サイバー攻撃関連 Icon
サイバー攻撃関連

今週のセキュリティニュース - 2021年12月24日

ホームセキュリティニュース

今週のセキュリティニュース - 2021年12月24日

投稿日:2021年12月24日
執筆者:ISRセキュリティニュース編集局

今週のセキュリティニュースへようこそ!
ここでは、国内・国外で過去数日間に起こったサイバーセキュリティ関連のニュースやレポートなど、知っておくべきことをお伝えします。 ぜひご覧ください。

国内

日本政府、重要インフラ事業者にサイバー防衛を義務付け

12月20日付の日本経済新聞電子版にて、2022年度より政府が重要インフラ事業者にサイバー攻撃への備えを義務付けることが報じられました。記事によると、重要インフラとして情報通信や金融、電力、ガスなどの14分野が対象となり、経営陣主導の体制整備や対処計画づくり、サプライチェーンで使用する機器の安全確保を求められるとのことです。また、所管省庁や内閣サイバーセキュリティセンター(NISC)が定期点検を行い、対策が不十分であれば改善を迫るとしています。

参照:日本経済新聞電子版「重要インフラ、企業にサイバー防衛義務付け 22年度から」

IPA、Apache Log4jの脆弱性に関する情報を更新

情報処理推進機構(IPA)はApache Log4jの脆弱性対策に関する情報を更新しました。14日にはApache Log4jの脆弱性を悪用したと思われる攻撃が国内でも観測されたという情報が、20日には「特定の構成の場合、Apache Log4j 1 系のバージョンにおいても本脆弱性の影響を受ける可能性がある」との情報が追加されています。
Apache Log4jはJavaベースのロギングライブラリであり、遠隔の第三者が脆弱性を悪用する細工をしたデータを送ることで、任意のコマンドを実行される可能性があるとのことです。

参照:IPA「更新:Apache Log4j の脆弱性対策について(CVE-2021-44228)」

国外

アメリカ連邦政府機関のネットワークにバックドアが発見される

チェコに本拠を置くサイバーセキュリティ企業であるAvast社は、アメリカ国際宗教自由委員会のネットワークにバックドアがあり、攻撃者が同委員会のシステム上のすべてのローカルネットワークトラフィックを傍受し、おそらく流出させることができたということを公表しました。
Avast社は今年5月に同委員会や連邦政府の事件対応部門にも正規のルートで連絡を取り、マルウェアのサンプルなどこの事件で収集したすべての情報を提供しましたが、数ヶ月間「何のフォローアップもなかった」ため、被害者と思われる人々が自分自身を保護できるように脅威情報ブログで調査結果を発表したと述べています。

参照:GovInfoSecurity「Backdoor Discovered in US Federal Agency Network」

CISAとFBIが祝日の安全に関する公共広告を実施

サイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA)は、連邦捜査局(FBI)と共同で、この年末年始にサイバーセキュリティを確保するための明確なアクションを紹介する公共サービス広告(PSA)を開始しました。
休暇中は人手が足りずにオフィスが閉鎖されること、また、最近広く使用されている「Log4j」ソフトウェアライブラリに深刻な脆弱性が発見されたために犯罪者は組織のネットワークやシステム内の脆弱性を利用しようと積極的に動いていることなどが挙げられており、PSAでは以下を含めた複数のサイバーセキュリティのベストプラクティスを実施するよう提言しています。

  • インシデント発生時に駆けつけることができるITセキュリティ担当の従業員を特定する。
  • すべてのスタッフに強力なパスワードの使用と、アカウントごとに異なるパスワードの使用を義務付ける。
  • すべてのリモートアクセスおよび管理者アカウントで多要素認証を有効にする。

参照:JFrog「The JNDI Strikes Back – Unauthenticated RCE in H2 Database Console」

CloudGate UNOでクラウドへのアクセスを安全にしましょう