セキュリティ運用サービス月次レポート 2024年2月
坂西寿麻
今知りたいセキュリティの役立つ情報をお届け| NECネッツエスアイ
セキュリティ運用サービス月次レポート 2023年10月
坂西寿麻
1. サイバー攻撃検知状況
2023年10月はセキュリティ運用サービスを提供させていただいているお客様で以下のようなインシデントがありました。
2023年10月は特に外部公開しているサーバに対する攻撃に関する通報が多くなっています。
特に印象的だったのは、10月に公表されたCisco IOS XEの脆弱性(CVE-2023-20198)に対する攻撃で、ここ最近公開された脆弱性の中でも危険性が高かったため、弊社SOCアナリストチームでも注視しておりました。(脆弱性の内容は「2.脆弱性情報」参照)
この脆弱性については10月16日にCiscoによる発表があった後、17日にUTM製品であるPaloAltoがIPSシグネチャの配布を行いました。同じくUTM製品のFortigateがIPSシグネチャを配布したのが19日となるため、今回はPaloAltoの方がより迅速に脆弱性対応を行っているものと思われます。
また、インターネットに公開されたサーバが受けた攻撃のうち件数が多いものは以下の通りです。
| 攻撃対象の脆弱性 | CVE番号 | |
|---|---|---|
| 1 | Dasan GPON home router における認証に関する脆弱性 | CVE-2018-10561 |
| 2 | Zyxel社ファイアウォールにおけるOSコマンドインジェクションの脆弱性 | CVE-2023-28771 |
| 3 | Netis/Netcoreルータの認証に関する脆弱性 | - |
| 4 | PowerDNS Recursor における境界外読み取りに関する脆弱性 | CVE-2018-16855 |
| 5 | PHPUnit の Util/PHP/eval-stdin.php における任意の PHP コードを実行される脆弱性 | CVE-2017-9841 |
これまではDasan GPON home routerに対する攻撃の検知が最多でしたが、Zyxel社ファイアウォールに攻撃が容易な脆弱性が見つかって以降、Zyxel社製品に対する攻撃が増えています。
日本国内でZyxel社製品が導入されている事例は少なく、実際に被害につながる可能性は低いと考えておりますが、Zyxel社製品をご利用のお客様につきましては、最新のファームウェアへのアップデートの適用をおすすめいたします。
2.脆弱性情報
2023年10月各公的機関から注意喚起が行われた脆弱性は以下の通りです。太字の行は筆者注目の脆弱性です。
| ベンダ | 製品 | 脆弱性番号 | 概要 | リファレンス | 注意喚起している組織 |
|---|---|---|---|---|---|
| Microsoft Corporation | Microsoft 製品 | CVE-2023-41763 CVE-2023-36563 CVE-2023-44487等 | 月例セキュリティ更新 | Microsoft 製品の脆弱性対策について(2023年9月) | JPCERT/CC 情報処理推進機構(IPA) |
| Oracle | Oracle Java | CVE-2023-30589等 | 四半期定例パッチ | Oracle Critical Patch Update Advisory - October 2023 | JPCERT/CC 情報処理推進機構(IPA) |
| Citrix | NetScaler ADC(Citrix ADC) NetScaler Gateway(Citrix Gateway) | CVE-2023-4966 CVE-2023-4967 | 認証を回避できる脆弱性 | NetScaler ADC and NetScaler Gateway Security Bulletin for CVE-2023-4966 and CVE-2023-4967 | JPCERT/CC 情報処理推進機構(IPA) |
| Cisco | Cisco IOS XE | CVE-2023-20198 CVE-2023-20273 | Web UI機能における権限昇格の脆弱性 | Cisco IOS XE Software Web UI Privilege Escalation Vulnerability | JPCERT/CC 情報処理推進機構(IPA) |
| 株式会社ノースグリッド | Proself | CVE-2023-45727 | XML外部実体参照(XXE)に関する脆弱性 | [至急]Proselfのゼロデイ脆弱性(CVE-2023-45727)による攻撃発生について | JPCERT/CC |
NetScaler ADC,NetScaler Gatewayに認証を回避できる脆弱性が発見されました。
リモートワーク環境構築などで使われる製品のため、脆弱性を放置した場合インターネット経由で攻撃を受けネットワーク内部に侵入される可能性があります。
Cisco IOS XEはCisco社のネットワーク機器に搭載されているOSですが、細工したHTTPリクエストを送る事で管理者レベルのアカウントを作成できる脆弱性が発見されました。
実質的に認証を回避して管理者権限を奪えることから非常に危険な脆弱性です。
Cisco IOS XEが搭載されている製品を利用しており、尚且つWeb UI機能を有効にしている場合には、設定を無効にするかソフトウェアアップデートによる脆弱性対応をおすすめいたします。
