NVIDIA Container Toolkitの重大な脆弱性:CVE-2024-0132とその対策

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

NVIDIAの人気ツールに危険な脆弱性が発見!迅速な対応が不可欠です。本記事では、この問題の詳細と対策方法をわかりやすく解説します。

■脆弱性の概要

NVIDIA Container Toolkitに、深刻な脆弱性「CVE-2024-0132」が見つかりました。この問題は以下の特徴があります。

  • 影響を受けるバージョン:1.16.1以前のすべて
  • 脆弱性の種類:TOCTOU(Time-of-check Time-of-use)
  • CVSSスコア:9.0(クリティカル)

■この脆弱性がもたらすリスク

攻撃者がこの脆弱性を悪用すると、次のような深刻な被害が発生する可能性があります。

  • リモートコードの実行
  • サービス拒否(DoS)攻撃
  • 特権の不正取得
  • 機密情報の漏洩
  • データの改ざん

■対策方法

即時アップデート

  • NVIDIA Container Toolkit:バージョン1.16.2へ更新
  • NVIDIA GPU Operator使用者:バージョン24.6.2への更新を検討

セキュリティツールの活用

  • Trend Vision One™などを使用し、脆弱性を事前に検出
  • コンテナイメージのスキャンと実行時の脆弱性検出を実施

システム全体のセキュリティ強化

  • 定期的なセキュリティ監査の実施
  • 最新のセキュリティパッチの適用

■注意点

  • Container Device Interface(CDI)がNVIDIA GPUへのアクセスを指定している場合は影響を受けにくいですが、多くの環境ではこの条件が満たされていない可能性があります。
  • 関連する脆弱性CVE-2024-0133(CVSSスコア4.1、中程度)にも注意が必要です。

■まとめ

NVIDIA Container Toolkitの脆弱性CVE-2024-0132は非常に深刻です。影響を受ける可能性のあるシステムは、速やかに最新バージョンへのアップデートを行い、包括的なセキュリティ対策を講じることが重要です。迅速な対応で、あなたの組織をサイバー攻撃から守りましょう。


Security NEWS TOPに戻る
バックナンバー TOPに戻る

サイバーインシデント緊急対応

サイバーセキュリティ緊急対応電話受付ボタン
SQAT緊急対応バナー

ウェビナー開催のお知らせ

  • 2024年10月23日(水)13:00~14:00
    【好評アンコール配信】
    インシデント発生の事前準備・事後対応-拡大するサイバー攻撃への対策方法とは-
  • 2024年11月6日(水)12:50~14:00
    【好評アンコール配信】
    自動車業界の脅威を知る!自工会・部工会サイバーセキュリティガイドラインから学ぶセキュリティ対策
  • 2024年11月13日(水)14:00~15:00
    ウェブ担当者必見!プライバシー保護規制対応と情報セキュリティ-サイバー攻撃への事前・事後対応-
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    APIとは何か(1)~基本概念とセキュリティの重要性~

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    APIは、システム間のデータや機能のやり取りを円滑にするために欠かせない技術です。しかし、その利便性の反面、APIのセキュリティリスクも増大しています。本シリーズでは数回にわけて、APIの本質的な役割から、セキュリティリスクとその対策までを解説していきます。シリーズ第1回目の今回は、APIの基本的な定義から、その仕組みや連携方法、そしてセキュリティ上の課題について学びます。

    APIとは

    API(Application Programming Interface:アプリケーション・プログラミング・インターフェース)とは、ソフトウェアの機能を他のプログラムでも利用できるようにするための仕組みです。APIは、アプリケーションやサービスが外部のプログラムと情報や機能を共有する際の「インターフェース」として働き、異なるプログラム同士の連携を可能にします。例えば、地図情報を提供するアプリがAPIを利用して他のアプリに地図データを提供することで、ユーザは別のアプリ内でもその機能を活用できるようになります。

    APIの仕組み -API連携とは-

    ソフトウェアやアプリ、プログラム同士を、APIを介して機能連携させるのが「API連携」です。あるソフトウェアに他のソフトウェアの機能を埋め込むイメージです。API連携によってソフトウェア同士が相互にデータと機能を共有できるようになります。

    【APIの活用例】

    社内業務システム : チャットAPIを活用してコミュニケーション
    会員サービスサイト : SNSアカウント認証APIでログイン
    ネットショップ : クレジットカード・認証APIで決済
    飲食店サイト : 地図情報APIで店舗位置情報表示 × 予約受付APIで予約対応

    APIのセキュリティ

    APIは異なるソフトウェア間の通信を可能にしますが、同時に攻撃者にとっての格好の標的にもなり得ます。そのため、APIを利用する企業やアプリケーション開発者にとってAPIのセキュリティ対策は重要な課題です。セキュリティリスクは他のプログラムやサービスと機能やデータを共有しているAPI特有の仕組みから生じます。APIが不適切に設計・管理されていると、未認証のアクセス、データ漏洩、機密情報の不正取得といったリスクが高まります。以下は、APIセキュリティに関する主なリスクの例です。

    • データ漏洩: APIを通じて個人情報や機密情報が漏洩するリスク
    • 不十分な認証:認証要素が不十分なことによる不正アクセスのリスク
    • サイバー攻撃:標的型攻撃、インジェクション攻撃やDoS攻撃などのサイバー攻撃を受けてしまうリスク
    • APIキーの窃取: APIキーが盗まれることによる不正利用のリスク

    APIのセキュリティはなぜ重要なのか

    スマートフォンやIoT端末の普及に伴い、様々なAPIが利用されるようになりました。SNS事業者が提供するAPIサービスやスマートフォン向けのAPIサービスがあるほか、複数のSaaSのAPIを連携させるサービスも登場しており、私たちを取り巻くあらゆるサービスで幅広く提供されています。このため、APIをターゲットにした攻撃も増加しています。
    (※APIを悪用した攻撃についてはシリーズ第2回目で解説します。)

    APIセキュリティが重要視される理由は、現代社会においてAPIがデータや機能の共有に不可欠な役割を果たしているためです。APIを通じてやり取りされるデータや機能は、悪意のある攻撃者に狙われる可能性があり、適切なセキュリティ対策がなければ、情報漏洩やシステム侵入のリスクが増大します。特に、認証や認可の不備、暗号化の欠如が原因で、機密データが外部に漏れるケースが多く見られます。また、APIは外部に公開されることが多いため、DDoS攻撃やボットによる過負荷のリスクも存在します。したがって、APIの設計段階からセキュリティを考慮し、定期的な監視や脅威の検知を行うことが、システム全体の安全性を保つために不可欠です。

    また、企業やアプリケーション開発者にとっては、信頼性と顧客データ保護に直結する重要な要素でもあります。適切なセキュリティ対策を講じることで、データの改ざんや不正アクセスを防ぎ、システムの安全性を確保することができます。

    まとめ

    (Application Programming Interface:アプリケーション・プログラミング・インターフェース)とは、ソフトウェア間で機能や情報を共有するための仕組みであり、異なるプログラム同士を連携させます。APIは、地図情報の提供やSNSアカウントの認証など、さまざまな用途で活用されており、現代のデジタルサービスには欠かせない存在です。しかし、APIはその便利さの反面、攻撃の標的にもなりやすく、セキュリティの観点から注意が必要です。APIの不適切な設計や管理は、データ漏洩、不正アクセス、サイバー攻撃のリスクを高めます。特に、認証や認可の欠如、適切に暗号化がされていないことなどにより機密情報が漏れる恐れがあります。また、外部に公開されるAPIはDDoS攻撃やボットのターゲットになることもあります。そのため、企業のセキュリティ担当者やアプリケーション開発者はAPIのセキュリティ対策を講じ、定期的な監視や脅威の検知を行うことが不可欠です。これにより、信頼性を維持し、顧客データの保護が可能となります。

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    【続】プログラミング言語の脆弱性対策を考える:2024

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    本記事は2020年9月公開の記事「プログラミング言語の脆弱性対策を考える」の続編となります。前回の記事をまだご覧になっていない方はぜひ、この機会にご一読ください。

    いま「C言語の脆弱性対策について簡単に教えて」と生成AIに尋ねてみると、弊社SQAT.jpの記事が引用記事として出てきます。前回の記事を公開してからそろそろ5年ぐらいの月日がたつということで、今回は2024年版のプログラミング言語をめぐる状況と、ちょっとした脆弱性対策に関する情報をご紹介します。

