staff_kk

昨今、ネットワーク機器の侵害からネットワーク内への侵入など深刻な被害に繋がる被害が顕著化しています。特に、VPNなど、外部接点となる機器における脆弱性の存在が狙われている中、ネットワーク機器の脆弱性の最新情報として、Fortinet社は自社のFortiOS、FortiProxy、FortiSwitchManagerにおける認証バイパスの脆弱性（CVE-2022-40684）について、現地時間2022年10月10日に公表しました。Fortinet社によれば既にこの脆弱性を悪用する攻撃の発生が確認されており、国内ではJPCERTコーディネーションセンター（JOCERT/CC）からもこの脆弱性に対する注意喚起が出されています。Fortinet社では既に脆弱性に対処したアップデートを用意しておりますので、対象製品を使用する管理者の方には迅速な対応を推奨します。

今回のCVE-2022-40684脆弱性の悪用により、悪意のある攻撃者は対象機器の管理機能の認証をバイパスして、不正に操作を行える可能性があります。最終的にはネットワークへの侵入などの被害に繋がる危険性があるものと言えます。

Fortinet社は既にこの脆弱性を悪用した攻撃を把握しているとしていますが、詳細については公表していません。同社では利用者の環境で既に脆弱性を悪用した攻撃の兆候が発生していないか、ログの検証を行うことを推奨しています。以前にトレンドマイクロがインシデント対応支援の中で確認したVPN経由の侵入事例では、アップデート前に既に侵害が発生しており、認証情報を窃取されていたため、アップデート後にも被害が継続した例も確認しています。脆弱性アップデートとは別に、侵害発生有無の検証は重要と言えます。

https://www.trendmicro.com/ja_jp/research/22/j/fortinet.html

企業や省庁を狙ったサイバー攻撃に備えるため、金融機関を対象にした訓練が18日から始まりました。

18日から7日間の日程で金融庁が実施する訓練には、銀行や証券会社などおよそ160の金融機関が参加しています。

冒頭で、金融庁サイバーセキュリティ対策企画調整室の齊藤剛室長が「国内外で大規模なサイバー攻撃が発生し手口が巧妙化している。今回の訓練で金融機関全体の対応能力の向上を図りたい」と述べました。

訓練は、顧客情報が流出した場合や、暗号資産が盗まれた場合を想定して行われ、参加者は、それぞれの職場で初動対応や復旧の手順などを確認します。

また、テレワークの環境下で対応に問題がないかも確認することにしています。

https://www3.nhk.or.jp/news/html/20221018/k10013862721000.html

パスキーは、安全で簡単なパスワードの置き換えです。パスキーを使用すると、ユーザーは生体認証センサー（指紋認証または顔認証など）、PIN、またはパターンを使用してアプリやウェブサイトにログインできるため、パスワードを覚えたり、管理したりする必要がなくなります。

パスワードと 2 つ目の要素を 1 ステップで置き換えることができます。ユーザー エクスペリエンスは、パスワード フォームへの自動入力のような簡単なものになります。パスキーは、SMS やアプリベースのワンタイム パスワードとは異なり、フィッシング攻撃に対する堅牢な保護を提供します。パスキーは標準化されているため、1 回で実装するだけで、さまざまなブラウザやオペレーティング システムでパスワードレスなエクスペリエンスを実現できます。

パスキーとは、ユーザー アカウントとウェブサイトまたはアプリケーションに関連付けられたデジタル認証情報です。パスキーを使用すると、ユーザーは、ユーザー名やパスワードを入力したり、追加の認証要素を入力したりすることなく認証できます。このテクノロジーは、パスワードなどの以前の認証メカニズムを置き換えることを目的としています。

ユーザーがパスキーを使用するサービスにログインする際、ブラウザやオペレーティング システムが適切なパスキーを選択して使用する手助けをします。これは、現在保存されているパスワードの仕組みと似ています。正当な所有者のみがパスキーを使用できるようにするため、システムはデバイスのロックを解除するよう要求します。これは、生体認証センサー（指紋認証または顔認識など）、PIN、またはパターンで実行できます。

https://developers.google.com/identity/passkeys/?hl=ja

Medibank, a health insurance company providing services for more than 3.9 million people in Australia, recently confirmed that a ransomware attack was the cause of last week’s cyberattack and interruption of online services.

