ソースコード管理ツール「GitLab」、世界約5,400台、国内約150台のサーバーに脆弱性

セキュリティニュース
ここで紹介するニュースは、ほとんどの場合下記の方法で対策できます。
〇 OS、アプリケーション、アンチウイルスのデータベース等を常に最新の状態に保つ
〇 UTM導入等によるネットワーク全体の防御を行う

ソースコード管理ツール「GitLab」、世界約5,400台、国内約150台のサーバーに脆弱性

– 1月24日(現地時間)、サイバーセキュリティ系メディア「Security Affairs」より、ソースコード管理ツール「GitLab」のサーバーについて、緊急性の高い脆弱性が修正されていないバージョンが全世界で5,379台稼働していると発表されました。

– 脆弱性(CVE-2023-7028)は同11日にバージョン16.7.2等で修正されたもので、悪用により、GitLabユーザーのアカウントを乗っ取られる恐れがあるとされています。

– 発表の時点で日本国内でも149台のGitLabサーバーに脆弱性があるとされており、セキュリティアップデートの適用が呼び掛けられています。

– Security AffairsおよびGitLabの開発元では、アップデート以外の回避策として二要素認証(2FA)を有効にすることも推奨しています。

AUS便りからの所感 AUS便りからの所感

GitLabはGitHubのようなソースコードのバージョンや開発時の問題追跡等の管理機能を提供するもので、主に各組織でオンプレミスあるいはクラウド上のLinuxサーバーにインストールして使用する形となっています(GitLabではこの他にホスティングサービスも提供しています)。

バージョン16.7.2(および16.6.4、16.5.6)ではCVE-2023-7028含め5件の脆弱性が修正されていますが、さらに同25日には月例のアップデートとしてバージョン16.8.1(および16.7.4、16.6.6、16.5.8)がリリースされ、ここでも7件の脆弱性が修正されています。

Linuxディストリビューションでインストールした他のソフトウェアを含め可能な限り最新バージョンに保つようにすることはもちろん、外部からアクセス可能な状態で前述した2FAの利用が難しい場合等には、特定IPアドレスからのみのアクセスに制限することや、前面にUTMやWAFを設置する等も検討に値するでしょう。


攻撃者が大企業より小規模な非営利団体を狙う5つの理由

– 1月17日(現地時間)、セキュリティベンダーの米クラウドストライク社より、攻撃者は大企業よりも小規模な非営利団体をターゲットにする、またこれにより非営利団体にとって致命的な被害に繋がるケースがあるとするレポートが発表されました。

– レポートでは、小規模な非営利団体がターゲットになる理由として「サイバー攻撃への防衛が(財政的な制約により)手薄なことを攻撃者は知っている」「低予算のため旧式のPC・OSを利用しているケースが多く(企業・個人から寄付されたPCを利用するケースも)、セキュリティ研修も不足している」「Webサイトで商品・サービスを販売し、購入情報をネットワーク上で管理しており、攻撃者にとってより価値の高いデータを獲得できる可能性がある」「団体が掲げる信条から、政治団体やテロリストの標的になる可能性がある」「より大きなターゲットへアクセスするための踏み台として利用される」の5つを挙げています。

AUS便りからの所感 AUS便りからの所感

レポートはアメリカないし国際的な事情を基にしたものと見受けられますが、日本においても大きな組織がターゲットとされたり、大規模な情報流出等があったりしたものが多く報じられる陰に、中小企業の被害が多くあること、組織が認識しないまま攻撃が成功しているケースもあることは容易に想像できます。

例えば5つ目の「より大きなターゲットへアクセスするための踏み台」は、サプライチェーン攻撃や、過去にやり取りしたメールを窃取してビジネスメール詐欺(BEC)を仕掛けること等が考えられ、取引相手に渡すファイルにマルウェアが入り込んだりしないために、各PCでのアンチウイルスによる防御およびUTM等による出口対策、また自分たちが偽メールに騙されないだけでなく相手も被害を受けることがないよう、SPF・DKIM・DMARCといったなりすまし対策を実施する等が大事となります。


2023年はフィッシングによる不正送金被害急増か…金融庁・警察庁発表

– 12月25日(日本時間)、金融庁と警察庁より、フィッシングによるものとみられるインターネットバンキングによる預金の不正送金被害が急増しているとして注意喚起が出されています。

– 発表によれば、2022年8月下旬から9月にかけて被害が急増して以降は落ち着きを見せていたものの、2023年は2月以降再度被害が増加し、同11月末までにおける被害件数は5,174件、被害額は約80.1億円に上っているとしています。

– 金融庁からは、日々の心がけとして「心当たりのないSMS等は開かない」「身に覚えのない取引を確認した場合は速やかに金融機関に照会する」および「SMS等に記載されたURLからアクセスせず、事前に正しいウェブサイトのURLをブックマーク登録しておき、ブックマークからアクセスする」よう呼び掛けています。

AUS便りからの所感 AUS便りからの所感

二官庁の他に全銀協と日本サイバー犯罪対策センター(JC3)の四者から、年末年始は特に3大メガバンク(三菱UFJ・三井住友・みずほ)を騙るフィッシングに注意すること、また「不正アクセス」「個人情報の確認」「取引の停止」等のワードに警戒するよう呼び掛けられていました。

今年に入っても内閣府を騙り「電力・ガス・食料品価格高騰対応緊急支援給付金(5万円)に関するお知らせ」と題したフィッシングメールが確認され、注意喚起が出されています。

上記のような政府機関やセキュリティ関連組織あるいはフィッシング対策協議会等の情報あるいはSNS等での報告を収集し、常に慎重に行動することが重要です。