投稿日:

国内電機メーカーへのランサムウェア攻撃被害について

Share

2024年10月5日、国内電機メーカーの一部サーバでシステム障害が発生し、その後の調査から第三者によるランサムウェア攻撃を受けたことがわかりました*1。この攻撃により、同社および関係会社が保有する個人情報や秘密情報の一部が漏洩した可能性があります。本記事では攻撃による影響とランサムウェア攻撃への対策案について紹介します。

ランサムウェア攻撃の概要

概要:サーバのシステム障害発生後、攻撃者による不正アクセスを受け、個人情報や秘密情報が漏洩
発生日時:2024年10月5日
攻撃者:ランサムウェア攻撃グループ「Underground」が犯行声明を発表*2しました。
影響範囲:社内ネットワークが影響を受け、新製品の発売延期やオンラインストアの出荷遅延が発生しました。
対応状況:外部のセキュリティ専門企業の支援を受け、影響範囲の詳細な調査を進めている。

ランサムウェア攻撃発生から公表までの流れ

発生日時:2024年10月5日にシステム障害が発生。
公表日:2024年10月11日にランサムウェア攻撃と確認。

漏洩した情報

• 顧客情報:サービス利用者の個人情報(クレジットカード情報を除く)
• 従業員情報:氏名、メールアドレス、住所など
• 顧客情報:サービス利用者の個人情報
• 契約書:取引先との契約書や請求書、売上情報
• 社内文書:法務、財務、人事計画、監査、営業、技術に関する情報
• 製品発売延期:新製品発売が延期。
• システム停止:受発注システムや修理依頼システムを停止。
• 調査:外部のセキュリティ専門家と影響範囲を調査中。

攻撃の影響

取引先との受発注システムや顧客からの修理依頼システムを停止。社内サーバのシステム障害の影響により新製品の発売日を延期

対応策

初期対応:不正アクセスを受けたサーバをインターネットや社内ネットワークから遮断
外部支援:セキュリティ専門家の支援を受けて調査継続中
情報保護:漏洩した情報の悪用を防ぐため、警察と連携して対応
顧客対応:顧客や関係者に対して情報漏洩の可能性がある旨を通知、フィッシングメールやスパムメールへの注意喚起

今後のセキュリティ対策

セキュリティ強化:情報セキュリティ体制の一層の強化を図ります。
再発防止:原因の追究と再発防止策の徹底を行います。
教育啓発:従業員へのセキュリティ教育を強化し、意識向上を図ります。
外部協力:外部のセキュリティ専門機関と連携し、継続的な対策を講じます。

まとめ

2024年10月5日、国内電機メーカーが大規模なランサムウェア攻撃を受けたと報じられました。この攻撃により、同社の一部サーバでシステム障害が発生し、個人情報や機密情報の漏洩の可能性が指摘されており、影響は社内ネットワーク全体にまで及んだようです。ランサムウェア攻撃グループ「Underground」からは犯行声明が発表されました。この事態を受け、同社は新製品の発売延期やオンラインストアの出荷遅延を余儀なくされました。同社は迅速な対応を行い、被害を受けたサーバをネットワークから切り離すとともに、外部のセキュリティ専門家を招いて詳細な調査を開始しました。漏洩の可能性がある情報には、顧客と従業員の個人情報、取引先との契約書、社内文書など広範囲に及ぶと考えられています。企業は今後の対策として、情報セキュリティ体制の強化、再発防止策の徹底、従業員へのセキュリティ教育の充実を掲げています。また、顧客や関係者に対して情報漏洩の可能性を通知し、フィッシングメールなどへの注意を呼びかけています。

この事件は、企業のサイバーセキュリティの重要性を改めて浮き彫りにしました。今後の対応と回復の過程が、他の企業にとってもサイバー攻撃対策の重要な参考事例となることが予想されます。

ランサムウェアとは?

定義:データを暗号化し、復号のために身代金を要求する不正プログラム。
影響:データの使用不能や情報漏洩のリスク。
対策:ネットワークからの切り離しやセキュリティ強化が必要。

関連記事:

投稿日:

WordPressとWP Engineが対立!ACFプラグイン問題で何が起きているのか?【2024年最新情報】

Share

今、WordPressとWP Engineの間でプラグインをめぐる対立が勃発し、ウェブ開発業界に大きな波紋を呼んでいます。何が起きたのか?その背景と現在の影響は?ユーザにはどんな具体的な影響があるのか?そして今後の対応策や展望について解説します。ウェブサイト運営者や開発者必見の内容です。

何が起きたのか?

WordPressとWP Engineの対立は、単なる企業間の争いではありません。発端は商標の使い方から始まり、プラグインの管理方法、さらにはシステムの根幹にかかわる機能の変更にまで広がってしまいました。特に注目すべきは、プラグイン「Advanced Custom Fields(ACF)」をめぐる問題です。10月13日、WordPress側が「Secure Custom Fields(SCF)」として名称を変更し、独自にリリースしたことが業界全体に大きな波紋を呼んでいます。

現在の影響と対応

WordPressとWP Engineの対立は、多くのユーザに実務的な影響を及ぼしています。最も深刻なのは、プラグインの自動更新が停止されたことです。これにより、多くのウェブサイト運営者は手動での更新作業を強いられています。また、セキュリティ面での懸念も高まっており、特に中小企業のウェブサイト管理者にとって大きな負担となっています。

今、ユーザにどんな影響が?

誰もが一番困ってしまうのは、プラグインの自動更新が止まってしまったことです。今までボタン一つで済んでいた更新作業を、手動でやらなければならなくなりました。特に中小企業のサイト管理者の方々は、この対応に頭を悩ませています。セキュリティ面での心配も出てきているのです。

何が問題になっているの?

大きく分けると2つの問題があります。一つ目が、「WordPress」という名前の使い方です。WP Engineの使い方に対して、WordPress.comを運営するオートマティック社が「それは違うでしょ!」と異議となえているわけです。WP Engineは独自の開発方針を持っていますが、これがWordPressコミュニティの方向性と合致していないことが問題視されています。二つ目が、WP Engineがパフォーマンス向上を目的としてWP Engineが一部機能を無効化したことです。このコア機能の変更に関して、ユーザデータの保護の観点から批判が出ています。

業界全体への影響は?

この対立は、WordPress関連の業界全体に波紋を広げています。プラグイン開発者たちは、開発方針の見直しを迫られています。また、ホスティング業界全体にも波及効果があり、オープンソースコミュニティのあり方について、新たな議論が巻き起こっています。

どう対応すればいい?

現状では、ウェブサイト運営者は定期的な情報確認が不可欠です。公式ブログやフォーラムでの最新情報をチェックし、必要に応じて代替策を検討する必要があります。特に重要なのは、独自のセキュリティ対策を強化することです。定期的なバックアップの実施や、セキュリティ監視の強化が推奨されます。もしものときのために、セキュリティ対策も見直しておくと安心です。

この先どうなるの?

この問題の解決には時間がかかると予想されます。両者の交渉は継続していますが、法的な解決を含めて様々な可能性が検討されています。現在の混乱した状況が、新しいセキュリティ体制の構築につながるきっかけとなる可能性もあるでしょう。

まとめ

今回の騒動は、オープンソースのソフトウェアを商業的に使う際の難しさを浮き彫りにしました。この状況下では、ユーザが自身の環境に合わせた適切な対応を取ることが重要です。情報収集を怠らず、必要に応じて専門家に相談することも検討すべきでしょう。状況は日々変化していますので、継続的な注意が必要です。

※この記事は2024年10/15の状況を基に作成されています。最新の情報は各公式サイトでご確認ください。

参考情報:

Security Report TOPに戻る
TOP-更新情報に戻る

サイバーインシデント緊急対応

サイバーセキュリティ緊急対応電話受付ボタン
SQAT緊急対応バナー

ウェビナー開催のお知らせ

  • 2024年10月23日(水)13:00~14:00
    【好評アンコール配信】
    インシデント発生の事前準備・事後対応-拡大するサイバー攻撃への対策方法とは-
  • 2024年11月6日(水)12:50~14:00
    【好評アンコール配信】
    自動車業界の脅威を知る!自工会・部工会サイバーセキュリティガイドラインから学ぶセキュリティ対策
  • 2024年11月13日(水)14:00~15:00
    ウェブ担当者必見!プライバシー保護規制対応と情報セキュリティ-サイバー攻撃への事前・事後対応-

    • 最新情報はこちら

    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。
    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    投稿日:

    NVIDIA Container Toolkitの重大な脆弱性:CVE-2024-0132とその対策

    Share

    NVIDIAの人気ツールに危険な脆弱性が発見!迅速な対応が不可欠です。本記事では、この問題の詳細と対策方法をわかりやすく解説します。

    ■脆弱性の概要

    NVIDIA Container Toolkitに、深刻な脆弱性「CVE-2024-0132」が見つかりました。この問題は以下の特徴があります。

    • 影響を受けるバージョン:1.16.1以前のすべて
    • 脆弱性の種類:TOCTOU(Time-of-check Time-of-use)
    • CVSSスコア:9.0(クリティカル)

