セキュリティブログ

2022年12月23日

年末年始休暇において実施いただきたい対策について(注意喚起)

経産省、総務省、警察庁から注意喚起が出ています。

今回のみならず、参考になりそうなURLを張り付けておきますのでご参考まで。

※年末年始休暇において実施いただきたい対策について(注意喚起)/経済産業省、総務省、警察庁、内閣官房内閣サイバーセキュリティセンター/2022年12月20日

※以下引用

【参考】
<これまでの注意喚起>
○8月8日 経済産業省、総務省、警察庁、NISC「夏季の長期休暇において実施いただ
きたい対策について(注意喚起)」
https://www.nisc.go.jp/pdf/press/20220808NISC_press.pdf

○10 月 14 日 金融庁、警察庁、NISC「北朝鮮当局の下部組織とされるラザルスと呼称
されるサイバー攻撃グループによる暗号資産関連事業者等を標的としたサイバー攻撃
について(注意喚起)」
https://www.nisc.go.jp/pdf/press/20221014NISC_press.pdf

○11 月 30 日 警察庁、NISC「学術関係者・シンクタンク研究員等を標的としたサイバ
ー攻撃について(注意喚起)」
https://www.nisc.go.jp/pdf/press/20221130NISC_press.pdf

○12 月 13 日 IPA「年末年始における情報セキュリティに関する注意喚起」
https://www.ipa.go.jp/security/topics/alert20221213.html

<ランサムウェア対策>
○ストップ! ランサムウェア ランサムウェア特設ページ STOP! RANSOMWARE
https://security-portal.nisc.go.jp/stopransomware/

○ランサムウェア対策特設ページ(独立行政法人情報処理推進機構)
https://www.ipa.go.jp/security/anshin/ransom_tokusetsu.html

○侵入型ランサムウェア攻撃を受けたら読む FAQ(一般社団法人 JPCERT コーディネー
ションセンター)
https://www.jpcert.or.jp/magazine/security/ransom-faq.html

○ランサムウエア対策特設サイト(一般社団法人 JPCERT コーディネーションセンター)
https://www.jpcert.or.jp/magazine/security/nomore-ransom.html

○ランサムウェア被害防止対策(警察庁サイバー犯罪対策プロジェクト)
https://www.npa.go.jp/cyber/ransom/index.html

<エモテット>
○「マルウェア Emotet の活動再開に関する注意喚起について」(警察庁)(※1)
https://www.npa.go.jp/cybersecurity/pdf/20221104press.pdf

○「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて(独立
行政法人情報処理推進機構)(※2)
https://www.ipa.go.jp/security/announce/20191202.html

○マルウェア Emotet の感染再拡大に関する注意喚起(一般社団法人 JPCERT コーディネ
ーションセンター)(※3)
https://www.jpcert.or.jp/at/2022/at220006.html

※ここまで

本年も誠にお世話になりました。

皆様におかれましても、良い新年をお迎えくださいませ。

更新:FortiOS SSL-VPN の脆弱性対策について(CVE-2022-42475)

Fortiさんの脆弱性対策について、以下に記しておきます。

※更新:FortiOS SSL-VPN の脆弱性対策について(CVE-2022-42475)/IPA/2022年12月22日

※以下引用

概要

FortiOS SSL-VPN は、リモートアクセスを実現するための VPN 製品です。

この FortiOS SSL-VPN において、ヒープベースのバッファオーバーフローの脆弱性が確認されています。

本脆弱性が悪用されると、認証されていない遠隔の第三者によって細工したリクエストを送信され、任意のコードやコマンドを実行される可能性があります。

本脆弱性を悪用した攻撃が確認されており、今後被害が拡大するおそれがあるため、早急にアップデートを実施してください。

影響を受けるシステム

  • FortiOS バージョン 7.2.0 から 7.2.2 まで
  • FortiOS バージョン 7.0.0 から 7.0.8 まで
  • FortiOS バージョン 6.4.0 から 6.4.10 まで
  • FortiOS バージョン 6.2.0 から 6.2.11 まで
  • FortiOS-6K7K バージョン 7.0.0 から 7.0.7 まで
  • FortiOS-6K7K バージョン 6.4.0 から 6.4.9 まで
  • FortiOS-6K7K バージョン 6.2.0 から 6.2.11 まで
  • FortiOS-6K7K バージョン 6.0.0 から 6.0.14 まで

