2024年9月は以下のような種類のインシデントが発生しました。
9月印象的だったインシデントは特にありませんでした、インシデントに至らなかったアラートとしては地理情報共有ソフト「GeoServer」におけるコードインジェクションの脆弱性(CVE-2024-36401)に対する攻撃が新たに散見されました。
当該の脆弱性は7月時点で米国CISA(サイバーセキュリティー・インフラセキュリティー庁)のKEVに登録されており直近で新たに登場した脆弱性と言うわけではありませんが当SOCとしては9月が初の検知でした。
広く使われるソフトウェアでは無いため攻撃の影響を受ける環境は限定的と考えています。
米国CISA(サイバーセキュリティー・インフラセキュリティー庁)が公開しているKEV(悪用が確認されている脆弱性一覧)から2024年9月に追加されたものを抽出しました。JPCERT/CC等の日本国内組織からも注意喚起されている脆弱性は要注意としてマークしています。
| 要注意 | 脆弱性番号 | ベンダ | 製品 | 脆弱性名 |
|---|---|---|---|---|
| CVE-2014-0502 | Adobe | Flash Player | Adobe Flash Player Double Free Vulnerablity | |
| CVE-2013-0648 | Adobe | Flash Player | Adobe Flash Player Code Execution Vulnerability | |
| CVE-2013-0643 | Adobe | Flash Player | Adobe Flash Player Incorrect Default Permissions Vulnerability | |
| CVE-2014-0497 | Adobe | Flash Player | Adobe Flash Player Integer Underflow Vulnerablity | |
| CVE-2024-27348 | Apache | HugeGraph-Server | Apache HugeGraph-Server Improper Access Control Vulnerability | |
| CVE-2023-25280 | D-Link | DIR-820 Router | D-Link DIR-820 Router OS Command Injection Vulnerability | |
| CVE-2021-20124 | DrayTek | VigorConnect | Draytek VigorConnect Path Traversal Vulnerability | |
| CVE-2021-20123 | DrayTek | VigorConnect | Draytek VigorConnect Path Traversal Vulnerability | |
| CVE-2020-15415 | DrayTek | Multiple Vigor Routers | DrayTek Multiple Vigor Routers OS Command Injection Vulnerability | |
| CVE-2016-3714 | ImageMagick | ImageMagick | ImageMagick Improper Input Validation Vulnerability | |
| CVE-2024-8190 | Ivanti | Cloud Services Appliance | Ivanti Cloud Services Appliance OS Command Injection Vulnerability | |
| CVE-2024-8963 | Ivanti | Cloud Services Appliance (CSA) | Ivanti Cloud Services Appliance (CSA) Path Traversal Vulnerability | |
| CVE-2024-7593 | Ivanti | Virtual Traffic Manager | Ivanti Virtual Traffic Manager Authentication Bypass Vulnerability | |
| CVE-2024-7262 | Kingsoft | WPS Office | Kingsoft WPS Office Path Traversal Vulnerability | |
| CVE-2017-1000253 | Linux | Kernel | Linux Kernel PIE Stack Buffer Corruption Vulnerability | |
| ○ | CVE-2024-38217 | Microsoft | Windows | Microsoft Windows Mark of the Web (MOTW) Protection Mechanism Failure Vulnerability |
| ○ | CVE-2024-38014 | Microsoft | Windows | Microsoft Windows Installer Improper Privilege Management Vulnerability |
| ○ | CVE-2024-38226 | Microsoft | Publisher | Microsoft Publisher Protection Mechanism Failure Vulnerability |
| ○ | CVE-2024-43461 | Microsoft | Windows | Microsoft Windows MSHTML Platform Spoofing Vulnerability |
