セキュリティ運用サービス月次レポート 2023年6月

1. サイバー攻撃検知状況

2023年6月はセキュリティ運用サービスを提供させていただいているお客様で以下のような通報を実施しております。

インターネットに公開しているサーバに対する特定の脆弱性を試行する攻撃
Apache Log4jにおける任意のコード実行の脆弱性（CVE-2021-44228）を悪用する攻撃
Zyxel社の複数の製品におけるコマンドインジェクションの脆弱性（CVE-2023-28771）を悪用する攻撃
その他クロスサイトスクリプティングやSQLインジェクション

等

インターネットに公開しているサーバに対するブルートフォース
マルウェアに感染する/している可能性がある通信
サポート詐欺につながる不審なWebサイトへのアクセス

サポート詐欺サイトは2023年5月から検知が減少しており、6月も引き続き落ち着いています。

また、インターネットに公開されたサーバが受けた攻撃のうち件数が多いものは以下の通りです。

	攻撃対象の脆弱性	CVE番号
1	Dasan GPON home router における認証に関する脆弱性	CVE-2018-10561
2	PHPUnit の Util/PHP/eval-stdin.php における任意の PHP コードを実行される脆弱性	CVE-2017-9841
3	D-link社製ルータのHNAPインターフェースにおける任意のコードが実行できる脆弱性	CVE-2019-10891 CVE-2015-2051
4	MVPower DVR TV-7104HEの認証回避に関する脆弱性	-
5	Microsoft Exchange Server におけるリモートでコードを実行される脆弱性	CVE-2021-26855

2023年5月攻撃検知上位

先月同様、韓国DASAN Networks社製GPONホームルータの認証に関する脆弱性(CVE-2018-10561)を狙った攻撃が最も多く確認されております。

また、比較的新しい脆弱性を標的とした以下のような攻撃も検知がありました。

Outlookにおける特権昇格の脆弱性（CVE-2023-23397）
Airspan社のAirSpot（LTE屋外マルチサービス製品）におけるクロスサイトスクリプティングの脆弱性（CVE-2022-36266）
cURLにおけるHypertext Strict Transport Security（HSTS）バイパスの脆弱性（CVE-2022-43551）
RocketMQ（メッセージング・ストリーミングプラットフォーム）におけるリモートコード実行の脆弱性（CVE-2023-33246）

2.脆弱性情報

2023年6月CVEに公開された脆弱性は2,396件ありました。

今月は悪用が確認されている脆弱性を2つ紹介します。

FortiOS、FortiProxyのSSL-VPN機能におけるヒープバッファオーバーフローの脆弱性（CVE-2023-27997）

Fortinet社製品のFortiGate等に採用されているFortiOS、FortiProxyに搭載されているSSL-VPN機能で脆弱性が見つかりました。

本脆弱性が悪用されると、認証されていないリモートの攻撃者が細工したリクエストを送信し、任意のコードまたはコマンドを実行できる可能性があります。

SSL-VPN機能は、コロナ禍以降リモートワークを目的に利用が増えた事もあり攻撃グループの侵入口として標的にされています。

類似の脆弱性を放置したことが原因で情報漏洩やランサムウェア感染被害を受けた例は多いため、早急に脆弱性を修正したバージョンへのアップデートや回避策を実施することを推奨します。

Fortinet – PSIRT Advisories
IPA – Fortinet 製 FortiOS および FortiProxy の脆弱性対策について(CVE-2023-27997)

データ転送ソリューション「MOVEit Transfer」におけるSQLインジェクションの脆弱性（CVE-2023-35708）

Progress Softwareのデータ転送ソリューション「MOVEit Transfer」にSQLインジェクションの脆弱性が見つかりました。

本脆弱性が悪用されると、認証されていないリモートの攻撃者がMOVEitデータベースを改ざん、開示できる可能性があります。

本脆弱性は既に悪用が確認されており今後被害が拡大する恐れがあるため、影響を受けるバージョンを利用している場合は早急に脆弱性を修正したバージョンへのアップデートや回避策を実施することを推奨します。