—2022 年 12 月 14 日 更新—

  • FortiOS バージョン 6.0.0 から 6.0.15 まで
  • FortiOS バージョン 5.6.0 から 5.6.14 まで
  • FortiOS バージョン 5.4.0 から 5.4.13 まで
  • FortiOS バージョン 5.2.0 から 5.2.15 まで
  • FortiOS バージョン 5.0.0 から 5.0.14 まで

対策

1.脆弱性の解消 – アップデートを実施

開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性を修正した次のバージョンをリリースしています。

  • FortiOS バージョン 7.2.3 あるいはそれ以降
  • FortiOS バージョン 7.0.9 あるいはそれ以降
  • FortiOS バージョン 6.4.11 あるいはそれ以降
  • FortiOS バージョン 6.2.12 あるいはそれ以降
  • FortiOS-6K7K バージョン 7.0.8 あるいはそれ以降
  • FortiOS-6K7K バージョン 6.4.10 あるいはそれ以降
  • FortiOS-6K7K バージョン 6.2.12 あるいはそれ以降
  • FortiOS-6K7K バージョン 6.0.15 あるいはそれ以降

—2022 年 12 月 22 日 更新—

  • FortiOS バージョン 6.0.16 あるいはそれ以降

—2022 年 12 月 14 日 更新—

2.脆弱性の暫定的な回避策

製品開発者によると次の回避策を適用することで、本脆弱性の影響を軽減できるとのことです。

  • SSL-VPN を無効にする

3.推奨対応

製品開発者は当該製品に対し、脆弱性を悪用する攻撃の被害を受けていないか確認するため、以下の調査を実施することを推奨しています。

  • 機器ログに脆弱性の悪用を示すログが記録されていないか
  • 機器に不審なファイルが設置されていないか
  • 機器から不審な通信先への通信が発生していないか

詳しくは、開発者が提供する下記サイトの情報をご確認ください。
FortiOS – heap-based buffer overflow in sslvpnd別ウィンドウで開く—2022 年 12 月 22 日 更新—

Technical Tip: [Critical vulnerability] Protect against heap-based buffer overflow in sslvpnd別ウィンドウで開く

参考情報

本件に関するお問い合わせ先

IPA セキュリティセンターE-mail:

※個別のシステムおよび環境に関するご質問を頂いても回答ができない場合があります。詳しくは製品ベンダなどにお問合せください。

※ここまで

以上、よろしくご対応のほど、お願い申し上げます。

2022年12月21日

ROCKETWORKSが不正アクセスによる個人情報漏えい対策を提供するかっこ株式会社と業務提携 ~サイバー攻撃の脅威により広い範囲でのセキュリティ対策が可能に~

2022年12月21日

報道関係者各位

株式会社ROCKETWORKS

代表取締役社長 岩村 昭英

 

ROCKETWORKSが不正アクセスによる個人情報漏えい対策を提供するかっこ株式会社と業務提携

~サイバー攻撃の脅威により広い範囲でのセキュリティ対策が可能に~

 

 

AI搭載クラウド型ウェブアプリケーションファイアウォール(WAF)「イージス」を提供している株式会社ROCKETWORKS(本社:東京都港区、代表取締役社長CEO : 岩村 昭英、 以下、ROCKETWORKS)は、不正アクセスによる個人情報漏えい対策を提供するかっこ株式会社(本社:東京都港区、代表取締役社長CEO : 岩井 裕之、証券コード:4166、 以下、かっこ社)と業務提携したことをお知らせいたします。

