先週のサイバー事件簿 - 内閣サイバーセキュリティセンターから情報流出か
8月7日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。行政機関のメールシステムに狙った攻撃が目立った。
○NISC、電子メールシステム機器の脆弱性で個人情報漏えいの可能性
内閣官房・内閣サイバーセキュリティセンター(以下、NISC)の電子メール関連システムが不正な通信を受け、メールデータの一部が外部に漏えいした可能性がある。
原因は、メーカーも確認できていなかったという電子メールシステムに係わる機器の脆弱性によるもの。不正通信の痕跡を発見したのは6月13日で、状況確認のため6月14日〜15日の運用を停止。機器の交換を行うとともに、ほかの機器に異常がないかを確認した。以後、内部監視強化などを実施し、システムを再稼働している。
外部専門機関の調査によると、NISCが20224年10月上旬から2023年6月中旬までの間にインターネット経由で送受信した個人情報を含むメールデータの一部が外部に漏えいした可能性があることもわかった。情報公開の時点では、具体的な個人情報の漏えいなどは不明。個人情報の悪用による被害はないとしているが、今後NISCを装った不審メール送付の可能性があるとして注意を呼びかけている。
○気象庁、気象研究所のメール関連機器が不正通信被害
気象庁と気象研究所が運用するメール関連機器に対して不正な通信が発生。これにより、気象庁が受信したメールデータが外部に流出した可能性がある。上記のNISCのケースとも類似性が見られる。
今回の不正な通信は関連システムの脆弱性を突いたものだが、この脆弱性はシステム機器メーカーも把握できていなかったものだという。また、国外でメール関連機器の脆弱性を原因とした不正アクセスを確認しており、セキュリティ対策を強化した機器に交換するといった対策を講じていたなかで発生した。
メールデータは、2022年年6月上旬から2023年5月下旬にかけて気象庁(気象研究所を含む全国の気象官署)に送られたもので、その一部が流出の対象となる。気象庁は「個人情報を聞いたりWebサイトへアクセスするよう依頼することはない」として、気象庁からの連絡を装ったメールや電話などに注意するよう呼びかけている。
○コクヨ、グループの情報システムへ対する攻撃の調査結果を公開
コクヨは、2023年6月5日から6日にかけて発生したグループの一部情報システムに対する外部攻撃について、外部調査機関による調査結果を公開した。
情報システムへの外部攻撃は、何者かが海外現地法人側のネットワークに侵入し、ランサムウェア攻撃でデータの暗号化被害を受けた。現時点では、保有する個人情報などが外部へ流出した事実はなく、攻撃者による情報の公開もない。ネットワークログによれば、外部転送関連のデータ通信量がわずかであったことから、データが外部へ漏えいした可能性は極めて低いとのことだった。
一方で約186万件の個人データの漏えいの可能性を完全には否定できないことから、該当者へは順次通知を行っていく予定としている。なお、本件とは別に、人事システムのベンダーがランサムウェア攻撃を受けたことも発表。情報公開の時点では個人情報の流出はなく、グループの事業運営への影響も限定的なものだとしている。
○日本原燃、共通システムを使っているジェイテックにて個人情報漏えい
日本原燃は、2023年2月にグループ会社が共通で使用しているシステムが不正アクセスを受けた問題で、新たにジェイテックでも個人情報の漏えいあったことを明らかにした。
ジェイテックの個人情報漏えいは、六ケ所げんねん企画で発生したマルウェアによる不正アクセスと同様のもの。2003年11月6日〜2023年2月18日の期間、ジェイテックが受発注した保修工事の業務(予定を含む)の取引先関係者、およびジェイテックに在籍した従業員の個人情報に漏えいの可能性があることがわかっている。
この個人情報は、ジェイテックが受発注する保修工事の作業を実施するにあたり必要となるもの。内容は、氏名、性別、生年月日、住所、電話番号、所属会社、身分証のコピーなど。対象人数は約1万人。日本原燃は再発防止策として、ウイルス駆除機能の強化、システムへの不正侵入の常時監視、内部ネットワークセキュリティの強化などを行っていく。
○東北学院大学、教職員のメールサーバーが不正アクセス被害
東北学院大学が管理している教職員メールサーバー(1台)が不正アクセスを受けた。これにより、教職員11名分のメールアカウントが第三者に悪用された。2023年6月27日9時39分から6月28日10時58分ごろまで、3,241通のスパムメールの送信に使われている。不正アクセスを受けたメールアカウントはパスワードを変更し、その後は不正アクセスや迷惑メールの送信はない。