    ■この脆弱性がもたらすリスク

    攻撃者がこの脆弱性を悪用すると、次のような深刻な被害が発生する可能性があります。

    • リモートコードの実行
    • サービス拒否(DoS)攻撃
    • 特権の不正取得
    • 機密情報の漏洩
    • データの改ざん

    ■対策方法

    即時アップデート

    • NVIDIA Container Toolkit:バージョン1.16.2へ更新
    • NVIDIA GPU Operator使用者:バージョン24.6.2への更新を検討

    セキュリティツールの活用

    • Trend Vision One™などを使用し、脆弱性を事前に検出
    • コンテナイメージのスキャンと実行時の脆弱性検出を実施

    システム全体のセキュリティ強化

    • 定期的なセキュリティ監査の実施
    • 最新のセキュリティパッチの適用

    ■注意点

    • Container Device Interface(CDI)がNVIDIA GPUへのアクセスを指定している場合は影響を受けにくいですが、多くの環境ではこの条件が満たされていない可能性があります。
    • 関連する脆弱性CVE-2024-0133(CVSSスコア4.1、中程度)にも注意が必要です。

    ■まとめ

    NVIDIA Container Toolkitの脆弱性CVE-2024-0132は非常に深刻です。影響を受ける可能性のあるシステムは、速やかに最新バージョンへのアップデートを行い、包括的なセキュリティ対策を講じることが重要です。迅速な対応で、あなたの組織をサイバー攻撃から守りましょう。

    Security Report TOPに戻る
    TOP-更新情報に戻る

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    ウェビナー開催のお知らせ

  • 2024年10月23日(水)13:00~14:00
    【好評アンコール配信】
    インシデント発生の事前準備・事後対応-拡大するサイバー攻撃への対策方法とは-
  • 2024年11月6日(水)12:50~14:00
    【好評アンコール配信】
    自動車業界の脅威を知る!自工会・部工会サイバーセキュリティガイドラインから学ぶセキュリティ対策
  • 2024年11月13日(水)14:00~15:00
    ウェブ担当者必見!プライバシー保護規制対応と情報セキュリティ-サイバー攻撃への事前・事後対応-

    • 最新情報はこちら

    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。
    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    投稿日:

    あなたの情報は大丈夫?
    人気コーヒーショップのオンラインストアで約9万件の個人情報流出!事件から学ぶ情報セキュリティの重要性

    Share

    2024年5月、大手コーヒーショップの公式オンラインストアで大規模な個人情報漏洩事件が発生しました。この事件により、約9万2685件の個人情報と5万2958件のクレジットカード情報が漏洩した可能性が明らかになりました。本記事では、事件の内容と顧客への影響、そして企業がとるべきセキュリティ対策についてご紹介します。

    事件の概要

    2024年5月、大手コーヒーショップの公式オンラインストアで大規模な個人情報漏洩事件が発生しました。この事件により、約9万2685件の個人情報と5万2958件のクレジットカード情報が漏洩した可能性が明らかになりました。

    事件の経緯

    • 2024年5月20日:警視庁からの連絡により事態を認識、オンラインストアでのクレジットカード決済を停止
    • 5月23日:オンラインストアを一時閉鎖
    • 5月30日:不正アクセスによるシステム侵害を公表

    この事件は、2020年10月1日から2024年5月23日までの期間に会員登録したユーザーに影響を及ぼしました。特に、2021年7月20日から2024年5月20日までの間にクレジットカード決済を利用した顧客のカード情報が漏洩の対象となっています。重要なのは、この漏洩が公式オンラインストアに限定されており、楽天市場や公式アプリでの購入には影響がないことです。

    漏洩した情報の詳細

    今回の事件で漏洩した可能性のある情報は、以下の通りです。

    個人情報

    • 氏名
    • 住所
    • 電話番号
    • 性別
    • 生年月日
    • メールアドレス
    • ログインID
    • ログインパスワード
    • 配送先情報

    クレジットカード情報

    • クレジットカード番号
    • カード名義人名
    • 有効期限
    • セキュリティコード(CVV/CVC)

    特に注目すべきは、クレジットカードのセキュリティコードが漏洩している点です。セキュリティコードは通常、オンライン決済の際に使用される3桁または4桁の数字で、カード裏面に記載されています。この情報が漏洩すると、不正利用のリスクが大幅に高まります。一般的に、PCI DSS(Payment Card Industry Data Security Standard)という国際的なセキュリティ基準では、セキュリティコードを保存することは禁止されています。そのため、公式オンラインストアがこの情報を保存していた事実自体が、セキュリティ管理の甘さを示しているといえるでしょう。

    影響を受けた顧客数

    この事件で影響を受けた顧客数は以下の通りです。

    個人情報漏洩

    約9万2685人 対象期間:2020年10月1日~2024年5月23日に会員登録した顧客

    クレジットカード情報漏洩

    約5万2958人 対象期間:2021年7月20日~2024年5月20日にクレジットカード決済を利用した顧客

    この数字は、公式オンラインストアの利用者の大部分を占めると考えられます。特に、クレジットカード情報の漏洩は深刻な問題で、不正利用による金銭的被害のリスクが高まっています。

    漏洩の原因と手口

    今回の情報漏洩の主な原因は、公式オンラインストアのシステムに対する不正アクセスです。攻撃者はシステムの脆弱性を突き、特にペイメントアプリケーションを改ざんすることで情報を盗み取りました。使用された手口は「Webスキミング」と呼ばれるもので、以下のような手順で実行されます。

    1. 攻撃者がウェブサイトのコードに不正なスクリプトを埋め込む
    2. ユーザーがフォームに入力した情報(クレジットカード情報など)が攻撃者のサーバーに送信される
    3. 正規の決済処理と並行して、情報が盗まれる

    この手法の危険性は、ユーザー側では異常を検知しにくい点にあります。正規のウェブサイトを利用しているように見えるため、被害に気付くのが遅れる可能性が高くなります。

    Webスキミング攻撃は近年増加傾向にあり、2018年から2019年にかけて大手通販サイトBritish Airwaysが同様の攻撃を受け、約38万人の顧客情報が漏洩する事件が発生しています。このような攻撃を防ぐためには、以下のようなセキュリティ対策を実施することが必要になります。

    • 定期的なセキュリティ監査の実施
    • ウェブアプリケーションファイアウォール(WAF)の導入
    • コンテンツセキュリティポリシー(CSP)の適切な設定
    • 従業員に対するセキュリティ教育の徹底

    今回の事件のケースでは、これらの対策が十分でなかった可能性が高いといえるでしょう。

    対応と今後の対策

    事態の発覚後、企業は迅速な対応をとりました。

    • オンラインストアの一時閉鎖
    • クレジットカード決済の停止
    • 影響を受けた顧客への個別連絡
    • クレジットカード会社との連携による不正利用の監視
    • 第三者調査機関によるフォレンジック調査の実施

    また今後の対策として、以下の取り組みを行う方針を示しています。

    • システムの脆弱性の完全修正
    • 定期的なセキュリティ監査の実施
    • リアルタイム監視システムの導入
    • 従業員に対するセキュリティ教育の強化
    • 外部専門家によるセキュリティ診断の定期実施

    特に重要なのは、PCI DSSへの準拠です。これにより、クレジットカード情報の取り扱いに関する国際的な基準を満たすことができます。また、今回の事件について、企業は顧客とのコミュニケーションを重視し、説明動画の公開や定期的な情報更新を行っています。この透明性の高い対応は、信頼回復に向けた重要なステップといえるでしょう。

    関連記事

    SQAT.jpではPCI DSS準拠について、以下の記事で紹介しています。ぜひあわせて
    PCI DSSとは ―12の要件一覧とPCI DSS準拠―

    顧客がとるべき対策

    公式オンラインストアを利用した顧客は、以下の対策をとることが推奨されます。

    • クレジットカードの利用明細を定期的に確認し、不審な取引がないか注意する
    • 不審な取引を発見した場合は、直ちにクレジットカード会社に連絡する
    • 公式オンラインストアで使用したパスワードを他のサービスでも使用している場合は、速やかに変更する
    • 不審なメールや電話に注意し、個人情報の追加提供を求められても応じない
    • クレジットカード会社が提供する不正利用補償サービスの内容を確認し、必要に応じて利用する

    また今後、オンラインショッピングを利用する上では以下の点に注意することが重要です。

    • 信頼できるサイトでのみ買い物をする
    • クレジットカード情報を入力する際は、URLが「https」で始まっていることを確認する(=暗号化通信の導入)
    • 公共のWi-Fiでのオンラインショッピングは避ける
    • 異なるサービスごとに別々のパスワードを使用する
    • 二段階認証が利用可能な場合は積極的に活用する

    情報セキュリティの重要性

    今回の事例は、企業における情報セキュリティの重要性を改めて浮き彫りにしました。今後企業は以下のような点を考慮し、常にセキュリティ対策を見直し、強化していく必要があるでしょう。

