2023年4月のセキュリティ関連ニュース

2023年4月に収集した情報に関する備忘録です。主にセキュリティに関する情報をまとめますが、それ以外の気になる情報も含みます。

インシデント関連

G7前にサイバー攻撃が頻発　特殊な手法、企業や官庁に (共同通信, 2023/04/29)

G7前にサイバー攻撃が頻発　特殊な手法、企業や官庁に ｜ 共同通信

今年3月以降、企業や中央省庁、地方自治体のウェブサイトを狙った特殊なサイバー攻撃が頻発していることが29日、関係者への取材で分かった。大量のデータを送り付けシステム障害を起こすDDoS攻撃の一種だが、サイトの重要サーバーを狙った特殊な手法を使っていた。ほとんどは短時間で復旧した。

図はおかしい気がします…。分かりやすくしようとして正確ではなくなることがよくありますね。

公開前の福井市人事異動、ＵＲＬの一部換えたら読めた…同僚にも方法教えた職員処分 (読売新聞, 2023/04/29)

公開前の福井市人事異動、ＵＲＬの一部換えたら読めた…同僚にも方法教えた職員処分

　市によると、男性職員は３月２３日、インターネット上の職員専用の掲示板に保存されていた人事異動情報のファイルを不正に閲覧し、同僚に見る方法を伝えた。ファイルは未公開の状態だったが、ＵＲＬの一部を書き換えると閲覧できたという。

そもそもアクセス制御に不備がある時点で「不正アクセス」には該当しない気もしますが、就業規則違反等に該当するということなんですかね。

新潟県の公文書データ10万件が消失　保守業者がテストなしで新機能追加し不具合に (ITmedia, 2023/04/24)

新潟県の公文書データ10万件が消失　保守業者がテストなしで新機能追加し不具合に

　4月10日に、県の職員が添付ファイルを開けない状況になっていることに気付き、富士電機ITソリューションに調査を依頼した。ファイルが消失したのは9日夜ごろで、判明した段階でバックアップ期間（3日間）を過ぎていたためバックアップファイルが残っていないことが分かった。 原因は、添付ファイルの拡張子を小文字に変更する新機能を、運用テストや社内審査などの必要な社内手続きを経ずに追加したことという。これにより、不要なファイルを削除するプログラムが約10万件のファイルを不要として削除した。開発担当者と運用担当者の間で情報共有もできておらず、県から連絡を受けた際に対応に遅れが出たという。

外部委託先管理の重要性が分かる事案。予算の問題はあるにせよ、バックアップ期間が極端に短いですね。

大阪急性期・総合医療センターへのランサムウェア攻撃に関する報告書「誤った閉域網神話によるセキュリティ意識の薄れ」指摘 (ScanNetSecurity, 2023/04/21)

大阪急性期・総合医療センターへのランサムウェア攻撃に関する報告書「誤った閉域網神話によるセキュリティ意識の薄れ」指摘 | ScanNetSecurity

地方独立行政法人大阪府立病院機構 大阪急性期・総合医療センターは3月28日、2022年10月31日に公表したランサムウェア感染による電子カルテシステムの障害について、調査報告書を発表した。75ページのPDFファイルによる報告書と、7ページのPDFファイルによる報告書概要を公開している。

2021年の半田病院さんでの事案 に続く、医療系での大規模インシデント。体制やシステム構成等は異なっていても、この報告書は自組織の対策を検討・見直す上で参考になるのではないでしょうか。

報告書はこちら：https://www.gh.opho.jp/important/785.html

「指定するドメインのみ利用可能」ABC-MARTオンラインストアが打ち出した不正対策が話題 (INTERNET Watch, 2023/04/18)

