セキュリティブログ

2022年4月27日

米国当局、サイバー攻撃に悪用されている脆弱性トップ15公開、ただちに確認を

よく悪用されている脆弱性の発表がありました。ご確認ください。

※以下、記事引用

※米国当局、サイバー攻撃に悪用されている脆弱性トップ15公開、ただちに確認を/マイナビニュース/2022年4月26日

米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)、アメリカ連邦調査局(FBI: Federal Bureau of Investigation)、米国家安全保障局(NSA: National Security Agency)、オーストラリアサイバーセキュリティセンター(ACSC: Australian Cyber Security Centre)、カナダサイバーセキュリティセンター(CCCS: Canadian Centre for Cyber Security)、ニュージーランド国立サイバーセキュリティセンター(NZ NCSC :New Zealand National Cyber Security Centre)、英国立サイバーセキュリティーセンター(NCSC: National Cyber Security Centre)は4月27日(米国時間)、「2021 Top Routinely Exploited Vulnerabilities|CISA」において、日常的に繰り返し悪用されている脆弱性トップ15を伝えた。

これら脆弱性は公共から民間企業まで幅広い業界を狙って繰り返し悪用されているとして、注意が呼びかけられている。

本アラートで指摘されている脆弱性トップ15は次のとおり。

当局らはこれら脆弱性に加えて、2021年には次の脆弱性も日常的に繰り返し悪用されていたとして警戒を呼びかけている。

当局はこうした脆弱性を悪用したサイバー攻撃の被害者とならないよう、使用しているソフトウェアを常に最新版へアップデートすること、サポートが終了したソフトウェアはサポートが提供されているソフトウェアへ入れ替えることを推奨している。また、アップデートの適用などができない場合は、こうしたサービスを自動で提供しているクラウドサービスプロバイダーやマネージドサービスプロバイダーが提供しているサービスへの移行を検討するように求めている。

※記事引用ここまで

弊社WAF製品イージスの月次レポート内の「総括レポート」にて、実際にブロックした脆弱性を突いた攻撃について対処方法を解説しております。

該当する脆弱性がある場合、対応を頂きたいと思料するものです。

【Emotet/注意喚起】マルウェアEmotetの感染再拡大に関する注意喚起

Emotetの注意喚起が再びありました。

対応方法をご確認くださいませ。

※以下、記事引用

※マルウェアEmotetの感染再拡大に関する注意喚起/JPCERT/CC/2022年4月26日

~中略~

III. 対策、対応

Emotet感染時の対応については次の資料を参照してください。

マルウエアEmotetへの対応FAQ
https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html

Emotet感染有無確認ツールEmoCheck
https://github.com/JPCERTCC/EmoCheck/releases

JPCERT/CC 解説動画
Emotet感染の確認方法と対策(2022年3月7日公開)
https://www.youtube.com/watch?v=nqxikr1x2ag

※引用ここまで

正常なZipファイルを受信した後、同じスレッドで「訂正版データ」として受信したものにEmotetが仕組まれているケースもあるようです。

身に覚えのないファイルやリンクを受信した際は、電話で確認を取るなど、注意していただきたいと思料するものです。

2022年4月18日

【京都駅ビル/漏えい】弊社サーバーへの不正アクセスによる個人情報流出の可能性のお知らせとお詫び

今月も不正アクセスによる情報漏えいが公表されました。

※以下、記事引用

※弊社サーバーへの不正アクセスによる個人情報流出の可能性のお知らせとお詫び/京都駅ビル開発株式会社/2022年4月15日

弊社のサーバーが外部からの不正アクセスを受け、お客様等の個人情報が流出した可能性を否定できない状況であることが判明いたしました。

1.事象の概要
2022 年 4 月 9 日(土)、弊社のサーバーに障害が発生し原因を調査した結果、部内業務で使用するクラウドサーバーが不正アクセス攻撃を受けたことが判明しました。サーバーの部内業務資料のなかに個人情報が一部含まれており、それが流出した可能性を否定できない状況です。侵害経路等の原因については、現在調査中です。
個人情報保護委員会への速報と、警察への通報は完了しております。

2.流出の可能性のある個人情報
流出の可能性のある個人情報は、次の通りです。
・お客様:約 950 件
・取引先様:約 3,400 件
・社員・退職者等:約 300 件
情報は、氏名、住所のほか、一部に役職名、電話番号、メールアドレス等が含まれています。クレジットカード情報はありません。

