開催迫る東京オリンピック・パラリンピック、サイバー攻撃への備えを
~2021年6月の気になるセキュリティニュース~ セキュリティニュース

2021年7月6日

セキュリティニュース一覧

トピックスを紹介します。

米Colonial Pipeline社がランサムウェア攻撃を受け、440万ドル相当の身代金を支払った事件に続き[1]、世界最大級の食肉加工メーカーJBSの米子会社JBS USA社も、ランサムウェア攻撃の身代金として1,100万ドル相当を支払ったことを公表しました[2]。
このようなランサムウェアの被害は海外だけでなく、日本企業においても攻撃されたとみられる報道が相次いでいます。今月には2021年東京オリンピック・パラリンピックの開催を控え、こうした攻撃がさらに増える可能性も示唆されています。
企業や組織には、このようなサイバー攻撃によって事業停止や犯罪者の資金源となってしまわぬよう、改めて自社の対策を振り返る必要があるのではないかと考えます。

・五輪・パラで“テロやサイバー攻撃に警戒を”
法務省は、東京オリンピック・パラリンピックの安全な開催に向けて全国の公安調査局長らを集めた会議を開催し、テロやサイバー攻撃を未然に防ぐため、情報の収集や分析に取り組むよう指示しました[3]。富士通株式会社の「ProjectWEB」に不正アクセスがあり情報が流出した問題では、東京オリンピック・パラリンピック競技大会組織委員の個人情報も流出していることから、情報の悪用が懸念されるとの報道もなされています[4][5]。

主なマルウェア・不正アクセス関連の記事を紹介します。

・ユピテル、2017年に不正アクセス 確認から3年以上報告せず
カー用品などの製造、販売を手がける株式会社ユピテルは、会員サイト「My Yupiteru」に登録する約40万人分の個人情報が流出したことを公表しました[6]。同社では、2017年に不正アクセスの報告を受け調査を進めていましたが、個人情報がダウンロードされた痕跡は認められないとの報告があったことから情報流出はないと判断し、不正アクセスの公表を見送っていました。
2021年5月に攻撃者とみられる人物から金銭要求の脅迫メールを受信したことにより、顧客情報を窃取されていたことが判明したとしています[7]。

・大和ハウス子会社にランサムウェア攻撃、「暗号鍵」を特定されて侵入か
大和ハウス工業株式会社の子会社でフィットネスクラブ事業を手掛けるスポーツクラブNAS株式会社は、外部からランサムウェアによる不正アクセスを受け、個人情報など約15万件が暗号化されたことを公表しました[8]。サーバーと外部とのアクセスに用いる「暗号鍵」が何らかの方法で特定されたとし、ランサムウェアの種類については、開示すると再び攻撃を受ける可能性があるため、公開は控えるとしています[9]。

・富士フイルム、ランサムウェア攻撃により一時業務休止
富士フイルム株式会社は、同社国内拠点のサーバーがランサムウェアによる不正アクセスを受けたことを公表しました[10]。一時は、影響があった可能性のあるサーバーやパソコンを停止し、顧客・取引先向けの業務を休止していましたが、情報漏えいはなく、現在は通常業務へ復旧しています[11]。ランサムウェアの具体的な種類については公表していませんが、身代金の要求には応じておらず、今後も応じない方針との報道もなされています[12]。

・サンリオ子会社、SQLインジェクション攻撃により不正アクセス
サンリオピューロランドの運営会社である株式会社サンリオエンターテイメントは、同社のホームページが不正アクセスを受け、メールアドレス約4万6,000件が流出したことを公表しました[13]。 SQLインジェクションの脆弱性をつく不正アクセスとみられ、同社では情報が流出した可能性のあるユーザーに対し、注意を呼びかけています[14]。

主要なOS、ミドルウェアにおけるインシデントを紹介します。

該当する製品を利用されている場合は、システムへの影響などに鑑み、対策などを速やかに実施することが推奨されています。

・VMwareの複数製品に脆弱性、セキュリティアップデートを
米コンピュータ緊急事態対策チーム(US-CERT)は、VMWare社が同社の複数の製品の脆弱性に対処するためのセキュリティアップデートをリリースしたことを発表しました[15]。これらの脆弱性が悪用されると、攻撃者によって対象のシステム上で認証を回避されたり、権限の昇格が行われたりするおそれがあるとし、利用企業への注意を呼びかけています[16][17]。

・Webブラウザ「Chrome」にアップデート、ゼロデイ脆弱性等を修正
米Google社は、Webブラウザ「Chrome」の最新バージョンをリリースしました。今回のアップデートで修正した4件の脆弱性は、いずれも解放後のメモリを使用する「Use After Free」の脆弱性としています。攻撃への悪用も報告されているゼロデイ脆弱性「CVE-2021-30554」への対処も含まれるとし、今後アップデートを展開していくとしています[18]。

その他、政府・業界動向などに関連する記事を紹介します。

・IoT製品・システムを安全に実装するための国際規格について
経済産業省は、日本初の「IoTセキュリティガイドライン」、「つながる世界の開発指針」に基づいたIoTシステムの安全安心を確保する国際規格が発行されたことを公表しました[19]。
セーフティ・セキュリティのリスク増加が懸念される中、従来はこれらの製品やサービスの国際的な標準規格が存在していませんでした。同省では、本規格がIoT製品・サービスの開発や保守において広く活用され、安全安心な社会の発展に寄与することが期待されるとしています。

・DX推進指標 自己診断結果 分析レポート(2020年版)について
IPA(独立行政法人情報処理推進機構)は、日本企業におけるデジタルトランスフォーメーション(DX)の現状や実態の把握を目的として作成した「DX推進指標 自己診断結果 分析レポート(2020年版)」を公開しました[20]。DX推進のための経営のあり方や仕組み、基盤となるITシステムの構築についての成熟度を6段階で評価しています。2019年と比べ、日本企業全体としてはこの1年でDXが進んだとしています。

出典

最後に

本記事は、2021年6月に報道されたセキュリティニュースを基に、特に注目するセキュリティ情報を掲載しています。
注目するセキュリティニュースをまとめて掲載することで、読者の皆さまがよりセキュリティに興味を持ち、日々の対策にご活用いただくきっかけとなれば幸いです。


京セラコミュニケーションシステム株式会社
セキュリティニュースチーム

掲載されている情報は、発表日現在の情報です。最新の情報と異なる場合がありますのでご了承ください。

ページトップへ