The company issued an official statement apologizing for the temporary outage and confirming that a ransomware attack had occurred, and informed customers that business as usual had been resumed.

David Koczkar states that although the business was the victim of a ransomware attack, no systems were encrypted. Additionally, even though they are still looking into the incident, there is no proof that the attackers stole any customer data.

According to Bleeping Computer, on October 12th, the company discovered unusual activity on its network and immediately shut down some of its systems, including services geared toward customers, to minimize the risk of data loss in the event of a cyberattack.

On the 14th of October, about 2.8 million emails and SMS were sent out by Medibank to inform its clients of the security breach and to explain the reasons behind the outages.

https://heimdalsecurity.com/blog/australian-insurer-medibank-confirms-ransomware-attack/

いま、サイバー攻撃は高度かつ巧妙化している――。その言葉は聞いたことがあっても、それを「完全に理解した」とまでは言えない方も多いだろう。また、理解していたとしてもコストをかけられない、人員がいない、訓練できないなどの理由で動きが止まっていることも考えられる。しかし、その間、サイバー攻撃者は歩みを止めてはくれない。

　名和氏はこれまで、主に経営層に向け、サイバー攻撃の現状を多数の講演で解説してきた。回を重ねるたびに文字数は減り、図は増え、片仮名が減っていったという。名和氏は講演冒頭で、その経験の中で「厳選された10の項目をピックアップする」と述べる。これらはITに強い人だけではなく、ネットにつながる全ての人に理解を求めるためのものであり、成功した例え話や事例を含めたものだ。本稿では、その10のスライドを中心にレポートする。

https://atmarkit.itmedia.co.jp/ait/articles/2210/19/news004.html

KPMG FASはこのほど、 国内の上場企業を対象に実施した企業の不正に関する実態調査の結果をまとめたレポート「Fraud Survey日本企業の不正に関する実態調査2022」を発表した。

調査対象の企業は2022年3月18日時点の全上場企業3,873社であり、回答数は578社。

直近3年間で、上場企業において不正が発生している割合は4社に1社となり、 前回調査と比較して減少した。コロナ禍により出張や会食の場が減り、 旅費や交際の不正使用の機会が減った可能性はある一方で、 コロナ禍により現場に赴いた監査（往査）や現場指導が著しく減ったため、 不正の発見が困難になっているとの意見も少なくないとのことだ。

発生した不正の内容は着服または横流しが最も多く、 前回調査と同様の傾向であることが明らかになった。そのほか、会計不正やキックバックの受領も確認されている。

https://news.mynavi.jp/techplus/article/20221018-2484045/

CASB（Cloud Access Security Broker）は、企業や組織が従業員のクラウドサービスの利用状況を可視化したり、制御したりするサービスである。米ガートナーが2012年に提唱した。クラウドサービスを安全に利用できているかを確認したり、IT部門が管理していないクラウドサービスの無断利用を発見したりできる。

シャドーITの放置は危険
　CASBが登場した背景には、「シャドーIT」がある。シャドーITとは従業員が勝手に利用する、IT部門の管理外にあるシステムのこと。このうちクラウドサービスについては「野良クラウド」とも呼ばれる。

　シャドーITや野良クラウドを放置していると、セキュリティー上の問題が生じかねない（PICT1）。例えば、従業員が野良クラウドに社外秘の情報を保管しているケースだ。従業員の認識不足などで、野良クラウド上の情報に第三者がアクセスできる状態にしてしまう恐れがある。

https://xtech.nikkei.com/atcl/nxt/column/18/01842/092000022/?ST=nxt_thmit_security

