セキュリティ運用サービス月次レポート 2023年11月

1. サイバー攻撃検知状況

当月発生したインシデントの所感

2023年11月はセキュリティ運用サービスを提供させていただいているお客様で以下のようなインシデントがありました。

特に印象的だったインシデントは、不審なファイル(ランサムウェア)の検知、感染です。

監視中のEDR(Endpoint Detection and Response)にて特定プロセスによる複数ファイルのファイル名変更を検知したため調査したところ、変更後のファイル名からランサムウェアの特徴がみられたため通報を実施しました。

通報後の調査で子会社のネットワーク経由で侵入され感染に至った事が判明しています。

子会社、海外拠点、協力会社と言ったセキュリティレベルが低い部分から侵入するいわゆるサプライチェーン攻撃は枚挙にいとまがないほど多くの被害事例があります。情報システム部門はネットワーク構成を十分に把握したうえで対策を講じる必要があります。

当月検知した攻撃についての所感

Citrix ADCおよびCitrix Gatewayの脆弱性（CVE-2023-4966）

本脆弱性については先月のレポートで注意喚起しておりましたが、実際に攻撃を検知しました。

当SOCで検知した範囲では以下のIPアドレスから攻撃が行われていました。
3[.]236.108.204
44[.]200.150.178

2.脆弱性情報

米国CISA(サイバーセキュリティー・インフラセキュリティー庁)が公開しているKEV(悪用が確認されている脆弱性一覧)から2023年11月に追加されたものを抽出しました。

悪用が確認されている事から緊急性の高い脆弱性と考えられる一方で日本国内では採用が稀なソフトウェアが多いため、JPCERT/CC等の日本国内組織からも注意喚起されている脆弱性は要注意としてマーク(〇)しています。

要注意	脆弱性番号	ベンダ	製品	脆弱性名
	CVE-2023-46604	Apache	ActiveMQ	Apache ActiveMQ Deserialization of Untrusted Data Vulnerability
	CVE-2023-22518	Atlassian	Confluence Data Center and Server	Atlassian Confluence Data Center and Server Improper Authorization Vulnerability
	CVE-2023-4911	GNU	GNU C Library	GNU C Library Buffer Overflow Vulnerability
	CVE-2023-6345	Google	Skia	Google Skia Integer Overflow Vulnerability
	CVE-2023-29552	IETF	Service Location Protocol (SLP)	Service Location Protocol (SLP) Denial-of-Service Vulnerability
	CVE-2023-36844	Juniper	Junos OS	Juniper Junos OS EX Series PHP External Variable Modification Vulnerability
	CVE-2023-36845	Juniper	Junos OS	Juniper Junos OS EX Series and SRX Series PHP External Variable Modification Vulnerability
	CVE-2023-36846	Juniper	Junos OS	Juniper Junos OS SRX Series Missing Authentication for Critical Function Vulnerability
	CVE-2023-36847	Juniper	Junos OS	Juniper Junos OS EX Series Missing Authentication for Critical Function Vulnerability
	CVE-2023-36851	Juniper	Junos OS	Juniper Junos OS SRX Series Missing Authentication for Critical Function Vulnerability
〇	CVE-2023-36584	Microsoft	Windows	Microsoft Windows Mark of the Web (MOTW) Security Feature Bypass Vulnerability
〇	CVE-2023-36033	Microsoft	Windows	Microsoft Windows Desktop Window Manager (DWM) Core Library Privilege Escalation Vulnerability
〇	CVE-2023-36025	Microsoft	Windows	Microsoft Windows SmartScreen Security Feature Bypass Vulnerability
〇	CVE-2023-36036	Microsoft	Windows	Microsoft Windows Cloud Files Mini Filter Driver Privilege Escalation Vulnerability
	CVE-2020-2551	Oracle	Fusion Middleware	Oracle Fusion Middleware Unspecified Vulnerability
	CVE-2023-49103	ownCloud	ownCloud graphapi	ownCloud graphapi Information Disclosure Vulnerability
	CVE-2023-1671	Sophos	Web Appliance	Sophos Web Appliance Command Injection Vulnerability
	CVE-2023-47246	SysAid	SysAid Server	SysAid Server Path Traversal Vulnerability

2023年11月注意すべき脆弱性情報

KVEに掲載されたもの、されなかったもの合わせ2023年11月は注目を集めるような脆弱性は無かったように思います。

引き続き注意すべき脆弱性が現れないか注視して参ります。

3.セキュリティインシデント

日本国内で発生したセキュリティインシデント

当月に日本国内で発生したセキュリティインシデントをリストアップしました。

実際は他にも多くのインシデントが発生していますが、話題性のあったものを中心に取り上げています。

公表日	発生日	発生組織	概要	内容
2023/11/24	2020年5月～2023年3月	池袋パスポートセンター	個人情報等漏えい	旅券発給窓口業務を行っている委託先企業の従業員(中国籍)が、旅券申請者の戸籍謄本等をコピーしたり付箋に書き写す等して持ち帰り、１９２０人分の個人情報が漏えいした。事件後、旅券発給窓口担当者は日本国籍所有者に限定するよう外務省から通知が出された。
2023/11/27	2023年10月	SNS運営事業者L	個人情報等漏えい	業務委託している国外関連会社のPCがマルウェアに感染し、従業員、取引先、顧客の個人情報が併せて４４万件流出した。
2023/11/29	2023年夏ごろ	JAXA	個人情報等漏えい	2023年5月ごろ発見された脆弱性(詳細不明)が悪用されてネットワークに侵入され、職員の個人情報が漏えいした。ロケット等の機密性の高い情報は漏えいしていない。

2023年11月セキュリティインシデント

4.その他

公的機関のお知らせまとめ

公的機関が発するセキュリティ関連の注意喚起や定期レポートをまとめた一覧を示します。

筆者独自の調査、取捨選択を行っているため全ての発信情報を網羅しているわけではないことをご了承ください。

公表日	表題	発信元
2023/11/2	サイバー警察局便りVol.19「ノーセキュリティ、ノーテレワーク!」（注意喚起）	警察庁
2023/11/10	JPCERT/CC Eyes「RFC 9116「security.txt」の紹介（2022年8月）の続報」	JPCERT/CC
2023/11/16	日本の組織を標的にした外部からアクセス可能なIT資産を狙う複数の標的型サイバー攻撃活動に関する注意喚起	JPCERT/CC
2023/11/30	ICS脆弱性分析レポート — 2023年度上期 —	JPCERT/CC