厚労省のメールサーバーから約10万通のスパム送信…

セキュリティニュース
ここで紹介するニュースは、ほとんどの場合下記の方法で対策できます。
〇 OS、アプリケーション、アンチウイルスのデータベース等を常に最新の状態に保つ
〇 UTM導入等によるネットワーク全体の防御を行う

– 5/30号 目次 –

01. 厚労省のメールサーバーから約10万通のスパム送信…海外からの不正アクセスで踏み台に


02. 中古の検温カメラに顔画像保存…削除手順の説明なし?


03. Pythonライブラリ管理サービスで2要素認証の要求、2023年末までに…相次ぐコード改ざん受け

厚労省のメールサーバーから約10万通のスパム送信…海外からの不正アクセスで踏み台に

– 5月29日(日本時間)、厚生労働省より、同省のメール中継サーバーを経由して、第三者による迷惑メールが送信されていたと発表されました。

– 発表によれば、メールは件名が「Re: Can I trust you?」で、本文も英文、発信元メールアドレスに同省のドメイン名(@mhlw.go.jp)は使われていなかったとのことです。

– 5月27日~同28日に約10万件が送信され、その後同省によってサーバーへのアクセスは遮断されており、情報の漏えい等は発生していないとしています。

[ 出典 ]
https://www.itmedia.co.jp/news/articles/2305/30/news099.html
https://www.mhlw.go.jp/stf/houdou/202305291400.html

AUS便りからの所感 AUS便りからの所感

任意のアクセス元から第三者へメールを送信するような設定(オープンリレー)になっていたか、サーバー上のメールアカウントへの不正ログインが行われたかのいずれかが考えられますが、現時点で詳細な発表はありません。

厚労省を騙る巧妙な日本語のフィッシングメールも送信可能な状況にあった可能性があり、その場合SPFやDMARCといった送信元認証をも通過し、スパムと判定されにくいメールが出回っていた恐れもあります。

「go.jp」下の政府機関に属するサーバーが悪用されたことに注目が行きがちですが、メールサーバーやクライアントPCへの侵入による不正なメール送信の問題はどの規模の組織でも起こり得ることであり、アンチウイルスやUTMによる社内LANから外部への不審なメール送信の遮断、メールサーバー上での不正なログイン試行等の遮断設定、およびメールアカウントの厳密な管理がそれぞれ肝要となります。

中古の検温カメラに顔画像保存…削除手順の説明なし?

– 5月24日(日本時間)、読売新聞より、新型コロナウイルス感染症対策で使用されていた検温カメラが撮影画像が蓄積されたまま中古品として転売されていた事例が報じられています。

– 発端は5月5日にTwitterで報告されたもので、メルカリで購入した2台の検温カメラをPCに接続したところ、それぞれ工事現場や葬儀場で撮影されたとみられる合計約1,700点の顔画像と体温・測定日時が記録されている様子が確認できたとしています。

– 同新聞の記事では、カメラに顔の撮影・記録のための操作画面はなく、取扱説明書にも言及はなかったとしており、一方でカメラの販売元も、取材に対し「転売・廃棄は想定していなかった」と回答しています。

[ 出典 ]
https://www.yomiuri.co.jp/national/20230524-OYT1T50072/
https://togetter.com/li/2139720

AUS便りからの所感 AUS便りからの所感

販売元のWebサイトに複数機種の検温カメラの説明書が掲載されていますが、顔画像の記録・管理機能がある機種でも説明書に掲載されているものとされてないものがある模様です。

前述のTwitterでの報告では、本来顔認証等によるドア施開錠機能も備えていたような機器が転用されていた可能性が指摘されています。

コロナ感染症の5類移行により、検温カメラが撤去され、オークションやフリマアプリで売却されるケースが他にもある模様で、今後個人情報の流出に繋がる問題となり得ることが懸念されており、いわゆるIoT機器から検温カメラをはじめ情報を保存する機能やネットワーク機能がないように見える機器に至るまで、データの消去・設定のリセット等の機能の有無を確認すること、そういった機能がなく情報が内部に残存する可能性があるものについては転売せずに破壊・廃棄する等の管理体制をとるようにしてください。

Pythonライブラリ管理サービスで2要素認証の要求、2023年末までに…相次ぐコード改ざん受け

– 5月25日(現地時間)、プログラミング言語Pythonのライブラリ管理サービスPyPI(Python Package Index)より、ユーザーに対し2要素認証(2FA)を有効化するよう求めると発表されました。

– PyPI上のプロジェクトまたは組織を管理する全てのアカウントについて、2023年末までに2FAを有効化することを義務付けるとしています。

– PyPIのユーザーアカウントを乗っ取り、ライブラリにマルウェア等悪意のあるコードを混入させる事例が多発していることを受けての対応としています。

[ 出典 ]
https://news.mynavi.jp/techplus/article/20230529-2690131/
https://blog.pypi.org/posts/2023-05-25-securing-pypi-with-2fa/

AUS便りからの所感 AUS便りからの所感

ソースコード管理・共有サイト「Github」でも同様のセキュリティ上の問題により、今年3月から2023年中にかけて2FA有効化の義務付けを進めています。

2FAの方法として、PyPIではUSBキー等のセキュリティデバイスを推奨している他、複数のスマホアプリ等が対応するワンタイムパスワード(TOTP)も紹介しています。

大規模なサービスの多くが2FA(ないし多要素認証(MFA))に対応し、また今後は「Passkey」と呼ばれるパスワードレスの認証方法への対応も進むとみられ、強固なパスワードを設定したアカウントであっても油断することなく、2FA・MFA等パスワード以外でのアカウント保護手段を採用するよう心掛けましょう。