年末年始のサイバーセキュリティ分野では多岐にわたる重要な問題が明らかとなった。TLS暗号化が無効なメールサーバーやPalo Alto Networksの脆弱性、Tenable製品の不具合に加え、北朝鮮による暗号資産窃取事件が注目された。これらは企業や個人が直面する脅威の一部だ。また、Windows 10のサポート終了が迫るなか、移行に伴う課題も浮上している。これらの事例は進化するサイバー攻撃への継続的な警戒と最新防御策の必要性を強調している。迅速な対応と計画的な対策が求められている。

連載のこれまでの回はこちらを参照

12月23日~1月5日の最新サイバーセキュリティ情報

年末年始の期間中、サイバーセキュリティ分野では重要な動きが複数報告された。北朝鮮によるサイバー攻撃や未暗号化のメールサーバーがもたらすリスクが再び浮き彫りとなり、企業や個人に対するセキュリティ対策の重要性が強調された。また、Palo Alto NetworksのPAN-OSに関連する脆弱性が公表され、多くの企業が迅速な対応を迫られる状況となった。

この期間における注目すべき報告の一つは、Tenable製品のプラグイン更新に伴うエージェントの不具合だ。これにより、企業のセキュリティ担当者は、休暇期間中にもかかわらず迅速な対応を余儀なくされた可能性がある。また、TLS未対応のメールサーバーに関連する問題では日本が特に多くの影響を受けていることが明らかとなった。

Windows 10サポート終了迫る、サポート終了まで10カ月

2025年10月にはWindows 10のサポートが終了する。企業はこの期日までに使っているWindows 10をWindows 11へアップグレードするか、拡張セキュリティ更新プログラム(ESU:Extended Security Update)を購入して延命するかを選択する必要がある。いずれにせよWindows 10を使っている企業にとって猶予の時間は短い。

2025年10月以降もWindows 10を使い続けることは、未修正の脆弱性リスクを抱えたままのOSを使い続けることを意味している。しかし、現時点では多くのユーザーが、現行デバイスの利用を最大限引き延ばすためにWindows 10を選び続けている。

The Registerは2025年1月2日(英国時間)、「With 10 months of support remaining, Win 10 still dominates • The Register」において、Windows 10の市場シェアが増加していると報じた。Microsoftは企業やユーザーがWindows 11へ移行することを望んでいるが、Windows 10のサポート終了が残り10カ月を切ったという段階ですら、状況はMicrosoftの望んでいる通りには進んでいないことが指摘されている(参考「Windows 10のシェアが拡大、Microsoftの戦略に影響の可能性 | TECH+(テックプラス)」)。

  • With 10 months of support remaining、Win 10 still dominates • The Register

    With 10 months of support remaining, Win 10 still dominates • The Register

Windows 10の市場シェアが増加している背景には、Windows 11の厳しいハードウェア要件が影響している。Windows 11では特定のCPUモデルや世代が必須とされており、これが多くの既存デバイスでインストールできない要因となっている。また、トラステッドプラットフォームモジュール(TPM:Trusted Platform Module)2.0の要件もユーザーにとって障壁となっており、対応していないデバイスでは基本的にはWindows 11を利用することができない。このような条件により、アップグレードの選択肢が限られたユーザーが引き続きWindows 10を使用している。

さらに、Windows 11の操作性やインターフェイスの変化に対する不満も一部で報告されている。企業や公共機関は新しいOSの導入に伴う教育や運用コストの増加を避けるため、Windows 11搭載の新規デバイスを購入した後もWindows 10へのダウングレードを選択するケースがあるという。また、既存の業務アプリケーションやシステムとの互換性がWindows 10で安定していることから、現状を維持する方針を取る組織も少なくない。

どのような背景があるによせ、2025年10月14日以降、Windows 10はサポートが終了する。現実的な選択肢はWindows 11へのアップグレードだ。依然としてWindows 10を使い続けている企業は、この期日までに移行計画を立案し実施することが望まれている。

日本に高いリスク、未暗号化メールサーバーネット上で330万台以上が危険に晒される

Bleeping Computerは2025年1月2日(米国時間)、TLS暗号化が有効でない約330万のメールサーバーがインターネット上で公開されており、ネットワークスニッフィング攻撃に対して脆弱であると報じた。これらのサーバーはPOP3やIMAPのプロトコルを使用しており、TLSが無効なためユーザー名やパスワードが平文で送信され、悪意のある第三者による傍受のリスクがあると指摘されている(参考「Over 3 million mail servers without encryption exposed to sniffing attacks」)。