「指定するドメインのみ利用可能」ABC-MARTオンラインストアが打ち出した不正対策が話題【やじうまWatch】

同ストアがこのたび発表したのは、不正利用対策などの観点から、同社が定めるドメイン以外で登録している会員情報が使えなくなるというもの。同社が定めるドメインは著名なプロバイダーやキャリアメールを中心とした50個に限定されており、それ以外のメールアドレスを利用しているユーザーは、利用終了日である5月31日までにこれら50個のドメインのメールに変更しなければ、以降は同ストアや公式アプリへのログイン、ポイント利用、購入履歴の閲覧が不可能になるとしている。

職場のメールアドレスを利用している方も意外と多そうな気がしています。どんなリスクシナリオを想定したのか気になりますね。

脆弱性関連

Hackers actively exploit critical RCE bug in PaperCut servers (BleepingComputer, 2023/04/19)

Hackers actively exploit critical RCE bug in PaperCut servers

Print management software developer PaperCut is warning customers to update their software immediately, as hackers are actively exploiting flaws to gain access to vulnerable servers.

日本ではあまり話題になっていない気がしますが、PaperCut の RCE 脆弱性に起因するインシデントが発生しているようです。

細かすぎるけど伝わってほしい脆弱性診断手法ドキュメント (ISOG-J, 2023/04/12)

Introduction

クロスサイトスクリプティングやSQL Injectionなどの著名な脆弱性は診断手法や対策なども浸透し、日本語で読める良質なドキュメントが複数あります。
本ドキュメントでは、これらの脆弱性ではなく、一般に診断が困難であったり特有の確認方法が必要となるような脆弱性についてターゲットを絞って記載しています。 脆弱性診断員はもとより開発者の方々も、本ドキュメントを参考に、自身のアプリケーションに脆弱性が紛れ込んでいないか確認していただければ幸いです。

クラウドやAPIの話も入っているので、バリバリの開発者でなくとも参考になるかもしれません。

生成AI

セキュリティ担当者がChatGPTの業務利用方針を検討するうえでの留意点 (Assured, 2023/04/10)

セキュリティ担当者がChatGPTの業務利用方針を検討するうえでの留意点

そこでこの度、世間の関心を特に集めているChatGPTについて、Assuredのセキュリティ評価専門チームが公開情報を読み解き、企業における業務利用方針を検討されるセキュリティ担当者の皆様向けに解説をさせていただきます。
本ページでは、AIに関する世の中の動向およびChatGPTのWeb版の業務利用（API利用は除く）を想定したセキュリティ上の留意点を取り上げます。最新AI技術を安心・安全に活用し、業務の効率化や新たなビジネスチャンスに繋げていただくため、本ページをぜひお役立てください。

日ごとに新しい情報が出てきますが、情報をさくっとキャッチアップするには良いまとめだと思います。

ガイドライン関連

SBOM導入の手引書、パブコメを実施 - 経産省 (Security NEXT, 2023/04/28)

【セキュリティ ニュース】SBOM導入の手引書、パブコメを実施 - 経産省（1ページ目 / 全1ページ）：Security NEXT

ソフトウェアサプライチェーン攻撃のリスクが上昇し、企業経営にも影響を及ぼす状況にあり、ソフトウェアの依存関係を管理する「ソフトウェア部品表（SBOM）」の活用に関心が高まっていることから、「SBOM」の導入に向けて基本的な情報やポイントを取りまとめた手引きを用意したもの。

一から十まで内製でやっている組織でないと、完璧に導入・運用するのは難しいのではないでしょうか。

パブコメ案はこちら：https://public-comment.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=595223028&Mode=0

プレス発表 「中小企業の情報セキュリティ対策ガイドライン」を改訂 (IPA, 2023/04/26)

プレス発表 「中小企業の情報セキュリティ対策ガイドライン」を改訂 | プレスリリース | IPA 独立行政法人 情報処理推進機構

「中小企業の情報セキュリティ対策ガイドライン」は、中小企業の経営者や実務担当者が、情報セキュリティ対策の必要性を理解し、情報を安全に管理するための具体的な手順等を示したガイドラインです。2019年3月に第3版を公表して以降、新型コロナウイルス感染防止策によるテレワークの普及や、DX 推進の両輪としての情報セキュリティ対策といった社会動向の変化などを踏まえ、具体的な対応策を盛り込むための改訂を行いました。

