〇 OS、アプリケーション、アンチウイルスのデータベース等を常に最新の状態に保つ
〇 UTM導入等によるネットワーク全体の防御を行う
– 12/19号 目次 –
01. 年末年始における情報セキュリティの注意喚起、IPAより発表
02. NTLMv1認証、Windows 11 24H2で削除…v2も6月に非推奨と発表済み
03. 11月度フィッシング報告件数は178,593件、サイトURL件数共々歴代2位に
年末年始における情報セキュリティの注意喚起、IPAより発表
– 12月17日(日本時間)、IPAより、年末年始を迎えるにあたっての、情報セキュリティに関する注意喚起が出されました。
– 多くの企業・組織において、この時期に従業員等が長期休暇を取得、常駐する人が少なくなる等「いつもとは違う状況」となり、通常時には生じにくい様々な問題が発生し得ることを鑑み、「個人の利用者」「企業や組織の利用者」「企業や組織の管理者」それぞれを対象に、「休暇前」「休暇中」「休暇明け」に行うべき基本的な対策と心得が「長期休暇における情報セキュリティ対策」においてまとめられています。
– IPAは毎年のゴールデンウィークと夏季・冬季休暇の時期に注意喚起を行っており、今回は特に企業や組織の利用者・管理者への注意喚起として、インターネットに接続された機器・装置類の脆弱性を悪用する「ネットワーク貫通型攻撃」が相次いでいることを挙げています。
https://www.ipa.go.jp/security/anshin/heads-up/alert20241217.html
https://www.ipa.go.jp/security/measures/vacation.html
https://www.ipa.go.jp/security/measures/everyday.html
AUSからの所感
注意喚起の内容は、システム管理者が長期間不在になる等により、ウイルス感染や不正アクセス等のインシデント発生に気付きにくく対処が遅れてしまう可能性から、従業員が旅行先等でSNSへの書き込みを行った場合に、最悪関係者にも思わぬ被害が及んでしまう可能性まで、多様なものとなっていますが、毎回の注意喚起で挙げられているセキュリティ対策の内容は大きく異なるようなものではありません。
ネットワーク貫通型攻撃に関しては、「情報の漏えいや改ざん、ランサムウェアへの感染に加え、不正な通信の中継点とされてしまう」被害も予想されるとしており、こういった攻撃が特に管理者不在とみられる隙を突いて行われる可能性を鑑み、事前の監視体制、あるいは万一間に合わずとも事後のログ監査等の体制を確実に整備すべきでしょう。
この他、長期休暇に関係なく常時から注意すべき普遍的なものがまとめられた「日常的に実施すべき情報セキュリティ対策」についてもやはり内容が頻繁に更新されるものではなく、「長期休暇における情報セキュリティ対策」と同様に各人が目を通し、常日頃において準備・点検を行うよう意識していくこともまた肝要です。
NTLMv1認証、Windows 11 24H2で削除…v2も6月に非推奨と発表済み
– 12月9日(現地時間)、マイクロソフト(以下・MS)による「Features and functionality removed in Windows client(Windows クライアントで削除された機能と機能)」の情報が更新され、Windowsサーバー・クライアント間のファイル共有で使用されていた古い認証形式であるNTLMv1認証がWindows 11 24H2で削除されたことが記載されています。
– MSは6月3日の時点で、NTLMv1の他、より新しいNTLMv2も含めたNTLM認証全般を「非推奨」とすることを発表しており、NTLMv2も今後削除される可能性があるとして、Kerberos認証の使用を推奨しています。
– NTLMv1認証が導入されたのはWindows NT 3.1、NTLMv2もNT 4.0 SP4(1998年リリース)での導入であり、MSではもはやアク
ティブな開発が行われていないこと等を非推奨の理由としています。
https://forest.watch.impress.co.jp/docs/news/1647735.html
https://forest.watch.impress.co.jp/docs/news/1597143.html
https://learn.microsoft.com/en-us/windows/whats-new/removed-features
AUSからの所感
今日一般的な環境でNTLMv2の代わりにNTLMv1が必要となることは皆無であり、今回のNTLMv1の削除自体が大勢に影響しないはずでしたが、Windows 11 24H2へのアップグレードにより、ファイルサーバー等へアクセスできなくなったという報告が散見されており、ID・パスワードが不要なゲストアクセスがデフォルトで制限されたことが原因とされています(ゲストアクセスを可能にする回避策は提示されています)。
やはりファイル共有で使用されるプロトコルSMBでも、Windows 10において古いSMBv1がセキュリティ上の問題から無効化された際、SMBv1にしか対応していない古いファイルサーバーにアクセスできなくなるトラブルが多く報告された経緯があります(こちらも回避策は公式に提示されています)。
NTLMから移行が推奨されているKerberos認証はActiveDirectoryのドメイン環境でのみ利用可能であり、家庭や小規模な組織等のワークグループ環境では利用できないことを鑑み、今後もNTLMv2は削除されずともデフォルトで無効化されることが考えられ、管理者においてはこういった情報や回避策を事前に調査し、あるいはクライアント・サーバー側双方で設定を行うことが求められるでしょう。
11月度フィッシング報告件数は178,593件、サイトURL件数共々歴代2位に
– 12月16日(日本時間)、フィッシング対策協議会より、11月に寄せられたフィッシング報告状況が発表されました。
– 11月度の報告件数は178,593件で、10月度(https://www.antiphishing.jp/report/monthly/202410.html )の181,443件から
2,850件減少しています。
– フィッシングサイトのURL件数は77,109件で10月度(71,367件)から5,742件増加、悪用されたブランド件数は94件で10月度(88件)から6件増加となっています。
AUSからの所感
報告件数は、過去最多を更新した10月度に次ぐ歴代2位となり、フィッシングサイトのURL件数も9月度の一時的な減少を経て、こちらも8月度の85,768件に次ぐ歴代2位となっています。
フィッシングサイトで使用されるTLD(トップレベルドメイン名)の割合は .com(約42.5%)、.cn(約36.4%)が10%超えで2トップの状況が続いており、中華系によるフィッシングが長らく大勢を占めていると推測されます(その他の国のドメイン名が使われるケースも決して見過ごせる規模ではありませんが)。
DMARC(SPF・DKIMでの検証に失敗したメールの取り扱いの指定)のポリシーがnone(特に指定しない)になっているドメイン名のメールについては、NTTドコモが10月以降、警告を出す措置をとっている(5月22日発表、https://www.docomo.ne.jp/binary/pdf/info/news_release/topics_240522_00.pdf )ことを取り上げており(GMailでは現時点で許容されています)、まだnoneに設定している場合は、自ドメインになりすますメールがどれだけ送られているかをDMARCのレポート機能で把握した上で、quarantine(迷惑メールフォルダー等への隔離)あるいはreject(受信拒否)への移行を計画すべきでしょう。