調査によると、教職員11名のうち2名分のメールアカウントが2023年6月27日2時から20時に不正アクセスを受けていた。対象者の住所録にあった教職員と学外関係者の、メールアドレス、氏名、所属(計1,875件)と、業務用に通知したメール本文が流出した可能性がある。東北学院大学は今回の事態を重く受け止め、アカウントの強固なパスワード設定、管理の周知徹底、多要素認証の早期導入、教職員および学生への情報セキュリティ意識の啓発に努めるとしている。
○マイクロソフト、8月のセキュリティ更新プログラムをリリース
マイクロソフトは8月9日(米国時間)、セキュリティ更新プログラムの情報を公開した。緊急6件、重要7件の脆弱性を修正している。
■緊急:リモートでのコード実行
・Windows 11、v22H2
・Windows 10 v21H2、v21H1、v20H2
・Windows Server 2022(Server Core installationを含む)
・Windows Server 2019、2016(Server Core installationを含む)
・Windows Server 2012 R2、Windows Server 2012(Server Core installationを含む)
・Microsoft Office
■重要:リモートでのコード実行
・Microsoft Exchange Server
・Microsoft .NET
・Microsoft Visual Studio
・Microsoft Dynamics 365
■重要:情報漏えい
・Microsoft SharePoint
■重要:特権の昇格
・Azure関係のソフトウェア
・Windows Defender Antimalware Platform
○NTTドコモを騙るフィッシングメール
8月7日以降、NTTドコモを騙るフィッシングメールが拡散している。メールの件名例は以下。
【重要】dカードが利用停止のお知らせ
メールでは、本人の利用かどうかを確認したい取引があったため、dカードの取引を一部制限したと記載。利用確認に協力するようリンク先へと誘導する。リンク先はDアカウントを模したフィッシングサイトで、dアカウントのID、クレジットカード情報、本人認証の入力欄がある。8月7日以降もフィッシングサイトは稼働中とのことであり、警戒を続けてほしい。
○NISC、電子メールシステム機器の脆弱性で個人情報漏えいの可能性
内閣官房・内閣サイバーセキュリティセンター(以下、NISC)の電子メール関連システムが不正な通信を受け、メールデータの一部が外部に漏えいした可能性がある。
外部専門機関の調査によると、NISCが20224年10月上旬から2023年6月中旬までの間にインターネット経由で送受信した個人情報を含むメールデータの一部が外部に漏えいした可能性があることもわかった。情報公開の時点では、具体的な個人情報の漏えいなどは不明。個人情報の悪用による被害はないとしているが、今後NISCを装った不審メール送付の可能性があるとして注意を呼びかけている。
○気象庁、気象研究所のメール関連機器が不正通信被害
気象庁と気象研究所が運用するメール関連機器に対して不正な通信が発生。これにより、気象庁が受信したメールデータが外部に流出した可能性がある。上記のNISCのケースとも類似性が見られる。
今回の不正な通信は関連システムの脆弱性を突いたものだが、この脆弱性はシステム機器メーカーも把握できていなかったものだという。また、国外でメール関連機器の脆弱性を原因とした不正アクセスを確認しており、セキュリティ対策を強化した機器に交換するといった対策を講じていたなかで発生した。
メールデータは、2022年年6月上旬から2023年5月下旬にかけて気象庁(気象研究所を含む全国の気象官署)に送られたもので、その一部が流出の対象となる。気象庁は「個人情報を聞いたりWebサイトへアクセスするよう依頼することはない」として、気象庁からの連絡を装ったメールや電話などに注意するよう呼びかけている。
○コクヨ、グループの情報システムへ対する攻撃の調査結果を公開
コクヨは、2023年6月5日から6日にかけて発生したグループの一部情報システムに対する外部攻撃について、外部調査機関による調査結果を公開した。
