クラウドセキュリティ
富士通「FENICS」のネットワーク機器に不正な通信 多方面に影響か ~2023年1月の気になるセキュリティニュース~
脆弱性診断について詳しくご紹介
「LANSCOPE プロフェッショナルサービス」は、最新の攻撃手法と最適な対応策を探求するセキュリティプロフェッショナルチームがサービスを提供しています。
中小企業の情シス1,000人に聞いた
「クラウドサービスのセキュリティ対策」
実態調査結果を発表!
急増中のクラウド経由の情報漏洩にどう対策している?クラウドサービスを利⽤している企業様の対策状況や課題を調査しました。
トピックス
富士通株式会社は、同社が提供する法人向けインターネット回線サービス「FENICSインターネットサービス」を構成する一部のネットワーク機器で、外部へ不正な通信が行われていたことを発表しました[1]。富士通や同グループ会社が提供する「FJcloud-O」、「ニフクラレンタルサーバ」、「富士通ITマネージメントセンター」などでも問題の回線を利用していることから、多方面に影響が広がっています[2]。
「FENICS」の不正通信、クラウドサービスにも影響 複数省庁にサイバー攻撃被害か
会計事務所や地方公共団体向けに情報サービスを提供する株式会社TKCは、今回の「FENICS」の問題と同じネットワーク機器を会員向けメールサービスで利用しており、一部の情報が流出した可能性があることを明らかにしました[3]。
ISMAP※に登録され、複数の省庁が利用している富士通のクラウドサービス「FJcloud-O」でも不正な通信が確認されており、外部から通信情報を盗み取られた可能性があるとのことです[4]。
同サービスの利用者数や被害者数、不正な通信の原因、情報漏洩の有無については、「セキュリティに関する事案」とし、詳細の発表はなされていません。
同社では、2022年5月にもFJcloud-Oやニフクラレンタルサーバで利用するネットワーク機器の脆弱性を突かれる不正アクセスがあり、侵害された痕跡が見つかっています。
※ISMAP:政府情報システムのためのセキュリティ評価制度
主なマルウェア・不正アクセス関連
アフラック/チューリッヒ 委託先サーバーに不正アクセス 計約200万人超の個人情報漏洩
国内でがん保険を手がけるアフラック生命保険株式会社と、自動車保険を販売するチューリッヒ保険会社は、保険加入者の個人情報の漏洩があったことを発表しました[5][6]。
両社は、いずれも顧客向けダイレクトメールから視聴できる動画の配信業務を外部業者に委託しており、この業者が利用するサーバーに対して不正アクセスがあった可能性があるとしています。アフラックでは約132万人、チューリッヒでは約76万人の個人情報が漏洩した可能性があるとのことです[7]。
北関東マツダ 委託先サーバーに不正アクセス 約5万件の個人情報漏洩
株式会社北関東マツダは、個人情報の管理などを委託する企業のサーバーが不正アクセスを受け、少なくとも約5万件の個人情報が漏洩したおそれがあると発表しました[8]。
同社のWebサイトをハッキングしたとするメールが一部の顧客および関係者に送信されており、同社では本文中のURLをクリックせず、速やかにメールを削除するよう呼びかけています[9]。
TOEIC申し込みサイトへ不正アクセス
一般財団法人国際ビジネスコミュニケーション協会は、英語技能試験「TOEIC」の申込サイトへ不正アクセスが発生したことを発表しました[10]。同会以外のサービスから入手したユーザーID・パスワードを用いたパスワードリスト型攻撃によるものとしています。
住所氏名や秘密の質問と回答等の情報が不正に閲覧された可能性があるとし、同会は会員に対し、パスワードの変更を呼び掛けています[11]。
主な脆弱性情報
該当する製品を利用されている場合は、システムへの影響などに鑑み、対策などを速やかに実施することが推奨されています。
デジタルアーツ「m-FILTER」における認証不備の脆弱性
デジタルアーツ株式会社が提供するメールセキュリティ製品「m-FILTER」において、 メール送信時の認証不備の脆弱性情報が公開されました[12]。脆弱性が悪用されると、第三者がメールを送信するための踏み台として利用されたり、送信元の IP アドレスがブラックリストに登録され、メールを送信できなくなるおそれがあるとしています。本脆弱性を悪用した攻撃が既に確認されており、同社では注意を呼びかけています。
Oracle Java の脆弱性対策について(CVE-2023-21835等)
