2023年5月はセキュリティ運用サービスを提供させていただいているお客様で以下のような通報を実施しております。
等
サポート詐欺サイトは2022年9月頃から増加傾向にありましたが、2023年5月からは検知数が減少に転じています。一時的な現象であった可能性も否めませんが、当面の間集計を続けたいと思います。
また、インターネットに公開されたサーバが受けた攻撃のうち件数が多いものは以下の通りです。
| 攻撃対象の脆弱性 | CVE番号 | |
|---|---|---|
| 1 | Dasan GPON home router における認証に関する脆弱性 | CVE-2018-10561 |
| 2 | PHPUnit の Util/PHP/eval-stdin.php における任意の PHP コードを実行される脆弱性 | CVE-2017-9841 |
| 3 | D-link社製ルータのHNAPインターフェースにおける任意のコードが実行できる脆弱性 | CVE-2019-10891 CVE-2015-2051 |
| 4 | MVPower DVR TV-7104HEの認証回避に関する脆弱性 | - |
| 5 | Microsoft Exchange Server におけるリモートでコードを実行される脆弱性 | CVE-2021-26855 |
先月同様、韓国DASAN Networks社製GPONホームルータの認証に関する脆弱性(CVE-2018-10561)を狙った攻撃が最も多く確認されております。
これらの攻撃は脆弱性調査ツールやボットネットによって機械的かつ手当たり次第に行われています。
件数自体は少ないものの4月以前と比較して5月に増えた攻撃は以下のものがありました。
いずれも特定のお客様固有の事情であったり、古い脆弱性に対する攻撃のため現状では特別な注意を払うべき変化ではないと考えられます。
2023年5月CVEに公開された脆弱性は2422件ありました。
今月は5月の月例セキュリティ更新で修正されたWindowsの脆弱性2件を紹介します。
Win32kは、Windowsにおいてウィンドウの表示、キーボード等の入力機器からの情報収集、映像出力等の多くの機能を担っています。
Win32kは多機能故度々脆弱性が発見されており、今回はウィンドウ制御部分に権限昇格の脆弱性が見つかりました。
脆弱性が悪用されると、攻撃者はターゲットシステム上でSYSTEM特権の取得が可能となりシステムを乗っ取ることが可能となります。既に攻撃コード(PoC)が公開されており悪用も確認されているため、Windows Updateによる速やかな対策をおすすめします。
Microsoft – セキュア ブートのセキュリティ機能のバイパスの脆弱性
Microsoft – CVE-2023-24932 に関連するセキュア ブート マネージャーの変更に関するガイダンス
セキュアブートは、コンピュータが起動する際に適切な署名が施されたソフトウェアのみ起動を許す事で安全にOSを起動させる仕組みです。
本脆弱性を悪用するためには、攻撃者は物理的にターゲットにアクセスする必要があるため、実際にサイバー攻撃を行うには比較的ハードルがあるものではありますが、成功すると適切な署名が施されていない自己署名のソフトウェアが実行され、Windowsを乗っ取った状態で起動する事ができる危険な脆弱性です。
本脆弱性への対策は既に公開されてはいるものの、OSが起動しなくなるリスクがあるため無効になっています。
マイクロソフト社にて正しく適用するためのガイダンスが公開されているため、必要に応じてご参照のうえ、適切な対策をおすすめします。
2023年5月11日、他人のスマートフォンのSIMカードを無断で再発行し乗っ取った電話番号を使い、他人の銀行口座に不正アクセスし不正送金を行っていたとして、電子計算機使用詐欺などの疑いで栃木県在住の女を逮捕したと警視庁が発表しました。
この手口は「SIMスワップ」と呼ばれ、携帯電話販売店で携帯電話を紛失した等と嘘を言って標的の氏名、偽造した免許証等を提示し、標的の携帯電話番号のSIMカードを再発行させてSIMカードを乗っ取る詐欺の手口です。
昨今、オンラインバンキング等ではパスワード認証に加えてSMS認証を併用する二段階認証が用いられており、詐欺グループは何らかの方法でユーザ名とパスワードを入手しても口座にログインすることはできませんでしたが、本件ではSIMスワップによってSMS認証を突破し不正アクセスを行い、不正送金を行っていたとされています。
法人契約の携帯電話の場合は手続きの手順上、偽造免許証を使ってSIMカードを再発行させる手法は成功しないと思われますが、SMS認証には今回の事例のようなリスクも存在しているという事を認識しておいた方が良い思い取り上げる事にしました。
余談ではありますが、逮捕された容疑者は所謂「闇バイト」でSNS上の高収入バイトの募集をきっかけに詐欺グループに加わり、犯行を行ったとされています。
ダークウェブやフィッシングサイトを使って口座のログイン情報を入手し、免許証を偽造した上で闇バイトを雇えば銀行口座から数十~数百万円(本被害額は9,000万円)のお金を抜き取る事ができると考えると、詐欺グループとしては割の良い「仕事」なのかも知れません。
2023年5月17日、Google社が2年以上利用されていないGoogleアカウントを削除する意向を発表しました。
Twitter社も昨年12月に削除の移行を発表しており、5月9日から削除を開始しています。
かねてより、サービスの利用を止めたりパスワードが分からない等の理由で使用されていないアカウントは、第三者によって不正に乗っ取られたとしても持ち主は被害に気付かず、不正な目的で使われる事が問題視されていました。
社内システムについても、使われていないアカウントが残っていることはセキュリティ上のリスクになります。
数年前、ランサムウェア感染と情報漏洩被害を受けた日本国内のある大企業の事例でも、システム内に残っていたアカウントを足掛かりに被害が拡大した事が報告されています。
読者の皆様が管理されているシステムについても不安がある場合は定期的に棚卸する等の対応をご検討ください。
NECネッツエスアイではセキュリティ運用サービス(SOC)の他、Webアプリケーションファイアウォール、侵入防御システム、各種セキュリティ対策製品の導入支援や、お客様のシステム環境に最適な解決策のご提案を行うセキュリティコンサルティングサービスを提供しております。
お問い合わせフォームからお気軽にご相談ください。
Sakanishi Kazuma
