Pulse Secure社VPN製品「Pulse Connect Secure」にゼロデイ攻撃
~2021年4月の気になるセキュリティニュース~ セキュリティニュース

2021年5月12日

セキュリティニュース一覧

トピックスを紹介します。

4月下旬、Pulse Secure社はVPN製品「Pulse Connect Secure」に未修正の深刻な脆弱性(CVE-2021-22893)が存在することを発表しました。同社では回避策をアナウンスし、アップデートも5月上旬に公開されています。既に脆弱性を悪用したゼロデイ攻撃も確認されており、利用する企業には迅速な対応が求められています。

・Pulse Connect Secureの脆弱性に関する注意喚起
Pulse Secure社製の「Pulse Connect Secure」に未修正の深刻な脆弱性が存在するとして、JPCERTコーディネーションセンター(JPCERT/CC)は注意喚起を公開しました[1]。セキュリティ企業のFireEye社が公開したレポートでは、既に脆弱性を悪用したゼロデイ攻撃も確認されているとされ、早急な対応が必要と考えられます[2]。
Pulse Secure社では、回避策として「Windowsファイル共有ブラウザ」「Pulse Secure Collaboration」を無効化し、URLベースの攻撃の影響を軽減するなどの対応をアナウンスしています[3][4]。また、脆弱性の影響について評価するツール「Pulse Security Integrity Checker Tool」を公開し活用を呼びかけました[5]。
5月上旬には修正バージョンが公開されており、該当製品を利用している場合には、速やかにアップデートを実施することを推奨します。


クラウド型プロジェクト管理ツール「Trello」を利用して顧客管理や採用活動などを行う企業から、個人情報がネット上で公開されてしまった問題は、内閣サイバーセキュリティセンター(NISC)からも注意喚起が公開され、注目が集まりました。
このような公開機能が存在するサービスは、気軽に情報を共有できるメリットがある一方、利用者側で設定を誤ることで情報漏えいにつながってしまう可能性があります。企業には利用するサービスが意図せぬ設定になっていないか、再確認や見直しなどの対応が必要です。

・Trelloの個人情報流出、NISCが注意喚起
「Trello」を運営するAtlassian社は、今回の個人情報流出の問題は利用ユーザーが公開範囲を誤って設定したことに起因したものであると発表しました。同社では、問題が発生しているボードのプライバシー設定を確認するなど、ユーザーが意図しない情報の公開を止めるためのサポートを行うとしています[6]。
この問題では、NISCも公式Twitterアカウントで「公開範囲の設定を確認してほしい」と注意を呼び掛けるなど、波紋が広がりました。またこうした問題はTrelloに限った問題ではないとし「Webサービスで情報を扱う際は、公開範囲の設定を確認することが大切」との見解を示しています[7]。

主なマルウェア・不正アクセス関連の記事を紹介します。

・HOYA米子会社にサイバー攻撃 機密情報流出か
光学機器大手HOYA社は、同グループのアメリカの子会社がサイバー攻撃を受けたことを発表しました[8]。今回の攻撃ではランサムウェアが使用された可能性があり、既に機密情報とみられるデータが公開されたとの報道もあります[9]。同社では攻撃の範囲や被害の特定などの調査を進めるとしています。

・総務省の委託先に不正アクセス、約6,700人分の個人情報流出か
総務省は、委託先のサーバーが不正アクセスを受け、自治体職員ら約6,700人分の個人情報が流出した可能性があることを発表しました[10]。委託先のランドブレイン社では、2月に本社サーバーがランサムウェアに感染、不正アクセスを受けたことを公開し調査を進めてきました[11]。 同社では公共事業を多数受託しており、約80の自治体の個人情報が流出した可能性があるとの報道もなされています[12]。

・内閣府にサイバー攻撃 サーバーに「ゼロデイ」の痕跡
内閣府や内閣官房の職員らが利用するファイル共有サーバーが、1月に不正アクセスを受け、約230人分の個人情報が流出した可能性があるとの報道がありました[13]。このサーバーは、ソリトンシステムズ社が開発した「FileZen」という機器であり、同社では修正プログラムの適用を呼びかけています[14]。なお、ゼロデイ攻撃によるものとの報道もあり、3月にはJPCERT/CCからも注意喚起が公開されています[15]。

その他、政府・業界動向などに関連する記事を紹介します。

・機器のサイバーセキュリティ確保のためのセキュリティ検証の手引き
経済産業省は、機器のセキュリティを侵害する事例が増加し、脆弱性の有無やセキュリティ対策の妥当性を出荷前に確認する「セキュリティ検証サービス」の重要性が増しているとして、手引きを公開しました[16]。検証サービス事業者および検証を依頼するメーカーの開発者や品質保証担当者などを対象とし、同サービスの品質向上などを目的としています。

・共用利用オフィスのセキュリティ対策認証制度について
セキュアIoTプラットフォーム協議会と日本テレワーク協会は、「共同利用型オフィス等のセキュリティ対策に係る認証プログラム」を提供開始しました[17]。レンタルオフィスなどの、共用オフィスにおけるセキュリティ対策について認証するものであり、両団体が取りまとめた基本対策を認証基準としています[18]。

出典

最後に

本記事は、2021年4月に報道されたセキュリティニュースを基に、特に注目するセキュリティ情報を掲載しています。
注目するセキュリティニュースをまとめて掲載することで、読者の皆さまがよりセキュリティに興味を持ち、日々の対策にご活用いただくきっかけとなれば幸いです。


京セラコミュニケーションシステム株式会社
セキュリティニュースチーム

掲載されている情報は、発表日現在の情報です。最新の情報と異なる場合がありますのでご了承ください。

ページトップへ