2023年3月のセキュリティニュースまとめ

のの

2023年3月に起こったセキュリティニュースのまとめです。
啓蒙活動などにご利用いただければと思います。

サマリー

  • 不正アクセス/情報流出/改ざん

    • 3月2日、国土交通省が所管する河川カメラにおいて、海外からの不正アクセスがあったとの報道がありました。

    • 3月30日、日本盛株式会社より、同社の業務用サーバにおいてランサムウェアに感染し、顧客のクレジットカード情報が流出した可能性があるとの公表がありました。

    • 3月31日、株式会社NTTドコモより、同社が業務委託を行っている企業において、業務で使用しているパソコンから顧客情報が流出した可能性があるとの公表がありました。

  • ウィルス/脆弱性

    • 3月8日、JPCERT/CC より、マルウェア「Emotet(※1)」において、メールに添付された Zip ファイルを展開後、500MB を超える doc ファイルを展開する新たな手口を観測したとの公表がありました。

    • 3月15日、JPCERT/CC より、Microsoft が提供する製品の脆弱性を修正する3月のセキュリティ更新プログラムに関する注意喚起がありました

    • 3月、CISA(米国土安全保障省サイバーセキュリティ・インフラストラクチャ・セキュリティ庁)が公開する悪用されている既知の脆弱性のカタログである「KEV(Known Exploited Vulnerabilities)」に、新たに18件の脆弱性が追加されました

  • その他

    • 3月7日、JPCERT/CC より、産業用制御システム(ICS)におけるセキュリティ対策状況を自己評価するためのツール「J-CLICS攻撃経路対策編」が公開されました

    • 3月16日、IPA(独立行政法人情報処理推進機構)より、「ECサイト構築・運用セキュリティガイドライン」が公開されました[30][31][32]。
      3月23日、CISA(米国土安全保障省サイバーセキュリティ・インフラストラクチャ・セキュリティ庁)より、Microsoft が提供するクラウドサービス「Microsoft Azure」、「Azure Active Directory」、「Microsoft 365」で利用できるインシデント調査ツール「Untitled Goose Tool」が公開されました

    • 3月28日、警視庁より、家庭用ルータにおける不正利用に関する注意喚起がありました

詳細は以下からご確認ください。

不正アクセス/情報流出/改ざん

 3月2日、国土交通省が所管する河川カメラにおいて、海外からの不正アクセスがあったとの報道がありました[1][2]。
 報道によると、1月中旬頃、回線事業者から同カメラの通信量が数日間で異常な数値になっているとの連絡があり、調査を行ったところ、海外のサーバを経由した不正アクセスの形跡が確認され、カメラに対して何かしらの遠隔操作が行われた可能性があることが判明したとのことです。
 同省は、5月を目標に不正アクセスに対する対策として機器の交換及び、通信ポートの閉塞とパスワードの再設定を行い、再開作業を進めるとしています[3]。

 3月30日、日本盛株式会社より、同社の業務用サーバにおいてランサムウェアに感染し、顧客のクレジットカード情報が流出した可能性があるとの公表がありました[4]。
 本件は、2022年9月18日にデータセンターの管理会社から同サーバに不具合が生じているとの報告を受け、調査を行ったところ、同社が導入している VPN 機器の脆弱性を悪用した同サーバに対する第三者からの不正アクセスの形跡があり、これによりランサムウェアに感染し、データが暗号化されていることが判明、その後「通信販売(電話)」及び、「日本盛オンラインショップ」を停止したとのこと。流出した可能性があるのは、2016年10月6日~2022年9月20日に通信販売(電話)で注文した方のクレジットカード番号(クレジットカード番号・有効期限・氏名)23名分で、同社では従来からクレジットカード情報が記載されたデータはサーバに保存しないルールとなっていたものの、一部で徹底ができておらず、一部の顧客のクレジットカード情報が記載された注文書やメモの画像が保存されていたとのことです。
 同社は、今回の事態を厳粛に受け止め、調査結果を踏まえたシステムのセキュリティ対策及び、監視体制の強化を行うことで再発防止策を図るとしています。

