法人組織でのクラウド利用が進む中、様々なデータの置き場所もクラウドへ移行しています。クラウドは利便性が高いものですが、その利便性ゆえに設定の不備が思わぬ事態を招くこともあります。この2月以降、米国と英国でクラウドストレージの設定ミスによる情報漏えいが連続して発生しています。いずれもクラウドストレージに問題はなく、利用者の不備が原因となった事例でした。
続きを読むソフトウェア開発のビルドからテスト、そしてデプロイまでを自動化するオープンソースの継続的インテグレーション(CI)ツール「Jenkins」は、DevOpsなどの開発者に広く利用されています。Jenkinsのモジュール型アーキテクチャは、基本となる機能に「プラグイン」を追加して拡張することによって最大限活用できる仕組みになっています。Jenkinsコミュニティが提供するプラグインのサイト「Plugins Index」では、本記事執筆時点で1,600以上のプラグインが公開されています。しかし、公開されているプラグインの一部は、認証情報を暗号化せず、プレーンテキスト形式で保存することが確認されています。この状態では、情報漏えいが発生した場合、この認証情報を攻撃者に不正利用され、企業の機密情報へ知らぬ間にアクセスされる可能性があります。Jenkinsでは以前にCVE-2018-1000861などの脆弱性を利用した攻撃により不正マイニングやランサムウェア感染といった被害が発生しており、速やかな対応を推奨いたします。
(さらに…)
トレンドマイクロでは、2018年1月~11月に発生したサイバー脅威の動向から、法人利用者では1)止まらない情報漏えい被害と漏えい情報を使用した攻撃、2)取引所からの仮想通貨流出、3)ビジネスメール詐欺が、個人利用者では1)フィッシング詐欺、2)SMSを発端とする不正アプリ拡散、3)「セクストーション」スパムが2018年に発生した「三大脅威」であると分析しています。そしてこのような脅威動向の全体を通じて金銭に繋がる情報を狙う攻撃、特にクレジットカード情報や認証情報を中心とした個人情報を狙う攻撃が拡大する裏で、以前に漏えいした情報はまた別の攻撃に利用され新たな被害を招く、言わば「被害の再生産」の構図が明らかになってきたと言えます。
本ブログではこの2018年の脅威動向速報を連載形式でお伝えします。第1回の今回は法人利用者における脅威の中でも「止まらない情報漏えい被害と漏えい情報を使用した攻撃」として、法人利用者の持つ情報を狙う攻撃とその影響について分析します。
図:2018年国内の個人と法人における三大脅威
2018年4月、オープンソースの電子商取引(e-commerce、EC)サイトプラットフォーム「Magento」で運用されている多くの Webサイトが総当たり攻撃や辞書攻撃の方法で改ざんされたことが確認されました。この改ざんにより、クレジットカード情報の窃取や、仮想通貨発掘マルウェア感染などの被害が発生したことが報告されています。
「Magento」は、ECサイトのプラットフォームとして、2016年時点で既に1,000億ドル以上(約10兆7千億円。2018年4 月13日時点)の売上を記録し 5,100万のユーザを抱えていました。また同社は、自身のブログ上で、Magento がオンライン取引のプラットフォームとして 2020年には 2,240億ドルに成長すると予測しています。クレジットカード情報や顧客の個人情報を扱う ECサイトはサイバー犯罪者にとっては格好の標的と言えます。実際、Magentoプラットホーム上の ECサイトは、2016年以降「KimcilWare(キムチルウェア)」、「ELF_CRYPTOR(クリプタ)」や「Rex(レックス)」といった複数のランサムウェアから、Magento の CMS が抱える脆弱性を利用する攻撃を受けてきました。このMagento の CMS の脆弱性は、ランサムウェア以外にも、脆弱性を突いてマルウェアに感染させる脆弱性攻撃ツール(エクスプロイトキット)などにも狙われています。
