報道機関向けページでアクセス制限かけ忘れ…第三者が閲覧可能状態に

セキュリティニュース
ここで紹介するニュースは、ほとんどの場合下記の方法で対策できます。
〇 OS、アプリケーション、アンチウイルスのデータベース等を常に最新の状態に保つ
〇 UTM導入等によるネットワーク全体の防御を行う

– 6/20号 目次 –

01. 報道機関向けページでアクセス制限かけ忘れ…約1,000人分の個人情報、第三者が閲覧可能状態に


02. 北海道電力・沖縄電力を騙るフィッシング、対策協議会が注意喚起


03. 米政府機関へのサイバー攻撃相次ぐ…露攻撃者集団がソフト脆弱性悪用か

報道機関向けページでアクセス制限かけ忘れ…約1,000人分の個人情報、第三者が閲覧可能状態に

– 6月15日(日本時間)、熊本県より、のべ955人分の個人情報を含んだ資料を掲載するWebページが誤って第三者に公開された状態にあったと発表されました。

– Webページは県から報道機関へ資料を提供するためのもので、資料には叙勲・褒章受賞者888人の住所、および取材の問合せ先67人分の名前・電話番号が掲載されていたとのことです。

– 当該Webページは2020年2月から提供され、この時点ではID・パスワードによるアクセス制限がかかっていましたが、同12月から2023年6月3日にかけて外部から閲覧可能な状態にあったとしています。

– 発表の時点でシステムは再構築されているとのことで、現在は対策されている模様です。

[ 出典 ]
https://newsdig.tbs.co.jp/articles/-/545600?display=1
https://www.fnn.jp/articles/-/543356

AUS便りからの所感 AUS便りからの所感

Webページが公開状態となったのは2020年12月に管理委託業者が変わった後とされ、サーチエンジンにも掲載される状態にあったようです。

このような変更が発生したことについて、県では「ホームページの仕様で県のイメージと委託業者のイメージにズレがあったこと」等が原因としていますが、当初のアクセス制限が外されていたことが委託業者側の意図したものか、設定ミスによるものかは、明らかではありません。

推測されにくいURLによる隠しページを用意する発想はよくとられますが、例えばWordPressにおいてこの手法をとり、公開状態を「非公開」や「パスワード保護」にしなかった場合、そのページへのパーマリンクの一部のみ入力されたとしても補完・リダイレクトされ、ページの内容が閲覧可能となってしまう場合があるため、最低でもパスワード保護を行う等、適切なアクセス制限を設定することが肝要です。

北海道電力・沖縄電力を騙るフィッシング、対策協議会が注意喚起

– 6月13日(日本時間)、フィッシング対策協議会より、北海道電力(北電)と沖縄電力(沖電)を騙るフィッシングについて注意喚起が出されています。

– フィッシングの一例として、件名が「北海道電力利用料金のご請求です【重要なお知らせ】」等で、北電の「Web料金お知らせサービス」や沖電の「電気ご使用実績照会サービス」を騙り、アカウントや個人情報の入力およびVプリカによる料金支払いを要求する偽サイトへ誘導するものが挙げられています。

– 同協議会では、このようなフィッシングサイトにて、ID・パスワード・メールアドレス・電話番号・名前・Vプリカ発行コード番号・額面等を絶対に入力しないよう呼び掛けています。

[ 出典 ]
https://www.antiphishing.jp/news/alert/hokuden_20230613.html
https://www.antiphishing.jp/news/alert/okiden_20230613.html

AUS便りからの所感 AUS便りからの所感

同協議会による電力会社を騙るフィッシングへの注意喚起は昨年までごく少数でしたが、今年に入り3月に東京電力と関西電力を騙るものについて挙げられています。

3月のフィッシングを含めフィッシングメールのリンクに「支払いの詳細リンクエント」と書かれている点が共通しており、全て同じサイバー犯罪グループによるものとみられます。

電力各社もフィッシングメールに対する注意喚起を出していますので、利用しているサービスの本物のサイトをあらかじめブックマークしてそこからアクセスするようにし、発信されている情報を随時確認しつつ、フィッシングメールに対し慎重に行動すること、また可能な限りメーラーやブラウザー・アンチウイルスソフトのアンチフィッシング機能等を有効にすることを心掛けましょう。

米政府機関へのサイバー攻撃相次ぐ…露攻撃者集団がソフト脆弱性悪用か

– 6月15日(現地時間)、米セキュリティ機関のCISAより、複数のアメリカ政府機関が相次いでサイバー攻撃を受けていると発表されました。

– 「MOVEit」というファイル転送ソフトウェアの脆弱性を悪用され、侵入の被害を受けたとしている一方、情報流出等の重大な影響はなかったとも報じられています。

– MOVEitの脆弱性を突く攻撃が世界中で確認されており、ロシアの攻撃者集団「CLOP」の関与が疑われているとのことです。

[ 出典 ]
https://www.tokyo-np.co.jp/article/256965
https://www.cnn.co.jp/usa/35205305.html
https://www.trendmicro.com/ja_jp/research/23/f/insight-on-vulnerabilities-in-moveit-transfer.html

AUS便りからの所感 AUS便りからの所感

MOVEitはProgress Software社が開発提供し、米政府機関等で広く使われているとされていますが、5月末以降、3件の脆弱性が報告され、3度アップデートがリリースされています。

特にSQLインジェクションの脆弱性(CVE-2023-34362)については、セキュリティアップデートのリリース前から悪用されていたゼロデイ脆弱性とみられています。

一般的な話とはなりますが、クライアントPC~サーバーにインストールされているあらゆるソフトウェア、さらには各種ネットワーク機器のファームウェアに至るまで、直接的・間接的に脆弱性が悪用される可能性を抑制するため、全てを常に最新に保つようにし、加えてアンチウイルスやUTM等による防御も確実に行うことが重要です。