    継続的なセキュリティ対策の実施

    一度だけの対策では不十分で、常に最新の脅威に対応できる体制が必要です。

    従業員教育の徹底

    技術的対策だけでなく、人的要因によるセキュリティリスクも軽減する必要があります。

    インシデント対応計画の策定

    事件発生時に迅速かつ適切に対応できるよう、事前に計画を立てておくことが重要です。
    外部専門家の活用自社だけでなく、専門知識を持つ外部の目を通してセキュリティを評価することが有効です。

    法令遵守の徹底

    個人情報保護法やPCI DSSなど、関連する法令や基準を厳守する必要があります。

    まとめ

    今回の大手コーヒーショップの公式オンラインストアにおける個人情報漏洩事件は、現代のデジタル社会が直面するセキュリティリスクを如実に示しています。約9万人以上の顧客情報が漏洩し、そのうち5万人以上のクレジットカード情報も危険にさらされました。事件の主な原因は、Webスキミングと呼ばれる攻撃手法によるものでした。企業はシステムの脆弱性を突かれ、ペイメントアプリケーションが改ざんされる結果となりました。事態発覚後、企業は迅速な対応を取り、オンラインストアの一時閉鎖やクレジットカード決済の停止、影響を受けた顧客への個別連絡などを行いました。今後は、システムの脆弱性修正や定期的なセキュリティ監査など、再発防止に向けた取り組みを強化する方針です。顧客側も、クレジットカードの利用明細の確認や不審な取引への警戒など、自己防衛策を講じる必要があります。また、オンラインショッピング全般において、セキュリティ意識を高めることが重要です。この事件は、企業における情報セキュリティの重要性を改めて認識させるものとなりました。継続的なセキュリティ対策の実施、従業員教育の徹底、インシデント対応計画の策定など、包括的なアプローチが求められています。デジタル化が進む現代社会において、個人情報の保護は企業の重要な責務です。今回の事例を教訓に、企業はセキュリティ対策を強化し、顧客の信頼を守り続けることが求められています。同時に、利用者側もセキュリティ意識を高め、自己防衛策を講じることが大切です。官民一体となったサイバーセキュリティの向上が、安全なデジタル社会の実現につながります。

    Security Report TOPに戻る
    TOP-更新情報に戻る

    BBSecでは

    サイバーインシデント緊急対応

    突然の大規模攻撃や情報漏えいの懸念等、緊急事態もしくはその可能性が発生した場合は、BBSecにご相談ください。セキュリティのスペシャリストが、御社システムの状況把握、防御、そして事後対策をトータルにサポートさせていただきます。

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    SQAT® 脆弱性診断サービス

    サイバー攻撃に対する備えとして、BBSecが提供する、SQAT脆弱性診断サービスでは、攻撃者の侵入を許す脆弱性の存在が見逃されていないかどうかを定期的に確認することができます。自組織の状態を知り、適切な脆弱性対策をすることが重要です。

    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。
    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    投稿日:

    【続】プログラミング言語の脆弱性対策を考える:2024

    Share

    本記事は2020年9月公開の記事「プログラミング言語の脆弱性対策を考える」の続編となります。前回の記事をまだご覧になっていない方はぜひ、この機会にご一読ください。

    いま「C言語の脆弱性対策について簡単に教えて」と生成AIに尋ねてみると、弊社SQAT.jpの記事が引用記事として出てきます。前回の記事を公開してからそろそろ5年ぐらいの月日がたつということで、今回は2024年版のプログラミング言語をめぐる状況と、ちょっとした脆弱性対策に関する情報をご紹介します。

    2020年から2024年で変わったこと

    生成AIの汎用化

    2024年の夏、最初の会社の同期20人で5年ぶりに集まりました。その中でコードを業務で書いているメンバーが同じテーブルに集まったとき、最初に出た話題は「生成AIって何使っている?」でした。所属する会社も違い、使っている言語はバラバラ、コードを書く目的や環境、書く頻度もまちまち、利用する生成AIもバラバラなのですが、全員が生成AIを使っていることに少々驚きました。この友人が全員口をそろえて生成AIについて評価していた点は、コードを作るときに最初にかかる時間と手間が圧倒的に削減されるという点です。

    これまでは「こういうことを処理するコードを作ろう」と思うと、わかるところは先に大まかに書いたうえで、わからないところや怪しい部分はプログラミング言語のリファレンスをひっくり返し、Webで検索し、情報を集めたうえでコードスニペットを起こし、実際のコードとして動かし…という順で作業していました。一方、生成AIを使う場合はこういったことをやろうと思った時点で足りない部分を生成AIに質問すればスニペットが返ってくる(場合によってはコードブロックが返ってくる)ので、コードづくりの前半部分の悪戦苦闘がかなり軽減されます。

    ところが、短所もいくつかあります。まず生成AIサービスが免責事項として常に掲げるように、必ずしも正しい答えが返ってくるわけではない点には理解が必要とされるところです。
    引用元をよくみると、古いバージョンの言語に基づいたQ&Aサイトの回答を参照していることもよくありますし、プロンプトに対して素直に答えるという性質上、 プロンプトに入れていない前段処理に対して不整合が発生する内容のスニペットが回答される、といったことはわりと日常茶飯事です。

    学習データやプロンプトの入れ方次第では返答されるコードスニペット自体にエラーや脆弱性が含まれる場合もあります。プロンプトに関係のない前後の処理との不整合でエラーが発生したり、他のコードブロックとの兼ね合いでエラーが発生したり、そのエラーが結局脆弱性につながるものだったりという可能性は十分にあります。

    また、一般的な商用サービスの生成AIでは入力が学習データに使用されます。つまり自身が入力したデータが流用されるという前提でサービスを利用することになります。このため、自社の知的所有権への配慮や、個人情報や機微情報、場合によっては非公開情報全般への配慮が必要となる点にも注意が必要です。エンタープライズサービスとしてこういったことを回避するサービスもありますが、それ相応の費用が必要となります。

    ただ、自前で大規模言語モデル(LLM:Large language Models)をつくるよりも人件費や設備費用などが圧倒的に安価で手軽であるという点では規模の経済性を実感するところはあります。そういった観点から、将来、どの企業でも自社でAIを全く使わないという選択肢はあまりないかと思います。プログラミングに限らずですが、AIとほどよく付き合って効率的に仕事を進めつつ、エラーや脆弱性をきちんと見逃さない仕組みをもって問題を回避していく、
    そういう仕事法になっていくかもしれません。

    ノーコードとローコード

    以前からどちらも存在はしますが、2020年代に入ってからノーコードやローコードといった選択肢が増えてきています。

    ノーコード
    プログラミングの知識がなくてもアプリケーションを開発できる手法です。専門的なコードを書くことなく、ドラッグ&ドロップなどのビジュアル操作で簡単にアプリケーション開発ができます。ITの専門スキルがない人でもアイディアをデジタル化できる点が特徴です。小規模なプロジェクトの開発に適しています。
    ローコード
    最小限のプログラミングでアプリケーションを開発する手法です。基本はビジュアル操作ですが、必要に応じて一部コードを書きます。柔軟性とスピードのバランスが特徴です。

    最近だとAWSがローコード構築サービスをリリースした*3のが一例となるでしょう。ノーコードやローコードを使用するメリットとしては、各業務の定義やフロー、プロセスが明確であれば定型業務やバックヤード業務の一部を合理化できることです。効率化することで時間短縮ができ、別のより生産性の高い仕事に人を割り振れるといった副次的な効果も期待できます。ただ、業務の内容が不明確な場合や、業務が日々恣意しい的な運用をされている場合には大きなメリットを得ることは難しいかもしれません。

    ここで脆弱性の話です。実際ノーコードといっても実は補助的にパラメータの入力が必要な場合があります。また、外部とのAPI連携をノーコードの画面から実行するといった構成のノーコード機能を持っているSaaS(Software as a Service)もあります。そして誤ったパラメータの入力で入出力の脆弱性を発生させる可能性がある、APIとのやりとりの詳細はユーザでは見えない(SaaSのサポート担当者は見えるケースが多いようです)ため、誤った接続先に接続していた場合や連携しているAPIになんらかの脆弱性があった場合に切り分けが煩雑になるといったところは懸念材料として頭の片隅に置いたほうが良いでしょう。

    ノーコードもローコードも非常に便利です。そのノーコードフロー自体の仕組みやパラメータの動きや連携先のAPIの信頼性などを理解したうえで使えば、劇的に効率化が図れるため、API同様にうまく付き合っていくということが重要になるのではないでしょうか。

    プログラミング言語

    専門家たちがどのプログラミング言語を使っているかというデータが、毎年Stack Overflowから発表されます。2020年と2024年でどの程度変わったか、比較をしてみましょう。

