2023年3月はセキュリティ運用サービスを提供させていただいているお客様で以下のような通報を実施しております。
2月に引き続き3月もサポート詐欺に関連の検知、通報が多い傾向が見受けられ、注意が必要です。
また、インターネットに公開されたサーバが受けた攻撃のうち件数が多いものは以下の通りです。
| 攻撃対象の脆弱性 | CVE番号 | |
|---|---|---|
| 1 | Dasan GPON home router における認証に関する脆弱性 | CVE-2018-10561 |
| 2 | PHPUnit の Util/PHP/eval-stdin.php における任意の PHP コードを実行される脆弱性 | CVE-2017-9841 |
| 3 | MVPower DVR TV-7104HEの認証回避に関する脆弱性 | - |
| 4 | ThinkPHPのリモートコード実行の脆弱性 | CVE-2018-20062 |
| 5 | Apache Solrのディレクトリトラバーサルの脆弱性 | CVE-2013-6397 |
先月同様、韓国DASAN Networks社製GPONホームルータの認証に関する脆弱性(CVE-2018-10561)を狙った攻撃が最も多く確認されております。
これらの攻撃は脆弱性調査ツールやボットネットによって機械的かつ手当たり次第に行われています。
また、先月と比較しての変化点としてJoomla!のAPIの脆弱性(CVE-2023-23752)に対する攻撃が確認されております。
Joomla! はWordpressのようなCMS(Contents Management System)の1つですが、日本国内でのシェアは約2%程度で推移しており、攻撃があったとしても影響を受ける環境は限定的と考えられますが、Joomla!をご利用されている企業様におかれましては、最新版へのアップデートのご対応をおすすめします。
その他、3月は7日ごろからEmotetの活動が再度活発化しており、解凍すると500MB(ファイルサイズを大きくすることでウイルス対策ソフトによる検知を回避する事が目的と考えられます。)の.docファイルになるZIPファイルやOneNote(.one)ファイルが添付されたフィッシングメールのばらまきが報じられております。
当SOC内でこれらのフィッシングメールは観測されませんでしたが、当社グループ内の一部のお客様でこれらのメールを受信、開封してしまいマルウェア感染に至る事例があったと聞き及んでおり、Emotet感染を狙ったメールによる攻撃には、引き続き警戒が必要な状況が続いております。
2023年3月CVEに公開された脆弱性は2565件ありました。今月は危険度の高い2件の脆弱性を紹介します。
Microsoft Outlook for Windowsに権限昇格の脆弱性が確認されております。
攻撃者によって細工されたメールを受信した際、攻撃者が用意したSMBサーバに対してNTLMの認証情報が送信される可能性があります。
NTLM認証はファイルサーバのアクセス権制御に用いられる事が多く、認証情報が漏洩した場合、攻撃者が権限のある人間になりすまし、ファイルサーバに不正アクセスできる可能性があります。
SMBサーバへNTLM認証情報を送信するにはサーバへの通信経路を確保する必要があり、認証情報を悪用した攻撃を行うには攻撃対象のネットワークに侵入する必要がある等、本脆弱性を利用し実際のサイバー攻撃を行うには、いくつかのハードルはあります。
しかし、攻撃者からのメールを受信しただけでNTLMの認証情報が漏洩する可能性がある危険な脆弱性です。
本脆弱性は既に修正パッチが公開されておりWindows Updateを行う事で修正されるため、アップデートが未実施の方に置かれましては、速やかな実施をおすすめします。
FortiOS、FortiProxyの管理インターフェースにバッファアンダーフローの脆弱性が確認されております。
攻撃者が管理インターフェースに対して細工したリクエストを送る事で、任意のコードを実行したり、サービス運用妨害(DoS)を行うことができる可能性があります。
製品の初期設定では管理インターフェースは外部のインターネットに公開されておりませんが、稀にシステム構築作業の一環で一時的に公開されていたり、設定ミスによって公開されてしまっているケースがあり、この場合本脆弱性を悪用した攻撃を受ける可能性があります。
また、攻撃者が何らかの方法で内部ネットワークへの侵入に成功した場合にも攻撃が成功する可能性があり、対象バージョンのファームウェアをご利用の場合は、本脆弱性を修正した最新版へバージョンアップを行い、早急な対策をおすすめします。
以下の参考URLにて、Fortinet社公式のアドバイザリーから更新の要否を確認することが可能です。
コンピュータシステムではなく、人間の心理的な隙や行動のミスを利用して機密情報を聞き出したり、システムに侵入する手法をソーシャルエンジニアリングと言います。
例えば、攻撃者が標的企業に対して取引先企業の従業員を名乗って電話をかけ、「今から送るメールに従ってシステムにログインして欲しい」等と言って、ログイン情報を入力させ、本来ログイン情報がなければ見る事ができない機密情報にアクセスします。
従来から確認されている攻撃手法ではありますが、2023年3月以降名刺管理サービス事業者や重工業事業者、医薬品製造事業者と言った複数の企業から注意喚起が行われており、同様の攻撃が水面下で増えている可能性が考えられます。
コロナ禍以降、多くの企業でクラウドサービスの利用が増えた事で、ログイン情報があればネットワークに侵入せず機密情報にアクセスできる状況が整ったため、攻撃者にとって都合が良い状況にあるのかも知れません。
人間を標的とする攻撃手法のため根本的な対策は困難ですが、定期的な教育による従業員のセキュリティ意識の向上、多要素認証を使ったログインの厳重化等が基本的な対策方法となります。組織全体での継続的な対策を通じてリスクの低減が可能です。
2023年3月28日、警視庁から家庭用ルータの不正利用に関する注意喚起が行われました。
警視庁によるサイバー攻撃の捜査の過程で、一般家庭内のルータがインターネット上から乗っ取られ、攻撃に利用される事例が確認されております。
通常、家庭用ルータはインターネット側からアクセスできないよう設定されていますが、意図せずアクセスできるよう設定してしまうと攻撃を受けるリスクが発生します。
2023年3月30日、デジタル庁、総務省、経済産業省により電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)が更新されました。
目的に応じて暗号技術は数多あり、何を使ったらよいのかの判断にはある程度知識が必要となりますが、CRYPTREC暗号リストに準拠する事で有効な暗号方式にキャッチアップできます。(キャッチアップしていないと暗号通信が開始できず通信できなくなる等の問題が発生する可能性があります。)
特にこれから開発するシステムの要件定義などの場面でご参考ください。
電子政府推奨暗号リスト、推奨候補暗号リスト、運用監視暗号リストと言う3つのリストに分かれていますが各リストの分類は以下のようなイメージです。
| 電子政府推奨暗号リスト | 政府推奨の暗号方式 |
|---|---|
| 推奨候補暗号リスト | 将来政府推奨になる可能性がある暗号方式 |
| 運用監視暗号リスト | 互換性維持以外の目的では推奨しない暗号方式 |
NECネッツエスアイではSOC事業の他、Webアプリケーションファイアウォール、侵入防御システム、仮想パッチ等の各種セキュリティソリューションの導入支援やセキュリティコンサルティングサービスも提供しております。
お問い合わせフォームからお気軽にご相談ください。
Sakanishi Kazuma
