株式会社サイバープロテックのサイバーセキュリティアカデミー(サイアカ)より、サイバーセキュリティに関する最近のインシデントや最新の動向などの情報をシェアする目的で毎月2回程度ニュースレターを発信させていただきます。今回が2023年12月第1回目のニュースレターとなります。
1. キーボードをタイプする音でパスワードが判明
ダラム大学、サリー大学、ロンドンのロイヤル ホロウェイ大学においてキーボードでパスワードを入力する音を聞いてパスワードを推測するより正確な方法を論文「A Practical Deep Learning-Based Acoustic Side Channel Attack on Keyboards」として発表した。
これは、装置の物理的な特性の変化を外部から観測・解析することにより、本来読み取ることができない情報を盗み取る手法である「サイドチャンネル」攻撃の一種である。 この論文で紹介された方法は、電話で録音されたラップトップのキーストロークで 95% というトップレベルの精度を達成した。
1 台のラップトップでトレーニングされた深層学習エンジンは、おそらく同じモデルの他のラップトップのパスワードを推測できる可能性があり、このようなテクニックがいつか商品化される可能性があることを示唆している。
- 詳しくは:https://www.malwarebytes.com/blog/uncategorized/2023/12/the-sound-of-you-typing-on-your-keyboard-could-reveal-your-password
- 注目ポイント:将来的には、このような音に対するセキュリティ対策も検討しなければならない時代となりそうである。
2.「経産省サイバーセキュリティ課」をかたる偽電話が急増
経済産業省は、サイバーセキュリティ課を装った不審な電話が急増していると警告している。
これらの電話では、通信制限の脅しや不正契約の偽情報を用いて個人情報(氏名、住所、電話番号)の提供を求める。
経産省は実際にはこのような電話を行わず、不審な要求には応じず警察に相談することを推奨している。
- 詳しくは: 経済産業省をかたる電話にご注意ください!
- 注目ポイント:一般市民が不審な要求に対して警戒を強める必要がある。高齢者のような騙されやすい人が近くにいる方は啓蒙を行っていただきたい。
3. Adobe ColdFusionの脆弱性を突いた米行政機関へのサイバー攻撃
アメリカの行政機関を標的にしたサイバー攻撃で、「Adobe ColdFusion」(迅速な Web アプリケーション開発に使用される商用アプリケーション サーバ)の脆弱性「CVE-2023-26359」が利用された。
この脆弱性は3月14日にAdobeによって報告され、セキュリティアップデートがリリースされた。CISAの調査により、6月から7月にかけて2台のサーバが侵害されたことが確認された。
侵害された環境や攻撃手法に関する詳細情報が公開されているが、攻撃者の正体は不明である。
- 詳しくは:Threat Actors Exploit Adobe ColdFusion CVE-2023-26360 for Initial Access to Government Servers
- 注目ポイント:政府機関を対象としたサイバー攻撃が既知の脆弱性を利用して行われた。
4.「Qlik Sense Enterprise」の脆弱性が標的に
BIツール「Qlik Sense Enterprise」(大量のデータを、現場のエンドユーザーが自ら分析できる、セルフサービス型のインメモリ型BIプラットフォーム)に3つの脆弱性「CVE-2023-41265」「CVE-2023-41266」「CVE-2023-48365」が発見された。
これらは権限昇格、パストラバーサル、HTTPトネリングを可能にするもので、ランサムウェア攻撃に悪用されている。Qlik社はこれらを複数のパッチで修正している。
- 詳しくは:Critical Security fixes for Qlik Sense Enterprise for Windows (CVE-2023-41266, CVE-2023-41265
- 注目ポイント: 人気のあるBIツールに対するランサムウェア攻撃のリスクが高まっていることを示している。
5. Qualcomm製チップやApple製品の脆弱性狙う攻撃
米当局は、Qualcomm製チップとApple製品に影響を及ぼす複数のセキュリティ脆弱性について警告を発した。これらの脆弱性は「CVE-2023-33106」「CVE-2023-33107」「CVE-2023-33063」「CVE-2022-22071」で、すでに悪用されている可能性がある。
Qualcommはこれらに対してセキュリティアドバイザリを発行し、パッチをリリースしている。これらの脆弱性は共通脆弱性評価システム「CVSSv3.1」で「高」の評価を受けている。
- 詳しくは: Qualcomm:December 2023 Security Bulletin
- 注目ポイント:広く使用されているQualcomm製チップとApple製品に重要なセキュリティ脆弱性が存在し、既に悪用されている可能性があるとのこと。これは多くのユーザーと企業に影響を及ぼす重大な問題である。
6. 積水ハウス クラウドサーバのセキュリティ設定不備による顧客情報等漏えい
積水ハウス株式会社は、11月28日,開発委託先のBIPROGY株式会社におけるセキュリティ設定の不備が原因で、クラウドサーバから顧客情報等3万4千件超が漏えいした可能性があることを発表した。
漏えいが確認されたのは2023年に取得した顧客情報等、漏えいの可能性があるのは2001年から2023年にかけての顧客情報等で、顧客氏名、住所、従業員名などが含まれる。
積水ハウスは関係する顧客への通知と、BIPROGYとの共同調査を行っている。
- 詳しくは: システム開発用クラウドサーバのセキュリティ設定不備によるお客様情報等の外部漏えいについて
- 注目ポイント:外部委託先のセキュリティ設定不備により、長期間にわたる顧客情報が漏えいしたおそれがあること。サプライチェーンセキュリティの脆弱性がいかに重大な影響を与えるかを示しており、企業がサードパーティのセキュリティ管理にも注意を払う必要があることを浮き彫りにしている。
最後までお読みいただき、有難うございます。
【お問い合わせ窓口】
株式会社 サイバープロテック ニュース編集係
102-0074 東京都千代田区九段南1―5-6 りそな九段ビル5F
TEL 03-6262-0595