サイバーディフェンス研究所はNECと共同で、INTERPOL Cybercrime Directorateが開催した、INTERPOL Digital Security Challenge（以下、DSC）に協力しました。

第5回目となる本年のDSCは、オンラインと集合型のハイブリッド方式での開催となり、世界35カ国から48人のサイバー犯罪捜査の専門家およびデジタルフォレンジックの専門家が参加しました。

今回のDSCは、現実に活動中のランサムグループを中心とした違法サイト、犯罪グループに対する捜査手法を題材に、各種犯罪インフラの分析、ランサムウェアの解析、ダークウェブ上で匿名化されている違法サイトとその運営者、協力者の追跡手法に関する講義と演習を行いました。

演習の結果、8件のランサムグループサイト、17件の違法サイトの特定に成功し、その情報は、インターポールのインテリジェンスユニットに共有され、その後、加盟国で現実の犯罪捜査に活かされる予定です。

サイバーディフェンス研究所は、巧妙化、悪質化、そしてグローバル化するサイバー犯罪に対処するため世界各国の法執行機関や民間企業と協力し、今後もサイバー空間のセキュリティ向上に貢献できるよう努力し続けます。

https://www.cyberdefense.jp/news/notice/interpol-digital-security-challenge-2022.html

メールの送り間違いなどで個人情報を流出させる事案が和歌山県庁で相次いでいる問題で、仁坂吉伸知事は17日、「トップとして県民におわびする」と謝罪した。

　県によると、今年度に個人情報が漏れた事案は12日現在で15件（494人分）。2021年度の14件をすでに上回り、記録が残る13年度以降では最多となっている。

　15件の内訳は、メールアドレス設定・送信のミスが8件、郵送・ファクス送信ミス3件、公文書の紛失2件、ホームページの掲載ミス1件、コンピューターウイルス感染1件。発生した月別では、5月に1件、6月と7月は各2件、8月3件、9月5件、10月2件。9月以降、件数が急増している。

　メールによる8件は、いずれもアドレスが他の受信者に見えないBCC欄ではなく、ほかの受信者に見えるTO欄などを使用したケースだった。今月8日に公表された事案では、県海草振興局が土木業者対象の講習会参加予定者131人に対し、9月30日から10月7日にかけて案内・確認のメールを計6回送信した際、BCC欄を使わなかったため、131人全員がすべてのメールアドレスを知ることになった。

https://www.asahi.com/articles/ASQBK74BSQBKPXLB001.html

BlackBerryはサイバー保険に関する調査結果を発表した。それによると調査対象となった企業の45％が、サイバー脅威に対する保険に加入していないことが分かった。一方、「加入しようとしたが保険会社から拒否される」ケースがあることも分かった。

BlackBerry Japanは2022年10月13日、サイバー保険（サイバー脅威に対する保険）に関する調査結果を発表した。調査は米国とカナダの企業に所属するITおよびサイバーセキュリティの意思決定者を対象に実施し、450人から有効回答を得た。

60％の企業が「サイバー保険に入っていない取引先との契約を見直す」

　調査結果によると、調査対象企業の45％がサイバー保険に加入していないことが分かった。加入している企業でも、補償額が60万ドル（BlackBerryが算出した、2021年のランサムウェアによる要求額の中央値）を超えているのは19％にとどまっていた。

https://atmarkit.itmedia.co.jp/ait/articles/2210/14/news041.html#utm_term=share_sp

大企業を標的にしたランサムウェア攻撃が報じられている昨今だが、ホームユーザーを標的にし、「Windows 10」やウイルス対策ソフトウェアのアップデートと称してランサムウェアを仕掛ける攻撃も依然として続いている。今回新たに、巧妙な手法を用いて検出を免れつつ、ファイルを暗号化し、数千ドル（数十万円）規模の身代金を要求するキャンペーンが確認されたという。

HP Wolf Securityが米国時間10月13日に詳細を明らかにした、ランサムウェアの「Magniber」を展開するこのキャンペーンは、企業を標的にして多額の身代金を要求する攻撃とは異なり、個人ユーザーに比較的少額の身代金を要求することに注力しているという点で、2022年の傾向からは外れている。

