サイバーセキュリティ最前線(3) ベトナム経由、日本企業子会社にサイバー攻撃発生

10月13日から20日にかけての最新サイバーセキュリティ情報をまとめた。ベトナムの日本企業子会社へのサイバー攻撃、パスキーの普及動向、生成AIの悪用が注目される。認証技術としてパスキーの普及はパスワードレス社会への移行を促し、生成AIは攻防双方で利用されている。企業やユーザーはこれらの情報を活かし、セキュリティ対策を強化することが求められる。

連載のこれまでの回はこちらを参照。

10月13日～20日の最新サイバーセキュリティ情報

10月13日～20日の最新サイバーセキュリティ情報では、企業やインフラに対するサイバー攻撃の動向、技術的な脆弱性、認証技術の普及について取り上げる。日本企業の海外子会社を標的にした攻撃や、パスキーの普及状況、生成AIの悪用に関する報告が注目される。

まず、ニデックプレシジョンからサイバー攻撃による社内文書の流出が発表された。攻撃はベトナム拠点を通じて行われ、日本企業の海外子会社のサイバーセキュリティを突く典型的な手法だった。また、CISAからは新たに4つのエクスプロイトが追加され、VeeamやWindows、Firefox、SolarWindsなど多くの製品に影響を与える脆弱性が明らかにされた。

さらに、Amazon.comがパスキー利用者数の増加を発表したことからも、パスワードレス社会への移行が進む中での認証技術の重要性が浮き彫りとなった。生成AIの悪用によるサイバー攻撃が進行している一方で、防衛側も同様に生成AIを活用して脅威に対応するなど、サイバーセキュリティの攻防が激化している状況だ。

旧日本電産子会社のニデックプレシジョンがサイバー攻撃を受けたと発表

ニデックプレシジョンにサイバー攻撃、約5万件の社内文書流出 | TECH+（テックプラス）

10月17日にニデック（旧日本電産）子会社のニデックプレシジョンから、社内文書が流出したとの発表が行われた。同社のベトナム拠点・ニデックプレシジョン（ベトナム）のネットワークへの不正アクセスが発端とされている。

弊社にて発生したセキュリティインシデントについて（第二報）｜ニデックプレシジョン

漏えいしたとみられる社内文書は合計50,694件とされており、その内容は次のとおりだ。

ニデックプレシジョン（ベトナム）の社内文書
取引先の書簡
グリーン調達
労働安全衛生および方針(業務・サプライチェーンなどの)関連文書
取引書類（注文書、インボイス、領収書）
契約書など

ニデックプレシジョンは本年8月12日に今回のサイバーセキュリティインシデントに関する最初の発表を行っている。10月17日の発表はこれに続く第2報となる。

日本法人の海外子会社を最初の侵入口とする手口は日本企業を狙う脅威アクターがよく取る手段の1つだ。日本と海外ではサイバーセキュリティの体制が異なる状態になっていることがあり、サイバー攻撃者は海外子会社を狙って攻撃を仕掛けることが多い。一度内部に侵入を許すと長期にわたってリスクの高い状態になる。

普及するパスキーと相互交換可能な未来

10月15日にAmazon.comからパスキーの利用者が1億7,500万人に達したとの発表が行われた。Amazonは1年前からWebサイトおよびモバイルアプリにおいてパスキーをサポートしており、1年間でこの利用者数に達したことになる。Amazonは他のAmazonアプリやサービスにもパスキーを展開すると発表しており、今後さらにパスキーの利用が増えることが予測される（参考「Amazonのパスキー利用者が1億7,500万人突破、パスワード使わないユーザー増加 | TECH+（テックプラス）」）。

Amazon is making it easier and safer for you to access your account with passwordless sign-in

