COVID-19対応下での留意点など

新型コロナウイルス感染拡大の折、皆様それぞれに、大変なご苦労をされていると思います。仕事のテレワークだけでなく、教育や生活においてもネットワーク経由でのコミュニケーションの比率が大きくなっている状況下で、これを逆手に取ったようなサイバー攻撃や詐欺などの事例も増加しつつあります。

特に増加しているのが、コロナウイルス関連の情報や連絡を装った不審メール(いわゆるフィッシング)による被害です。また、オンライン通販の増加などに伴い、これらのアカウントやクレジットカード情報などを狙ったもの急増しています。ウイルス感染を引き起こす添付ファイルやリンクを記載したメールなども、開いてしまう可能性が高くなっています。こうした状況を受け、注意すべき点をいくつか挙げてみました。

【テレワークに関連して】

現在、オフィスでの勤務者を7割減らすようにとの政府などからの要請が出ており、多くの企業が在宅勤務やテレワークを拡大しています。会社へのVPNによるアクセスやWeb会議システム、クラウドサービスなどを使った業務環境が急速に拡大しています。このような中で、こうした外部からアクセス可能なサービスを狙った攻撃が増加しています。いわゆるフィッシングにおいては、以下のような手口が考えられるでしょう。

  • 情報システム部門を騙り、アクセス混雑防止のために、新たなアクセス先を追加したというような内容で、アクセス後、IDとパスワードの入力を求めるもの
  • セキュリティ強化のため、指定のサイトにアクセスして社内システムのIDとパスワードを入力するように求めるもの
  • テレワークのサポートサイトを開設したとして、アクセスさせ、ログインのために社内システムのIDとパスワードを入力させるもの(もしくは、フリーダイヤルなどの番号を添付し、電話すると「認証のため」と称してIDとパスワードなどの情報を要求されるもの
  • Web会議を開催するからと称してURL(リンク)を送付し、アクセスした際に実際のIDとパスワードを要求するもの
  • セキュリティ強化や業務サポートのためのソフトウエアを配布する、として不正なプログラムをインストールさせようとするもの

これはほんの一例であり、他にも様々な手口が考えられます。会社からの連絡でURLが添えられていたり、パスワードの変更やソフトウエアのインストールを求められた場合、URL(リンク)については、それが自社のものであるかどうか(マウスを持って行くと、リンク先が表示されます。HTMLによる偽装を見破るためには、こうしたことも重要です)よく確認するとともに、見慣れない、もしくは微妙に異なるようなものであれば、クリックせず、電話などで会社の担当部門に問い合わせるといった対応が重要です。パスワード変更やソフトウエアのインストールの場合も同様です。

こうした手口は、コンピュータウイルスの送り込みにも利用されます。皆さんの多くがテレワーク用に会社支給のPCを使用していると思いますが、こうしたPCにコンピュータウイルスを送り込むことで、会社の情報システムを狙う攻撃も予想されます。このようなウイルスに感染すると、VPNなどを経由して社内に感染が広がったり、出社時にPCごとウイルスを社内に持ち込んでしまう危険があります。会社支給のPCにはウイルス対策ソフトやセキュリティソフトがインストールされていますが、これらが常に更新されるように、定期的にインターネットにアクセス可能な状態にすることが重要です。また、毎月第二水曜日に配布されるマイクロソフト社のWindowsセキュリティ更新が確実に適用されているか、Windowsの設定メニューから「更新とセキュリティ」を選んで(Windows10の場合)最新の状態かどうかを確認しましょう。自動更新は数時間を必要とする場合がありますから、毎月第二水曜日以降の早い時期に数時間、インターネットにアクセス出来る環境でPCを起動しておく必要があります。

普段使わない、会社へのリモートアクセスや(Office 365, Teams,Slackやその他のWeb会議、コラボレーションなどの)クラウドサービスを使う機会が増えます。また、企業によっては、通常は社外からのアクセスを禁止しているサービスを一時的にアクセス可能にしている場合もあります。こうしたインターネットからアクセスが可能なサービスは常に攻撃に晒されています。安直なパスワードを設定すると短時間で破られてしまう可能性があります。パスワードの管理は以下のような考え方で、確実に行ってください。

