01エグゼクティブサマリ

■ 1月の脅威状況

1月に公開されたサイバー攻撃の傾向はランサムウェア被害が多発しており、サービス停止を余儀なくされる大障害に繋がるケースが報告されています。対象分野は、eコマースサイト、保険などです。また、サービス経路上のサードパーティ製品（サービス）への不正アクセスによる情報流出によりサービス全体が停止する状況も発生しています。自社システム連携先システムが侵害された場合の自社サービス影響は定期的に見直す必要があります。

また、被害として特筆すべき事案は、大手保険会社の個人情報の大量流出です。
2023年1月9日、大手保険会社「アフラック生命保険株式会社」と「チューリッヒ保険会社」より大規模な個人情報漏洩が発表されました。アフラック社は「新がん保険」「スーパーがん保険」「スーパーがん保険Vタイプ」に加入している130万人以上の個人情報、チューリッヒは現在および過去において「スーパー自動車保険」に加入した75万人以上の個人情報の漏洩が確認されています。

今回の漏洩事件は、両社共に外部サイトに顧客情報が公開されていたことで判明しました。委託先の企業が利用しているサーバへの不正アクセスが原因であることが分かっており、アフラック社は漏洩した個人情報は該当のサーバ上から既に削除済みであるとしています。委託先から個人情報の漏洩が発生した場合、委託元の企業は委託先に対して監督責任があります。そのため、もし個人情報漏洩の対象者から損害賠償請求などが行われた場合、委託元に支払い責任が発生する可能性があります。外部委託先管理体制の基準を定め継続的に評価と見直しを実施する必要があります。

LockBitランサムウェアの脅威が増しています。このランサムウェアは、ユーザがコンピュータシステムにアクセスできないようにして身代金を要求するソフトウェアです。LockBitは多額の身代金を要求できそうな標的を自動で探して感染を拡大させ、ネットワーク経由でアクセスできるすべてのコンピュータシステムを暗号化します。このランサムウェアは、企業や組織に対して高度な標的型攻撃を行うために使用されます。

1月11日、英Royal Mailはサイバー攻撃を受け、国際配送サービスが停止しました。Royal Mailは英国最大の郵便配達サービスであり英国の重要なインフラストラクチャです。サービスの中断は英国の経済とサプライチェーンに大きな影響を与えています。混乱は、国際配送に必要な通関書類を印刷するために使用されるコンピュータがLockBitランサムウェア攻撃によって暗号化されたことが原因です。
LockBitを使用している攻撃グループは、ネットワークに侵入するためにあらゆる手段を用います。FBI報告書によれば、すでに侵入しているネットワークアクセス手段を「アクセスブローカ」から購入したり、パッチが未適用のソフトウェア脆弱性を悪用することはもちろん、金銭を支払って内部者からアクセス手段を獲得したり、未知のゼロデイ脆弱性を利用することもあります。

FBIは対策として、ウェブメール、VPN、重要システムのアカウントに強力でユニークなパスワードとMFAを使用することに加え、OSやソフトウェアを最新の状態に保つほか、不必要な管理用共有へのアクセス権を削除するべきだと述べています。また、ホスト型ファイアウォールを使用することや、Windowsの「フォルダーアクセスの制御」で「保護されたフォルダー内のファイル」を有効化することを推奨しています。

1月にも4件のショーケース社が提供するサービスへの不正アクセスが発生し、これを利用する企業の顧客情報漏洩が発覚しています。該当のサービスは、「フォームアシスト」、「サイト・パーソナライザ」、「スマートフォン・コンバータ」で、これらのサービスが、第三者による不正アクセスを受け、ソースコードの改ざんが発生しました。これらのサービスを利用している場合、入力情報が外部に流出している可能性があります。

改ざんは2022年7月26日に取引先からの情報によって発覚しました。「フォームアシスト」のソースコードに不審な記述があるとの指摘を受け調査を開始。調査の結果、ソースコードが書き換えられ、一部取引先のWebサイトなどで入力情報が外部へ流出した可能性があることが判明し、対象サービスのソースコードを修正するとともに、第三者の侵入遮断措置と、新設サーバ移行といった対策を行っています。現在も再発防止策を継続しており、以降、不正なファイル埋め込みは行われていません。

2022年7月にクレジットカード情報が漏洩した可能性があると利用企業はショーケース社から連絡を受けていましたが、いずれも調査会社からの報告書を待ち、クレジットカード会社などと連携するために発表までに時間がかかったとしています。
2023年の1月末時点までに個人情報流失を発表した企業数は12社です。ショーケース社の事例は、セキュリティ事案発生時の対応フローの重要性について考えさせられます。不正アクセスの原因である、ソースコート管理方式と、サードバーティ製品の脆弱性管理方式の見直しを実施する必要がありますが、同社の対応は比較的迅速であり、情報公開も適切になされたように思えます。しかし、発生より6か月間経過している現状でも被害公表が継続しており、被害が広がっているように見えてしまいます。教訓として、自社サービスの最悪事態の被害想定と対応フローについて確認が必要です。

2022年6月、株式会社メタップスペイメント社が手掛けるクレジットカード決済システムからの個人情報流出が発生しました。この結果、2022年6月30日に経済産業省、7月13日に個人情報保護委員会がメタップスペイメント社へ行政処分ならびに行政指導が行われました。情報流出の原因は、決済データセンターサーバ内に配置のアプリケーションの1部に脆弱性があり不正アクセスが行われたものです。

脆弱性を利用されて行われた攻撃は「社内管理システム不正ログイン」「アプリケーションのSQLインジェクション」「バックドア（不正ファイル）の設置」の3つです。これらの攻撃は約6ヶ月にわたって複合的に行われ、決済情報などが格納されているデータベースに到達、個人情報などの情報が外部流出に至ったというものです。

不正アクセスで決済サービス停止中のメタップスペイメント社のサービスが1月31日より再開しました。同社は、約半年間のサービス停止だけでなく、組織体制の再構築、認定審査機関アセスメントと対応、PCIDSS取得と準拠体制の構築など「膨大なコスト」をかけて再建を行った上でのサービス再開となります。セキュリティ対策は一足飛びに品質を向上させることは困難ですが、計画を立案しリスクの高いものから継続的に対応する仕組みづくりを行う必要があります。

■ 重大な脅威、重大な脆弱性

重要ソフトウェア更新情報については内容を確認の上必要に応じて、最新版を利用するようお願いします。