クラウドセキュリティ

Apple社、初の「緊急セキュリティ対応」。
利用ユーザーは速やかにアップデートを。
~2023年5月の気になるセキュリティニュース~

Apple社、初の「緊急セキュリティ対応」。 <br>利用ユーザーは速やかにアップデートを。<br>~2023年5月の気になるセキュリティニュース~

目 次

トピックス
主なマルウェア・不正アクセス関連
主要なOS、ミドルウェアにおけるインシデント
その他、政府・業界動向など
最後に

脆弱性診断について詳しくご紹介

「LANSCOPE
プロフェッショナルサービス」は、最新の攻撃手法と最適な対応策を探求するセキュリティプロフェッショナルチームがサービスを提供しています。

資料をダウンロードする《無料》

「クラウドサービスのセキュリティ対策」実態調査

中小企業の情シス1,000人に聞いた

「クラウドサービスのセキュリティ対策」実態調査結果を発表!

急増中のクラウド経由の情報漏洩にどう対策している?クラウドサービスを利⽤している企業様の対策状況や課題を調査しました。

資料をダウンロードする《無料》

トピックス

Apple社は、「緊急セキュリティ対応」として、iPhone・iPad・Mac向けにセキュリティ修正のアップデートをリリースしました。同社初の「緊急セキュリティ対応」となり、利用ユーザーに対し、速やかなアップデートの適用を呼びかけています[1]

Apple社、初の「緊急セキュリティ対応」をリリース

「緊急セキュリティ対応」とは、Apple社がiOS(iPhoneのオペレーティングシステム)において発見された脆弱性やセキュリティ上の問題に対処するためにリリースされるアップデートを指します。ソフトウェアアップデートよりも早く、セキュリティに関する改善を図り、重要なシステムライブラリに対する改善や、脆弱性を悪用されかねない状況であったり、被害が報告されている問題に対処するものとしています。
アップデートの詳細については公開されていませんが、同社では速やかなアップデートを呼びかけています。

主なマルウェア・不正アクセス関連

新潟県の業務委託先 公文書データ10万件消失、人為的ミスが原因か

新潟県の公文書管理システムに保存されていた公文書データ10万件が消失した件において、同データを管理していた委託先のシステム保守会社は、約7万7,000件以上のファイルを復旧できなかったと発表しました[2]
。同社が開発・保守を手掛ける公文書管理システムに、ファイルの拡張子を小文字にする新機能を追加したところ、システム内の不要なファイルを削除するプログラムの削除基準に合致し、データが消失したとしています。

大手自動車メーカー クラウドサービス誤設定により約215万人の個人情報流出か

国内最大手の自動車メーカーは、車載情報サービスの利用者約215万人の個人情報が流出した可能性があることを発表しました[3]。2013年~2023年の期間、クラウドサービス環境の誤設定により、車体番号、車両の位置情報といった顧客情報が外部から閲覧できる状態であったとしています。同社は今後、クラウド設定を監査するシステムを導入し、継続的に設定状況を監視する仕組みの構築を進めるとしています。

地方自治体の業務委託先 偽セキュリティ警告にだまされ情報漏えいか

東京都西部の地方自治体は、同自治体の業務委託先が不正アクセスを受け、約1,700人分の個人情報が漏えいした可能性があることを発表しました[4]
委託先の従業員が、PCに表示された偽のセキュリティ警告に従い偽のMicrosoftサポートセンターに連絡し、指示に従ってPCを操作したところ、不正アクセスを受けたとしています。同自治体は情報漏えいの有無を調査するとともに、調査結果が出次第、再発防止に向けて指導するとしています。

コンクリート製造販売会社 ランサムウェア攻撃により暗号化被害

コンクリート製品の製造・販売会社は、ランサムウェア攻撃を受け、データやソフトウェアが暗号化されたことを発表しました[5]。同社サーバーに外部から不正アクセスがあり、保存されていた各種業務データや業務用ソフトウェアが暗号化され、アクセス不能な状況となったとしています。同社では、情報流出の有無について調査を進めており、感染拡大を防ぐための必要な対応を行うとしています。

主要なOS、ミドルウェアにおけるインシデント

該当する製品を利用している場合は、システムへの影響などに鑑み、対策などを速やかに実施することが推奨されています。

WordPress 用プラグイン MW WP Form および Snow Monkey Forms における複数の脆弱性(CVE-2023-28408、CVE-2023-28413、CVE-2023-28409)

WordPress用プラグインMW WP FormおよびSnow Monkey Formsに複数の脆弱性があるとして、注意喚起が公開されました[6]
CVE-2023-28408等では、遠隔の第三者によってWebサイトの改ざんやDos攻撃などが行われる可能性があるとして、対象製品を利用している場合には、早期にアップデートを適用することが推奨されています。

その他、政府・業界動向など

フィッシング攻撃、3カ月連続で増加

フィッシング対策協議会は、4月度のフィッシング報告状況にて、報告件数が9万件を超え、悪用されたURLとともに、3ヶ月連続で増加傾向が続いているとして注意を呼びかけました[7]。同会によれば、1月に4万件を下回るもその後増加傾向が続き、わずか3ヶ月で約2.4倍に拡大したとのことです。コンテンツデリバリネットワーク(CDN)サービスを悪用するケースが目立っており、悪用されたURLの約19.2%を占めているとしています。

最後に

本記事は、2023年5月に報道されたセキュリティニュースをもとに、特に注目するセキュリティ情報を掲載しています。
注目するセキュリティニュースをまとめて掲載することで、読者の皆さまがよりセキュリティに興味を持ち、日々の対策にご活用いただくきっかけとなれば幸いです。

脆弱性診断について詳しくご紹介

「LANSCOPE
プロフェッショナルサービス」は、最新の攻撃手法と最適な対応策を探求するセキュリティプロフェッショナルチームがサービスを提供しています。

資料をダウンロードする《無料》

「クラウドサービスのセキュリティ対策」実態調査

中小企業の情シス1,000人に聞いた

「クラウドサービスのセキュリティ対策」実態調査結果を発表!

急増中のクラウド経由の情報漏洩にどう対策している?クラウドサービスを利⽤している企業様の対策状況や課題を調査しました。

資料をダウンロードする《無料》

おすすめ記事