先週のサイバーセキュリティ情勢は、自動車の「MAZDA CONNECT」からNASやCiscoデバイス、Windows 11まで多岐にわたる脆弱性報告が相次いだ。これらの脆弱性は、攻撃者がリモートでアクセスや不正操作を行うリスクを伴う。加えて、多要素認証を回避する手法や、正規のサービスを利用して信頼性を装ったフィッシング攻撃も増加。利用者はアップデートを迅速に適用し、リンクやメールのクリックに慎重さを保つことが不可欠だ。

連載のこれまでの回はこちらを参照

11月4日~10日の 最新サイバーセキュリティ情報

先週も多様なデバイスやソフトウェアに関する新たなセキュリティ脆弱性が報告され、利用者に対する注意喚起がなされた。ここでは自動車メーカーのマツダが提供する「MAZDA CONNECT」インフォテインメントシステムや、家庭用およびビジネス向けのネットワークストレージ(NAS)製品に見られる脆弱性などを取り上げる。これらの脆弱性によりサイバー攻撃者がシステムの一部を乗っ取るリスクがあるとされ、各製品の利用者には迅速な対策が求められている。

また、CiscoのネットワークデバイスやWindows 11のOpenSSHの不具合など、さまざまなセキュリティ上の課題も浮上した。これらの課題はシステム運用やリモートアクセスに直結するものであり、脆弱性を悪用されると遠隔からの制御やデバイスへの不正アクセスが可能となるため、特に企業利用者にとって見過ごせないリスクであり、早急な対応が求められる。迅速に修正プログラムを適用するか、製品使用の見直しを行うことが推奨される。

加えて、脅威アクターが正規のサービスを利用して信頼性を偽装したフィッシング攻撃も増加しており、日常的に利用するツールが思わぬリスクを生む可能性がある。利用者は、提供元からのアップデート情報を定期的に確認し、疑わしいリンクやメールには慎重に対応する姿勢が不可欠だ。

マツダの車載システム、USB経由での不正侵入リスク:Zero Day Initiativeが警告

11月7日にZero Day Initiativeから自動車メーカーのマツダが提供する車載インフォテインメントシステムの「MAZDA CONNECT」に複数のセキュリティ脆弱性が存在するとの発表が行われた。指摘されたセキュリティ脆弱性を悪用された場合、USBコネクターにアクセス可能な攻撃者にコネクティビティマスターユニット(CMU:Connectivity Master Unit)を乗っ取られる可能性があると指摘されている(参考「Zero Day Initiative — Multiple Vulnerabilities in the Mazda In-Vehicle Infotainment (IVI) System」)。

  • Zero Day Initiative — Multiple Vulnerabilities in the Mazda In-Vehicle Infotainment (IVI) System

    Zero Day Initiative — Multiple Vulnerabilities in the Mazda In-Vehicle Infotainment (IVI) System

このセキュリティ脆弱性は2014年から2021年モデルのMAZDA3など、Visteon製CMU搭載車両(ソフトウェアはJohnson Controls製)などの車両に影響するとされている。

Zero Day Initiativeが実施した調査はソフトウェアバージョン「74.00.324A」を対象としており、これ以前のバージョンにも同様のセキュリティ脆弱性が存在するとみられている。

サイバー攻撃者はUSBデバイスを接続して数分待機するだけで永続性のある侵害が可能になる。しかし、実際にUSBコネクターへの物理的なアクセスが必要になることから、攻撃可能な人物は限られてくるだろうとされている。Zero Day Initiativeは信頼できない人物に車両を預けないことや、不審な動作がないか注意して利用することなどをアドバイスしている。

NASに脆弱性、アップデートまたは買い替えが必要

11月4日~10日には2つのNASメーカーからセキュリティ脆弱性が発表された。SynologyとD-Linkだ。該当するメーカーのネットワークアタッチトストレージ(NAS:Network Attached Storage)を使っている場合には情報を確認するとともに迅速に対応することが望まれる(参考「SynologyのNASに緊急の脆弱性、アップデートを | TECH+(テックプラス)」「D-LinkのNASに緊急の脆弱性、対象製品の使用中止または交換を | TECH+(テックプラス)」)。

  • Synology_SA_24_19|Synology Inc.