パスキーを推進しているのはAmazon.comだけではない。他の大手ベンダーもパスキーへの取り組みを行っている。Microsoftは最近、Windows 11の開発版にパスキーの利用を簡単かつ直感的にするための機能を導入した。また、サードパーティー製のパスキープロバイダーをWindows 11に統合する機能の取り込みも進めている。パスキーはWindowsにおいてもパスワードレスを実現するための要と考えられている（参考「Windows11のパスキー、シンプルで直感的になる | TECH+（テックプラス）」）。

パスキーとは生体認証や端末のPINコードなどで認証するかたちの認証手段だ。従来のパスワードに代わるものでユーザーの端末とオンラインサービス間で安全に認証情報をやり取りすることができ、利用が好ましいと考えられている。パスキーを利用するとユーザーはパスワードを覚える必要がなくなり、セキュリティと利便性の両立が可能になる。

パスキーに関してはFIDO Allianceが10月14日に新しい使用を発表した点も注目される（参考「FIDO Alliance Publishes New Specifications to Promote User Choice and Enhanced UX for Passkeys - FIDO Alliance」）。この新しい仕様は将来的にベンダー間でパスキーを安全に移動できるようにするものであり、パスキーの移動が可能になればそれ自体の利用の推進力になるものとみられる。

上がり続けるパスワードのリスク

ユーザーが覚えなければならないパスワードは数十から数百におよぶ。パスワードは全てランダムに生成されたもので十分に長い必要がある。しかしながら、人間はそれをを何十個も覚えておくことはできないため、多くのユーザーは簡単なパスワードを複数のアカウントで使い回している。

こうした状況に対してサイバー攻撃を行う側は「ハイブリッドパスワード攻撃」と呼ばれる複数のパスワードクラック技術を組み合わせてパスワードを探り出す攻撃手法を使っている。ずさんなパスワードに高度化するクラック技術によって状況は悪くなる一方だ（参考「How Hybrid Password Attacks Work and How to Defend Against Them」）。

強度の十分なパスワードを使うことがサイバーセキュリティにおいてもっとも基本的で効果的な方法であることは長い間サイバーセキュリティベンダーや当局が呼びかけているが、一向に実現していない。こうした状況においてパスキーは状況を好転させる現実的な技術だと考えられており、今後さらに普及していくと考えられる。

悪用される生成AI、OpenAIのインテリジェンスレポートが報告

生成AIはもはやサイバーセキュリティにおいても欠かすことのできない存在だ。サイバーセキュリティに必要な人材は数年に渡って世界的に不足しており、その状況は改善される兆しをみせていない。この状況において既存のサイバーセキュリティ担当者や最高情報セキュリティ責任者（CISO：Chief Information Security Officer）の負担を減らす鍵が生成AIであり、この存在なしにサイバーセキュリティを担当することは負荷が大きすぎる状況になりつつある。

An update on disrupting deceptive uses of AI ｜ OpenAI

しかしながら、こうした状況はサイバー攻撃を仕掛ける脅威アクター側も同じようだ。OpenAIが公開した10月の脅威インテリジェンスレポートからその状況がみえる。脅威アクターがはっきりとChatGPTを悪用している、または使用したことが分かっているのだ。OpenAIはこうした活動が成功しないように阻止していることを報告しているが、反面、脅威アクターが常にChatGPTを使ってサイバー攻撃への利用に取り組んでいることが明らかになったとも言える（参考「Influence and cyber operations: an update, October 2024」）。

OpenAIのレポートは阻止した事例を取り上げているが、OpenAIによって分析されていないサイバー攻撃に利用された事例もあるものとみられる。技術の利用と悪用は常にいたちごっこであり、生成AI時代においてもそれが変わっていないことが分かるだろう（参考「OpenAI、中国を拠点とする脅威アクター「SweetSpecter」と疑われる活動阻止 | TECH+（テックプラス）」）。

フィッシング詐欺：アマゾン騙るフィッシング詐欺が首位、東京電力、JCB、ヤマト運輸、JAバンクも続く

フィッシング対策協議会から9月の報告が発表された（参考「フィッシング対策協議会　Council of Anti-Phishing Japan | 報告書類 | 月次報告書 | 2024/09 フィッシング報告状況」）。