Progress Software – MOVEit Transfer Critical Vulnerability – CVE-2023-35036 (June 9, 2023)
Microsoft – CVE-2023-24932 に関連するセキュアブートマネージャーの変更に関するガイダンス

3.セキュリティインシデント

社労士向けクラウドサービスを提供するM社ランサムウェア感染・情報漏えい事故に見る個人情報漏えい届け出義務範囲

2023年6月6日、労士向けクラウドサービスを提供するM社にてランサムウェア感染被害が発生し、M社が提供するサービスの一時停止、情報漏えいの可能性がある旨が発表されました。(6月21日に公開された続報によると個人情報漏えいの痕跡は発見されなかったようです。)

個人情報漏えいの可能性がある場合、個人情報保護委員会にその旨を届け出る義務が個人情報保護法により定められています。

今回の場合は情報漏えい元であるM社に届け出義務が生じるのは想像に難くありませんが、個人情報保護法においてはM社システムを利用していた社労士事務所、社労士事務所に委託していた事業者にも届け出義務が生じます。(最終的には社労士事務所単位の届け出で済む対応に落ち着いたようです。)

社会保険労務に限らず業務を外部に委託する際、必要に応じて個人情報を預けているケースはあると思います。

委託先で情報漏えいが発生した場合は過失の有無にかかわらず委託元にも届け出義務が生じますので、突然届け出義務が生じてしまった場合でも、速やかに対応できるようリスクシナリオの一つとして考慮しておくことが必要となります。

4.その他

ASM（Attack Surface Management）導入ガイダンスの紹介

経済産業省より5月29日に「ASM（Attack Surface Management）導入ガイダンス」が公開されました。

ASMとは、ガイダンス内では「組織の外部（インターネット）からアクセス可能な IT 資産を発⾒し、それらに存在する脆弱性などのリスクを継続的に検出・評価する⼀連のプロセス」とされています。

ガイダンスの内容を要約すると、以下のような作業になるかと思います。

自組織が管理するIT資産のIPアドレス、ドメインの把握
各資産のソフトウェア、バージョン、解放ポートの把握
各資産が持つ脆弱性の管理

昨今のセキュリティインシデントは、インターネット上に公開されたIT資産が侵入口として利用されランサムウェア感染等の被害に至っているケースが多々あります。

専門的な知識に乏しい組織ではIT資産を十分に管理できていない状況が見受けられるため、ASMの導入はセキュリティレベル向上に寄与するものと推察されます。

本ガイダンスには、ASMの基本的な考え方や特徴、実施における検討事項や注意事項に加え、実際の取り組み事例がまとめられているため導入を検討する際の参考になるかと思います。

5.最後に

NECネッツエスアイではセキュリティ運用サービス（SOC）の他、Webアプリケーションファイアウォール、侵入防御システム、各種セキュリティ対策製品の導入支援や、お客様のシステム環境に最適な解決策のご提案を行うセキュリティコンサルティングサービスを提供しております。

お問い合わせフォームからお気軽にご相談ください。

セキュリティに関するお問い合わせ

前のブログ次のブログ

ブログ一覧

ABOUT ME

Sakanishi Kazuma

SOC（Security Operation Center）サービス事業でアナリスト業務に従事。

Recommendこちらの記事もどうぞ

セキュリティ運用サービス月次レポート　2023年10月

2023.11.24今知りたい役立つセキュリティコラム

セキュリティ運用サービス月次レポート　2022年12月

2023.02.20今知りたい役立つセキュリティコラム

セキュリティ運用サービス月次レポート　2023年03月

2023.05.31今知りたい役立つセキュリティコラム

セキュリティ運用サービス月次レポート　2023年09月

2023.10.17今知りたい役立つセキュリティコラム

セキュリティ運用サービス月次レポート　2024年02月

2024.03.26今知りたい役立つセキュリティコラム

セキュリティ運用サービス月次レポート　2024年04月

2024.05.13今知りたい役立つセキュリティコラム