「SecureOWL」は2022年4月1日付で、 京セラコミュニケーションシステム株式会社(KCCS)から エムオーテックス株式会社(MOTEX)へ事業統合されました。

Apache Log4jに深刻な脆弱性が発覚
~2021年12月の気になるセキュリティニュース~ セキュリティニュース

2022年1月12日

セキュリティニュース一覧

トピックスを紹介します。

JavaベースのオープンソースロギングライブラリのApache Log4jに、任意のコード実行の脆弱性が発見されました。一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は、本脆弱性を悪用する実証コードの公開および国内にて本脆弱性の悪用を試みるゼロディ攻撃を確認しています[1]。現在、The Apache Software Foundationから本脆弱性を修正したバージョンが公開されており、Apache Log4jを利用している場合は速やかにアップデートを実施することを推奨します[2]。

・Apache Log4jの脆弱性について
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は、Apache Log4jについて、任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起を公開しました。
今回攻撃対象となるのは、Apache Log4j-core2.15.0より前の2系のバージョンとなっており(※)、遠隔の第三者が本脆弱性を悪用する細工したデータを送信することで、任意のコマンドが実行される可能性があります。

(※) Apache Log4j 2.12.2 は対象外となります。
 また特定の構成の場合、Apache Log4j 1 系のバージョンにおいても本脆弱性の影響を受ける可能性があります。

主なマルウェア・不正アクセス関連の記事を紹介します。

・LINE Payで情報漏えい
LINEグループで決済サービスを運営するLINE Pay株式会社は、約13万3,000件の決済情報がインターネット上で公開されていたと公表しました。
情報流出については、従業員がポイント調査の作業を実施した際に、誤ってソフトウェア開発プラットフォームの「GitHub」に該当データをアップロードしたことが原因とされています。
同社は決済関連情報をネット上から削除し、対象となる利用者に通知を行っています[3][4]。

・暗号資産取引所 BitMartにサイバー攻撃
暗号資産取引所「BitMart」は、同社の仮想通貨であるイーサリアム(ETH)およびバイナンススマートチェーン(BSC)のホットウォレットがハッキングを受け、約230億円の被害が発生したことを発表しました。不正アクセスの原因は秘密鍵の盗難と報告されています。同社は被害を受けたホットウォレットの安全性を確保した後、引き出しを停止しており、被害を受けたユーザーに対しては全額の補填を予定しています[5][6]。

・医薬品メーカー リニカルに不正アクセス
医薬品メーカーの株式会社リニカルは、複数拠点のサーバーが不正アクセスを受け、個人株主や採用応募者・退職者などを含む、最大で22万件の個人情報が流出した可能性があると発表しました。同社は現在、犯行組織からの身代金の要求には応じず、外部ベンダーとの共同調査を行い、セキュリティ対策組織を新設することで再発防止に努める意向を述べています[7][8]。

主要なOS、ミドルウェアにおけるインシデントを紹介します。

該当する製品を利用されている場合は、システムへの影響などに鑑み、対策などを速やかに実施することが推奨されています。

・SonicWall SMA 100シリーズに複数の脆弱性
SonicWallのVPN製品「SonicWall SMA 100シリーズ」にバッファオーバーフローをはじめとした深刻な脆弱性が複数含まれていることが明らかになりました。 脆弱性の悪用は確認されておりませんが、最新版への速やかなアップデートを推奨しています[9][10]。

・WordPress プラグインに複数の脆弱性
WordPress向けのセキュリティプラグイン「Wordfence」を提供しているDefiantが、12月初旬からWordPressサイトを標的としたアクティブな攻撃が急増していることを発表しました。
同社は、160万を超えるWordPressサイトが、4つのプラグインと複数のEpsilon Frameworkテーマの脆弱性を突かれ、約1万6,000のIPアドレスから発生した1,370万を超える攻撃にさらされたと述べており、ユーザーへ最新版の速やかなアップデートを呼びかけています[11][12]。

・富士通 ProjectWEB サービス終了について
富士通株式会社は、同社が運営するプロジェクト情報共有ツール「ProjectWEB」の提供を終了すると発表しました。同ツールは、2021年6月から不正アクセスを受けて法人顧客の情報が流出するなどの問題が頻発し、運用を停止していました。併せて同社は、同ツールで発覚した複数の脆弱性の問題点を改善し、新たな情報共有ツールの提供を始めることも明らかにしています[13]。

その他、政府・業界動向などに関連する記事を紹介します。

・政府 重要インフラ14種へサイバー防衛義務付け
日本政府は、情報通信や電力をはじめとする14分野の重要インフラ事業者に対し、サイバー攻撃の対策を法的に義務付けると発表しました。昨今のセキュリティインシデント増加傾向を踏まえて過去の重要インフラ行動計画[14]を見直し、2022年度に正式に適用する方針となっています[15]。

出典

最後に

本記事は、2021年12月に報道されたセキュリティニュースをもとに、特に注目するセキュリティ情報を掲載しています。
注目するセキュリティニュースをまとめて掲載することで、読者の皆さまがよりセキュリティに興味を持ち、日々の対策にご活用いただくきっかけとなれば幸いです。


京セラコミュニケーションシステム株式会社
セキュリティニュースチーム

掲載されている情報は、発表日現在の情報です。最新の情報と異なる場合がありますのでご了承ください。

ページトップへ