01エグゼクティブサマリ

■ 6月の脅威状況

6/2に国内電子書籍サービスサイトへリスト攻撃によるユーザアカウント詐取を目的とした不正アクセス事案が2件発生しています。電子書籍を不正に入手するなど、限定された具体的な目的のための攻撃が行われる事案が今後、増えることが予想されます。

6/15には、内閣官房内閣サイバーセキュリティセンターより、国内公的機関、企業、団体を装う「偽装サイト」の注意喚起がされています。日本をターゲットとしたサイバー攻撃が、Emotetに続き鮮明となっております。
https://www.trendmicro.com/ja_jp/research/22/f/proxy-avoidance-websites.html

大阪尼崎市の請負業者が46万人の個人情報を含むUSBを紛失した事案は、USBは回収され、情報流出の可能性も無いと国内では判断されました。しかし、この事件は世界中のサイトで取り上げられ、公的機関の陳腐化したデータ受渡状況が笑えない現実として呆れられています。私企業でも、このような事案は信用失墜となるでしょう。重要機密情報の取扱いリスクを分析し、対策と教育の見直しが必要です。

宅配業者の不在通知を装うフィッシングや、SNSやURL短縮サービスを利用したフィッシングなどフィッシング手口が巧妙化しております。報告件数は減っておりますが、偽装ブランド数は増えております。

■IPA：企業・組織におけるテレワークのセキュリティ実態調査の結果を公開

https://www.ipa.go.jp/security/fy2021/reports/scrm/index-telework.html

機密情報を含む電子記録媒体や会社支給PCの持ち出しが、特例や例外として認められたケースが増えております。委託元の3割の企業がセキュリティ遵守状況の確認を行っていないなど、長期化するコロナ禍や、テレワーク定着化の状況で、自社組織のセキュリティ対策の実施状況の確認が必要です。

■ 重大な脆弱性

社内クループウェアであるアトラシアン社
Confluence ServerおよびData Centerの脆弱性

6/2（現地時間）AtlassianはConfluence ServerおよびData Centerの脆弱性（CVE-2022-26134）に関するセキュリティアドバイザリを公開しました。本脆弱性を悪用することで、認証されていない遠隔の第三者が任意のコードを実行する可能性があります。
https://www.jpcert.or.jp/at/2022/at220015.html

■ フィッシング対策協議会緊急情報

月次報告書「2022/05 フィッシング報告状況」より、協議会に寄せられた報告件数は、前月より 3,962 件減少。フィッシングサイトURL件数 (重複なし) は7,663 件増加しています。悪用されたブランド件数は、前月より9件増加しています。。

auおよびau PAYをかたるフィッシングの報告が報告数全体の約 21.7 % となり、4月に引き続き多い状況となりました。次いで報告数が多い Amazon、えきねっと (JR東日本) をかたるフィッシングの報告も含めた上位3ブランドで全体の約49.5 %を占めました。

直近のフィッシング月次報告は以下で参照できます。
https://www.antiphishing.jp/report/monthly/202205.html