セキュリティ運用サービス月次レポート 2024年1月
坂西寿麻
今知りたいセキュリティの役立つ情報をお届け| NECネッツエスアイ
セキュリティ運用サービス月次レポート 2023年9月
坂西寿麻
1. サイバー攻撃検知状況
2023年9月はセキュリティ運用サービスを提供させていただいているお客様で以下のようなインシデントがありました。
2023年5月ごろからサポート詐欺サイトの検知は減少していましたが、9月は件数が増えています。来月以降も同様の傾向となるか注視していく予定です。
また、インターネットに公開されたサーバが受けた攻撃のうち件数が多いものは以下の通りです。
| 攻撃対象の脆弱性 | CVE番号 | |
|---|---|---|
| 1 | Zyxel社ファイアウォールにおけるOSコマンドインジェクションの脆弱性 | CVE-2023-28771 |
| 2 | Dasan GPON home router における認証に関する脆弱性 | CVE-2018-10561 |
| 3 | Netis/Netcoreルータの認証に関する脆弱性 | - |
| 4 | Apache Log4jの任意のコード実行の脆弱性 | CVE-2021-44228 |
| 5 | PHPUnit の Util/PHP/eval-stdin.php における任意の PHP コードを実行される脆弱性 | CVE-2017-9841 |
これまではDasan GPON home routerに対する攻撃の検知が最多でしたが、Zyxel社ファイアウォールに攻撃が容易な脆弱性が見つかって以降、Zyxel社製品に対する攻撃が増えています。
日本国内でZyxel社製品が導入されている事例は少なく、実際に被害につながる可能性は低いと考えておりますが、Zxxel社製品をご利用のお客様につきましては、最新のファームウェアへのアップデートの適用をおすすめいたします。
2.脆弱性情報
2023年9月各公的機関から注意喚起が行われた脆弱性は以下の通りです。太字の行は筆者注目の脆弱性です。
| ベンダ | 製品 | 脆弱性番号 | 概要 | リファレンス | 注意喚起している組織 |
|---|---|---|---|---|---|
| Adobe Inc. | Adobe Acrobat および Reader | CVE-2023-26369 | 任意コード実行の脆弱性 | Adobe Acrobat および Reader の脆弱性対策について(APSB23-34)(CVE-2023-26369) | JPCERT/CC 情報処理推進機構(IPA) |
| Array Networks | Array AGシリーズ | CVE-2022-42897 CVE-2023-28461 | 権限昇格の脆弱性など | Array Networks Security Advisory: Remote Injection Vulnerability in Array VPN Product (ID-119617). Array Networks Security Advisory: Arbitrary File Read Vulnerability in Array AG/vxAG | JPCERT/CC 情報処理推進機構(IPA) |
| Barracuda Networks | Email Security Gateway Appliance (ESG) | CVE-2023-2868 | 細工したメールから任意のコードを実行できる脆弱性 | Barracuda Email Security Gateway Appliance (ESG) Vulnerability | JPCERT/CC |
| Cisco | Cisco Adaptive Security Appliance(ASA) Cisco Firepower Threat Defense(FTD) | CVE-2023-20269 | ブルートフォースが実行できる脆弱性 | Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software Remote Access VPN Unauthorized Access Vulnerability | 筆者独自 |
| Microsoft Corporation | Microsoft 製品 | CVE-2023-36802 CVE-2023-36761等 | 月例セキュリティ更新 | Microsoft 製品の脆弱性対策について(2023年9月) | JPCERT/CC 情報処理推進機構(IPA) |
| トレンドマイクロ | Apex One 2019 Apex One SaaS ウイルスバスタービジネスセキュリティ 10.0 SP1 ウイルスバスタービジネスセキュリティサービス | CVE-2023-41179 | 任意コード実行の脆弱性 | 【注意喚起】弊社製品の脆弱性を悪用した攻撃を確認したことによる修正プログラム適用のお願い(CVE-2023-41179) | JPCERT/CC 情報処理推進機構(IPA) |
Array NetworksのArray AGシリーズは主に社外から社内ネットワークに接続する目的で使われます。当該製品は日本国内でもテレワークを目的として導入されるケースがあり注意が必要です。
Cisco ASA,FTDついても日本国内でも導入している組織は一定数あります。攻撃が成功するとVPN機能を悪用され、侵入される可能性があるため注意が必要です。
3.セキュリティインシデント
- 日本国内で発生したセキュリティインシデント
当月に日本国内で発生したセキュリティインシデントをリストアップしました。
実際は他にも多くのインシデントが発生していますが、話題性のあったものだけを取り上げています。
| 公表日 | 発生日 | 発生組織 | 概要 | 内容 |
|---|---|---|---|---|