※引用ここまで

クラウドサーバを利用していると、セキュリティ対策が疎かになりがちかと思料いたします。

弊社WAF製品「イージス」をご利用頂くことで、簡単に不正アクセス対策を頂きたいと思料するものです。

特にAWS等のパブリッククラウドをご利用の方は以下の記事をご参照ください。

※パブリッククラウド利用企業に必要なWebサーバのセキュリティ対策とは

【太陽光発電協会/Emotet】重要:マルウェア(Emotet)感染に対するセキュリティ対策と業務再開についてのご連絡

※以下、記事引用

※重要:マルウェア(Emotet)感染に対するセキュリティ対策と業務再開についてのご連絡/太陽光発電協会/2022年4月15日

3 月 15 日に発覚しましたマルウェア(Emotet)感染に際し、個人情報等のデータ流出について被害範囲の調査及び本件に対する対策の完了と、業務再開についてお知らせいたします。

~中略~

【被害範囲の調査結果について】
被害に対する調査では、弊協会内の全パソコン、サーバの感染を検査し、Emotet 感染が確認された端末において流出した可能性のあるデータについて調査しました。
結果として、メール総数 857,846件、メールアドレス95,393件について、外部へ流出した可能性がございます。

※引用ここまで

Emotetが感染拡大しています。

JPCERT/CCからの記事を以下の記事にて引用しております。

※【Emotet/注意喚起】マルウェアEmotetの感染再拡大に関する注意喚起

ご確認頂ければと思料いたします。

2022年4月14日

【厚労省/ガイドライン】相次ぐ医療機関へのサイバー攻撃 対策ガイドライン改定 厚労省

厚労省より、サイバーセキュリティに関するガイドラインが改定されました。

※以下記事引用

※相次ぐ医療機関へのサイバー攻撃 対策ガイドライン改定 厚労省/2022年4月11日/NHK

医療機関へのサイバー攻撃が相次いでいることを受け、厚生労働省は医療機関向けのセキュリティー対策のガイドラインを改定し、公表しました。
データが暗号化されて使えなくなる「ランサムウエア」と呼ばれるコンピューターウイルスによる被害などを想定した対策を新たに盛り込んでいます。

厚生労働省は、医療機関へのサイバー攻撃が相次いでいることを踏まえ、医療機関の情報セキュリティーに関するガイドラインの改定を行い、このほど公開しました。

改定では、データが暗号化されて使えなくなる、身代金要求型のコンピューターウイルス「ランサムウエア」への対策を、喫緊の課題としてあげています。

※記事引用ここまで

ランサムウェア対策も意識したセキュリティ対策が求められています。

不正なプログラムのダウンロードにご注意くださいませ。

ランサムウェア感染経路の41%(※)はWebサイト経由であることから、イージス等のWAF製品でWebサイトを保護して頂きたいと思料するものです。

※出展:https://www.jpcert.or.jp/research/Ransom-survey.pdf

以下、医療情報システムの安全管理に関するガイドライン 第5.2版(令和4年3月)でございます。

https://www.mhlw.go.jp/content/10808000/000936160.pdf

2022年4月13日

【エディオン/不正アクセス】お客さま情報の流出の可能性に関するお知らせとお詫び

以下、記事引用です。

大規模なインシデントが今月も発生いたしました。

※お客さま情報の流出の可能性に関するお知らせとお詫び/株式会社エディオン/2022年4月11日

当社は、当社グループが運用するサーバーに不正アクセスが行われ、サーバー内に保存した情報の一部が外部に流出した可能性があることを2022 年4 月8 日(金)に確認しましたのでお知らせいたします。

~中略~

件数は77, 656 件です。データについては削除されただけでなく、流出した可能性もあると考えております。

2.流出した可能性のある情報の内容
エアコン等の配送設置情報(氏名、住所、電話番号など):73,540 件、荷物の受け取りサインの画像:3,563 件、写真:553 件です。
クレジットカードなどの決済情報は含まれておりません。(当社は、システム上、クレジットカード情報は一切保持しておりません)