 3月31日、株式会社NTTドコモより、同社が業務委託を行っている企業において、業務で使用しているパソコンから顧客情報が流出した可能性があるとの公表がありました[5]。
 本件は、3月30日、同社が提供する ISP サービス「ぷらら」及び、「ひかりTV」などに関する業務を委託している企業において、業務に使用しているパソコンから顧客の個人情報が流出した可能性があることをネットワーク監視によって確認されたとのこと。流出した可能性があるのは、同サービスを使用している方の個人情報(氏名・住所・電話番号・メールアドレス・生年月日・フレッツ回線ID・顧客番号)最大で約529万件とのことです。
 同社は、事象確認後、流出元と想定されるパソコンをネットワークから隔離し、継続して調査を行うとしています。

ウィルス/脆弱性

 3月8日、JPCERT/CC より、マルウェア「Emotet(※1)」において、メールに添付された Zip ファイルを展開後、500MB を超える doc ファイルを展開する新たな手口を観測したとの公表がありました[6]。
 ファイルサイズを大きくすることで、アンチウィルス製品などでの検知回避を図っているとみられ、また、3月16日には、Microsoft OneNote 形式のファイル(.one)を添付するメールが新たに観測され、ファイル実行後に画面上のボタンを押下すると、ボタンの裏に隠れているスクリプトが実行され、Emotet の感染に繋がる可能性があるとのことです。
 Emotet の一般的な対策などは過去に掲載していますので、詳細はこちらをご確認ください。

 3月15日、JPCERT/CC より、Microsoft が提供する製品の脆弱性を修正する3月のセキュリティ更新プログラムに関する注意喚起がありました[7]。
 これらの脆弱性が悪用された場合、リモートの攻撃者によって任意のコードが実行される可能性があるとのこと。
 CVE-2023-23397は、Microsoft Outlook for Windows における権限昇格の脆弱性で Microsoft は同脆弱性を悪用する限定的な攻撃を確認しているとし、CVE-2023-24880は、Windows SmartScreen のセキュリティ機能をバイパスする脆弱性で発見報告した Google は、ランサムウェアの感染に繋がるファイルを配布する活動で同脆弱性を悪用されていたと公開しているとのことです[8]。
 JPCERT/CC は、同製品を使用している場合、Microsoft Update もしくは、Windows Update などを用いて、セキュリティ更新プログラムを適用するよう呼びかけています。

 3月、CISA(米国土安全保障省サイバーセキュリティ・インフラストラクチャ・セキュリティ庁)が公開する悪用されている既知の脆弱性のカタログである「KEV(Known Exploited Vulnerabilities)」に、新たに18件の脆弱性が追加されました[9]。
追加された脆弱性は以下となります。