    Synology_SA_24_19 | Synology Inc.

  • D-Link Technical Support

    D-Link Technical Support

セキュリティ脆弱性が存在するとされる製品およびバージョンは次のとおり。

  • Synology - BeePhotos for BeeStation OS 1.1.0-10053より前のバージョン
  • Synology - BeePhotos for BeeStation OS 1.0.2-10026より前のバージョン
  • Synology - Synology Photos 1.7 for DSM 7.2 1.7.0-0795より前のバージョン
  • Synology - Synology Photos 1.6 for DSM 7.2 1.6.2-0720より前のバージョン
  • D-Link - DNS-320 Version 1.00
  • D-Link - DNS-320LW Version 1.01.0914.2012
  • D-Link - DNS-325 Version 1.01およびVersion 1.02
  • D-Link - DNS-340L Version 1.08

セキュリティ脆弱性が修正された製品およびバージョンは次のとおり。

  • Synology - BeePhotos for BeeStation OS 1.1.0-10053およびこれ以降のバージョン
  • Synology - BeePhotos for BeeStation OS 1.0.2-10026およびこれ以降のバージョン
  • Synology - Synology Photos 1.7 for DSM 7.2 1.7.0-0795およびこれ以降のバージョン
  • Synology - Synology Photos 1.6 for DSM 7.2 1.6.2-0720およびこれ以降のバージョン

Synologyの製品に関してはアップデートすることで問題に対処することができるが、D-Linkの製品はすでにサポートが終了したものであり、今後アップデートが提供される予定はないとされている。D-Linkは該当する製品に関しては使用の中止または交換を推奨している。D-Linkの該当製品はインターネット上に6万1,000台以上存在することが確認されており、今後こうしたデバイスをサイバー攻撃に悪用する活動が出てくる可能性がある。該当する製品を使用している場合にはまず情報を確認し、迅速に対応を行っておこう。

シスコのアクセスポイントに緊急(CVSS 10.0)の脆弱性

11月6日にはCisco Systemsから「Cisco Unified Industrial Wireless Software」に緊急の脆弱性が存在するとの発表が行われた。このセキュリティ脆弱性を悪用されるとサイバー攻撃者によって遠隔から任意のコマンドを実行させる可能性があるとされている(参考「シスコのアクセスポイントに緊急(CVSS 10.0)の脆弱性、アップデートを | TECH+(テックプラス)」)。

  • Cisco Unified Industrial Wireless Software for Ultra-Reliable Wireless Backhaul Access Point Command Injection Vulnerability

    Cisco Unified Industrial Wireless Software for Ultra-Reliable Wireless Backhaul Access Point Command Injection Vulnerability

セキュリティ脆弱性が存在するとされる製品およびバージョンは次のとおり。

  • Cisco Unified Industrial Wireless Software 17.14およびこれ以前のバージョン
  • Cisco Unified Industrial Wireless Software 17.15

このセキュリティ脆弱性の影響を受ける製品は次のとおり。

  • Catalyst IW9165D Heavy Duty Access Points
  • Catalyst IW9165E Rugged Access Points and Wireless Clients
  • Catalyst IW9167E Heavy Duty Access Points

セキュリティ脆弱性が修正された製品およびバージョンは次のとおり。

  • Cisco Unified Industrial Wireless Software 17.15.1

このセキュリティ脆弱性は深刻度がCVSSのスコア値で10.0の緊急(Critical)と分類されている。該当する製品を使用している場合には迅速に対応しよう。

Windows 11のOpenSSHがうまく動かなくなった原因はこれか

もし「Windows 11 version 23H2」または「Windows 11 version 22H2」でOpenSSHを使用していて、最近SSH接続が切れる現象が発生しているとしたら、更新プログラム「KB5044285」または「KB5044380」を適用したことが原因になっている可能性がある(参考「Windows 11 23H2/22H2でSSH接続ができなくなる問題が発生、対処法は? | TECH+(テックプラス)」)。

  • October 22、2024—KB5044380 (OS Builds 22621.4391 and 22631.4391) Preview - Microsoft Support