    2020年から2024年で変わったこと

    生成AIの汎用化

    2024年の夏、最初の会社の同期20人で5年ぶりに集まりました。その中でコードを業務で書いているメンバーが同じテーブルに集まったとき、最初に出た話題は「生成AIって何使っている?」でした。所属する会社も違い、使っている言語はバラバラ、コードを書く目的や環境、書く頻度もまちまち、利用する生成AIもバラバラなのですが、全員が生成AIを使っていることに少々驚きました。この友人が全員口をそろえて生成AIについて評価していた点は、コードを作るときに最初にかかる時間と手間が圧倒的に削減されるという点です。

    これまでは「こういうことを処理するコードを作ろう」と思うと、わかるところは先に大まかに書いたうえで、わからないところや怪しい部分はプログラミング言語のリファレンスをひっくり返し、Webで検索し、情報を集めたうえでコードスニペットを起こし、実際のコードとして動かし…という順で作業していました。一方、生成AIを使う場合はこういったことをやろうと思った時点で足りない部分を生成AIに質問すればスニペットが返ってくる(場合によってはコードブロックが返ってくる)ので、コードづくりの前半部分の悪戦苦闘がかなり軽減されます。

    ところが、短所もいくつかあります。まず生成AIサービスが免責事項として常に掲げるように、必ずしも正しい答えが返ってくるわけではない点には理解が必要とされるところです。
    引用元をよくみると、古いバージョンの言語に基づいたQ&Aサイトの回答を参照していることもよくありますし、プロンプトに対して素直に答えるという性質上、 プロンプトに入れていない前段処理に対して不整合が発生する内容のスニペットが回答される、といったことはわりと日常茶飯事です。

    学習データやプロンプトの入れ方次第では返答されるコードスニペット自体にエラーや脆弱性が含まれる場合もあります。プロンプトに関係のない前後の処理との不整合でエラーが発生したり、他のコードブロックとの兼ね合いでエラーが発生したり、そのエラーが結局脆弱性につながるものだったりという可能性は十分にあります。

    また、一般的な商用サービスの生成AIでは入力が学習データに使用されます。つまり自身が入力したデータが流用されるという前提でサービスを利用することになります。このため、自社の知的所有権への配慮や、個人情報や機微情報、場合によっては非公開情報全般への配慮が必要となる点にも注意が必要です。エンタープライズサービスとしてこういったことを回避するサービスもありますが、それ相応の費用が必要となります。

    ただ、自前で大規模言語モデル(LLM:Large language Models)をつくるよりも人件費や設備費用などが圧倒的に安価で手軽であるという点では規模の経済性を実感するところはあります。そういった観点から、将来、どの企業でも自社でAIを全く使わないという選択肢はあまりないかと思います。プログラミングに限らずですが、AIとほどよく付き合って効率的に仕事を進めつつ、エラーや脆弱性をきちんと見逃さない仕組みをもって問題を回避していく、
    そういう仕事法になっていくかもしれません。

    ノーコードとローコード

    以前からどちらも存在はしますが、2020年代に入ってからノーコードやローコードといった選択肢が増えてきています。

    ノーコード
    プログラミングの知識がなくてもアプリケーションを開発できる手法です。専門的なコードを書くことなく、ドラッグ&ドロップなどのビジュアル操作で簡単にアプリケーション開発ができます。ITの専門スキルがない人でもアイディアをデジタル化できる点が特徴です。小規模なプロジェクトの開発に適しています。
    ローコード
    最小限のプログラミングでアプリケーションを開発する手法です。基本はビジュアル操作ですが、必要に応じて一部コードを書きます。柔軟性とスピードのバランスが特徴です。

    最近だとAWSがローコード構築サービスをリリースした*1のが一例となるでしょう。ノーコードやローコードを使用するメリットとしては、各業務の定義やフロー、プロセスが明確であれば定型業務やバックヤード業務の一部を合理化できることです。効率化することで時間短縮ができ、別のより生産性の高い仕事に人を割り振れるといった副次的な効果も期待できます。ただ、業務の内容が不明確な場合や、業務が日々恣意しい的な運用をされている場合には大きなメリットを得ることは難しいかもしれません。

    ここで脆弱性の話です。実際ノーコードといっても実は補助的にパラメータの入力が必要な場合があります。また、外部とのAPI連携をノーコードの画面から実行するといった構成のノーコード機能を持っているSaaS(Software as a Service)もあります。そして誤ったパラメータの入力で入出力の脆弱性を発生させる可能性がある、APIとのやりとりの詳細はユーザでは見えない(SaaSのサポート担当者は見えるケースが多いようです)ため、誤った接続先に接続していた場合や連携しているAPIになんらかの脆弱性があった場合に切り分けが煩雑になるといったところは懸念材料として頭の片隅に置いたほうが良いでしょう。

    ノーコードもローコードも非常に便利です。そのノーコードフロー自体の仕組みやパラメータの動きや連携先のAPIの信頼性などを理解したうえで使えば、劇的に効率化が図れるため、API同様にうまく付き合っていくということが重要になるのではないでしょうか。

    プログラミング言語

    専門家たちがどのプログラミング言語を使っているかというデータが、毎年Stack Overflowから発表されます。2020年と2024年でどの程度変わったか、比較をしてみましょう。

    言語2024年2020年
    JavaScript64.60%69.70%
    HTML/CSS54.10%62.40%
    Python53%41.60%
    SQL47%56.90%
    TypeScript43.40%28.30%
    Bash/Shell34.20%34.80%
    Java30.00%38.40%
    C#28.80%32.30%
    C++20%20.50%
    C18.70%18.20%
    PHP16.90%25.80%
    PowerShell14.40%注 1)
    Go14.00%9.40%
    Rust11.70%4.80%
    Kotlin9.90%8.00%
    Dart6.00%3.70%
    Ruby5.80%7.50%
    Lua5.30%ランク外
    Swift4.90%6.10%
    Visual Basic4.10%ランク外

    出典:Stack Overflow Developer Survey2020年版/2024年版より弊社作成
    2020年版:https://survey.stackoverflow.co/2020#technology-programming-scripting-and-markup-languages-professional-developers
    2024年版:https://survey.stackoverflow.co/2024/technology#most-popular-technologies-language-prof

    ここからは2020年と2024年の脆弱性診断結果の比較で目についた点を深堀りしてみたいと思います。

    プログラミング言語と適材適所

    前述した「専門家たちはどのプログラミング言語を使っているか」というデータの表からもわかるとおり、このWeb大全盛の時代に「PHPを使う」と回答したエンジニアの比率は下がっています。また、BBSecのシステム脆弱性診断結果からもPHPの脆弱性報告件数が減っていることがわかります。米国の脆弱性情報データベースNVDによるとPHPの脆弱性自体の数が減っている*2(2019年が34件に対して2023年は6件)ということも関連があるかと思いますが、診断結果のエビデンスで見かける機会も減っています。

    脆弱性の存在するバージョンの使用の検出内訳

    (上図:2020年上半期、下図:2024年上半期)

    2020年上半期
    2024年上半期

    当社が発行するセキュリティレポートでは、半期(6か月)毎にBBsec脆弱性診断の結果を集計・分析。その傾向を探るとともに、セキュリティに関する国内外の動向を分かりやすくお伝えしています。
    最新号のダウンロードはこちら

    GitHubでのプルリクエスト(機能追加や改修など、作業内容をレビュー・マージ担当者やその他関係者に通知する機能)の数も2013年をピークにここ数年は5%台半ばでの微増微減を繰り返している状態になっています*3。けれど、現在稼働しているWebサイトのうち75.8%がPHPを使用している*4といわれていることも事実です。また、CMSの代名詞ともいえるWordPressはPHPで開発されているのですが、WordPress 注 2)が全Webサイトの実に43.4%で使用されています*5。つまり、WebサイトのうちPHPを使っているサイトは76%ぐらいあるけれど、半分以上はWordPressとその派生のパッケージが市場シェアを支えているという構造になっています。そのため、実際に動いているサイトのほとんどがPHPであることは間違いないですが、その大半はWordPressで、それ以外のサイトは少数派というのが現状です。

    PHPの強みはWeb開発に特化した、可読性が高く学習しやすい言語である点です。小中規模でセキュリティ要件があまり高くないWebサービスやCMSであればPHPで開発するのが一番便利であり、保守性も高いでしょう。一方で、大量のデータの処理・分析が必要なケース、セキュリティへの配慮からバックエンドとフロントエンドを切り離して開発・運用する必要があるケース、パフォーマンスが重視されるケース、マルチデバイス対応が必要なケースなど、PHPでは要件を満たさないケースが出てきていることも事実です。

