脆弱性診断について詳しくご紹介
「LANSCOPE
プロフェッショナルサービス」は、最新の攻撃手法と最適な対応策を探求するセキュリティプロフェッショナルチームがサービスを提供しています。
トピックス
個人情報保護委員会は、大手自動車メーカーがクラウドシステムの設定を誤り、約10年間にわたり外部から個人情報を閲覧できる状態となっていた問題を受け、適切な管理が出来ていなかったとし、行政指導を行いました[1]。
大手自動車メーカーに行政指導、230万人分の車台番号など情報漏えい
同メーカーでは、ユーザー向けサービスの個人情報の取り扱いを子会社に委託していましたが、子会社の従業員がクラウドシステムの設定を誤り、約10年間にわたり外部から個人情報を閲覧できる状態となっていたことが2023年5月に発覚しました。
個人情報保護委員会では、「クラウド環境の設定を行う従業員への研修内容が不十分」であり、「車台番号、位置情報などが個人情報と認識されていなかった」点や、「委託先の個人データの取り扱いを監査・点検せず、適切な管理をしていなかった」点について指摘しています。同メーカーでは、今後、従業員のセキュリティ教育などを含めた再発防止策を徹底するとしています。
主なマルウェア・不正アクセス関連
コンクリート製品製造販売会社のランサムウェア被害、侵入経路はVPN脆弱性
コンクリート製品の製造・販売企業は、5月に公表した同社サーバーのランサムウェア感染についての調査結果を発表しました[2]。
同社では、外部からの不正アクセスで当該サーバーに保存していた各種ファイルが暗号化され、復旧に向けて対応を進めていました。調査結果によると、ファイアウォールVPN機能の既知の脆弱性をついた不正アクセスであり、攻撃者はネットワークに侵入後にパスワード総当たり攻撃で管理者パスワードを取得し、情報資産にログインし順次ランサムウェアによる暗号化を展開したとしています。
国内大手電子部品メーカー、個人情報 約1万6,000人分流出
大手電子部品メーカーは、同社グループで管理するサーバーが不正アクセスを受け、グループ会社の従業員に関するアカウント情報約1万6,000人分が流出したと発表しました[3]。
攻撃を受けたサーバーの内部には顧客に関連する情報は保存されておらず、顧客情報の外部流出なども確認されていないとし、同社では調査を進めています。
衛星通信事業者に不正アクセス 子会社従業員になりすましか
衛星通信事業者は、内部サーバーが不正アクセスを受け、取引先や従業員の個人情報が流出した可能性があることを発表しました[4]。
内部サーバーへアクセスする際に中継するターミナルサーバーにおいて不審なアクセスログを発見、外部事業者によるフォレンジック調査を行なったところ、外部からの不正アクセスが判明したとしています。第三者が子会社の従業員になりすまし、子会社のネットワーク経由でアクセスを行っていたとして、引き続き調査を進めています。
主要なOS、ミドルウェアにおけるインシデント
該当する製品を利用している場合は、システムへの影響などに鑑み、対策などを速やかに実施することが推奨されています。
FortiOS および FortiProxy の脆弱性(CVE-2023-33308)
Fortinet社より、「FortiOS/FortiProxyにおけるスタックベースのバッファオーバーフロー」についての情報が公開されました[5]。
本脆弱性が悪用されると、外部から任意のコードまたはコマンドを実行される可能性があります。対象製品を利用している場合には、早期にアップデートを適用することが推奨されています。
Windows Server 2012および2012 R2のサポート終了に伴う注意喚起
IPAは、Microsoft社の提供OS Windows Server 2012および2012 R2のサポート終了について注意喚起を公表しました[6]。
一般的に、サポート終了後は新たな脆弱性が発見されても、製品ベンダーによる修正が行われないことから、対象OSを利用している場合には、最新版への移行等の実施が推奨されています。
その他、政府・業界動向など
JIPDEC 個人情報取扱い事故報告、前年度の約2.3倍
一般財団法人日本情報経済社会推進協会(JIPDEC)は、2022年度にプライバシーマーク付与事業者から報告があった個人情報関連の事故状況を発表しました[7]。報告件数は前年度の約2.3倍と大幅に増加し、なかでも「不正アクセス」や「マルウェア」に起因する事故は高い増加率を示しています。
事故の内容としては「漏えい」が76.1%を占め最多、次いで「紛失」、「滅失、毀損」「目的外利用、提供」等としています。事故が生じた背景としては「手順・ルール違反作業、操作」が最多となり、担当者が適切な作業を実施しなかったことによる事故が多く発生しているとしています。
[出典]
- [1]トヨタ自動車株式会社による個人データの漏えい等事案に対する個人情報の保護に関する法律に基づく行政上の対応について(2023/7/12)個人情報保護委員会-
- [2]【状況報告】ランサムウェア被害の調査結果について(2023/7/7)-日本コンクリート株式会社-
- [3]当社グループ会社に対するサイバー攻撃について(2023/7/14)-アルプスアルバイン株式会社-
- [4]当社サーバへの不正アクセスについて(2023/7/21)-スカパーJSAT株式会社-
- [5] FortiOS/FortiProxy – 詳細な検査を備えたプロキシ モード – スタックベースのバッファ オーバーフロー(2023/7/11)-Forti Guard Labs-
- [6]Windows Server 2012 および 2012 R2 のサポート終了に伴う注意喚起(2023/7/10)-IPA(独立行政法人情報処理推進機構)-
- [7] 2022年度 個人情報の取扱いにおける事故報告集計結果(223/7/24)-一般財団法人日本情報経済社会推進協会(JIPDEC)-
最後に
本記事は、2023年7月に報道されたセキュリティニュースをもとに、特に注目するセキュリティ情報を掲載しています。
注目するセキュリティニュースをまとめて掲載することで、読者の皆さまがよりセキュリティに興味を持ち、日々の対策にご活用いただくきっかけとなれば幸いです。
脆弱性診断について詳しくご紹介
「LANSCOPE
プロフェッショナルサービス」は、最新の攻撃手法と最適な対応策を探求するセキュリティプロフェッショナルチームがサービスを提供しています。
