サイバー攻撃
尼崎市、USBメモリ紛失事案の報告書を公開/求められるサプライチェーンのリスク管理 ~2022年12月の気になるセキュリティニュース~
脆弱性診断について詳しくご紹介
「LANSCOPE プロフェッショナルサービス」は、最新の攻撃手法と最適な対応策を探求するセキュリティプロフェッショナルチームがサービスを提供しています。
中小企業の情シス1,000人に聞いた
「クラウドサービスのセキュリティ対策」
実態調査結果を発表!
急増中のクラウド経由の情報漏洩にどう対策している?クラウドサービスを利⽤している企業様の対策状況や課題を調査しました。
トピックス
尼崎市は、2022年6月に発生した「USBメモリー紛失事案」に関する調査報告書を公開しました。
2022年は、この事案以外にも大阪急性期・総合医療センターが委託業者経由でランサムウェア攻撃を受けたニュースなど、サプライチェーン全体のリスク管理に関わる事件が大きく報道されました。
現在の日本企業の多くはサプライチェーンに頼らざるを得ず、組織や事業運営のすべてを自組織のみで処理することは難しいことから、どのような企業にも一定のサプライチェーンリスクが伴います。2023年は、自組織のサプライチェーンのリスクマネジメントを見直し、より強化していくことが求められるのではないかと考えます。
尼崎市 USBメモリ紛失事案の報告書を公開
尼崎市は、「USBメモリー紛失事案に関する調査報告書」を公開しました[1]。同書には、発生経緯やフォレンジック結果が記されており、委託先であるBIPROGY株式会社が、同市の承諾を得ることなく委託業務の再委託や再々委託を実施していたことや、一時紛失したUSBメモリをルール外の方法で運搬していたことなどが記載されています。
また、セキュリティ対策基準や情報資産の安全管理などを盛り込んだ契約を締結していたにも関わらず、全市民の個人データを含むUSBメモリを所持しながら飲み会に参加するといった同社社員のセキュリティ意識の欠落を指摘する一方、同市はデータの管理者としてチェックし、委託先の作業者に安全を確保すべき自覚を持たせるなどの働きかけが不十分であった点についても指摘しています[2]。
主なマルウェア・不正アクセス関連
加賀電子、海外子会社にランサムウェア攻撃
加賀電子株式会社は、海外子会社サーバーへの不正アクセスについて発表しました[3]。KAGA ELECTRONICS(THAILAND)COMPANY LIMITED(加賀タイ)のサーバーに、第三者からランサムウェアと見られる不正アクセス攻撃があったとのことです。現時点では、機密情報の不正利用などは確認されておらず、システムも復旧済みとしています[4]。
熊本県立大 2要素認証の除外アカウントに不正ログイン
公立大学法人 熊本県立大学は、同大教授が利用するメールアカウントが海外の複数発信元から大量の不正ログインを受け、約5,000件の個人情報が流出した可能性があることを発表しました[5]。
同アカウントには、数文字の短い簡単なパスワードが設定、他サイトにおいても使い回しが行われていました。また、同教授がスマートフォンなどを所持していないことを理由に、原則必要とされている2要素認証設定を除外していたとしています[6]。
北國銀行、約29万人に振込不能メールを誤送信
株式会社北國銀行は、振込不能の通知メールを無関係のオンラインバンキング契約者に対して誤送信したことを発表しました[7]。
1人の顧客へ振込不能を通知するメールを送信しようとしたところ、誤って同行の個人向けオンラインバンキングサービスの全契約者約29万人へ送信、うち約6万人に対しては同様の内容が二重に送信されたとのことです[8]。同行では、送信時に送信先をWチェックする運用ルールを設けていましたが、確認漏れがあったとし、システムの不具合やサイバー攻撃ではないとしています。
主な脆弱性情報
該当する製品を利用されている場合は、システムへの影響などに鑑み、対策などを速やかに実施することが推奨されています。
FortiOSのヒープベースのバッファーオーバーフローの脆弱性(CVE-2022-42475)
Fortinet社が提供するVPN製品に搭載されている「FortiOS」において、ヒープベースのバッファーオーバーフローの脆弱性情報が公開されました[9]。
脆弱性が悪用されると、認証されていない遠隔の第三者が細工したリクエストを送信し、任意のコードやコマンドを実行する可能性があるとしています。既に悪用が確認されており、同社では注意を呼び掛けています[10]。
Jenkinsに関する複数の脆弱性