    PHPの市場をけん引しているCMSでも、「ヘッドレスCMS」と呼ばれるタイプなど、これまでとは異なるCMSへの需要が伸びているといわれています。今後は、旧来のCMSや中小規模のWebサイトはそのままPHP、マルチデバイスやパフォーマンス、バックエンドへの特殊な処理要件やセキュリティ要件などがある場合は別の言語といった形で、さらにすみわけが進んでいくのかもしれません。そういった意味でも “WebならPHP” という時代から、”適材適所でWeb開発も言語を選ぶ” 時代になってきたといえるでしょう。

    2024年のC言語

    C言語系統で開発というと「2024年でもまだ?」という声が上がりそうなところですが、実際C言語系統はOSまわりでいまだに健在です 注 3)。また古いプログラム(コード、ドライバなど)で互換性が保証される場合はそのまま利用されているケースもあるといわれています。つまりは、C言語系統の言語が抱える根本的な問題、メモリハンドリング(メモリの使い方の変化に伴うメモリエラーを適切に処理する能力)関連の問題もいまだにそこかしこで健在しています。この問題が特に注目を集めたのが、昨今のCrowdStrike Falconのエラーを含んだパターンファイルの配布によるBSOD(Blue Screen of Death)の大量発生です。

    関連情報

    弊社では、10月16日(水)に開催予定のウェビナーのオープニングセッションとして、「10分でわかるCrowdStrike障害」を取り扱います。ご関心がおありでしたらぜひお申込みください。詳細はこちら


    この問題で再び脚光を(よくない形で)浴びたのがC系統言語の問題です。NULLポインタ参照は、現代の脆弱性の考え方からいうと非常に危険な脆弱性を発生させる原因の一つになります。これらすべての原因は以前にもご紹介した通り、メモリハンドリングを行う言語であるがゆえに発生することです。メモリまわりの脆弱性(元をたどればバグ)の発生頻度を、プログラミング言語自体を変えることで抑えたいと思っている人は多数いて、その結果、よりメモリハンドリング関連の問題が少ないRustへの移行を行うという動きが出てきています。最初期の例としてはMozilla ServoのレンダリングエンジンがC++からRustに書き換えられたもの*6が挙げられるでしょう。Microsoftも、OSの一部をRustに書き換えることについて2022年~2023年に言及しています。

    最近ではGoogle AndroidがドライバのRustへの置き換えが順調である旨をブログで発表*7しています。また、DARPA(アメリカ国防高等研究計画局)ではC/C++をRustに置き換えるためのプログラム「TRACTOR」で大規模言語モデルを利用した置き換えを行うことを発表*8しています。TRACTORほど大規模ではなくても、CからRustへの移行ツールがGitHubコミュニティで活発に開発されています。もちろんRustへ移行すれば即座に完全にメモリハンドリングの問題から100%解放されるわけではありません。また、C言語系統のプログラムの置き換え先がRustしかないわけでもありません。ですが、現在進行しているRustへの置き換えはC言語しかなかった時代の最後にして最大の遺産であり、OS周りのC言語依存からの脱却への一歩となることでしょう。


    注:
    1) 2020年版はBash/Shell/PowerShellが1つにまとめられているため、PowerShell個別のデータはなし。
    2) WordPressはWordPress本体よりもそのプラグインの脆弱性が多く報告されています。また、WordPress専用の脆弱性・マルウェアスキャナはたくさんありますが、2024年9月にはWordPressのコミュニティへの投稿でスキャナ検出ができないマルウェアがあるといった旨の投稿があるなど、その市場シェアを狙った動きも伺えます。こうした動きについては最新の情報を追うなどし、対策の実施を検討されることをおすすめします。
     参考:https://wordpress.org/support/topic/new-malware-found-in-wordpress-installations-hidden-admin-users-redirects-and/#post-18010647
    3) Windows OSに限らず、多くのOSはC言語系統の言語をOSの開発に使用しています。Windowsの場合はCとC++が使用されています。ここにCrowdStrike FalconはC言語系統で書かれたセンサーとパターンファイルを使用してマルウェアや侵害行為の検出をしています。セキュリティ製品あるあるで、センサー自身がシステムブート時に読み込み必須なドライバとなっています。BSOD大量発生の件は、CrowdStrikeのQAプロセスが不十分だったことが大きな原因ではありますが、パターンファイルに不整合がありメモリの境界外読み取りエラーを発生させました。センサーはシステムブート時に読み込み必須なドライバとなっているため、Windows OS起動時にCrowdStrike Falconのセンサーを起動する必要がありましたが、問題のパターンファイルが境界外読み取りエラーを発生させたため、問題のパターンファイルがインストールされたすべてのWindowsマシンがブートできず、ブルースクリーンを表示するだけの箱/板になってしまう状況に陥りました。これが2024年7月にニュースになったインシデントの概要です。
     参考:https://www.crowdstrike.com/wp-content/uploads/2024/08/Channel-File-291-Incident-Root-Cause-Analysis-08.06.2024.pdf


    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    国内で被害多発!ランサムウェア被害を最小化するためのリスク可視化とリスクアセスメント

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ランサムウェアの脅威は近年増しており、企業に甚大な被害をもたらしています。本記事では、ランサムウェアの脅威や被害の実態を紹介し、サイバーレジリエンスの重要性や、リスクの可視化の重要性と対応策について解説いたします。また、リスク可視化ツールの紹介や、企業が守るべき情報資産とその保護方法についてもご紹介します。

    ランサムウェアの脅威

    ランサムウェアは、データを暗号化することで使用できなくし、その復旧(復号)のために身代金を要求するマルウェアの一種ですが、昨今では「ノーウェアランサム」と呼ばれる新たな攻撃の手口が登場しました。従来のランサムウェアのようにデータを暗号化するのではなく、窃取したデータを公開すると脅し、データの公開を防ぎたければ対価を支払えと要求するものが増えてきています。このように高度化・多様化し続けるランサムウェアは、いまやサイバー空間における主要な脅威の一つと化しています。今年(2024年)も、多くのランサムウェア関連のインシデントが発生しており、大手企業、中小企業問わず多くの企業が被害を受けています。そして、ランサムウェアの脅威が増大する中、それに対応するサイバーセキュリティの取り組みも必須となってきています。

    ランサムウェアの脅威画像
    出典:警察庁「令和5年におけるサイバー空間をめぐる脅威の情勢等について
    図表19:企業・団体等におけるランサムウェア被害の報告件数の推移

    ランサムウェア被害の実態

    2023年に発生した名古屋港の名古屋港統一ターミナルシステム(NUTS: Nagoya United Terminal System)が攻撃を受けた事例では、日本一の取扱量を誇る名古屋港で、輸送コンテナの積み下ろしができなくなるなどして、日本社会に非常に大きなインパクトを与えました。今年2024年も多くのランサムウェア攻撃が話題になっていますが、中でも大手出版グループがランサムウェア攻撃を受けた事例では、情報漏洩やサービス停止、物流機能や経理機能が停止するなど、様々な被害をこうむりました。同グループは2024年4~6月期連結決算で、特別損失20億円を計上しています。

    2024年のランサムウェアインシデント例

    時期概要
    5月頃自治体や企業から印刷業務などを請け負っている企業がランサムウェア被害を受けたことで、複数の委託元組織の情報を漏洩した*9
    5月頃医療機関が被害を受け、電子カルテを含めた総合情報システムが停止し、患者情報も漏洩した*2
    6月頃大手出版グループが被害を受け、個人情報漏洩、サービス停止、社内システムの停止といった被害を受けた*3
    6月頃大手電機グループの関連企業がランサムウェア攻撃を受け、情報漏洩の疑いがあると発表した*4
    7月頃大手保険企業が、委託先の税理士法人がランサムウェアに感染したことで、契約者や元社員ら計約2万7800件の情報が外部に漏洩した恐れがあると発表した*5

    サイバーレジリエンスの考え方

    サイバー攻撃の手法は高度化・多様化しており、ランサムウェア攻撃について、完全に防ぐことは難しいと言わざるを得ません。そこで、攻撃を未然に防ぐことだけに依存するのではなく、レジリエンスを高める考え方へとシフトする必要があります。レジリエンスとは、システムや組織が攻撃や障害に直面した際に、その影響を最小限に抑え、迅速に復旧する能力を指します。これには、事前にリスクを評価し、予防策を講じることに加え、攻撃に備えた対策を整えることが含まれます。