不正アクセス検知サービス「O-MOTION(オーモーション)」を提供するかっこ社とクラウド型セキュリティ対策システム「イージス」を提供するROCKETWORKSが提携することで、サイバー攻撃を入り口でブロックし、さらに、漏えいした情報などを悪用しbotや他人に成りすましてアクセスするような不正アクセスについても対策が可能になりました。これによりサイバー攻撃に対する守備範囲の拡大と事業者のセキュリティ強化に貢献いたします。また、本提携を記念し特別キャンペーンを実施いたします。

 

■特別キャンペーン

「O-MOTION」&「イージス」のトライアル無料

サイバー攻撃、不正アクセスにおける現状のリスク度合いを把握することができます。

*申込期限:2023年6月末

*問い合わせや申し込みはこちら(窓口:ROCKETWORKS)

contact

 

■業務提携の背景及び目的

近年、Webサイトへのサイバー攻撃が頻発しており、その脅威は過去15年間で約100倍にも増加しています。その手法はAIによる自動化・複雑化された攻撃手法が主流になっています。内閣サイバーセキュリティセンター(NISC)の「サイバーセキュリティ研究開発戦略」(※1)によると、サイバーセキュリティ攻撃へのセキュリティ強化と対象範囲の拡大をするためにAIの活用に期待が集まるとされており、サイバー攻撃への対策として、AIを用いた検知・診断技術を実装することが重要です。そのようなサイバー攻撃への対策強化を目的として今回業務提携に至りました。
※1:内閣サイバーセキュリティセンター(NISC)サイバーセキュリティ戦略本部「サイバーセキュリティ研究開発戦略(改訂)」https://www.nisc.go.jp/pdf/council/cs/kenkyu/kenkyu2021-kettei.pdf

 

■不正アクセス検知サービス「O-MOTION」について

「O-MOTION」は、特許を取得した独自の端末特定技術とキータッチなどの操作情報の活用により、正しいID・パスワードによるアクセスであっても、そのアクセスが本当に本人によるものであるのか、不正者による不正アクセスなのかをリアルタイムに検知するクラウドサービスです。自動プログラム(Bot)による総当たり攻撃や他人のID・パスワードを使った不正者のなりすましを検知し、通販サイト、金融サービスサイト(インターネットバンキング・ネット証券)、会員サイト等において、不正アクセス/不正ログイン対策にご利用いただいております。

 

(特徴)

・端末特定技術やキータッチなどの操作情報を活用したかっこ独自の検知ロジック(特許第6860156号)

・認証サービスとの連携により、正常なユーザーへは負荷をかけず、疑わしいアクセスにのみ認証を設定可能

・WEBサイトにコードを埋め込むだけで簡単に導入可能

・厳格なセキュリティ対策が求められる金融機関(大手ネット証券や銀行)が採用

※「O-MOTION」の詳細はこちら:https://frauddetection.cacco.co.jp/o-motion/

 

■ROCKETWORKSのAI搭載クラウド型ウェブアプリケーションファイアウォール「イージス」について

「イージス」は、Webサイト、Webサーバ等へのあらゆるサイバー攻撃を検知・遮断するSaaS型WAF(※2)です。AIエンジンを搭載することで攻撃手法を事前に自己学習し、ゼロデイ攻撃や難読化された攻撃等、従来のWAF製品では検知不可能な攻撃にも対応します。

※2:WAFとは

Web Application Firewallの略称で、Webアプリケーションの脆弱性を突いた攻撃へ対するセキュリティ対策のひとつです

 

(特徴)

・クラウドサービスのため企業様側での煩わしい設定や手続きがない

・圧倒的なサイバー攻撃への検知能力

・世界16万か所以上の攻撃データを収集し、AIエンジンで分析するため最新の脅威に対応できる

・政府機関と研究開発を⾏う専⾨エンジニアが常にサポート可能

※「イージス」の詳細はこちら:https://aegis-ss.jp/

 

