower DVR TV-7104HEの認証回避に関する脆弱性 | - |
| 4 | PHPUnit の Util/PHP/eval-stdin.php における任意の PHP コードを実行される脆弱性 | CVE-2017-9841 |
| 5 | ThinkPHPのリモートコード実行の脆弱性 | CVE-2018-20062 |
概ね昨月と変わらない傾向ではありましたが、2月上旬頃に一部のユーザに対してApache Log4jの脆弱性(いわゆるLog4Shell)を利用した攻撃が非常に多く確認されており、全体で2番目に多いという結果となりました。
このユーザでは同じタイミングでその他複数の脆弱性を標的とした攻撃があった事から脆弱性の調査が行われたものと推察されます。(インターネット上にサーバを公開するとこのような調査を度々受けます)また、2月3日にフランスのCERT「CERT-FR」がVMware ESXiの脆弱性CVE-2021-21974に対して攻撃キャンペーンが行われたと注意喚起されていましたが、当SOCサービスでは当該の攻撃は検知されませんでした。
一般的なネットワーク構成では攻撃対象であるOpenSLPポート(427番)は外部公開されないためファイアウォールレベルで通信がブロックされたため検知しなかったものと思われます。
2023年2月CVEに公開された脆弱性は2,133件ありました。以下では、現在悪用が確認されているWindows OSの脆弱性について紹介します。
いずれの脆弱性も既にパッチが公開されておりWindows Updateを行う事で修正されるため、アップデートが未実施の方に置かれましては、速やかな実施をおすすめします。
Microsoft 365 AppsのMicrosoft Publisherに脆弱性が確認されており、脆弱性を利用するとセキュリティ機能を回避される可能性があります。
WindowsやOffice等複数のMicrosoft製品のグラフィックスコンポーネントに脆弱性が確認されており、脆弱性を利用するとリモートでコードを実行される可能性があります。
Windowsの共通ログファイルシステムドライバーに脆弱性が確認されており、脆弱性を利用すると権限を昇格される可能性があります。
2023年2月、C社がソーシャルエンジニアリング攻撃を受け、その過程がC社のブログにて共有されました。
C社によると攻撃の時系列は以下の通りです。
| 1 | ある日の深夜C社の複数の従業員が標的型フィッシングメッセージを受信 |
| 2 | 従業員Aがメッセージを信じて自分のユーザ名とパスワードを入力 |
| 3 | 攻撃者が従業員Aのユーザ情報を使ってログインを試行したが多要素認証により失敗 |
| 4 | 攻撃者がログインを諦め?てC社スタッフを名乗り従業員Aに電話 |
| 5 | 従業員Aは攻撃者の言葉を信じてPCを操作し、攻撃者に機密情報を渡す |
| 6 | C社CSIRTが不審な挙動に気づき従業員Aに連絡 |
| 7 | 従業員Aが異変に気付き攻撃者とのやり取りを終了 |
本インシデントでは、従業員が標的型フィッシングメッセージを開封し、ユーザ名とパスワードを入力してしまったことから、情報漏洩に至っています。
今回のような攻撃事例は、企業や官公庁を対象に近年多数発生しており、IPA (情報処理推進機構)から発表されている「情報セキュリティ10大脅威 2023」においても、組織部門で第3位に位置付けられています。
今回のような被害の未然防止や被害規模の低減には、従業員に対して定期的な情報セキュリティ教育を行うことが有効です。
具体的な対策方法は弊社でもご支援が可能となります。お問合せフォームからお気軽にご相談ください。
S社が運営するWebサイトが第三者による不正アクセスの被害を受け、決済処理システムが改ざんされた結果10万件以上の個人情報、クレジットカード情報の漏洩が発生した可能性があります。
具体的には以下の情報が漏洩した可能性があります。
| クレジットカード情報 | カード名義人名 / クレジットカード番号 / 有効期限 / セキュリティコード |
|---|---|
| 個人情報 | 氏名 / メールアドレス / 郵便番号 / 住所 / 電話番号 |
本インシデントで特に注目すべきポイントはセキュリティコードの情報漏洩が発生した可能性がある点です。
セキュリティコードは不正利用を防ぐパスワードのようなものでWebサイト側には記録しない事がガイドライン等で定められています。
そのため、有識者から「保存していないはずのセキュリティコードがなぜ漏洩するのか」「ガイドラインを守っていなかったのか」と言う声が上がりました。
これについてはS社がガイドラインを無視してセキュリティコードを保存していたと言うより、漏洩の原因となったWebサイトの改ざん部分が決済部分であったことから、決済時クレジットカード事業者に加えて攻撃者のサーバにもクレジットカード情報を送るように改ざんが行われたものと思われます。
改ざんを受けた経緯までは報告されておりませんが、改ざんのリスクを軽減する手段としては一般的に以下のような対策が必要と考えられます。
等
2月1日総務省は、クレジットカード会社等に対してフィッシング対策強化の一環として送信ドメイン認証技術(DMARC)を導入するよう要請しております。
DMARCはSPFやDKIMと言った送信者認証技術と組み合わせてフィッシングメールを隔離や削除する仕組みです。
DMARCを導入すると、フィッシングメールに対する対処をなりすまされている側(クレジットカード会社等)がコントロールできたり、今自社を騙るフィッシングメールがどのくらい送られているかある程度把握できるためより効果的な対策を取る手掛かりとなります。
| 名称 | 機能イメージ |
|---|---|
| SPF | メールアドレス*@nesic.comのメールがNECネッツエスアイが指定した送信元から送信されているか受信側で確認する |
| DKIM | 電子署名技術によりメール送信者や内容が改ざんされていないか受信側で検出する |
| DMARC | SPFやDKIMによる検証の結果、不正なメールである場合に本来のドメイン所有者(nesic.com)のサーバに対処方法を問い合わせ隔離や削除する |
クレジットカード会社以外でも、フィッシングメールでなりすまされる機会の多い事業(インフラや通販など)を行っている企業様は導入を検討されても良いのではないかと思います。
NECネッツエスアイではSOC事業の他、Webアプリケーションファイアウォール、侵入防御システム、仮想パッチ等の各種セキュリティソリューションの導入支援も提供しております。
お問い合わせフォームからお気軽にご相談ください。
Sakanishi Kazuma