    具体的には、データの定期的なバックアップ(物理的にネットワークから切り離して保管することが望ましい)を実施することで、攻撃を受けた場合でも迅速にデータを復旧できるようにすることが重要です。また、従業員に対する教育や訓練を通じて、攻撃の兆候に気づき、適切に対応できるスキルを持たせることもレジリエンスの一環です。

    加えて、事後対応として、攻撃を受けた際の対応手順を明確にし、迅速な復旧を図るための計画を策定しておくことも重要です。これにより、攻撃による業務停止やデータ流出のリスクを最小限に抑え、被害を軽減することが期待されます。レジリエンスを高めることは、サイバー攻撃が避けられない現代において、組織が安定して事業を継続させるために重要な戦略です。

    リスク可視化の重要性

    ランサムウェア対策において、その被害の影響範囲を事前に把握しておくことは非常に重要です。システム内の脆弱性を悪用されると、攻撃によってどのような影響が生じるかを理解し、リスクを可視化することが求められます。こうしたリスクの明確化・現状把握が、効果的なセキュリティ対策を実施するうえで欠かせない要素です。

    まず、リスクの明確化とは、システム内のどこに脆弱性が存在し、その脆弱性が攻撃された際にどのような被害が発生するかを具体的に理解することです。これにより優先順位をつけて脆弱性対策を実施することが可能になります。また、リスクを明確にすることで、有効なセキュリティ対策を適切に実行することが可能となり、限られたリソースを効果的に活用することができます。これらの取り組みが、有事の被害を最小限に抑えるための体制を整えること、ひいては、組織全体のセキュリティレベルを向上させることにつながります。

    リスク可視化ツール

    システムなど技術的側面からだけでなく、作業手順や業務フロー、作業環境、組織のルールなどの運用面も含めてリスク評価を行うことを「リスクアセスメント」と呼びます。システムが技術的に強固に守られていても、アクセス用のIDとパスワードを付箋紙に書いてモニターに貼り付けていたら、安全は保たれるべくもありません。リスクの棚卸しによる現状把握で、優先順位をつけて対策を講じることが可能になります。

    伊藤忠サイバー&インテリジェンス株式会社からは、「ICIリスクアセスメントツール」が無料公開されています。このようなツールを利用することで、客観的な視点で組織のセキュリティ状況を俯瞰的に評価することができ、内部の盲点や見過ごされがちな脆弱性を明確にし、組織が直面するリスクの全体像を把握することができます。

    “なに”を守るか、“どう”守るか

    情報セキュリティのリスクに関して、最も重要であり、確実に保護しなければならないのは、「重要情報(データ)」です。リスクの洗い出しを行う際には、最初に保護すべき資産が“なに”であるかを明確にし、その次にそれらを“どのように”守るべきかという視点で考える必要があります。情報セキュリティリスクにおいて、保護すべき最も重要な資産は「情報(データ)」であり、これが適切に管理されなければ、企業にとって大きな損失となる可能性があります。リスクの洗い出しは、まず「保護すべき資産」を特定することから始まります。そして、その資産がどのように攻撃される可能性があるのか、またどのような影響を受ける可能性があるのかを把握します。さらに、以下のようなステップを通じて、保護すべき情報を特定し、効果的なセキュリティ対策を構築していくことが重要です。

    セキュリティ対策は専門家に相談を

    組織が直面するリスクは、業種や規模、サプライチェーンの特性、取り扱う情報の性質、システム環境の状況、そしてセキュリティ対策の度合いなど、さまざまな要素によって異なります。特に近年では、ランサムウェアによる攻撃が大きな脅威となっており、企業に甚大な被害をもたらす可能性があります。リスクを効果的に管理するためには、まず自組織が内包するリスクを客観的に見極め、ランサムウェアを含む各種リスクに対して優先度に応じた対策を検討することが重要です。

    このプロセスにおいては、第三者視点でのリスクの検知と評価が不可欠です。特に、専門的な知識を持つセキュリティベンダーの協力が有効です。専門家の助言を受けることで、組織が持つ特有のリスクへの具体的な対策を講じ、リスクを最小限に抑えることが可能となります。信頼できるセキュリティベンダーと協力体制を築くことで、ランサムウェアをはじめとするサイバー攻撃から組織を守り、安全性を確保しましょう。

    BBSecでは

    ブロードバンドセキュリティでは、企業組織のランサムウェア対策のレジリエンスを評価するために下記サービスをお勧めしております。

    ※外部サイトにリンクします。
    アタックサーフェス調査バナー

    また、従業員への教育サービスとして以下もご用意しております。

    標的型攻撃メール訓練

    ※外部サイトにリンクします。

    ウェビナー開催のお知らせ

  • 2024年9月11日(水)14:00~14:30
    CVSSとSSVCで実践する次世代脆弱性管理:サイバー攻撃対策セミナー2024
  • 2024年9月18日(水)13:00~14:00
    【好評アンコール配信】
    ランサムウェアの脅威を知る-脅威に備えるためのランサムウェア対策-
  • 2024年9月25日(水)13:00~14:00
    【好評アンコール配信】
    ランサムウェア対策の要~ペネトレーションテストの効果、脆弱性診断との違いを解説~
  • 2024年10月2日(水)13:00~14:00
    【好評アンコール配信】
    サイバー攻撃に備えるために定期的な脆弱性診断の実施を!
     - ツール診断と手動診断の比較 –
  • 2024年10月9日(水)13:00~14:00
    【好評アンコール配信】
    システム開発のセキュリティ強化の鍵とは?
     -ソースコード診断で手戻りリスクとサイバー攻撃を未然に防ぐ-
  • 最新情報はこちら

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    セキュリティトピックス動画申し込みページリンクへのバナー画像

    SQLインジェクションで航空セキュリティシステムをハッキング!あなたのフライトは安全?

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    近年、航空機のセキュリティはますます厳しくなってきています。しかし、私たちが安心して空の旅を楽しんでいる裏側で、実は深刻なセキュリティ問題が潜んでいることをご存知でしょうか?この度、イアン・キャロルサム・カリーは、空港のセキュリティシステムに存在する重大な脆弱性を発見しました。この脆弱性を悪用すると、誰でも簡単に航空会社の乗組員になりすまし、セキュリティチェックなしで機内に乗り込むことが可能になります。さらには、コックピットへの不正侵入もできてしまうのです。

    KCMシステムとは?

    KCM(Known Crewmember)システムは、航空会社の乗務員がスムーズに空港のセキュリティチェックを通過できるようにするためのシステムです。乗務員は、特別なバーコードやIDを提示することで、通常のセキュリティ検査を免除されることができます。

    脆弱性の発見

    イアン・キャロルとサム・カリーが注目したのは、KCMシステムを運営しているベンダーの一つであるFlyCASSという会社でした。FlyCASSのシステムには、SQLインジェクションという脆弱性が存在しており、この脆弱性を利用することで、誰でもシステムに不正にアクセスし、乗組員の情報を自由に書き換えたり、新しい乗組員を追加したりすることが可能になっていました。

    問題の深刻さ

    この脆弱性がもたらす影響は計り知れません。

    • セキュリティの崩壊: 航空機のセキュリティの根幹を揺るがすものであり、テロなどの悪質な行為に悪用される可能性も否定できません。
    • 乗客の安全への脅威: 不正に機内に乗り込んだ人物が、機内で暴れたり、機体を操作したりする可能性も考えられます。
    • 航空業界への信頼の失墜: このような重大なセキュリティ問題が発覚した場合、航空業界全体の信頼を失墜させ、人々の航空機に対する不安感を煽る可能性があります。

    開示とその後

    イアン・キャロルとサム・カリーは、この問題の深刻性を認識し、速やかに関係各機関に報告しました。しかし、残念ながら、問題の修正には時間がかかり、また、関係各機関からの対応も遅々として進まなかったという現状があります。

    対策

    この問題を解決するためには、以下の対策が急務です。

    • 脆弱性の迅速な修正: FlyCASSをはじめとする関連企業は、脆弱性を早急に修正し、システムの安全性を確保する必要があります。
    • セキュリティ意識の向上: 航空業界全体で、セキュリティに対する意識をより一層高め、定期的なセキュリティ監査を実施する必要があります。
    • 法整備の強化: 航空機のセキュリティに関する法整備を強化し、このような事態が再び起こらないようにする必要があります。

    まとめ

    今回の発見は、航空業界のセキュリティシステムを信頼しきってはいけないことを示すものであり、私たちに大きな警鐘を鳴らしています。私たちは、この問題をきっかけに、より安全な航空業界の実現に向けて、社会全体で取り組んでいく必要があるでしょう。

