2024年10月は以下のような種類のインシデントが発生しました。
10月は一部のお客様でトロイの木馬感染と思われるインシデントが発生しました。
インシデントが発生したお客様ではウイルス対策ソフトが導入されていましたが検知のみでブロックされていませんでした。
セキュリティソフト導入に当たってはシステム管理者が設定を管理し、全社共通の基準で運用してガバナンスを確保する事が重要かと思います。
米国CISA(サイバーセキュリティー・インフラセキュリティー庁)が公開しているKEV(悪用が確認されている脆弱性一覧)から2024年10月に追加されたものを抽出しました。JPCERT/CC等の日本国内組織からも注意喚起されている脆弱性は要注意としてマークしています。
| 要注意 | 脆弱性番号 | ベンダ | 製品 | 脆弱性名 |
|---|---|---|---|---|
| CVE-2024-20481 | Cisco | Adaptive Security Appliance (ASA) and Firepower Threat Defense (FTD) | Cisco ASA and FTD Denial-of-Service Vulnerability | |
| ○ | CVE-2024-23113 | Fortinet | Multiple Products | Fortinet Multiple Products Format String Vulnerability |
| ○ | CVE-2024-47575 | Fortinet | FortiManager | Fortinet FortiManager Missing Authentication Vulnerability |
| CVE-2024-29824 | Ivanti | Endpoint Manager (EPM) | Ivanti Endpoint Manager (EPM) SQL Injection Vulnerability | |
| CVE-2024-9380 | Ivanti | Cloud Services Appliance (CSA) | Ivanti Cloud Services Appliance (CSA) OS Command Injection Vulnerability | |
| CVE-2024-9379 | Ivanti | Cloud Services Appliance (CSA) | Ivanti Cloud Services Appliance (CSA) SQL Injection Vulnerability | |
| ○ | CVE-2024-43573 | Microsoft | Windows | Microsoft Windows MSHTML Platform Spoofing Vulnerability |
| ○ | CVE-2024-43572 | Microsoft | Windows | Microsoft Windows Management Console Remote Code Execution Vulnerability |
| ○ | CVE-2024-30088 | Microsoft | Windows | Microsoft Windows Kernel TOCTOU Race Condition Vulnerability |
| ○ | CVE-2024-38094 | Microsoft | SharePoint | Microsoft SharePoint Deserialization Vulnerability |
| CVE-2024-9680 | Mozilla | Firefox | Mozilla Firefox Use-After-Free Vulnerability | |
| CVE-2024-43047 | Qualcomm | Multiple Chipsets | Qualcomm Multiple Chipsets Use-After-Free Vulnerability | |
| CVE-2024-37383 | Roundcube | Webmail | RoundCube Webmail Cross-Site Scripting (XSS) Vulnerability | |
| CVE-2024-9537 | ScienceLogic | SL1 | ScienceLogic SL1 Unspecified Vulnerability | |
| CVE-2024-28987 | SolarWinds | Web Help Desk | SolarWinds Web Help Desk Hardcoded Credential Vulnerability | |
| CVE-2024-45519 | Synacor | Zimbra Collaboration | Synacor Zimbra Collaboration Command Execution Vulnerability | |
