株式会社サイバープロテックのサイバーセキュリティアカデミー(サイアカ)より、サイバーセキュリティに関する最近のインシデントや最新の動向などの情報をシェアする目的で毎月2回程度ニュースレターを発信させていただきます。今回が7月第1回目のニュースレターとなります。

1. OpenSSLに複数の脆弱性、アップデートを呼びかけ

　オープンソースソフトウェアのSSLであるOpenSSLに複数の脆弱性があることを、IPA及びJPCERT/CCが明らかにした。7月5日でのOpenSSLのアップデートでは、複数の脆弱性が修正されているため、要注意だ。

　今回のリリースで修正された脆弱性は下記の2件である。

• CVE-2022-2274：RSA秘密鍵の操作におけるヒープメモリ破損。リモートコード実行に悪用される恐れがある。「OpenSSL 3.0」系統にのみ影響（High）
• CVE-2022-2097：AES OCBが一部のバイトの暗号化に失敗する。x86プラットフォームにのみ影響し、メモリが読み取られる恐れがある（Moderate）                                                                                   
• 詳しくは：JVNVU#96381485
• 注目ポイント：OpenSSL における脆弱性については、これまでも幾度となくその存在が報告されており、ウェブサービスの脆弱性をそのまま放置すると、被害規模が甚大になる恐れがある。                 

2. 看護roo!」へのパスワードリスト型攻撃で不正アクセスを確認

　東証プライム上場企業の株式会社クイックが運営する「看護roo!」において、パスワードリスト型攻撃が行われたことを公表した。

　同社が導入するWAFでは、パスワードリスト型攻撃を検知するための機能を有効化していたが、閾値を下回る頻度でパスワードリスト型攻撃が行われたため、検知・遮断が行われなかったという。

　同社では既に、「看護roo!」のパスワードポリシーを強化し、認証画面でのreCAPTCHAの導入、再攻撃に備えた重点的な監視策の強化、同一IPアドレスからの高頻度のアクセスを遮断する対策を実施済みで、今後はメール、SMSを用いた二段階認証を導入するとのことだ。

   今一度、読者の皆様にも、使いまわしているパスワードが無いかをチェックして頂きたい。

• 詳しくは：弊社運営の看護師および看護学生向けコミュニティサイト「看護 roo!」への“なりすまし”による不正アクセスについて【第 3 報】
• 注目ポイント：パスワードリスト型攻撃の被害の事例が、最近増えてきており。パスワードの使いまわしが危険であることの再認識する必要がある。                                                                                    

3. Amazonが不正アクセスにつながる「Amazon Photos」アプリの脆弱性修正

    Recorded Futureは6月29日、Amazonが提供しているAndroid向けアプリ「Amazon Photos」が抱えていた脆弱性が修正されたと伝えた。同アプリ内に、Amazon API間でユーザ認証に使われる一意のアクセストークンが盗まれる複数の脆弱性があることが明らかになった。Amazon APIには名前、メール、住所などの個人データが含まれており、その脆弱性が狙われると、サイバー犯罪者は個人データにフルアクセスできてしまうリスクがあったという。

• 詳しくは：Amazon quietly patches ‘high severity’ Android photos app vulnerability
• 注目ポイント：Amazon Photosは利用者が日本にも多数おり、日本でも要警戒である。                      

4. 北朝鮮の支援を受けたクラッカーが医療機関に対してランサムウェア攻撃

　CISAは、北朝鮮政府の支援を受けたクラッカーが医療分野を標的にMauiランサムウェアを使用した攻撃を多数行っていることを公表した。攻撃を行っている目的は、核兵器開発の資金源となる暗号資産の獲得することではないかと予測されている。

　CISAは、ユーザーの教育や多段階認証技術の活用、全ホストへのアンチウイルスソフト導入を推奨している。

• 詳しくは：North Korean State-Sponsored Cyber Actors Use Maui Ransomware to Target the Healthcare and Public Health Sector
• 注目ポイント：今回の発表が、国家が支援するクラッカーが、ランサムウェアを医療分野に対して使用する意思があることを示す最新の事例になる。                                                                                     

5. 多要素認証を回避するサイバー攻撃があったことをMicrosoftが公表

    Microsoftは7月12日、ユーザーが多要素認証を有効にしていても認証プロセスをスキップする大規模なフィッシングキャンペーンがあったことを伝えた。

    Microsoftのセキュリティ研究チームが、AiTM(Adversary-in-The-Middle)フィッシングWebサイトを利用した大規模なキャンペーンを発見。これまでに1万を超える組織が標的となったことがわかった。AiTMフィッシングでは、セッションクッキーを盗むため、多要素認証などのサインイン方法に関係なく、セッションに対しての認証が使われることに注意が必要とのことだ。

    同社は、FIDO v2.0準拠で生体情報あるいは物理セキュリティキーを使う認証方法であればセッション情報を詐取されることはないとMicrosoftは述べている。

• 詳しくは：From cookie theft to BEC: Attackers use AiTM phishing sites as entry point to further financial fraud
• 注目ポイント：多要素認証を回避するという最先端の攻撃方法に対し、FIDO利用で防御ができる。                                                                                                                                                                

最後までお読みいただき、有難うございます。

【お問い合わせ窓口】
株式会社 サイバープロテック　ニュース編集係

102-0074 東京都千代田区九段南1―5-6 りそな九段ビル５Ｆ

TEL 03-6262-0595

info@cyberprotec.jp