2023年7月はセキュリティ運用サービスを提供させていただいているお客様で以下のような通報を実施しております。
今月は特に注目すべき事例として、意図せず公開されたサービスを利用して端末が外部から侵入されマルウェアのダウンロードを試行した事例がありました。
SSH、VNC、リモートデスクトップ等遠隔操作のリスクが高いポートがインターネットに公開されているとブルートフォース等の攻撃を受け乗っ取られる可能性があるため、必要最低限のポートだけがインターネットに公開されるようファイアウォールの設定には十分注意が必要です。
また、昨年から急増していたサポート詐欺サイトの直近の検知状況は以下の通りです。
また、インターネットに公開されたサーバが受けた攻撃のうち件数が多いものは以下の通りです。
| 攻撃対象の脆弱性 | CVE番号 | |
|---|---|---|
| 1 | Dasan GPON home router における認証に関する脆弱性 | CVE-2018-10561 |
| 2 | PHPUnit の Util/PHP/eval-stdin.php における任意の PHP コードを実行される脆弱性 | CVE-2017-9841 |
| 3 | D-link社製ルータのHNAPインターフェースにおける任意のコードが実行できる脆弱性 | CVE-2019-10891 CVE-2015-2051 |
| 4 | MVPower DVR TV-7104HEの認証回避に関する脆弱性 | - |
| 5 | Microsoft Exchange Server におけるリモートでコードを実行される脆弱性 | CVE-2021-26855 |
先月同様、韓国DASAN Networks社製GPONホームルータの認証に関する脆弱性(CVE-2018-10561)を狙った攻撃が最も多く確認されております。
また、件数は少ないものの比較的新しい脆弱性を標的とした以下のような攻撃も検知がありました。
2023年7月新たに登録された脆弱性は2,311件ありました。
今月は悪用が観測されている危険性の高い脆弱性3件を紹介します。
【参考サイト】株式会社ノースグリッド – [至急]Proselfの脆弱性(CVE-2023-39415、CVE-2023-39416)による攻撃発生について
株式会社ノースグリッド社が提供しているオンラインストレージ構築ソフトウェアProselfに脆弱性が見つかりました。
本脆弱性を悪用されると任意のコードが実行可能になり情報漏えい等の被害につながる可能性があるためご利用の場合はバージョンアップをご検討ください。
筆者調べでは日本国内にProselfサーバは600IP程度存在していました。
Cloud Software Group社製品のNetScaler ADC(旧Citrix ADC)、NetScaler Gateway(旧Citrix Gateway)にリモートコード実行の脆弱性が見つかりました。
本脆弱性が悪用されると認証されていないリモートの攻撃者が細工したリクエストを送信し、任意のコードを実行できる可能性があります。
昨今、VPN機器を侵入口としたセキュリティインシデントが度々発生しているためご利用の場合は早めのバージョンアップをご検討ください。
【参考サイト】ivanti – CVE-2023-35081 – Remote Arbitrary File Write
Ivanti社Ivanti Endpoint Manager Mobile(旧MobileIron Core)でディレクトリトラバーサルの脆弱性が見つかりました。
本脆弱性が悪用されると認証されていないリモートの攻撃者がAPI経由で登録情報を読み込んだり設定を変更する等の不正アクセスができる可能性があります。
弊社SOCをご利用のお客様の中でも当該製品を利用されている事例が見受けられたため本脆弱性を取り上げました。
当月日本国内で発生した比較的規模の大きいセキュリティインシデントをリストアップしました。
筆者独自調査のため全てのセキュリティインシデントを網羅できているわけではありません。
| 公表日 | 発生日 | 発生組織 | 概要 | 侵入経路 | 内容 |
|---|---|---|---|---|---|
| 2023/7/5 | 2023/7/5 | 物流システムN | ランサムウェア | VPN装置 | VPN装置の脆弱性から内部に侵入されランサムウェアに感染して事業が一時停止した。 社会インフラに近い事業のためマスメディアでも報道された。 |
| 2023/7/7 | 2023/7/5 | 物流事業者F | 迷惑メール送信 | ー | メールサーバの設定不備による踏み台サーバ化 |