  • Over 3 million mail servers without encryption exposed to sniffing attacks

    Over 3 million mail servers without encryption exposed to sniffing attacks

ShadowServerの報告によれば、TLS暗号化が有効でないメールサーバーのうち相当数が日本に存在している。ShadowServerの観測結果は日によって変動するが、それでも日本は常に上位に入っており、対策が求められる代表的な国ということになる(参考「Around 3.3M POP3 and IMAP mail servers lack TLS encryption」)。

  • Around 3.3M POP3 and IMAP mail servers lack TLS encryption

    Around 3.3M POP3 and IMAP mail servers lack TLS encryption

この問題に対処するため、ShadowServerはメールサーバーの運営者に対してTLSを有効にするよう通知を開始したとされる。TLSを有効にすることで、メールの送受信時に情報が暗号化されネットワーク上での傍受や不正アクセスのリスクを軽減できる。さらに、必要のないサービスは無効化するか、VPNの背後に移動させることも推奨されている。日本は該当するメールサーバーが多数存在するとみられており、この問題には優先順位を挙げて取り組む必要がある可能性がある。今後、サイバーセキュリティベンダーや当局が発表する情報に注意しておこう。

TLS 1.0および1.1はそれぞれ1999年と2006年に導入されたが、セキュリティ上の懸念から主要なWebブラウザやプラットフォームでは非推奨となっている。最新のTLS 1.3は2018年に承認され、より強固なセキュリティを提供している。米国家安全保障局(NSA:National Security Agency)も古いTLSプロトコルの使用は攻撃者による機密データへのアクセスを許す可能性があるとして、最新の安全なプロトコルへの移行を推奨している。

サイバーセキュリティ担当者を悩ませた年末年始のTenable問題

Tenableは2024年12月31日(米国時間)、同社のプラグイン更新後に一部ユーザーのエージェントがオフラインになる問題を認識し調査を開始したと発表した。この問題はすべてのサイトに影響を及ぼしており、Tenable Vulnerability ManagementやNessusなど複数の製品が影響を受けている。問題を抑えるためにプラグイン更新は一時停止され、エンジニアチームによる解決作業が行われた(参考「Tenable Inc Status - Tenable Vulnerability Management / Tenable Security Center / Nessus: Plugin Updates causing agents to go offline」)。

  • Tenable Inc Status - Tenable Vulnerability Management / Tenable Security Center / Nessus: Plugin Updates causing agents to go offline

    Tenable Inc Status - Tenable Vulnerability Management / Tenable Security Center / Nessus: Plugin Updates causing agents to go offline

2025年1月2日、同社はエージェントバージョン10.8.0および10.8.1が問題の発生源であると特定し、これらのバージョンを無効化する措置を講じた。これにより、影響を受けたユーザーは一時的にプラグイン更新機能が利用できなくなった。

同日、TenableはFAQ形式の記事を公開し、影響を受けたエージェントの特定方法や解決手順を詳細に説明した。この文書には、問題に対応するためのGPO(グループポリシー)スクリプトを用いた解決方法も含まれており、ユーザーが迅速に対応できるよう支援が提供されている。

2025年1月3日、Tenableは問題の進展を報告し、プラグインフィードの再開を発表した。ただし、無効化されたエージェントバージョン10.8.0および10.8.1には引き続き対応できない状態であり、それ以外のサポート対象エージェントに対してプラグインのダウンロードが可能となった。エージェントを10.8.2へアップグレードするか、10.7.3へダウングレードすることになる(参考「Tenable Nessus Agent 2025 Release Notes」)。

執筆時現在、同社は問題の監視を継続しつつユーザーに対しエージェントのバージョン確認と対応を呼びかけている。

今回の問題は年末年始というサイバーセキュリティ担当者が不在になりがちな期間に発生した点に注目しよう。Tenableはサイバーセキュリティやリスク管理分野で活躍する企業であり、同社の製品やサービスを導入している企業は多い。こうした企業のサービスに関して年末年始に問題が発生したことで、企業は年始にまとまった対応を取るか、休暇を返上して対応を迫られた可能性がある。セキュリティ担当者の疲弊は長期的に見ると企業にとってマイナスだ。今回のような状況はいつでも発生する可能性があることを念頭におき、企業として対応できる体制を整えておこう。