情報システムへの外部攻撃は、何者かが海外現地法人側のネットワークに侵入し、ランサムウェア攻撃でデータの暗号化被害を受けた。現時点では、保有する個人情報などが外部へ流出した事実はなく、攻撃者による情報の公開もない。ネットワークログによれば、外部転送関連のデータ通信量がわずかであったことから、データが外部へ漏えいした可能性は極めて低いとのことだった。
一方で約186万件の個人データの漏えいの可能性を完全には否定できないことから、該当者へは順次通知を行っていく予定としている。なお、本件とは別に、人事システムのベンダーがランサムウェア攻撃を受けたことも発表。情報公開の時点では個人情報の流出はなく、グループの事業運営への影響も限定的なものだとしている。
○日本原燃、共通システムを使っているジェイテックにて個人情報漏えい
日本原燃は、2023年2月にグループ会社が共通で使用しているシステムが不正アクセスを受けた問題で、新たにジェイテックでも個人情報の漏えいあったことを明らかにした。
ジェイテックの個人情報漏えいは、六ケ所げんねん企画で発生したマルウェアによる不正アクセスと同様のもの。2003年11月6日〜2023年2月18日の期間、ジェイテックが受発注した保修工事の業務(予定を含む)の取引先関係者、およびジェイテックに在籍した従業員の個人情報に漏えいの可能性があることがわかっている。
この個人情報は、ジェイテックが受発注する保修工事の作業を実施するにあたり必要となるもの。内容は、氏名、性別、生年月日、住所、電話番号、所属会社、身分証のコピーなど。対象人数は約1万人。日本原燃は再発防止策として、ウイルス駆除機能の強化、システムへの不正侵入の常時監視、内部ネットワークセキュリティの強化などを行っていく。
○東北学院大学、教職員のメールサーバーが不正アクセス被害
東北学院大学が管理している教職員メールサーバー(1台)が不正アクセスを受けた。これにより、教職員11名分のメールアカウントが第三者に悪用された。2023年6月27日9時39分から6月28日10時58分ごろまで、3,241通のスパムメールの送信に使われている。不正アクセスを受けたメールアカウントはパスワードを変更し、その後は不正アクセスや迷惑メールの送信はない。
調査によると、教職員11名のうち2名分のメールアカウントが2023年6月27日2時から20時に不正アクセスを受けていた。対象者の住所録にあった教職員と学外関係者の、メールアドレス、氏名、所属(計1,875件)と、業務用に通知したメール本文が流出した可能性がある。東北学院大学は今回の事態を重く受け止め、アカウントの強固なパスワード設定、管理の周知徹底、多要素認証の早期導入、教職員および学生への情報セキュリティ意識の啓発に努めるとしている。
○マイクロソフト、8月のセキュリティ更新プログラムをリリース
マイクロソフトは8月9日(米国時間)、セキュリティ更新プログラムの情報を公開した。緊急6件、重要7件の脆弱性を修正している。
■緊急:リモートでのコード実行
・Windows 11、v22H2
・Windows 10 v21H2、v21H1、v20H2
・Windows Server 2022(Server Core installationを含む)
・Windows Server 2019、2016(Server Core installationを含む)
・Windows Server 2012 R2、Windows Server 2012(Server Core installationを含む)
・Microsoft Office
■重要:リモートでのコード実行
・Microsoft Exchange Server
・Microsoft .NET
・Microsoft Visual Studio
・Microsoft Dynamics 365
■重要:情報漏えい
・Microsoft SharePoint
■重要:特権の昇格
・Azure関係のソフトウェア
・Windows Defender Antimalware Platform
○NTTドコモを騙るフィッシングメール
8月7日以降、NTTドコモを騙るフィッシングメールが拡散している。メールの件名例は以下。
【重要】dカードが利用停止のお知らせ
メールでは、本人の利用かどうかを確認したい取引があったため、dカードの取引を一部制限したと記載。利用確認に協力するようリンク先へと誘導する。リンク先はDアカウントを模したフィッシングサイトで、dアカウントのID、クレジットカード情報、本人認証の入力欄がある。8月7日以降もフィッシングサイトは稼働中とのことであり、警戒を続けてほしい。