続きを読む2015年に発生した年金受給者に関する個人情報漏えい事故や、2016年に入って発生した旅行予約者に関する個人情報漏えい事故は、知名度の高い組織が標的型サイバー攻撃に遭ったことと、漏えいした可能性のある個人情報の量と種類も要因となり大きく報道を賑わせました。トレンドマイクロでは、日本国内の民間企業や官公庁自治体におけるセキュリティインシデントや対策の実態を把握する目的で、「法人組織におけるセキュリティ対策実態調査 2016年版」調査を実施しました。
調査の結果、国内の法人組織の実に 38.5%が「個人情報の漏えい」や「生産・操業停止」など、ビジネスに影響を及ぼす「深刻なセキュリティインシデント」を 2015年一年間に経験したと回答しました。「社員情報の漏えい(23.3%)」や「顧客情報の漏えい(19.4%)」に代表されるように、保有する個人情報が多くの法人組織で漏えいしていることが分かります(図1)。また近年急速な勢いで深刻な問題になっているランサムウェアによるものと考えられるデータ破壊など、実に様々な深刻な被害が発生していることが明らかになりました。
図1:深刻なセキュリティインシデント被害内訳
膨大な量の個人情報を保有する医療機関は、サイバー犯罪者の格好の標的となる恐れがあります。大抵の医療機関は、クレジットカード情報や診療記録、健康保険証、個人番号、社会保障番号など、さまざまな情報を保有しています。米国における最大級の非営利の医療機関である「Banner Health」は、2016年8月、巧妙なサイバー攻撃を仕掛けられました。この事例からサイバー犯罪者が以前にも増して医療機関が有する情報を狙っていることがわかります。この Banner Health の情報漏えいの事例において、307万人分の個人情報と財務データが窃取されています。
続きを読む既婚者向け出会い系サイト「Ashley Madison」は、2015年7月、「Impact Team」と名乗るサイバー犯罪者グループの攻撃を受けました。その後、窃取された情報がオンライン上で公開されると、トレンドマイクロは、この漏えい事例に便乗した脅威が間を置かずに登場するだろうと予測しました。漏えいした情報には、人に知られたくない会員の個人情報が含まれています。莫大なお金が絡むこうした事例には、サイバー犯罪者は便乗して利益を得ようとします。実際、弊社がこの事例に便乗したさまざまなメールを受信し始めるまで、長くはかかりませんでした。この情報漏えい事例に便乗した複数のサイバー犯罪者が、漏えいした会員の秘密を公開しないことと引き換えに、およそ 1ビットコイン(2015年9月1日時点、約2万8千円)を要求するメールを送信していることを確認しました。
続きを読む2015年7月9日、台湾および香港の Webサイトを改ざんし、Adobe Flash Player の脆弱性を利用して PC に感染する攻撃が確認されました。この攻撃は、「Hacking Team」への攻撃により漏えいした情報で確認された Adobe Flash Player に存在する脆弱性を利用し、最終的に感染 PC に「Remote Access Tool(RAT)」である「PoisonIvy」やその他の不正なファイルをダウンロードします。なお、この攻撃は、Hacking Team への攻撃が確認されてから数日後に確認されました。
続きを読むイタリア企業「Hacking Team」への攻撃で漏えいした情報から、トレンドマイクロは、Windows に存在する新たなゼロデイ脆弱性を確認しました。弊社から報告を受けた Microsoft は、その後、定例外のセキュリティ情報となる「MS15-078」で、この脆弱性「CVE-2015-2426」を修正する更新プログラムを公開しました。この脆弱性は、Windows Vista、Server 2008以降のサポート中のすべてのバージョンに影響を与えます。セキュリティ情報によると、この脆弱性を利用することにより、権限昇格の他、任意のコードが実行される恐れがあります。なお、今回の更新プログラムは、すでに公開された「MS15-077」の置き換えとなります。「MS15-077」は、今回の更新プログラムでは対象外の Windows Server 2003 が含まれているため、この更新により、サポートが終了したサーバ用OS も危険にさらされる可能性があります。
続きを読む