12月2日~8日はアイ・オー・データ機器とNECのルータに深刻な脆弱性が確認された。迅速なアップデートが推奨されている。Ciscoの古い脆弱性も悪用され、修正済みバージョンへの更新が必要。フィッシング詐欺では「えきねっと」「au Pay」「PayPay」などの悪用が報告された。サイバー攻撃のリスクは日々進化しており、常に最新情報を確認して防御策を講じることが重要だ。

連載のこれまでの回はこちらを参照

12月2日~8日の最新サイバーセキュリティ情報

12月2日~8日にはアイ・オー・データ機器とNECのルータに深刻なセキュリティ脆弱性が確認された。これらの製品を使用するユーザーには即時の対応が推奨される。また、Ciscoの10年前のセキュリティ脆弱性が再び悪用され、企業や個人ユーザーに対して最新バージョンへのアップデートが求められている。

「えきねっと」「au Pay」「PayPay」などの主要なサービスを偽装するフィッシング詐欺が確認された。また、Microsoft Officeの破損ファイルを使った新たな攻撃手法も登場し、セキュリティソフトの検出を回避する危険な手口が発見されている。サイバー犯罪者は進化したフィッシング手口を用いて個人情報を狙っている。

さらに、AI企業・WotNotではクラウド設定のミスから34万件以上の個人情報が流出。米国のStoli Groupはサイバー攻撃でITインフラが機能不全に陥り、経営破綻に至った。サイバー攻撃がどういった被害をもたらすかの事例として知っておきたいインシデントだ。

アイ・オー・データ機器のルータに深刻な脆弱性発覚、即時対応を

JPCERTコーディネーションセンター(JPCERT/CC:Japan Computer Emergency Response Team Coordination Center)からアイ・オー・データ機器(I-O DATA)のルータに複数の脆弱性が存在するとの発表が行われた。発表されたセキュリティ脆弱性を悪用された場合、遠隔からファイアウォールを無効化されたり、OSコマンドの実行、デバイス設定の変更を実施される可能性がある(参考「アイ・オー・データ機器のルータに緊急の脆弱性、すぐに対応を | TECH+(テックプラス)」)。

  • 「UD-LT1」「UD-LT1/EX」ファームウェア更新およびセキュリティ対策のお願い|アイ・オー・データ機器 I-O DATA

    「UD-LT1」「UD-LT1/EX」ファームウェア更新およびセキュリティ対策のお願い | アイ・オー・データ機器 I-O DATA

セキュリティ脆弱性が存在するとされる製品およびバージョンは次のとおり。

  • UD-LT1 Ver2.2.0より前のバージョン
  • UD-LT1/EX Ver2.2.0より前のバージョン

指摘されているセキュリティ脆弱性は深刻度が重要(Important)と分析されている。緊急(Critical)とは分析されていないものの、すでに悪用が確認されていることから即時の対応が求められている。該当するデバイスを使用している場合にはバージョンを確認するとともに、該当バージョンを使っている場合には迅速な行動が求められる。

ただし、アイ・オー・データ機器は「CVE-2024-52564」に関してはすでに問題を修正したバージョン(Ver2.1.9)が公開されている。一方で、「CVE-2024-45841」および「CVE-2024-47133」は執筆時点では修正版(Ver2.2.0)のリリースが行われておらず、12月18日のリリースが予定されている。最終的な修正バージョンが公開されるまでは次の対策を行うことが推奨されている。

  • インターネットから設定画面にアクセスする必要がない場合は、接続方式に合わせてリモート管理設定を無効にする
  • インターネットから設定画面にアクセスする必要がある場合は、VPN機能を有効化し、インターネットからのアクセスをVPN接続先ネットワークに限定する
  • guestユーザーおよび管理者ユーザーのパスワードに、一意で強力なパスワードを設定する。ただし、当該機器はパスワードに記号を使用すると、ログインできなくなる可能性がある

このセキュリティ脆弱性はすでに悪用が確認されていることから、該当デバイスをインターネットから設定画面にアクセス可能な状態で運用していた場合には、すでにサイバー攻撃を受けている可能性がある。その場合には不審な設定変更がないか確認するとともに、身に覚えのない変更がある場合には工場出荷時の設定に戻し、バージョンアップと対策を実施した上で再設定を行うといった行動を取ることが望まれている。

NECルータに深刻な脆弱性、企業はアップデートを急ごう

JPCERTコーディネーションセンターから日本電気(NEC)の複数のルーターにセキュリティ脆弱性が存在するという発表が行われた。企業向けの高速アクセスルーターシリーズに複数のセキュリティ脆弱性が存在するとされており、これらセキュリティ脆弱性が悪用された場合には管理画面にログインできる第三者によって任意のコマンドを実行される可能性がある(参考「NECの複数のルータ製品に脆弱性、アップデートを | TECH+(テックプラス)」)。