    言語2024年2020年
    JavaScript64.60%69.70%
    HTML/CSS54.10%62.40%
    Python53%41.60%
    SQL47%56.90%
    TypeScript43.40%28.30%
    Bash/Shell34.20%34.80%
    Java30.00%38.40%
    C#28.80%32.30%
    C++20%20.50%
    C18.70%18.20%
    PHP16.90%25.80%
    PowerShell14.40%注 1)
    Go14.00%9.40%
    Rust11.70%4.80%
    Kotlin9.90%8.00%
    Dart6.00%3.70%
    Ruby5.80%7.50%
    Lua5.30%ランク外
    Swift4.90%6.10%
    Visual Basic4.10%ランク外

    出典:Stack Overflow Developer Survey2020年版/2024年版より弊社作成
    2020年版:https://survey.stackoverflow.co/2020#technology-programming-scripting-and-markup-languages-professional-developers
    2024年版:https://survey.stackoverflow.co/2024/technology#most-popular-technologies-language-prof

    ここからは2020年と2024年の脆弱性診断結果の比較で目についた点を深堀りしてみたいと思います。

    プログラミング言語と適材適所

    前述した「専門家たちはどのプログラミング言語を使っているか」というデータの表からもわかるとおり、このWeb大全盛の時代に「PHPを使う」と回答したエンジニアの比率は下がっています。また、BBSecのシステム脆弱性診断結果からもPHPの脆弱性報告件数が減っていることがわかります。米国の脆弱性情報データベースNVDによるとPHPの脆弱性自体の数が減っている*2(2019年が34件に対して2023年は6件)ということも関連があるかと思いますが、診断結果のエビデンスで見かける機会も減っています。

    脆弱性の存在するバージョンの使用の検出内訳

    (上図:2020年上半期、下図:2024年上半期)

    2020年上半期
    2024年上半期

    当社が発行するセキュリティレポートでは、半期(6か月)毎にBBsec脆弱性診断の結果を集計・分析。その傾向を探るとともに、セキュリティに関する国内外の動向を分かりやすくお伝えしています。
    最新号のダウンロードはこちら

    GitHubでのプルリクエスト(機能追加や改修など、作業内容をレビュー・マージ担当者やその他関係者に通知する機能)の数も2013年をピークにここ数年は5%台半ばでの微増微減を繰り返している状態になっています*3。けれど、現在稼働しているWebサイトのうち75.8%がPHPを使用している*4といわれていることも事実です。また、CMSの代名詞ともいえるWordPressはPHPで開発されているのですが、WordPress 注 2)が全Webサイトの実に43.4%で使用されています*5。つまり、WebサイトのうちPHPを使っているサイトは76%ぐらいあるけれど、半分以上はWordPressとその派生のパッケージが市場シェアを支えているという構造になっています。そのため、実際に動いているサイトのほとんどがPHPであることは間違いないですが、その大半はWordPressで、それ以外のサイトは少数派というのが現状です。

    PHPの強みはWeb開発に特化した、可読性が高く学習しやすい言語である点です。小中規模でセキュリティ要件があまり高くないWebサービスやCMSであればPHPで開発するのが一番便利であり、保守性も高いでしょう。一方で、大量のデータの処理・分析が必要なケース、セキュリティへの配慮からバックエンドとフロントエンドを切り離して開発・運用する必要があるケース、パフォーマンスが重視されるケース、マルチデバイス対応が必要なケースなど、PHPでは要件を満たさないケースが出てきていることも事実です。

    PHPの市場をけん引しているCMSでも、「ヘッドレスCMS」と呼ばれるタイプなど、これまでとは異なるCMSへの需要が伸びているといわれています。今後は、旧来のCMSや中小規模のWebサイトはそのままPHP、マルチデバイスやパフォーマンス、バックエンドへの特殊な処理要件やセキュリティ要件などがある場合は別の言語といった形で、さらにすみわけが進んでいくのかもしれません。そういった意味でも “WebならPHP” という時代から、”適材適所でWeb開発も言語を選ぶ” 時代になってきたといえるでしょう。

    2024年のC言語

    C言語系統で開発というと「2024年でもまだ?」という声が上がりそうなところですが、実際C言語系統はOSまわりでいまだに健在です 注 3)。また古いプログラム(コード、ドライバなど)で互換性が保証される場合はそのまま利用されているケースもあるといわれています。つまりは、C言語系統の言語が抱える根本的な問題、メモリハンドリング(メモリの使い方の変化に伴うメモリエラーを適切に処理する能力)関連の問題もいまだにそこかしこで健在しています。この問題が特に注目を集めたのが、昨今のCrowdStrike Falconのエラーを含んだパターンファイルの配布によるBSOD(Blue Screen of Death)の大量発生です。

    関連情報

    弊社では、10月16日(水)に開催予定のウェビナーのオープニングセッションとして、「10分でわかるCrowdStrike障害」を取り扱います。ご関心がおありでしたらぜひお申込みください。詳細はこちら

    この問題で再び脚光を(よくない形で)浴びたのがC系統言語の問題です。NULLポインタ参照は、現代の脆弱性の考え方からいうと非常に危険な脆弱性を発生させる原因の一つになります。これらすべての原因は以前にもご紹介した通り、メモリハンドリングを行う言語であるがゆえに発生することです。メモリまわりの脆弱性(元をたどればバグ)の発生頻度を、プログラミング言語自体を変えることで抑えたいと思っている人は多数いて、その結果、よりメモリハンドリング関連の問題が少ないRustへの移行を行うという動きが出てきています。最初期の例としてはMozilla ServoのレンダリングエンジンがC++からRustに書き換えられたもの*6が挙げられるでしょう。Microsoftも、OSの一部をRustに書き換えることについて2022年~2023年に言及しています。

    最近ではGoogle AndroidがドライバのRustへの置き換えが順調である旨をブログで発表*7しています。また、DARPA(アメリカ国防高等研究計画局)ではC/C++をRustに置き換えるためのプログラム「TRACTOR」で大規模言語モデルを利用した置き換えを行うことを発表*8しています。TRACTORほど大規模ではなくても、CからRustへの移行ツールがGitHubコミュニティで活発に開発されています。もちろんRustへ移行すれば即座に完全にメモリハンドリングの問題から100%解放されるわけではありません。また、C言語系統のプログラムの置き換え先がRustしかないわけでもありません。ですが、現在進行しているRustへの置き換えはC言語しかなかった時代の最後にして最大の遺産であり、OS周りのC言語依存からの脱却への一歩となることでしょう。

    注:
    1) 2020年版はBash/Shell/PowerShellが1つにまとめられているため、PowerShell個別のデータはなし。
    2) WordPressはWordPress本体よりもそのプラグインの脆弱性が多く報告されています。また、WordPress専用の脆弱性・マルウェアスキャナはたくさんありますが、2024年9月にはWordPressのコミュニティへの投稿でスキャナ検出ができないマルウェアがあるといった旨の投稿があるなど、その市場シェアを狙った動きも伺えます。こうした動きについては最新の情報を追うなどし、対策の実施を検討されることをおすすめします。
     参考:https://wordpress.org/support/topic/new-malware-found-in-wordpress-installations-hidden-admin-users-redirects-and/#post-18010647
    3) Windows OSに限らず、多くのOSはC言語系統の言語をOSの開発に使用しています。Windowsの場合はCとC++が使用されています。ここにCrowdStrike FalconはC言語系統で書かれたセンサーとパターンファイルを使用してマルウェアや侵害行為の検出をしています。セキュリティ製品あるあるで、センサー自身がシステムブート時に読み込み必須なドライバとなっています。BSOD大量発生の件は、CrowdStrikeのQAプロセスが不十分だったことが大きな原因ではありますが、パターンファイルに不整合がありメモリの境界外読み取りエラーを発生させました。センサーはシステムブート時に読み込み必須なドライバとなっているため、Windows OS起動時にCrowdStrike Falconのセンサーを起動する必要がありましたが、問題のパターンファイルが境界外読み取りエラーを発生させたため、問題のパターンファイルがインストールされたすべてのWindowsマシンがブートできず、ブルースクリーンを表示するだけの箱/板になってしまう状況に陥りました。これが2024年7月にニュースになったインシデントの概要です。
     参考:https://www.crowdstrike.com/wp-content/uploads/2024/08/Channel-File-291-Incident-Root-Cause-Analysis-08.06.2024.pdf

    Security Report TOPに戻る
    TOP-更新情報に戻る

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー
    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。
    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    投稿日:

    国内で被害多発!ランサムウェア被害を最小化するためのリスク可視化とリスクアセスメント

    Share

    ランサムウェアの脅威は近年増しており、企業に甚大な被害をもたらしています。本記事では、ランサムウェアの脅威や被害の実態を紹介し、サイバーレジリエンスの重要性や、リスクの可視化の重要性と対応策について解説いたします。また、リスク可視化ツールの紹介や、企業が守るべき情報資産とその保護方法についてもご紹介します。

    ランサムウェアの脅威

    ランサムウェアは、データを暗号化することで使用できなくし、その復旧(復号)のために身代金を要求するマルウェアの一種ですが、昨今では「ノーウェアランサム」と呼ばれる新たな攻撃の手口が登場しました。従来のランサムウェアのようにデータを暗号化するのではなく、窃取したデータを公開すると脅し、データの公開を防ぎたければ対価を支払えと要求するものが増えてきています。このように高度化・多様化し続けるランサムウェアは、いまやサイバー空間における主要な脅威の一つと化しています。今年(2024年)も、多くのランサムウェア関連のインシデントが発生しており、大手企業、中小企業問わず多くの企業が被害を受けています。そして、ランサムウェアの脅威が増大する中、それに対応するサイバーセキュリティの取り組みも必須となってきています。