このキャンペーンはさまざまな点で、個人のコンピューターのファイルを暗号化していた初期のランサムウェアキャンペーンへの回帰だと言える。とは言うものの、特にホームユーザーにとっては検出が困難な先進的テクニックが用いられている。

その攻撃チェーンは、ユーザーが攻撃者の支配下にあるウェブサイトにアクセスするところから始まる。こうしたウェブサイトは正規のウェブサイトやサービスであるかのように偽装されており、被害者はさまざまな経路を通じてアクセスするよう仕向けられている。

https://japan.zdnet.com/article/35194695/

セキュアワークスは、拡張型の脅威検知および対応（XDR）プラットフォーム「Taegis」を日本市場で提供すると発表した。主力のセキュリティ監視センター（SOC）によるマネージドセキュリティサービス（MSS）やセキュリティコンサルティングサービスと並ぶソリューションに位置付ける。Taegis発表に合せて来日した米SecureWorks社長兼最高経営責任者（CEO）のWendy K. Thomas氏に、セキュリティ市場の動向や同社の経営戦略を聞いた。

XDRは、IT環境に侵入するサイバー攻撃などの脅威を網羅的に監視し、脅威の検知とその対応を行うソリューションになる。これまで監視対象をPCやサーバーなどのエンドポイントを中心とする「EDR」やネットワーク環境を中心とする「NDR」が市場に提供されているが、脅威はさまざまな部分から到来するため、現在ではセキュリティベンダー各社がEDRやNDRを含めたXDRにソリューションを進化させる動きを見せる。

同社は、今回のTaegisを海外市場より3年ほど遅れて日本市場に展開する。Thomas氏は、「グローバルでは早期に投入したが、これは試行的なもので、顧客のフィードバックを重ねて開発を進めてきた。日本市場では成熟度を高めて投入し、日本のお客さまやパートナーにきちんとした形でご提供する体制を確立した上での展開になる」と話す。

https://japan.zdnet.com/article/35194459/

米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）は、レッドチームの活動を可視化し、意思決定などをサポートするオープンソースツール「RedEye」をリリースした。GitHubより入手できる。

同ツールは、同庁と米エネルギー省パシフィック・ノースウェスト国立研究所が共同で開発したオープンソースのソフトウェア。

レッドチームの活動によって侵害がどのように発生するか、複雑なデータをわかりやすく可視化するもので、評価や意思決定などを支援する。

具体的には、「Cobalt Strike」によるログを読み込み、侵入テストの攻撃経路や侵入されたホストなどグラフィカルに表示。活動にタグやコメントを追加でき、調査結果やフローを関係者で共有して評価を行ったり、意思決定などに活用できるとしている。

ログのアップロードやプレゼンテーションの作成が行えるレッドチームモードにくわえて、読み取り専用のブルーチームモードも用意した。「Windows」や「macOS」「Linux」に対応しており、GitHubよりダウンロードすることができる。

https://www.security-next.com/140603

英国家サイバーセキュリティセンター（National Cyber Security Centre：NCSC）は現地時間10月12日、企業に対して自社のサプライチェーンを攻撃から守るための新たなガイダンスを公開した。

NCSCによると、これは最近のサプライチェーン攻撃の増加を受けてのことであり、企業は自己防衛に向けてより一層の取り組みを必要としているという。

　近年注目されたケースとしては、SolarWindsのソフトウェアビルドシステムに対する2020年の攻撃や、ソフトウェアベンダーKaseyaの顧客に対する2021年のランサムウェア攻撃、ウクライナの会計プログラムを介した2017年の「NotPetya」攻撃などが挙げられる。また、Joe Biden米大統領が同国のサイバーセキュリティ対策の強化を目指す大統領令の起草を指示したのは、SolarWinds製品の一件が起きた直後のことだった。

