カテゴリー: SQAT® Security 瓦版

投稿日:

緊急セキュリティ警告:ArrayOS AG における深刻な脆弱性 CVE-2023-28461

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

Array Networks社のArrayOS AGに存在する重大な脆弱性について、企業が知るべき最新情報をお伝えします。ネットワークセキュリティについて情報収集されている方は必読です!

脆弱性の概要と深刻度

CVE-2023-28461は、ArrayOS AGのセキュリティ基盤を揺るがす深刻な認証脆弱性です。CVSSスコア9.8という極めて高い危険度は、即時の対応を求めています。

脆弱性の特徴

  • 影響バージョン:ArrayOS AG 9.4.0.481以前
  • 攻撃難易度:非常に低い
  • 潜在的リスク:システム不正アクセス、情報漏洩、サービス運用妨害

攻撃の実態と脅威

2023年3月15日に公表されたこの脆弱性は、すでに複数の攻撃キャンペーンで悪用されています。特に注目すべきは、Earth Kashaという脅威アクターによる組織的な攻撃です。

攻撃の特徴

  • 2023年4-5月:リモートコード実行が疑われる攻撃
  • 標的:日本および世界各国のテクノロジー企業、政府機関

企業が取るべき対策

この脆弱性から組織を守るために、以下の対策が不可欠です。

修正プログラムの適用

Array Networks社から提供されている修正プログラムを速やかに適用することが最も重要です。特に、バージョン9.4.0.481およびそれ以前のバージョンを使用している場合は、最新のアップデートを適用してください。

アクセスログの監視

不審なアクセスや異常な動作を早期に発見するために、アクセスログを定期的に監視し、異常がないか確認します。特に、VPN接続や外部からのアクセスが多い環境では注意が必要です。

セキュリティ機器の強化

インターネット境界に設置されているセキュリティ機器(ルータやファイアウォールなど)の設定を見直し、不必要なポートやサービスを閉じることで攻撃面を減少させます*1

脆弱性管理の実施

使用しているシステムやアプリケーションの脆弱性情報を定期的に確認し、ゼロデイ脆弱性や既知のエクスプロイトに対する対策を講じます。特に、Array AGシリーズのような外部からアクセスされる機器は優先的に管理します*2

多要素認証の導入

認証機構自体の強度を高めるため、多要素認証(MFA)を導入し、パスワードだけでなく他の認証手段も組み合わせて使用します。

リスク軽減のための具体的なステップ

システム管理者向け緊急対応

  • ArrayOS AGのバージョンを速やかに確認
  • 公式パッチの即時適用
  • 不審なアクセスログの分析
  • 外部セキュリティ専門家への相談検討

最後に

この脆弱性は単なる技術的な問題ではなく、組織の存続に関わる重大なセキュリティリスクです。迅速かつ包括的な対応が求められます。セキュリティは待ったなし。今すぐ行動を起こしてください。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

サイバーインシデント緊急対応

サイバーセキュリティ緊急対応電話受付ボタン
SQAT緊急対応バナー

ウェビナー開催のお知らせ

  • 2024年12月4日(水)13:00~14:00
    インシデント発生の事前準備・事後対応-拡大するサイバー攻撃への対策方法とは-
  • 2024年12月11日(水)14:00~15:00
    ランサムウェア攻撃の実態と対策:2024~脅威に備える最新の対策法を解説~
  • 2024年12月18日(水)14:00~15:00
    脆弱性診断の新提案!スピード診断と短納期で解決する「SQAT® with Swift Delivery」セミナー

    • 最新情報はこちら

    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。
    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    投稿日:

    2023年に最も深刻な影響を与えた脆弱性Top15
    -Five Eyes共同調査分析レポート公開-

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    概要

    海外5か国(米国、英国、オーストラリア、ニュージーランド、カナダ)で構成されたFive Eyesによる共同調査で、2023年、特に深刻な影響を与えた脆弱性15件が特定されました。本記事では、該当の脆弱性をカテゴリ別に分類して展開。効果的な脆弱性対策についてご説明します。

    脆弱性の分類と影響度

    ネットワークインフラストラクチャ関連

    Cisco IOS XE

    1.CVE-2023-20198
    2.CVE-2023-20273

    影響:特権昇格、リモートコード実行
    深刻度:Critical (CVSS: 9.8)

    Citrix NetScaler

    3.CVE-2023-3519
    4.CVE-2023-4966

    影響:認証バイパス、情報漏洩
    深刻度:Critical (CVSS: 9.1)

    VPNおよびリモートアクセス関連

    Fortinet FortiOS/FortiProxy SSL-VPN

    5.CVE-2023-27997

    影響:認証バイパス
    深刻度:Critical (CVSS: 9.3)

    データ管理システム

    MOVEit

    6.CVE-2023-34362

    影響:SQLインジェクション
    深刻度:Critical (CVSS: 9.8)

    Atlassian Confluence

    7.CVE-2023-22515

    影響:特権昇格
    深刻度:Critical (CVSS: 10.0)

    ロギング・監視システム

    8.CVE-2021-44228

    影響:リモートコード実行
    深刻度:Critical (CVSS: 10.0)
    特記:脆弱性「Log4Shell」として広く知られ、長期的な影響が継続

    セキュリティアプライアンス

    Barracuda ESG Appliance

    9.CVE-2023-2868

    影響:リモートコード実行
    深刻度:Critical (CVSS: 9.8)
    特記:バックドアの埋め込みリスクあり

    システム管理ツール

    Zoho ManageEngine

    10.CVE-2022-47966

    影響:認証なしリモートコード実行
    深刻度:Critical (CVSS: 9.8)
    特記:複数の製品に影響

    印刷管理システム

    PaperCut MF/NG

    11.CVE-2023-27350

    影響:リモートコード実行
    深刻度:Critical (CVSS: 9.8)
    特記:認証バイパスによる特権昇格の可能性

    Windows環境

    Microsoft Netlogon

    12.CVE-2020-1472

    影響:ドメイン特権の昇格
    深刻度:Critical (CVSS: 10.0)
    特記:Zerologon脆弱性として知られる

    継続的インテグレーション/デプロイメント

    JetBrains TeamCity

    13.CVE-2023-42793

    影響:認証バイパス
    深刻度:Critical (CVSS: 9.8)
    特記:ビルドシステムへの不正アクセスのリスク

    メールクライアント

    Microsoft Office Outlook

    14.CVE-2023-23397

    影響:特権昇格、NTLM資格情報の漏洩
    深刻度:Critical (CVSS: 9.8)
    特記:標的型攻撃で悪用される可能性が高い

    クラウドストレージ

    ownCloud graphapi

    15.CVE-2023-49103

    影響:認証バイパス
    深刻度:High (CVSS: 8.8)
    特記:データアクセス制御の迂回が可能

    脆弱性カテゴリ別の分布分析

    上記の脆弱性を分析すると、以下のような特徴がみられます。

    攻撃タイプの傾向

    • リモートコード実行: 38%
    • 認証バイパス: 31%
    • 特権昇格: 23%
    • その他: 8%

    影響を受けるシステム領域

    • ネットワークインフラ: 31%
    • アプリケーションサーバー: 23%
    • セキュリティ製品: 15%
    • エンドユーザーアプリケーション: 31%

    対策の優先度付けのポイント

    • クライアントアクセス性: 高い順
    • パッチ適用の容易さ: 考慮が必要
    • ビジネスインパクト: 重要度評価
    • 実現可能な緩和策の有無

    推奨される対策措置

    組織のセキュリティ責任者向け

    即時対応が必要な施策

    • 重要システムの脆弱性評価の実施
    • パッチ適用計画の策定と実行
    • セキュリティ監視の強化

    中期的な対策

    セキュリティツールの導入・更新

    • DR(エンドポイント検知・対応)システム
    • WAF(Webアプリケーションファイアウォール)
    • ネットワーク監視・分析ツール

    開発者・ベンダー向けガイドライン

    設計フェーズでの対策

    • SP 800-218に基づくSSDF(安全なソフトウェア開発フレームワーク)の導入
    • DevSecOpsの実践によるセキュリティシフトレフト

    実装フェーズでの対策

    • セキュアコーディング規約の徹底
    • 継続的なセキュリティテストの実施

    運用フェーズでの対策

    • 脆弱性開示プログラムの確立
    • インシデント対応体制の整備

    リスク軽減のためのベストプラクティス

    システム管理者向け

    • 定期的な脆弱性スキャンの実施
    • パッチ管理の自動化
    • セキュリティ設定の定期監査

    エンドユーザー向け

    • セキュリティ意識向上トレーニング
    • インシデント報告手順の周知
    • アクセス権限の定期見直し

    まとめ

    これらの脆弱性に対する効果的な対策には、組織全体での継続的な取り組みが不可欠です。本レポートで示した対策を確実に実施し、定期的な見直しと更新を行うことで、セキュリティリスクの最小化を図ることができます。

    注)本記事に記載されている脆弱性情報やPoCの取り扱いには十分な注意を払い、悪用防止に努めてください。

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    ウェビナー開催のお知らせ

  • 2024年11月27日(水)12:50~14:00
    【好評アンコール配信】
    Webアプリケーションの脆弱性対策-攻撃者はどのように攻撃するのか-
  • 2024年12月4日(水)13:00~14:00
    インシデント発生の事前準備・事後対応-拡大するサイバー攻撃への対策方法とは-
  • 2024年12月11日(水)14:00~15:00
    ランサムウェア攻撃の実態と対策:2024~脅威に備える最新の対策法を解説~
  • 2024年12月18日(水)14:00~15:00
    脆弱性診断の新提案!スピード診断と短納期で解決する「SQAT® with Swift Delivery」セミナー