    ランサムウェアの脅威画像
    出典:警察庁「令和5年におけるサイバー空間をめぐる脅威の情勢等について
    図表19:企業・団体等におけるランサムウェア被害の報告件数の推移

    ランサムウェア被害の実態

    2023年に発生した名古屋港の名古屋港統一ターミナルシステム(NUTS: Nagoya United Terminal System)が攻撃を受けた事例では、日本一の取扱量を誇る名古屋港で、輸送コンテナの積み下ろしができなくなるなどして、日本社会に非常に大きなインパクトを与えました。今年2024年も多くのランサムウェア攻撃が話題になっていますが、中でも大手出版グループがランサムウェア攻撃を受けた事例では、情報漏洩やサービス停止、物流機能や経理機能が停止するなど、様々な被害をこうむりました。同グループは2024年4~6月期連結決算で、特別損失20億円を計上しています。

    2024年のランサムウェアインシデント例

    時期概要
    5月頃自治体や企業から印刷業務などを請け負っている企業がランサムウェア被害を受けたことで、複数の委託元組織の情報を漏洩した*9
    5月頃医療機関が被害を受け、電子カルテを含めた総合情報システムが停止し、患者情報も漏洩した*2
    6月頃大手出版グループが被害を受け、個人情報漏洩、サービス停止、社内システムの停止といった被害を受けた*3
    6月頃大手電機グループの関連企業がランサムウェア攻撃を受け、情報漏洩の疑いがあると発表した*4
    7月頃大手保険企業が、委託先の税理士法人がランサムウェアに感染したことで、契約者や元社員ら計約2万7800件の情報が外部に漏洩した恐れがあると発表した*5

    サイバーレジリエンスの考え方

    サイバー攻撃の手法は高度化・多様化しており、ランサムウェア攻撃について、完全に防ぐことは難しいと言わざるを得ません。そこで、攻撃を未然に防ぐことだけに依存するのではなく、レジリエンスを高める考え方へとシフトする必要があります。レジリエンスとは、システムや組織が攻撃や障害に直面した際に、その影響を最小限に抑え、迅速に復旧する能力を指します。これには、事前にリスクを評価し、予防策を講じることに加え、攻撃に備えた対策を整えることが含まれます。

    具体的には、データの定期的なバックアップ(物理的にネットワークから切り離して保管することが望ましい)を実施することで、攻撃を受けた場合でも迅速にデータを復旧できるようにすることが重要です。また、従業員に対する教育や訓練を通じて、攻撃の兆候に気づき、適切に対応できるスキルを持たせることもレジリエンスの一環です。

    加えて、事後対応として、攻撃を受けた際の対応手順を明確にし、迅速な復旧を図るための計画を策定しておくことも重要です。これにより、攻撃による業務停止やデータ流出のリスクを最小限に抑え、被害を軽減することが期待されます。レジリエンスを高めることは、サイバー攻撃が避けられない現代において、組織が安定して事業を継続させるために重要な戦略です。

    リスク可視化の重要性

    ランサムウェア対策において、その被害の影響範囲を事前に把握しておくことは非常に重要です。システム内の脆弱性を悪用されると、攻撃によってどのような影響が生じるかを理解し、リスクを可視化することが求められます。こうしたリスクの明確化・現状把握が、効果的なセキュリティ対策を実施するうえで欠かせない要素です。

    まず、リスクの明確化とは、システム内のどこに脆弱性が存在し、その脆弱性が攻撃された際にどのような被害が発生するかを具体的に理解することです。これにより優先順位をつけて脆弱性対策を実施することが可能になります。また、リスクを明確にすることで、有効なセキュリティ対策を適切に実行することが可能となり、限られたリソースを効果的に活用することができます。これらの取り組みが、有事の被害を最小限に抑えるための体制を整えること、ひいては、組織全体のセキュリティレベルを向上させることにつながります。

    リスク可視化ツール

    システムなど技術的側面からだけでなく、作業手順や業務フロー、作業環境、組織のルールなどの運用面も含めてリスク評価を行うことを「リスクアセスメント」と呼びます。システムが技術的に強固に守られていても、アクセス用のIDとパスワードを付箋紙に書いてモニターに貼り付けていたら、安全は保たれるべくもありません。リスクの棚卸しによる現状把握で、優先順位をつけて対策を講じることが可能になります。

    伊藤忠サイバー&インテリジェンス株式会社からは、「ICIリスクアセスメントツール」が無料公開されています。このようなツールを利用することで、客観的な視点で組織のセキュリティ状況を俯瞰的に評価することができ、内部の盲点や見過ごされがちな脆弱性を明確にし、組織が直面するリスクの全体像を把握することができます。

    “なに”を守るか、“どう”守るか

    情報セキュリティのリスクに関して、最も重要であり、確実に保護しなければならないのは、「重要情報(データ)」です。リスクの洗い出しを行う際には、最初に保護すべき資産が“なに”であるかを明確にし、その次にそれらを“どのように”守るべきかという視点で考える必要があります。情報セキュリティリスクにおいて、保護すべき最も重要な資産は「情報(データ)」であり、これが適切に管理されなければ、企業にとって大きな損失となる可能性があります。リスクの洗い出しは、まず「保護すべき資産」を特定することから始まります。そして、その資産がどのように攻撃される可能性があるのか、またどのような影響を受ける可能性があるのかを把握します。さらに、以下のようなステップを通じて、保護すべき情報を特定し、効果的なセキュリティ対策を構築していくことが重要です。

    セキュリティ対策は専門家に相談を

    組織が直面するリスクは、業種や規模、サプライチェーンの特性、取り扱う情報の性質、システム環境の状況、そしてセキュリティ対策の度合いなど、さまざまな要素によって異なります。特に近年では、ランサムウェアによる攻撃が大きな脅威となっており、企業に甚大な被害をもたらす可能性があります。リスクを効果的に管理するためには、まず自組織が内包するリスクを客観的に見極め、ランサムウェアを含む各種リスクに対して優先度に応じた対策を検討することが重要です。

    このプロセスにおいては、第三者視点でのリスクの検知と評価が不可欠です。特に、専門的な知識を持つセキュリティベンダーの協力が有効です。専門家の助言を受けることで、組織が持つ特有のリスクへの具体的な対策を講じ、リスクを最小限に抑えることが可能となります。信頼できるセキュリティベンダーと協力体制を築くことで、ランサムウェアをはじめとするサイバー攻撃から組織を守り、安全性を確保しましょう。

    BBSecでは

    ブロードバンドセキュリティでは、企業組織のランサムウェア対策のレジリエンスを評価するために下記サービスをお勧めしております。

    ※外部サイトにリンクします。
    アタックサーフェス調査バナー

    また、従業員への教育サービスとして以下もご用意しております。

    標的型攻撃メール訓練

    ※外部サイトにリンクします。

    ウェビナー開催のお知らせ

  • 2024年9月11日(水)14:00~14:30
    CVSSとSSVCで実践する次世代脆弱性管理:サイバー攻撃対策セミナー2024
  • 2024年9月18日(水)13:00~14:00
    【好評アンコール配信】
    ランサムウェアの脅威を知る-脅威に備えるためのランサムウェア対策-
  • 2024年9月25日(水)13:00~14:00
    【好評アンコール配信】
    ランサムウェア対策の要~ペネトレーションテストの効果、脆弱性診断との違いを解説~
  • 2024年10月2日(水)13:00~14:00
    【好評アンコール配信】
    サイバー攻撃に備えるために定期的な脆弱性診断の実施を!
     - ツール診断と手動診断の比較 –
  • 2024年10月9日(水)13:00~14:00
    【好評アンコール配信】
    システム開発のセキュリティ強化の鍵とは?
     -ソースコード診断で手戻りリスクとサイバー攻撃を未然に防ぐ-

    • 最新情報はこちら

    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。
    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    セキュリティトピックス動画申し込みページリンクへのバナー画像
    投稿日:

    SQLインジェクションで航空セキュリティシステムをハッキング!あなたのフライトは安全?

    Share

    近年、航空機のセキュリティはますます厳しくなってきています。しかし、私たちが安心して空の旅を楽しんでいる裏側で、実は深刻なセキュリティ問題が潜んでいることをご存知でしょうか?この度、イアン・キャロルサム・カリーは、空港のセキュリティシステムに存在する重大な脆弱性を発見しました。この脆弱性を悪用すると、誰でも簡単に航空会社の乗組員になりすまし、セキュリティチェックなしで機内に乗り込むことが可能になります。さらには、コックピットへの不正侵入もできてしまうのです。

    KCMシステムとは?