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    ウェビナー開催のお知らせ

  • 2024年9月11日(水)14:00~14:30
    CVSSとSSVCで実践する次世代脆弱性管理:サイバー攻撃対策セミナー2024
  • 2024年9月18日(水)13:00~14:00
    【好評アンコール配信】
    ランサムウェアの脅威を知る-脅威に備えるためのランサムウェア対策-
  • 2024年9月25日(水)13:00~14:00
    【好評アンコール配信】
    ランサムウェア対策の要~ペネトレーションテストの効果、脆弱性診断との違いを解説~
  • 2024年10月2日(水)13:00~14:00
    【好評アンコール配信】
    サイバー攻撃に備えるために定期的な脆弱性診断の実施を!
     - ツール診断と手動診断の比較 –
  • 2024年10月9日(水)13:00~14:00
    【好評アンコール配信】
    システム開発のセキュリティ強化の鍵とは?
     -ソースコード診断で手戻りリスクとサイバー攻撃を未然に防ぐ-
  • 最新情報はこちら


    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    KADOKAWAランサムウェア被害状況

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    KADOKAWAグループが大規模なランサムウェア攻撃を受け、25万人以上の個人情報が外部に漏洩した事件の詳細が明らかになりました。本記事では、憶測、推測や犯罪者グループの声明をもとにした情報を排除してKADOKAWAグループからの公式発表をもとに漏洩情報の内容、対応策、そして今後の対策について解説します。

    KADOKAWAグループ、
    大規模サイバー攻撃による情報漏洩事件の全容を公開

    【事件の概要】

    2024年6月8日、KADOKAWAグループを襲った大規模サイバー攻撃の詳細が明らかになりました。この事件は、ニコニコ動画を中心としたサービス群を標的とし、グループの複数のサーバーにアクセスできない障害として始まりました。

    【漏洩した情報の詳細】

    調査の結果、この攻撃により合計254,241人分もの個人情報が外部に流出したことが判明しました。被害者には、ドワンゴ関連の取引先、元従業員、面接者、N中等部・N高等学校・S高等学校の関係者、角川ドワンゴ学園の従業員などが含まれています。漏洩した情報は氏名、生年月日、住所、電話番号、メールアドレス、口座情報など多岐にわたります。さらに、一部の契約書や社内文書といった企業情報も流出しており、被害の規模の大きさを物語っています。

    【対応策】

    KADOKAWAグループは迅速な対応を行い、専用のお問い合わせ窓口を設置するとともに、個別に対象者へ連絡を取っています。また、漏洩した情報の削除申請も積極的に実施しています。

    【原因と再発防止策】

    今回の事件の原因は、フィッシング攻撃による従業員アカウント情報の窃取であると推測されています。再発防止策として、KADOKAWAグループはセキュリティ専門企業の助言を受けながら、さらなる対策を講じる方針を示しています。

    【二次被害防止への取り組み】

    二次被害を防止するため、同グループはSNSや匿名掲示板での情報拡散行為に対する監視を強化しています。悪質な投稿に対しては削除要請と発信者情報開示請求を行い、必要に応じて刑事告訴・告発の準備も進めています。

    【注意喚起】

    KADOKAWAグループは、漏洩情報の拡散行為が法的措置の対象となる可能性を強調し、一般ユーザーに対してもフィッシングメールなどの不審なメールへの注意を呼びかけています。

    【まとめ】

    この事件は、企業のサイバーセキュリティ対策の重要性を改めて浮き彫りにしました。KADOKAWAグループは今回の事態を重く受け止め、セキュリティ体制の強化と再発防止に全力を尽くすとしています。個人情報の取り扱いに関する企業の責任が厳しく問われる現代社会において、今後の対応と情報セキュリティ対策の進展が注目されます。

    情報漏洩、ランサムウェア攻撃などの脅威が増大する中、企業はより一層の警戒と対策が求められています。この事件を教訓に、多くの企業が自社のセキュリティ体制を見直し、同様の事件防止に向けた取り組みを強化することが求められます。

    本記事は以下のKADOKAWAグループ公式発表をもとに作成しています。情報漏洩に関するお問い合わせは以下URLよりKADOKAWAグループの専⽤窓⼝へご連絡ください。
    https://tp.kadokawa.co.jp/.assets/240805_release_f2Alq0nH.pdf

    なお、本件については様々な推測や憶測が飛び交っていますが、そういった情報を安易にSNS上等で公開することは犯罪者グループの活動に寄与してしまう可能性があることに注意が必要です。

    また本件をきっかけに自身の個人情報がダークウェブ上に公開されていないかを懸念される方もいらっしゃるかと思いますが、実際にダークウェブへアクセスするなどの行為は大変危険です。おやめください。

    自身の情報がダークウェブへと流出していないかを調べるには、Googleなどが提供している専用のモニタリングツールを用いるのが有効な策です。
    Googleの「ダークウェブ レポート」をご活用ください。

    詳細は以下のGoogleのヘルプをご参照ください。
    https://support.google.com/googleone/answer/13632847?hl=ja

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    ウェビナー開催のお知らせ

  • 2024年8月21日(水)14:00~15:00
    ランサムウェア対策の要~ペネトレーションテストの効果、脆弱性診断との違いを解説~
  • 2024年9月4日(水)14:00~15:00
    インシデント発生の事前準備・事後対応 -拡大するサイバー攻撃への対策方法とは-
  • 2024年9月11日(水)14:00~14:30
    CVSSとSSVCで実践する次世代脆弱性管理:サイバー攻撃対策セミナー2024
  • 2024年9月18日(水)13:00~14:00
    【好評アンコール配信】
    ランサムウェアの脅威を知る-脅威に備えるためのランサムウェア対策-
  • 2024年9月25日(水)13:00~14:00
    【好評アンコール配信】
    ランサムウェア対策の要~ペネトレーションテストの効果、脆弱性診断との違いを解説~
  • 最新情報はこちら


    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    内部不正による情報漏えい-組織全体で再確認を!-

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    国内の個人情報漏えい件数は年々増加傾向にあります。情報漏えい事故の原因の一つとして挙げられるのが、企業・組織内での内部不正行為によるものです。内部不正の脅威は、未然に防ぐことが難しく、インシデントが起こってしまうと、事業の根幹を揺るがすような事態にまで陥ってしまうことにあります。本記事では、内部不正の脅威と手口、そして発生を防ぐための対策方法について解説します。

    内部不正と人的要因

    2024年1月にIPA(情報処理推進機構)から発表された「情報セキュリティ10大脅威2024」において、「内部不正による情報漏えいなどの被害」という項目が、昨年度4位から順位を上げて3位となりました。また、昨年12月に発表されたその年のセキュリティに関する重要トピックスを取り上げるJNSA(日本ネットワークセキュリティ協会)による「JNSA 2023 セキュリティ十大ニュース」においては「元派遣社員の顧客情報持ち出し10年間、ずさんな内部不正対策」というニュースが2位となりました。このように、セキュリティにおける内部不正の問題は、着実にその重要度を増しています。

    内部不正行為とは何か?

    内部不正行為とは、組織の従業員や元従業員、あるいは業務委託先といった関係者が、重要情報や情報システムといった情報資産の窃取、持ち出し、漏えい、消去・破壊を行うことを指します。「不正」という言葉からの連想で、悪意ある行動を結びつけてしまいがちですが、悪意がなくとも、組織における情報管理規則に反して情報を持ち出したことによって、紛失や漏えいにつながってしまったというケースも、内部不正に含まれるため注意が必要です。

    情報漏えいと人的要因

    数多くの情報漏えいインシデントが報告されていますが、その要因に目を向けると、企業・組織内の従業員・元従業員、そして関連先や委託先企業の担当者による情報資産の持ち出し、紛失など、人的要因の多さが浮かび上がってきます。

    東京商工リサーチ「2023年「上場企業の個人情報漏えい・紛失事故」によると、情報の不正利用や持ち出しにより情報漏えいした件数は、前年の5件から約5倍に増加したといいます。実際、従業員が個人情報を不正に流出させたことによって刑事事件にまで発展したり、大手電力会社がグループの子会社を通じて顧客情報を不正に閲覧していたことが発覚したりと、様々な事故が起こりました。