  • 脆弱性レポート(JVN#53958863) : UNIVERGE IXシリーズ|NEC

    脆弱性レポート(JVN#53958863) : UNIVERGE IXシリーズ | NEC

  • 脆弱性レポート(JVN#53958863) : UNIVERGE IX-R/IX-Vシリーズ|NEC

    脆弱性レポート(JVN#53958863) : UNIVERGE IX-R/IX-Vシリーズ | NEC

セキュリティ脆弱性が存在するとされる製品およびバージョンは次のとおり。

  • UNIVERGE IXシリーズ Ver.9.2からVer.9.7
  • UNIVERGE IXシリーズ Ver.10.0からVer.10.7
  • UNIVERGE IXシリーズ Ver.10.8.21からVer.10.8.27
  • UNIVERGE IXシリーズ Ver.10.9.11からVer.10.9.14
  • UNIVERGE IXシリーズ Ver.10.10.21
  • UNIVERGE IX-Rシリーズ Ver1.1.40、Ver1.1.55、Ver1.2.15
  • UNIVERGE IX-V シリーズ Ver1.1.40、Ver1.2.15

結果として次の製品が影響を受けるとされている。

  • IX2025
  • IX2105
  • IX2106
  • IX2107
  • IX2207
  • IX2215
  • IX2235
  • IX2310
  • IX3015
  • IX3110
  • IX3315
  • IX-R2520
  • IX-R2530
  • IX-V100

セキュリティ脆弱性が修正された製品およびバージョンは次のとおり。

  • UNIVERGE IX シリーズ Ver.10.8.33、Ver.10.9.20、Ver.10.10.27
  • UNIVERGE IX-Rシリーズ Ver1.2.22
  • UNIVERGE IX-V シリーズ Ver1.2.22

NECは該当する製品を使用している企業に対してソフトウェア・アップデートの実施を推奨している。また、迅速なアップデートが実施できない場合には「no http-server ip enable」コマンドを実行してWebコンソールを無効化することが推奨されている。

Cisco ASAソフトウェアの10年前の脆弱性が再び悪用、今すぐアップグレードを

Cisco SystemsからAdaptive Security Appliance(ASA)ソフトウェアのセキュリティ脆弱性が悪用されているとの発表が行われた。このセキュリティ脆弱性は同社が10年前に修正したものだが、現在悪用されていることが明らかになった(参考「10年前に修正したシスコの脆弱性が狙われる、アップグレードを強く推奨 | TECH+(テックプラス)」)。

製品のセキュリティ脆弱性情報は次のページから確認することができる。

  • Cisco Adaptive Security Appliance WebVPN Login Page Cross-Site Scripting Vulnerability

    Cisco Adaptive Security Appliance WebVPN Login Page Cross-Site Scripting Vulnerability

セキュリティ脆弱性の深刻度は警告(Medium)とされているが、実際にはマルウェア「AndroxGh0st」に感染させるために悪用されていることが指摘されている。このセキュリティ脆弱性の悪用については11月12日(米国時間)の段階ですでにCISAのカタログに追加されている。

Cisco Systemsはサイバー攻撃の影響を受けないように、該当する製品を修正済みのバージョンへアップグレードすることを強く推奨している。

セキュリティ脆弱性の深刻度の指標は共通脆弱性評価システム(CVSS:Common Vulnerability Scoring System)が広く採用されており、特にCVSSで緊急(Critical)と分類されたセキュリティ脆弱性に関しては迅速に対応することが望まれている。

しかし、CVSSのスコア値が必ずしもサイバー攻撃における悪用と直結しているわけではなく、脅威アクターは利用できる脆弱性はなんでも利用してくる。CVSSのスコア値はあくまでもアップデートや対処を行う順序付けのためにプライオリティーと捉え、セキュリティ脆弱性情報が発表された際には深刻度の高低に関わらず基本的には全て対応していく方針を取ってほしい。

フィッシング詐欺注意報:「えきねっと」「au Pay」「PayPay」を偽る手口が発覚

12月2日~8日にはフィッシング対策協議会から3つのフィッシング詐欺情報が公開された。「えきねっと」「au Pay」「PayPay」を騙るフィッシング詐欺が報告されている。

  • フィッシング対策協議会 Council of Anti-Phishing Japan|ニュース|緊急情報|えきねっとをかたるフィッシング (2024/12/05)

    フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | えきねっとをかたるフィッシング(2024/12/05)

  • フィッシング対策協議会 Council of Anti-Phishing Japan|ニュース|緊急情報|au PAYをかたるフィッシング (2024/12/05)

    フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | au PAYをかたるフィッシング(2024/12/05)

  • フィッシング対策協議会 Council of Anti-Phishing Japan|ニュース|緊急情報|PayPayをかたるフィッシング (2024/12/04)

    フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | PayPayをかたるフィッシング(2024/12/04)

日々送られてくるフィッシング詐欺メールは上記の限りではないが、フィッシング対策協議会から発表されたフィッシング詐欺は確実に心に留めるようにしておこう。最近のフィッシング詐欺メールに使われる日本語の文章はきわめて自然であり、文章の不備からはフィッシング詐欺であるかどうかの判断が難しくなっている。フィッシング詐欺協議会の発表するデータには確実に目を通し、どのような詐欺がメールが流通しているのかを把握しておきたい。

フィッシング対策協議会はフィッシングメールやフィッシングサイトに関する情報提供を受け付けている。該当するメールを受信した場合などは「フィッシング対策協議会 Council of Anti-Phishing Japan | フィッシングの報告」から報告を行おう。

破損したWordファイルで狙う巧妙なフィッシング攻撃に注意

Microsoft Officeは世界中でもっとも広く使われているオフィススィートであり、これは脅威アクターにとっても魅力的なソフトウェアであることを意味している。歴史的に見てもMicrosoft Officeのファイルは脅威アクターがよく悪用するファイルであり、これまで数々の悪用テクニックが生み出されてきた。

こうした状況にMicrosoftが何も手を打ってこなかったわけではない。Microsoftはもっとも効果的だと見られる対策を取り、現在では以前ほどMicrosoft Officeファイルの悪用は行われなくなっている。しかしながら、脅威アクターがユーザーの多いこのソフトウェアのファイルを悪用するための挑戦は今でも続いている。

Bleeping Computerからこうした脅威アクターの取り組みが報じられた。破損したMicrosoft Word文書ファイルを使ったフィッシング攻撃だ。使われるWord文書は壊れているわけだが、復元できるように破損させており、復元が行われるとQRコードを含むドキュメントが表示される仕組みになっている。QRコードはフィッシングサイトへの誘導になっており、Microsoftのログイン画面に似せた偽のWebページが表示され、そこからユーザーのアカウント情報が窃取される流れだ(参考「破損したWordファイル悪用するフィッシング攻撃発見、注意を | TECH+(テックプラス)」)。

  • Novel phishing campaign uses corrupted Word documents to evade security

    Novel phishing campaign uses corrupted Word documents to evade security

この手法の注目点は、破損したMicrosoft Word文書ファイルをセキュリティソフトウェアが検出できないという点にある。

セキュリティソフトウェアはマルウェアや悪意あるデータを検出するうえで有効な方法だが、本件のようにセキュリティソフトウェアの検出を回避する方法がいつでも新しく発見されており、完璧ではないということを常に意識しておく必要がある。セキュリティソフトウェアを導入したからといって安全が保証されるわけではなく、他のベストプラクティスも含めて常にサイバー攻撃のリスクを意識した行動を取る必要がある。

スピリッツメーカーが破産申請、サイバー攻撃でERPが停止

Bleeping Computerは12月3日(米国時間)にスピリッツやウォッカなどの製造、販売を手掛ける「Stoli Group (USA)」が破産申請手続きを開始したと報じた。破産申請手続きに至った理由として大規模なサイバー攻撃による事業の停滞と、ロシア当局との法廷闘争による出費、コロナ禍によるアルコール需要の落ち込みが指摘されている(参考「米国スリピッツメーカー、ランサムウェアとロシアとの法廷闘争が原因で破産申請 | TECH+(テックプラス)」)。

  • Vodka maker Stoli files for bankruptcy in US after ransomware attack

    Vodka maker Stoli files for bankruptcy in US after ransomware attack

説明によればStoli Groupは2024年8月にデータ侵害とランサムウェア攻撃というサイバー攻撃を受けており、この影響でITインフラストラクチャーに深刻な被害が発生。結果として企業資源計画(ERP:Enterprise Resource Planning)システムが無効化され、会計を含む内部プロセスのほぼ全てを手動で行う事態に陥ったとされている。この運用障害はしばらく続くことが予測されており、2025年第1四半期までは事業が停滞するとみられている。

