はじめに
この記事の目的
この記事は日々刻々と変化するサイバーセキュリティ関連のニュースの内、興味深いニュースを筆者の独断と偏見でピックアップしたものです。
日々の情報収集、セキュリティの勉強、セキュリティ全く関心のない経営層への啓蒙などに役立てていただけますと幸いです。
想定読者
- セキュリティ関連の仕事に従事している人
- セキュリティに関わらないけど、少しセキュリティに興味がある人
- セキュリティに興味のある学生
サイバーセキュリティニュース
2021年12月は、4つのニュースをピックアップしました。
1位 Apache Log4j の脆弱性
1位はこれで異論のあるセキュリティ担当者はいないでしょう。
12/10頃に世界的に話題になった、Javaのログ出力ライブラリLog4jの脆弱性です。
多くのセキュリティ担当者がこの脆弱性に対応に忙殺されたのではないでしょうか。
概要
Javaベースのログ出力ライブラリLog4j2で深刻な脆弱性(CVE-2021-44228)を修正したバージョンが公開された。その後も修正が不完全であったことなどを理由に2件の脆弱性が修正された。
広く利用されているライブラリであるため影響を受ける対象が多く存在するとみられ、攻撃が容易であることから2014年のHeartbleed、Shellshock以来の危険性があるとみる向きもあり、The Apache Software Foundationも脆弱性の深刻度を最高(Critical)と評価している。
脆弱性に関連したスキャンや攻撃への悪用が報告されており、脆弱性の悪用による影響発生を考慮した対応が推奨されている。
引用
Log4jの深刻な脆弱性CVE-2021-44228についてまとめてみた
コメント
Log4jによる脆弱性は、CVSSスコア「10.0」となっており、かなり甚大な被害が及ぼされました。
一般に広く使われているため、影響範囲は計り知れず、個人的にはJavaを使用しているシステムの半分近くは使っているのではないかと懸念しております。
※該当バージョンを使用しているかどうかを含めるともう少し少ないかもしれないですが。
幸い、日本の企業で、本脆弱性をついた重大なセキュリティインシデントは報告されていませんが(2022/1/10現在)今後も警戒が必要です。
ちなみに、ベルギー政府へサイバー攻撃があったとのニュースが流れたことがありましたが、続報はなさそうですね、、大事に至っていなければよいのですが、、、、
ベルギー国防省に「Apache Log4j」を悪用したサイバー攻撃
CISAが公表している、Log4jの影響が一覧になっているドキュメントもあります。自社サービス以外のIaaSやSaaSの確認も必須です。
参考
2位 Emotet
11下旬から少しずつ話題に上ることが多かった悪名高きマルウェアEmotet。IPAが正式に活動再開を報告しています。
ビジネスマンなら誰でも使ったことがあるであろうアプリケーション、WordやExcel等からマルウェアに感染するため、完全に防ぐにはITリテラシーの向上が必須です。
概要
Emotetはメールの添付ファイルを主な感染経路とする不正プログラムで、過去にやり取りをしたメールに対する返信などを装ったメールに、パスワード付きZIP形式で圧縮された文書ファイルを添付する。この文書ファイルを開き、文書内のマクロを実行することで、PCにマルウェアが感染する。
11月にEmotetの活動再開が確認されて以降、手口を変化させながら12月現在でも攻撃が続いているという。同機構に少数ながらも企業から被害相談が寄せられていると、注意の徹底を呼び掛けている。
引用
マルウェア「Emotet」の新たな攻撃手法をIPAが公開。Excelファイルの悪用、偽PDF閲覧ソフトをダウンロードさせる手口にも注意を
コメント
今回はPDFに偽造するEmotetが観測されているようで、手口も巧妙化されています。
セキュリティ部門によるテクノロジーでの対策だけでは完全に防ぐことが難しく、従業員への注意喚起、セキュリティ教育が必須です。
また、昨今話題になっているPPAPとも相性が悪いです。