    • 最新情報はこちら

    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。
    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    投稿日:

    サイバー攻撃者は何を狙うのか?
    ~サイバー攻撃の準備段階 第2回:足がかりを作る

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    シリーズ第1回「侵入するための偵察活動」でご紹介した通り、攻撃者は攻撃対象をありとあらゆる面から調べ上げ、偵察活動を通じて使えそうな情報を手に入れようとします。一方で偵察活動を含めてターゲットを絞り込む段階では足掛かりとなるものが必要となります。この足掛かりは実際の侵害行為にも流用されるものが含まれます。シリーズ第2回の今回は、攻撃者が足掛かりとして何を用意するか、その事例をお伝えします。

    足掛かりの種類

    大きく足掛かりとなるものの種類を分類すると以下の通りになります。

    アクセス手段の取得

    • 対象のシステム・ネットワークへの正規アクセス手段の購入・取得
    • アカウントの侵害(対象は最終的な被害者とは限らない)
    • アカウントの作成

    偵察活動・攻撃のためのインフラ・機能の準備

    • 偵察活動・進入用のインフラストラクチャの用意
      (自前、レンタル、リース、サードパーティーからの奪取など)
    • 各種機能の自主開発
    • 各種機能の入手
    • 開発・入手した機能のステージング

    アクセス手段の取得の例

    アカウントの侵害やなりすましによるアカウントの作成、ネットワークアクセスの取得や購入、といった手法が明らかになっていないものも含めると、アクセス手段を取得する手法は多くの脅威アクターやランサムウェアギャングが採用していると考えられます。アカウントの侵害・作成もメールアカウントやクラウドアカウントなど即攻撃につながるものもあれば、SNSのアカウントを侵害・作成することで別人になりすます、架空のペルソナを手に入れる、といったものまで幅広い手法があります。こういったSNSアカウントからのDM(ダイレクトメール)などを介して、Microsoft 365のログイン情報を窃取するためのフィッシングサイトのリンクを送り、その後の侵害に悪用する手法*3も存在しています。

    最近の事例

    次の事例は実際の攻撃の初期アクセスに当たる可能性もありますが、攻撃者による事前の足掛かりづくりとしてもアクセスの取得が悪用されている可能性があることから参考として掲載します。

    香港消費者委員会に対するALPHVランサムウェア攻撃

    2023年9月4日に管理者の認証情報を窃取し、その情報を悪用されたとの報道がある*2

    2024年9月19日~20日にかけてランサムウェアが展開され、環境内の80%のアセットがダメージを受けたことが発表されている*5

    漏洩したとされる情報は以下の通り

    • 職員の個人情報(離職者を含む)、職員の家族の個人情報、採用応募者の個人情報
    • メールマガジンの購読者の情報(クレジットカード情報を提示した購読者8000人の情報も含まれる)
    • 不服申し立てや通報を行った人の情報
    • 取引先の情報

    次の事例は実際の攻撃や被害に至っていないケースですが、場合によってはランサムウェア攻撃やマルウェアによる被害にもつながる可能性があること、ペルソナ(人格)のなりすましによる足掛かりづくりとしてわかりやすいことから一例としてご紹介します。

    北朝鮮のIT技術者なりすましによる就労*6

    外国人の身分証明書を悪用しなりすましを行った北朝鮮のIT技術者が米国で就業していた事例

    • 採用を行った米国や企業に、米国内の信頼されるIPアドレスからアクセスするが、そのIPアドレスの配下にはラップトップファームが存在し、そこへ北朝鮮からVPN経由でIT技術者(おそらく複数人)がリモートアクセスし、まるで1人の技術者が作業しているように見せかけていた
    • セッション履歴ファイルの操作、潜在的に有害なファイルの転送、社内規則で不正とされるソフトウェアの実行やマルウェアの実行を試みた形跡があった

    米国と韓国からは2022年以来注意喚起が行われており、最新のものは2023年10月に公開されている*7。この中では米国と韓国の法人への注意が呼びかけられている

    実際にこの事例に遭遇した企業からは以下のような情報が提供されている

    • 今回の事例は他人へのなりすましのためにディープフェイク画像を用いてビデオ通話でのインタビューに対応していたことが判明している
    • 従来、北朝鮮のIT技術者はテキストベースのコミュニケーション偏重で、ビデオ通話に応じないとされていた
    • ソーシャルメディアを通じた本人確認プロセスや、メール以外でのリファレンスチェックの追加
    • 上記を含めたQ&Aが人事部門向けに公開されている*8

    偵察活動・攻撃のためのインフラ・機能の準備の例

    多くの脅威アクターは、正規のドメインや正規ドメインと紛らわしいドメイン(使用する文字セットの関係で同じように見えるが実際は異なるドメイン)などを使用してC2サーバ注 1)を構築、マルウェアを配信、フィッシング用のWebサイトを立ち上げるといったことを行います。こういったドメインはAPT攻撃、ランサムウェア攻撃ともに用いられ、侵害情報(IOC:Indicator of Compromise)の一部として共有されることもあります。

    脅威アクターは様々な手法で自分たちの存在を隠しながら活動を行います。具体的には、正規のホスティングサービスやレンタルサーバ、正規のドメインレジストラ(ドメインを登録する事業者)などを利用する、正規のWebサービスに見せかけた偽物を用意する、正規のWebサービスに正規ユーザとして登録する、正規のVPSサービスを利用する、巧妙な偽広告を使ってターゲットをマルウェアのダウンロードサイトに誘導するといった手法があります。

    最近の事例

    脅威アクターが正規のWebサービス、この場合はGitHubに正規ユーザとして登録した事例として、XZ Utilsへのソフトウェアサプライチェーン攻撃が挙げられます。

    XZ Utilsへのソフトウェアサプライチェーン攻撃

    XZ Utils*9は各ディストリビューションでも広く使用されているオープンソースのLinuxの圧縮ユーティリティ。このユーティリティにバックドアが仕込まれたことが本事件の核となる。

    • 対象となるバージョンが限定的だったことや発見が早かったこともあり、本攻撃による具体的な被害は出ていない

    脅威アクターは正規のGitHubユーザーアカウントを使用し、長期間かけてメンテナーからの信頼を獲得し、共同メンテナーとなる*10

    2024年3月に脅威アクターがSSHセッションへのリモートアクセスを可能とし、リモートコード実行が可能となるバックドアを仕込んだバージョンをリリース*11

    • リリース後、Microsoftのエンジニアが偶然バックドアを発見・報告し、ただちに対象バージョンの配布を停止
    • バックドアは脅威アクターが持つ秘密鍵を利用してSSHへアクセスし、任意コードの実行が可能となるものであった

    VPSや偽広告を悪用した事例としてはPlayランサムウェアによる攻撃が挙げられるでしょう。

    Playランサムウェアによる攻撃

    環境内にランサムウェアを展開するまでの行動として以下の手法が知られている*12

    • ボイスフィッシング(ビッシング)の手法を使用して脅威アクターのデバイスをMFAデバイスとして登録する
    • リモートアクセスソフトウェア・AnyDeskを使用してアクセスを行う
    • PsExecを使用することで複数のエンドポイントでのセキュリティツールを無効化する
    • Windowsの資格情報を様々な場所から収集したうえで複数のドメインコントローラーを侵害する

    SurfSharkのVPNやBlueVPSのVPSに紐づくIPアドレスを利用したことが確認されている*13

    偽広告を利用し、タイポスクワッティング注 2)されたドメインを使用してWinSCPとPuttyの偽インストールサイトへ誘導し、マルウェアをダウンロードさせる*14といった行動をとっていたことが確認されている。

    正規のドメインレジストラからドメインを取得している脅威アクターもいます。

    Star Blizzard(APT)によるドメインレジストラを使用したドメインの取得

    具体的な攻撃につながっているわけではないが、2024年1~8月だけでもリンク先のドメインを取得していることがわかっている。

    Star Blizzardが取得したドメイン名の一覧

    なお、利用されたレジストラには日本のレジストラも含まれている。

    足掛かりの一覧

    最後にMITRE ATT&CKのResource Developmentとしてまとめられている足掛かりの一覧を掲載します。

    表の見方

    第1回「侵入するための偵察活動」を参照

    弊社では11月20日(水)13:50より、「中小企業に迫るランサムウェア!サプライチェーン攻撃とは -サプライチェーン攻撃から企業を守るための取り組み-」と題し、ウェビナーを開催予定です。こちらでは以下でご紹介するMITRE ATT&CKについて、講師が解説いたします。ご関心がおありでしたらぜひお申込みください。詳細はこちら

    ID名前備考
    T1650アクセス手段の取得・購入
    備考

    システム・ネットワークへのアクセス手段は、ダークウェブ上などのブローカーから取得・購入するといったものがある。

    T1583インフラストラクチャの取得
    備考

    攻撃者は多種多様なインフラストラクチャ(多くは正規のサービス)を利用する。場合によってはお試し目的で無料期間が設定されているサービスを使うことも。

    0.001ドメイン
    0.002DNS サーバ
    0.003仮想プライベートサーバ
    0.004サーバ 注 3)
    0.005ボットネット 注 4)
    0.006ウェブサービス 注 5)
    0.007サーバーレス
    0.008マルバタイジング 注 6)
    T1586アカウントの侵害
    備考

    攻撃者は実在する人のメールやクラウドサービスのアカウントだけでなく、SNSアカウントも侵害し悪用する。そのオンラインペルソナ(人格)を活用しソーシャルエンジニアリングに組み込むことも含まれる。メールアカウントの侵害では情報窃取やフィッシング、スパムの送信、さらにはドメイン取得への悪用も確認されています。また、クラウドサービスのアカウントの侵害はデータの流出に加え、マルウェアを含む攻撃ツールのダウンロード実行に用いられることがある。