北朝鮮サイバー攻撃の脅威、DMM Bitcoinから482億円を窃取

警察庁、内閣サイバーセキュリティセンター、金融庁は2024年12月24日、北朝鮮を背景とするサイバー攻撃グループ「TraderTraitor」が、暗号資産関連事業者であるDMM Bitcoinから約482億円相当の暗号資産を窃取したと公表した。このグループは北朝鮮当局の下部組織とされる「Lazarus Group」の一部とされている。これまでも同様のサイバー攻撃に関する注意喚起が行われてきたが、今回の事件を受け、改めて警戒が呼びかけられている(参考「暗号資産盗む北朝鮮のサイバー攻撃に注意せよ、警察庁が警告 | TECH+(テックプラス)」)。

  • 北朝鮮を背景とするサイバー攻撃グループ TraderTraitor によるサイバー攻撃について(注意喚起)

    北朝鮮を背景とするサイバー攻撃グループ TraderTraitor によるサイバー攻撃について(注意喚起)

攻撃者はソーシャルエンジニアリングの手法を用いてSNS上で企業幹部を装い、標的となる暗号資産関連事業者の従業員や技術者に接近する。具体的には、第三者の名前や顔写真を悪用し、興味を引く問いかけを行い、信頼を獲得したうえで、マルウェアを含むプログラムの実行を促す。これにより、標的のPCにマルウェアを感染させ、認証情報やセッションクッキーを窃取し、不正にシステムへアクセスして暗号資産を盗み出す手口が確認されている。

被害拡大を防ぐため、システム管理者や従業員向けに具体的な対処例と緩和策が提示されている。例えば、多要素認証の導入、アクセス権限の適切な管理、異常なアクセスの監視、SNSでの不審な接触への警戒、コード実行時の慎重な対応などが推奨されている。万が一、マルウェア感染が疑われる場合は、速やかにネットワークから隔離し適切な保全措置を行うことが重要とされている。

暗号資産取引に関わる個人や事業者は、引き続きサイバー空間の脅威を認識し、不審な通信を検知した際には、速やかに関係機関へ情報提供を行うことが求められる。特に、年末年始などの時期はサイバー攻撃のリスクが高まる可能性があるため、セキュリティ対策の強化と従業員への注意喚起を徹底することが重要だ。

本連載で何度も取り上げているが、日本は脅威アクターにとって魅力的な市場であり、いついかなる時でも攻撃の機会を伺い、隙あらば侵入を試みてサイバー攻撃を行っている。日本の企業や組織、個人はこうしたリスクが常に存在していることを認識し、サイバー攻撃を受けることを前提として行動や対策を取る必要がある。

生成AIを騙す新しい手法「Bad Likert Judge」をPalo Alto Networksが指摘

生成AIがサイバーセキュリティに欠かすことができないように、生成AIはサイバー攻撃にも欠かすことができない存在になっている。生成AIチャットサービスを提供する各社は悪用ができないように制限を設けているが、サイバー攻撃者はこの制限を回避する方法を模索して悪用を続けている。

Palo Alto Networksの研究者らは2024年12月31日(米国時間)、大規模言語モデル(LLM:Large Language Model)の評価能力を悪用する新しい手法「Bad Likert Judge」について発表した。この手法はLLMに対して与えられた応答の有害性を評価するように求め、その評価に基づいて有害な内容を生成させるというもの。Likertスケールを使用して応答の有害性を評価し、最も高いスコアを持つ応答が有害な内容を含む可能性があるという仕組みを利用している(参考「Bad Likert Judge: A Novel Multi-Turn Technique to Jailbreak LLMs by Misusing Their Evaluation Capability」)。

  • Bad Likert Judge: A Novel Multi-Turn Technique to Jailbreak LLMs by Misusing Their Evaluation Capability

    Bad Likert Judge: A Novel Multi-Turn Technique to Jailbreak LLMs by Misusing Their Evaluation Capability

LLMの安全対策は単一ターン攻撃や多ターン攻撃によって回避されることがある。単一ターン攻撃はLLMの計算リソースを過度に消費させることで安全対策を回避するというもので、多ターン攻撃はLLMのコンテキストウィンドウと注意メカニズムを利用して安全対策を回避するというものだ。これによりLLMは有害な応答を生成する可能性がある。

「Bad Likert Judge」を6つの最新のLLMに対してテストした結果、攻撃成功率(ASR)が平均で60%以上向上した。従来の単一ターン攻撃や多ターン攻撃と比較してBad Likert Judge手法はより高い成功率を示している。なお研究はコンテンツフィルタリングなどの対策が有効であることも示している。

業務にもよるが、生成AIはもはや欠かすことができない存在になっている。こうした便利な機能は当然ながらサイバー攻撃にも使われる。サイバーセキュリティ研究者は生成AIの有用性を理解しつつ、悪用する手法についても研究を行っている。サイバー攻撃は考えられている以上に巧妙に最新技術を活用して構築されている可能性があり、今後もそのリスクは高まっていく可能性がある。