PPAPにより、ファイルが暗号化されることで、Emotetのように外部と通信するようなマクロが組まれている悪質なファイルを、ウイルス検知ソフトが検知できません。
文科省が公表したように、BoxやSharePoint等のクラウドストレージによるファイル共有に切り替えていく必要がありそうです。
参考
3位 LINE Pay5万件顧客情報流出
12月に日本で起こったインシデントの内、一番衝撃を与えたニュースといえばこちらではないでしょうか。
概要
スマートフォン決済大手の「LINE Pay」は12月7日までに、国内外の約13万件の決済金額などの情報が漏えいし、インターネット上で一時閲覧できる状態になっていたと発表した。親会社の通信アプリ大手のLINEで2021年3月に中国の関連会社から利用者の情報が閲覧可能になっていたことが発覚し、データの運用指針を改定したばかり。見直したはずの新体制での流出に個人情報保護の信頼が揺らいでおり、改めて経営管理の在り方が問われる。
コメント
2021年3月に話題になった、LINEの利用者情報が中国の関連会社から閲覧可能だった件に加えて、LINEにとっては2021年2度目の停滞インシデントとなってしましました。
今回流出した情報は、氏名や住所、クレジットカード番号は含まれないが、特殊な解析をすると個人を特定できる可能性とのことです。
GitHubから流出したとの情報があります。
近年、開発者のリテラシー不足による、GitHubからの情報流出が頻発しているような気がします。
正しく使えば便利なツールですが、オープンな環境である分、危険と隣り合わせであることを自覚する必要があるでしょう。(自戒の念も込めて)
GitHubに関しては、メルカリのブログに非常に良い記事がありますので、セキュリティ担当者のみならず、開発者も必読です。
GitHub上のsensitive dataを削除するための手順と道のり
(参考)
- LINE Pay、約13万人の決済情報が「GitHub」で公開状態に グループ会社従業員が無断アップロード
- LINE、指針改定でも情報漏洩 揺らぐ信頼
4位 重要インフラ、サイバー防衛義務付け
4位はコチラです。日経新聞の一面になっていたので、一時話題になりました。
概要
政府は情報通信や電力など14分野の重要インフラ事業者にサイバー攻撃(総合・経済面きょうのことば)への備えを義務付ける。経営陣主導の体制整備や対処計画づくりを求める。サプライチェーン(供給網)で使用する機器の安全確保も要請する。2021年度中にも改定する重要インフラ行動計画に明記する。
コメント
近年増加するサイバー攻撃に備え、政府から重要インフラへ体制整備を義務付けることとなりそうです。
出所:情報通信研究機構のNICTER観測レポート
こういった規定はセキュリティ担当としては、遵守しない基準が増えるため骨が折れる一方で、こういった義務があることにより、経営層へセキュリティ強化への説得材料にもなります。
実に5年ぶりの抜本的な改訂になるそうです。セキュリティ担当者はキャッチアップ必須です。※2022年度から施行
参考
番外編 FISC安全対策基準改訂
このニュースは番外編です。2021年12月22日、FISCの安全対策基準がアップデートされました。
(まだ、筆者も改訂の差分を読めていませんが、、、)金融機関に携わっているセキュリティ担当者は必読です。
安全対策基準ってなに??という方はコチラ→(金融機関が情報システムを構築する際の安全対策基準「FISC安全対策基準」とは?
参考
個人的好みによる良コラム
ここからは、個人的に読んでよかった良コラムの紹介です。
- 主戦場はWebブラウザ 忍び寄る「見えないクライアントサイド攻撃」の実態
- 電話番号に届く認証番号を使った「2要素認証」はもはや安全ではない
- 今さら人に聞けないVPN入門…VPNの神話をはぎ取る
- エンドポイントにおける主要な3つのセキュリティ対策とは
最後に
最後まで読んでいただきありがとうございました。
※記事の内容に誤りがありましたら、ご連絡ください。
また、Twitterでは(できるだけ毎日)セキュリティ関連のニュースを配信しています。よろしければのぞいてみてください。
Twitterアカウントはこちら
▼こんな感じ▼