| ○ | CVE-2020-0618 | Microsoft | SQL Server | Microsoft SQL Server Reporting Services Remote Code Execution Vulnerability |
| CVE-2021-4043 | Motion Spell | GPAC | Motion Spell GPAC Null Pointer Dereference Vulnerability | |
| CVE-2020-14644 | Oracle | WebLogic Server | Oracle WebLogic Server Remote Code Execution Vulnerability | |
| CVE-2022-21445 | Oracle | ADF Faces | Oracle ADF Faces Deserialization of Untrusted Data Vulnerability | |
| CVE-2024-6670 | Progress | WhatsUp Gold | Progress WhatsUp Gold SQL Injection Vulnerability | |
| CVE-2019-0344 | SAP | Commerce Cloud | SAP Commerce Cloud Deserialization of Untrusted Data Vulnerability | |
| CVE-2024-40766 | SonicWall | SonicOS | SonicWall SonicOS Improper Access Control Vulnerability |
当月発生したサイバーセキュリティ関連のニュースから筆者が気になったものを紹介します。
EC事業者に対して物流支援サービスなどを提供している兵庫県の事業者が9月13日、ランサムウェア感染及び情報漏えいの可能性を公表しました。
当該事業者の顧客はEC事業者のため、ECサイトを利用した個人の住所や氏名と言った個人情報が漏えいしたようです。
この場合、情報漏えいしたのはあくまで物流支援サービスでありEC事業者に過失はありませんが各EC事業者は情報漏えいを謝罪するリリースを出しています。
このように間接的にセキュリティインシデントに巻き込まれる一種のサプライチェーンリスクは度々顕在化しており、委託元の努力によってリスクを無くす事は極めて難しいと思いますが、委託先のセキュリティ対策の監査、提供情報の内容や保持期間の最小化、インシデント発生時の対応手順の整備などの対策は検討に値するかと思います。
公的機関が発するセキュリティ関連の注意喚起や定期レポートをまとめた一覧を示します。
※筆者独自に取捨選択しています。
| 公表日 | 表題 | 発信元 |
|---|---|---|
| 2024/9/6 | サイバー警察局便りR6Vol.7「ランサムウェア被害は高水準で推移!」 | 警察庁 |
| 2024/9/13 | サイバー警察局便りR6Vol.8「騙されないで!こんなトラブルに注意!」 | 警察庁 |
| 2024/9/17 | パソコンの画面全体に偽のメッセージが表示され操作不能になる手口が増加中 | 情報処理推進機構(IPA) |
| 2024/9/19 | 令和6年上半期におけるインターネット・ホットラインセンターの運用状況について | 警察庁 |
| 2024/9/19 | サイバー警察局便りR6Vol.9「サイバー空間の脅威の情勢について」 | 警察庁 |
| 2024/9/19 | 令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について | 警察庁 |
| 2024/9/26 | JPCERT/CC Eyes「侵入型ランサムウェア攻撃発生時に残るWindowsイベントログの調査」 | JPCERT/CC |
| 2024/9/27 | 産業制御システムを対象としたSIRT(制御系SIRT)の実態に関する調査報告書 - 一般製造業 - | JPCERT/CC |
9月19日警察庁が上半期のサイバー空間で行われた犯罪行為について資料を公開しています。
組織を標的とした攻撃に関する記載としてはやはりランサムウェアが多く見受けられました。
本記事の想定読者層であるシステム管理者が押さえておくべきポイントは以下の点かと思います。
まず、ランサムウェアの感染経路はVPN機器、リモートデスクトップが多いようです。
VPN機器のアカウントや脆弱性管理、リモートデスクトップは原則インターネットに公開しない、システム管理者の管理外で公開されていないか監視する等の対策が取られているか見直すと良いかも知れません。
多くの場合1か月以内に復旧しているようです。また、復旧にかかる費用はケースバイケースですが1億円以内に収まる事が多いようです。
せっかくバックアップを取得していても、ランサムウェアに感染後、復旧できなかったケースも多いようです。バックアップはあくまで故障対策でありランサムウェア対策では無いためセキュリティを考慮していなかった等が考えられます。
※各グラフは「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について」(警察庁)より抜粋
NECネッツエスアイではセキュリティ運用サービス(SOC)の他、Webアプリケーションファイアウォール、侵入防御システム、各種セキュリティ対策製品の導入支援や、お客様のシステム環境に最適な解決策のご提案を行うセキュリティコンサルティングサービスを提供しております。お問い合わせフォームからお気軽にご相談ください。
Sakanishi Kazuma