    また、JIPDEC(日本情報経済社会推進協会)「2022年度 個人情報の取扱いにおける事故報告 集計結果」によれば、「誤配達・誤交付」が43.0%、「誤送信」が24.7%、「紛失・減失・き損」が11.2%となり、ここでもやはり人的要因の多さが目立ちます。

    なぜ人的要因が脅威になるのか

    人的要因による情報漏えいは、組織の技術情報や顧客情報などが持ち出されて、不特定多数に公開、あるいは競合他社に提供など、内部以外の人の目に触れることで被害が発生します。企業・組織においては、このような重要情報の管理責任が問われ、技術情報が漏えいしたことで競争力が著しく低下するなどの影響が考えられます。悪意のあるなしに関わらず、漏えいした情報の重要性や規模によっては、事業の根幹を揺るがす事態になりかねません。特に悪意がある内部の人間による不正では、被害が容易に大きくなることや、悪意のない不正によるものは未然に防ぐことは難しいといったことも脅威に繋がります。加えて、重要情報を持ち込まれた側の企業・組織においても、不正に取得された情報であることを知りながらも第三者に公開・提供した場合は、刑事罰を受ける可能性があることも覚えておく必要があります。

    内部不正はなぜ起きるのか

    内部不正の中で、特に人が故意に不正を行う要因についての理論の1つに、「不正のトライアングル」というものがあります。

    不正のトライアングル

    例として、「Aさんが顧客情報を、同業他社の転職先に持ち込んでしまった」という行為をしたとします。ここに、「機会」「動機」「正当化」という3つの要素を当てはめてみます。

    • 「機会」:Aさんは、顧客データをいつでも大量に持ち出せる状況にありました。
    • 「動機」:Aさんは、同業他社に転職するので情報を転職先にもっていき、転職先での業務を有利に進めたいと考えました。
    • 「正当化」:以前、先輩が情報を持ち出したという噂があり、自分も同様に黙認されるはず、と考えました。

    このように、「機会」「動機」「正当化」という3つの要素が相互に作用することで、不正が発生しやすくなるというのが「不正のトライアングル」の考え方です。

    内部不正の手口

    ここからは、代表的な内部不正の手口についてみていきましょう。

    付与されているアクセス権限の悪用

    担当業務よりも不用意に高い権限が付与されていて、それを悪用するという手口です。先のAさんの例でいえば、業務上必要な最低限の顧客情報にのみアクセスできる設定であることが適切であったのにもかかわらず、業務では不必要な情報までアクセスできる権限が付与されており、その結果、大量の顧客情報にアクセスできてしまった、というようなことが当てはまります。アクセス権は必要最小限のユーザにのみ付与し、業務に応じて適切な操作だけを可能にする管理が必要です。また、アクセス権限についての定期的な棚卸をして、現状に照らして適切な設定となっているか確認をすることも重要です。

    在職中に割り当てられたアカウントの悪用

    こちらは在職中に割り当てられたアカウントが退職後も削除されていなかったことを悪用し、そのアカウントで社内システムに不正にアクセスし、情報を入手してしまうというような手口です。営業秘密の漏えいについては、中途退職者によるものが多くを占めていることがわかっています。また、契約満了後または退職した契約社員による漏えいも発生しています。こうしたことから、在職中に使用していたアカウントが退職後も削除されていないと、内部不正の原因となることがわかります。

    組織で利用を認めていないクラウドや外部記憶媒体等による不正な情報持ち出し

    これはUSBメモリやHDD、SSDといった外部記憶媒体での持ち出しや、メールやクラウドストレージへの送信・アップロードによる持ち出し、スマホカメラでの撮影や、紙媒体にコピーしての持ち出し、といったものが含まれます。メールやクラウドについては、手軽に利用しやすいこともあり、私物のPCやスマホなどにメール送信したり、個人で契約しているクラウドサービスにアップロードしたりなど、悪意なく機密情報を持ち出すようなことが起こりえます。

    これらの手口が実行に移されるのは、付与されている権限やアカウントが必要ではないタイミングでも有効になっている状況や、外部に情報を持ち出すことができる状況の場合です。この状況は不正のトライアングルにおける「機会」にあたります。

    一方、「動機」や「正当化」については、当事者の内面が強くかかわってくるため、組織として対応するのは難しいところとなります。しかし、「機会」に関しては、従業員のセキュリティ意識向上はもちろんですが、情報の持ち出しができないよう、組織側でクラウドや外部記憶媒体の利用に制限を設けることができるため、対策が可能となります。

    内部不正に関連する法律

    もし内部不正行為によって技術情報や顧客情報を漏えいされた場合、漏えいした情報によっては個人情報保護法などによる法的なペナルティが科される可能性があります。組織として内部不正に意識を向け、内部不正行為をすると組織および行為者がどのような影響を受けるのかも含めて周知することが推奨されます。

    個人情報氏名、生年月日、住所、顔写真などにより生存する特定の個人を識別できる情報(他の情報と容易に照合でき、それにより特定の個人を識別できるものも含む)、「個人識別符号」が含まれる情報、要配慮個人情報、個人情報データベース 等個人情報保護法の対象
    安全保障貿易管理に関する重要技術情報武器、原子力、化学兵器、生物兵器、ミサイル、先端素材、材料加工、エレクトロニクス、電子計算機、通信、センサ、航法装置、海洋関連、推進装置、機微品目 等
    例)暗号技術、炭素繊維、半導体、情報セキュリティ技術、量子コンピュータ 等
    外為法により規制の対象
    営業秘密/限定提供データ秘密管理性、有用性、非公知性を満たし、秘密として管理されている情報
    例)製造方法、設計図、事業戦略 等
    限定提供性、電磁的管理性、相当蓄積性を満たし、秘密として管理されていない情報
    例)市場調査データ、ソフトウェア 等
    不正競争防止法の保護対象

    また、内部不正を行った者は、組織の規定により解雇等の懲戒処分を受ける可能性があります。このほか、内部不正の内容によっては、例えば以下のような法律に抵触し、罰則や損害賠償を負う可能性があります。

    • マイナンバー法:特定個人情報を提供したり業務で知りえたマイナンバーを第三者に提供・盗用したりすることによる罰則
    • 刑法:窃盗罪、横領罪、背任罪 等
    • 労働契約法:労働契約違反による解雇・懲戒処分 等
    • 民法:契約上の債務不履行もしくは 不法行為に基づく損害賠償 等
    • 労働法:秘密保持義務違反、競業避止義務違反 等

    内部不正防止の基本原則

    内部不正対策を考えるには、先に紹介した「不正のトライアングル」の3要素が揃ってしまわないようにすることが重要となります。「機会」「動機」「正当化」の3要素を完成させないための考え方の一つに、IPAが提唱している「内部不正防止の基本原則」がありますので、下に紹介いたします。

    このように、当該3要素をそれぞれ低減するという視点で、組織内で対策を検討する必要があります。特に「機会」の低減は検討すべき要素が多いため、重点を置くべき項目です。

    内部不正の事例

    「元従業員による経費精算システムへの不正アクセスの事例」を紹介します。

    2023年、元勤務先(A社)に不正アクセスして取得した情報をもとに、A社の取引先(B社)に対して誹謗中傷を流布していた男性が逮捕されたとの報道がありました。その元従業員の男性は、A社に個人的な恨みを持っていて、在籍中に使用したテスト用のアカウントでA社の経費精算システムに不正アクセスして、経費精算状況などをダウンロードした後、発信元を匿名化して通信できるTorを利用して、A社を誹謗中傷するメールをB社に送ったとのことです。その後、誹謗中傷メールを受信したB社が、A社に連絡したため犯行が発覚したようです。事件発生の原因は、テスト用のアカウントが削除されずに残っていたことです。このため、ID/パスワードを記憶していた元従業員に不正アクセスを許してしまいました。不正のトライアングルでいうところの『動機』を持っていた人物に対して、『機会』を与えてしまったということになります。

    そのほかの内部不正事例

    時期概要
    2022年2月自治体職員が住民基本台帳を不正に検索して得た個人情報を漏えいさせたことが判明し、同年11月5日、住民基本台帳法違反容疑により逮捕*6
    2022年9月飲食チェーンA社から飲食チェーンB社へ転職して、社長に就任した人物が転職の前後に元勤務先であるA社のデータを持ち出し、転職先のB社で両社の原価を比較する資料を作成させ、不正競争防止法違反容疑により逮捕*2
    2023年10月国内大手通信関連会社から、元派遣社員によって約900万件の顧客情報が流出したため、不正競争防止法違反容疑で逮捕。*3
    2023年12月国内大手部品メーカーの元社員が不正競争防止法違反の容疑で警視庁により逮捕*4