このサイバーセキュリティインシデントは米国の企業が受けたものだが、これは米国に限った話ではない。脅威アクターにとって日本企業は魅力的な標的となっており、同様の事態が今後も日本の企業を標的として実施されるリスクがある。サイバー攻撃とその被害は公表されないケースも多く、実際には日本においても報道されている以上にサイバー攻撃の影響が出ている可能性がある。

デジタルトランスフォーメーション(DX:Digital Transformation)が進められている現在、サイバー攻撃によるシステムの停止は事業継続ができない事態に直結する可能性が高い。便利になる反面、こうしたリスクが存在していることを理解するとともに、継続的にサイバーセキュリティ対策を行っていくことが大切だ。

AIチャットボット企業・WotNotで大規模データ漏えい、個人情報34万件以上が流出 - いつでも発生するリスクを知る{#ID8}

12月3日(米国時間)、Malwarebytesからチャットボットサービスを提供するスタートアップAI企業であるWotNotから、346,000件以上の個人情報が流出したとの報道が行われた。流出した個人情報にはパスポートなどの身分証明書、医療記録、履歴書などが含まれており、サイバー犯罪者にとって非常に価値のある情報だとされている(参考「AI chatbot provider exposes 346,000 customer files, including ID documents, resumes, and medical records | Malwarebytes」)。

  • AI chatbot provider exposes 346、000 customer files、including ID documents、resumes、and medical records|Malwarebytes

    AI chatbot provider exposes 346,000 customer files, including ID documents, resumes, and medical records | Malwarebytes

データ漏えいはセキュリティ研究者がアクセス可能なGoogle Cloud Storageバケットを発見したことで発覚している。一般的にクラウドストレージ上で間違った設定を行い大量の個人情報や機密データが漏えいすることはこれまでもしばしば発生しており、今回のWotNotのセキュリティインシデントもそのパターンだったとみられている。

企業が提供するサービスに機密情報や個人情報を提供する場合、常にこのようなデータ漏えいのリスクが存在していることを意識する必要がある。ユーザーはその企業を信頼してデータを入力したり渡すしかないわけだが、本当にそのデータを渡す必要があるのか、サービスを利用する前に今一度考えることが求められる。企業も人間の活動の集合体であり、データ管理が完璧である保証はどこにもない。一度漏れてしまった個人情報は永遠にサイバー攻撃に悪用されるリスクがある。今回の事例は、こうしたリスクが存在していることを知り、安易に個人情報を提供しないという判断をすることも時には必要になってくることを示している。

12月2日~8日の悪用確認エクスプロイトは4件 - 確認とアップデートを

米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA:Cybersecurity and Infrastructure Security Agency)は、12月2日~8日にカタログに4つのエクスプロイトを追加した。

追加されたエクスプロイトは次のとおり。

影響を受ける製品およびバージョンは次のとおり。

  • CyberPanel (旧Cyber Panel) 1c0c6cbよりも前のバージョン
  • North Grid Corporation Proself Enterprise/Standard Edition Ver5.62およびこれより前のバージョン
  • North Grid Corporation Proself Gateway Edition Ver1.65およびこれより前のバージョン
  • North Grid Corporation Proself Mail Sanitize Edition Ver1.08およびこれより前のバージョン
  • ProjectSend r1720よりも前のバージョン
  • Zyxel ATPシリーズファームウェア V5.00からV5.38までのバージョン
  • Zyxel USG FLEXシリーズファームウェア V5.00からV5.38までのバージョン
  • Zyxel USG FLEX 50(W)シリーズファームウェア V5.10からV5.38までのバージョン
  • Zyxel USG20(W)-VPNシリーズファームウェア V5.10からV5.38までのバージョン

カタログに追加されたセキュリティ脆弱性はアクティブに悪用が確認されたものであり、深刻度の度合いに関わらず確認を行い対処することが望まれている。

* * *

アイ・オー・データ機器とNECのルータでは深刻な脆弱性が確認され、すでに悪用が確認されている。これらの製品を使用するユーザーはただちにアップデートを行おう。

フィッシング詐欺やクラウド設定ミスによる個人情報流出、さらにはランサムウェアによる企業の事業停止といった事例は、サイバー攻撃の影響が技術的な範囲にとどまらず、企業経営や社会全体にまでおよぶことを示している。企業も個人も、サイバーセキュリティ対策を常に見直し、更新することが大切だ。

サイバー攻撃の手口は日々進化しており、過去の脆弱性や新たな攻撃方法が悪用され続けている。自社のシステム環境を理解し、必要なアップデートやセキュリティ対策を講じることで、サイバー犯罪の被害を未然に防ぐことができる。迅速な対応とリスク管理を怠らないことが、今後の安全な運用の鍵だ。

参考