| 2023/9/5 | 2023/8/20 | 製造業者K | ランサムウェア感染 | 海外子会社の端末がランサムウェアに感染した。 詳細は現状不明。 |
| 2023/9/15 | 2021年6月~2022年12月 | 不明 | 内部犯による機密情報漏えい | 転職予定の従業員が名刺管理サービスのログイン情報を転職先に漏えいした事で、転職先企業に取引先個人情報が漏えいした。 |
| 2023/9/15 | 2023年7月ごろ | 自動車メーカーM | サイバー攻撃による個人情報漏えい | アプリケーションサーバ経由でディレクトリサーバが侵害され従業員や一部取引先の個人情報が漏えいした。 |
| 2023/9/28 | 2022年7月ごろ | 総合商社K | 内部犯による機密情報漏えい | 転職した従業員が社内システムに不正アクセスし、営業機密を持ち出し転職先に展開した。 |
9月は、退職する従業員が機密情報を持ち出し、転職先で活用した結果、不正競争防止法違反により警察により検挙される事件が多いように感じました。
各事例を個別に確認すると、悪い事だと理解しながらも転職先で評価を得るために手を染めるケースが多いように見受けられます。
このような情報漏えいを完全に防ぐことは難しいですが、逮捕や訴訟のリスクがある事を教育する、無許可のクラウドサービスを利用できなくする、Microsoft Azure Information Protection(AIP)のようなツールを活用し資料を暗号化する等の対策を講じる事である程度リスクを軽減できると思います。
9月に報告された事例でも資料を暗号化していた事で転職先で一部の資料を開けなかったと報道されています。
4.その他
- 公的機関のお知らせまとめ
公的機関が発するセキュリティ関連の注意喚起や定期レポートをまとめた一覧を示します。
筆者独自の調査、取捨選択を行っているため全ての発信情報を網羅しているわけではありません。
| 公表日 | 分類 | 表題 | 発信元 |
|---|---|---|---|
| 2023/9/19 | 資料公開 | JPCERT/CC Eyes「国際カンファレンス参加レポート ~Black Hat USA, DEF CON~」 | JPCERT/CC |
| 2023/9/21 | 資料公開 | 令和5年上半期におけるインターネット・ホットラインセンターの運用状況について | 警察庁 |
| 2023/9/25 | 資料公開 | サイバー警察局便りVol.15「こんなトラブルに巻き込まれたら?」 | 警察庁 |
| 2023/9/25 | 注意喚起 | サイバー警察局便りVol.16「サイバー空間の脅威の情勢:極めて深刻」(注意喚起) | 警察庁 |
| 2023/9/25 | 資料公開 | 「サイバーセキュリティ関係法令Q&Aハンドブック Ver2.0」を公開しました | 内閣サイバーセキュリティセンター(NISC) |
| 2023/9/27 | 注意喚起 | 中国を背景とするサイバー 攻撃グループ BlackTech に よるサイバー攻撃について(注意喚起) | 警察庁 |
| 2023/9/27 | 注意喚起 | 中国を背景とするサイバー攻撃グループBlackTechによるサイバー攻撃について | 内閣サイバーセキュリティセンター(NISC) |
| 2023/9/29 | 資料公開 | IHCへの通報対象に犯罪実行者募集情報(いわゆる「闇バイト」募集情報)が追加されました。 | 警察庁 |
今月はサイバー攻撃グループ「BlackTech」によるサイバー攻撃についての注意喚起が印象的でした。
警察庁、内閣サイバーセキュリティセンターだけでなく米国のFBI、NSA、CISAとも合同で行われており国際的な注意喚起となっています。
注意喚起によるとBlackTechは様々な機器の脆弱性を調査しているとされており、ネットワーク管理者には自組織のどの機器がインターネットに公開されているか確認し、必要に応じて非公開にしたりソフトウェアを最新にするなどの対応が求められます。
このような対応はASM (Attack Surface Management)と呼ばれており、対策につきましては弊社でもご支援が可能となりますので、「WEBフォーム」からお気軽にお問い合わせください。
- ドメインを取得する事の責任
2023年9月、日本国内で比較的広く使われていた金融サービスのドメインがオークションに出品された事がSNSで話題となりました。
日本国内で知らない人はいない規模の大企業が使用するドメインだったため、悪意ある第三者が落札してしまうと不正広告やフィッシングサイトを設置され、詐欺被害が発生する可能性があるとして注目を集めました。
放棄されたドメインを取得する行為はドロップキャッチと呼ばれ、上記の通り悪用される可能性があるため昨今問題となっています。
使わなくなったドメインを手放す事に法的な問題はありませんが、手放した後悪用されれば自組織に関係が無かったとしても手放した事を問題視されブランドを毀損する可能性があります。
そのため、ドメインを取得する際には組織が存続する限り保有し続ける覚悟を持って取得し、取得したドメインが適切に更新されているか管理する事が望ましいです。
また、新たなドメインが必要となった際は基本的には取得済みSLD(2LD)に対する3LD※を発行することが推奨されます。
※ 例:nesic.comに対するwww.nesic.com
5.最後に
NECネッツエスアイではセキュリティ運用サービス(SOC)の他、Webアプリケーションファイアウォール、侵入防御システム、各種セキュリティ対策製品の導入支援や、お客様のシステム環境に最適な解決策のご提案を行うセキュリティコンサルティングサービスを提供しております。
お問い合わせフォームからお気軽にご相談ください。
ABOUT ME
SOC(Security Operation Center)サービス事業でアナリスト業務に従事。
