大塚商会のM365サービスが侵害、データが削除される恐れも【セキュリティ注目トピック】:週刊セキュリティニュース
認証情報を不正に取得したり、管理者権限を奪ったりすることで社内の情報を抜き取るサイバー犯罪が多発している。今回はMicrosoft 365やショッピングサービスで複数の事例が見つかった。
2024年11月18日を含む前後の週は、認証情報を悪用したサイバー犯罪の発表が相次いだ。大塚商会やヨネックス、ジュピターショップチャンネルの事例だ。こうした事態を招かないためにも、あらためて認証情報の管理状況を確認し、より強固な認証システムの導入を検討するなどの対策が必要だ。
この他、広く利用されている「Apache Tomcat」やOracle製品、VMware製品、Palo Alto Network製品の危険な脆弱(ぜいじゃく)性が発表された。
たよれーる Microsoft 365が侵害、データが削除される恐れも
この他、広く利用されている「Apache Tomcat」やOracle製品、VMware製品、Palo Alto Network製品の危険な脆弱(ぜいじゃく)性が発表された。ユーザーはどのような対応が求められ、放置するとどのようなリスクがあるのか。発生したセキュリティインシデントや脆弱性について、詳細を見ていこう。
●2024年11月13日
ヨネックスはオンラインショップに不正ログインされたと発表した。2014年11月7〜8日にリスト型アカウントハッキング攻撃を受けたことが同11月8日に判明した。同攻撃は他のサービスから流出したアカウント情報(IDとパスワードの組み合わせ)を使用して不正ログインするというもの。不正ログイン件数は223件で、個人情報が閲覧された可能性がある件数はそのうち53件だ。個人情報の内容は顧客の氏名と住所、電話番号(携帯電話番号)、性別、生年月日、購入履歴、配送先の氏名と住所、電話番号の他、クレジットカード番号の下3桁と有効期限だ。
●2024年11月15日
大塚商会は「たよれーる Microsoft 365」で不正アクセスがあったと発表した。同サービスは「Microsoft 365」に大塚商会の日本企業向けのサービスとサポートを組み合わせたもの。一部の顧客の管理者権限アカウントが複数の海外のIPアドレスから不正アクセスを受けて侵害された。ただし、大塚商会の過失ではないとした。Microsoft 365のアカウントが侵害されると、データが削除、窃取されたり、テナント内の設定済みアカウントが削除されたりする他、サイバー攻撃の踏み台になって取引先などに迷惑メールが送られたりする可能性があるという。
強固なパスワードを再設定しただけでは対策が不十分だと考えられ、管理者と利用者双方が多要素認証を設定することを勧めている。
●2024年11月18日
The Apache Software Foundationは「Apache Tomcat」の脆弱性についてアドバイザリを発表した。判明した脆弱性は3つあり、「CVE-2024-52316」「CVE-2024-52317」「CVE-2024-52318」として識別されている。「CVE-2024-52316」は細工されたJakarta認証コンポーネントを利用すると認証をバイパスできるというというもの。「CVE-2024-52317」はHTTP/2の処理でリクエストやレスポンスを異なるユーザー間で取り違えるというもの。「CVE-2024-52318」はJSPタグでエスケープ処理に失敗し、クロスサイトスクリプティング攻撃を受ける可能性があるというもの。共通脆弱性評価システム「CVSSv3.1」のベーススコアと評価はそれぞれ9.8(critical)、6.5(medium)、6.1(medium)だ。
●2024年11月19日
OracleはOracle Supply Chainの「Oracle Agile PLM Framework」に脆弱性が存在すると発表した。脆弱性は「CVE-2024-21287」として識別され、悪用されると、認証されていなくてもリモートからPLMアプリケーションで使用されている権限でアクセス可能なファイルをダウンロードできる可能性があるという。CVSSv3.1のベーススコアと評価は7.5(high)。なお、CrowdStrikeはこの脆弱性が実環境で積極的に悪用されていることを報告した。
Palo Alto Networksの「PAN-OS」の脆弱性について情報処理推進機構(IPA)とJPCERT コーディネーションセンター(JPCERT/CC)が発表した。同社の次世代ファイアウォールで動作するPANの管理インタフェースに認証回避の脆弱性(CVE-2024-0012)と権限昇格の脆弱性(CVE-2024-9474)が確認されている。第三者が管理者権限を奪取し、リモートで設定を変更したり、権限を昇格したりする可能性があるという。CVSSv3.1のベーススコアと評価は、CVE-2024-0012が9.3(critical)、CVE-2024-9474が6.9(medium)。
テレビショッピングなど通信販売業を手掛けるジュピターショップチャンネルはECサイトに不正ログインされたと発表した。2024年11月15日から不正ログインが始まり、同11月19日時点で顧客の個人情報に対するアクセスが約1万5000件に達した。アクセスされた顧客情報は氏名と住所、電話番号、メールアドレス、生年月日のうち月日だ。クレジットカード番号の下4桁と有効期限もアクセスされた可能性があるものの、情報を保存していないセキュリティコードの漏えいはないという。
●2024年11月21日
VMwareの「VMware vCenter Server」の脆弱性が悪用されており、対策が必要だとサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が発表した。既知の悪用された脆弱性をまとめた公式カタログ(KEV)に掲載した。脆弱性は2つあり、Broadcomが2024年9月にパッチを公開したものの修正が不完全だったことが分かり、同10月に再度修正パッチを公開、2024年11月にはアドバイザリを更新した。「CVE-2024-38812」はDCERPCプロトコルの不完全な実装によってヒープオーバーフローが発生する脆弱性、「CVE-2024-38813」は権限の確認が不完全なことによる権限昇格を招く脆弱性だ。CVSSv3.1のベーススコアと評価は、CVE-2024-0012が9.8(critical)、CVE-2024-9474が7.5(high)。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
多要素認証はこうして突破される 5大攻撃手法と防御策
サイバー攻撃を防ぐためにパスワードに加えて多要素認証が広く使われている。だが多要素認証は必ずしも安全ではない。多要素認証を突破する攻撃のテクニックと、攻撃を防ぐ方法について紹介する。
話題の認証方法「パスキー」とは何か? 基礎解説と企業活用の是非
パスワードを使わずに安全かつ負担なく認証できる手法の1つとして、コンシューマーを中心に「パスキー」(Passkey)が広がりつつある。この認証手段、企業ユースへの展開はあるのだろうか。
政府も対応できていない66件の重要な脆弱性とは
大規模なサイバー攻撃の対象となっている脆弱性はどれだろうか。信頼できる情報が必要だが、混乱した状況が続いている。