~中略~

・行政機関への報告
本日、個人情報保護委員会に報告するとともに、警察への届け出も行う予定です。

※引用ここまで

改正個人情報保護法施行により2022年4月1日から、個人情報保護委員会への報告が必須となりました。

不正アクセス発覚後の対応の重さを鑑みますと、当社WAF製品イージスのようなサービスで簡便にリスクを軽減頂きたいと思料するものです。

2022年4月8日

【警察庁/発表】不審アクセス最多、99%が海外発 高まるサイバー脅威

※以下記事引用

※不審アクセス最多、99%が海外発 高まるサイバー脅威/日本経済新聞/2022年4月7日

サイバー空間の脅威が高まっている。警察庁が2021年に検知した不審なアクセスは過去最多を更新し、全体の99.5%は海外が送信元だった。企業などの技術情報を狙う不正アクセスやランサムウエア(身代金要求型ウイルス)の被害も相次いでおり、国外から行われる攻撃への備えの向上が急務だ。

警察庁が7日、サイバー空間の脅威を巡る21年の年間情勢を公表した。

同庁はインターネット上にセンサーを複数設置し、通常の利用では想定されない不審なアクセスを検知している。サイバー攻撃の準備段階である探索行為などを把握するためだ。

こうしたアクセスは21年、1日にセンサー1つあたり7335件に上った。17年に比べ3.8倍に増加した。同庁は、あらゆるモノがネットにつながるIoT機器の普及で攻撃対象が増えたことや、技術の進歩による攻撃手法の高度化を背景に挙げる。

不審なアクセスは9割以上が海外からだった。米国が全体の26%、ロシア22.1%、英国17.9%、中国が10.7%を占めた。あくまで通信の「最後の中継地点」(同庁)となったコンピューターなどが所在する国で、踏み台に使われた可能性もあるという。

※記事引用ここまで

毎年急増している海外からの不正アクセス件数のデータです。

攻撃者は自動ツールを使って、無差別に「不審なアクセス(=脆弱性探索)」を繰り返し、その後攻撃に転じます。

当社WAF製品「イージス」は上記の「準備段階である探索行為」もブロックします。

以下、警察庁の発表資料元データです。

https://www.npa.go.jp/publications/statistics/cybersecurity/data/R03_cyber_jousei.pdf

2022年4月2日

【Spring Framework/脆弱性】Spring Frameworkの任意のコード実行の脆弱性(CVE-2022-22965)について

※Spring Frameworkの任意のコード実行の脆弱性(CVE-2022-22965)について/2022年4月1日/JPCERT

(1) 概要

2022年3月31日(現地時間)、VMwareはSpring Frameworkの任意のコード実行の脆弱性(CVE-2022-22965)に関する情報を公開しました。Spring Frameworkは、JavaのWebアプリ開発を行うためのフレームワークの1つです。本脆弱性が悪用された場合、遠隔の第三者が任意のコードを実行する可能性があります。

VMwareは、本脆弱性に関する報告を受け取った後、調査および修正対応中に脆弱性の詳細が公開されたと明らかにしています。JPCERT/CCは、本脆弱性を実証するとみられるコードや詳細を解説する記事がすでに複数公開されている状況を確認していますが、現時点では具体的な被害事例や報告は確認していません。

本脆弱性の影響を受ける環境には条件があり、今後も追加情報が公開される可能性があります。引き続き、VMwareなどからの情報に注視いただきながら、影響を受けるシステムやアプリを利用している場合には、対策や回避策の適用を検討することを推奨します。詳細は、VMwareなどが提供する情報を参照してください。

VMware
Spring Framework RCE, Early Announcement
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

(2) 対象

対象となる製品とバージョンは次のとおりです。なお、すでにサポートが終了している過去のバージョンにおいても本脆弱性の影響を受けるとのことです。

  • Spring Framework 5.3.0から5.3.17
  • Spring Framework 5.2.0から5.2.19

VMWareによると、同社に報告された攻撃シナリオにおいては、攻撃が成功するためには次の条件が必要だったとのことです。ただし、本脆弱性の影響を受ける条件は他にも存在する可能性があると示唆されており、今後公開される情報を注視する必要があります。

  • JDK 9以上を使用している
  • Apache Tomcatをサーブレットコンテナーとして使用している
  • WAR形式でデプロイされている
  • プログラムがspring-webmvcあるいはspring-webfluxに依存している

VMware
CVE-2022-22965: Spring Framework RCE via Data Binding on JDK 9+
https://tanzu.vmware.com/security/cve-2022-22965