    KCM(Known Crewmember)システムは、航空会社の乗務員がスムーズに空港のセキュリティチェックを通過できるようにするためのシステムです。乗務員は、特別なバーコードやIDを提示することで、通常のセキュリティ検査を免除されることができます。

    脆弱性の発見

    イアン・キャロルとサム・カリーが注目したのは、KCMシステムを運営しているベンダーの一つであるFlyCASSという会社でした。FlyCASSのシステムには、SQLインジェクションという脆弱性が存在しており、この脆弱性を利用することで、誰でもシステムに不正にアクセスし、乗組員の情報を自由に書き換えたり、新しい乗組員を追加したりすることが可能になっていました。

    問題の深刻さ

    この脆弱性がもたらす影響は計り知れません。

    • セキュリティの崩壊: 航空機のセキュリティの根幹を揺るがすものであり、テロなどの悪質な行為に悪用される可能性も否定できません。
    • 乗客の安全への脅威: 不正に機内に乗り込んだ人物が、機内で暴れたり、機体を操作したりする可能性も考えられます。
    • 航空業界への信頼の失墜: このような重大なセキュリティ問題が発覚した場合、航空業界全体の信頼を失墜させ、人々の航空機に対する不安感を煽る可能性があります。

    開示とその後

    イアン・キャロルとサム・カリーは、この問題の深刻性を認識し、速やかに関係各機関に報告しました。しかし、残念ながら、問題の修正には時間がかかり、また、関係各機関からの対応も遅々として進まなかったという現状があります。

    対策

    この問題を解決するためには、以下の対策が急務です。

    • 脆弱性の迅速な修正: FlyCASSをはじめとする関連企業は、脆弱性を早急に修正し、システムの安全性を確保する必要があります。
    • セキュリティ意識の向上: 航空業界全体で、セキュリティに対する意識をより一層高め、定期的なセキュリティ監査を実施する必要があります。
    • 法整備の強化: 航空機のセキュリティに関する法整備を強化し、このような事態が再び起こらないようにする必要があります。

    まとめ

    今回の発見は、航空業界のセキュリティシステムを信頼しきってはいけないことを示すものであり、私たちに大きな警鐘を鳴らしています。私たちは、この問題をきっかけに、より安全な航空業界の実現に向けて、社会全体で取り組んでいく必要があるでしょう。

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    ウェビナー開催のお知らせ

  • 2024年9月11日(水)14:00~14:30
    CVSSとSSVCで実践する次世代脆弱性管理:サイバー攻撃対策セミナー2024
  • 2024年9月18日(水)13:00~14:00
    【好評アンコール配信】
    ランサムウェアの脅威を知る-脅威に備えるためのランサムウェア対策-
  • 2024年9月25日(水)13:00~14:00
    【好評アンコール配信】
    ランサムウェア対策の要~ペネトレーションテストの効果、脆弱性診断との違いを解説~
  • 2024年10月2日(水)13:00~14:00
    【好評アンコール配信】
    サイバー攻撃に備えるために定期的な脆弱性診断の実施を!
     - ツール診断と手動診断の比較 –
  • 2024年10月9日(水)13:00~14:00
    【好評アンコール配信】
    システム開発のセキュリティ強化の鍵とは?
     -ソースコード診断で手戻りリスクとサイバー攻撃を未然に防ぐ-

    • 最新情報はこちら

    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。
    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    投稿日:

    KADOKAWAランサムウェア被害状況

    Share

    KADOKAWAグループが大規模なランサムウェア攻撃を受け、25万人以上の個人情報が外部に漏洩した事件の詳細が明らかになりました。本記事では、憶測、推測や犯罪者グループの声明をもとにした情報を排除してKADOKAWAグループからの公式発表をもとに漏洩情報の内容、対応策、そして今後の対策について解説します。

    KADOKAWAグループ、
    大規模サイバー攻撃による情報漏洩事件の全容を公開

    【事件の概要】

    2024年6月8日、KADOKAWAグループを襲った大規模サイバー攻撃の詳細が明らかになりました。この事件は、ニコニコ動画を中心としたサービス群を標的とし、グループの複数のサーバーにアクセスできない障害として始まりました。

    【漏洩した情報の詳細】

    調査の結果、この攻撃により合計254,241人分もの個人情報が外部に流出したことが判明しました。被害者には、ドワンゴ関連の取引先、元従業員、面接者、N中等部・N高等学校・S高等学校の関係者、角川ドワンゴ学園の従業員などが含まれています。漏洩した情報は氏名、生年月日、住所、電話番号、メールアドレス、口座情報など多岐にわたります。さらに、一部の契約書や社内文書といった企業情報も流出しており、被害の規模の大きさを物語っています。

    【対応策】

    KADOKAWAグループは迅速な対応を行い、専用のお問い合わせ窓口を設置するとともに、個別に対象者へ連絡を取っています。また、漏洩した情報の削除申請も積極的に実施しています。

    【原因と再発防止策】

    今回の事件の原因は、フィッシング攻撃による従業員アカウント情報の窃取であると推測されています。再発防止策として、KADOKAWAグループはセキュリティ専門企業の助言を受けながら、さらなる対策を講じる方針を示しています。

    【二次被害防止への取り組み】

    二次被害を防止するため、同グループはSNSや匿名掲示板での情報拡散行為に対する監視を強化しています。悪質な投稿に対しては削除要請と発信者情報開示請求を行い、必要に応じて刑事告訴・告発の準備も進めています。

    【注意喚起】

    KADOKAWAグループは、漏洩情報の拡散行為が法的措置の対象となる可能性を強調し、一般ユーザーに対してもフィッシングメールなどの不審なメールへの注意を呼びかけています。

    【まとめ】

    この事件は、企業のサイバーセキュリティ対策の重要性を改めて浮き彫りにしました。KADOKAWAグループは今回の事態を重く受け止め、セキュリティ体制の強化と再発防止に全力を尽くすとしています。個人情報の取り扱いに関する企業の責任が厳しく問われる現代社会において、今後の対応と情報セキュリティ対策の進展が注目されます。

    情報漏洩、ランサムウェア攻撃などの脅威が増大する中、企業はより一層の警戒と対策が求められています。この事件を教訓に、多くの企業が自社のセキュリティ体制を見直し、同様の事件防止に向けた取り組みを強化することが求められます。

    本記事は以下のKADOKAWAグループ公式発表をもとに作成しています。情報漏洩に関するお問い合わせは以下URLよりKADOKAWAグループの専⽤窓⼝へご連絡ください。
    https://tp.kadokawa.co.jp/.assets/240805_release_f2Alq0nH.pdf

    なお、本件については様々な推測や憶測が飛び交っていますが、そういった情報を安易にSNS上等で公開することは犯罪者グループの活動に寄与してしまう可能性があることに注意が必要です。

    また本件をきっかけに自身の個人情報がダークウェブ上に公開されていないかを懸念される方もいらっしゃるかと思いますが、実際にダークウェブへアクセスするなどの行為は大変危険です。おやめください。

    自身の情報がダークウェブへと流出していないかを調べるには、Googleなどが提供している専用のモニタリングツールを用いるのが有効な策です。
    Googleの「ダークウェブ レポート」をご活用ください。

    詳細は以下のGoogleのヘルプをご参照ください。
    https://support.google.com/googleone/answer/13632847?hl=ja

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    ウェビナー開催のお知らせ

  • 2024年8月21日(水)14:00~15:00
    ランサムウェア対策の要~ペネトレーションテストの効果、脆弱性診断との違いを解説~
  • 2024年9月4日(水)14:00~15:00
    インシデント発生の事前準備・事後対応 -拡大するサイバー攻撃への対策方法とは-
  • 2024年9月11日(水)14:00~14:30
    CVSSとSSVCで実践する次世代脆弱性管理:サイバー攻撃対策セミナー2024
  • 2024年9月18日(水)13:00~14:00
    【好評アンコール配信】
    ランサムウェアの脅威を知る-脅威に備えるためのランサムウェア対策-
  • 2024年9月25日(水)13:00~14:00
    【好評アンコール配信】
    ランサムウェア対策の要~ペネトレーションテストの効果、脆弱性診断との違いを解説~

    • 最新情報はこちら

    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。
    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    投稿日:

    お盆休み明けに急げ!
    WindowsとMicrosoft Projectの脆弱性
    ‐CVE-2024-38063/38189修正で安全な業務再開を‐

    Share

    2024年8月、Microsoftはセキュリティ更新プログラムをリリースしました。この更新プログラムは、【CVE-2024-38063】および【CVE-2024-38189】という二つの深刻な脆弱性に対応するものであり、当該脆弱性はWindowsおよびMicrosoft Project全ユーザーに重大なリスクをもたらします。

    【CVE-2024-38063】

    CVE-2024-38063は、WindowsのTCP/IPスタックに存在する脆弱性です。この脆弱性を悪用すると、リモートの攻撃者は特定の条件下で任意のコードを実行することが可能です。これにより、攻撃者はターゲットの制御を完全に奪取し、システム全体を不正な操作に利用する可能性があります。Windows 10、Windows 11、およびWindows Server 2016、2019、2022といった幅広いバージョンが影響を受けるため、現行のWindowsを利用している多くのユーザーが影響を受ける可能性がある非常に危険な脆弱性です。