コロナ禍がある程度落ち着き、多くの組織で職場回帰が進む中、特に中小企業でテレワーク制度がどの程度残るのか、個人的には非常に疑問です。

社長になりすましグループ企業取締役に金銭要求 ～ IPA「BEC事例集」新規事例 (ScanNetSecurity, 2023/04/19)

社長になりすましグループ企業取締役に金銭要求 ～ IPA「BEC事例集」新規事例 | ScanNetSecurity

新たに追加された事例「国内企業社長になりすまし、グループ企業役員に金銭の支払を要求した事例」は、2022年8月に国内の企業（A社）の社長になりすました攻撃者から、東南アジアのグループ企業（B社）の役員に対して、M&A（企業の合併買収）について協力してほしいと称するメールが送られたもの。

A社およびB社はなりすましメール対策として、送信ドメイン認証（SPF）の設定を変更したほか、DMARCの導入検討も開始した。

BECは被害がなかなか表沙汰にならず注目されにくい印象がありますが、被害額も大きくなりがちなので対策の優先度は高いのではないかと思っています。

IPAのドキュメントはこちら：https://www.ipa.go.jp/security/bec/bec_cases.html

「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版（案）」に対する意見の募集 (2023/04/18)

総務省｜報道資料｜「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版（案）」に対する意見の募集

　医療情報の安全管理のため、医療情報を取り扱う情報システムやサービスの提供事業者が遵守すべき内容として、総務省及び経済産業省では、令和2年8月に「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」を公表しました。
同ガイドラインについて、近年のサイバー攻撃の多様化・巧妙化等の背景を踏まえ、改定することとしました。今般、「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版（案）」を取りまとめましたので、令和5年4月19日（水）から同年5月18日（木）までの間、同ガイドライン案に対する意見を募集します。

近年の医療系インシデントを踏まえた改定ですね。

経産省がセキュリティー指針を5年ぶりに改訂、サプライチェーン対策が急務に (日経クロステック, 2023/04/18)

経産省がセキュリティー指針を5年ぶりに改訂、サプライチェーン対策が急務に

　経済産業省は2023年3月24日、経営者向けのサイバーセキュリティー対策の指針「サイバーセキュリティ経営ガイドライン」を5年ぶりに改訂した。昨今のサイバー攻撃の被害事例を踏まえ、サプライチェーン（供給網）のセキュリティー対策についての言及を大幅に増やすなど内容を見直した。

「サイバーセキュリティ経営ガイドライン Ver3.0」が公開されました。

ガイドラインはこちら：https://www.meti.go.jp/policy/netsecurity/mng_guide.html

トピックス

地方金融機関の7割、セキュリティリスクを評価できる人材が不足 (Security NEXT, 2023/04/28)

【セキュリティ ニュース】地方金融機関の7割、セキュリティリスクを評価できる人材が不足（1ページ目 / 全2ページ）：Security NEXT

43.0％が「経営層の判断のもとリスク対応方針を決定」しているが、36.9％はシステムリスク管理部門、17.7％はシステム管理部門が判断を行なっていると回答した。
あらたなデジタル技術の導入により生じうるサイバーセキュリティのリスクについて、71.7％が評価可能な人材を十分に確保できていないという。

官主導の自己評価では高めの点数で回答するのが通常だと思いますが、それでもこの数字ということは人材不足は相当深刻のように見えます。

報告書はこちら：https://www.fsa.go.jp/news/r4/cyber/20230418.html

2023年1月から3月を振り返って (JPCERT/CC, 2023/04/26)