    October 22, 2024—KB5044380 (OS Builds 22621.4391 and 22631.4391) Preview - Microsoft Support

この問題は2024年10月8日にリリースされた「KB5044285」または10月22日にリリースされた「KB5044380」のいずれかまたは両方の更新プログラムを適用した一部のWindows 11 version 23H2またはWindows 11 version 22H2が影響を受けるとされている。執筆時点ではEnterprise、Education、IoTのエディションでの影響が確認されており、ProおよびHomeに関しては調査中とされている。

この問題に該当している場合、「C:\ProgramData\ssh」および「C:\ProgramData\ssh\logs」の権限を手動で変更することで一時的に問題を回避することができる。対処方法は先に取り上げた記事で説明しているのでそちらを参考にしてもらえればと思う。Microsoftは今後のアップデートでこの問題を解決する予定としていることから、それまで待てるという場合にはアップデートまで待つことも1つの選択肢として検討しよう。

OpenSSHはリモートから安全にアクセスする方法として広く利用されている。特にLinux系のオペレーティングシステムではデフォルトのリモートログイン方法として使われており、Windows 11においても機能として利用することができる。

多要素認証の導入や利用は必須、しかし完璧な方法ではない

サイバーセキュリティベンダーやサイバーセキュリティ当局の多くがベンダーやユーザーに多要素認証(MFA:Multi-Factor Authentication)の利用を推奨している。多要素認証を使うことでユーザー認証の安全性が強化されると考えられているためだ。

しかしながらこれまですでにいくつも脅威アクターが多要素認証を回避して悪用する手法を発見し、実際のサイバー攻撃で利用している。11月5日にはMalwarebytesからこうした悪用の一例として窃取したCookieを悪用して多要素認証を回避する不正アクセスの手法について報じている(参考「メールの不正アクセスに注意、Cookie盗み多要素認証を回避 | TECH+(テックプラス)」)。

  • Warning: Hackers could take over your email account by stealing cookies、even if you have MFA|Malwarebytes

    Warning: Hackers could take over your email account by stealing cookies, even if you have MFA | Malwarebytes

ユーザーはこれまでと同様に可能な限り多要素認証を有効化して使ったほうがよいという指針が変わることはないが、多要素認証を使っているとしてもそれが完全に安全を保証するものではないということを認識しておく必要がある。脅威アクターはさまざまな方法サイバー攻撃を仕掛けてくる。その方法も技術的なものからソーシャル的なものまでさまざまだ。どのような安全対策を取ったとしても常にサイバー攻撃のリスクが存在していることを前提にして行動することを忘れないようにしよう。

セキュリティソフトウェアの導入も安全を保証するものではない

サイバーセキュリティベンダーはさまざまな方法で不正侵入やマルウェアの活動を検出し、悪意ある行為を妨害しようとする。これに対して脅威アクターは自身の行動やマルウェアがセキュリティソフトウェアに検出されないようにありとあらゆる手段を試し、利用してくる。

Huntersは11月4日、こうした行動の一端としてMicrosoftの提供する各種SaaSを悪用してセキュリティソフトウェアによる検出を回避するサイバー攻撃キャンペーン「VEILDrive」に関する情報を公開した。このキャンペーンではMicrosoft Teams、SharePoint、Quick Assist、OneDriveなどが悪用されており、正規のサービスを利用することでセキュリティソフトウェアによる検出を回避してマルウェアへの感染を促していたことが確認されている(参考「Unmasking VEILDrive: Threat Actors Exploit Microsoft Services for C2」)。

  • Unmasking VEILDrive: Threat Actors Exploit Microsoft Services for C2

    Unmasking VEILDrive: Threat Actors Exploit Microsoft Services for C2

サイバー攻撃から身を守るにはセキュリティソフトウェアの導入は効果的だが、それは絶対ではないことを再度認識する必要がある事例だ。サイバー攻撃では正規のソフトウェアや正規のサービスを利用することでセキュリティソフトウェアの検出を回避する手段が取られることが多い。セキュリティソフトウェアを導入していてもリスクが存在していることを認識しておこう。