    【CVE-2024-38189】

    CVE-2024-38189は、Microsoft Projectに関連する脆弱性です。こちらもリモートの攻撃者が特定の条件下で任意のコードを実行できるというものです。この脆弱性を悪用されると、プロジェクト管理ソフトウェアのデータが危険にさらされる可能性があり、企業や組織にとっては機密情報の漏洩やプロジェクトの進行に深刻な影響を与えるリスクがあります。

    【対策】

    影響を受けるシステムを保護するために、早急に2024年8月のセキュリティ更新プログラムを適用することが強く推奨されます。

    Microsoftは、このセキュリティ更新プログラムを適用することで当該脆弱性を修正し、システムの安全性を向上させるとともに、攻撃のリスクを大幅に軽減することができる、としています。現在、日本では夏季休暇を取得している方も多いと思われますが、休み明けの更新適用を忘れずに行うことを心がけてください。また、夏季休暇明けの従業員への更新適用の声がけを徹底してください。

    詳細な脆弱性及び対策についてはMicrosoftの公式セキュリティガイドラインをご参照ください。

    【重要ポイントまとめ】

    更新の概要

    • 2つの重大な脆弱性に対応
    • 影響:WindowsとMicrosoft Projectのユーザー

    脆弱性の詳細

    CVE-2024-38063(Windows関連)

    • 影響:Windows 10, 11, Server 2016, 2019, 2022
    • リスク:攻撃者がシステムを完全に制御する可能性
      CVSS:3.1:9.8(緊急)

    CVE-2024-38189(Microsoft Project関連)

    • リスク:プロジェクトデータや機密情報の漏洩
    • CVSS:3.1:8.8(重要)

    重要性

    早急な更新が必要

    対策

    • セキュリティ更新プログラムを速やかに適用
    • システムとネットワークの監視強化
    • セキュリティ設定の見直し

    情報源

    詳細はMicrosoftの公式セキュリティガイドラインを参照

    ユーザへの呼びかけ

    常に最新のセキュリティ情報に注意を払い、適切な対策をとること

    【関連リンク】

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    ウェビナー開催のお知らせ

  • 2024年8月21日(水)14:00~15:00
    ランサムウェア対策の要~ペネトレーションテストの効果、脆弱性診断との違いを解説~
  • 2024年8月28日(水)12:50~14:00
    【好評アンコール配信】「知っておきたいIPA『情報セキュリティ10大脅威 2024』~セキュリティ診断による予防的コントロール~
  • 2024年9月4日(水)14:00~15:00
    インシデント発生の事前準備・事後対応 -拡大するサイバー攻撃への対策方法とは-
  • 2024年9月11日(水)14:00~14:30
    CVSSとSSVCで実践する次世代脆弱性管理:サイバー攻撃対策セミナー2024

    • 最新情報はこちら

    Security Report TOPに戻る
    TOP-更新情報に戻る

    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。
    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    投稿日:

    内部不正による情報漏えい-組織全体で再確認を!-

    Share

    国内の個人情報漏えい件数は年々増加傾向にあります。情報漏えい事故の原因の一つとして挙げられるのが、企業・組織内での内部不正行為によるものです。内部不正の脅威は、未然に防ぐことが難しく、インシデントが起こってしまうと、事業の根幹を揺るがすような事態にまで陥ってしまうことにあります。本記事では、内部不正の脅威と手口、そして発生を防ぐための対策方法について解説します。

    内部不正と人的要因

    2024年1月にIPA(情報処理推進機構)から発表された「情報セキュリティ10大脅威2024」において、「内部不正による情報漏えいなどの被害」という項目が、昨年度4位から順位を上げて3位となりました。また、昨年12月に発表されたその年のセキュリティに関する重要トピックスを取り上げるJNSA(日本ネットワークセキュリティ協会)による「JNSA 2023 セキュリティ十大ニュース」においては「元派遣社員の顧客情報持ち出し10年間、ずさんな内部不正対策」というニュースが2位となりました。このように、セキュリティにおける内部不正の問題は、着実にその重要度を増しています。

    内部不正行為とは何か?

    内部不正行為とは、組織の従業員や元従業員、あるいは業務委託先といった関係者が、重要情報や情報システムといった情報資産の窃取、持ち出し、漏えい、消去・破壊を行うことを指します。「不正」という言葉からの連想で、悪意ある行動を結びつけてしまいがちですが、悪意がなくとも、組織における情報管理規則に反して情報を持ち出したことによって、紛失や漏えいにつながってしまったというケースも、内部不正に含まれるため注意が必要です。

    情報漏えいと人的要因

    数多くの情報漏えいインシデントが報告されていますが、その要因に目を向けると、企業・組織内の従業員・元従業員、そして関連先や委託先企業の担当者による情報資産の持ち出し、紛失など、人的要因の多さが浮かび上がってきます。

    東京商工リサーチ「2023年「上場企業の個人情報漏えい・紛失事故」によると、情報の不正利用や持ち出しにより情報漏えいした件数は、前年の5件から約5倍に増加したといいます。実際、従業員が個人情報を不正に流出させたことによって刑事事件にまで発展したり、大手電力会社がグループの子会社を通じて顧客情報を不正に閲覧していたことが発覚したりと、様々な事故が起こりました。

    また、JIPDEC(日本情報経済社会推進協会)「2022年度 個人情報の取扱いにおける事故報告 集計結果」によれば、「誤配達・誤交付」が43.0%、「誤送信」が24.7%、「紛失・減失・き損」が11.2%となり、ここでもやはり人的要因の多さが目立ちます。

    なぜ人的要因が脅威になるのか

    人的要因による情報漏えいは、組織の技術情報や顧客情報などが持ち出されて、不特定多数に公開、あるいは競合他社に提供など、内部以外の人の目に触れることで被害が発生します。企業・組織においては、このような重要情報の管理責任が問われ、技術情報が漏えいしたことで競争力が著しく低下するなどの影響が考えられます。悪意のあるなしに関わらず、漏えいした情報の重要性や規模によっては、事業の根幹を揺るがす事態になりかねません。特に悪意がある内部の人間による不正では、被害が容易に大きくなることや、悪意のない不正によるものは未然に防ぐことは難しいといったことも脅威に繋がります。加えて、重要情報を持ち込まれた側の企業・組織においても、不正に取得された情報であることを知りながらも第三者に公開・提供した場合は、刑事罰を受ける可能性があることも覚えておく必要があります。

    内部不正はなぜ起きるのか

    内部不正の中で、特に人が故意に不正を行う要因についての理論の1つに、「不正のトライアングル」というものがあります。

    不正のトライアングル

    例として、「Aさんが顧客情報を、同業他社の転職先に持ち込んでしまった」という行為をしたとします。ここに、「機会」「動機」「正当化」という3つの要素を当てはめてみます。

    • 「機会」:Aさんは、顧客データをいつでも大量に持ち出せる状況にありました。
    • 「動機」:Aさんは、同業他社に転職するので情報を転職先にもっていき、転職先での業務を有利に進めたいと考えました。
    • 「正当化」:以前、先輩が情報を持ち出したという噂があり、自分も同様に黙認されるはず、と考えました。

    このように、「機会」「動機」「正当化」という3つの要素が相互に作用することで、不正が発生しやすくなるというのが「不正のトライアングル」の考え方です。

    内部不正の手口

    ここからは、代表的な内部不正の手口についてみていきましょう。

    付与されているアクセス権限の悪用

    担当業務よりも不用意に高い権限が付与されていて、それを悪用するという手口です。先のAさんの例でいえば、業務上必要な最低限の顧客情報にのみアクセスできる設定であることが適切であったのにもかかわらず、業務では不必要な情報までアクセスできる権限が付与されており、その結果、大量の顧客情報にアクセスできてしまった、というようなことが当てはまります。アクセス権は必要最小限のユーザにのみ付与し、業務に応じて適切な操作だけを可能にする管理が必要です。また、アクセス権限についての定期的な棚卸をして、現状に照らして適切な設定となっているか確認をすることも重要です。

    在職中に割り当てられたアカウントの悪用

    こちらは在職中に割り当てられたアカウントが退職後も削除されていなかったことを悪用し、そのアカウントで社内システムに不正にアクセスし、情報を入手してしまうというような手口です。営業秘密の漏えいについては、中途退職者によるものが多くを占めていることがわかっています。また、契約満了後または退職した契約社員による漏えいも発生しています。こうしたことから、在職中に使用していたアカウントが退職後も削除されていないと、内部不正の原因となることがわかります。

    組織で利用を認めていないクラウドや外部記憶媒体等による不正な情報持ち出し

    これはUSBメモリやHDD、SSDといった外部記憶媒体での持ち出しや、メールやクラウドストレージへの送信・アップロードによる持ち出し、スマホカメラでの撮影や、紙媒体にコピーしての持ち出し、といったものが含まれます。メールやクラウドについては、手軽に利用しやすいこともあり、私物のPCやスマホなどにメール送信したり、個人で契約しているクラウドサービスにアップロードしたりなど、悪意なく機密情報を持ち出すようなことが起こりえます。