    0.001ソーシャルメディアアカウント
    0.002メールアカウント
    0.003クラウドアカウント
    T1584インフラストラクチャの侵害
    備考

    攻撃者自らがインフラストラクチャを購入・リース・レンタルなどの手段で取得する代わりに、サードパーティーのインフラストラクチャを侵害するもの。

    0.001ドメイン 注 7)
    0.002DNS サーバ
    0.003仮想プライベートサーバ
    0.004サーバ
    0.005ボットネット
    0.006ウェブサービス 注 8)
    0.007サーバーレス
    0.008ネットワークデバイス 注 9)
    T1587機能の開発
    備考

    攻撃者自身が対象者への足掛かりとして開発・用意するものを指す。

    0.001マルウェア
    0.002コード署名証明書
    0.003デジタル証明書
    0.004エクスプロイト(攻撃コード)
    T1585アカウントを確立する
    備考

    作戦に利用するために新しいアカウントを確立するもの。攻撃者は架空のペルソナ(人格)を構築するためのソーシャルメディアアカウントを作成、またソーシャルエンジニアリングやフィッシングを実施するための新しいメールアドレスを作成し、ドメインの取得や乗っ取りに活用する。

    0.001ソーシャルメディアアカウント
    0.002メールアカウント
    0.003クラウドアカウント
    T1588機能の獲得
    備考

    攻撃者自身が機能開発を行わず、必要なツールを購入または窃取するもの。これには悪意のあるツールやエクスプロイトのダウンロードなどといったものから、善意によって公開されているエクスプロイトや脆弱性情報を悪用するもの、さらに正規の商用ソフトウェアを不正に入手して悪用するケースまで多種多様なものがある。また、TLS証明書やコード証明書の窃取や購入を行うものもあり、ソフトウェアの実行の際に作成者の証明を行う。近年では、生成型人工知能ツールを悪用しディープフェイク画像を犯罪に使用したケースや誤ったデータを投入することで学習データを汚染するデータポイズニング注 10)などの例もあり、脅威として懸念される。

    0.001マルウェア
    0.002ソフトウェアツール
    0.003コード署名証明書
    0.004デジタル証明書
    0.005エクスプロイト
    0.006脆弱性
    0.007人工知能
    T1608ステージング
    備考

    攻撃者が通常の開発と同様に開発・獲得した機能をステージング環境で機能・動作の確認を行う。具体例として、ドライブバイダウンロード注 11)やドライブバイコンプロマイズ注 12)の準備段階として訪問ユーザの環境情報を取得するドライブバイターゲット、ユーザにリンクをクリックさせて情報を取得するリンクターゲット、検索エンジン最適化(SEO)を汚染することでターゲットとするユーザのブラウザに悪意のあるサイトが表示される確率を上げるSEOポイズニングといった手法などが含まれる。

    0.001マルウェアをアップロードする
    0.002アップロードツール
    0.003デジタル証明書をインストールする
    0.004ドライブバイターゲット
    0.005リンクターゲット
    0.006SEOポイズニング

    出典:MITRE ATT&CK®https://attack.mitre.org/tactics/TA0043/)を元に弊社和訳、備考欄追記

    注:
    1) コマンドアンドコントロール(C&C→C2)サーバ。外部から侵害システムと通信を行い、命令と制御を行う目的で用いられる。
    2) ユーザがブラウザにURLを打ち間違えることを利用して、打ち間違えたURLを持つサイトを用意することで正規サイトに見せかける手法
    3) サーバのリース・レンタルやホスティングサービスの利用を行うことがある
    4) ボットネットは強調タスクを実行できる侵害されたシステムで構成されるネットワークを指す。代表的なボットネットにはMiraiがある。攻撃者はボットネットを利用して大規模フィッシングや分散型サービス拒否(DDoS)などの攻撃を実行することが可能となる。
    5) 正規のウェブサービスや正規のウェブサービスを騙ったページ(多くはフィッシング目的のもの)が該当する
    6) 日本でも問題になっている偽広告のこと。Malicous(悪意ある) Advertising(広告)からの造語。
    7) ドメイン乗っ取りが該当
    8) 正規のウェブサービスの侵害が対象(アカウントの侵害ではなくサービス自体の侵害)。Googleドライブのレポジトリを侵害したケースや、WordPressサイトを侵害してC2サーバとして悪用した事例などがある。
    9) 小規模オフィス/ホーム オフィス (SOHO) ルーターなどのネットワーク デバイスを侵害して、隠れ蓑にするケースがある
    10) ディープフェイク画像を使用した事例は本文を参照。データポイズニング自体の大規模な悪用事例はないが、同意なしの画像の学習に関して同意しないアーティストたちの権利保護のためにシカゴ大学がAIの学習モデルの欠陥を利用して作ったNightshadeが、手法としてデータポイズニングを実行しているといえる。
    11) Webサイトを訪問したユーザにマルウェアをダウンロードさせる攻撃手法
    12) 正規のWebサイトを侵害して訪問者のデバイスにマルウェアをダウンロードさせる攻撃手法

    ウェビナー開催のご案内

  • 2024年11月27日(水)12:50~14:00
    【好評アンコール配信】
    Webアプリケーションの脆弱性対策-攻撃者はどのように攻撃するのか-
  • 2024年12月4日(水)13:00~14:00
    【好評アンコール配信】
    インシデント発生の事前準備・事後対応-拡大するサイバー攻撃への対策方法とは-

    • 最新情報はこちら

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。
    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    投稿日:

    サイバー攻撃者は何を狙うのか?~サイバー攻撃の準備段階~
    第1回 侵入するための偵察活動

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    攻撃者はターゲットの目星を付けるためや、侵入を計画・実行するために情報を収集します。この情報収集活動が偵察活動です。サイバー攻撃などが発生したとき、たいてい注目されるのはどこから入られたのか、どういった痕跡が残されているのかといった侵害行為の初動(初期アクセス)の時点からですが、攻撃者は侵害行為を始める前に偵察活動と、侵害行為のための足掛かりづくりを行います。シリーズ第1回目の今回はこの偵察活動についてお伝えします。

    偵察活動の例

    ランサムウェア攻撃グループ「LockBit」

    2024年初頭に国際法執行機関による捜査の結果、一部関係者が逮捕されたランサムウェア「LockBit」ですが、LockBitも偵察活動の一環として他の脅威アクターからフィッシングや脆弱なアプリ、ブルートフォース攻撃で取得したRDPアカウントの情報をアフィリエイト経由で入手していたといわれています*15

    Cobalt Strikeを悪用するランサムウェアグループ

    本来は正規の攻撃再現ツールであるCobalt Strikeですが、その高い機能性からランサムウェアギャングなどによる悪用が行われているソフトウェアでもあります*2。過去に行われたCobalt Strikeを悪用したキャンペーンではフィッシング手法が使われていることも周知されています*3。また、Cobalt StrikeにはBeaconという機能*4があり、この機能はターゲットのスキャンとソフトウェアの種類とバージョンの特定を行うことができます。正しく使用すればアセット管理・インベントリ管理にも使えるのですが、残念なことにこの機能が悪用されたことがあります。この悪用はフィッシング後に実行されていますが、偵察活動の一環として使用された可能性があることからこちらの項でご紹介します。

    Volt Typhoon

    ランサムウェアギャングやマルウェア以外の中でも、我々にとって比較的身近な、国家支援型の脅威アクターの中で名前が挙げられるグループの一つが「Volt Typhoon」でしょう。JPCERT/CCから詳細なレポートも出ており、その活動の特徴から侵害の痕跡をもととした対策があまり効果的でない点について指摘されています。これはVolt Typhoonがターゲットとするものがアクティブディレクトリ(AD)に限定されること、偵察活動と実際の侵害行為を時系列的に完全に切り離して実行していることの2点によります。つまり、Volt Typhoonや類似のアクターに対しては偵察行為の時点で発見するということが重要となります。

    ランサムウェアの脅威画像
    出典:JPCERT/CC「Volt Typhoonの攻撃キャンペーンにどう備えていくべきなのか ~将来の攻撃に備えるThreat Huntingのアプローチについて考える~」より引用

    JPCERT/CCは豪州通信情報局豪州サイバーセキュリティセンター(ASD’s ACSC)主導のもと各国と協力の上、2024年8月にWindowsのイベントログと脅威検出についてのベストプラクティスを発表しています*5。これはシステム内規制戦術をとる脅威アクターをターゲットとした文書ですが、Volt Typhoonもケーススタディとして取り上げられています。Windows環境、特にAD環境を運用されている組織の方はぜひこの文書を参考にログの取得方法の見直しをすることをおすすめします。

    偵察活動の一覧

    最後にMITRE ATT&CKで偵察活動として挙げられているものの一覧を掲載します。

    弊社では11月20日(水)13:50より、「中小企業に迫るランサムウェア!サプライチェーン攻撃とは -サプライチェーン攻撃から企業を守るための取り組み-」と題し、ウェビナーを開催予定です。こちらでは以下でご紹介するMITRE ATT&CKで挙げられている偵察活動の例について、講師が解説いたします。ご関心がおありでしたらぜひお申込みください。詳細はこちら

    表の見方

    • MITRE ATT&CK ID: MITRE ATT&CKで活動に対して付与されているID
    • 名称:MITRE ATT&CKが活動に対して付与した名称
    • 備考:記載があるものはよく偵察活動で実行されているものについて弊社で記載したもの