正規のサービスで作成された請求書が送られてくるサイバー攻撃

正規のサービスがサイバー攻撃に悪用されるため正規のサービスであっても頭から信頼するのはリスクを伴うという件について、11月5日にWallarmから公開されたDocuSign APIの悪用についても注意しておきたい(参考「Attackers Abuse DocuSign API to Send Authentic-Looking Invoices At Scale」)。

  • Attackers Abuse DocuSign API to Send Authentic-Looking Invoices At Scale

    Attackers Abuse DocuSign API to Send Authentic-Looking Invoices At Scale

WallarmはDocuSign APIの悪用によってサイバー攻撃者が信頼性の高い偽の請求書を大量に送信していると説明した。サイバー攻撃者は正規のDocuSignインフラを利用して正当なメッセージに見せかけてユーザーを騙すことでフィッシング攻撃を拡大している。正規のサービスを使った正当に見える請求書が送られてくるため騙されるリスクが高い。

攻撃手法としてはDocuSign APIを活用して認証情報の取得やリンクのクリックを促し、ユーザーのデータを不正に収集することが挙げられている。これによりサイバー攻撃者は標的に信頼させやすいメールを生成し、企業や個人に被害を与える可能性を高めている。

この問題の解決策としてはDocuSignのAPI利用に対する認証管理の強化や、ユーザー教育によるフィッシング耐性の向上が挙げられている。企業は自社の従業員に注意喚起を行うとともに、未知のメールに注意を払うよう促すことが効果的だと言えるだろう。

このように脅威アクターは正規のサービスを使って本物にしか見えないデータを送ってくることも多く、こうした点からサイバー攻撃を疑うのは難しいところがある。こうしたリスクが常に存在していることを認識することが重要だ。

AndroidやPTZOpticsネットワークカメラがアクティブに悪用、確認と更新を

米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA:Cybersecurity and Infrastructure Security Agency)は、11月4日~10日にカタログに6つのエクスプロイトを追加した。

追加されたエクスプロイトは次のとおり。

影響を受ける製品およびバージョンは次のとおり。

  • CyberPanel 2.3.6からパッチが適用されていない2.3.7までのバージョン
  • Nostromo nhttpd Directory Traversal (nostromo nhttpd) 1.9.6までのバージョン
  • Palo Alto Networks Expedition 1.2から1.2.92より前のバージョン
  • PTZOptics PT30X-SDI 0から6.3.40より前のバージョン

CVE-2024-43093 (Android Framework Privilege Escalation Vulnerability)に関しては脆弱性情報データベース(CVE:Common Vulnerabilities and Exposures)に詳細情報は公開されていない。「Androidに緊急の脆弱性、2件の脆弱性がすでに悪用済み - 更新を | TECH+(テックプラス)」などから2024年11月のAndroidセキュリティ脆弱性情報を確認するなどして対応してもらえればと思う。

カタログに追加されたセキュリティ脆弱性はアクティブな悪用が確認されているものだ。カタログに追加されたセキュリティ脆弱性について該当する製品を使用している場合には迅速に対応する必要がある。

* * *

今回取り上げたセキュリティ脆弱性は日常生活やビジネスにおいて重要なデジタルシステムが直面するリスクの一端を示している。自動車のインフォテインメントシステムから家庭用ネットワークストレージ、企業向けのネットワークデバイスに至るまで、多様なデバイスがサイバー攻撃の対象となっていることは明らかだ。これらの脆弱性は利用者が日常的に使用しているシステムに潜在的なリスクが存在することを示しており、対策の必要性が改めて強調されている。

また、各メーカーが推奨する対策は更新プログラムの適用やデバイスの使用中止、あるいは多要素認証の活用といった手段を含むが、それだけでは全てのリスクに対応しきれない場合も多い。特に、脅威アクターが正規のサービスを悪用する攻撃手法が増加しており、利用者は単なる技術的対策にとどまらず普段からの警戒心や適切な知識の習得が重要になっている。

今後もこのような脆弱性が発見され対策が求められるケースが続くことが予測される。引き続き本連載も参考にしながら、日常のデジタル環境を安全に保つための取り組みを進めていただければ幸いだ。

参考