    これらの手口が実行に移されるのは、付与されている権限やアカウントが必要ではないタイミングでも有効になっている状況や、外部に情報を持ち出すことができる状況の場合です。この状況は不正のトライアングルにおける「機会」にあたります。

    一方、「動機」や「正当化」については、当事者の内面が強くかかわってくるため、組織として対応するのは難しいところとなります。しかし、「機会」に関しては、従業員のセキュリティ意識向上はもちろんですが、情報の持ち出しができないよう、組織側でクラウドや外部記憶媒体の利用に制限を設けることができるため、対策が可能となります。

    内部不正に関連する法律

    もし内部不正行為によって技術情報や顧客情報を漏えいされた場合、漏えいした情報によっては個人情報保護法などによる法的なペナルティが科される可能性があります。組織として内部不正に意識を向け、内部不正行為をすると組織および行為者がどのような影響を受けるのかも含めて周知することが推奨されます。

    個人情報氏名、生年月日、住所、顔写真などにより生存する特定の個人を識別できる情報(他の情報と容易に照合でき、それにより特定の個人を識別できるものも含む)、「個人識別符号」が含まれる情報、要配慮個人情報、個人情報データベース 等個人情報保護法の対象
    安全保障貿易管理に関する重要技術情報武器、原子力、化学兵器、生物兵器、ミサイル、先端素材、材料加工、エレクトロニクス、電子計算機、通信、センサ、航法装置、海洋関連、推進装置、機微品目 等
    例)暗号技術、炭素繊維、半導体、情報セキュリティ技術、量子コンピュータ 等    		外為法により規制の対象
    営業秘密/限定提供データ秘密管理性、有用性、非公知性を満たし、秘密として管理されている情報
    例)製造方法、設計図、事業戦略 等
    限定提供性、電磁的管理性、相当蓄積性を満たし、秘密として管理されていない情報
    例)市場調査データ、ソフトウェア 等    		不正競争防止法の保護対象

    また、内部不正を行った者は、組織の規定により解雇等の懲戒処分を受ける可能性があります。このほか、内部不正の内容によっては、例えば以下のような法律に抵触し、罰則や損害賠償を負う可能性があります。

    • マイナンバー法:特定個人情報を提供したり業務で知りえたマイナンバーを第三者に提供・盗用したりすることによる罰則
    • 刑法:窃盗罪、横領罪、背任罪 等
    • 労働契約法:労働契約違反による解雇・懲戒処分 等
    • 民法:契約上の債務不履行もしくは 不法行為に基づく損害賠償 等
    • 労働法:秘密保持義務違反、競業避止義務違反 等

    内部不正防止の基本原則

    内部不正対策を考えるには、先に紹介した「不正のトライアングル」の3要素が揃ってしまわないようにすることが重要となります。「機会」「動機」「正当化」の3要素を完成させないための考え方の一つに、IPAが提唱している「内部不正防止の基本原則」がありますので、下に紹介いたします。

    このように、当該3要素をそれぞれ低減するという視点で、組織内で対策を検討する必要があります。特に「機会」の低減は検討すべき要素が多いため、重点を置くべき項目です。

    内部不正の事例

    「元従業員による経費精算システムへの不正アクセスの事例」を紹介します。

    2023年、元勤務先(A社)に不正アクセスして取得した情報をもとに、A社の取引先(B社)に対して誹謗中傷を流布していた男性が逮捕されたとの報道がありました。その元従業員の男性は、A社に個人的な恨みを持っていて、在籍中に使用したテスト用のアカウントでA社の経費精算システムに不正アクセスして、経費精算状況などをダウンロードした後、発信元を匿名化して通信できるTorを利用して、A社を誹謗中傷するメールをB社に送ったとのことです。その後、誹謗中傷メールを受信したB社が、A社に連絡したため犯行が発覚したようです。事件発生の原因は、テスト用のアカウントが削除されずに残っていたことです。このため、ID/パスワードを記憶していた元従業員に不正アクセスを許してしまいました。不正のトライアングルでいうところの『動機』を持っていた人物に対して、『機会』を与えてしまったということになります。

    そのほかの内部不正事例

    時期概要
    2022年2月自治体職員が住民基本台帳を不正に検索して得た個人情報を漏えいさせたことが判明し、同年11月5日、住民基本台帳法違反容疑により逮捕*6
    2022年9月飲食チェーンA社から飲食チェーンB社へ転職して、社長に就任した人物が転職の前後に元勤務先であるA社のデータを持ち出し、転職先のB社で両社の原価を比較する資料を作成させ、不正競争防止法違反容疑により逮捕*2
    2023年10月国内大手通信関連会社から、元派遣社員によって約900万件の顧客情報が流出したため、不正競争防止法違反容疑で逮捕。*3
    2023年12月国内大手部品メーカーの元社員が不正競争防止法違反の容疑で警視庁により逮捕*4

    内部不正の発生を防ぐための対策

    前提として、内部不正対策には経営層の積極的な関与が必要となります。サイバーセキュリティと同様に内部不正は経営課題の一つであり、内部不正対策の責任は経営者にあります。内部不正から組織を守るためには、組織全体で横断的な管理体制を構築する必要があるため、経営層の関与が不可欠です。また、従業員側はこれを理解し、内部不正の組織および個人に与える影響を理解して、行動する必要があります。悪意をもって内部不正に走るのはもってのほかですが、悪意はなくとも、規約に反して安易に情報を持ち出すような行動は厳に慎まなければなりません。

    【経営層】

    • 内部不正対策の体制と仕組みの構築
    • 事業リスクを理解した的確な意思決定

    【従業員】

    • 内部不正の定義とその影響を理解
    • 内部不正を起こさない行動の実践

    内部不正が起こってしまったら

    しかしながら、内部不正は絶対に発生しないと言い切ることができないのもまた事実です。このため、万が一、発生してしまった場合の対応について、知っておく必要があります。内部不正の被害を最小限に抑え、再発を防止するためには、「適切な報告/連絡/相談」「インシデント対応体制」「内部不正者に対する適切な処罰」を実現することが重要です。

    具体的に従業員ができることとしては、内部不正に気付いたら躊躇なく適切なエスカレーション先に報告/連絡/相談すること、インシデント対応チームによるヒアリングの実施や情報提供の要請があれば、きちんと対応することが大切です。経営層は、こうしたセキュリティ対応がスムーズに行える社内のセキュリティ文化の醸成といったことも視野に入れる必要があります。また、これは従業員や経営層共に言えることですが、内部不正者に対して、法律や社内規程で定められた処罰でない、個人的な謝罪を強制するような対応は慎みましょう。

    インシデント対応体制

    内部不正を含めた、インシデントが発生してしまったら、迅速にインシデント対応を行う必要があります。インシデント対応の目的は、インシデント発生による被害とその影響範囲を最小限に抑え、速やかに事業継続できるようにすることです。ただし、その達成に向けてのアプローチは企業ごとに異なります。

    BBSecのインシデント対応準備支援サービスは、これまで多数のお客様のインシデント対応体制構築をご支援してきた経験とノウハウに基づき、ITやセキュリティ専任者が不在の企業におけるインシデント体制構築から、CSIRTが設置されている企業やCSIRTの組成・運営を目指す企業まで、お客様のニーズやフェーズにあわせた最適なサービスを選択できるように豊富なインシデント対応準備支援メニューをご用意しています。
    インシデント初動対応準備支援はこちら

    内部不正による情報漏えいは、組織にとって重大なリスクとなります。しかし、適切な対策を講じることで、そのリスクを大幅に低減することが可能です。従業員一人一人がセキュリティ意識を持ち、組織全体で内部不正防止に取り組むことが求められます。

    BBSecでは

    サイバーインシデント緊急対応
    突然の大規模攻撃や情報漏えいの懸念等、緊急事態もしくはその可能性が発生した場合は、BBSecにご相談ください。セキュリティのスペシャリストが、御社システムの状況把握、防御、そして事後対策をトータルにサポートさせていただきます。

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    ウェビナー開催のお知らせ

  • 2024年8月21日(水)14:00~15:00
    セキュリティ担当者必聴!ペネトレーションテストと脆弱性診断 – 違いと効果、使い分けを解説

    • 最新情報はこちら

    Youtube動画公開のご案内

    ウェビナー過去動画、アナリストによるセキュリティトピックス解説動画およびサービス案内動画を更新しております。

      SQATチャンネルはこちら

      Security Report TOPに戻る
      TOP-更新情報に戻る

      資料ダウンロードボタン
      年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
      お問い合わせボタン
      サービスに関する疑問や質問はこちらからお気軽にお問合せください。
      Security Serviceへのリンクバナー画像
      BBsecコーポレートサイトへのリンクバナー画像
      セキュリティ緊急対応のバナー画像
      セキュリティトピックス動画申し込みページリンクへのバナー画像