Salesforce社クラウドサービスの「設定不備」問題、楽天やPayPay以外にも情報流出の被害続出か
~2021年2月の気になるセキュリティニュース~ セキュリティニュース

2021年3月5日

セキュリティニュース一覧

2月のトピックスを紹介します。

Salesforce社が提供するクラウドサービスの「設定不備」の問題は、楽天やPayPay、イオン、バンダイなどの企業に加え、神戸市や船橋市などの複数の自治体でも不正アクセスをうけたことが明らかになるなど、被害の報道が相次いでいます。
企業がデジタルトランスフォーメーション(DX)に取り組むにあたって、クラウドサービスは非常に有効なサービスですが、利用者側で設定を誤れば意図しない情報漏えいにつながる恐れもあります。利用企業には、クラウドストレージなどのサービスが意図せぬ設定になっていないか、再確認や見直しなどの対応が急務と考えられます。

・Salesforce社クラウドサービスの「設定不備」13団体で不正アクセス確認
Salesforce社クラウドサービスの「設定不備」について、13団体で意図しない情報へのアクセスを確認したとの報道がありました[1]。同サービスを使用したシステムを利用している神戸市などの複数の自治体などで、不正アクセス被害の可能性が明らかになったとのことです。この問題では、NISCも注意喚起を発表しており、「データのアクセス権などの設定不備で、意図しない情報が外部から参照される可能性がある」として、利用者に対し「サービスの利用状況や各種設定の確認・見直しなどの適切なセキュリティ対策」を行うよう呼びかけています[2]。

2月の主なマルウェア・不正アクセス関連の記事を紹介します。

・GitHub上のソースコード流出問題 被害はNEC、三井住友銀行へ拡大か
プログラム共有サイト「GitHub」上へソースコードが流出した問題は、NECや三井住友銀行などの5企業が流出を確認するなどの広がりをみせています。企業から業務委託を受けたとみられる人物が、委託元のソースコードをGitHubに公開したとの報道もあり、現在調査が進められています[3]。この件について日本IT団体連盟は、「ソースコードという『情報資産』を不用意に外部に持ち出した」ことが問題とし、各企業が「自社にも発生しうるリスクと認識する必要がある」として注意を呼びかけています[4][5]。

・パスワード使い回しや「Windows 7」使用、不正侵入を招いた水道システム管理の実情
米国水道局の浄水システムに何者かが不正侵入し、飲料水に含まれる水酸化ナトリウム量を100倍以上に増やす設定変更を行った事件が発覚しました[6]。管理者が早期に気付き対応したため、水道利用者への人体への実害は免れました。該当の水道局では、パスワードの使い回しやサポート切れOS「Windows7」の使用、アクセス制御の未実施などの課題が浮き彫りになっています。こうした基本的なセキュリティ対策が未実施であるという課題は氷山の一角であり、当該システムだけではなく、電力・下水・製造工場などの他分野にも及ぶ可能性を専門家は指摘しています。

・「マイナビ転職」へパスワードリスト型攻撃 約21万人分の個人情報に不正ログイン
株式会社マイナビは、転職情報サイト「マイナビ転職」がパスワードリスト攻撃を受け、外部からの不正ログインが判明したことを発表しました[7]。登録ユーザのうち約21万人分のWeb履歴書が閲覧された可能性があるとしています。同社では既に対象ユーザへのパスワードのリセットなどの必要な対策を実施しており、今後さらなるセキュリティ対策の強化を進めるとしています[8]。

2月の主要なOS、ミドルウェアにおけるインシデントを紹介します。

該当する製品を利用されている場合は、システムへの影響などに鑑み、対策などを速やかに実施することが推奨されています。

・ISC BIND 9の脆弱性(CVE-2020-8625)に関する注意喚起
JPCERT/CCは、ISC BIND 9の脆弱性(CVE-2020-8625)に関する注意喚起を公開しました[9]。現時点での悪用は確認されていないとしていますが、本脆弱性が悪用されると、遠隔の第三者がサービス運用妨害(DoS)などを引き起こす可能性があるとしています。

・VMware vCenter Serverの脆弱性(CVE-2021-21972)に関する注意喚起
JPCERT/CCは、VMware vCenter Serverの脆弱性(CVE-2021-21972)に関する注意喚起を公開しました。脆弱性が悪用された場合、遠隔の第三者が任意のファイルをアップロードしたり、システム権限で任意のコマンドを実行したりするなどの可能性があるとしています[10]。

その他、政府・業界動向などに関連する記事を紹介します。

・マルウェアに感染している機器の利用者に対する注意喚起について
警察庁、総務省、一般社団法人ICT-ISAC及びISP各社は連携し、マルウェア「Emotet」に感染しているおそれのある利用者への注意喚起を行う取組みを開始しました[11][12][13]。海外の捜査当局より国内でEmotetに感染している機器に関する情報提供があったことから、当該情報を関連のインターネットサービスプロバイダに提供して機器の利用者を特定し、注意喚起を行うとしています。

出典

最後に

本記事は、2021年2月に報道されたセキュリティニュースを基に、特に注目するセキュリティ情報を掲載しています。
注目するセキュリティニュースをまとめて掲載することで、読者の皆さまがよりセキュリティに興味を持ち、日々の対策にご活用いただくきっかけとなれば幸いです。


京セラコミュニケーションシステム株式会社
セキュリティニュースチーム

掲載されている情報は、発表日現在の情報です。最新の情報と異なる場合がありますのでご了承ください。

ページトップへ