フィッシング対策協議会　Council of Anti-Phishing Japan ｜報告書類｜月次報告書｜ 2024/09 フィッシング報告状況

2024年9月のフィッシング報告件数は148,210件で前月から減少し、フィッシングサイトのURLも49,519件に減少した。Amazonを騙るフィッシングが全体の約29.1%を占め、特に多かった。分野別ではクレジット・信販系やEC系の報告が多く、スミッシング（SMSフィッシング）も報告されている。ドメイン名のなりすまし対策として、DMARCのポリシー強化が求められており、送信者認証による対策も引き続き重要視されている。

Amazonのみならず東京電力、JCB、ヤマト運輸、JAバンクなど名称の挙がっているブランドからのメールには注意する必要がある。少しでも違和感を感じるようなら一度作業の手を止め、そのメールが本物なのか偽物なのか調査したり、正規のWebページや正規のアプリから確認を行うことが望まれる。

フィッシング対策協議会　Council of Anti-Phishing Japan

Google Meetを装った攻撃

ユーザーが多いアプリケーションやサービスは脅威アクターの悪用対象として狙われやすい。10月17日にはオンライン会議サービス「Google Meet」を装う偽のWebサイトが悪用されたという報告がSekoiaから公開された（参考「Google Meetのエラーを装いマルウェア配布、偽会議の招待に注意 | TECH+（テックプラス）」）。

ClickFix tactic: The Phantom Meet - Sekoia.io Blog

Sekoiaから報告されたのはGoogle Meetを装ったClickFix戦術を使ったマルウエアの配布キャンペーンだ。偽の会議への招待状を送付し、Google Meetを装った偽Webサイトへユーザーを誘導する。このサイトにアクセスするとマイクやカメラに異常があるという通知が表示される。その後表示される修復方法に従って作業を行ってしまうと、マルウエアに感染するという手はずになっている。

技術に詳しいユーザーは表示される修復手順に違和感を覚えて気が付く可能性があるが、技術に詳しくないユーザーは騙される可能性が高い。少しでも違和感を抱いたら操作の手を止めて調査を行おう。

カタログ: Windows、Windows Server、Veeam、SolarWinds、Firefox/Thunderbird

米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁（CISA：Cybersecurity and Infrastructure Security Agency）は、10月13日～20日にカタログに4つのエクスプロイトを追加した。

追加されたエクスプロイトは次のとおり。

CVE-2024-40711 - Veeam Backup and Replicationのデシリアライゼーションの脆弱性
CVE-2024-30088 - Microsoft Windows カーネル TOCTOU の競合状態の脆弱性
CVE-2024-9680 - Mozilla Firefox の use-after-free の脆弱性
CVE-2024-28987 - SolarWinds Web Help Desk のハードコードされた資格情報の脆弱性