ROCKETWORKSは今後も、多様化するサイバー攻撃に関する分析と研究を重ねることで、お客様が最新の防御技術を駆使して安心して事業運営ができる環境づくりに貢献してまいります。

■会社概要

かっこ株式会

住所              : 東京都港区元赤坂一丁目5番31号

代表者           : 代表取締役社長CEO 岩井 裕之

設立              : 2011年1月28日

URL               : https://cacco.co.jp/

事業内容        : SaaS型アルゴリズム提供事業

不正検知サービス決済コンサルティングサービスデータサイエンスサービス

関連サイト        :  不正検知メディア「不正検知Labフセラボ」:https://frauddetection.cacco.co.jp/media/

データサイエンスぶろぐ     : https://cacco.co.jp/datascience/blog/

採用情報     : https://cacco.co.jp/recruitment/index.html

 

株式会社ROCKETWORKS

住所              : 東京都港区東麻布2-15-1-4F

代表者           : 代表取締役社長 岩村 昭英

設立              : 2004年6月

URL               : https://www.rocketworks.co.jp/

事業内容        :  量子ICTプロダクトの実用化を目指した研究・開発・販売

サイバーセキュリティサービスの開発・販売

関連サイト        :  「イージス」   :      https://aegis-ss.jp/

 

本件に関するお問い合わせ先

ROCKETWORKS 広報 担当

メールアドレス:info@rocketworks.co.jp

電話:03-6277-3248

2022年12月9日

金沢西病院へサイバー攻撃

金沢西病院へサイバー攻撃 電子カルテの一部閲覧できない状態/NHK/2022年12月6日

※以下引用

金沢市にある「金沢西病院」で、患者の電子カルテの一部が閲覧できない状態になっていて、病院側は、不正アクセスによるサイバー攻撃を受けたとして、警察に被害を相談するなど詳しい状況を調べています。

※ここまで

病院も、会社も、困るのは「サービスが止まること」「関係者が離職すること」の2点です。

転ばぬ先の杖としてのセキュリティサービスはもちろん、バージョンアップとバックアップ、よろしくお願い申し上げます。

2022年12月5日

【富山県立大/不正アクセス】関連機関サイトに不正アクセス、CMSに不正プラグイン – 富山県立大

大学の特設サイトへ不正アクセスされたケースです。

※以下引用です。

※関連機関サイトに不正アクセス、CMSに不正プラグイン – 富山県立大/Security NEXT/2022年12月2日

富山県立大学は、同大関連機関のウェブサイトがサイバー攻撃を受けたことを明らかにした。コンテンツマネジメントシステム(CMS)に不正なプラグインがインストールされていたという。

~中略~

またサーバ上の痕跡より、攻撃者によって意図しないメール3万2255件が11月14日に送信されていたことも判明。関連する問い合わせや、リターンメールなどは確認されておらず、メールに記載されていた具体的な内容はわかっていない。

※引用ここまで

普及率の高いCMSへの不正アクセスの試みは当社製品イージスでも多くブロックしています。

イージスのようなWAF製品を最低限実装頂きたいと思料するものです。

2022年11月29日

名大 岐阜大運営機構にサイバー攻撃 個人情報約4万件漏えいか

大学サイトへの不正アクセスを起点とした、情報漏えい、ランサムウェア被害の事例です。

※以下記事引用です。

※名大 岐阜大運営機構にサイバー攻撃 個人情報約4万件漏えいか/NHK/2022年11月28日

名古屋大学と岐阜大学を運営する「東海国立大学機構」が身代金要求型のコンピューターウイルス、ランサムウエアによるサイバー攻撃を受け、学生や教職員の個人情報およそ4万件が漏えいしたおそれがあると発表しました。