  1. Teclib GLPI におけるリモートからコードが実行される脆弱性「CVE-2022-35914」[10]

  2. Apache Spark におけるコマンドインジェクションの脆弱性「CVE-2022-33891」[11]

  3. Zoho ManageEngine ADSelfService Plus におけるリモートからコードが実行される脆弱性「CVE-2022-28810」[12]

  4. Plex Media Server におけるリモートからコードが実行される脆弱性「CVE-2020-5741」[13]

  5. XStream におけるリモートからコードが実行される脆弱性「CVE-2021-39144」[14]

  6. Fortinet FortiOS におけるパストラバーサルの脆弱性「CVE-2022-41328」[15]

  7. Microsoft Windows SmartScreen におけるセキュリティ機能をバイパスする脆弱性「CVE-2023-24880」[16]

  8. Microsoft Office Outlook における権限昇格の脆弱性「CVE-2023-23397」[17]

  9. Adobe ColdFusion におけるリモートコード実行を可能にする不適切なアクセス制御の脆弱性「CVE-2023-26360」[18]

  10. Arm Mali GPU Kernel Driver における未特定の脆弱性「CVE-2022-22706」[19]

  11. Google Chrome における Use After Free(※2)の脆弱性「CVE-2022-3038」[20]

  12. Linux Kernel における Use After Free の脆弱性「CVE-2023-0266」[21]

  13. Arm Mali GPU Kernel Driver における Use After Free の脆弱性「CVE-2022-38181」[22]

  14. Apple iOS/iPadOS 及び、macOS における境界外書き込みの脆弱性「CVE-2021-30900」[23][24]

  15. Fortra Cobalt Strike Teamserver におけるクロスサイトスクリプティング(※3)の脆弱性「CVE-2022-39197」[25]

  16. Fortra Cobalt Strike のユーザインターフェースにおけるリモートからコードが実行される脆弱性「CVE-2022-42948」[26]

  17. Samba におけるリモートからコードが実行される脆弱性「CVE-2017-7494」[27]

  18. Microsoft Internet Explorer におけるメモリ破損の脆弱性「CVE-2013-3163」[28]

 いずれも悪用が確認されている脆弱性となるため、利用している場合は、各ベンダーの公開情報をもとにアップデートを行うことを推奨します。

その他

 3月7日、JPCERT/CC より、産業用制御システム(ICS)におけるセキュリティ対策状況を自己評価するためのツール「J-CLICS攻撃経路対策編」が公開されました[29]。
 本ツールは、制御システムに存在する代表的な攻撃経路のセキュリティ脅威と対策の状況をセルフチェックすることで、今後の対策・検討を行う際に活用できるものとなり、「各攻撃経路で想定される個々の攻撃手順に対するセキュリティ対策の実施有無」、「実施済みセキュリティ対策で得られる可能性のある効果」、「攻撃手順、成立条件に基づく未実施のセキュリティ対策の優先度付け」を明確にすることを想定して作成されています。
 構成は、対策の実施状況を確認する「チェックリスト」及び、その「設問項目ガイド」、攻撃経路ごとに攻撃が成立する条件を整理した「対策マップ」で構成されており、攻撃者視点で作成されているため、ICS のセキュリティ対策をより高めるための評価を行うことができるとのことです。

 3月16日、IPA(独立行政法人情報処理推進機構)より、「ECサイト構築・運用セキュリティガイドライン」が公開されました[30][31][32]。
 本ガイドラインは、近年、EC サイトからの個人情報及び、クレジットカード情報の流出事件が多数発生していることを受け、その被害の大半を中小企業の自社構築サイトであり、セキュリティ対策の必要性が十分に理解されていないことで適切なセキュリティ対策が行われず被害を招いている状況であることから、ECサイトのセキュリティ対策を強化するためにECサイト構築及び、運用時のセキュリティ対策をまとめたものとなります。
 付録には、構築時のセキュリティ対策要件、運用時のセキュリティ対策要件をもとに、ECサイトのセキュリティ対策の見直しや外部委託の依頼時に便利なチェックリストが収録されています。

 3月23日、CISA(米国土安全保障省サイバーセキュリティ・インフラストラクチャ・セキュリティ庁)より、Microsoft が提供するクラウドサービス「Microsoft Azure」、「Azure Active Directory」、「Microsoft 365」で利用できるインシデント調査ツール「Untitled Goose Tool」が公開されました[33][34]。
 本ツールは、SIEM 製品などの長期的なログソリューションにログを取り込んでいない環境でも、インシデント後にログをエクスポートすることでインシデント対応チームを支援するように設計されており、Azure Active Directory のサインインログと監査ログ、Microsoft 365 の統合監査ログ、Microsoft Azure のアクティビティログに加え、Microsoft Defender for Endpoint のデータや、Microsoft Defender for IoT のアラートを収集することで、設定状況、ログのエクスポート、分析などに活用できるとのことです。

