自動車メーカー取引先にサイバー攻撃、求められるサプライチェーンを含めたセキュリティ対策
~2020年7月の気になるセキュリティニュース~ セキュリティニュース

2020年8月7日

セキュリティニュース一覧

7月のトピックスを紹介します。

先月の自動車メーカーのホンダへのサイバー攻撃に続き、トヨタ自動車の取引先であるTMW社がサイバー攻撃を受け、情報流出が判明しました。
このようにターゲット企業のグループ会社や取引先、工場などのサプライチェーンを狙った攻撃は、企業の生産活動が停止するという事業インパクトだけでなく、ブランドイメージの失墜にもつながりかねません。
企業には、自社のセキュリティ対策だけではなく、サプライチェーンも含めたセキュリティ対策の強化が求められています。

・トヨタ取引先にサイバー攻撃、データ流出か
トヨタ自動車の取引先であるTMW社がサイバー攻撃を受け、情報流出が判明しました[1]。TMWの社内システムに感染したとみられるウイルスは、「MAZE(メイズ)」と呼ばれる標的型ランサムウェアであり、同社では調査を進めているとのことです。
従来のランサムウエアを使った脅迫は、データ復旧と引き換えに金銭を要求するものでしたが、メイズでの攻撃は、企業が拒否するとデータを公開するものとなっています[2]。
標的型ランサムウェアのデータ公開としては、おそらく日本企業初の被害ではないかとの情報も寄せられています。

7月の主なマルウェア・不正アクセス関連の記事を紹介します。

・マルウエア「Emotet」の感染につながるメール 活発化へ
JPCERT/CCは、メールを通じて感染するマルウェア「Emotet」の活動が再び活発化していることへの注意を公開しました。
日本国内では、2020年2月以降Emotetの感染につながるメールは観測されていませんでしたが、7月中旬ごろより再び観測されはじめたとのことです。
今後、国内の組織やユーザにおいても、Emotetの感染被害が増加するおそれがあるため、同センターでは組織内での注意や対策状況の確認を呼びかけています[3]。

・米GPS機器大手がサイバー攻撃 サービス停止
スポーツやフィットネスなどで利用するGPS機器やウェアラブル端末の大手メーカーであるGarmin(ガーミン)がサイバー攻撃を受け、同社が提供する航空・フィットネスアプリなどのサービスで障害が発生しました。
ランサムウェア攻撃により、社内ネットワークと一部の生産システムが暗号化されたためとみられています。
同社ではサービスの復旧と問題調査を進めているとのことです[4]。

・人材派遣会社 最大3万件の個人情報流出
人材派遣会社のアスカが5月下旬にサイバー攻撃を受け、約3万件の個人情報が流出したことが判明しました。
流出した個人情報リストはインターネット上の掲示板に転載され、また同社HPも不正に書き換えられていたことなどが判明しています。
同社は個人情報が漏えいした疑いのあるユーザに対しての連絡や、掲示板への削除要請などをしておらず、また漏えいから一カ月以上も公表がなかったことから、行政上の指導ないし処分が行われる可能性があるとのことです[5]。

7月の主要なOS、ミドルウェアにおけるインシデントを紹介します。

該当する製品を利用されている場合は、システムへの影響などに鑑み、対策などを速やかに実施することが推奨されています。

・Windows DNS Serverの脆弱性(CVE-2020-1350)について
Microsoft社は、Windows DNS Serverのリモートでコードが実行される脆弱性(CVE-2020-1350)についてのセキュリティ更新プログラムを公開しました[6]。
DNSサーバとして構成されている「Windows Server」に影響があり、ワームなどへ悪用される可能性があるとのことです。
同社では、早急にアップデートを実施するよう求めており、すぐに更新できない場合には、回避策を講じるよう利用者へ対応を呼びかけています[7]。

その他、政府・業界動向などに関連する記事を紹介します。

・個人情報漏えいで企業に通知義務 2022年春実施
個人情報保護委員会は、個人情報が漏えいした企業に対し、被害者全員への通知を義務化することを明らかにしました。
現在は企業の判断に委ねられていますが、今後は、サイバー攻撃などの不正アクセスが原因の場合には例外なく通知を義務付け、サイバー攻撃が原因でなくても、情報流出の影響が深刻である場合などは通知義務の対象とするとのことです。
なお報告を怠った企業に対しては、最高で1億円の罰金を科し、悪質な場合は社名も公表するとしています[8]。

・IoT・5Gセキュリティ総合対策2020
総務省は、「IoT・5Gセキュリティ総合対策2020(案)」に対する意見募集の結果および「IoT・5Gセキュリティ総合対策2020」を公表しました。
同省では、2017年に、IoTに関するセキュリティ対策の総合的な推進に向けて取り組むべき課題を整理した「IoTセキュリティ総合対策」を取りまとめ、2019年にはその改定版を取りまとめていました。
今回の改訂では、COVID-19への対応や5Gの本格開始に伴うセキュリティ対策の推進や強化などを政策課題に挙げ、具体的な施策を公表しています[9]。

セキュリティに関する書籍を紹介します。

近年、工場や化学プラントなどへAI・IoTを導入し、生産性を高める動きが広がりました。
工場の設備などがネットワークにつながることで、サイバー攻撃のリスクが高まり、よりセキュリティ対策の強化が求められています。
『工場・製造プロセスへのIoT・AI導入と活用の仕方』[10]には、導入やスマート工場実現のノウハウに加え、「AI・IoT導入工場におけるセキュリティ対策」(第12章)も掲載されています。
ソフトウェアおよびネットワークの側面からセキュリティ強化の方法とポイントを伝えていますので、ぜひご一読ください。

出典

最後に

本記事は、2020年7月に報道されたセキュリティニュースを基に、特に注目するセキュリティ情報を掲載しています。
注目するセキュリティニュースをまとめて掲載することで、読者の皆さまがよりセキュリティに興味を持ち、日々の対策にご活用いただくきっかけとなれば幸いです。

京セラコミュニケーションシステム株式会社
セキュリティニュースチーム

掲載されている情報は、発表日現在の情報です。最新の情報と異なる場合がありますのでご了承ください。

ページトップへ