2023年8月はセキュリティ運用サービスを提供させていただいているお客様で以下のような通報を実施しております。
今月は特に注目すべき事例として、社内のサーバが突然不特定多数のパブリックIPに対してSSH接続やPing応答要求を始めるインシデントがありました。
本インシデントも昨月取り上げた事例同様、意図せず公開されたサービスを利用して端末が外部から侵入されマルウェアを設置されるか遠隔操作を受けた影響で発生した可能性があります。
SSH、VNC、リモートデスクトップ等遠隔操作のリスクが高いポートがインターネットに公開されているとブルートフォース等の攻撃を受け乗っ取られる可能性があるため、必要最低限のポートだけがインターネットに公開されるようファイアウォールの設定には十分注意が必要です。
また、インターネットに公開されたサーバが受けた攻撃のうち件数が多いものは以下の通りです。
| 攻撃対象の脆弱性 | CVE番号 | |
|---|---|---|
| 1 | Dasan GPON home router における認証に関する脆弱性 | CVE-2018-10561 |
| 2 | Zyxel社ネットワーク製品のリモートコード実行の脆弱性 | CVE-2023-28771 |
| 3 | PHPUnit の Util/PHP/eval-stdin.php における任意の PHP コードを実行される脆弱性 | CVE-2017-9841 |
| 4 | Microsoft Exchange Server におけるリモートコード実行の脆弱性 | CVE-2021-26855 |
| 5 | MVPower DVR TV-7104HEの認証回避に関する脆弱性 | - |
上記は先月と同様の傾向であり、大きな変化は見受けられません。
今月は、福島第一原発処理水排水に反対するハクティビストがセイコーソリューションズ社製品「SkyBridge」「SkySpider」シリーズの脆弱性(「2.脆弱性情報」参照)に対する攻撃キャンペーンを展開した影響で、多くの当該製品が被害を受けたはずですが、当SOCでは検知がありませんでした。
これは当該製品が企業よりも一般消費者向け製品であることに加え、(おそらく日本国内のローカルな製品であるため)各IPSベンダがシグネチャを作成していないためだと思われます。
2023年8月各公的機関から注意喚起が行われた脆弱性は以下の通りです。太字の行は筆者注目の脆弱性です。
| ベンダ | 製品 | 脆弱性番号 | 概要 | リファレンス | 注意喚起している組織 |
|---|---|---|---|---|---|
| VMware, Inc | VMware Aria Operations for Networks | CVE-2023-34039 CVE-2023-20890 |
SSH認証を回避してCLIにアクセスできる脆弱性 | VMSA-2023-0018 | JPCERT/CC |
| 株式会社ノースグリッド | Proself | CVE-2023-39415 CVE-2023-39416 |
Proselfの認証バイパスおよびリモートコード実行の脆弱性 | [至急]Proselfの脆弱性(CVE-2023-39415、CVE-2023-39416)による攻撃発生について(更新) | JPCERT/CC 情報処理推進機構(IPA) |
| Adobe Inc. | Adobe Acrobat Adobe Acrobat Reader |
CVE-2023-29320等 | Adobe Acrobat および Readerにおいてセキュリティ機能をバイパスされる脆弱性等 | Security update available for Adobe Acrobat and Reader | APSB23-30 | JPCERT/CC 情報処理推進機構(IPA) |
| Microsoft Corporation | Microsoft 製品 | CVE-2023-38180等 | 月例セキュリティ更新 | 2023 年 8 月のセキュリティ更新プログラム (月例) | JPCERT/CC 情報処理推進機構(IPA) |
| セイコーソリューションズ株式会社 | SkyBridgeシリーズ SkySpiderシリーズ |
CVE-2023-22441等 | Web設定画面から任意のコードを実行できる脆弱性 | https://www.seiko-sol.co.jp/archives/78347/ | 情報処理推進機構(IPA) |
特に「Proself」、セイコーソリューションズ社「Skybridge」「SkySpider」は日本国内で利用されている製品のため自組織で利用していないか、利用している場合は最新のバージョンにアップデートされているか注意してください。
※一部で注目されているBarracuda NetworksのEmail Security Gateway Appliance (ESG)の脆弱性CVE-2023-2868は注意喚起が発せられた時期の問題で来月掲載予定です。
当月に日本国内で発生したセキュリティインシデントをリストアップしました。
実際は他にも多くのインシデントが発生していますが、話題性のあったものだけを取り上げています。
| 公表日 | 発生日 | 発生組織 | 概要 | 内容 |
|---|---|---|---|---|
| 2023/8/4 | 2022年10月上旬~2023年6月中旬 | 内閣サイバーセキュリティセンター | 情報漏えい | メール関連システムが攻撃を受けメールの一部が外部に漏えいした可能性がある |
| 2023/8/4 | 2022年6月上旬~2023年5月下旬 | 気象庁 気象研究所 |
情報漏えい | メール関連システムが攻撃を受けメールの一部が外部に漏えいした可能性がある |
| 2023/8/7 | 2020年秋以降 | 日本国防衛ネットワーク | 情報漏えい | 日本の防衛ネットワークが中国軍により侵害されている事が米国メディアで報じられた。 日本政府は侵害の有無は明言していないが、情報漏えいは否定している。 |
| 2023/8/15 | 2023/8/14 | 情報通信事業者G | 個人情報漏えい | 同社が提供する各種サービスのWebサイト改ざんやデータベースの情報が漏えいした。 実質的にパスワードが暗号化されておらず漏えいしたアカウントがダークウェブで取引される、類似サービスを展開する各社がパスワードの変更を呼びかける等一部で話題となった。 |
8月は内閣サイバーセキュリティセンター(NISC)や気象庁の情報漏えい、日本の防衛ネットワークが中国軍により侵害されているとの報道が印象的でした。
NISCや気象庁の情報漏えいはBarracuda NetworksのEmail Security Gateway Appliance (ESG)の脆弱性CVE-2023-2868が悪用されたと噂されています。
この脆弱性は公表及び修正が2023年5月に行われた一方、攻撃は公表より前(2022年10月)に行われています。
脆弱性の修正が配布される前に行われる攻撃はゼロデイ攻撃と呼ばれており、理想的なセキュリティ運用を行っていても防ぐことが難しいため大きな脅威となっています。
公的機関が発するセキュリティ関連の注意喚起や定期レポートをまとめた一覧を示します。
筆者独自の調査、取捨選択を行っているため全ての発信情報を網羅しているわけではありません。
今月各機関のレポートを読む中で筆者が気になった点は、「フィッシングによるものとみられるインターネットバンキングに係る不正送金被害の急増について(注意喚起)」の以下のグラフです。
警察庁-フィッシングによるものとみられるインターネットバンキングに係る不正送金被害の急増について(注意喚起)より
本人以外がオンラインバンキングサービスにログインし不正に送金する事件が過去最高ペースで多発しており、多額の被害が出ている事が分かります。
NECネッツエスアイではセキュリティ運用サービス(SOC)の他、Webアプリケーションファイアウォール、侵入防御システム、各種セキュリティ対策製品の導入支援や、お客様のシステム環境に最適な解決策のご提案を行うセキュリティコンサルティングサービスを提供しております。
お問い合わせフォームからお気軽にご相談ください。
Sakanishi Kazuma