| CVE-2024-40711 | Veeam | Backup & Replication | Veeam Backup and Replication Deserialization Vulnerability |
当月発生したサイバーセキュリティ関連のニュースから筆者が気になったものを紹介します。
国立遺伝学研究所が10月22日、ロシア系ハッカー集団から機密情報を公開する代わりに身代金の要求する旨の脅迫を受けた事を公表しました。
国立遺伝学研究所によるとハッカー集団が主張する機密情報は公開データであり機密性は無いとの事です。
脅迫を受けた事に焦らず、情報漏えいが事実なのか、取り合うに値するのかを冷静に見極める事が重要だと感じました。
また、このような事例はあまり聞いた事が無いので、新たな脅迫パターンと考えるべきか勘違いしたハッカー集団の稚拙な犯行だったのか興味があります。
10月3日国内喫茶店チェーンのECサイトで氏名やクレジットカード番号を含む個人情報が漏えいしたと公表されました。
ECサイトの決済に利用していたペイメントアプリケーションが改ざんされた事で漏えいに至ったようです。
改ざんに至る原因は事例によりさまざまで今回の件でも明示的に公開されていませんが、一般的にはクロスサイトスクリプティング等の脆弱性を利用して標的のサービスにスクリプトを埋め込み、決済処理が行われた際にクレジットカード等の情報を攻撃者に横流しするケースが多いようです。
改ざんさせない、改ざんされても気が付くには以下のような対策が考えられます。
公的機関が発するセキュリティ関連の注意喚起や定期レポートをまとめた一覧を示します。
※筆者独自に取捨選択しています。
| 公表日 | 表題 | 発信元 |
|---|---|---|
| 2024/10/1 | 企業・組織からのインシデント等に関する相談/届出/情報提供窓口の案内ページを公開しました | 情報処理推進機構(IPA) |
| 2024/10/9 | 「情報セキュリティサービス基準適合サービスリスト」にサービスを追加しました | 情報処理推進機構(IPA) |
| 2024/10/10 | サイバーセキュリティお助け隊サービス第10回適合審査結果を公表いたしました | 情報処理推進機構(IPA) |
| 2024/10/15 | スマート工場のセキュリティリスク分析調査」調査報告書 第2版 を公開しました | 情報処理推進機構(IPA) |
| 2024/10/16 | 脆弱性対策情報データベースJVN iPediaの登録状況 [2024年第3四半期(7月~9月)]を公開しました | 情報処理推進機構(IPA) |
| 2024/10/16 | CyberNewsFlash「Check Point Software Technologies社製品のVPN機能における情報漏えいの脆弱性(CVE-2024-24919)について」 | JPCERT/CC |
| 2024/10/17 | 「ソフトウェア等の脆弱性関連情報に関する届出状況[2024年第3四半期(7月~9月)]」を公開しました | 情報処理推進機構(IPA) |
| 2024/10/17 | JPCERT/CC 活動四半期レポート[2024年7月1日~2024年9月30日] | JPCERT/CC |
| 2024/10/17 | JPCERT/CC インシデント報告対応レポート[2024年7月1日~2024年9月30日] | JPCERT/CC |
| 2024/10/17 | ソフトウェア等の脆弱性関連情報に関する届出状況[2024年第3四半期(7月~9月)] | JPCERT/CC |
| 2024/10/22 | 情報セキュリティ安心相談窓口の相談状況[2024年第3四半期(7月~9月)]を公開しました | 情報処理推進機構(IPA) |
| 2024/10/25 | サイバー警察局便りR6Vol.10「サポート詐欺被害が発生!身近に潜む罠にご注意!!」 | 警察庁 |
| 2024/10/25 | サイバー警察局便りR6Vol.11「第4回カウンターランサムウェア・イニシアティブ会合開催!」 | 警察庁 |
| 2024/10/29 | サイバー警察局便りR6Vol.12「Fortinet社製品を利用している皆様へ」 | 警察庁 |
上記の中にはありませんが、一般社団法人日本シーサート評議会が「脆弱性管理の手引書 システム管理者編1.0版」を公開しました。
昨今のアプリケーションは複数のOSSを組み合わせるなどして成り立っているものも多く、Java等の汎用性の高いOSSは意図せず使っている事も多いかと思いますが、その場合Javaの脆弱性が発見された際に対策を施す必要があるにもかかわらず気が付かないケースが起こりえます。
このような問題に対処するためソフトウェアの構成を管理する「SBOM」(Software Bill of Materials)の必要性が高まっています。
NECネッツエスアイではセキュリティ運用サービス(SOC)の他、Webアプリケーションファイアウォール、侵入防御システム、各種セキュリティ対策製品の導入支援や、お客様のシステム環境に最適な解決策のご提案を行うセキュリティコンサルティングサービスを提供しております。お問い合わせフォームからお気軽にご相談ください。
Sakanishi Kazuma
