インターネットとソフトウエアは現代社会において不可欠な存在である一方、サイバーセキュリティリスクという影の側面も持つ。我々はこの見えない脅威に日々さらされ、終わりのない戦いを強いられている。そして、この戦いは続けるしか選択肢がない。本連載では毎週、注目すべきサイバーセキュリティのトピックスを提供する。
インターネットの光と影
現代社会において、インターネットおよびソフトウエアはもはや日常生活やビジネスにおける必要不可欠な要素となっている。スマートフォンやパソコンを使ったコミュニケーション、データの保存や共有、企業間の取引やサービス提供など、あらゆる場面でこれらの技術が活用されている。
しかし、その普及に伴い、サイバーセキュリティのリスクが常に存在するという信じたくない現実がそこにはある。
インターネットは世界中を瞬時につなげる一方で、不正アクセスやマルウエア、フィッシング攻撃といったサイバー攻撃の手段にもなっている。企業が持つ膨大な顧客データや個人情報、財務データなどは狙われやすく、攻撃者にとって恰好のターゲットとなる。サイバー攻撃により、セキュリティ侵害が発生すれば、金銭的損失だけでなく、企業の信用失墜、法的責任の追及、顧客への深刻な影響などが引き起こされる可能性がある。
さらに、ソフトウエア自体にも脆弱性が存在し、悪意のある第三者がその脆弱性を突いて攻撃を行うことがある。こうした攻撃に対しては、常に最新のセキュリティパッチやアップデートを適用することが求められるが、全てのユーザーが適切に対策を行えているわけではない。
また、この状況下では、最新のセキュリティ情報を追うだけでは不十分だ。過去に発見された脆弱性に対しても、適切な対策が取られていない場合、その脆弱性は依然として脅威となり得る。実際、古い脆弱性が悪用されて攻撃が成功するケースは少なくない。脅威者は必ずしも最新の脆弱性だけを狙うわけではなく、脆弱性の新旧に関わらず、利用できるものを狙ってくる。そのため、過去の脆弱性についても常に意識を持ち、アップデートやパッチの適用を怠らないことが肝要になる。
役立つセキュリティのトピックスを週イチで提供し、人材不足を支援
セキュリティ担当者は長年にわたって世界的に不足している状況にある。十分な人的リソースがなく、脅威に対する迅速な対応や、セキュリティパッチの適用が追いつかないという現実が存在する。
実際のところ、現状ではセキュリティ担当者が全てのソフトウエアおよびハードウエアのアップデートを正確にモニタリングし、それを適時に適用することは困難だ。大規模な組織においては管理すべきシステムやデバイスが膨大であり、それらを網羅的に監視することは簡単ではない。中小企業ではセキュリティ担当者が存在していないこともある。その結果、重要なアップデートが見落とされ、脆弱性が放置されるリスクが高まっている。
そこで本連載では、セキュリティ担当者が不足している現実を踏まえ、1週間ごとに最新の脆弱性情報や脅威情報を簡潔にまとめて提供する。サイバーセキュリティに関する知識を常にアップデートし効果的な対策を講じることで、セキュリティの強化を支援することが目的だ。セキュリティ担当の方などにご活用いただければ嬉しく思う。
9/30~10/6 の最新サイバーセキュリティトピックス
9/30~10/6の間にも、全方位にわたって新しいサイバーセキュリティ情報が報告されている。その中でもまず、セイコーエプソンの複数の製品にセキュリティ脆弱性が報告された件を確認してほしい。今回はこれ以外にも注目しておきたいサイバーセキュリティ情報について紹介。また、今後取り上げるジャンルなども説明する。
393のセイコーエプソン製品に「重要」な脆弱性、ただちに確認と対処を
セイコーエプソンの複数の製品にセキュリティ脆弱性が報告された。
セキュリティ脆弱性の深刻度は共通脆弱性評価システム(CVSS:Common Vulnerability Scoring System)v3のスコア値で8.1であり「重要」と評価されている。そしてこの発表は対象となる製品が393製品とかなりの数に上る点に注意が必要だ。セイコーエプソンの製品を使っている場合には一覧に使用している製品がないか確認するとともに、指示に従って対応することが望まれる。
業務で広く使われている電子デバイスのセキュリティ脆弱性情報は頻繁に公開されており、毎回確実にチェックして対策を取りたい。特にルーターのような外部からの侵入を許しかねないデバイスの脆弱性については迅速に対応する必要がある。
