2020年4月の気になるセキュリティニュース ~テレワーク環境でのセキュリティ対策とは~ セキュリティニュース

2020年5月20日

はじめに

本コラムは、2020年4月に公開されたセキュリティ記事などを基にした「気になるセキュリティニュース」を公開します。
特に注目しているセキュリティ情報を厳選し、簡潔にまとめています。
日々のセキュリティ対策にご活用いただければと思います。

セキュリティニュース一覧

マルウェア・不正アクセス関連

・教育機関向けSaaS「Classi」への不正アクセスについて
Classi株式会社は、教育機関向けのSaaS「Classi」について、第三者の不正アクセスにより、約122万人分のユーザIDやパスワードを暗号化した文字列などが閲覧できる状態になっていたことを発表しました[1]。
同社では、新型コロナウイルスの感染拡大防止に伴い臨時休校している高等学校に対し、機能限定版を一部無償提供していました。
これらの情報を第三者に悪用されないよう、同社ではユーザにパスワードを変更するよう呼びかけています[2]。
現在は必要なセキュリティ対策を完了しており、今後は再発防止に努めるとのことです。

・任天堂「ニンテンドーネットワークID」に対する不正ログインについて
任天堂株式会社は、ゲームソフトなどをインターネット上で購入する際に使う個人のアカウントに不正にログインされる被害が起きたことを発表しました[3]。
計16万件が被害を受け、氏名や生年月日などの個人情報が流出したほか、不正にクレジットカードが利用された可能性もあるとのことです。
同社では、被害を受けた可能性のあるユーザへ連絡し、パスワードの変更や購入履歴の確認を求めるとしています。
また、今回の不正ログインに関連した不正利用などの被害が発生した場合には、個別に調査した上で購入の取り消しなどの対応を行うとのことです[4]。

主要なOS、ミドルウェアにおけるインシデント

・ZOOMの脆弱性対策について
IPAは、ズーム・ビデオ・コミュニケーションズが提供するビデオ会議サービス「ZOOM」のWindowsクライアントのチャット機能において、UNC(Universal Naming Convention)パスの処理に関する脆弱性が確認されたことを公開しました。
悪意のあるユーザの用意したハイパーリンクをクリックすることで、認証情報の窃盗や任意の実行可能ファイルを起動される可能性があります。
対象となる製品を利用している場合には、本脆弱性への対策を速やかに実施することが推奨されています[5]。
また、本サービスの偽アプリが検索サイトの結果に紛れており、偽アプリをインストール後にセキュリティ警告が表示され、サポート料金を請求されたという相談も複数寄せられているとのことです。
インストール時には、検索サイトではなく信頼できる正規サイトからダウンロードするよう注意喚起されています[6]。
※4月末時点の情報のため、最新情報をコラムにて掲載しています。(6月10日更新)

・OpenSSLの脆弱性(CVE-2020-1967)に関する注意喚起
JPCERT/CCは、OpenSSLの脆弱性(CVE-2020-1967)に関する注意喚起を公開しました[7]。
SSLおよびTLSの機能を提供するオープンソースのライブラリであるOpenSSLにおいて、サービス運用妨害(DoS)の脆弱性が確認されたとのことです。
この脆弱性が悪用された場合、OpenSSLを実行しているサーバおよびクライアントアプリケーションにおいて、サービス運用妨害(DoS)攻撃が行われる可能性があります。
本脆弱性への対策を速やかに実施することが推奨されています[8]。

その他

・テレワークを行う際のセキュリティ上の注意事項
IPAは、増加するテレワーク利用者に向けたセキュリティ上の注意事項を公開しました[9]。
所属する企業からテレワーク環境が提供されている場合だけではなく、提供されていないケースについても公開しています。
所属する企業が定めた規定やルールをよく理解し、順守することが必要とし、自宅のPCなどで業務を行う勤務者に対しては、自身によるセキュリティ対策を強く意識する必要があるとしています。
また、修正プログラムの適用やセキュリティソフトの導入といった、「日常における情報セキュリティ対策」の実施も呼びかけています[10]。
※KCCSでは、テレワークセキュリティ相談窓口を開設しておりますのでご活用ください。

テレワークセキュリティサービス
~テレワークセキュリティ相談窓口・セキュアテレワークサービス無償提供開始~

出典

最後に

世の中で起こっているセキュリティニュースの状況をまとめて掲載することで、
読者の皆様がよりセキュリティに興味を持っていただき、セキュリティ対策の推進に活用いただければと考えています。

京セラコミュニケーションシステム株式会社
セキュリティニュースチーム

掲載されている情報は、発表日現在の情報です。最新の情報と異なる場合がありますのでご了承ください。

ページトップへ