- 2023-10-31
株式会社サイバープロテックのサイバーセキュリティアカデミー(サイアカ)より、サイバーセキュリティに関する最近のインシデントや最新の動向などの情報をシェアする目的で毎月2回程度ニュースレターを発信させていただきます。今回が2023年10月第2回目のニュースレターとなります。
1. ランサムウェア感染組織の平均被害金額は2386万円
日本ネットワークセキュリティ協会(JNSA)の調査によると、サイバー攻撃被害組織の中で、ランサムウェア感染の平均被害額は約2386万円。対応の平均工数は27.7人月で、復旧できたデータの割合は50%。
Emotet感染の平均被害額は約1030万円、対応の平均工数は2.9人月。多くの組織は取引先や顧客からの連絡で感染を知ったという。
- 詳しくは:サイバー攻撃被害組織のアンケート調査について
- 注目ポイント:Emotet感染の半数近くの組織が第三者からの連絡で感染を知ったという。内部のモニタリング体制の強化が求められる。
2. F5社「BIG-IP」に認証バイパスの脆弱性
F5ネットワークス社の製品「BIG-IP」(複数のシステムのネットワークを統合、障害防止、暗号化通信などの機能を提供する負荷分散装置)において、認証をバイパスする深刻な脆弱性「CVE-2023-46747」が発覚。この脆弱性により、リモートからの不正コマンド実行が可能となる。CVSSv3.1による評価ではベーススコア「9.8」と「クリティカル」評価。
F5は複数の「BIG-IP」バージョン向けにホットフィクスをリリースしている。この脆弱性はPraetorianによって発見され、10月4日にF5に報告された。
- 詳しくは:K000137353
- 注目ポイント:この脆弱性は「リクエストスマグリング(攻撃者がウェブサーバーやリバースプロキシの間の通信の不整合を利用して、不正なHTTPリクエストを挿入(”smuggle”)する技術)」のタイプであり、その性質上、迅速な対応が必要とされる。
3. Oracle、四半期定例パッチを公開 – のべ387件の脆弱性を修正
Oracleは、四半期定例の「クリティカルパッチアップデート(CPU)」を公開し、387件の脆弱性に対応。この中には、Oracleの主要製品やサードパーティ製コンポーネントの脆弱性が含まれる。
総数387件のうち、CVEベースでの実数は176件。特に、218件は認証なしでネットワーク経由での攻撃が可能。そして、191件がCVSSv3.1ベーススコア「7.0」以上とされ、極めて深刻な42件は「9.0」以上、その中の40件は「9.8」または「9.9」と評価した。
- 詳しくは:Oracle Critical Patch Update Advisory – October 2023
- 注目ポイント:このアップデートにはOracleの数多くの主要製品が含まれている。Oracle製品を使用する全ての組織は、直ちにCPUを適用する必要がある。
4. クラウドストレージサービス「RICOH Drive」に不正アクセス
リコーのクラウドストレージ「RICOH Drive」がサイバー攻撃を受け、ユーザー情報が外部に流出した可能性がある。この攻撃は「XML外部実体参照(XXE)」の脆弱性(XML の特殊構文をアプリケーションが解析する際に発生する脆弱性)を利用したもので、15分間の間に実施された。
合計4244件のログインIDが対象で、その中の3件は暗号化されたパスワード、別の3件はログインID、暗号化されたパスワード、氏名、メールアドレスが含まれる。保存されたファイルの流出は確認されていない。
- 詳しくは: 不正アクセスによる情報流出に関するお知らせとお詫び
- 注目ポイント:攻撃がXXE脆弱性を利用しており、比較的短時間での攻撃であった。ユーザーの方は、パスワードの変更を推奨する。
5. OpenSSL に暗号鍵と初期化ベクトルの長さに関する処理の問題
IPAとJPCERT/CCは、OpenSSLの暗号鍵と初期化ベクトル(IV)の処理に問題があると「JVN」で発表。特定のバージョン(OpenSSL 3.1および3.0)で、鍵やIVの長さに関する処理で切り捨てやオーバーフローが起こりうる。
この問題は、機密性の損失やメモリ例外を引き起こす可能性がある。特定の関数を使用すると、提供されたOSSL_PARAM配列内の鍵やIVの長さが正しく反映されない。
RC2、RC4、RC5、CCM、GCM、OCBの暗号と暗号化モードが影響を受ける。
OpenSSL Projectはこの脆弱性を修正した新しいバージョンをリリースした。
- 詳しくは: OpenSSL Security Advisory [24th October 2023]
- 注目ポイント:現行システムで使用しているOpenSSLのバージョンを確認し、影響を受ける場合は即座に対応措置をとってほしい。
6. カシオ 学習アプリで個人情報12万件余流出
カシオは、自社のICT教育アプリ「ClassPad.net(クラスパッド ドット ネット)」のシステムへの不正アクセスにより、「ClassPad.net」に登録されている国内外の一部のお客様の個人情報が、外部に漏えいしていたことが10月11日に社内調査で発見されたことを10月18日に公表した。 原因は、所管部門におけるシステムの誤操作、及び、不十分な運用管理により、開発環境のネットワークセキュリティ設定の一部が解除状態であったことによる。
国内で個人と1,108の教育機関の計91,921件、海外で48の国と地域のお客様の計35,049件の(氏名、メールアドレス、学校名等)が漏えいした。
- 詳しくは:https://www.casio.co.jp/release/2023/1018-incident/
- 注目ポイント:本番環境ではなく、開発環境のデータベースが狙われた。開発環境におけるネットワーク及びデータベースに対するセキュリティについても今一度点検する必要がある。
7. ビッグモーター 不正アクセスによる個人情報漏洩の可能性
10月30日にビッグモーターは、自社が運営するウェブサイトに対して、第三者からの不正アクセスにより、2016年11月から約7年分のお問い合わせフォームの個人情報(氏名、住所、電話番号、メールアドレス等)が漏えいした可能性があると発表した。 8月18日に本不正アクセスは発見されていたとのことである。クレカ情報やマイナンバー情報は含まれていない。
- 詳しくは:https://www.bigmotor.co.jp/lib/news/news_list.php?id=703&page=
- 注目ポイント:不正アクセスの発見から公表まで2か月半経過しており、個人情報の件数も含めタイムリーな情報公開が求められる。
最後までお読みいただき、有難うございます。
【お問い合わせ窓口】
株式会社 サイバープロテック ニュース編集係
102-0074 東京都千代田区九段南1―5-6 りそな九段ビル5F
TEL 03-6262-0595