  • 容易に推測できるパスワードは使わない。(人名、地名、一個の英単語、キーボードの並び・・・など)
  • 最低8文字以上の長さにし、大文字と小文字、数字(できれば記号)を含める
  • 複数のサービスで同じパスワードを使用しない。(一箇所からパスワードが漏洩すると全部のサービスが危険にさらされます)少なくとも、会社のサービスのパスワードと個人が利用しているサービスのパスワードは違うものにしてください。

【自宅のインターネット接続とPCなど】

仕事に利用することがなくても、外出が制限されている環境下では、PCやその他の機器とインターネットを使ってオンラインサービスにアクセスする機会が増加します。これらについてもフィッシングの危険があり、とりわけ、最近では、新型コロナ騒ぎに便乗したようなメールも多数確認されています。たとえば、マスクの配布、自治体や医療機関、学校などからの連絡を装ったものなど、様々です。心当たりがないものや、日本語が不自然なもの、とりわけ添付ファイルがついたメールは決して開かないようにしましょう。(最近、メールでファイルを添付する企業や自治体などはほとんどありません)また、メールからのリンク先についても注意が必要です。特に、IDとパスワードを入力する際は慎重に確認することが必要です。最近のWebブラウザにはパスワードを記憶する機能があります。複雑なパスワードでも、記憶させておけば自動的に入力されるので便利ですが、さらに、この機能を使用していると偽サイトにアクセスしてもパスワードは自動で入力されません。こうしたことも、不正サイトを見破る方法のひとつです。(但し、ウイルス感染の際には保存されているパスワードを盗まれる可能性があります。不安がある場合は、市販のパスワードマネージャーなどを使用して管理するといいでしょう)

また、家庭のPCでも、市販セキュリティソフトのインストールを推奨します。Windows10では、Windows Defenderが標準で添付されているため、ウイルス対策のみであれば不要ですが、市販のセキュリティソフトでは、それ以外にも様々なプロテクション機能がサポートされるため、とりわけ、持ち歩くノートPCなどでは、強く推奨します。

家庭では、まだWindows7以前のバージョンのWindowsを使用しているケースがあるかもしれません。こうしたサポートが切れたソフトウエアは、ウイルス感染やサイバー攻撃のリスクが非常に高くなります。早期にアップデートすることを考えてください。また、Windows10においても、先に述べたようなセキュリティ更新(第2水曜日)のために、半日から1日程度インターネットに接続した状態で起動しておくことを忘れないでください。

まだまだ厳しい状況が続きます。互いに心と体の健康に留意するとともに、PCやネットワーク環境の健康にも気を配りながら、この状況を乗り切っていきましょう。

マイクロソフト社月例パッチについて

マイクロソフト社から1月の月例パッチ(セキュリティ修正プログラム)が公開されました。今回の更新には多くのアプリケーションで利用されている .net Frameworkやリモートデスクトップサービス(ゲートウエイ)、リモートデスクトップクライアントなどの深刻な脆弱性の修正が含まれており、これらへの攻撃を避けるため、出来るだけ早期に更新を行うことを強く推奨します。(RDP:3389/tcpへのポートスキャンは恒常的に発生しており、公開されているサービスは既に攻撃者によって把握されている可能性が高いと考えられます。また、ポート番号を標準から変更している場合でも、たとえば338*,339*のような標準ポートの周辺、13389,23389といった下位桁が同じポート及びその周辺はスキャンされている可能性が高く、安心できませんのでご注意ください。)

関連情報

JPCERT/CC(日本語)

マイクロソフト社ブログ(日本語)

US-CERT(CISA) (英語)

なお、Windows7のサポートが本日(米国時間14日)で終了となりました。継続して使用することはマルウエア感染やサイバー攻撃の大きなリスクを伴いますので、まだアップグレードされていない場合は速やかに対処する必要があります。

2020年年頭にあたって

皆様、新年あけましておめでとうございます。

お客様には、平素、アルテア・セキュリティ・コンサルティングをお引き立ていただき、誠にありがとうございます。

2020年は東京オリンピック・パラリンピックの年でもあり、また、5Gなどの新たなICT基盤の登場とデジタル・トランスフォーメーション( DX)の進化によって、様々なサイバーリスクが高まることが予想されます。世界的に見ると中東情勢の不安定化もまた、こうしたリスクを高める要因となっています。

