- 2023-04-15
株式会社サイバープロテックのサイバーセキュリティアカデミー(サイアカ)より、サイバーセキュリティに関する最近のインシデントや最新の動向などの情報をシェアする目的で毎月2回程度ニュースレターを発信させていただきます。今回が2023年4月第1回目のニュースレターとなります。
1. Fortinet、脆弱性21件に対処
Fortinetは、4月11日にセキュリティアドバイザリを公開した。アップデートを通じて21件の脆弱性に対応しており、利用者に注意を呼びかけている。
重要度を見ると、5段階中もっとも高い「クリティカル(Critical)」とされる脆弱性は、「CVE-2022-41331」の1件。「FortiPresence」に判明した脆弱性で、認証が欠如しており、パスワードを必要とすることなく「Redis」や「MongoDB」にアクセスが可能だという。共通脆弱性評価システム「CVSSv3」のベーススコアは「9.3」と評価している。
- 詳しくは:Fortinet PSIRT Advisories
- 注目ポイント:Fortinetは境界防御を行うセキュリティ製品を扱っているため、脆弱性報告のアップデートの有無を日々チェックすることが重要である。
2. Sansanを騙ったフィッシング攻撃に警戒を
法人向け名刺管理サービス「Sansan」の利用者を狙ったフィッシング攻撃が確認された。サポートを装ってあらかじめ電話で連絡を取って信用させ、フィッシングメールを送り付ける巧妙な手口で、利用企業において被害が確認されている。
攻撃者は電話口で、川崎設備工業からの要請により各利用者に対して2段階認証の設定を依頼しているなどと説明。別途送信するメールより作業するよう求められ、誘導先がフィッシングサイトと気が付かず応じてしまい、IDやパスワードを詐取された。
- 詳しくは:Sansanリリース
- 注目ポイント:不審なメールを受信した場合はメールの削除及び、記載されたURLへのアクセスは行わないことを徹底したい。
3. 「エン転職」にパスワードリスト攻撃
転職情報サイト「エン転職」に対していわゆる「パスワードリスト攻撃」があり、一部登録者がログインを許し、履歴書を閲覧された可能性がある。通常を大きく上回るログインが確認されたことから、同社で調査を行ったところ攻撃を受けていることが判明した。
同社では3月30日午後3時に、不正ログインに該当するユーザに対しパスワードのリセットを実施、パスワードの再設定方法と注意点を個別にメールで案内している。
- 詳しくは:エン転職リリース
- 注目ポイント:サービス利用者・提供者の双方が対策を講じる必要がある。提供者側の対策として、多要素認証の導入やWAFの設置等が挙げられる。セキュリティを考慮しないシステム構築では、今後ユーザの信頼を得るのが難しくなるだろう。
4.「CRYPTREC暗号リスト」が改定 – 2013年以来
デジタル庁、総務省、経済産業省は、「電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)」を3月30日に改定した。
ハッシュ関数については、「SHA3」や「SHAKE」が追加されたり、 共通鍵暗号の128ビットブロック暗号から「SC2000」が削除され、エンティティ認証が「該当なし」となったりなど、複数の改定がある。
- 詳しくは: CRYPTREC
- 注目ポイント:今後のセキュリティ実装のスタンダードになる重要な指標なので、一読をしてほしい。
5. 米政府、重要インフラ向けの「CPGs」をアップデート
CISAは、「サイバーセキュリティパフォーマンス目標(Cybersecurity Performance Goals)」のアップデートを公開した。ITおよびOTを所有する組織において推奨される主要な対策に言及している。
「CPGs」は、「NISTサイバーセキュリティフレームワーク(CSF)」を補完する内容となるが、今回のアップデートにより「NIST CSF」における「識別」「防御」「検知」「対応」「復旧」の機能に対応するよう再構築したという。
- 詳しくは: CISA Releases Updated Cybersecurity Performance Goals
- 注目ポイント:CPGsは、重要インフラ事業者が自主的にサイバーセキュリティ対策へ取り組む際のベースラインを示したものである。ITとOTを横断したセキュリティ対策を有効に行うためのフレームワーク等、informativeな情報が得られるため、担当者の方は一読を推奨する。
最後までお読みいただき、有難うございます。
【お問い合わせ窓口】
株式会社 サイバープロテック ニュース編集係
102-0074 東京都千代田区九段南1―5-6 りそな九段ビル5F
TEL 03-6262-0595