廃棄PCのデータ消去不備で情報漏えいの恐れ【セキュリティ注目トピック】:週刊セキュリティニュース
企業や組織がPCを廃棄する際、データを消去する手順が定まっている。だが、手順通りに作業しても失敗することがある。なぜだろうか。
2024年12月2日を含む前後の週では、廃棄PCのデータ消去に失敗したニュースが関心を集めた。廃棄手順通りに処理したにもかかわらず、失敗したという事例だ。
データ消去不備で情報漏えいの可能性、その他多数の脆弱性情報が
廃棄処理に関するニュースの他、エレクトロニクス関連企業や保育サービスを提供する企業がランサムウェア攻撃を受けた。多数の脆弱(ぜいじゃく)性も見つかっている。NECやアイ・オー・データ機器のルーターの他、Cisco SystemsやSailPoint Technologies、SonicWall、Veeam Softwareなどの製品でも脆弱性が報告された。順に見ていこう。
●2024年11月25日
南医療生活協同組合は病院で利用されていた機器からの情報漏えいの可能性について発表した。南生協病院(名古屋市緑区)で利用していたPCを2024年9月25日に廃棄する際、データ消去装置によるデータ消去作業が不十分だったことが原因だ。廃棄機器の一部を占めていたSSDに対してはデータ消去装置の効果がないことを知らずに機器を廃棄先事業者に引き渡した。漏えいの可能性があるSSDの台数は10〜20台で、運用ルールで患者の個人情報を保存することは禁止されていたものの、SSDに記録されていた実際のデータの内容は不明だという。
●2024年11月29日
保育関連サービスを提供するライクキッズはランサムウェア攻撃を受けた後の調査結果を発表した。2024年9月30日にインターネットとの接続口の脆弱性を攻撃者に悪用された結果、ランサムウェア攻撃を受けて、サーバのデータが暗号化された。サーバには15万8410件の個人情報が保存されており、閲覧された可能性はあるものの、持ち出された形跡は確認されなかったという。卒園者を含む園児や児童の氏名、生年月日、アレルギー情報の他、保護者の氏名や住所、電話番号、メールアドレス、口座情報といった個人情報が保存されていた。退職者を含む従業員や外部講師、嘱託医、施設貸主の個人情報も保存されていた。
●2024年12月2日
JPCERTコーディネーションセンター(JPCERT/CC)と情報処理推進機構(IPA)はNECのルーターに複数の脆弱性が見つかったと発表した。「UNIVERGE IX」と「UNIVERGE IX-R/IX-V」に見つかった脆弱性は2つある。製品の管理画面にログインしているユーザーが細工されたWebGUIメッセージを送信した場合、製品上で任意のCLIコマンドが実行される「CVE-2024-11013」は共通脆弱性評価システム「CVSSv3.0」のベーススコアが「7.2」だ。製品の管理画面にログインしているユーザーが細工されたリンクにアクセスした場合、製品の管理画面上で意図しない画面が表示される「CVE-2024-11014」のベーススコアは「4.3」だ。
SailPoint Technologiesは「IdentityIQ」に関するセキュリティアドバイザリを発表した。IdentityIQはアイデンティティとアクセス管理(IAM)向け製品で、脆弱性「CVE-2024-10905」を悪用されるとIdentityIQアプリケーションディレクトリ内の静的コンテンツへのHTTPアクセスが保護を無視して許可されてしまう。CVE-2024-10905について、CVSSv3.1のベーススコアは「10.0」で評価は「critical」となっており、極めて危険な脆弱性だ。
Cisco Systemsは同社のWebページに脆弱性が見つかったと発表した。「Cisco Adaptive Security Appliance」(Cisco ASA)のWeb VPNログインページに脆弱性があり、認証されていないリモートの攻撃者が、Cisco ASA上のWebVPNのユーザーに対してクロスサイトスクリプティング攻撃を行う可能性があるとした。この脆弱性「CVE-2014-2120」はCVSSv2のベーススコアが「4.3」、評価が「medium」だ。危険性は低いものの、同社の製品セキュリティインシデント対応チーム(PSIRT)は、同脆弱性を悪用した新たな試みが発生していることを確認したという。