    偵察活動の一覧

    MITRE ATT&CK ID名称備考
    T1595アクティブスキャン
    0.001IPブロック(パブリックIP)のスキャン
    0.002脆弱性スキャン
    備考

    攻撃者は悪用できそうな脆弱性を見つけるために脆弱性スキャンを実行するケースが多い。公開アセットに対する脆弱性スキャン自体を防ぐことは困難であるため、不要なアセットを公開しないことや適切なアクセス制御を行うこと、公開アセットの脆弱性を最低限に抑えること、ネットワークトラフィックの中身やフローから脅威を発見する体制を整えることがポイントとなる。

    0.003ワードリストスキャン 注 1)
    T1592ターゲットのホスト情報の収集
    0.001ハードウェア
    0.002ソフトウェア
    備考

    攻撃者は複数の手段でホスト情報を収集する。侵害したWebサイトを経由した未来のターゲット情報(Webブラウザ関連の情報)の収集、フィッシングサイトの訪問者からのユーザーエージェント情報の取得、サプライチェーン攻撃のためのソフトウェアコードの情報や特定のソフトウェアを使用しているコンピューターリストの収集などがある。

    0.003ファームウェア
    0.004クライアント設定 注 2)
    T1592ターゲットの認証・個人情報の収集 注 3)
    0.001認証情報
    備考

    攻撃者はありとあらゆる手段を用いて認証情報を収集する。単純なログイン情報の取得だけでなく、ターゲット組織内のユーザーの個人用・ビジネス用両方のアカウント同じパスワードを使い回しているケースなどを狙って認証情報を取得する。また、過去に情報漏洩の被害に遭った企業をターゲットにブルートフォース攻撃を実行したり、特定の機器やソフトウェアの認証情報を収集したり、SMS経由でスピアフィッシングメッセージを送信し認証情報を窃取することもある。偵察行為の時点では防御や検知が困難なため、実際に悪用された時点での検知が重要となる。

    0.002メールアドレス
    備考

    攻撃者は、ソーシャルメディア、公開Webサイトの情報の検索、Microsoft 365環境用のアドレスを公開APIなどの手段を利用して入手することができる。入手した情報はフィッシングやブルートフォース攻撃に利用される可能性がある。もともとメールアドレスは外部公開を前提とした情報であるため防御は困難だが、メールアドレスやユーザー名を探索しようとする目的のトラフィックを検知することで攻撃の予兆を把握することができる。

    0.003従業員名
    備考

    攻撃者はフィッシングなどで相手を信用させるため、アカウント侵害の際に悪用するため、従業員情報を収集する。SNSやターゲットのWebサイトの検索などで容易に収集可能なため、偵察行為の時点では防御や検知は困難である。実際に悪用された時点での検出が重要となる。

    T1592ターゲットのネットワーク情報の収集
    0.001ドメインプロパティ 注 4)
    0.002DNS
    0.003ネットワークの信頼関係 注 5)
    0.004ネットワークトポロジー
    0.005IPアドレス
    0.006ネットワークセキュリティアプライアンス
    T1591ターゲットの組織情報の収集
    0.001物理ロケーションの推定
    0.002取引関係の推定
    備考

    攻撃者は、ターゲティングに利用できる取引関係の情報情報(ハードウェア・ソフトウェアのサプライチェーンやセカンドパーティー・サードパーティーの組織・ドメインの情報など)を収集する。収集した情報は他の偵察行為や攻撃の足掛かりづくり、初期アクセスに展開される可能性がある。防御や検知は困難で、この段階では不正確な判定につながる可能性が高いため、悪用された時点での検出が重要となる。

    0.003ビジネスのテンポの推定 注 6)
    0.004役職などの推定
    備考

    攻撃者は、ターゲット設定のために、組織内の主要な人員の情報やアクセスできるデータやリソースなどの情報を収集する。フィッシングなどによる情報収集から、最も効率的にデータにアクセスできるアカウントはどれか、自分が情報をそろえているアカウントがアクセスできるデータの範囲はどこかといった情報を確認し、侵害すべき対象を見極める。収集した情報は他の偵察行為や攻撃の足掛かりづくり、初期アクセスに展開される可能性がある。偵察行為の時点では防御や検知は困難なため、悪用された時点での検出が重要となる。

    T1598情報収集のためのフィッシング
    0.001スピアフィッシングサービス 注 7)
    0.002悪意のあるコードなどを含む添付ファイルによるスピアフィッシング
    備考

    スピアフィッシングでは、攻撃者がソーシャルエンジニアリングの技法を用いて、ターゲット企業のユーザーに対して悪意あるコードなどを含む添付ファイルを含んだメールを送信し、その添付ファイルを開かせ、認証情報などの悪用可能な情報を収集する。防御方法としては、SPFやDKIM、DMARCといったメールサーバの基本設定を行うことや、フィルタリング、ユーザートレーニングが推奨されている。検知方法としてはメールのモニタリングやフィルタリング、ネットワークトラフィックの監視や分析が有効。

    0.003/td>リンクを悪用したスピアフィッシング
    備考

    スピアフィッシングのうち、メッセージ内にリンク挿入したものやトラッキング用のタグを含むもの。リンク先自体は正規のWebサイトの場合もあれば、リンク先は悪意のあるWebサイトの場合もあり、攻撃者はサイトへ誘導したうえで認証情報を窃取する。またトラッキング用のタグを使用し、ユーザーが対象のメールを開いたかどうかを確認する。この場合も防御方法としては、SPFやDKIM、DMARCといったメールサーバの基本設定を行うことや、フィルタリング、ユーザートレーニングが推奨される。検知方法も同様で、メールのモニタリングやフィルタリング、ネットワークトラフィックの監視や分析が有効。

    0.004音声によるスピアフィッシング
    備考

    音声通信(電話)を用いたスピアフィッシング。攻撃者は取引先やテクニカルサポートスタッフなどの信頼できる相手を装い機密情報を聞き出そうとする。また、フィッシングメッセージから電話を掛けるように誘導するパターンや別の偵察活動で得た情報を利用し、ターゲットの信頼を得ようとすることもある。実例として、認証情報の窃取、サポートデスクに連絡して権限昇格を要求する、悪意のあるWebサイトへの誘導などがある。ほかのスピアフィッシングに比べると防御・検知の手段が限られており、防御はユーザーのセキュリティ教育、検知はコールログの監視などにとどまる。

    T1597閉鎖的・限定的な情報源からの情報収集 注 8)
    0.001脅威インテリンジェスベンダー 注 9)
    0.002技術データの購入 注 10)
    T1596公開技術データベースの検索 注 11)
    0.001DNS/Passive DNS
    0.002WHOIS
    0.003デジタル証明書
    0.004CDN
    0.005公開スキャンデータベース
    T1593公開Webサイト・ドメインの検索
    備考

    公開Webサイトやドメインといった組織の管理外の公開資産のため、防御・検知は困難なものが多い。

    0.001ソーシャルメディア
    備考

    攻撃者はSNSを利用してターゲット個人を特定し、フィッシングメールを送信したり、なりすましをしたり、個人情報を収集したりする。収集した情報は他の形態の偵察や攻撃の足掛かりづくり、初期アクセスに展開される可能性がある。偵察行為の時点での防御・検知は困難なため、悪用された時点での検出が重要となる。

    0.002検索エンジン
    0.003コードレポジトリ
    備考

    攻撃者はGitHubなどの公開コードレポジトリを検索し、ターゲット組織の情報(認証情報・ソースコード)を収集する。収集した情報は他の形態の偵察や攻撃の足掛かりづくり、初期アクセスに展開される可能性がある。防御はアプリケーション開発者向けのガイドの頒布や監査の実施が有効とされている。ただし偵察行為の時点では検知は困難なため、悪用された時点での検出が重要となる。

    T1594ターゲット所有のWebサイトの検索
    備考

    企業は事業活動の一環として会社情報の公開が不可避ですが、攻撃者はターゲット所有のWebサイトから様々な情報の収集を試みる。収集された情報は他の形態の偵察や攻撃の足掛かりづくり、初期アクセスに展開される可能性がある。実例として、コンタクトフォームを経由したフィッシングメールの送信、ターゲット企業の情報を計画に反映する、ターゲット個人の学術的関心事の調査などが挙げられる。

    出典:MITRE ATT&CK®https://attack.mitre.org/tactics/TA0043/)を元に弊社和訳、備考欄追記

    注:
    1) 一般的に使用されるファイル名、ファイル拡張子、特定のソフトウェア固有の用語をスキャンするもの。他の偵察技術から収集した情報をもとにカスタムしたワードリストを使う場合も。Webサイトのイースターエッグや古い脆弱性を含むページ、管理用の隠しページなどを掘り起こして悪用することを目的に総当たりでディレクトリとページの構造をスキャンすることも。
    2) Office 365のテナントからターゲットの環境情報を収集する例などがあります。
    3) 秘密の質問やMFA(多要素認証)の設定なども含まれる。
    4) ドメイン情報から読み取れる情報(氏名・電子メールアドレス・電話番号などの個人情報とネームサーバー情報やレジストラなどの情報)、クラウドプロバイダが関係する場合はその公開APIからのレスポンスなどで取得できる情報が該当する。
    5) ネットワーク間の相互信頼・依存関係などが対象。例えばAD間の相互信頼関係や、サプライチェーン内でのネットワークの相互信頼・依存関係が該当する。
    6) 営業時間、定休日、出荷サイクルなどの情報。
    7) サードパーティーのサービスを介してスピアフィッシングメッセージを送信し、機密情報(認証情報など攻撃への悪用ができる情報)を聞き出すことを指す。SNS、個人へのメール、企業が管理していない各種サービスからのメッセージなどありとあらゆる、企業よりもセキュリティポリシーが緩いサービス上で実行される。
    8) 評価の高い情報源や有料購読の情報源(有料の時点である程度の品質が期待される)、課金で情報を買うデータベースなどから情報を収集するケースが想定されている。代替手段としてダークウェブやサイバー犯罪のブラックマーケットからの情報購入も挙げられている。
    9) 脅威インテリンジェスベンダーの有償データを検索して標的設定用のデータを探すケース。通常こういったデータは社名などの機密情報を匿名化していることが大半だが、標的の業種、成功したTTP(Tactics, Techniques and Proceduresの略。戦略・技法・手順を指す)や対策などの侵害に関するトレンドが含まれているので、ターゲットに合致する情報が含まれている可能性がある。
    10) 評価の高い情報源や各種データベースからの情報の購入、代替手段としてのダークウェブやブラックマーケットからの情報購入が挙げられているが、代表例はダークウェブから認証情報が購入された事例となっている。
    11) 公開技術データベースの特性上、防御・検知が困難なものが多い。いずれも初期アクセスの時点での検知が重要となる。

