- 2023-10-15
株式会社サイバープロテックのサイバーセキュリティアカデミー(サイアカ)より、サイバーセキュリティに関する最近のインシデントや最新の動向などの情報をシェアする目的で毎月2回程度ニュースレターを発信させていただきます。今回が2023年10月第1回目のニュースレターとなります。
1.「Atlassian Confluence」にゼロデイ脆弱性
Atlassian Confluence(世界中で6万以上のユーザーに利用されている情報共有ツール)に深刻なゼロデイ脆弱性「CVE-2023-22515」が存在し、すでに複数の顧客で悪用事例が確認されている。
この脆弱性は、承認なしで管理者アカウントを作成し、不正アクセスを許すというもの。CVSSv3.0では最高値の「10」をスコアとし、「クリティカル」に分類されている。
Atlassianはアップデートを強く推奨し、侵害痕跡のチェックや侵害されて行場合の迅速な対応を促している。
- 詳しくは:Atlassian Support_FAQ for CVE-2023-22515
- 注目ポイント:既に悪用されている場合は、アップデート後も侵害の可能性が残るという。侵害が確認された場合、そのサーバを直ちにネットワークから切断し、法的対応も含めて詳細な調査とリカバリプロセスを実施してほしい。
2.「NetScaler Gateway」から認証情報を窃取
「NetScaler ADC」(従来のロードバランサの負荷分散機能に、高速化機能やセキュリティ機能などさまざまな付加機能を加えたもの)と「NetScaler Gateway」(リモートアクセスインフラストラクチャを統合して、データセンター、クラウド、またはアプリケーションがSaaSアプリとして配信されるかどうかにかかわらず、すべてのアプリケーションでシングルサインオンを提供。これにより、ユーザーは単一の URL を介して、あらゆるデバイスからあらゆるアプリにアクセス可。)に存在する脆弱性「CVE-2023-3519」が悪用され、ログインページが改ざんされる事例が確認された。この攻撃では、認証情報が窃取されるリスクがある。
Citrixはこれを公表しているが、攻撃はいまだ続いている。IBMは不正なJavaScriptコードが埋め込まれた約600のIPアドレスを特定。この脆弱性を利用した攻撃が特に重要インフラに対して確認され、国内外で影響が広がっている。
- 詳しくは:X-Force uncovers global NetScaler Gateway credential harvesting campaign
- 注目ポイント: 重要インフラに影響を与える脆弱性が、既に識別され、修正された後も、新たな手法で再び悪用されている。攻撃者は絶えず方法を変え、セキュリティ対策を迂回するため、企業はアクティブな防御策の更新と従業員教育の重要性を認識する必要がある。
3. 国交省が強化策を発表: 港湾のセキュリティは次の段階へ
国交省は、港湾セキュリティを強化するための新たな指針を発表した。これには、VPNアクセスの制限、機器の定期的な交換、ユーザー認証の強化、不正ログインの検知機能実装などが含まれる。USBメモリの使用は最小限に抑え、必要な場合には厳重なウイルスチェックが求められる。
また、CISOを指定し、情報セキュリティ体制の整備が強調された。これらの対策は、国内の港湾業界のセキュリティレベルを段階的に向上させ、サイバー攻撃から保護することを目的としている。
- 詳しくは:サイバー攻撃で止まった名古屋港、必要なのは驚くほどシンプルな対策
- 注目ポイント:国交省が港湾セキュリティの現状を認識し、具体的かつ段階的な対策を講じている。 これらの対策が国内港湾のサイバーセキュリティレベルを国際基準に引き上げ、将来的なサイバー攻撃のリスクを軽減することに寄与することを期待したい。
4. 富士ソフト、標的型攻撃で内部資料20件が流出
富士ソフトがサイバー攻撃の標的にされ、内部資料20件が流出した。開発環境には影響はないという。
攻撃は標的型で、同社のセキュリティチームがアクセスを遮断し、追加的な多重防御も講じており、攻撃活動は停止しているという。
流出資料は作業上のもので、顧客関連資料は含まれていない。外部協力の下、サーバーログの調査を継続していく方針。
- 詳しくは: 富士ソフト_当社の社内システムに対する不正アクセスについて(10/6追記)
- 注目ポイント: 富士ソフトのセキュリティオペレーションセンター(SOC)が攻撃を検知し、それに対応した点は、組織が有効な監視メカニズムとインシデント対応能力を持っていたことを示している。
5. 10大セキュリティ構成ミスを米当局が発表
米NSAとCISAは、大規模組織で一般的なネットワーク構成ミスのトップ10を発表。これには、デフォルトの設定使用、不適切な権限分離、不十分な監視、セグメンテーション不足、劣悪なパッチ管理などが含まれる。
これら構成ミスについては、成熟したサイバー衛生体制を持つ企業を含め、多くの大規模組織における傾向を示していると指摘。ネットワーク防衛における負担を減らすためにも、ソフトウェアメーカーが「セキュリティバイデザイン」の原則を実装する重要性を訴えている。
- 詳しくは: NSA and CISA Red and Blue Teams Share Top Ten Cybersecurity Misconfigurations
- 注目ポイント:「セキュリティバイデザイン」の重要性が強調されており、セキュリティは後付けではなく、システムの設計段階から組み込むべきであるというメッセージが明確に伝えられている。詳しいランキングや構成ミスに対する緩和策などは参考URLから確認してほしい。
最後までお読みいただき、有難うございます。
【お問い合わせ窓口】
株式会社 サイバープロテック ニュース編集係
102-0074 東京都千代田区九段南1―5-6 りそな九段ビル5F
TEL 03-6262-0595