〇 OS、アプリケーション、アンチウイルスのデータベース等を常に最新の状態に保つ
〇 UTM導入等によるネットワーク全体の防御を行う
– 10/17号 目次 –
01. 2025年10月にWindows 10サポート期限、IPAが注意喚起…Office 2016・2019も
02. Internet Archiveに不正アクセス、ユーザー3,100万人のアカウント情報流出…DDoS攻撃による一時ダウンも
03. 「定期的変更」「大文字・数字の必須」はいけない…米NISTがパスワード設定に関するガイドライン
2025年10月にWindows 10サポート期限、IPAが注意喚起…Office 2016・2019も
– 10月15日(日本時間)、IPAより、Windows 10(Home・Pro・Education・Enterprise・IoT Enterprise)が2025年10月15日に無償サポート(延長サポート)終了となることについて注意喚起が出されています。
– サポートが終了したOS等を継続利用する場合、その後に発見された脆弱性の修正が期待できず、セキュリティリスクを解消することができなくなることから、根本的対策として「サポートが継続している後継または代替のOSに移行する」ことを推奨しています。
– この他、買い切り版のOffice 2016・2019も同じく2025年10月にサポートが終了するため(Office 2021も2026年10月がサポート終了となります)、Office 2024あるいはサブスクリプションのMicrosoft 365への移行が推奨されています。
https://forest.watch.impress.co.jp/docs/news/1630884.html
https://www.ipa.go.jp/security/security-alert/2024/win10_eos.html
https://learn.microsoft.com/ja-jp/lifecycle/end-of-support/end-of-support-2025#product-retirements
AUSからの所感
IPAでは2024年1月~9月に公開されたWindowsの脆弱性のうち15件が悪用が確認されたとして米CISAに登録されていることを挙げ、特に3月発表の脆弱性「CVE-2024-26169」がランサムウェアへ感染させることを目的に悪用されているとしており、サポート終了後のWindowsにおいて修正されることのない脆弱性はなおさらターゲットとされることでしょう。
マイクロソフト(以下・MS)からはWindows 10に対し有償の延長サポート「Extended SecurityUpdates(ESU)」を3年間(2028年まで)提供することが2023年12月に発表済みですが、ボリュームライセンスでの利用に限られる上、年毎に価格が上昇する等のデメリットがあります。
Windows 11のハードウェア要件は10よりさらに厳しくなり、本来要件を満たさないハードに強引に11をインストールした中古PC等が販売されるケースも散見されていますが、メモリが8GB以下であったりSSDを搭載していなかったりするPCで11を常時スムーズに動作させることは困難と心得、正式にハードウェア要件を満たすことを確認したPCへの移行を今からでも1年間で計画することが肝要です。
Internet Archiveに不正アクセス、ユーザー3,100万人のアカウント情報流出…DDoS攻撃による一時ダウンも
– 10月9日(現地時間)、米IT系メディアBleeping Computerより、Internet Archiveが不正アクセスを受け、ユーザー3,100万人のアカウント情報が流出したと報じられました。
– 同サイトへのアクセス時に不審なメッセージが表示される事象が発生していたとされ、サイトが改ざんされたことによるものとみられます。
– 同サイトは同時期にDDoS攻撃も受けて、一時完全ダウンしており、10月17日(日本時間)現在は読み取り専用(Webページの収集などを停止)状態となっています(Bleeping Computerでは情報流出とは別の攻撃者によるものとしています)。
https://www.itmedia.co.jp/news/articles/2410/10/news122.html
https://www.itmedia.co.jp/news/articles/2410/11/news105.html
https://www.itmedia.co.jp/news/articles/2410/14/news064.html
https://www.bleepingcomputer.com/news/security/internet-archive-hacked-data-breach-impacts-31-million-users/
AUSからの所感
Internet ArchiveはWebページのアーカイブ取得の他、有志ユーザーによる映像・音声・プログラム等様々なコンテンツのアップロードが行われています。
サイトに表示されたメッセージは「See 31 million of you on HIBP!」で締められており、不正アクセスで流出したメールアドレス・パスワードのデータベース「Have I Been Pwned(HIBP)」に今回流出したメールアドレスが反映されていますので、サイトにユーザー登録していた場合は同じパスワードを他のサイトで使っていないか念の為確認を推奨します。
今回のように不審なメッセージが表示されるような改ざんが行われたサイトでは保存された膨大なデータにおいてもマルウェアが入れ込まれる等の可能性について警戒し、他のサイトの閲覧時も含めアンチウイルス・UTMによる防衛策をとるべきです(運営は現時点で「データは破損していない」と発表しています)。
「定期的変更」「大文字・数字の必須」はいけない…米NISTがパスワード設定に関するガイドライン
– 10月7日(日本時間)、ITニュースサイト「ITMedia」において、米国立標準技術研究所(NIST)が発表したデジタル認証に関するガイドライン「SP800-63B」の、パスワード設定に関するセクション3.1.1が取り上げられています。
– ガイドラインでは、ユーザーにパスワードを定期的に変更することを「要求してはならない」としています(ただしアカウント侵害の可能性がある場合は変更を要求する必要があるとしています)。
– またパスワードの長さについては「最低8文字を必須とし、15文字以上を推奨」および「64文字まで許可すべき」、文字種は「印字可能なASCII文字とスペース、さらにはUnicode文字を受け入れるべき」とする一方で「大文字小文字の混在や数字、記号の使用を強制するような複雑な規則は課さない」としています。
https://www.itmedia.co.jp/news/articles/2410/07/news054.html
https://pages.nist.gov/800-63-4/sp800-63b.html#password
AUSからの所感
ガイドラインで提唱されている内容は、リスト型攻撃といったアカウントへの攻撃の発生等で得られた知見をもとに、従来常識とされたものの見直しを追随・反映したものを多く含んでいるとみられます。
ユーザーが自分で覚えられる範囲でパスワードを決定し、それに対し定期的な変更を強制した場合、「password1」「password2」のように数字を付け加える程度の小規模な変更に留まる可能性があり、攻撃者にとってもパスワードを推測する際によく使われるパターンとなることが指摘されています。
ガイドラインでは「パスワード管理ツールを使用許可すべき」および「パスワードのコピーペーストを禁止してはならない」ともしており、前述した悪いパターンの回避の意味でも、パスワード管理ツールがサイト毎に生成するランダムなパスワードを利用することは有用でしょう。