製造業などで使われることが多い運用・制御技術(OT:Operational Technology)/モノのインターネット(IoT:Internet of Things)関係の脆弱性情報も頻繁に公開されているが、これらは直接の関係者数がそれほど多くないためか、メディアに取り上げられることは少ない印象を受ける。製造業においてサイバーセキュリティを担当している場合には、こうした脆弱性についても注目しておきたい。日本であれば情報処理推進機構(IPA:Information-technology Promotion Agency, Japan)やJPCERTコーディネーションセンター(JPCERT/CC:Japan Computer Emergency Response Team Coordination Center)、世界的には米国国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA:Cybersecurity and Infrastructure Security Agency)の提供する情報は確実に押さえておこう。
フィッシング詐欺:JCB をかたるフィッシング
フィッシング対策協議会(Council of Anti-Phishing Japan)からJCBをかたるフィッシングの報告が増えているとの発表が行われた。
日本国内を流通しているフィッシングメール全てが網羅されるわけではないが、フィッシング対策協議会が取り上げるフィッシングメール情報には確実に目を通しておきたい。どのような詐欺が日常的に横行しているのか知っておくことは自らをこうした詐欺から守るほか、サイバーセキュリティへの意識を高めることにもつながる。
Windowsイベントログからランサムウエア攻撃を知るにはどうすれば良い?
ビジネス用途でもっとも広く普及しているオペレーティングシステムはWindowsだ。Windowsはサイバーセキュリティに対応する機能の強化を続けているが、ユーザーがその機能を使うことができなければ意味がない。
先週はJPCERTコーディネーションセンターがランサムウエア被害に遭遇した際に記録されるWindowsイベントの特長的なログに関する情報を公開した。業務で使う場合には統合されたサイバーセキュリティソリューションに判断を委ねることが多いと思うが、担当者レベルでこうしたログを読んで判断する能力を身に着けておくことは意味がある。時間が取れるときに確認しておこう。
iPhoneやAndroidを狙うサイバーアクター
世界中の人々がスマートフォンを持ってインターネットにつながっている現在では、サイバーアクターにとってiPhoneやAndroidは格好の標的だ。セキュリティベンダーは毎週のようにiPhoneやAndroidを標的とする新しいサイバーセキュリティ攻撃を報告している。
- iPhoneとAndroidユーザー狙う豚の屠殺詐欺、日本も標的 | TECH+(テックプラス)
- AndroidマルウェアにFacebook経由で感染、識別が困難のため要注意 | TECH+(テックプラス)
- 銀行ユーザー狙うAndroidマルウェア、世界中に拡散の恐れ | TECH+(テックプラス)
こうした記事が出たときは使っているアプリが対象に含まれていないか確認することが1つ、もう1つは説明されている手口を読みサイバー攻撃のやり口を理解することが大切になる。サイバー攻撃は人間の心理を突いて行われるため、どのような手口が使われているかを知ることが対策につながる。
今悪用されている脆弱性を知ることができる「カタログ」をチェック
米国国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁がアクティブにサイバー攻撃に使われている脆弱性を「Known Exploited Vulnerabilities Catalog | CISA」に登録している。本連載では通称「カタログ」と呼ぶが、このカタログにどの脆弱性が追加されたかは毎週確認しておこう。
- CISA Adds Four Known Exploited Vulnerabilities to Catalog | CISA
- CISA Adds One Known Exploited Vulnerability to Catalog | CISA
- CISA Adds One Known Exploited Vulnerability to Catalog | CISA
カタログにはセキュリティ脆弱性の新旧に関係なく、そのときアクティブにサイバー攻撃に使われている脆弱性が登録される仕組みになっている。カタログに登録されたセキュリティ脆弱性について再度確認することで、見落としていた古いデバイスのアップデートなどを見つけることができる。毎日確認することは難しいかもしれないが、週に1回は確認しておきたい情報だ。
狙われるソフトウエア開発者
