2019年9月の気になるセキュリティニュース ~SSL-VPN機能を備えたファイアウォール製品の脆弱性対策は早急に~ OWL Eyesセキュリティニュース

2019年10月25日

はじめに

本コラムは、2019年9月に公開されたセキュリティ記事などを基にした「気になるセキュリティニュース」を公開します。
特に注目しているセキュリティ情報を厳選し、簡潔にまとめています。
日々のセキュリティ対策にご活用いただければと思います。

セキュリティニュース一覧

不正アクセス情報

・エクアドルでほぼ全国民の個人情報流出の恐れ
9月16日、南米のエクアドル政府は、国民ほぼ全員を含む約2000万人分の、生年月日、出生地、個人識別番号、銀行口座残高などの個人情報が流出したことを公表しました。
同国のIT企業が「Elasticsearch」のサーバに個人情報を保管しており、パスワード無しでアクセスできる状態だったことが原因として報道されています[1]。

この情報流出に気づいたサイバーセキュリティの監視を手掛ける米セキュリティ組織は、銀行口座を不正利用するために十分な情報が流出していると警告しています。
また、エクアドルのモレノ大統領は同日、事態収束に向けて取り組むことを発表し、個人情報の保護に関する法律案を国会へ起草するとのことです[2]。

主要なソフトウェアの脆弱性情報

・SSL-VPN機能を備えたファイアウォール製品に深刻な脆弱性
9月6日、JPCERTコーディネーションセンター(JPCERT/CC)は、SSL-VPN機能を備えたファイアウォール製品(Palo Alto Networks、Fortinet、Pulse Secure)に脆弱性が見つかったとして、ユーザに注意を呼びかけています。
米セキュリティベンダーによれば、8月31日時点でこの脆弱性を抱えたまま運用されているホストは世界で1万471台あり、そのうち1381台が日本国内にあるとのことです[3]。

本脆弱性を悪用された場合に、攻撃者がリモートから任意のコードを実行できる可能性や、任意のファイルを読み取り、認証情報などを取得される可能性があります。
JPCERT/CCによれば、脆弱性を悪用するコードは広く出回っており、該当のサイバー攻撃が既に確認されているとのことです。
対象となるシステムを使用している場合、早急に対策を実施することを推奨します[4]。

・マイクロソフトセキュリティ更新プログラム公開(定例外も公開)
9月11日、マイクロソフトから9月のセキュリティ更新プログラムが公開されました[5][6]。
同23日には、追加でMicrosoft Internet Explorerの脆弱性に関するセキュリティ更新プログラムが公開されています[7][8]。
これらには、深刻度が「緊急」の脆弱性が含まれています。
マイクロソフトの情報によると、23日に公開された脆弱性については、本脆弱性を悪用した攻撃が発生しているとの情報が公開されています。
セキュリティ更新プログラムの早期適用を推奨します。

その他(セキュリティコンテンツ情報など)

・中小企業のCISOやセキュリティ担当者を支援する「MY CISO ハンドブック」公開
9月9日、日本ネットワークセキュリティ協会(JNSA)は、中小企業のCISOがセキュリティ業務を遂行するうえで、明確にすべき項目を例示した資料「MY CISO ハンドブック テンプレート」を公開しました。
同資料は、中小企業のCISOやセキュリティ担当者が、セキュリティに関わる業務を執行し、経営陣と適切なコミュニケーションを進めるうえで明確にすべき項目と内容を例示したものです。
JNSAでは、2018年5月にCISOの業務をサポートする「CISOハンドブック」を公開していましたが、セキュリティ担当の兼任が多く、明確な責任者が決まっていないことが多い中小企業には適さない内容であったため、今回のテンプレート公開に至りました。
本テンプレートでは、現状や運用状況の把握、経営陣への報告におけるポイントを取りまとめており、事件や事故において最低限求められる対応手順についても解説されています。
同資料の内容を、自組織に則した内容に読み替えることで、組織の現状や方針を取りまとめる際に役立つとのことです[9][10]。

出典

[1]エクアドルでほぼ全国民の個人情報流出の恐れ--捜査や対策進む - ZDNet Japan
https://japan.zdnet.com/article/35142799//

[2]全国民の個人情報が流出 エクアドルで2000万人分 - 日本経済新聞
https://www.nikkei.com/article/DGXMZO49918550Y9A910C1000000//

[3]売れ筋ファイアウォール製品に深刻な脆弱性、国内だけで1000台が危ない状態 - 日経XTEC
https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00598/073100029/#/

[4]複数のSSL VPN製品の脆弱性に関する注意喚起 - JPCERT
https://www.jpcert.or.jp/at/2019/at190033.html/

[5]2019年 9月マイクロソフトセキュリティ更新プログラムに関する注意喚起 - JPCERT
https://www.jpcert.or.jp/at/2019/at190036.html/

[6]2019年9月のセキュリティ更新プログラム - Microsoft
https://portal.msrc.microsoft.com/ja-JP/security-guidance/releasenotedetail/24f46f0a-489c-e911-a994-000d3a33c573/

[7]Microsoft Internet Explorer の脆弱性 (CVE-2019-1367) に関する注意喚起 - JPCERT
https://www.jpcert.or.jp/at/2019/at190037.html/

[8]CVE-2019-1367 | スクリプト エンジンのメモリ破損の脆弱性 - Microsoft
https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2019-1367/

[9]中小企業のCISOやセキュリティ担当者を支援する資料 - Security NEXT
http://www.security-next.com/108093/

[10]MY CISO ハンドブック(CISO支援ワーキンググループ)- JNSA
https://www.jnsa.org/result/2019/act_ciso/index.html/

最後に

世の中で起こっているセキュリティニュースの状況をまとめて掲載することで、
読者の皆様がよりセキュリティに興味を持っていただき、セキュリティ対策の推進に活用いただければと考えています。

京セラコミュニケーションシステム株式会社
セキュリティニュース選定チーム

掲載されている情報は、発表日現在の情報です。最新の情報と異なる場合がありますのでご了承ください。

ページトップへ