    ウェビナー開催のご案内

  • 2024年11月13日(水)14:00~15:00
    ウェブ担当者必見!プライバシー保護規制対応と情報セキュリティ-サイバー攻撃への事前・事後対応-
  • 2024年11月27日(水)12:50~14:00
    【好評アンコール配信】
    Webアプリケーションの脆弱性対策-攻撃者はどのように攻撃するのか-

    • 最新情報はこちら

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。
    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    投稿日:

    国内大手フードデリバリーサービスを襲った暗号通貨マイニングマルウェア事件の全容~デジタル忍者の襲来:国内企業を震撼 (しんかん)させた史上最悪のサイバー攻撃~

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    突如訪れた暗黒の10月25日

    2024年秋、日本最大級のフードデリバリーサービスに前代未聞の危機が訪れた。全国の飲食店と消費者をつなぐ巨大プラットフォームが、見えない敵に攻撃されたのである。

    静かなる侵略者「RedTail」の恐怖

    その敵の名は「RedTail(レッドテイル)」。デジタル世界の暗殺者とも呼ぶべき最新のマルウェアである。RedTailはあたかも影の忍者のごとく、世界的に使用されているセキュリティシステム、Palo Alto Networks社の「PAN-OS」のわずかな隙をついて侵入を果たした。このデジタル忍者は、驚くべき潜伏能力を持っていた。システムの深部に潜み込み、暗号通貨をひそかに採掘しながら、その存在を巧妙に 隠蔽 (いんぺい) し続けたのである。まさに現代のサイバー戦争を象徴する出来事であった。

    72時間の闘い:システムを守る最後の砦

    事態が発覚した10月25日、技術者たちは直ちに非常事態体制に入った。しかし、敵はすでに複数のサーバーに潜伏しており、一つを制圧すれば別の場所で姿を現すという、まさに「もぐらたたき」のような戦いを強いられた。同月26日午後2時30分、ついに全システムの停止という苦渋の決断が下された。技術者たちは不眠不休でマルウェアの駆除と安全性の確認に従事し、72時間に及ぶ死闘の末、ようやくシステムを取り戻すことに成功したのである。

    未曾有 (みぞう) の混乱がもたらした教訓

    この事件による影響は甚大であった。数十万件に及ぶ注文のキャンセル、数千店舗の営業停止、そして配達員たちの収入機会の喪失。しかし、不幸中の幸いというべきか、個人情報の流出だけは免れた。

    新時代のデジタルセキュリティへの挑戦

    この事件を機に、企業は包括的なセキュリティ改革に着手した。システムの監視体制を強化し、従業員への教育を徹底。さらに、定期的な脆弱性診断とインシデント対応プロセスの刷新を行うことで、より強固なセキュリティ体制の構築を目指している。

    警鐘:すべてのデジタルサービスへの警告

    本事件は、現代のデジタル社会における脅威の深刻さを如実に示している。サイバーセキュリティはもはや企業の「選択肢」ではなく「生命線」である。そして、デジタル時代を生きるすべての企業への警鐘として長く記憶されることとなるだろう。

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    ウェビナー開催のお知らせ

  • 2024年11月13日(水)14:00~15:00
    ウェブ担当者必見!プライバシー保護規制対応と情報セキュリティ-サイバー攻撃への事前・事後対応-
  • 2024年11月20日(水)13:50~15:00
    サプライチェーンのセキュリティ対策-サプライチェーン攻撃から企業を守るための取り組み-
  • 2024年11月27日(水)12:50~14:00
    【好評アンコール配信】
    Webアプリケーションの脆弱性対策-攻撃者はどのように攻撃するのか-

    • 最新情報はこちら

    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。
    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    投稿日:

    暗号技術の未来:量子コンピュータ時代の情報セキュリティ

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    私たちの安全なシステム利用や事業継続のためにかかせない暗号技術は、量子コンピュータの登場によりいま大きな転換期を迎えています。本記事では、現行の暗号方式が直面する課題から、次世代の耐量子暗号の動向について解説。特に企業のセキュリティ担当者向けに、最新の暗号技術の標準化動向、暗号化の実装ポイント、そして情報漏洩のリスクを防ぐための対策のポイントを紹介します。暗号技術を安全に活用するため、必要なポイントややっておくべきことを知りたい方は必見です。

    現代の暗号技術が直面する課題

    暗号技術は情報セキュリティを支える重要な技術の1つです。暗号技術があればこそ、私たちは安心して業務システムを利用し、インターネット経由での事業活動を行うことができています。

    一方で、今、次世代暗号に関する話題が、少しずつ一般的なニュースでも取り上げられ始めています。なぜ、次世代暗号技術が求められているのでしょうか。その背景には、既存の暗号技術に対する次のような懸念があるためと考えられます。

    量子コンピューターによる脅威

    量子コンピューターは、従来の暗号化方式を数秒で解読できる可能性があると言われています。これにより、将来的には既存の暗号技術が無力化され、サイバー攻撃のリスクが増加する恐れがあります。

    暗号化されていないデータの活用リスク

    暗号化が行われていないデータを活用する場面では、情報漏洩のリスクが高まります。一部の企業では、顧客データや機密情報を暗号化せずに使用しているケースもあり、適切な管理が求められます。

    量子コンピュータの脅威に対抗:耐量子暗号

    将来、コンピュータの処理能力の進化によって、現在普及している暗号技術が無力化されてしまうと言われています。これは昨今よく取りざたされている、量子コンピュータの登場に起因しています。量子コンピュータは量子力学を計算過程で用いて並列計算を実現することで、現在のコンピュータと比較して圧倒的な処理能力を保持するとされています。

    量子コンピュータの登場による既存の暗号技術への脅威、そしてその対策は以下のとおりです。

    ※公開鍵暗号、共通鍵暗号については後述

    「暗号の2030年問題」とは?

    量子コンピュータは2030年には実用化されると想定されているため、その頃にはサイバー攻撃者が量子コンピュータを用いた攻撃を実行してくる恐れがあるということになります。これが、「暗号の2030年問題」と言われるものです。このため、2030年に先駆けて、防御策を実現する必要があります。そこで、耐量子暗号の選定や鍵長ポリシーの見直し、といった次世代暗号に向けた標準化が、日米において進められています。

    暗号技術の標準化動向

    ●米国:NIST(米国立標準技術研究所)
    耐量子暗号アルゴリズム(2024年8月公開)
    参考:
    https://www.nist.gov/news-events/news/2024/08/nist-releases-first-3-finalized-post-quantum-encryption-standards
    ●日本:CRYPTREC(暗号技術検討会(総務省・経産省))
    →各種タスクフォース等により調査検討中
      NISTと同等の時期での標準化を目指す

    例えば、ポスト量子暗号(PQC)など、量子コンピューターに耐性を持つ暗号技術の開発が進んでおり、今後のセキュリティ戦略の重要な柱になるとされています。

    暗号化とデータ活用の両立:高機能暗号技術

    従来の暗号技術は、
    ●データの秘匿:保管している内容が第三者にわからないようにする
    ●改竄の防止:メッセージ認証等、内容が書き換えられていないかチェック
    ●認証:なりすましが行われていないか電子証明書による確認
    ●通信の安全性確保:ネット上で流れるデータ内容が第三者にわからないようにする
    といった機能に特化したものです。  

    そして、データの照合や分析といったデータ活用時の処理は平文(データが暗号化されておらず、誰が見ても内容がわかる状態)で実施しているのが現状です。このため、データ処理者に対する平文データへのアクセスを許容せざるを得ず、結果として、業務上の利便性等の都合により、暗号化されていてしかるべき重要情報が平文のまま保存されているといった実情があります。結果、内部犯行はもちろんのこと、外部からの不正アクセスを受けた場合に、平文の重要情報が盗取されてしまう恐れがあるわけです。

    これに対し、従来に加えて付加的な機能がある暗号技術の総称が、「高機能暗号技術」です。

    なかでも、暗号化したまま演算処理できる「準同型暗号」は、今まさに、実装ライブラリについての国際標準化推進活動が進行中です。準同型暗号のような高機能暗号技術が実用化されれば、クラウドサーバ上における暗号化したままでのデータ照合や分析、個人情報や機密データを秘匿したままでの様々な処理の実現といった、セキュリティが保持されたデータ活用に期待が持たれています。

    現在主流の暗号方式の種類

    さて、次世代暗号技術のことを述べてきましたが、ここで、従来の暗号技術、すなわち現在主流の暗号技術について確認してみましょう。現在使用されている暗号技術は以下のとおりです。

