株式会社サイバープロテックのサイバーセキュリティアカデミー(サイアカ)より、サイバーセキュリティに関する最近のインシデントや最新の動向などの情報をシェアする目的で毎月2回程度ニュースレターを発信させていただきます。今回が2023年11月第1回目のニュースレターとなります。
1.「Apache ActiveMQ」の脆弱性が標的に
メッセージブローカー「Apache ActiveMQ」に「CVE-2023-46604」という重大な脆弱性が発見された。この脆弱性は「OpenWire」処理に不備があり、リモートからコード実行が可能で、CVSSv3.1で最高値「10」の重要度を持つ。
実証コード(PoC)が公開されており、ランサムウェア攻撃に悪用されていることが確認された。開発グループは脆弱性の修正アップデートをリリース。米CISAは悪用が確認された脆弱性カタログ(KEV)にこの脆弱性を追加し、注意を呼びかけている。
- 詳しくは:CVE-2023-46604 Detail
- 注目ポイント:CVSSの最高値を記録し、CISAがこの脆弱性を悪用が確認された脆弱性カタログに追加したことで、その重要性がより強調されている。
2. 日本の主要上場企業、DMARC導入は進むもドメインベースでは未だ低調
TwoFiveの調査によると、日経平均株価の採用銘柄225社のうち、68.0%がDMARC(ドメインベースのメッセージ認証、報告、適合)を導入している。
しかし、これらの企業が運用する5865件のドメインのうち、DMARCを導入しているのは25.8%にとどまる。導入済みドメインの内、隔離ポリシー「quarantine」を適用しているのは10.0%、メール拒否ポリシー「reject」を適用しているのは14.3%で、大多数の75.6%はポリシー「none」で運用されている。
- 詳しくは:TwoFive、なりすましメール対策実態調査の最新結果を発表
- 注目ポイント:スパムメールを悪用したサイバー攻撃の増加に対する有効な手段として、DMARCの導入がある。SPFやDKIMと組み合わせてメールセキュリティの向上を検討してほしい。
3. 自治体向けサービスプロバイダー「ジチタイワークス」がサイバー攻撃被害
自治体向けサービスを提供するジチタイワークスがサイバー攻撃を受けた。10月23日、運営するウェブサイト「ジチタイワークスWEB」が閲覧できなくなり、調査の結果、サーバからデータが削除されていることが判明。関連する無料名刺サービスや資料請求サイトも閲覧障害に見舞われた。
攻撃されたサーバのデータベースには2万912件の個人情報が保存されており、外部に流出した可能性がある。情報には氏名、住所、電話番号、生年月日、所属団体、部署、役職などが含まれる。
- 詳しくは:当社子会社のサーバへの不正アクセスについて
- 注目ポイント:攻撃されたデータベースには、一般市民のデータだけでなく、地方政府の運営に重要な情報を含む可能性が高く、セキュリティ侵害の影響は特に深刻だ。
4. 「Squid」キャッシュプロキシサーバに複数の重大な脆弱性
オープンソースのキャッシュプロキシサーバ「Squid」に、サービス拒否やリクエストスマグリング攻撃のリスクをもたらす複数の脆弱性が発見された。これには、バッファオーバーフローを引き起こす「CVE-2023-46847」、リクエストスマグリング攻撃を受ける「CVE-2023-46846」、SSL/TLS証明書の検証処理に問題がある「CVE-2023-46724」、FTP関連の脆弱性「CVE-2023-46848」が含まれる。
「CVE-2023-46847」と「CVE-2023-46846」は「クリティカル」、他の二つは「高」の評価を受けている。これらは10月21日にリリースされたSquid 6.4で修正され、最新版のSquid 6.5でも対処されている。
- 詳しくは: CVE-2023-46846 Detail CVE-2023-46847 Detail
- 注目ポイント:Squidは広範に利用されているツールであるため、攻撃を受けた際の被害が大きい。Squidを最新バージョンにアップデートし、修正パッチを適用してほしい。
5. ウクライナの電力変電所に対する攻撃:新しいマルウェアとの連携で重大なインフラ侵害
ロシアのハッカーグループ「Sandworm」は2022年10月、ウクライナの電力変電所を攻撃し、短期間の停電を引き起こした。この攻撃はGoogleのMandiantによって詳細が明らかにされ、工業制御システム(ICS)に影響を与える新技術を用いた「マルチイベントサイバー攻撃」とされる。
攻撃者はOT環境内で変電所の遮断器を操作し、停電を引き起こした。また、攻撃の2日後には新しい種類のデータ破壊マルウェア「CaddyWiper」をターゲットのIT環境に展開した。Sandwormは2015年以降、ウクライナの電力網を狙った攻撃を続けている。
- 詳しくは: Russian Hackers Sandworm Cause Power Outage in Ukraine Amidst Missile Strikes
- 注目ポイント:産業制御システム(ICS)とOT環境の定期的なセキュリティ監査と脆弱性評価が求められるインシデント。CaddyWiperによって削除されたデータは復旧が困難である特徴を持つ。
最後までお読みいただき、有難うございます。
【お問い合わせ窓口】
株式会社 サイバープロテック ニュース編集係
102-0074 東京都千代田区九段南1―5-6 りそな九段ビル5F
TEL 03-6262-0595