脆弱性診断について詳しくご紹介
「LANSCOPE
プロフェッショナルサービス」は、最新の攻撃手法と最適な対応策を探求するセキュリティプロフェッショナルチームがサービスを提供しています。
中⼩企業の情シス1,000⼈に聞いた︕
「クラウドサービスのセキュリティ対策」
実態調査結果を発表!
急増中のクラウド経由の情報漏洩にどう対策している?クラウドサービスを利⽤している企業様の対策状況や課題を調査しました。
トピックス
個人情報保護委員会は、生成AIサービスの普及を踏まえ、個人情報の適正な取扱いによる個人の権利利益の確保の要請と、新たな技術に基づく公共的な利益の要請とのバランスに留意しつつ、生成AIサービスの利用に関する注意喚起を行いました。
生成AIサービスの利用に関する注意喚起等について
同委員会では、生成AIサービスの利用に際して、個人情報取扱事業者が生成AIサービスに個人情報を含むプロンプトを入力する場合は、特定された当該個人情報の利用目的を達成するために必要な範囲内であることを十分に確認することや、プロンプトの入力を行う場合には、当該生成AIサービスを提供する事業者が、個人データを機械学習に利用しないこと等を十分に確認するよう注意喚起を行いました[1] 。また一般の利用者に対しても、入力した個人情報が生成AIの機械学習に利用されることがあり、他の情報と統計的に結びついた上で生成AIサービスから出力されるリスクがあるとして、個人情報を入力等する際には、このようなリスクを踏まえた上で適切に判断するよう呼びかけています。
主なマルウェア・不正アクセス関連
自動車関連部品の製造・販売会社、欧州子会社に不正アクセス
自動車関連部品の製造・販売会社は、欧州子会社のサーバーが第三者による不正アクセスを受け、データの一部が流出したと発表しました[2]。顧客との取引関連情報や従業員の個人情報が流出した可能性があるとのことです。他の拠点への影響や、データを悪用した二次被害などは「現時点では確認されていない」とし、調査を進めています。
国内製薬会社、ランサムウェア被害を発表
国内の大手製薬会社は、同社グループのサーバーの一部が暗号化されるランサムウェアによる被害が発生したと発表しました[3]。複数のサーバーで被害を確認後、物流システムなど国内外の一部の社内システムをサーバーから切り離したとし、暗号化された情報の内容や身代金などの要求の有無については、調査中としています。
文房具・事務機器の製造・販売会社、ランサムウェア被害を発表
国内の事務機器メーカーは、同社グループの一部情報システムに対しランサムウェアによる被害が発生したと発表しました[4]。同社では、対策本部を立ち上げ、外部専門家の助言を受けながら影響の範囲等の調査と復旧への対応を進めています。個人情報及び顧客情報の流出の有無については、確認中としています。
主要なOS、ミドルウェアにおけるインシデント
該当する製品を利用している場合は、システムへの影響などに鑑み、対策などを速やかに実施することが推奨されています。
FortiOS および FortiProxy の脆弱性(CVE-2023-27997)
Fortinet社より「FortiOS 及び FortiProxy に関する脆弱性」についての情報が公表されました[5]。ヒープベースのバッファオーバーフローの脆弱性が確認されており、悪用された場合、認証されていない遠隔の第三者によって細工したリクエストを送信され、任意のコードまたはコマンドを実行される可能性があります。対象製品を利用している場合には、早期にアップデートを適用することが推奨されています。
ISC BIND9における複数の脆弱性(CVE-2023-2828、CVE-2023-2829、CVE-2023-2911)
ISCから、「ISC BIND 9の複数の脆弱性」についての情報が公開されました[6]。脆弱性が悪用されると、リモート攻撃によってnamedが異常終了するなどの可能性があります。
対象製品を利用している場合には、対策の実施を検討することが推奨されています。
その他、政府・業界動向など
産業用制御システム向け侵入検知製品等の導入手引書 公開について
情報処理推進機構(IPA)は、制御システムを保有する事業者のセキュリティ対策支援を目的に、「産業用制御システム向け侵入検知製品等の導入手引書」を公開しました[7]。産業制御システムがサイバー攻撃を受けた場合、ライフラインや事業が停止するなど大きな被害に発展するおそれがあります。本書では、防御の対策にくわえ、不正侵入を検知する対策が重要であるとし、関連製品の導入方法や運用方法などを公開しています。
[出典]
- [1]生成 AI サービスの利用に関する注意喚起等について(2023/6/2)-個人情報保護委員会-
- [2]子会社への不正アクセスについて(2023/6/10)-トヨタ紡織株式会社-
- [3]ランサムウェア被害の発生について(2023/6/6)-エーザイ株式会社-
- [4]当社グループ情報システムに対する外部攻撃について(2023/6/8)-コクヨ株式会社-
- [5]Fortinet 製 FortiOS および FortiProxy の脆弱性対策について(CVE-2023-27997)(2023/6/14)-IPA-
- [6]ISC BIND 9における複数の脆弱性について(2023年6月)(2023/6/22)-JPCERT/CC-
- [7]産業用制御システム向け侵入検知製品等の導入手引書(2023/6/19)-IPA-
最後に
本記事は、2023年6月に報道されたセキュリティニュースをもとに、特に注目するセキュリティ情報を掲載しています。
注目するセキュリティニュースをまとめて掲載することで、読者の皆さまがよりセキュリティに興味を持ち、日々の対策にご活用いただくきっかけとなれば幸いです。
脆弱性診断について詳しくご紹介
「LANSCOPE
プロフェッショナルサービス」は、最新の攻撃手法と最適な対応策を探求するセキュリティプロフェッショナルチームがサービスを提供しています。
中⼩企業の情シス1,000⼈に聞いた︕
「クラウドサービスのセキュリティ対策」
実態調査結果を発表!
急増中のクラウド経由の情報漏洩にどう対策している?クラウドサービスを利⽤している企業様の対策状況や課題を調査しました。
関連する記事