 3月28日、警視庁より、家庭用ルータにおける不正利用に関する注意喚起がありました[35][36][37]。
 同庁によると、サイバー攻撃事案の捜査過程で、家庭用ルータがサイバー攻撃に悪用され、従来の対策のみでは対応ができないことが判明したとのこと。本件は、攻撃者が家庭用ルータを外部から不正に操作して搭載機能を有効化するもので、一度設定変更をされると従来の対策のみでは不正な状態は解消されず、永続的に不正利用可能な状態になってしまうとのことです。
 同庁は、推奨する対応として、従来の対策である「初期設定の単純なIDやパスワードは変更する」、「常に最新のファームウェアを使用する」、「サポートが終了したルータは買い替えを検討する」に加え、新たに「見覚えのない設定変更がなされていないか定期的に確認する」を行う必要があるとし、具体的な対応として「見覚えのない「VPN機能設定」や「DDNS機能設定」、「インターネット(外部)からルータの管理画面への接続設定」の有効化がされていないか確認する」、「VPN機能設定に見覚えのないVPNアカウントが追加されていないか確認する」、「見覚えのない設定があった場合、ルーターの初期化を行い、ファームウェアを最新に更新した上、ルーターのパスワードを複雑なものに変更する」を定期的に確認し、問題があった場合は、その都度是正するよう呼びかけています。

用語集

  • ※1 Emotet
    2014年に確認されたワームの機能を持ったマルウェア。当初はオンラインバンキングを標的としたマルウェアであったが、現在はOutlookのメール収集機能を持ち、メールの情報を収集するために悪用されている。