~中略~

さらに調査を進めた結果、学生や教職員のおよそ4万件の個人情報が漏えいした可能性があることが分かり、この中には、氏名や所属、生年月日のほか、システムへのログインIDとパスワードなどが含まれているということです。

※記事引用ここまで

大学の履修登録などを行うためのWebサイトでは多くの個人情報を扱っているため、標的になるケースがあります。

今回の事例のように、情報漏えいだけでなく、ランサムウェア被害にもつながることがあるため、「そもそも不正アクセスされない」ということが重要です。

当社製品イージスのようなWAF製品を最低限の対策として、導入頂いたほうが良いのではないかと思料いたします。

2022年11月22日

「ワコムストア」に不正アクセス、約15万人分の個人情報が漏洩か

ECサイトの比較的大規模な情報漏えいの事例です。

※以下記事引用です。

※「ワコムストア」に不正アクセス、約15万人分の個人情報が漏洩か/日経クロステック/2022年11月21日

ワコムは2022年11月21日、同社が運営するEC(電子商取引)サイト「ワコムストア」が不正アクセスを受けたと発表した。最大1938件のクレジットカード情報と、最大14万7545人分のクレジットカード情報を含まない個人情報が漏洩した恐れがある。

第三者が不正アクセスし、支払いアプリケーションを改ざんした。ワコムはクレジットカード情報を自社サイトに保持していなかったものの、改ざんにより決済時に入力されたクレジットカード情報が外部に送信されていた。

※記事引用ここまで

ECサイト運営においてクレジットカード情報を自社で保持しないのは、非常に有効ですが、上記のように外部送信されるように改ざんされれば、情報漏えいとなります。

Webアプリケーションの改ざん対策としても、最低限、当社製品イージスのようなWAFを実装頂きたいと思料するものです。

化粧品取り扱い「akaran公式オンラインストア」に不正アクセス、8,483名分のカード情報が漏えい

脆弱性が原因で不正アクセスにつながった事例です。

※以下記事引用です。

※化粧品取り扱い「akaran公式オンラインストア」に不正アクセス、8,483名分のカード情報が漏えい/ScanNetsecurity/2022年11月21日

化粧品を取り扱う株式会社AkaraNは11月17日、同社が運営する「akaran公式オンラインストア」に第三者からの不正アクセスによる顧客のクレジットカード情報の漏えいについて発表した。

これは6月23日に、一部のクレジットカード会社から「akaran公式オンラインストア」を利用した顧客のカード情報の漏えい懸念について連絡があり、翌6月24日にカード決済を停止し、第三者調査機関による調査等を行ったところ、他社ECプラットフォームを利用した当該サイトの旧システムの一部の脆弱性を突いた第三者の不正アクセスで、クレジットカード決済ペイモジュールの改ざんが行われたことが原因で、顧客のカード情報が漏えいし、一部顧客のカード情報が不正利用された可能性を確認したというもの。

※記事引用ここまで

パッチの適用など、定期的なメンテナンスがWebサイト運用には必須です。

しかし、頻繁に対応することが難しいのも事実かと存じます。

当社WAF製品イージスは、脆弱性を狙った攻撃をブロックできるため、定期的なメンテナンスが間に合わない場合でもリスクを軽減できます。

2022年11月9日

【ダイナム/ランサム】大手パチンコ店にサイバー攻撃 個人情報33万件余 漏えいか

サーバへの不正アクセスがきっかけとなり、ランサムウェアに発展した事例です。

※以下引用です。

※大手パチンコ店にサイバー攻撃 個人情報33万件余 漏えいか/NHK/2022年11月9日

パチンコチェーン大手の「ダイナム」の親会社は、身代金要求型のコンピューターウイルス「ランサムウエア」によるサイバー攻撃を受け、パチンコ店の会員カードの氏名や住所など合わせて33万件余りの個人情報が漏えいしたおそれがあると発表しました。

