※本レポートはマネーパートナーズソリューションズのCSIRT事務局が執筆しております。内容やリンクURLについては執筆時点のものとなります。予めご了承ください。
※本レポート内の情報を用いての行為に起因して生じた損害、トラブル、紛争について当社は何ら責任を負わないものとします。予めご了承ください。
※本レポートの無断転載・無断使用はご遠慮ください。
※セキュリティに関するご相談やご依頼などございましたらお気軽にお問い合わせください。

01エグゼクティブサマリ

■ 7月の脅威状況

7月中旬、複数の国内中小オンラインショップサイトへの攻撃が報告されています。攻撃はサイト顧客のID/PWの詐取を目的とした攻撃と、サーバ脆弱性を狙う不正侵入による被害が発生しています。日和見的で際立った傾向はありませんが、高リスク脆弱性対策、不正アクセス監視は強化が必要です。Emoteも継続して発生しており警戒が必要です。

7/2、「KDDIの大規模通信障害」が発生しKDDI全ユーザ約3,600万人に影響が及びました。特筆すべきは、通信ができない重大障害であるにもかかわらず、復旧まで61時間超かかっています。メンテナンス失敗による障害であり、社会基盤としての重要な役割を担っていることから、BCPまたは、コンティンジェンシープランに重大な欠陥があると考えられます。また、KDDI経営層は違約金として通話ができなかったユーザに限定し271万人に200円の返金対応をしていますが、この陳腐な対応は誰の理解を得ようとした対応か不明です。仮に監督官庁を向いているのであれば、近視的な経営無能を暴露した結果と捉えられかねない内容です。重大障害時は他キャリア通信インフラを共有するなど実効的なDR対策を推進して頂きたいです。

前月の大阪尼崎市のUSB紛失事故が世界的な嘲笑の的になったためか、個人情報保護委員会が突然広報活動を開始したようです。

7月に発生した事件事故を教訓に、組織内の「コンティンジェンシープラン実効性検証」と、「個人情報保護運用」の検証見直し実施をご検討ください。

7/8、安倍晋三元総理大臣が暗殺される重大事件が発生しています。奈良県警など「要人セキュリティ運用」に大きな瑕疵があったと思われます。事件と情報セキュリティは直接関係ありませんが、「発生して重大性を認識する想像力の欠如」のような意識をどのように改善していくか考えさせられます。

「アクティブ・ディフェンス」という国家レベルのサイバーセキュリティ確保を目的とした概念があります。アクティブ・ディフェンスは安全保障に打撃を与えるサイバー攻撃に対して懲罰的抑止として政府が反撃すべきとの考えで「アクティブ・ディフェンス=反撃能力」と解釈されています。

企業ではアクティブ・ディフェンスは不可能です。しかし、CSIRTやISAC等の活動に参加することで防御力は向上します。

■ 夏休みにおける情報セキュリティに関する注意喚起

IPAが公開している長期休暇における情報セキュリティ対策をご案内します。社内周知をお願いします。
https://www.ipa.go.jp/security/topics/alert20220803.html

■ JPCERT/CC:「インターネット定点観測レポート2022年 4~6月」より「IoT機器から送信されたとみられるMiraiの特徴をもつパケットの増加について」

https://www.jpcert.or.jp/tsubame/report/report202204-06.html
ネットでは4月初頭から25日頃にかけてMiraiの特徴を持つパケットが増加しました。日本国内でも6月に入ってから4月初頭と比較して約5倍のパケット増を観測しています。

このパケット送信元上位TOP5地域(米国、英国、ロシア、中国、韓国)と日本について送信元ノードに関する情報を比較調査したところ、日本、韓国、台湾の送信元IPアドレスは防犯用カメラ映像記録装置のIPアドレスが約6割含まれていました。一方で、中国や米国の大半のケースが侵害を受けているLinuxサーバより発信されており、防犯用カメラ映像記録装置の割合は多くありません。

現時点では感染経路は調査中です。発見された防犯用カメラ映像記録装置の販売や設置をしている日本国内の事業者に製品の利用に関するセキュリティ向上を目指し関係する団体との情報交換等を進めています。

新規に設置される防犯カメラ等の機器は、公益社団法人日本防犯設備協会が防犯機器に必要とされる基準に適合したRBSS(優良防犯機器認定制度)認定の防犯用カメラ映像記録装置等を使用することや、機器の初期パスワードの変更、ファームウェアの更新、アクセス制限などにも注意を払って運用してください

■ フィッシング対策協議会緊急情報

2022 年 6 月のフィッシング報告件数は 88,250 件となり、2022 年 5 月と比較すると 118 件増加しました。Amazon をかたるフィッシングの報告が報告数全体の約 18.5 % を占めており、次いでイオンカード、えきねっと (JR東日本)、au + au PAY をかたるフィッシングの報告も含めた上位 4 ブランドで全体の約 40.2 % を占めました。また、1,000 件以上の大量の報告を受領したブランドは 19 ブランドあり、これらで全体の約 90.6 % を占めました。

※只今一般公開可能な内容のみを表示しています。すべてを表示するには、閲覧パスワードの入力が必要です。

閲覧パスワード