    暗号方式特徴主な用途主な暗号種別
    共通鍵暗号 暗号化も復号も同じ鍵を使用
    →処理が高速
    →鍵の管理が煩雑    		ファイルの暗号化DES
    Triple DES
    RC5
    AES
    公開鍵暗号 公開鍵と秘密鍵を作成して暗号化と復号で異なる鍵を使用
    →セキュリティ強度が高い
    →鍵の管理が容易
    →処理は低速    		共通鍵の鍵配送
    電子署名
    電子証明書    		RSA
    DSA
    DH(Diffie-Hellman)
    ECC(Elliptic Curve cryptosyste:楕円曲線暗号)
    ハイブリッド暗号 共通鍵暗号の受け渡しには公開鍵暗号を、データ自体の暗号化には共通鍵暗号を使用
    →安全性が保たれたうえで高速な処理が可能    		SSL/TLS(HTTPS通信)鍵交換:DH
    暗号化:AES、Camellia

    共通鍵暗号と公開鍵暗号を組み合わせた「ハイブリッド暗号」には、身近な利用例として、SSL/TLSがあります。HTTP通信をSSL/TLSによって暗号化するHTTPS通信です。共通鍵暗号と公開鍵暗号のそれぞれの長所を組み合わせることで、セキュリティ強度の高い暗号化を実現し、通信の安全性を高めています。

    暗号化されていないデータの活用リスク

    このように、暗号技術は情報セキュリティの基盤技術として、インターネット通信、電子署名、ファイルやデータベースの暗号化等に活用され、安全な事業活動に寄与しています。

    ここで気をつけたいのが、通信上を流れるデータには注意を払っていても、自組織内で保存する重要なデータが平文のまま、というケースです。これは、ビジネス上の非常に大きなリスクとなり得ます。ここでは主に二つのリスクが考えられます。一つ目は、攻撃者の侵入を許してしまった場合、使用可能な状態の情報にアクセスを許してしまうことによる情報漏洩のリスク、二つ目が内部による犯行を誘発するリスクです。過去には実際に、保存データが平文であったことで深刻な情報漏洩となってしまった例が存在します。

    暗号化されていなかったことにより個人情報が漏洩した事例

    2020年
    通販サイト(日)*8    		約6,300件漏洩
    パスワードを平文で保存
    2020年
    カード決済事業者(米)*9    		約250万件漏洩
    クレジットカード情報を平文で保存
    2019年
    ファイル送信サービス(日)*10    		約480万件漏洩
    パスワードを平文で保存    		⇒サービス終了
    2018年
    航空会社(中)*11    		940万件漏洩
    バックアップファイルを平文で保存     		⇒多額の制裁金等
    2017年
    信用情報機関(米)*12    		約1億4,500万件漏洩
    ユーザデータを平文で保存    		⇒格付け引き下げ、
    多額の制裁金等
    2014年
    通信教育会社(日)*13     		約3,500万件漏洩
    内部関係者による犯行    		⇒刑事裁判での過失責任認定等

    仮に攻撃者の侵入を許してしまったとしても、暗号化でデータを保護することによって、情報漏洩の被害を防ぐことが可能です。また、ランサムウェアの二重脅迫*14や、内部犯行に対しても暗号化は有効です。

    安全な暗号技術導入のために必要なポイント

    では、取りあえず暗号技術を導入していれば安心かというと、決してそんなことはありません。

    暗号化を実装したつもりで、実はこんな状態になっている、ということはないでしょうか。

    ●一部の個人情報や機密情報といった重要情報がHTTP通信で送信されている
    ●サーバ証明書が期限切れである
    ●信頼できない認証局SSL/TLS証明書を使用している
    ●危殆化した暗号アルゴリズムや鍵長を利用しているプラットフォームがある
    ●ソースコードに独自の暗号化関数(またはライブラリ)を実装している
    ●ソースコードにおいて暗号鍵がハードコード(※)されている

    ※ハードコード… 本来、ソースコード内には記述すべきではない処理や値を直接書き込むこと。(例:税率など)動作環境や利用条件に応じて処理や値を変更する場合、対応が困難になる。

    各プロトコルのサポート状況(2024年5月3日時点)

    例えば、前述した「ハイブリッド暗号」で触れたSSL/TLSの実情について見てみましょう。IPA(独立行政法人情報処理推進機構)が2024年6月19日に公開した「TLS暗号設定ガイドライン第3.1.0版」では、暗号化通信のプロトコルバージョンについて、TLS 1.3を推奨し、TLS1.0 や TLS1.1についてはセキュリティ例外型のみで利用可能としています。しかしながら、TLS 1.1以下をサポートしているサイトがいまだ全体の3割程度存在することがわかります(グラフ参照)。たとえブラウザで無効化されていたとしても、攻撃者がブラウザを経由せずサーバを攻撃する恐れがあるため、TLS 1.1以下の接続を許容すること自体がリスクとなります。早急にTLS 1.1以下での接続可否を確認し、接続が可能な場合は対処を実施するべきです。

    自組織の現状確認、最新の暗号技術動向の把握に努め、環境・リスクに応じた適切な暗号技術の実装を行う必要があるでしょう。

    安全に暗号技術を活用するためにやっておくべきこと

    せっかくコストをかけて暗号技術を導入していても、適切に実装できていなければ宝の持ち腐れになってしまいます。まずは自組織の暗号化実装がセキュリティ対策として実効性のあるものか、現状の確認を行うことを推奨します。

    例えば以下のような観点でチェックすることが必要です。

    環境・システムへの暗号化実装による実効性確認のポイント

    ●プラットフォーム
    ●Webアプリケーション
    ●API
    ●スマホアプリ
    ●クラウドサービス

    確認方法の例

    ●システム脆弱性診断
    ●PCI DSS準拠チェック
    ●ソースコード診断
    ●クラウド設定チェック(CISベンチマーク、ベストプラクティス適合度)
    ●ペネトレーションテスト

    現状、適切な暗号技術の実装がなされていれば、来る次世代暗号技術への移行準備を実施する段になっても、スムーズに対応することができるでしょう。

    参考情報:暗号化実装に関するガイドラインの紹介

    ■電子政府における調達のために参照すべき暗号のリスト
    (CRYPTREC暗号リスト)(最終更新:2024年(令和6年)5月16日)
     総務省・経済産業省
     https://www.cryptrec.go.jp/list.html

    ■TLS 暗号設定ガイドライン(2024年6月19日第3.1.0版公開)
     IPA(独立行政法人情報処理推進機構)・NICT(国立研究開発法人情報通信研究機構)
     https://www.ipa.go.jp/security/crypto/guideline/ssl_crypt_config.html

    ■暗号鍵管理システム設計指針(基本編)(2020年7月)
     IPA(独立行政法人情報処理推進機構)・NICT(国立研究開発法人情報通信研究機構)
     https://www.ipa.go.jp/security/crypto/guideline/gmcbt80000005u7d-att/ipa-cryptrec-gl-3002-1.0.pdf

    ■SP 800-57 Part 1: Recommendation for Key Management: Part 1 – General」(2020年5月4日)
     NIST(米国立標準技術研究所)
     https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-57pt1r5.pdf

    ■SP 800-175B: Guideline for Using Cryptographic Standards in the Federal Government: Cryptographic Mechanisms(2020年3月31日)
     NIST(米国立標準技術研究所)
     https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-175Br1.pdf

    ウェビナー開催のお知らせ

  • 2024年11月6日(水)12:50~14:00
    【好評アンコール配信】
    自動車業界の脅威を知る!自工会・部工会サイバーセキュリティガイドラインから学ぶセキュリティ対策
  • 2024年11月13日(水)14:00~15:00
    ウェブ担当者必見!プライバシー保護規制対応と情報セキュリティ-サイバー攻撃への事前・事後対応-
  • 2024年11月20日(水)13:50~15:00
    サプライチェーンのセキュリティ対策-サプライチェーン攻撃から企業を守るための取り組み-
  • 2024年11月27日(水)12:50~14:00
    【好評アンコール配信】
    Webアプリケーションの脆弱性対策-攻撃者はどのように攻撃するのか-

    • 最新情報はこちら

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。
    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    セキュリティトピックス動画申し込みページリンクへのバナー画像
    投稿日:

    国内電機メーカーへのランサムウェア攻撃被害について

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    2024年10月5日、国内電機メーカーの一部サーバでシステム障害が発生し、その後の調査から第三者によるランサムウェア攻撃を受けたことがわかりました*15。この攻撃により、同社および関係会社が保有する個人情報や秘密情報の一部が漏洩した可能性があります。本記事では攻撃による影響とランサムウェア攻撃への対策案について紹介します。

    ランサムウェア攻撃の概要

    概要:サーバのシステム障害発生後、攻撃者による不正アクセスを受け、個人情報や秘密情報が漏洩
    発生日時:2024年10月5日
    攻撃者:ランサムウェア攻撃グループ「Underground」が犯行声明を発表*2しました。
    影響範囲:社内ネットワークが影響を受け、新製品の発売延期やオンラインストアの出荷遅延が発生しました。
    対応状況:外部のセキュリティ専門企業の支援を受け、影響範囲の詳細な調査を進めている。

    ランサムウェア攻撃発生から公表までの流れ

    発生日時:2024年10月5日にシステム障害が発生。
    公表日:2024年10月11日にランサムウェア攻撃と確認。

    漏洩した情報

    • 顧客情報:サービス利用者の個人情報(クレジットカード情報を除く)
    • 従業員情報:氏名、メールアドレス、住所など
    • 顧客情報:サービス利用者の個人情報
    • 契約書:取引先との契約書や請求書、売上情報
    • 社内文書:法務、財務、人事計画、監査、営業、技術に関する情報
    • 製品発売延期:新製品発売が延期。
    • システム停止:受発注システムや修理依頼システムを停止。
    • 調査:外部のセキュリティ専門家と影響範囲を調査中。