　NCSCは2021年2月に「パイプラインの防衛」に関する文書を公開し、組織や開発者らに対してソフトウェア開発をCI/CD（継続的インテグレーション／継続的デリバリー）によって自動化するよう強く促していた。

　また、NCSCの最高責任者は2021年10月に、ランサムウェアが最も差し迫った脅威だとする一方で、サプライチェーンの脅威は何年も続くだろうと警告していた。

https://japan.zdnet.com/article/35194704/

「Microsoft Office 365」は、組織内外の人と安全にメールのやりとりをするため、暗号化されたメールの送受信が可能です。しかし、肝心の暗号化は、電子コードブック(ECB)モードという、安全ではない動作を利用しています。この問題について指摘があったにもかかわらず、Microsoftは「脆弱(ぜいじゃく)性ではない」として対応しないことを明言しています。

「Microsoft Office 365」の問題を明らかにしたのはセキュリティ企業・WithSecureの研究所です。

WithSecure Labsによると、「Microsoft Office 365」で暗号化メッセージの送受信を行う「Microsoft Office 365 Message Encryption(OME)」はECBモードの動作により暗号化を行っているのですが、ECBモードはメッセージの特定の構造情報が漏れてしまうため、悪意ある第三者がメッセージの内容を特定できる可能性があるとのこと。

一例としてWithSecure Labsが示した、OMEによる暗号化メールから抽出した画像。

https://gigazine.net/news/20221017-microsoft-office-365-message-encryption-insecure-mode/

MicrosoftはWindowsの更新プログラムにより、デバイス上のブロックリストを更新しています。しかし、Ars Technicaによると、このブロックリストの更新が実際には機能していなかったため、Microsoftは約3年間にわたり悪意のあるドライバからWindows PCを適切に保護できていなかったとのことです。

Windowsの更新プログラムを経由したブロックリスト更新が適切に機能していなかったことで、ユーザーは「BYOVD」と呼ばれる攻撃に対して脆弱になったり、脆弱なドライバをインストールできてしまったりしたと指摘されています。

ドライバはOSがプリンター・グラフィックカード・ウェブカメラなどの外部デバイスやハードウェアと通信するために使用するファイル。ドライバはデバイスのOSまたはカーネルコアにアクセスできるため、Microsoftはすべてのドライバ提供者に対して「ドライバがデジタル署名されていること」を要求しており、これをもってユーザーに「ドライバが安全に使用できること」を保証しています。しかし、デジタル署名された既存のドライバにセキュリティホールがある場合、ハッカーはこれを悪用してWindowsに直接アクセスできるようになってしまいます。

この脆弱性により、2022年8月にはハッカーがオーバークロックユーティリティである「MSI AfterBurner」のドライバに「BlackByte」と呼ばれるランサムウェアをインストールして配布するという事態が発生しました。また、基本プレイ無料の人気ゲーム「原神」にインストールされているアンチチートドライバの脆弱性を悪用するというケースも報告されています。さらに、北朝鮮のハッキンググループである「Lazarus」が、2021年にオランダの航空宇宙関連の従業員やベルギーの政治ジャーナリストに対して、BYOVD攻撃を仕掛けていたことがセキュリティ企業のESETにより報告されています。

https://gigazine.net/news/20221017-microsoft-driver-list-malware-attacks/

ヤフーは１８日、ニュース配信サービス「ヤフーニュース」のコメント欄に書き込む利用者に対し、１１月中旬から携帯電話番号の登録を義務化すると発表した。 誹謗ひぼう 中傷などの不適切な投稿を防ぐ狙いがある。

コメント欄への投稿には携帯電話の番号を登録したヤフーの利用者ＩＤが必要となる。ヤフーは２０１８年から不適切な投稿を繰り返すＩＤに対し、投稿を停止する措置をとっている。しかし、停止された利用者が携帯番号を登録していない別のＩＤを使って再び不適切な投稿をするケースもあり、今回の措置に踏み切った。

https://www.yomiuri.co.jp/economy/20221018-OYT1T50238/