Palo Alto Networksユーザー必読、CISAがPAN-OSに関連する脆弱性を公開

米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA:Cybersecurity and Infrastructure Security Agency)は、12月23日~1月5日にカタログに2つのエクスプロイトを追加した。

追加されたエクスプロイトは次のとおり。

影響を受ける製品およびバージョンは次のとおり。

  • Acclaim USAHERDS 7.4.0.1までのバージョン
  • Palo Alto Networks PAN-OS 11.2.0から11.2.3より前のバージョン
  • Palo Alto Networks PAN-OS 11.1.0から11.1.2-h16より前のバージョン
  • Palo Alto Networks PAN-OS 10.2.8から10.2.8-h19より前のバージョン
  • Palo Alto Networks PAN-OS 10.1.14から10.1.14-h8より前のバージョン
  • Palo Alto Networks PAN-OS (Prisma Access) 11.2.0から11.2.3より前のバージョン
  • Palo Alto Networks PAN-OS (Prisma Access) 10.2.8から10.2.9-h19 より前のバージョン

Palo Alto Networksについては影響を受けるバージョンが少々分かりにくい可能性があるためか、影響を受けない製品およびバージョンについても明示的に一覧表示されている。それぞれ次のとおり。

  • Palo Alto Networks PAN-OS 11.2.3およびこれ以降のバージョン
  • Palo Alto Networks PAN-OS 11.1.2-h16およびこれ以降のバージョン
  • Palo Alto Networks PAN-OS 11.1.3-h13およびこれ以降のバージョン
  • Palo Alto Networks PAN-OS 11.1.4-h7およびこれ以降のバージョン
  • Palo Alto Networks PAN-OS 11.1.5およびこれ以降のバージョン
  • Palo Alto Networks PAN-OS 10.2.8-h19およびこれ以降のバージョン
  • Palo Alto Networks PAN-OS 10.2.9-h19およびこれ以降のバージョン
  • Palo Alto Networks PAN-OS 10.2.10-h12およびこれ以降のバージョン
  • Palo Alto Networks PAN-OS 10.2.11-h10およびこれ以降のバージョン
  • Palo Alto Networks PAN-OS 10.2.12-h4およびこれ以降のバージョン
  • Palo Alto Networks PAN-OS 10.2.13-h2およびこれ以降のバージョン
  • Palo Alto Networks PAN-OS 10.2.14およびこれ以降のバージョン
  • Palo Alto Networks PAN-OS 10.1.14-h8およびこれ以降のバージョン
  • Palo Alto Networks PAN-OS 10.1.15およびこれ以降のバージョン
  • Palo Alto Networks PAN-OS (Prisma Access) 11.2.3およびこれ以降のバージョン
  • Palo Alto Networks PAN-OS (Prisma Access) 10.2.0から10.2.8より前のバージョン
  • Palo Alto Networks PAN-OS (Prisma Access) 10.2.9-h19およびこれ以降のバージョン
  • Palo Alto Networks PAN-OS (Prisma Access) 10.2.10-h12およびこれ以降のバージョン

Palo Alto Networks PAN-OSは同社の提供するファイアウォール製品やセキュア・アクセス・サービス・エッジ(SASE:Secure Access Service Edge)製品、集中管理プラットフォーム、脅威防御サービスなどをはじめとするセキュリティ製品で使われている。多くの製品が影響を受けることから、Palo Alto Networksの製品を採用している場合にはただちにPAN-OSのバージョンを確認するとともに、該当するバージョンを使っている場合には迅速にアップデートを実施することが望まれる。

* * *

今回の報告では、年末年始という特別な時期におけるサイバーセキュリティの重要性が改めて強調された。未暗号化のメールサーバーやPAN-OSの脆弱性のような技術的課題から、北朝鮮による暗号資産窃取事件のような国家レベルの脅威まで、多岐にわたる問題が浮き彫りとなった。これらの事例は、日々進化するサイバー攻撃への継続的な警戒が欠かせないことを示している。

また、Windows 10のサポート終了が迫る中、企業や個人が直面する課題についても触れた。特に、アップグレードの際に生じるハードウェア要件やコストの問題が、サイバーセキュリティ全体の脆弱性につながる可能性が指摘された。こうした背景を考慮し、迅速な計画立案と実行が必要だ。

今後、サイバー攻撃がさらに巧妙化することが予想されるなか、最新技術を取り入れた防御策の導入が求められる。引き続き、サイバーセキュリティに関する最新情報を注視し、適切な対策を講じていこう。

参考