    攻撃の影響

    取引先との受発注システムや顧客からの修理依頼システムを停止。社内サーバのシステム障害の影響により新製品の発売日を延期

    対応策

    初期対応:不正アクセスを受けたサーバをインターネットや社内ネットワークから遮断
    外部支援:セキュリティ専門家の支援を受けて調査継続中
    情報保護:漏洩した情報の悪用を防ぐため、警察と連携して対応
    顧客対応:顧客や関係者に対して情報漏洩の可能性がある旨を通知、フィッシングメールやスパムメールへの注意喚起

    今後のセキュリティ対策

    セキュリティ強化:情報セキュリティ体制の一層の強化を図ります。
    再発防止:原因の追究と再発防止策の徹底を行います。
    教育啓発:従業員へのセキュリティ教育を強化し、意識向上を図ります。
    外部協力:外部のセキュリティ専門機関と連携し、継続的な対策を講じます。

    まとめ

    2024年10月5日、国内電機メーカーが大規模なランサムウェア攻撃を受けたと報じられました。この攻撃により、同社の一部サーバでシステム障害が発生し、個人情報や機密情報の漏洩の可能性が指摘されており、影響は社内ネットワーク全体にまで及んだようです。ランサムウェア攻撃グループ「Underground」からは犯行声明が発表されました。この事態を受け、同社は新製品の発売延期やオンラインストアの出荷遅延を余儀なくされました。同社は迅速な対応を行い、被害を受けたサーバをネットワークから切り離すとともに、外部のセキュリティ専門家を招いて詳細な調査を開始しました。漏洩の可能性がある情報には、顧客と従業員の個人情報、取引先との契約書、社内文書など広範囲に及ぶと考えられています。企業は今後の対策として、情報セキュリティ体制の強化、再発防止策の徹底、従業員へのセキュリティ教育の充実を掲げています。また、顧客や関係者に対して情報漏洩の可能性を通知し、フィッシングメールなどへの注意を呼びかけています。

    この事件は、企業のサイバーセキュリティの重要性を改めて浮き彫りにしました。今後の対応と回復の過程が、他の企業にとってもサイバー攻撃対策の重要な参考事例となることが予想されます。

    ランサムウェアとは?

    定義:データを暗号化し、復号のために身代金を要求する不正プログラム。
    影響:データの使用不能や情報漏洩のリスク。
    対策:ネットワークからの切り離しやセキュリティ強化が必要。

    関連記事:

    投稿日:

    WordPressとWP Engineが対立!ACFプラグイン問題で何が起きているのか?【2024年最新情報】

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    今、WordPressとWP Engineの間でプラグインをめぐる対立が勃発し、ウェブ開発業界に大きな波紋を呼んでいます。何が起きたのか?その背景と現在の影響は?ユーザにはどんな具体的な影響があるのか?そして今後の対応策や展望について解説します。ウェブサイト運営者や開発者必見の内容です。

    何が起きたのか?

    WordPressとWP Engineの対立は、単なる企業間の争いではありません。発端は商標の使い方から始まり、プラグインの管理方法、さらにはシステムの根幹にかかわる機能の変更にまで広がってしまいました。特に注目すべきは、プラグイン「Advanced Custom Fields(ACF)」をめぐる問題です。10月13日、WordPress側が「Secure Custom Fields(SCF)」として名称を変更し、独自にリリースしたことが業界全体に大きな波紋を呼んでいます。

    現在の影響と対応

    WordPressとWP Engineの対立は、多くのユーザに実務的な影響を及ぼしています。最も深刻なのは、プラグインの自動更新が停止されたことです。これにより、多くのウェブサイト運営者は手動での更新作業を強いられています。また、セキュリティ面での懸念も高まっており、特に中小企業のウェブサイト管理者にとって大きな負担となっています。

    今、ユーザにどんな影響が?

    誰もが一番困ってしまうのは、プラグインの自動更新が止まってしまったことです。今までボタン一つで済んでいた更新作業を、手動でやらなければならなくなりました。特に中小企業のサイト管理者の方々は、この対応に頭を悩ませています。セキュリティ面での心配も出てきているのです。

    何が問題になっているの?

    大きく分けると2つの問題があります。一つ目が、「WordPress」という名前の使い方です。WP Engineの使い方に対して、WordPress.comを運営するオートマティック社が「それは違うでしょ!」と異議となえているわけです。WP Engineは独自の開発方針を持っていますが、これがWordPressコミュニティの方向性と合致していないことが問題視されています。二つ目が、WP Engineがパフォーマンス向上を目的としてWP Engineが一部機能を無効化したことです。このコア機能の変更に関して、ユーザデータの保護の観点から批判が出ています。

    業界全体への影響は?

    この対立は、WordPress関連の業界全体に波紋を広げています。プラグイン開発者たちは、開発方針の見直しを迫られています。また、ホスティング業界全体にも波及効果があり、オープンソースコミュニティのあり方について、新たな議論が巻き起こっています。

    どう対応すればいい?

    現状では、ウェブサイト運営者は定期的な情報確認が不可欠です。公式ブログやフォーラムでの最新情報をチェックし、必要に応じて代替策を検討する必要があります。特に重要なのは、独自のセキュリティ対策を強化することです。定期的なバックアップの実施や、セキュリティ監視の強化が推奨されます。もしものときのために、セキュリティ対策も見直しておくと安心です。

    この先どうなるの?

    この問題の解決には時間がかかると予想されます。両者の交渉は継続していますが、法的な解決を含めて様々な可能性が検討されています。現在の混乱した状況が、新しいセキュリティ体制の構築につながるきっかけとなる可能性もあるでしょう。

    まとめ

    今回の騒動は、オープンソースのソフトウェアを商業的に使う際の難しさを浮き彫りにしました。この状況下では、ユーザが自身の環境に合わせた適切な対応を取ることが重要です。情報収集を怠らず、必要に応じて専門家に相談することも検討すべきでしょう。状況は日々変化していますので、継続的な注意が必要です。

    ※この記事は2024年10/15の状況を基に作成されています。最新の情報は各公式サイトでご確認ください。

    参考情報:

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    ウェビナー開催のお知らせ

  • 2024年10月23日(水)13:00~14:00
    【好評アンコール配信】
    インシデント発生の事前準備・事後対応-拡大するサイバー攻撃への対策方法とは-
  • 2024年11月6日(水)12:50~14:00
    【好評アンコール配信】
    自動車業界の脅威を知る!自工会・部工会サイバーセキュリティガイドラインから学ぶセキュリティ対策
  • 2024年11月13日(水)14:00~15:00
    ウェブ担当者必見!プライバシー保護規制対応と情報セキュリティ-サイバー攻撃への事前・事後対応-

    • 最新情報はこちら

    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。
    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    投稿日:

    NVIDIA Container Toolkitの重大な脆弱性:CVE-2024-0132とその対策

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    NVIDIAの人気ツールに危険な脆弱性が発見!迅速な対応が不可欠です。本記事では、この問題の詳細と対策方法をわかりやすく解説します。

    ■脆弱性の概要

    NVIDIA Container Toolkitに、深刻な脆弱性「CVE-2024-0132」が見つかりました。この問題は以下の特徴があります。

    • 影響を受けるバージョン:1.16.1以前のすべて
    • 脆弱性の種類:TOCTOU(Time-of-check Time-of-use)
    • CVSSスコア:9.0(クリティカル)

    ■この脆弱性がもたらすリスク

    攻撃者がこの脆弱性を悪用すると、次のような深刻な被害が発生する可能性があります。

    • リモートコードの実行
    • サービス拒否(DoS)攻撃
    • 特権の不正取得
    • 機密情報の漏洩
    • データの改ざん

    ■対策方法

    即時アップデート

    • NVIDIA Container Toolkit:バージョン1.16.2へ更新
    • NVIDIA GPU Operator使用者:バージョン24.6.2への更新を検討

    セキュリティツールの活用

    • Trend Vision One™などを使用し、脆弱性を事前に検出
    • コンテナイメージのスキャンと実行時の脆弱性検出を実施

    システム全体のセキュリティ強化

    • 定期的なセキュリティ監査の実施
    • 最新のセキュリティパッチの適用

    ■注意点

    • Container Device Interface(CDI)がNVIDIA GPUへのアクセスを指定している場合は影響を受けにくいですが、多くの環境ではこの条件が満たされていない可能性があります。
    • 関連する脆弱性CVE-2024-0133(CVSSスコア4.1、中程度)にも注意が必要です。

    ■まとめ

    NVIDIA Container Toolkitの脆弱性CVE-2024-0132は非常に深刻です。影響を受ける可能性のあるシステムは、速やかに最新バージョンへのアップデートを行い、包括的なセキュリティ対策を講じることが重要です。迅速な対応で、あなたの組織をサイバー攻撃から守りましょう。

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    ウェビナー開催のお知らせ

  • 2024年10月23日(水)13:00~14:00
    【好評アンコール配信】
    インシデント発生の事前準備・事後対応-拡大するサイバー攻撃への対策方法とは-
  • 2024年11月6日(水)12:50~14:00
    【好評アンコール配信】
    自動車業界の脅威を知る!自工会・部工会サイバーセキュリティガイドラインから学ぶセキュリティ対策
  • 2024年11月13日(水)14:00~15:00
    ウェブ担当者必見!プライバシー保護規制対応と情報セキュリティ-サイバー攻撃への事前・事後対応-