(3) 対策

VMwareより、本脆弱性を修正したバージョンが公開されています。十分なテストを実施の上、修正済みバージョンを適用することを推奨します。

  • Spring Framework 5.3.18およびそれ以降
  • Spring Framework 5.2.20およびそれ以降

※脆弱性情報引用ここまで

以下、piyologさんでも記事が上がっております。

※ Spring Frameworkの脆弱性 CVE-2022-22965(Spring4shell)についてまとめてみた/2022年3月31日/piyolog

脆弱性情報の発表がありました。ご注意ください。

上記サイト内「特に注意すべき環境」に、「WAF等のセキュリティ対策製品を利用していない」が挙げられております。

イージスは最新の脆弱性や攻撃手法にいち早く対応します。

突然の脆弱性公開にも慌てず対応するために、まだWAFを導入されていない企業様には、イージスを導入頂きたいと思料するものです。

2022年3月30日

【トレンドマイクロ/パッチ】Trend Micro Apex Central製品の脆弱性(CVE-2022-26871)に関する注意喚起

※Trend Micro Apex Central製品の脆弱性(CVE-2022-26871)に関する注意喚起/2022年3月29日/JPCERTCC

I. 概要

2022年3月29日、トレンドマイクロ株式会社は、Trend Micro Apex CentralおよびTrend Micro Apex Central as a Service(Apex One SaaSのApex Central機能部分)におけるファイルコンテンツの検証不備の脆弱性(CVE-2022-26871)に関する注意喚起を公開しました。本脆弱性が悪用された場合、遠隔の第三者が任意のファイルをアップロードし、結果として任意のコードを実行する可能性があります。トレンドマイクロ株式会社によると、本脆弱性を悪用した攻撃を確認しているとのことです。

トレンドマイクロ株式会社
アラート/アドバイザリ:CVE-2022-26871 Apex CentralおよびApex Central (SaaS)で任意のファイルがアップロードされる脆弱性について(2022年3月)
https://success.trendmicro.com/jp/solution/000290660

すでに攻撃に悪用されていることから、該当する製品を利用している場合には、早期にパッチ適用などの対応を行うことを推奨します。詳細は、トレンドマイクロ株式会社が提供する情報を参照してください。

II. 対象

対象となる製品とバージョンは次のとおりです。

– Trend Micro Apex Central 2019 Build 6016より前のバージョン
– Trend Micro Apex Central as a Service(Apex One SaaSのApex Central機能部分)Build 202203より前のバージョン

III. 対策

トレンドマイクロ株式会社から、本脆弱性を修正するパッチが提供されています。対象の製品に対し早期に最新のパッチを適用してください。

– Trend Micro Apex Central 2019 Patch3(Build 6016)

トレンドマイクロ株式会社によると、Trend Micro Apex Central as a Serviceは2022年3月のメンテナンスで修正済みのためユーザーによる作業は不要とのことです。

※記事引用ここまで

対象となっている製品をお使いの場合は最新のパッチを適用くださいませ。

2022年3月23日

【森永/不正アクセス】不正アクセス発生による個人情報流出の可能性のお知らせとお詫び

※不正アクセス発生による個人情報流出の可能性のお知らせとお詫び/2022年3月22日/森永製菓

森永製菓株式会社(東京都港区芝 代表取締役社長・太田栄二郎)は、当社が管理運用する複数のサーバに対する不正アクセスにより、当社通信販売事業「森永ダイレクトストア(旧:天使の健康)」の一部のお客様の個人情報(氏名・住所・電話番号・生年月日・性別・メールアドレス(一部)・購入履歴)が外部流出した可能性を否定できないことがわかりましたので、お知らせいたします。この個人情報にはクレジットカード情報は含まれておりません。また現在、本件に関わる個人情報の不正利用等は確認されておりません。

~中略~

なお侵入経路は、インターネット回線に設置していたネットワーク機器の脆弱性を悪用され、侵入された可能性が高いと判明しました。

※引用ここまで

ネットワーク機器の脆弱性が起点となり、不正アクセスが発生したケースです。

イージスの毎月の月次レポートでは、「総括レポート(オプション)」にてネットワーク機器の脆弱性も含め、最新のトレンドを記載して皆様へご報告しております。

こういったものを活用して、効率的に情報収集して頂きたいと思料します。

© AEGIS Security Systems