3.セキュリティインシデント
- 日本国内で発生したセキュリティインシデント
当月に日本国内で発生したセキュリティインシデントをリストアップしました。
実際は他にも多くのインシデントが発生していますが、話題性のあったものを中心に取り上げています。
| 公表日 | 発生日 | 発生組織 | 概要 | 内容 |
|---|---|---|---|---|
| 2023/10/5 | 2016年~2021年 | ガラスメーカーN | 技術情報漏えい | 元中国籍の従業員が技術情報を中国企業に横流しし、2億円近い金銭を得ていた。 自社しか作れないはずの製品を中国企業が製造していた事から発覚した。 |
| 2023/10/13 | 9月19日 | 住宅メーカーS | ランサムウェア感染 個人情報漏えい | 業務委託先事業者がランサムウェアに感染し、個人情報が漏えいした。 生産システムサーバーの脆弱性が原因。 |
| 2023/10/17 | 2013年7月から2023年1月 | 電気通信事業者N | 個人情報漏えい | 派遣社員が顧客情報を持ち出し、売却していた。 10年かけておよそ900万件の個人情報がUSBメモリを使って持ち出されていた。 |
| 2023/10/18 | ~2023年7月 | 電機メーカーC | 個人情報漏えい | 提供しているアプリの開発環境が存在するAWSのセキュリティ設定に不備があり、外部から侵入されて情報漏えいした。 |
| 2023/10/19 | 令和 4 年 10 月上旬~令和 5 年 5 月下旬 | 国立科学博物館 | 個人情報を含む電子メールデータ漏えい | 電子メール関連システムの脆弱性が原因で電子メールが漏えいした。 明言されていないが発生時期等から内閣サイバーセキュリティセンター(NISC)や気象庁と同様Barracuda Email Security Gateway(ESG)の脆弱性CVE-2023-2868が悪用されたと推測される。 |
| 2023/10/30 | 9月15日~9月28日 | 国立環境研究所 | 個人情報等漏えい | オンラインストレージ(Proself)のゼロデイ脆弱性を利用され個人情報を含むデータが漏えいした。 攻撃を受けた時点ではProself提供元のノースグリッド社も把握していない脆弱性だった。 ノースグリッド社からは直ちにアップデートが公開されている。 |
9月に引き続き10月も内部職員が機密情報を外部に持ち出す事例が多く発生しております。
9月に取り上げた事例では、退職者が転職先で持ち出した情報を活用しようとして検挙されていましたが、今月取り上げている2つの事例では金銭に変える目的で持ち出しており、より悪質な事例となります。
内部職員による情報持ち出しを防止する事は困難ですが、端末やネットワーク機器のログを取得して発覚後に調査できるようにしたり、Azure Information Protection (AIP)等の機能を活用して機密情報を暗号化する事である程度リスクを緩和できるかと思います。
対策方法については、情報処理推進機構(IPA)が公表しているガイドラインが参考になりますが、検討の進め方やより具体的な対策方法は弊社からご提案させて頂くことも可能ですので、ぜひお気軽にご相談ください。
4.その他
- 公的機関のお知らせまとめ
公的機関が発するセキュリティ関連の注意喚起や定期レポートをまとめた一覧を示します。
筆者独自の調査、取捨選択を行っているため全ての発信情報を網羅しているわけではないことをご了承ください。
| 公表日 | 表題 | 発信元 |
|---|---|---|
| 2023/10/4 | サイバー警察局便りVol.17「ランサムウェアに感染!どうする?」(注意喚起) | 警察庁 |
| 2023/10/17 | JPCERT/CC 活動四半期レポート[2023年7月1日~2023年9月30日] | JPCERT/CC |
| 2023/10/17 | JPCERT/CC インシデント報告対応レポート[2023年7月1日~2023年9月30日] | JPCERT/CC |
| 2023/10/19 | 制御システムセキュリティ情報共有ポータルサイト「ConPaS」のサービス終了のお知らせ | JPCERT/CC |
| 2023/10/19 | ソフトウェア等の脆弱性関連情報に関する届出状況[2023年第3四半期(7月~9月)] | JPCERT/CC |
| 2023/10/23 | サイバー警察局便りVol.18「突然の警告?詐欺でしょ!」(注意喚起) | 警察庁 |
| 2023/10/25 | JPCERT/CC Eyes「フィッシングサイト経由の認証情報窃取とドメイン名ハイジャック事件」 | JPCERT/CC |
| 2023/10/30 | JPCERT/CC インターネット定点観測レポート[2023年7月1日~2023年9月30日] | JPCERT/CC |
| 2023/10/30 | JPCERT/CC Eyes「TSUBAMEレポート Overflow(2023年7~9月)」 | JPCERT/CC |
5.最後に
NECネッツエスアイではセキュリティ運用サービス(SOC)の他、Webアプリケーションファイアウォール、侵入防御システム、各種セキュリティ対策製品の導入支援や、お客様のシステム環境に最適な解決策のご提案を行うセキュリティコンサルティングサービスを提供しております。
お問い合わせフォームからお気軽にご相談ください。
ABOUT ME
SOC(Security Operation Center)サービス事業でアナリスト業務に従事。