    内部不正の発生を防ぐための対策

    前提として、内部不正対策には経営層の積極的な関与が必要となります。サイバーセキュリティと同様に内部不正は経営課題の一つであり、内部不正対策の責任は経営者にあります。内部不正から組織を守るためには、組織全体で横断的な管理体制を構築する必要があるため、経営層の関与が不可欠です。また、従業員側はこれを理解し、内部不正の組織および個人に与える影響を理解して、行動する必要があります。悪意をもって内部不正に走るのはもってのほかですが、悪意はなくとも、規約に反して安易に情報を持ち出すような行動は厳に慎まなければなりません。

    【経営層】

    • 内部不正対策の体制と仕組みの構築
    • 事業リスクを理解した的確な意思決定

    【従業員】

    • 内部不正の定義とその影響を理解
    • 内部不正を起こさない行動の実践

    内部不正が起こってしまったら

    しかしながら、内部不正は絶対に発生しないと言い切ることができないのもまた事実です。このため、万が一、発生してしまった場合の対応について、知っておく必要があります。内部不正の被害を最小限に抑え、再発を防止するためには、「適切な報告/連絡/相談」「インシデント対応体制」「内部不正者に対する適切な処罰」を実現することが重要です。

    具体的に従業員ができることとしては、内部不正に気付いたら躊躇なく適切なエスカレーション先に報告/連絡/相談すること、インシデント対応チームによるヒアリングの実施や情報提供の要請があれば、きちんと対応することが大切です。経営層は、こうしたセキュリティ対応がスムーズに行える社内のセキュリティ文化の醸成といったことも視野に入れる必要があります。また、これは従業員や経営層共に言えることですが、内部不正者に対して、法律や社内規程で定められた処罰でない、個人的な謝罪を強制するような対応は慎みましょう。

    インシデント対応体制

    内部不正を含めた、インシデントが発生してしまったら、迅速にインシデント対応を行う必要があります。インシデント対応の目的は、インシデント発生による被害とその影響範囲を最小限に抑え、速やかに事業継続できるようにすることです。ただし、その達成に向けてのアプローチは企業ごとに異なります。

    BBSecのインシデント対応準備支援サービスは、これまで多数のお客様のインシデント対応体制構築をご支援してきた経験とノウハウに基づき、ITやセキュリティ専任者が不在の企業におけるインシデント体制構築から、CSIRTが設置されている企業やCSIRTの組成・運営を目指す企業まで、お客様のニーズやフェーズにあわせた最適なサービスを選択できるように豊富なインシデント対応準備支援メニューをご用意しています。
    インシデント初動対応準備支援はこちら

    内部不正による情報漏えいは、組織にとって重大なリスクとなります。しかし、適切な対策を講じることで、そのリスクを大幅に低減することが可能です。従業員一人一人がセキュリティ意識を持ち、組織全体で内部不正防止に取り組むことが求められます。

    BBSecでは

    サイバーインシデント緊急対応
    突然の大規模攻撃や情報漏えいの懸念等、緊急事態もしくはその可能性が発生した場合は、BBSecにご相談ください。セキュリティのスペシャリストが、御社システムの状況把握、防御、そして事後対策をトータルにサポートさせていただきます。

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    ウェビナー開催のお知らせ

  • 2024年8月21日(水)14:00~15:00
    セキュリティ担当者必聴!ペネトレーションテストと脆弱性診断 – 違いと効果、使い分けを解説
  • 最新情報はこちら

    Youtube動画公開のご案内

    ウェビナー過去動画、アナリストによるセキュリティトピックス解説動画およびサービス案内動画を更新しております。

    SQATチャンネルはこちら

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    セキュリティトピックス動画申し込みページリンクへのバナー画像

    任意のコード実行の危険性!ServiceNowの脆弱性「CVE-2024-5217」について

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    2024年6月、ServiceNowのNow Platformに重大な脆弱性「CVE-2024-5217」が発見されました。この脆弱性は、入力検証の不備に起因し、認証されていないリモート攻撃者が任意のコードを実行できる可能性があります。影響を受けるバージョンは、Washington DC、Vancouver、およびそれ以前のリリースです。CVSSスコアは9.2で、重要度は「クリティカル(Critical)」と評価されています。

    脆弱性の詳細

    「CVE-2024-5217」は、入力検証の不備に起因する脆弱性です。これにより、認証されていないリモート攻撃者が任意のコードを実行できる可能性があります。この脆弱性は2024年5月22日にCVEとして割り当てられました。

    • CVSSスコア:9.2(クリティカル)
    • CVE割り当て日:2024年5月22日

    影響範囲

    この脆弱性の影響を受けるバージョンは、Washington DC、Vancouver、およびそれ以前のNow Platformリリースです。認証されていないリモート攻撃者が任意のコードを実行するリスクがあります。特に、政府機関、データセンター、エネルギープロバイダーなどが標的となる可能性があります。

    • 影響を受けるバージョン:Washington DC、Vancouver、およびそれ以前のNow Platformリリース
    • リスク:任意のコード実行
    • 標的:政府機関、データセンター、エネルギープロバイダー

    攻撃の観測

    米セキュリティ企業Resecurityによると、「CVE-2024-5217」を悪用した攻撃が観測されています。標的には政府機関、データセンター、エネルギープロバイダー、ソフトウェア開発会社などが含まれます。攻撃者はペイロードインジェクションを利用し、サーバー応答内の特定の結果をチェックした後、第2段階のペイロードでデータベースの内容をチェックします。成功した場合、攻撃者はユーザーリストとアカウント認証情報をダンプします。

    • 攻撃手法:ペイロードインジェクション
    • 攻撃の結果:ユーザーリストとアカウント認証情報のダンプ

    修正パッチと対策

    ServiceNowは2024年6月のパッチサイクルで「CVE-2024-5217」を修正しました。修正パッチは既にリリースされており、未適用のシステムは早急にアップデートすることが推奨されます。パッチの適用により、任意のコード実行のリスクを軽減できます。

    • 修正の時期:2024年6月
    • 修正パッチのリリース状況:既にリリース済み
    • 推奨事項:システムを早急にアップデート

    【関連リンク】

    ・CISA(サイバーセキュリティインフラセキュリティ庁)
     KnownExploitedVulnerabilitiesCatalog
    ServiceNow ヘルプデスク
    Resecurityブログ記事

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    セキュリティトピックス動画申し込みページリンクへのバナー画像

    ランサムウェア攻撃にも悪用!VMware ESXiの脆弱性(CVE-2024-37085)

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    CVE-2024-37085の解説

    1.脆弱性の概要

    • 名称:CVE-2024-37085
    • 種類:認証バイパス脆弱性
    • 対象システム:VMware ESXi(仮想マシンを管理するソフトウェア)
    • 公開日:2024年
    • 対応状況:2024年7月のアップデートで修正済み

    2.リスクと影響

    • 深刻度:中(CVSSv3.1スコア: 6.8)
    • 潜在的な被害:
      • システムへの完全なアクセス権限の取得
      • データの漏洩
      • システムの乗っ取り
    • 攻撃者の条件:十分なActive Directory (AD) 権限を持っていること
    • 影響を受ける組織:VMware ESXiを使用する企業や組織
    • 既にランサムウェア攻撃グループよる悪用が確認されている

    3.対策方法

    • パッチ適用: VMwareが提供する最新のセキュリティアップデートを速やかに適用
    • システム監視:異常なアクセスや動作を監視し、迅速に対応
    • アクセス制御:Active Directoryの権限を見直し、必要最低限の権限に制限
    • バックアップ:定期的なデータバックアップを実施し、万が一の際に備える
    • 情報収集:NVDやVMwareの公式サイトで最新情報を継続的に確認

    4.確認方法と推奨アクション

    • 使用中のVMware ESXiのバージョン情報を確認
    • 影響を受けるバージョンを使用している場合は、直ちにアップデートを実施

    5.情報の入手先

    • National Vulnerability Database (NVD):詳細な脆弱性情報
    • VMware公式サイト:パッチ情報や詳細な説明
    • GitHub:公開されているセキュリティアドバイザリ

    この脆弱性は、仮想化環境を使用する多くの組織に影響を与える可能性があるため、迅速かつ適切な対応が重要です。特に、Active Directory権限の管理とシステムの定期的なアップデートが重要な防御策となります。

    【関連リンク】

    https://nvd.nist.gov/vuln/detail/CVE-2024-37085
    https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24505