とりわけ、日本国内ではオリ・パラのサイバー防衛に多くの専門家リソースが振り向けられる結果、民間企業・組織への専門家サポートが困難になることも予想されます。一方、オリ・パラがもたらすリスクは大会関連サイトやサービスに限りません。むしろ、守りが手薄な企業サイトなどが、攻撃の踏み台として悪用されたり、騒ぎの影で、無関係の企業等への標的型サイバー攻撃が実行される危険性もあって、民間レベルでは、こうしたリスクに注目しておく必要があります。緊急対応で専門家の手を借りづらくなることを想定して、民間企業や組織は最低限の準備をしておく必要があります。基本的なセキュリティ対策の再確認を行って、攻撃の敷居を上げることが、まず重要です。そして、可能であれば、万一攻撃を受けた場合の初期対処のシナリオを作り、訓練をしておくことです。

アルテア・セキュリティ・コンサルティングは微力ながら、こうしたお客様のニーズに対して、セキュリティ対策の評価や見直しの提言、インシデントシナリオや訓練計画の提案といったサポートを提供させていただきます。個人事業故に、あまり多くの業務はこなせませんが、基本としてお客様がご自身である程度の問題解決ができるような形を目指してサポートして参りますので、どうぞご利用ください。

本年も引き続き、よろしくお願い申し上げます。

海外出張中にサーバがダウンしました

2019年10月24日から11月1日まで、米国フロリダ州で開催された(ISC)2 Security Congress参加のため出張しておりましたが、10月26日頃にサーバの電源系統の不具合でサービスがダウンしました。遠隔復旧ができませんでしたので、本日までサービス停止となりました。ご心配、ご迷惑をおかけしたことをお詫び申し上げます。

名刺訂正とお詫び

2018年3月以降にお渡しした名刺記載の携帯番号が間違っていることが判明しました。結果的に長期間誤った番号を放置していたこととなり、誠に申し訳ありません。携帯番号の先頭が名刺では 090 になっておりますが、正しくは 080です。小生の名刺をお持ちの方はご訂正のほど、よろしくお願いいたします。

代表 二木真明

SSL/VPN装置の脆弱性に関する注意喚起

JPCERT/CCより、複数ベンダのSSL/VPN装置について脆弱性に関する注意喚起が行われています。詳しくは以下をご参照ください。

https://www.jpcert.or.jp/at/2019/at190033.html

なお、このうちPulse Secure 製品の脆弱性(CVE-11510)に対する攻撃は当サーバでも確認しており、早急な対処が必要です。同製品は日本国内でも相当数設置されているとのことです。

無差別的なDDoSに注意を

本日、DDoS攻撃と思われる多数のTCP/SYNパケット着信を確認しています。本日は太平洋戦争終戦の日であり、政治的な意図を持った無差別的な攻撃が発生する可能性があります。(詳しくはブログを参照してください)

リモートデスクトップ(RDP)の脆弱性にご注意を

マイクロソフトから8月の定期更新で、Windowsリモートデスクトップ(RDP)の脆弱性が報告、修正されています。攻撃者が任意のコードを実行出来る可能性があり、侵入やマルウエアの埋め込みなどに悪用される可能性があります。 そのほかにも複数の重要な更新が含まれますので、早急に更新の適用が必要です。

PHPなどに新たな脆弱性

JPCERT/CCから、JPCERT/CC WEEKLY REPORT 2019-08-07が配信されています。

今回、phpにバッファオーバフローの脆弱性が報告されており、phpを利用しているWebサイト(たとえば、Wordpressを使用しているサイトなど)については更新が必要となります。今後、こうした脆弱性を悪用した攻撃の増加が懸念されますのでご注意ください。

また、Webブラウザ、Google Chromeにも脆弱性が報告されており更新が必要です。Chromeについては、ヘルプメニューから 「Google Chromeについて」を開くことで更新が出来ます。

そのほか、VMWAREやCISCOネットワーク機器等にも脆弱性が報告されているため、これらをサービスに使用している事業者は対応が必要です。