ホーム
コラム
Windows Serverの脆弱性「Zerologon（CVE-2020-1472）」を悪用した攻撃に強い警戒感、ADサーバ利用企業は早急な対応を～2020年10月の気になるセキュリティニュース～

Windows Serverの脆弱性「Zerologon（CVE-2020-1472）」を悪用した攻撃に強い警戒感、ADサーバ利用企業は早急な対応を
～2020年10月の気になるセキュリティニュース～セキュリティニュース

2020年11月10日

セキュリティニュース一覧

10月のトピックスを紹介します。

国内では、マルウェア「Emotet」の感染被害が後を絶たず収まる気配がありません。Emotetはメール情報を窃取するだけでなく、他のマルウェアを呼び寄せるダウンローダーの性質を持っていることから、Emotetに感染しそこから他のマルウェアやランサムウェア「Ryuk」の感染につながる事例が過去に報告されています[1]。
10月、WindowsServerのドメインコントローラーが乗っ取られる深刻な脆弱性「Zerologon（CVE-2020-1472）」について、Microsoftや複数のセキュリティ企業が警戒を呼びかけました。この脆弱性については、2020年8月にMicrosoftが修正パッチを提供[2]、9月にはJPCERT/CCが実証コードの存在を確認し注意を呼びかけ[3]ていましたが、10月には「Ryuk」の感染拡大に利用されるなど、被害はエスカレートしつつあります。ドメインコントローラーに被害があった場合、社内ネットワークに接続される多数の端末に影響を及ぼす可能性がありますので、早急な対応が求められます。

・深刻度の高い脆弱性「Zerologon」、ADサーバを利用している企業は緊急対策を

WindowsServerのドメインコントローラーが乗っ取られる深刻な脆弱性「Zerologon」について、Microsoftや複数のセキュリティ企業が警戒を呼びかけています。「Zerologon」とは、Active Directoryのユーザ認証に使われるNetlogonプロトコルの暗号化処理における実装の不備により、ドメイン管理者権限を取得可能になる脆弱性です。「Zerologon」を利用した攻撃で想定される被害は、ADサーバのドメインコントローラーの管理者権限奪取と任意コードの実行とされています。管理者権限が奪われることで、イントラネット内のリソースアクセスをすべて掌握される可能性があるため、ADサーバを利用している企業は優先度を上げて取り組むべき脆弱性であるとしています[4]。

10月の主なマルウェア・不正アクセス関連の記事を紹介します。

・マルウェア Emotet の感染拡大および新たな攻撃手法について

マルウェア「Emotet」について、新たな攻撃手法が確認され始めているとして、各国のセキュリティベンダーが注意を呼びかけています。「Windows Server Update Services」と偽り、ユーザにOfficeアプリの更新を促すメールが確認されているとのことです[5]。10月中旬には、ヨーロッパや日本で大規模な攻撃が発生したとの報道もあり、引き続き注意が必要と考えられます[6]。

・新型コロナウイルスのワクチン開発研究の製薬会社にサイバー攻撃

塩野義製薬の台湾現地法人がサイバー攻撃を受け、盗まれた情報の一部がインターネット上に公開されているとの報道がありました[7]。ダークウェブ上に、金銭を支払わなければさらに情報を暴露するとした英文とともに、医療機器の輸入許可証や社員の在留許可証とみられるデータが公開されているとのことです。新型コロナウイルスのワクチンの研究機関から機密情報を盗む動きは世界各地で活発化しており、国内でも攻撃が確認されています。

10月の主要なOS、ミドルウェアにおけるインシデントを紹介します。

該当する製品を利用されている場合は、システムへの影響などに鑑み、対策などを速やかに実施することが推奨されています。

・Oracle WebLogic Serverの脆弱性（CVE-2020-14882、CVE-2020-14883）についての注意喚起

10月の定例パッチで修正されたばかりである「Oracle WebLogic Server」の脆弱性を狙う積極的な攻撃が観測され、複数のセキュリテイベンダーが注意を呼びかけています。悪用されるとデータの改ざんや流出といった被害を受ける恐れがあるため、早急な対応が求められています[8]。

・複数のMicrosoft社製品のサポート終了に伴う注意喚起

Windows 7、Windows Server 2008、Windows Server 2008R2、Office 2010のサポートが終了しました。サポート終了後は、セキュリティ更新プログラムの提供は無く、脆弱性を悪用した攻撃による情報漏洩や意図しないサービス停止などの被害を受ける可能性が高くなります。同ソフトウェア製品を利用している場合には、サポートが継続している後継製品、または代替製品への移行検討が望まれます。OSだけでなくアプリケーションもサポートが順次終了していくため、あわせて対策が必要と考えられます[9]。

その他、政府・業界動向などに関連する記事を紹介します。

・令和2年上半期におけるサイバー空間をめぐる脅威の情勢等について

警察庁は、2020年上半期（1月～6月）におけるサイバー空間の脅威情勢について、観測データなどを分析したレポートを公開しました[10]。新型コロナウイルスに関連したサイバー攻撃やサイバー犯罪が国内外において発生している状況であり、それらの事例や警察における取組みなどについて公開しています。

・情報セキュリティ安心相談窓口の相談状況［2020年第3四半期（7月～9月）］について

IPAは、2020年第3四半期（7月～9月）における「情報セキュリティ安心相談窓口の相談状況」のレポートを公開しました[11]。レポートによると、セキュリティ相談件数は前四半期から約1.8倍増となっており、「Emotet」関連や「不正ログイン」の相談が急増しているとのことです。

出典

[1]標的型攻撃ランサムウェア「Ryuk」の内部構造を紐解く - MSBD -

https://www.mbsd.jp/blog/20191211.html
[2]CVE-2020-1472 | Netlogon の特権の昇格の脆弱性 - Microsoft -

https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2020-1472
[3]Netlogon の特権の昇格の脆弱性（CVE-2020-1472）への早急な対応を - JPCERT/CC -

https://www.jpcert.or.jp/newsflash/2020091601.html
[4]「Zerologon」とは何か？深刻度の高い脆弱性、ADサーバを利用しているなら緊急対策を - ビジネス+IT -

https://www.sbbit.jp/article/cont1/44600
[5]マルウェア「Emotet」が「Office」アップデートを装う新たな手口 - ZD Net Japan -

https://japan.zdnet.com/article/35161046/
[6]日本でもマルウェア「Emotet」のバラマキ攻撃拡大 - ZD Net Japan -

https://japan.zdnet.com/article/35161256/
[7]塩野義製薬にサイバー攻撃　台湾現地法人、金銭要求も - 日本経済新聞 -

https://www.nikkei.com/article/DGXMZO65325770S0A021C2CR8000/
[8]早急に「WebLogic Server」脆弱性の修正を - パッチ公開より1週間強で攻撃発生 - Security　NEXT -

https://www.security-next.com/120204
[9]複数の Microsoft 社製品のサポート終了に伴う注意喚起 - IPA -

https://www.ipa.go.jp/security/announce/win7_eos.html
[10]令和2年上半期におけるサイバー空間をめぐる脅威の情勢等について　- 警察庁 -

https://www.npa.go.jp/publications/statistics/cybersecurity/data/R02_kami_cyber_jousei.pdf
[11]情報セキュリティ安心相談窓口の相談状況［2020年第3四半期（7月～9月）］ - IPA -

https://www.ipa.go.jp/files/000086357.pdf