Oracle社から、Java SEに関する脆弱性についての情報が公開されました。同社からは、複数の製品に対するクリティカルパッチアップデートに関する情報を公開されており、攻撃された場合の影響が大きい脆弱性であることがアナウンスされているため、早急に修正プログラムを適用するよう呼びかけています[13]。
その他、政府・業界動向など
個人情報漏洩・紛失事故 2年連続最多を更新
株式会社東京商工リサーチは、2022年に個人情報の漏洩・紛失を公表した企業についての調査結果を発表しました[14]。調査対象は上場企業とその子会社で、情報漏洩・紛失事故は165件(前年比20.4%増)、漏洩した情報は約592万人分(前年比3.0%増)となり、いずれも過去最高となりました。漏洩・紛失の原因としては「ウイルス感染・不正アクセス」が最も多く、全体の半数以上(55.1%)となっています。
セキュリティ関連費用 可視化ツールの公開(IPA)
IPAは、企業のセキュリティ担当者が、セキュリティ対策を遂行するために経営陣に対して予算取りを行う際の「セキュリティ関連費用の可視化」を目的としたツールを公開しました[15]。
本ツールを利用すると「10大脅威2022」 に関わる事象が発生した場合の想定損失額や、セキュリティ製品やサービスの防御/検知機能がどのように発揮されるか、またそうした製品の国内での導入状況の提示などが可能になるとしています。
[出典]
- [1]FENICSインターネットサービスに関するネットワーク機器からの不正な通信について(2022/12/23)-富士通株式会社-
- [2]富士通のネット回線サービスで不正通信 – クラウドやMSSなどにも影響(2023/1/13)-SecurityNEXT
- [3]TKC会員事務所向けに提供しているメールサービスが不正アクセスを受けた可能性のご報告(2022/12/23)-TKCグループ-
- [4]複数省庁使用の富士通クラウド、サイバー攻撃被害か(2022/12/28)-日本経済新聞-
- [5]個人情報流出に関するお詫びとお知らせ(2023/1/10)-アフラック生命保険株式会社-
- [6]個人情報漏えいに関するお詫びとお知らせ(2023/1/10)-チューリッヒ保険会社-
- [7]「アフラック生命保険」と「チューリッヒ保険」で情報漏えい(2023/1/10)-NHK-
- [8]個人情報流出に関するお詫びとお知らせ(2023/1/18)-株式会社北関東マツダ-
- [9]北関東マツダから約5万件の個人情報が流出か、委託先サーバーに不正アクセス(2023/1/20)-日経XTECH-
- [10]TOEIC? 申込サイトへの不正アクセスのご報告およびアカウント管理に関するお願い(20231/1/11)-IIBC 一般財団法人 国際ビジネスコミュニケーション協会-
- [11]「TOEIC申込サイト」にパスワードリスト型攻撃、住所氏名や秘密の質問と回答他が閲覧された可能性(20231/1/13) -ScanNetSecurity-
- [12]JVN#55675303 デジタルアーツ製 m-FILTER における認証不備の脆弱性(2023/01/06)-JVN-
- [13]Oracle Java の脆弱性対策について(CVE-2023-21835等)(2023/1/18)-IPA-
- [14]個人情報漏えい・紛失事故 2年連続最多を更新 件数は165件、流出・紛失情報は592万人分 ~ 2022年「上場企業の個人情報漏えい・紛失事故」調査 ~(2023/1/19)-株式会社東京商工リサーチ-
- [15]セキュリティ関連費用の可視化(2023/1/20)-IPA-
最後に
本記事は、2023年1月に報道されたセキュリティニュースをもとに、特に注目するセキュリティ情報を掲載しています。
注目するセキュリティニュースをまとめて掲載することで、読者の皆さまがよりセキュリティに興味を持ち、日々の対策にご活用いただくきっかけとなれば幸いです。
脆弱性診断について詳しくご紹介
「LANSCOPE プロフェッショナルサービス」は、最新の攻撃手法と最適な対応策を探求するセキュリティプロフェッショナルチームがサービスを提供しています。
中小企業の情シス1,000人に聞いた
「クラウドサービスのセキュリティ対策」
実態調査結果を発表!
急増中のクラウド経由の情報漏洩にどう対策している?クラウドサービスを利⽤している企業様の対策状況や課題を調査しました。
関連する記事