楽天、クラウドサービスの設定ミスにより約148万件の情報漏えいか
~2020年12月の気になるセキュリティニュース~ セキュリティニュース

2021年1月12日

セキュリティニュース一覧

12月のトピックスを紹介します。

楽天グループで、約148万件の企業・個人の情報が漏えいしたとの報道がありました。同社では、データ管理のためにSalesforce社のクラウドサービス「Experience Cloud」を使用しており、そのセキュリティ設定で設定ミスがあったとされています。
クラウドサービスの設定ミスによる情報漏えいは年々増加しています。企業には、同社の設定ミスを他山の石として捉え、利用するクラウドストレージやウェブサイト等のサービスが意図せぬ設定になっていないか、再確認や見直しなどの対応が急務と考えられます。

・楽天、情報漏えい クラウドサービスの設定ミスか
楽天が不正アクセスを受け、情報漏えいが発覚した問題では、利用するSalesforce社のクラウドサービスのセキュリティ設定での人的ミスが原因ではないかと報道されています。PayPayも同様の不正アクセスを受けていたことを発表しており、同社のサービスは多くの企業で利用されていることから、被害がさらに広がる可能性も指摘されています[1]。
同社では、今回の問題が「製品の脆弱性に起因するものではなく、ゲストユーザに対する情報の共有に関する設定が適切に行われていなかった」と発表しており、利用企業に向け、情報へのアクセス権限が適切に設定されているか等を確認するよう呼びかけています[2]。

12月の主なマルウェア・不正アクセス関連の記事を紹介します。

・SolarWinds製品を悪用したサプライチェーン攻撃、拡大へ
米SolarWinds社の「SolarWinds Orion Platform」のアップデートを悪用したサプライチェーン攻撃は、国内においてもマルウェア検知の報告が寄せられ、NISCより注意喚起が発表されるなどの広がりをみせています[3]。同社製品は米国で広く導入されているため影響範囲が広く、米連邦政府機関のほか、セキュリティ企業のFireEye、IT企業のIntel、Cisco、VMwareなども標的となったとの報道もなされています[4]。一連の攻撃では、正規のアップデートを通じてバックドアが仕込まれており、同社では対象製品のバージョンを確認しアップグレードを行うよう呼びかけています[5]。

・三菱パワーに不正アクセス、日立システムズ経由で侵入か
三菱重工業子会社の三菱パワーは、マネージドサービスプロバイダ(MSP)経由で不正アクセスを受けたことを発表しました[6]。日立システムズの運用監視サービスを経由した攻撃であり、少なくとも9月には不正アクセスを受けていたとみられています[7]。機密性の高い技術情報や取引先情報、個人情報の流出は確認されていないとしています[8]。

・川崎重工に不正アクセス、情報流出のおそれ
川崎重工業は、同社の海外拠点経由で国内データセンターへの不正アクセスを受け、一部の情報が外部に流出した可能性があることを発表しました[9]。6月の社内のシステム監査で判明し、調査を開始していましたが、不正アクセスの範囲が複数の国内、海外拠点に渡っていたため公表に時間を要したとしています。流出した情報などの詳細は判明していないことから、引き続き調査を進めるとしています[10]。

12月の主要なOS、ミドルウェアにおけるインシデントを紹介します。

該当する製品を利用されている場合は、システムへの影響などに鑑み、対策などを速やかに実施することが推奨されています。

・Apache Struts 2 の脆弱性 (S2-061) に関する注意喚起
JPCERT/CCは、Apache Struts 2の脆弱性 (CVE-2020-17530) について注意喚起を公開しました。これらの脆弱性を悪用された場合、Apache Struts 2 が動作するサーバーにおいて、遠隔で任意のコードを実行されるおそれがあります。すでに本脆弱性を悪用した攻撃も確認されており、早急なバージョンアップを呼びかけています[11]。

その他、政府・業界動向などに関連する記事を紹介します。

・経済産業省よりサイバーセキュリティに関する注意喚起
経済産業省は、サイバー攻撃の巧妙化や被害が拡大している状況を受け、企業の経営者に対しサイバーセキュリティに対する取り組みへの強化を呼びかけました[12]。ランサムウェアやサプライチェーン攻撃など悪質化するサイバー攻撃への注意喚起とともに、発生した被害への対応は企業の信頼に直接関わる重要な問題であることから、その事前対策から事後対応まで、経営者のリーダーシップが求められる問題だと指摘しています。従来の基本的な対策に加え、経営者によるサイバーセキュリティ対策への一層の関与をあらためて求めるとしています[13]。

出典

最後に

本記事は、2020年12月に報道されたセキュリティニュースを基に、特に注目するセキュリティ情報を掲載しています。
注目するセキュリティニュースをまとめて掲載することで、読者の皆さまがよりセキュリティに興味を持ち、日々の対策にご活用いただくきっかけとなれば幸いです。


京セラコミュニケーションシステム株式会社
セキュリティニュースチーム

掲載されている情報は、発表日現在の情報です。最新の情報と異なる場合がありますのでご了承ください。

ページトップへ