富士電機は子会社がランサムウェア被害を受けたと発表した。202411月27日に富士電機インドネシア社において、一部のサーバとPCへのアクセスができないことが判明し、マルウェアへの感染が疑われたため、PCとサーバのLANケーブルを切断して、インターネット経由による被害の拡散を防止して、被害状況と原因の調査、復旧に関する作業を開始した。同11月28日にランサムウェア攻撃があったことが確定したため、外部の専門家への協力を依頼した。被害状況は確認中だが、富士電機インドネシア社の取引先情報(会社名、担当者氏名)や従業員の情報が被害を受けた可能性があるという。
●2024年12月3日
Veeam Softwareは「Veeam Backup & Replication」のセキュリティアドバイザリを発表して、8件の脆弱性を修正した「Veeam Backup & Replication 12.3」をリリースした。CVSSv3.1のベーススコアが「8.8」と高い脆弱性は4つある。バックアップサーバで割り当てられたロールを持つ認証済みユーザがスクリプトを構成することで、昇格した特権でスクリプトを実行できる「CVE-2024-40717」と、同じく認証済みユーザーが、接続された「VMware ESXi」ホストに昇格した権限でリモートからファイルをアップロードできる「CVE-2024-42452」、認証ユーザーが接続された仮想インフラホストの設定を制御したり変更したりできる「CVE-2024-42453」、バックアップサーバのユーザーと割り当てられた役割を持つ認証されたユーザーが特権的なメソッドにアクセスし、重要なサービスを制御可能な「CVE-2024-42456」だ。
●2024年12月4日
JPCERT/CCとIPAはアイ・オー・データ機器のルーター製品「UD-LT1」と「UD-LT1/EX」に関する脆弱性情報を発表した。脆弱性は3つあり、すでにこれらの脆弱性を悪用した攻撃が確認されている。機器のguestアカウントを知る第三者が特定のファイルにアクセスした場合、認証情報を含む情報を窃取されるような不適切なアクセス権限を付加する「CVE-2024-45841」は、CVSSv3.0のベーススコアと評価が「6.5」「medium」だ。機器に管理者アカウントでログイン可能な第三者によって、任意のOSコマンドを実行される「CVE-2024-47133」は同「7.2」「high」だ。第三者によってリモートから機器のファイアウォールを無効化され、機器上で任意のOSコマンドを実行されたり、機器の設定を変更されたりする「CVE-2024-52564」は同「7.5」「high」だ。CVE-2024-52564はファームウェアVer.2.1.9で修正済みであり、CVE-2024-45841とCVE-2024-47133は2024年12月18日ごろにファームウェアがリリースされる予定だという。
SonicWallは同社のVPN製品「SMA 100」の脆弱性についてセキュリティアドバイザリを発表した。見つかった脆弱性は6件あり、そのうち2件はCVSSv3.1のベーススコアと評価が「8.1」「high」と高い。「CVE-2024-45318」は、VPNのWeb管理インターフェイスの脆弱性だ。リモートの攻撃者はスタックベースのバッファオーバーフローを引き起こして、潜在的にコードを実行できる可能性がある。「CVE-2024-53703」は、「Apache」によってロードされるmod_httprpライブラリの脆弱性だ。リモートの攻撃者がスタックベースのバッファオーバーフローを引き起こして、コードを実行する可能性がある。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
5分で分かる、ランサム対策で必ず押さえる10カ条
第1回、第2回に続き、今回はランサムウェアが人を攻撃する仕組みとITを攻撃する仕組みを紹介する。最後に総まとめとしてベストプラクティスを5分で学ぼう。
「最も危険な脆弱性」とは何か Googleの研究者が発見
Google傘下のMandiantの調査によれば、攻撃者が悪用する脆弱性の性質が変わってきたという。攻撃者は最も危険な脆弱性を集中的に狙っていた。
ソフトウェアの脆弱性が悪用されるまでに企業が対応すべきこととは
ソフトウェアの脆弱性対応は難しい。企業は多数のソフトウェアを利用しており、それら全てを必ずしも管理できているとは言えないからだ。脆弱性情報は毎日のように発表されており、企業側の対応が追い付いていない場合もある。こうした中、攻撃者はどのように動いているのだろうか。