カシオ計算機にランサム攻撃、企業を狙う攻撃が多発【セキュリティ注目トピック】：週刊セキュリティニュース

ランサムウェア攻撃は企業活動において多大な悪影響を与える。カシオ計算機が決算説明会で説明した被害状況は。

[畑陽一郎，キーマンズネット]

　2024年11月25日を含む前後の週では、カシオ計算機を襲ったランサムウェア攻撃のニュースが関心を集めた。同社は大きく3つの事業を展開している。時計、コンシューマ、システムだ。その3つ全てに影響があったという。

カシオ計算機にランサム攻撃　企業を狙う攻撃が活発化

　この他、Microsoft製品やVMware製品、Zabbix製品、プログラミング言語PHPなどに危険な脆弱（ぜいじゃく）性が見つかった。カシオ計算機の影響範囲や脆弱性など、一つ一つ詳しく見ていこう。

---

●2024年11月21日

　PHPの開発チームは5つの主要な脆弱性などを修正したプログラミング言語「PHP」の新版を発表した。新版のPHP 8.4.1に加えて、セキュリティリリースとしてPHP 8.3.14、同8.2.26、8.1.31を公開した。発見された重要な脆弱性はldap_escape関数において、長い文字列の入力により整数オーバーフローが発生し、境界外書き込みが引き起こされる可能性がある「CVE-2024-8932」と「CVE-2024-11236」だ。どちらも共通脆弱性評価システム「CVSSv3.1」のベーススコアと評価が「9.8」（critical）だ。

---

●2024年11月26日

　Microsoftは「Microsoft Copilot Studio」の脆弱性について発表した。同製品は自然言語またはGUIを用いてエージェントを作成できるエンドツーエンドの会話型AIプラットフォームだ。脆弱性「CVE-2024-49038」は権限昇格が可能になる。CVSSv3.1のベーススコアと評価は9.3（critical）だ。ただし、Microsoft側が対策した結果、ユーザーの対応は不要だという。

　BroadcomはVMwareブランドの製品についてセキュリティアドバイザリを発表した。5件の脆弱性が見つかったのはITインフラ管理プラットフォームの「VMware Aria Operations」だ。「CVE-2024-38830」と「CVE-2024-38831」はローカル環境で権限の昇格が可能になる。CVSSv3.1のベーススコアと評価は7.8（important）だ。

　オイシックス・ラ・大地は食品宅配サービスで不正ログインがあったことを発表した。同社が運営するOisix.comにおいて、第三者が外部から不正に取得したIDとパスワードを使って、正規のユーザーになりすましてログインするという事象が起きたという。いわゆるパスワードリスト攻撃だ。2024年11月24〜25日に不正なアクセスがあり、約9万7533件のIDにログインされた可能性があるという。参照（漏えい）の可能性がある個人情報は、氏名や住所、電話番号、メールアドレス、配達先氏名、配達先住所、配達先電話番号、配達先メールアドレス、予約と購入履歴だという。クレジットカード情報の漏えいはないとした。

---

●2024年11月27日

　カシオ計算機はランサムウェア攻撃による被害について発表した。2024年度第2四半期の決算説明会において、システム障害の内容と事業への影響を公開した。冒頭で同社の増田裕一社長はランサムウェア攻撃の影響でシステム障害が起き、決算発表が大幅に遅れたことを謝罪した。2024年10月5日にサーバの停止を検知して、同日中に外部のセキュリティ企業へのサポートを依頼した。サーバをネットワークから遮断した結果、サプライチェーンに関連するシステムが一時停止し、事業活動に制限が加わった結果、部品の調達や生産、出荷などが一時停止した。その結果、2024年度第3四半期の最大商戦期となるクリスマス商戦で販売の機会損失が発生するとした。全社における同年度第3四半期の影響は売上高で約130億円、営業利益で約40億円に及ぶと想定した。

　Zabbixはネットワーク管理ソフトウェア「Zabbix」の脆弱性について発表した。脆弱性「CVE-2024-42327」を悪用すると、フロントエンドでのデフォルトのユーザーロールを持つか、またはAPIアクセスが可能なロールを持つユーザーアカウントでは、ネットワーク経由で権限の昇格が可能になるという。CVSSv3.1のベーススコアと評価は9.9（critical）であり、Zabbix 7.0.0、同6.4.16、同6.0.31ではアップデートの適用が必要だ。