防衛省、関連企業2社でもサイバー攻撃、防衛機密の流出は否定
~2020年2月の気になるセキュリティニュース~ セキュリティニュース

2020年3月23日

はじめに

本コラムは、2020年2月に公開されたセキュリティ記事などを基にした「気になるセキュリティニュース」を公開します。
特に注目しているセキュリティ情報を厳選し、簡潔にまとめています。
日々のセキュリティ対策にご活用いただければと思います。

セキュリティニュース一覧

マルウェア・不正アクセス関連

・防衛省、関連企業2社でも不正アクセスあったと公表 防衛機密の流出は否定
先月、防衛関連企業へのサイバー攻撃が相次いで公表された問題で、新たに2社が不正アクセスを受けていたことが公表されました[1]。
防衛省、関連企業では、2016、2017年に不正アクセスを確認、防衛省関連の情報を含むファイル250件が不正アクセスを受けました。
もう1社では、2018年に不正アクセスを受け調査したところ、2年以上前から侵入の痕跡があることが分かったとのことです。
2社とも情報流出は確認されていませんが、関係者に謝罪し、再発防止に取り組むとしています。
防衛関連企業への不正アクセスが相次いで明らかになる中、セキュリティ対策などの対応はもちろん、攻撃を受けた後の対応にも注目が集まっています。
経済産業省や総務省は、サイバー攻撃による情報流出が疑われる時点で、速やかに公表すべきであるとの姿勢を示しています[2]。

・公的機関の新型コロナ注意喚起に見せかけた偽メールに注意
国立感染症研究所は、新型コロナウイルスの感染拡大に便乗し、公的機関の注意喚起に見せかけた悪質なメールが出回っているとして注意を呼びかけました[3]。
同所と類似した名称の実在しない組織を差出人としていますが、実際は個人メールアドレスから送信されています。
本文内には、受信者の団体名や個人名が記載されており、感染予防策の実施を求めるとともに「対策はこちら」などとしてリンクをクリックするよう促しているとのことです。
新型コロナウイルスの問題に便乗する攻撃では、1月後半よりマルウェア「Emotet」による攻撃が確認され、セキュリティ機関などが注意喚起を実施しています。
こうした有事の際には、このように実在組織や人物を騙った偽メールや攻撃が増加する傾向にあるため、引き続き注意が必要です[4]。

主要なOS、ミドルウェアにおけるインシデント

・2020年2月マイクロソフトセキュリティ更新プログラムに関する注意喚起
JPCERT/CCは、2020年2月のMicrosoftセキュリティ更新プログラムに関する注意喚起を公開しました。
今回の公開には、1月時点でまだ提供されていなかったMicrosoft Internet Explorerの脆弱性 (CVE-2020-0674) に関する更新プログラムも含まれています。
既に悪用が確認されている脆弱性であるため、対象となる製品を使用している場合には、本脆弱性への対策を速やかに実施することが推奨されています[5]。

・Adobe AcrobatおよびReader、Adobe Flash Playerの脆弱性に関する注意喚起
JPCERT/CCは、Adobe AcrobatおよびReade の脆弱性 (APSB20-05) 、Adobe Flash Player の脆弱性(APSB20-06)に関する注意喚起を公開しました。
脆弱性を悪用したコンテンツをユーザが開いた場合、実行ユーザの権限で任意のコードが実行されたり、情報が窃取されるなどのおそれがあります。
対象となる製品を使用している場合は、本脆弱性への対策を速やかに実施することが推奨されています[6][7]。

・Apache Tomcat の脆弱性 (CVE-2020-1938) に関する注意喚起
JPCERT/CCは、Apache Tomcat の脆弱性 (CVE-2020-1938) に関する注意喚起を公開しました。
この脆弱性が悪用された場合、悪意のある第三者にWebアプリケーションのルートディレクトリにある任意のファイルを読み取られる可能性があります。
また、Webアプリケーションがファイルのアップロードや保存を許可している場合などでは、遠隔の攻撃者により任意のコードが実行される可能性があります。
既に攻撃コードの公開が確認されており、今後被害が拡大する可能性がありますので、対象となる製品を使用している場合は、本脆弱性への対策を速やかに実施することが推奨されています[8][9]。

その他

・不要個人データ、流出防止のためにも消去を - 個人情報保護委員会が注意喚起
個人情報保護委員会は、不要となった個人データの取り扱いについて、情報流出の防止にあたり、消去することは非常に重要であるとして、対策を呼びかけました[10]。
顧客から個人情報を取得した事業者は、データが不要になり消去する際には、復元不可能な方法で消去する必要があると指摘、消去を外部へ委託する場合には、委託先に対する適切な監督を行う必要があるとしています。
また、データが記録された機器や電子媒体の廃棄を請け負った事業者は、安全管理措置や再委託先の監督義務を負うとし、適切な措置を求めています[11]。
昨年末には神奈川県が保有していた個人情報を含む公文書が、廃棄されたハードディスクから漏えいした事件が発生していることからも、改めて適切な対応を実施することが必要と考えられます[12]。

・不正アクセス原因「設定不備」と並び「不明」もトップ、究明の難しさ反映(IPA)
IPAは、2019年に受理した「コンピュータウイルス・不正アクセスの届出状況・届出事例」を発表しました[13]。
このうち2019年の不正アクセス届出件数は89件(内、被害があった届出は56件)であり、届出種別の多い順に「侵入行為」、「なりすまし」、「サービス妨害(DoS)攻撃」となりました。
原因が判明しているものは「設定不備」15件、「ID、パスワード管理の不備」9件となりますが、「不明」も15件あり、原因の特定に至らない事例も多いとしています[14]。
多くの被害は、一般的なセキュリティ施策を実施していれば防げた可能性のあるものとみられ、基本的なセキュリティ上の取り組みを着実に実施することの大切さが分かる結果となりました。
情報システムの運用や管理に携わる方は、これらの被害をひと事として捉えず、まずは、サーバのアクセス制限の状況確認や各種修正プログラムの適用など、基本的なセキュリティ上の取り組みを着実に実践する必要があります[15]。

出典

最後に

世の中で起こっているセキュリティニュースの状況をまとめて掲載することで、
読者の皆様がよりセキュリティに興味を持っていただき、セキュリティ対策の推進に活用いただければと考えています。

京セラコミュニケーションシステム株式会社
セキュリティニュースチーム

掲載されている情報は、発表日現在の情報です。最新の情報と異なる場合がありますのでご了承ください。

ページトップへ