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン

    SQAT緊急対応バナー

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。


    Security Serviceへのリンクバナー画像

    BBsecコーポレートサイトへのリンクバナー画像

    セキュリティ緊急対応のバナー画像

    セキュリティトピックス動画申し込みページリンクへのバナー画像

    クラウドサービスのセキュリティ対策-クラウドサービスのセキュリティ3-

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    クラウドサービスの普及に伴い、セキュリティ対策の重要性が高まっています。本記事では、クラウド利用時に必要な適切なセキュリティ対策について、セキュリティポリシーの策定から、クラウドサービス特有の課題に触れながら解説します。クラウドサービスを安全に活用したい企業や組織のセキュリティ担当者は、クラウドの利点を最大限に活かすための指針としてぜひお役立てください。

    クラウド利用時の適切なセキュリティ対策とは

    前回記事「事例でみるクラウドサービスのセキュリティ」で述べてきたように、近年、クラウドサービスのセキュリティに関する設定が十分でなかったために、意図せず、クラウドサービスで管理している機密情報を無認証状態で外部に公開してしまい、機密情報を漏洩させてしまった事例が相次いで報告されています。クラウドサービスの設定ミスでセキュリティインシデントが多発している原因の一つとして考えられるのが、クラウドサービスを利用している企業や組織において対応すべき情報セキュリティ対策が曖昧になっていることです。クラウドサービスの利用にあたっては、アクセス制御や権限管理についてユーザ側で対応する必要があり、これらを軽視すると設定ミスが発生し、それが重大なインシデントを引き起こしかねません。設定ミスを起こさないためには、クラウドサービスにおけるセキュリティ設定を確実に確認する必要があります。

    セキュリティポリシーの策定と運用

    設定ミスを未然に防ぐために、セキュリティポリシーの作成が重要となります。セキュリティポリシーとは、組織が情報資産を保護するために策定するルールやガイドラインの総称です。これには、データの取り扱いやアクセス権の管理、セキュリティ対策の実施方法などが含まれます。セキュリティポリシーは、組織内のすべてのメンバーが遵守すべき基準を定めることで、情報漏洩や不正アクセスなどのリスクを低減します。内容をルール化、明文化することで、クラウドサービスを適切に使用してもらうための具体的なマニュアル、手順書などを作成することが可能となります。

    組織のセキュリティ文書は、「基本⽅針」、「対策基準」、「実施⼿順」の構成をとることが多いです。このうち、「基本⽅針」、「対策基準」がポリシーにあたります。「実施手順」はポリシーから作成されるもので、ポリシー自体には含まないのが一般的です。

    情報セキュリティ文書の構成

    • 基本方針 情報セキュリティに対する組織の基本方針
    • 対策基準 実施するための具体的な規則
    • 実施手順 マニュアルなど対象者や用途に合わせ必要な手続き

    クラウドサービス利用に関する不安

    総務省「令和5年通信利用動向調査の結果」によると、国内でクラウドサービスを利用している企業は、いまや8割近くになります。一方で、セキュリティ担当者はクラウドサービスの利用に次のような不安・課題を抱えています。

    このような不安や課題を払拭するためには、「ベストプラクティスに基づく適切な設定」「定期的なセキュリティチェック」が必要になります。ベンチマークやベストプラクティスに基づく適切な設定ができていないと、攻撃者に攻撃の隙を与えてしまいます。

    クラウドセキュリティの対策方法の一つに、クラウドサービスの設定に関わるベストプラクティス集を利用する方法があります。各クラウドベンダーから公開されており、日本語版も用意されています。CISベンチマークという第三者機関が開発したセキュリティに関するガイドラインもあります。ただし、網羅性が高く項目も多いため、必要な項目を探すには時間がかかる場合もあります。

    クラウドサービスが持つ特性

    クラウド環境のオンプレミス型とSaaS型のサービスにおけるセキュリティ上の留意点は、主にシステム特性の違いから生じます。オンプレミス型では、ユーザ側が自組織内でインフラやソフトウェアを管理するため、完全なコントロールが可能です。しかし、これは同時にセキュリティ対策の全責任をユーザ側で負うことを意味します。定期的なアップデートやパッチ適用、物理的なセキュリティ確保など、あらゆる面での対策が必要となります。一方、SaaS型では、クラウド事業者がインフラやソフトウェアの管理を行うため、ユーザ側の負担は軽減されますが、アクセス制御や暗号化など対策はユーザ側でも求められます。両者の違いを理解し、適切なセキュリティ対策を講じることが重要です。

    また、クラウドサービスは仕様やメニューの更新が必要な場合があるため、定期的に設定の確認が必要になります。クラウドサービスを安心して利用し続けるためには、利用するシステムの特性(スピード感・システム更新頻度・従来のシステムから移行しているかなど)を理解しておくことも重要になります。

    セキュリティ設定診断の重要性

    クラウドサービスのセキュリティに関する担当者の不安を払拭するのに有効な手段の一つが第三者機関によるセキュリティ設定診断です。適切なセキュリティ設定確認を自組織内ですべて確認するためには人的リソースなどの工数がかかります。セキュリティ設定診断では、自組織が扱う設定項目の確認を自動化し、セキュリティ担当者の負担の軽減につながります。また、第三者機関による網羅的な確認により、クラウドサービス利用時のリスクを可視化することができます。

    クラウドサービスに関する設定項目の確認

    設定ミスを起こさないためには、クラウドサービスにおけるセキュリティ設定を確実に確認する必要があります。以下の表のような情報を参考に、自組織が扱う設定項目の洗い出しやチェックリストの作成、委託先などとの認識共有を行うことが、設定ミスの予防に役立つでしょう。

    出典:総務省「クラウドサービス利用・提供における適切な設定のためのガイドライン
    【図表Ⅲ.3.1-1 クラウドにおけるセキュリティ設定項目の類型と対策】より弊社作成

    設定項目のうち特に重要とされるのはアカウント管理であり、管理者などの特権アカウントについては、多要素認証や複数人でのチェック体制、ログの監視など、厳格な取り組みを行うことが強く推奨されます。

    セキュリティガイドラインの紹介

    パブリッククラウドにおけるセキュリティ設定の基準に、「CISベンチマーク」があります。CIS(Center for Internet Security)は、米国の複数の政府機関、企業、学術組織らがインターネットセキュリティの標準化に取り組む非営利団体です。OSを含む各種コンポーネントに対するベンチマークを策定しており、有効なセキュリティ評価基準として認識されています。パブリッククラウドにおいては、AWSをはじめ、Azure、GCP対応のCISベンチマークも公表されています。

    また、自組織の環境の安全性をより高めていく上で、ツールやガイドラインの活用も有効です。

    ■クラウドサービス提供者向け
    総務省
    クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)
    ■クラウドサービス利用者・提供者向け
    IPA
    中小企業の情報セキュリティ対策ガイドライン」付録6:中小企業のためのクラウドサービス安全利用の手引き
    総務省
    クラウドサービス利用・提供における適切な設定のためのガイドライン
    経済産業省
    クラウドセキュリティガイドライン 活用ガイドブック

    まとめ

    近年、クラウドサービスの設定ミスによる機密情報漏洩事例が増加しています。この問題の主な原因は、クラウドを利用している企業のセキュリティ対策の不明確さにあります。設定ミスを未然に防ぐために、セキュリティポリシーの策定と運用が重要です。これは組織の情報資産保護のためのルールやガイドラインを定めるものです。クラウドサービスを利用している企業は増加していますが、セキュリティ担当者は様々な不安を抱えています。これらを解消するには、ベストプラクティスに基づく適切な設定と定期的なセキュリティチェックが必要です。クラウド環境には、オンプレミス型とSaaS型があり、それぞれ特性が異なるため、両者の違いを理解し、適切なセキュリティ対策を講じることが重要です。

    クラウドサービスの基本的なセキュリティ対策は、従来のオンプレミス環境での対策と同様の方法です。ただし、環境によって管理する内容が異なるため、クラウド環境特有のセキュリティ対策も必要となる点に注意が必要です。クラウドセキュリティの対策のポイントとしては、ベストプラクティスにもとづいた設定の見直しと、第三者機関による定期的なセキュリティチェックを受けることです。自組織において適切な対策を実施し、セキュリティリスクを最小限に抑えましょう。

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。


    Security Serviceへのリンクバナー画像

    BBsecコーポレートサイトへのリンクバナー画像

    セキュリティ緊急対応のバナー画像

    セキュリティトピックス動画申し込みページリンクへのバナー画像