「個人情報等暗号化」「委託先から情報漏洩」…ランサムウェア被害依然高水準、警察庁も注意喚起

セキュリティニュース
ここで紹介するニュースは、ほとんどの場合下記の方法で対策できます。
〇 OS、アプリケーション、アンチウイルスのデータベース等を常に最新の状態に保つ
〇 UTM導入等によるネットワーク全体の防御を行う

「個人情報等暗号化」「委託先から情報漏洩」…ランサムウェア被害依然高水準、警察庁も注意喚起

– 8月16日(日本時間)、医療・介護事業大手のニチイホールディングスより、同社グループ内のPCがランサムウェアに感染し、データ暗号化の被害を受けたと発表されました。

– その後9月2日に続報が発表され、PC計20台を経由して、顧客・関係企業等の担当者や同社採用候補者・従業員・元従業員の個人情報を含む約2.6万件のファイルが暗号化されたことが明らかになっています。

– また8月20日、教育サービス大手の公文教育研究会より、業務委託先のイセトー社で発生したランサムウェア感染で74万人弱の個人情報が流出した可能性があると発表されています(これも6月29日の初報からの続報となります)。

– 9月6日には、警察庁サイバー警察局より「サイバー警察局便り R6 Vol.7」が発表され、ランサムウェア被害が依然として高水準で推移としている他、感染経路の63%がVPN機器、18%がリモートデスクトップとなっているとして注意が呼び掛けられています。

AUSからの所感 AUSからの所感

ニチイの事例ではPC上に保存されていたデータが暗号化の被害を受けたとされますが、6月に発生したKADOKAWAの事例(AUS便り 2024/08/22号参照)においても従業員のPC上に個人情報を含むファイルが保存され流出したとみられるケースが報じられています。

イセトー社でのランサムウェア感染は、クボタ社および同子会社(同 2024/07/04号参照)をはじめ同社に業務委託していた多数の企業・自治体に被害が及んでいます。

ランサムウェアによる攻撃を大手企業で発生しているものと決して捉えることなく、あらゆる組織においてVPN等リモートからのアクセスに関わる機器・ファームウェア・OSを随時最新の状態に保つ、サーバーにおけるデータの保護(バックアップはもちろんバックアップしたデータの隔離等含め)、またクライアントPCに対してもアンチウイルス等エンドポイント保護やUTMによる保護のみならず、各々のPCに保存された状態の重要なファイルがターゲットとなる可能性にも注意を払うべきでしょう。


WordPressプラグイン「LiteSpeed Cache」、新たに致命的な脆弱性…6.5.0.1以降に更新を

– 9月5日(現地時間)、WordPress向けセキュリティサービス等を提供するPatchStack社より、WordPressのサイト高速化機能を提供するプラグイン「LiteSpeed Cache」に脆弱性(CVE-2024-44000)が存在するとして注意喚起が出されています。

– 脆弱性により、外部の攻撃者にユーザーセッションCookieの情報等を奪取され、ユーザーセッションの乗っ取り等に繋がり得るとされています。

– 既に脆弱性を修正したバージョン6.5.0.1がリリースされており、アップデートが強く推奨されています。

AUSからの所感 AUSからの所感

脆弱性は、WordPressにおいてデバッグ状態が有効の場合、Webサーバーのレスポンスヘッダー(セッションCookieを発行したSet-Cookie: ヘッダーを含む)がログファイルに出力される、さらに当該ファイルが外部から推測・アクセス可能な場所に保存されるという問題によるものです。

LiteSpeed Cacheでは8月にも致命的な脆弱性が報告、対策されていました(AUS便り 2024/08/29号参照)が、これとは別の脆弱性で、かつ同様の危険度を持つと評価されています。

同じプラグインで短期間に複数回の脆弱性報告、セキュリティアップデートが行われる事態となっていますが、WordPress本体や使用している各プラグインについて常時セキュリティ情報を確認し、自動更新が設定されているか否かに拘らず、必要に応じ全て最新バージョンとなっているか確認する体制が重要です。


厚労省・総務省「テレワーク相談センター」の旧ドメイン名、サイト移転から2年足らずで第三者に取得…移転案内も半年のみ実施か

– 9月7日(日本時間)、時事通信より、厚生労働省・総務省が運営する「テレワーク相談センター」のWebサイトで使用していた旧ドメイン名(tw-sodan.jp)が第三者に取得(ドロップキャッチ)されていたと報じられました。

– 当該サイトは2022年10月21日をもって厚労省が使用する「mhlw.go.jp」ドメイン名下の「テレワーク総合ポータル」に移転し、旧ドメイン名は今年3月末に失効していたとのことですが、9月6日の段階で複数の転職サイトを紹介する別サイトの開設が確認されていたとしています(whoisによれば8月1日に「新規取得」された模様です)。

– 一方で他の省庁・地方自治体など公的機関のサイトでは、依然として旧ドメイン名へのリンクが多数残っているとのことです。

– 同9日には、移転先においても、旧ドメイン名は現在関係がないとして注意喚起が出されています。

AUSからの所感 AUSからの所感

時事通信では、他にも公的機関が「go.jp」等以外で取得していたドメイン名が第三者に取得される事例が多く発生していることを報じています。

インターネットアーカイブでの記録によれば、2022年12月時点で旧ドメイン名へのアクセス時に移転先を案内するページにリダイレクトするようになっていましたが、2023年3月時点ではリダイレクトがなくなり「404 Not Found」と表示されており、移転からわずか半年で旧サイトにアクセスしてきたユーザーへの案内がなくなっていたものとみられます。

ドメイン名取得の段階で、外部の第三者がドロップキャッチしにくいとみられる「go.jp」等や、既存のドメイン名のサブドメインを選ぶよう検討することも重要ですが、旧サイトへの多数のリンクが残る中での、リダイレクトや移転案内の終了~ドメイン名の失効までの期間はあまりにも短すぎたと言え、ドメイン名を使用しなくなった後も10年程度は維持および移転先の案内を行うことを推奨致します。