~中略~

さらに調査を進めた結果、合わせて3600件余りの情報漏えいが認められ、この中には、子会社の営業店舗の地権者の氏名や口座番号などが含まれているということです。

このほか、関連グループのパチンコ店の会員カードに登録されている氏名や住所、電話番号などの個人情報、合わせて33万1000件余りも漏えいの可能性を否定できないとしています。

※引用ここまで

ランサムウェアが注目されがちですが、

不正アクセスされた時点で、データが閲覧されている(=漏洩している)と考えるべきかと思料いたします。

不正アクセス対策の一環として最低限「イージス」等のWAF/IPS製品を導入頂きたいと思料するものです。

2022年11月1日

ランサムウエア起因による大阪急性期・総合医療センターのシステム障害についてまとめてみた

今後さらに増えるであろう大規模な病院に対するランサムウェア攻撃の事例です。

※以下引用です。

※ ランサムウエア起因による大阪急性期・総合医療センターのシステム障害についてまとめてみた/piyolog/2022年11月1日

2022年10月31日、大阪急性期・総合医療センターは電子カルテシステムの障害発生により、緊急以外の手術や外来診療を停止していると公表しました。障害はランサムウエアとみられる攻撃が原因と病院は明らかにしています。ここでは関連する情報をまとめます。

障害影響で通常診療が一時停止

  • ランサムウエアによる実被害及び被害拡大防止措置による影響を受け2022年10月31日20時時点で電子カルテシステム及び関連するネットワークが完全に停止中。そのため、同センター内で電子カルテが閲覧できない状況となった。10月31日の記者会見時点で侵入経路など含め調査中。*1
  • 障害の影響を受け、緊急的対応を要するものを除いた、外来診療、予定手術、新規救急受入の一時的な停止を行っている。10月31日夜時点でシステム復旧の目途はたっておらず、11月1日以降も同様の状況が継続すると同センターでは見込んでおり、暫定的に紙カルテで対応。また手術延期に伴い一旦退院となる患者もいる。診療受付に関する最新の情報は同センターのWebサイトに掲載。なお、診療報酬の計算もできない状態となっている。
  • 今回のシステム障害により入院予定の患者や外来診療など1日で600~1000人に影響が出た可能性。なお関連した情報流出の事実は確認していない。また患者の健康状態への影響に関わる問題も発生していない。(いずれも10月31日の記者会見時点)*3

サーバー画面上に脅迫メッセージ

  • ランサムウエアの具体的な名前の表記は確認できていないが、サーバー上の画面に英文の脅迫メッセージが表示されていた。
  • 脅迫メッセージの概ねの内容として、「全てのファイルを暗号化しました。復号したければメールを送ってください。24時間以内に返信がない場合はこのメールアドレス宛に送ってください。復号にはビットコインを支払ってください。金額はあなたがメールを我々にいかに早く送るかによって変わります。支払い後にすべてのファイルを復元するツールを送ります。」とするもの。なお、被害に遭ったのはサーバーでPCではランサムウエアは確認されていない。*4
  • 事前に講じていた対策について、同センターは徳島県の事例を受け、通信機器のファームエアやウイルス対策ソフト本体の更新(直近では2022年8月頃に実施)などセキュリティ対策を講じていた。
  • バックアップは週に1回フルバックアップを取得しており、差分バックアップを日次で取得。保存先はストレージ (HDD)及びテープ形式でも取得しているが保全状況やバックアップ先との接続箇所について安全性を含め状況を確認中。

※引用ここまで

攻撃者は標的を狙って攻撃する場合もありますが、多くは無差別に攻撃を仕掛けて侵入しやすい部分(脆弱性)を突いて侵入します。

攻撃された際には病院もそうですが、一般の企業も業務停止などの被害が予想されます。

ランサムウェア対策をされていない場合には、弊社へご相談くださいませ。

© AEGIS Security Systems