2019年10月の気になるセキュリティニュース ~WindowsOSの延長サポート終了対策は早急に~ OWL Eyesセキュリティニュース

2019年11月21日

はじめに

本コラムは、2019年10月に公開されたセキュリティ記事などを基にした「気になるセキュリティニュース」を公開します。
特に注目しているセキュリティ情報を厳選し、簡潔にまとめています。
日々のセキュリティ対策にご活用いただければと思います。

セキュリティニュース一覧

マルウェア・不正アクセス関連

・警察庁が「Elasticsearchの脆弱性を標的としたアクセスの増加等について」を公開
10月2日、警察庁は「Elasticsearchの脆弱性を標的としたアクセスの増加等について」と題したレポートを公開しました。
Elasticsearchの脆弱性を標的とした宛先ポート9200/TCPに対するアクセスの増加が観測されており、同製品の利用者に注意を呼びかけています[1]。

過去にも同脆弱性を狙うアクセスが確認されていますが、2019年2月中旬ごろより再び増加傾向を観測し、9月には、南米エクアドルにて、同国のIT企業が同サーバに保管していた約2000万人分の個人情報流出が報道されています[2]。
また、既に問題は修正済みですが、10月26日には、Elasticsearchを利用したソフトウェア会社のサーバよりユーザ情報750万件が誤って公開されていた事例が発覚しています[3]。
今回の攻撃増加を受け、同庁は、ソフトウェアのアップデートや適切なアクセス制御などを実施するよう利用者へ注意を呼びかけています[4]。

・個人情報の保護に関する法律に基づく行政上の対応について
10月11日、個人情報保護委員会は、大手通信販売サイトにて顧客の個人情報が流出する問題が発生したことを受け、再発防止や適切な顧客対応を行うよう行政指導を行いました[5]。

同サイトでは、システム変更時の設定不備が原因で、ログイン後に別の利用者の名前や住所、購入履歴などが表示されるトラブルが発生しました。外部からの不正アクセスではなく社内の設定不備が原因とされています。
今回の問題を受け、同委員会では、およそ11万アカウントの利用者の個人情報がほかの利用者に表示された可能性があるとし、顧客への問い合わせに対し確実な対応とともに、再発防止を求めています。
また、ウェブサイト運営事業者に対しては、プログラムの修正やバージョンアップ時に不具合が生じることを避けるため、動作テストを実施するよう改めて注意喚起を行いました[6]。

主要なOS、ミドルウェアにおけるインシデント

・Windows 10バージョン1703および1803のサービス終了通知
10月9日、Microsoftより「Windows 10 Creators Update」(バージョン 1703)のサービス提供終了が発表されました。
11月12日には、「Windows 10 April 2018 Update」(バージョン1803)も、Home、ProおよびPro for Workstationsの各エディションでサービス提供が終了するとのことです[7]。
また、US-CERT から Windows7 および Windows Server2008 R2 の延長サポート終了についての注意喚起 (AA19-290A) が公開されています。
2020年1月14日以降、当該製品に対して、無料テクニカルサポート・ソフトウェアアップデートおよびセキュリティアップデートは行われなくなります[8]。

サポート終了後も当該製品を使用した場合、マルウエアへの感染や情報漏えいなどの被害を受けやすくなるため、注意が必要です。 対象となる製品を使用している場合には、アップグレード等の対策を推奨します。

その他(セキュリティコンテンツ情報など)

・STOP! パスワード使い回し!キャンペーン2019
JPCERT/CCは、10月7日~31日の間「STOP!パスワード使い回し!キャンペーン2019」を展開しました[9]。
このキャンペーンは、複数のオンラインサービスでパスワードを使い回すリスクを紹介し、使い回しを避けるよう呼びかけるものです。
認証情報が流出し、パスワードリスト攻撃などが発生している現状が解説され、注意点や安全なパスワードの設定方法のほか、2段階認証の活用やログイン履歴の確認といったセキュリティ機能の活用なども紹介されています。
同一の認証情報を複数のサービスで使い回していると、どれか1つのサービスから認証情報が漏えいした際に、他のサービスにも不正にアクセスされ、被害に遭う恐れがありますので注意が必要です。

出典

[1]警察庁が「Elasticsearchの脆弱性を標的としたアクセスの増加等について」を公開-JPCERT CC
https://www.jpcert.or.jp/tips/2019/wr193901.html/

[2]エクアドルでほぼ全国民の個人情報流出の恐れ--捜査や対策進む-ZDNet Japan
https://japan.zdnet.com/article/35142799//

[3]Adobe Creative Cloudユーザー、750万件のデータが誤って公開される - YAHOO!ニュース
https://news.yahoo.co.jp/byline/ohmototakashi/20191026-00148396//

[4]Elasticsearch の脆弱性を標的としたアクセスの増加等について - 警察庁
https://www.npa.go.jp/cyberpolice/important/2019/201910021.html/

[5]個人情報の保護に関する法律に基づく行政上の対応について - 個人情報保護委員会
https://www.ppc.go.jp/news/press/2019/20191011_2//

[6]個情委、個人情報流出で「Amazon」に行政指導 - Security NEXT
http://www.security-next.com/108990/

[7]Windows 10バージョン1703および1803のサービス終了通知 - Windows IT Pro Blog
https://techcommunity.microsoft.com/t5/Windows-IT-Pro-Blog/End-of-service-reminders-for-Windows-10-versions-1703-and-1803/ba-p/903715/

[8]Windows 7 および Windows Server 2008 R2 の延長サポート終了について - JPCERTCC
https://www.jpcert.or.jp/newsflash/2019101801.html/

[9]STOP! パスワード使い回し!キャンペーン2019
https://www.jpcert.or.jp/pr/stop-password.html/

最後に

世の中で起こっているセキュリティニュースの状況をまとめて掲載することで、
読者の皆様がよりセキュリティに興味を持っていただき、セキュリティ対策の推進に活用いただければと考えています。

京セラコミュニケーションシステム株式会社
セキュリティニュースチーム

掲載されている情報は、発表日現在の情報です。最新の情報と異なる場合がありますのでご了承ください。

ページトップへ