株式会社サイバープロテックのサイバーセキュリティアカデミー(サイアカ)より、サイバーセキュリティに関する最近のインシデントや最新の動向などの情報をシェアする目的で毎月2回程度ニュースレターを発信させていただきます。今回が2024年5月第2回目のニュースレターとなります。
1. GitHub Enterprise Serverに深刻な認証回避脆弱性:迅速なアップデートが急務
GitHub Enterprise Server(GHES)に、認証回避の深刻な脆弱性が発見された。これは、SAMLシングルサインオン認証のアサーション暗号化機能を有効にしている場合に発生する「CVE-2024-4985」と呼ばれる脆弱性で、攻撃者が偽造したSAMLレスポンスを使って管理者権限を持つユーザーを作成できる。
GitHubはこの脆弱性をCVSSv4.0で最高スコアの10.0と評価し、Criticalとレーティングしている。5月20日に修正済みバージョンがリリースされ、ユーザーに早急なアップデートが推奨されている。また、3.9系のサポートは6月29日に終了するため、注意が必要だ。
- 詳しくは:CVE-2024-4985 Detail
- 注目ポイント:SAMLシングルサインオン認証のアサーション暗号化機能の設定を確認し、適切に設定されているか確認してほしい。
2. 医療データ連携ソフトなど2件の脆弱性が悪用リストに追加 – CISA、5月5度目の更新
CISAは、5月20日に2件の脆弱性をKEVに追加した。これは5月に入ってから5度目の更新となる。
追加された脆弱性は、NextGen Healthcareの医療システム「Mirth Connect」における「CVE-2023-43208」と、Chromiumのスクリプトエンジンにおける「CVE-2024-4947」の2件だ。
これらの脆弱性は、信頼できないデータのリモートコードを実行するリスクがあり、特にChromiumに関しては最近連続してゼロデイ脆弱性が報告されている。
- 詳しくは:CVE-2023-43208 Detail、 CVE-2024-4947 Detail
- 注目ポイント: 特にChromium関連の脆弱性が連続して発見されていることから、広範なブラウザへの影響が懸念される。
3. ランサムウェア攻撃によりシステム障害発生 – 岡山県精神科医療センター
岡山県精神科医療センターは、5月19日16時頃からサイバー攻撃を受け、電子カルテシステムを含む総合情報システムに障害が発生していることを明らかにした。
この攻撃はランサムウェアによるもので、同センターおよび東古松サンクト診療所が影響を受けている。センターは岡山県、厚生労働省、警察に通報し、紙カルテを使用して診療を継続している。また、外部協力のもとで原因や個人情報流出の影響を調査し、復旧作業を進めている。
- 詳しくは:当センターの電子カルテシステムの障害発生について(第2報)
- 注目ポイント:ランサムウェア攻撃により、電子カルテシステムがダウンし、医療現場に直接的な影響が発生している。平時からBCPを策定し、万が一のインシデントに備えることが重要である。
4. 「Dropbox Sign」の侵害によりサイバー演習受講者の個人情報が流出 – NICTが発表
電子署名サービス「Dropbox Sign」がサイバー攻撃を受け、NICTは同機構のサイバー演習サービスで利用していたため、関係者の個人情報が流出した可能性があることを明らかにした。
Dropboxは、5月1日に認証情報を含むユーザーデータがアクセスされたことを公表し、同サービス経由で文書を受け取ったユーザーも影響を受けると説明している。NICTのサイバー演習で2021年度から2023年度の受講者524人のユーザー名とメールアドレスが流出した可能性がある。不正使用の被害は確認されていないが、個人情報保護委員会に報告し、対象者に説明を行っている。
- 詳しくは: 外部利用サービス提供事業者への不正アクセスについて
- 注目ポイント:NICTの不正アクセス後の迅速な対応は今後の対応策として参考になる点が多い。
5. バッファロー製ルータでボット感染急増 – 脆弱なパスワード設定が原因か
5月20日以降、バッファロー製の一部ルータでボット感染が急増している。NICTによると、特に「WSR-1166DHPシリーズ」を中心に感染が観測され、翌日には50件以上に達した。同機構とバッファローの調査では、他にも7モデルで感染の疑いがあり、さらに11モデルも攻撃対象となる可能性がある。
感染の主な原因は、ウェブ設定画面のパスワードが工場出荷時のまま使用されているか、推測しやすい文字列が使用されていることにある。バッファローは対象ルータの初期化と再設定、ファームウェアの更新を推奨している。
- 詳しくは: NICTERの投稿に関する重要なお知らせ(5/23更新)
- 注目ポイント:意図せずDDoS攻撃に加担する可能性が高いため、推奨される対策を早急に実施して欲しい。
6. 積水ハウス 住宅オーナー等向けの会員制サイトにサイバー攻撃
5月24日、積水ハウスは、住宅オーナー様等向けの会員制サイト「積水ハウスNetオーナーズクラブ」において、使用されていない過去のページでセキュリティ設定に不備があり、SQLインジェクション攻撃でお客様情報、従業員等情報が合わせて29万人分漏えいし、漏えいの可能性を否定できない人数が56万人であることを公表した。
- 詳しくは: 住宅オーナー様等向けの会員制サイトにサイバー攻撃を受けたことによる お客様情報等の外部漏えいについて
- 注目ポイント:使用されていないウェブページに対しても定期的に脆弱性診断を行うことが求められる。
最後までお読みいただき、有難うございます。
【お問い合わせ窓口】
株式会社 サイバープロテック ニュース編集係
102-0074 東京都千代田区九段南1―5-6 りそな九段ビル5F
TEL 03-6262-0595