ソフトウエア開発者はサイバーセキュリティにそれなりに精通している方が多いと思うが、ここ数年はこうした開発者を狙ったサイバー攻撃が頻繁に発生している。ソフトウエア開発に必要になるオープンソースソフトウエア(OSS:Open Source Software)パッケージなどにマルウエアを混入させる手口だ。
- Trouble in Da Hood: Malicious Actors Use Infected PyPI Packages to Target Roblox Cheaters | Imperva
- Crypto-Stealing Code Lurking in Python Package Dependencies
- PyPI Repository Found Hosting Fake Crypto Wallet Recovery Tools That Steal User Data
先週はPythonのサードパーティーパッケージにマルウエアを混入させる手口に関する情報がいくつか公開された。Pythonはもっとも人気のあるプログラミング言語の1つであり、当然攻撃の標的にもなりやすい。現代のソフトウエア開発ではOSSとして提供されているライブラリーやパッケージを使わないで開発を行うというのは現実的ではなく、多くの開発者がこうしたリスクにさらされている。
ソフトウエア開発者は当然ソフトウエアに関する知識が豊富であり、マルウエアについてもよく知っていることが多いが、普段使っているパッケージマネージメントシステムには疑いをかけることなく使ってマルウエアに感染するという事態が発生する。こうした情報も定期的にチェックしておきたいところだ。
北朝鮮脅威アクターの詐欺手口:偽の新入社員
日本は地政学的に北朝鮮の脅威アクターの攻撃対象になっていると分析されている。北朝鮮の脅威アクターがどのような手口を使っているか知ることは脅威に対するために重要な一歩になる。
最近北朝鮮の脅威アクターは新入社員として企業に侵入し、そのあとで何らかの工作を行う活動をしていることが観測されている。先週もそうした情報が公開された。
- The Growing Threat Of Fake Job Applicants | Tripwire
- North Korean Hackers Using New VeilShell Backdoor in Stealthy Cyber Attacks
日本ではそれほどメジャーな方法ではないと見られるが、就職面談から実際の業務まで全てをリモートで行っているようなケースではこうした詐欺およびサイバー工作の被害者になる可能性がある。
プライムデーに注意せよ、フィッシング攻撃と詐欺メール
オンラインショッピングはサイバー攻撃においてもっとも悪用される話題の1つであり、サイバーセキュリティベンダーが定期的に注意喚起を行っている。
セールの時期になると似たような記事が出てくるが、できればこうした情報にも簡単にでもチェックをしておきたい。サイバー攻撃および詐欺行為がどのように巧妙に行われているのかを再確認するうえでも効果的だ。
ユーザーの関心が高かったのは自動車の脆弱性を突いたサイバー攻撃
先週は起亜(KIA)が2013年以降に製造したほぼ全ての自動車に脆弱性が存在したと報じたニュースに特に注目が集まった。
-
Millions of Kia vehicles were vulnerable to remote attacks with just a license plate number | Malwarebytes
セキュリティ研究者は自動車に関するサイバーセキュリティ脆弱性をしばしば発見して発表している。基本的にはベンダーが提供している情報に従って対処する必要がある。自動車の脆弱性は物理的な事故に発展する可能性が考えられるため、注意しておきたい。
できるところからチェックの範囲を広げていこう
毎日世界中で発表されるサイバーセキュリティ情報はこの限りではない。ここで取り上げた情報はそうしたサイバーセキュリティ情報の中でも特に日本において関係がありそうなものに絞っている。全ての情報が網羅できるわけではないが、何もしないよりはできるところから始める方が建設的だ。
今回はどのようなトピックを取り上げるかのサンプルに近い内容になっているが、本連載では可能な限りチェックしておきたい情報に絞り込んでその要点も含めて完結にまとめていく。日々のサイバーセキュリティ情報チェックの一助にしてもらえれば幸いだ。
参考
- IPA 独立行政法人 情報処理推進機構
- JPCERT コーディネーションセンター
- フィッシング対策協議会 Council of Anti-Phishing Japan
- Home Page | CISA