  • ※2 Use After Free
    開放したメモリに対して再びアクセスが可能になる脆弱性。

  • ※3 クロスサイトスクリプティング
    Web アプリケーションにおいて、フォームなどのユーザの入力項目などから任意のコードを挿入できる脆弱性。

参考

[1]河川の監視カメラ、海外サーバーから不正アクセスで全国調査…遠隔操作された可能性 : 読売新聞
https://www.yomiuri.co.jp/national/20230302-OYT1T50160/
[2][PDF - 国土交通省]川の防災情報における河川カメラ画像について
https://www.mlit.go.jp/report/press/content/001589868.pdf
[3][PDF - 国土交通省]配信を停止している簡易型河川監視カメラの再開について
https://www.mlit.go.jp/report/press/content/001598899.pdf
[4]弊社サーバーへの不正アクセスによる クレジットカード情報等漏洩に関するお詫びとお知らせ | もっと、美味しく、美しく。日本盛株式会社
https://www.nihonsakari.co.jp/news/p/356
[5]ドコモからのお知らせ : 【お詫び】「ぷらら」及び「ひかりTV」などをご利用のお客さまの個人情報流出の可能性のお知らせとお詫び | お知らせ | NTTドコモ
https://www.docomo.ne.jp/info/notice/page/230331_00_m.html
[6]マルウェアEmotetの感染再拡大に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220006.html
[7]2023年3月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2023/at230005.html
[8]Magniber ランサムウェア攻撃者は、Microsoft SmartScreen バイパスの亜種を使用していました
https://blog.google/threat-analysis-group/magniber-ransomware-actors-used-a-variant-of-microsoft-smartscreen-bypass/
[9]Known Exploited Vulnerabilities Catalog | CISA
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
[10]GLPI 10.0.3 disponible - GLPI Project
https://glpi-project.org/fr/glpi-10-0-3-disponible/
[11]Apache Mail Archives
https://lists.apache.org/thread/p847l3kopoo5bjtmxrcwk21xp6tjxqlc
[12]CVE-2022-28810 - ManageEngine ADSelfService Plus
https://www.manageengine.com/products/self-service-password/advisory/CVE-2022-28810.html
[13]Security: Regarding CVE-2020-5741 - Announcements - Plex Forum
https://forums.plex.tv/t/security-regarding-cve-2020-5741/586819
[14]XStream - CVE-2021-39144
https://x-stream.github.io/CVE-2021-39144.html
[15]PSIRT Advisories | FortiGuard
https://www.fortiguard.com/psirt/FG-IR-22-369
[16]CVE-2023-24880 - Security Update Guide - Microsoft - Windows SmartScreen Security Feature Bypass Vulnerability
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-24880
[17]CVE-2023-23397 - Security Update Guide - Microsoft - Microsoft Outlook Elevation of Privilege Vulnerability
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-23397
[18]Adobe Security Bulletin
https://helpx.adobe.com/security/products/coldfusion/apsb23-25.html
[19]Mali GPU Driver Vulnerabilities
https://developer.arm.com/Arm Security Center/Mali GPU Driver Vulnerabilities
[20]Chrome Releases: Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2022/08/stable-channel-update-for-desktop_30.html
[21]alsa-pcm-move-rwsem-lock-inside-snd_ctl_elem_read-to-prevent-uaf.patch « queue-5.10 - kernel/git/stable/stable-queue.git - Linux kernel stable patch queue
https://git.kernel.org/pub/scm/linux/kernel/git/stable/stable-queue.git/tree/queue-5.10/alsa-pcm-move-rwsem-lock-inside-snd_ctl_elem_read-to-prevent-uaf.patch?id=72783cf35e6c55bca84c4bb7b776c58152856fd4
[22]Mali GPU Driver Vulnerabilities
https://developer.arm.com/Arm Security Center/Mali GPU Driver Vulnerabilities
[23]iOS 14.8.1 および iPadOS 14.8.1 のセキュリティコンテンツについて - Apple サポート (日本)
https://support.apple.com/ja-jp/HT212868
[24]macOS Big Sur 11.6.1 のセキュリティコンテンツについて - Apple サポート (日本)
https://support.apple.com/ja-jp/HT212872
[25]Out Of Band Update: Cobalt Strike 4.7.1 | Cobalt Strike
https://www.cobaltstrike.com/blog/out-of-band-update-cobalt-strike-4-7-1/
[26]Out Of Band Update: Cobalt Strike 4.7.2 | Cobalt Strike
https://www.cobaltstrike.com/blog/out-of-band-update-cobalt-strike-4-7-2/
[27]Samba - Security Announcement Archive
https://www.samba.org/samba/security/CVE-2017-7494.html
[28]Microsoft Security Bulletin MS13-055 - Critical | Microsoft Learn
https://learn.microsoft.com/en-us/security-updates/securitybulletins/2013/ms13-055
[29]J-CLICS攻撃経路対策編(ICSセキュリティ自己評価ツール)
https://www.jpcert.or.jp/ics/jclics-attack-path-countermeasures.html
[30]ECサイト構築・運用セキュリティガイドライン | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/guide/vuln/guideforecsite.html
[31][PDF - IPA 独立行政法人 情報処理推進機構]ECサイト構築・運用セキュリティガイドライン
https://www.ipa.go.jp/security/guide/vuln/ps6vr7000000acvt-att/000109337.pdf
[32][PDF - IPA 独立行政法人 情報処理推進機構]チラシ
https://www.ipa.go.jp/security/guide/vuln/ps6vr7000000acvt-att/000109338.pdf
[33]Untitled Goose Tool Aids Hunt and Incident Response in Azure, Azure Active Directory, and Microsoft 365 Environments | CISA
https://www.cisa.gov/news-events/alerts/2023/03/23/untitled-goose-tool-aids-hunt-and-incident-response-azure-azure-active-directory-and-microsoft-365
[34]GitHub - cisagov/untitledgoosetool: Untitled Goose Tool is a robust and flexible hunt and incident response tool that adds novel authentication and data gathering methods in order to run a full investigation against a customer’s Azure Active Directory (AzureAD), Azure, and M365 environments.
https://github.com/cisagov/untitledgoosetool
[35][Twitter - 警視庁広報課]
https://twitter.com/MPD_koho/status/1640509482982862849?s=20
[36]家庭用ルーターの不正利用に関する注意喚起について 警視庁
https://www.keishicho.metro.tokyo.lg.jp/kurashi/cyber/notes/router.html
[37]Wi-Fi(無線LAN)ルーターをお使いの方へ 警視庁
https://www.keishicho.metro.tokyo.lg.jp/kurashi/cyber/security/cyber401.html


いいなと思ったら応援しよう!