| 2023/7/10 | 2023/7/7 | インターネットメディアK | Webサイト改ざん | ー | 運営しているWebサイトに広告を提供している事業者が不適切な広告を表示した結果、訪問者が詐欺サイトに転送された。 |
| 2023/7/14 | 2023/7/6 | 電機メーカーA | 個人情報漏えい | 外部公開サーバ? | 社内システムに侵入され従業員約1万6000人の氏名、メールアドレス等が漏えいした。 |
| 2023/7/18 | 2022年11月11日 ~2023年1月13日 |
家具製造販売事業者T | 個人情報漏えい | ー | ECサイトの決済システムが改ざんされ決済情報が外部に漏えいした。 |
| 2023/7/25 | 2023年3月1日 ~2023年3月14日 |
人形製造販売事業者T | 個人情報漏えい | ー | ECサイトの決済システムが改ざんされ決済情報が外部に漏えいした。 |
7月はECサイトで2件決済システムが改ざんされ、決済情報が外部に漏えいしています。
7月17日、米国国防総省が本来は米軍のドメイン「.mil」に送られるはずのメールの一部が設定ミスによりマリ共和国のドメイン「.ml」に送られていた事を認めました。発見者によると少なくとも2014年から設定ミスがあったようです。
一般的にメールアドレスの設定を誤ると配送失敗しますが、悪意ある攻撃者が当該の.mlドメインを受信する環境を用意していた場合、誤送信されたメールが攻撃者の手に渡ってしまいます。
自動でメールを送るシステムにメールアドレスを登録する際は手動でメールを送るとき以上に注意をする必要がある事が分かる事例かと思います。
公的機関が発するセキュリティ関連の注意喚起や定期レポートをまとめた一覧を示します。
筆者独自の調査、取捨選択を行っているため全ての発信情報を網羅しているわけではありません。
| 公表日 | 分類 | 表題 | 発信元 |
|---|---|---|---|
| 2023/7/6 | 資料公開 | JPCERT/CC Eyes「DNSの不正使用手法をまとめた技術ドキュメントの公開」 | JPCERT/CC |
| 2023/7/10 | 注意喚起 | Windows Server 2012 および 2012 R2 のサポート終了に伴う注意喚起 | 情報処理推進機構(IPA) |
| 2023/7/11 | 注意喚起 | 会社や組織のパソコンにセキュリティ警告が出たら、管理者に連絡! | 情報処理推進機構(IPA) |
| 2023/7/12 | 資料公開 | JPCERT/CC Eyes「開発者のWindows、macOS、Linux環境を狙ったDangerousPasswordによる攻撃」 | JPCERT/CC |
| 2023/7/13 | 定期レポート | JPCERT/CC インシデント報告対応レポート[2023年4月1日~2023年6月30日] | JPCERT/CC |
| 2023/7/13 | 定期レポート | JPCERT/CC 活動四半期レポート[2023年4月1日~2023年6月30日] | JPCERT/CC |
| 2023/7/14 | 注意喚起 | サイバー警察局便りVol.10「Fortinet社製品を利用している皆様へ」(注意喚起) | 警察庁 |
| 2023/7/18 | 注意喚起 | サイバー警察局便りVol.11「DMARCでフィッシングメール対策!」(注意喚起) | 警察庁 |
| 2023/7/25 | 資料公開 | 「情報セキュリティ白書2023」販売開始 | 情報処理推進機構(IPA) |
| 2023/7/31 | 資料公開 | 「スマート工場化でのシステムセキュリティ対策事例 調査報告書」を公開しました | 情報処理推進機構(IPA) |
今月各機関のレポートを読む中で筆者が気になった点は、「JPCERT/CC 活動四半期レポート[2023年4月1日~2023年6月30日]」の以下の部分です。
2023年2月総務省などからクレジットカード会社などにDMARCの導入が要請されていますが、本格的な導入に至った国内事業者は多くないようです。(所謂ビックテックらしく)先駆けて導入したAmazonで一定の効果を上げているのであれば国内事業者での導入も弾みがつくかもしれません。
NECネッツエスアイではセキュリティ運用サービス(SOC)の他、Webアプリケーションファイアウォール、侵入防御システム、各種セキュリティ対策製品の導入支援や、お客様のシステム環境に最適な解決策のご提案を行うセキュリティコンサルティングサービスを提供しております。
お問い合わせフォームからお気軽にご相談ください。
Sakanishi Kazuma