    • 最新情報はこちら

    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。
    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    投稿日:

    あなたの情報は大丈夫?
    人気コーヒーショップのオンラインストアで約9万件の個人情報流出!事件から学ぶ情報セキュリティの重要性

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    2024年5月、大手コーヒーショップの公式オンラインストアで大規模な個人情報漏洩事件が発生しました。この事件により、約9万2685件の個人情報と5万2958件のクレジットカード情報が漏洩した可能性が明らかになりました。本記事では、事件の内容と顧客への影響、そして企業がとるべきセキュリティ対策についてご紹介します。

    事件の概要

    2024年5月、大手コーヒーショップの公式オンラインストアで大規模な個人情報漏洩事件が発生しました。この事件により、約9万2685件の個人情報と5万2958件のクレジットカード情報が漏洩した可能性が明らかになりました。

    事件の経緯

    • 2024年5月20日:警視庁からの連絡により事態を認識、オンラインストアでのクレジットカード決済を停止
    • 5月23日:オンラインストアを一時閉鎖
    • 5月30日:不正アクセスによるシステム侵害を公表

    この事件は、2020年10月1日から2024年5月23日までの期間に会員登録したユーザーに影響を及ぼしました。特に、2021年7月20日から2024年5月20日までの間にクレジットカード決済を利用した顧客のカード情報が漏洩の対象となっています。重要なのは、この漏洩が公式オンラインストアに限定されており、楽天市場や公式アプリでの購入には影響がないことです。

    漏洩した情報の詳細

    今回の事件で漏洩した可能性のある情報は、以下の通りです。

    個人情報

    • 氏名
    • 住所
    • 電話番号
    • 性別
    • 生年月日
    • メールアドレス
    • ログインID
    • ログインパスワード
    • 配送先情報

    クレジットカード情報

    • クレジットカード番号
    • カード名義人名
    • 有効期限
    • セキュリティコード(CVV/CVC)

    特に注目すべきは、クレジットカードのセキュリティコードが漏洩している点です。セキュリティコードは通常、オンライン決済の際に使用される3桁または4桁の数字で、カード裏面に記載されています。この情報が漏洩すると、不正利用のリスクが大幅に高まります。一般的に、PCI DSS(Payment Card Industry Data Security Standard)という国際的なセキュリティ基準では、セキュリティコードを保存することは禁止されています。そのため、公式オンラインストアがこの情報を保存していた事実自体が、セキュリティ管理の甘さを示しているといえるでしょう。

    影響を受けた顧客数

    この事件で影響を受けた顧客数は以下の通りです。

    個人情報漏洩

    約9万2685人 対象期間:2020年10月1日~2024年5月23日に会員登録した顧客

    クレジットカード情報漏洩

    約5万2958人 対象期間:2021年7月20日~2024年5月20日にクレジットカード決済を利用した顧客

    この数字は、公式オンラインストアの利用者の大部分を占めると考えられます。特に、クレジットカード情報の漏洩は深刻な問題で、不正利用による金銭的被害のリスクが高まっています。

    漏洩の原因と手口

    今回の情報漏洩の主な原因は、公式オンラインストアのシステムに対する不正アクセスです。攻撃者はシステムの脆弱性を突き、特にペイメントアプリケーションを改ざんすることで情報を盗み取りました。使用された手口は「Webスキミング」と呼ばれるもので、以下のような手順で実行されます。

    1. 攻撃者がウェブサイトのコードに不正なスクリプトを埋め込む
    2. ユーザーがフォームに入力した情報(クレジットカード情報など)が攻撃者のサーバーに送信される
    3. 正規の決済処理と並行して、情報が盗まれる

    この手法の危険性は、ユーザー側では異常を検知しにくい点にあります。正規のウェブサイトを利用しているように見えるため、被害に気付くのが遅れる可能性が高くなります。

    Webスキミング攻撃は近年増加傾向にあり、2018年から2019年にかけて大手通販サイトBritish Airwaysが同様の攻撃を受け、約38万人の顧客情報が漏洩する事件が発生しています。このような攻撃を防ぐためには、以下のようなセキュリティ対策を実施することが必要になります。

    • 定期的なセキュリティ監査の実施
    • ウェブアプリケーションファイアウォール(WAF)の導入
    • コンテンツセキュリティポリシー(CSP)の適切な設定
    • 従業員に対するセキュリティ教育の徹底

    今回の事件のケースでは、これらの対策が十分でなかった可能性が高いといえるでしょう。

    対応と今後の対策

    事態の発覚後、企業は迅速な対応をとりました。

    • オンラインストアの一時閉鎖
    • クレジットカード決済の停止
    • 影響を受けた顧客への個別連絡
    • クレジットカード会社との連携による不正利用の監視
    • 第三者調査機関によるフォレンジック調査の実施

    また今後の対策として、以下の取り組みを行う方針を示しています。

    • システムの脆弱性の完全修正
    • 定期的なセキュリティ監査の実施
    • リアルタイム監視システムの導入
    • 従業員に対するセキュリティ教育の強化
    • 外部専門家によるセキュリティ診断の定期実施

    特に重要なのは、PCI DSSへの準拠です。これにより、クレジットカード情報の取り扱いに関する国際的な基準を満たすことができます。また、今回の事件について、企業は顧客とのコミュニケーションを重視し、説明動画の公開や定期的な情報更新を行っています。この透明性の高い対応は、信頼回復に向けた重要なステップといえるでしょう。

    関連記事

    SQAT.jpではPCI DSS準拠について、以下の記事で紹介しています。ぜひあわせてご覧ください。
    PCI DSSとは ―12の要件一覧とPCI DSS準拠―

    顧客がとるべき対策

    公式オンラインストアを利用した顧客は、以下の対策をとることが推奨されます。

    • クレジットカードの利用明細を定期的に確認し、不審な取引がないか注意する
    • 不審な取引を発見した場合は、直ちにクレジットカード会社に連絡する
    • 公式オンラインストアで使用したパスワードを他のサービスでも使用している場合は、速やかに変更する
    • 不審なメールや電話に注意し、個人情報の追加提供を求められても応じない
    • クレジットカード会社が提供する不正利用補償サービスの内容を確認し、必要に応じて利用する

    また今後、オンラインショッピングを利用する上では以下の点に注意することが重要です。

    • 信頼できるサイトでのみ買い物をする
    • クレジットカード情報を入力する際は、URLが「https」で始まっていることを確認する(=暗号化通信の導入)
    • 公共のWi-Fiでのオンラインショッピングは避ける
    • 異なるサービスごとに別々のパスワードを使用する
    • 二段階認証が利用可能な場合は積極的に活用する

    情報セキュリティの重要性

    今回の事例は、企業における情報セキュリティの重要性を改めて浮き彫りにしました。今後企業は以下のような点を考慮し、常にセキュリティ対策を見直し、強化していく必要があるでしょう。

    継続的なセキュリティ対策の実施

    一度だけの対策では不十分で、常に最新の脅威に対応できる体制が必要です。

    従業員教育の徹底

    技術的対策だけでなく、人的要因によるセキュリティリスクも軽減する必要があります。

    インシデント対応計画の策定

    事件発生時に迅速かつ適切に対応できるよう、事前に計画を立てておくことが重要です。
    外部専門家の活用自社だけでなく、専門知識を持つ外部の目を通してセキュリティを評価することが有効です。

    法令遵守の徹底

    個人情報保護法やPCI DSSなど、関連する法令や基準を厳守する必要があります。

    まとめ

    今回の大手コーヒーショップの公式オンラインストアにおける個人情報漏洩事件は、現代のデジタル社会が直面するセキュリティリスクを如実に示しています。約9万人以上の顧客情報が漏洩し、そのうち5万人以上のクレジットカード情報も危険にさらされました。事件の主な原因は、Webスキミングと呼ばれる攻撃手法によるものでした。企業はシステムの脆弱性を突かれ、ペイメントアプリケーションが改ざんされる結果となりました。事態発覚後、企業は迅速な対応を取り、オンラインストアの一時閉鎖やクレジットカード決済の停止、影響を受けた顧客への個別連絡などを行いました。今後は、システムの脆弱性修正や定期的なセキュリティ監査など、再発防止に向けた取り組みを強化する方針です。顧客側も、クレジットカードの利用明細の確認や不審な取引への警戒など、自己防衛策を講じる必要があります。また、オンラインショッピング全般において、セキュリティ意識を高めることが重要です。この事件は、企業における情報セキュリティの重要性を改めて認識させるものとなりました。継続的なセキュリティ対策の実施、従業員教育の徹底、インシデント対応計画の策定など、包括的なアプローチが求められています。デジタル化が進む現代社会において、個人情報の保護は企業の重要な責務です。今回の事例を教訓に、企業はセキュリティ対策を強化し、顧客の信頼を守り続けることが求められています。同時に、利用者側もセキュリティ意識を高め、自己防衛策を講じることが大切です。官民一体となったサイバーセキュリティの向上が、安全なデジタル社会の実現につながります。

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    BBSecでは

    サイバーインシデント緊急対応

    突然の大規模攻撃や情報漏えいの懸念等、緊急事態もしくはその可能性が発生した場合は、BBSecにご相談ください。セキュリティのスペシャリストが、御社システムの状況把握、防御、そして事後対策をトータルにサポートさせていただきます。

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    SQAT® 脆弱性診断サービス

    サイバー攻撃に対する備えとして、BBSecが提供する、SQAT脆弱性診断サービスでは、攻撃者の侵入を許す脆弱性の存在が見逃されていないかどうかを定期的に確認することができます。自組織の状態を知り、適切な脆弱性対策をすることが重要です。

    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。
    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像