2023年1月から3月を振り返って

2023年1月から3月にかけて確認された影響範囲の広い脆弱性情報や脅威情報などをまとめました。当期間中もインターネット経由で接続可能な製品に対する攻撃や、マルウェア感染に至るメールを用いた攻撃に関する情報が公開されています。

2023年3月に Emotet が再度活発になり、新たな手口として OneNote 形式のファイルがダウンローダとして使われました。

米サイバー犯罪の実態が明らかに (日経クロステック, 2023/04/26)

米サイバー犯罪の実態が明らかに

　米連邦捜査局（FBI）のインターネット犯罪苦情センター（IC3）は、同センターに報告されたサイバー犯罪被害を集計した「Internet Crime Report（インターネット犯罪リポート）」を毎年公表している。それによるとサイバー犯罪の種類別の被害額は、2021年までは7年連続でビジネスメール詐欺が首位だった。
　ところが2023年3月10日に公表された「Internet Crime Report 2022」では異変が起こった。別のサイバー犯罪が首位を奪取したのだ。その被害額は、ランサムウエア攻撃とビジネスメール詐欺を合わせた被害額を上回った。

暗号資産は1件あたりの金額が大きいので、ランキング的には上位に来ているということなんでしょうね。

レポートはこちら：https://www.ic3.gov/Media/PDF/AnnualReport/2022_IC3Report.pdf

いかに「SBOM」を関係者間で共有するか - 米CISAがレポート (Security NEXT, 2023/04/18)

【セキュリティ ニュース】いかに「SBOM」を関係者間で共有するか - 米CISAがレポート（1ページ目 / 全1ページ）：Security NEXT

「SBOM」の生成に関しては議論が行われるようになったが、共有については議論が進んでいないとして、作成者と利用者間における「SBOM」の共有方法について紹介し、組織に応じたソリューションの導入を支援する目的でレポートを取りまとめたもの。

またインタビュー調査を実施し、21組織から得られた回答をもとに取り組み状況を紹介。現状は、メールや非公式なコミュニケーションのもと直接送信するといった方法を採用しているといった回答のほか、既存顧客向けウェブポータルを利用し、ログインした顧客に対して「SBOM」をはじめとする技術情報を提供しているとの回答も寄せられた。

具体的な取り組み事例が載っているのは良いですね。

レポートはこちら：https://www.cisa.gov/sites/default/files/2023-04/sbom-sharing-lifecycle-report_508.pdf

うちの会社の「ゼロトラスト熟成度」は？　4段階で評価するガイダンスをCISAが公開 (ITmedia, 2023/04/17)

うちの会社の「ゼロトラスト熟成度」は？　4段階で評価するガイダンスをCISAが公開

米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は2023年4月11日（現地時間）、「Zero Trust Maturity Model」（ゼロトラスト熟成度モデル）のバージョン2を発行した。

日本でも今後は規模・業態問わずゼロトラストの思想が広がっていくのではないでしょうか（コロナ禍ではあまり広がったようには思えませんが…）。

ガイダンスはこちら：https://www.cisa.gov/news-events/news/cisa-releases-updated-zero-trust-maturity-model

IPA 内部不正防止体制に関する調査結果発表、体制 認識 対策等 課題山積 (ScanNetSecurity, 2023/04/13)

IPA 内部不正防止体制に関する調査結果発表、体制 認識 対策等 課題山積 | ScanNetSecurity

「経営層が内部不正の事業リスクについて十分に認識し、優先度の高い経営課題として捉えているか」という質問では、「捉えられている」との回答がほぼ40％にとどまり、高い水準に達していなかった。また、個人情報以外の重要情報を特定する仕組みを持つ企業は半数に満たなかった。

性善説は悪いことではないですが、セキュリティはある程度性悪説に則って考えないと、説明責任が果たせずに最終的に苦しい立場に置かれる可能性があると思います。

報告書はこちら：https://www.ipa.go.jp/pressrelease/2023/press20230406.html