2023年4月はセキュリティ運用サービスを提供させていただいているお客様で以下のような通報を実施しております。
サポート詐欺サイトは2022年9月ごろから増加しており、2023年4月も引き続き多い状況にあります。
また、インターネットに公開されたサーバが受けた攻撃のうち件数が多いものは以下の通りです。
| 攻撃対象の脆弱性 | CVE番号 | |
|---|---|---|
| 1 | Dasan GPON home router における認証に関する脆弱性 | CVE-2018-10561 |
| 2 | MVPower DVR TV-7104HEの認証回避に関する脆弱性 | - |
| 3 | PHPUnit の Util/PHP/eval-stdin.php における任意のPHPコードを実行される脆弱性 | CVE-2017-9841 |
| 4 | ThinkPHPのリモートコード実行の脆弱性 | CVE-2018-20062 |
| 5 | D-link社製ルータのHNAPインターフェースにおける任意のコードが実行できる脆弱性 | CVE-2019-10891 CVE-2015-2051 |
先月同様、韓国DASAN Networks社製GPONホームルータの認証に関する脆弱性(CVE-2018-10561)を狙った攻撃が最も多く確認されております。
2位以下の検知についても概ね先月と変化ありませんでした。
これらの攻撃は脆弱性調査ツールやボットネットによって機械的かつ手当たり次第に行われています。
2023年4月CVEに公開された脆弱性は2342件ありました。
今月は4月の月例セキュリティ更新で修正されたWindowsの脆弱性2件を紹介します。
Windows共通ログファイルシステムはCLFSとも略され、Windowsのログやイベントの出力に用いられる機能です。
本脆弱性が悪用された場合、攻撃者はターゲットシステム上でSYSTEM特権の取得が可能となり、ターゲットシステムを乗っ取ることができる可能性があります。
本脆弱性は「QueueJumper」と呼称されており、リモートの攻撃者はMSMQサービスが有効になっているサーバの1801番ポートに細工したパケットを送信するだけで任意のコードを実行することが可能です。
MSMQサービスはアプリケーション同士が相互に通信を行うことを可能にするWindowsの機能で、デフォルトでは無効となっていますが、アプリケーションのインストール時にバックグラウンドで有効化される場合などがあります。
そのため更新プログラムの適用に加え、MSMQサービスが意図せず有効になっていないか、1801番ポートが意図せず解放されていないか、今一度ご確認いただくことを推奨します。
【参考サイト】Microsoft – Microsoft Message Queuing のリモートでコードが実行される脆弱性
これらの脆弱性はセキュリティ更新プログラムを適用することで修正が可能なため、影響を受ける製品をご利用のお客様におかれましては、速やかな適用を推奨します。
日本のある市で、市が送信したメールの送信先に設定されたメールアドレス情報が、受信者全員に漏洩するインシデントが発生しました。
同市はTOやCCに設定されたメールアドレスを、メール送信サーバで自動的にBCCに再設定するシステムを導入していました。
しかし、システムの稼働に必要なソフトウェアライセンスの更新手続きが行われておらず、一時的にシステムが停止したために、そのままメールが送信され、メール受信者に他の受信者のメールアドレス情報が漏洩してしまいました。
メールを受信した住民の指摘によって問題が発覚し、同市は流出したメールアドレスの対象者全員に、本件に関するお詫びと事情説明、当該メールの削除依頼の対応を実施されました。
また、ライセンス期限の管理及び更新手続の徹底や業務開始前にシステム稼働状況を市職員とシステム提供ベンダーの双方で行う等、再発防止策を徹底するとしております。
実際にどのような目的・思想で導入・運用されていたのか詳細は正式に公表されていないため、推察ではありますが、メールの誤送信といった人的ミスによる事故の被害を防止する目的で導入されていたものと考えられます。
しかし、本来補助的な役割であるはずのシステムの利用が常態化し、システムが稼働している状況が当たり前となってしまった結果、発生したインシデントなのかもしれません。
2023年5月1日、警視庁からDDoS攻撃に関する注意喚起が行われました。
注意喚起されている事例は2022年9月のものですが、この例に限らず最近国内でDDoS攻撃が増えているように感じています。
実際、弊社のサービスをご利用いただいているお客様の中にもDDoS攻撃を受け、システムが利用できなくなるなどの被害事例がありました。
大量のトラフィックを送り付けてサービス提供を妨げるDDoS攻撃は根本的な対策が難しいですが緩和策として以下のものが挙げられます。
ロシアによるウクライナ侵攻が始まって以降、ウクライナ側に立つ日本は親ロシアハッカー集団の標的となっている点も、DDoS攻撃の増加の一因と考えられます。
彼らはロシア製SNSであるTelegramで度々攻撃成功を示すスクリーンショットを投稿していますが、日本国民からすると首をかしげるような組織が標的となっている事があります。
政府機関や、公共性の高い事業を行っている企業、広く名前が知られている組織を選んでいるようなので自組織の属性によっては突如攻撃の対象となる可能性があります。
現在DDoS攻撃に対する対策が未実施のお客様におかれましては、万が一攻撃を受けた際のセキュリティ検知や対応の方法についてご検討いただく事を推奨します。
Microsoft Office 2013のサポートが2023年4月11日に終了しました。
今後同ソフトウェアにおいて脆弱性や不具合が発見された場合でも更新プログラムの配布や適用は行われないため、まだご利用の場合は新しいバージョンのOffice製品への移行を推奨します。
NECネッツエスアイではセキュリティ運用サービス(SOC)の他、Webアプリケーションファイアウォール、侵入防御システム、各種セキュリティ対策製品の導入支援や、DDoS対策を始め最新のセキュリティ上の脅威に対してお客様のシステム環境に最適な解決策のご提案を行うセキュリティコンサルティングサービスを提供しております。
お問い合わせフォームからお気軽にご相談ください。
Sakanishi Kazuma