Jenkinsから、複数の脆弱性に関する情報が公開されました[11]。悪用されると、フィッシング攻撃やクロスサイトスクリプティング(XSS)の攻撃を受ける可能性があるとし、注意を呼び掛けています。
その他、政府・業界動向など
CSIRTメンバー 育成方法解説書を公開
一般社団法人日本コンピュータセキュリティインシデント対応チーム協議会(日本シーサート協議会)は、CSIRTメンバーの育成方法について解説した資料を公開しました[12]。
同会によるベストプラクティスなどをもとに、CSIRT人員の育成方法について取りまとめたものとなり、同人員のステップに応じた目標、学習や経験が必要となる業務、達成目安などを紹介しています[13]。
ランサム被害のデータ復旧等、トラブルを未然に防ぐためのチェックシートを公開
セキュリティ関連5団体※は、ランサムウェアをはじめ、データの毀損が生じてデータ復旧サービスを活用する際にトラブルが多数発生しているとして、トラブルを未然に防ぐためのチェックシートを公開しました[14]。
データの毀損被害が生じた際、復旧事業者と利用者間で説明の不備や対応費用、身代金の支払いなどの不適切な対応など、契約を巡るトラブルが発生しているとし、未然にトラブルや被害拡大を防止できるよう、注意すべきポイントをまとめた内容としています[15]。
※一般社団法人ソフトウェア協会(SAJ)、特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)、NPOデジタル・フォレンジック研究会(IDF)、一般社団法人日本データ復旧協会(DRAJ)、一般社団法人日本コンピュータセキュリティインシデント対応チーム協議会(NCA)
[出典]
- [1]尼崎市USBメモリ―紛失事案に関する調査報告書 (2022/11/28)-尼崎市USBメモリ―紛失事案調査委員会-
- [2]尼崎市がUSBメモリ紛失事件の報告書を公開 発覚の詳細な経緯が明らかに(2022/11/29)-ITmediaエンタープライズ-
- [3]当社海外子会社サーバーへの不正アクセス発生について(2022/12/12)-加賀電子株式会社-
- [4]加賀電子タイ子会社にランサムウェア攻撃、現在はおおむね復旧(2022/12/16)-ScanNetSecurity-
- [5]熊本県立大学メールアカウントの不正利用事案について(2022/12/13)-公立大学法人 熊本県立大学-
- [6]2要素認証の除外アカウントに大量の不正ログイン – 熊本県立大(2022/12/16)-SecurityNEXT-
- [7]北國クラウドバンキングご契約のお客さまへ メール誤送信のお詫び(2022/12/5)-株式会社北國銀行-/a>
- [8]約29万人に振込不能メールを誤送信、アクセスが集中 – 北國銀(2022/12/6)-SecurityNEXT-
- [9]FortiOSのヒープベースのバッファーオーバーフローの脆弱性(CVE-2022-42475)に関する注意喚起(2022/12/14)-JPCERT/CC-
- [10]「FortiOS」の脆弱性で国内外セキュリティ機関が注意喚起(2022/12/13)-SecurityNEXT-
- [11]Jenkins Security Advisory 2022-12-07 (2022/12/7)-Jenkins-
- [12]CSIRT人材WGの活動概要(2022/12/13)-一般社団法人日本コンピュータセキュリティインシデント対応チーム協議会-
- [13]CSIRT人材の育成方法をまとめた資料を公開 – 日本シーサート協議会
- [14]「データ被害時のベンダー選定チェックシート Ver.1.0」(2022/12/16)-デジタル・フォレンジック研究会-
- [15]ランサム被害のデータ復旧でトラブル多発 – 業界5団体がチェックシート(2022/12/16)-SecurityNEXT-
最後に
本記事は、2022年12月に報道されたセキュリティニュースをもとに、特に注目するセキュリティ情報を掲載しています。
注目するセキュリティニュースをまとめて掲載することで、読者の皆さまがよりセキュリティに興味を持ち、日々の対策にご活用いただくきっかけとなれば幸いです。
脆弱性診断について詳しくご紹介
「LANSCOPE プロフェッショナルサービス」は、最新の攻撃手法と最適な対応策を探求するセキュリティプロフェッショナルチームがサービスを提供しています。
中小企業の情シス1,000人に聞いた
「クラウドサービスのセキュリティ対策」
実態調査結果を発表!
急増中のクラウド経由の情報漏洩にどう対策している?クラウドサービスを利⽤している企業様の対策状況や課題を調査しました。
関連する記事