影響を受ける製品およびバージョンは次のとおり。

Veeam Backup and Recovery 12.1.2から12.1.2までのバージョン
Microsoft Windows 10 Version 1809 10.0.0から10.0.17763.5936よりも前のバージョン
Microsoft Windows Server 2019 10.0.0から10.0.17763.5936よりも前のバージョン
Microsoft Windows Server 2019 (Server Core installation) 10.0.0から10.0.17763.5936よりも前のバージョン
Microsoft Windows Server 2022 10.0.0から10.0.20348.2527より前のバージョン
Microsoft Windows Server 2022 10.0.0から10.0.20348.2522より前のバージョン
Microsoft Windows 11 version 21H2 10.0.0から10.0.22000.3019より前のバージョン
Microsoft Windows 10 Version 21H2 10.0.0から10.0.19044.4529よりも前のバージョン
Microsoft Windows 11 version 22H2 10.0.0から10.0.22621.3737よりも前のバージョン
Microsoft Windows 10 Version 22H2 10.0.0から10.0.19045.4529よりも前のバージョン
Microsoft Windows 11 version 22H3 10.0.0から10.0.22631.3737よりも前のバージョン
Microsoft Windows 11 Version 23H2 10.0.0から10.0.22631.3737よりも前のバージョン
Microsoft Windows Server 2022, 23H2 Edition (Server Core installation) 10.0.0から10.0.25398.950よりも前のバージョン
Microsoft Windows 10 Version 1507 10.0.0から10.0.10240.20680より前のバージョン
Microsoft Windows 10 Version 1607 10.0.0から10.0.14393.7070より前のバージョン
Microsoft Windows Server 2016 10.0.0から10.0.14393.7070よりも前のバージョン
Microsoft Windows Server 2016 (Server Core installation) 10.0.0から10.0.14393.7070よりも前のバージョン
Mozilla Firefox 131.0.2よりも前のバージョン
Mozilla Firefox ESR 128.3.1よりも前のバージョン
Mozilla Firefox ESR 115.16.1よりも前のバージョン
Mozilla Thunderbird 131.0.1よりも前のバージョン
Mozilla Thunderbird 128.3.1よりも前のバージョン
Mozilla Thunderbird 115.16.0よりも前のバージョン
SolarWinds Web Help Desk 12.8.3 Hotfix 1およびこれよりも前のバージョン

WindowsやWindows Server、Firefox、Thunderbirdを使っている場合には最新バージョンへアップデートすることが望まれる。Veeam Backup and RecoveryやSolarWinds Web Help Deskを使っている場合にはまずベンダーから公開されている情報を確認し、企業での運用形態に応じて迅速に対応やアップデートを実施するのが良いだろう。

カタログに追加されたセキュリティ脆弱性はアクティブな悪用が確認されており、カタログに追加された時点で該当する製品を使っていることはリスクを意味している。毎週といった周期でもよいので、カタログに新しく追加された製品はチェックを行い、該当する製品を使っている場合には優先順位を高くして対応を行おう。

Known Exploited Vulnerabilities Catalog | CISA

産業用制御システム（ICS）も毎週のチェックが必要

脅威アクターは産業用制御システム（ICS：Industrial Control System）を標的として狙っている。セキュリティアップデートやセキュリティ対策がずさんなことがあり、ここから内部に侵入することができるからだ。

メディアで広く取り上げられることはほとんどないが、ICSのセキュリティ脆弱性も定期的にチェックし、可能な範囲で対策の適用や問題が修正されたバージョンへアップデートする必要がある。ICSはますますインターネットを活用するようになっており、リスクは高い状態が続いている。

10月13日～20日にCISAはICSに関する次のアラートを発行している。

同期間にJPCERTコーディネーションセンター（JPCERT/CC：Japan Computer Emergency Response Team Coordination Center）は次の脆弱性レポートを発行した。

メディアが取り上げなくても産業機器に存在するセキュリティ脆弱性は出てきている。運用・制御技術（OT）やモノのインターネット（IoT）も脅威アクターの標的であることを認識し、常に最新の状態を維持する必要がある。

*　*　*

10月13日～20日の最新サイバーセキュリティ動向を取り上げた。企業へのサイバー攻撃、パスキーをはじめとする認証技術の普及、生成AIの悪用など、多岐にわたる情報が報告されている。特に日本企業の海外子会社を狙った攻撃や、CISAによる新たなエクスプロイトの発表は、企業が直面する脅威の具体的な事例として注目に値するだろう。

パスワードに代わる認証手段としてのパスキーの普及は、セキュリティの向上と利便性の両立を目指す一歩であり、今後も拡大が予想される。また、生成AIを利用した攻防の激化も、サイバーセキュリティの新たな課題を示している。これらの情報を基に、各企業やユーザーはセキュリティ対策を強化し、最新の脅威に対応することが求められる。