「SecureOWL」は2022年4月1日付で、 京セラコミュニケーションシステム株式会社(KCCS)から エムオーテックス株式会社(MOTEX)へ事業統合されました。

サプライチェーンのサイバー対策方針 政府が改定計画
~2022年3月の気になるセキュリティニュース~ セキュリティニュース

2022年4月12日

セキュリティニュース一覧

トヨタ自動車をはじめ、デンソーやブリヂストンなどの大手製造業のサプライチェーンや子会社を狙ったサイバー攻撃が後を絶ちません。
昨今のサプライチェーンに対するサイバー攻撃が急増している背景を顧み、政府はサイバー対策方針について改定計画を立てています。サプライチェーンである中小企業は脆弱性対策が不十分であることが多く、本命である大手企業への攻撃の踏み台として狙われるリスクが高いといえます。今後、企業単位ではなく、取引先やグループ企業を包括したセキュリティ対策がますます求められると考えます。

トピックスを紹介します。

政府は、今年4月にもサイバー攻撃への対処を事業者に促す指針を改定する意向を示しました。現在は情報通信や電力、金融などの14分野の重要インフラ事業者に限定し、サイバー攻撃対策を義務づけています。しかし昨今のサイバー攻撃の増加から、改定後はサプライチェーンの中小企業などにも幅広く対応を求める内容へと変わる見込みです[1]。

主なマルウェア・不正アクセス関連の記事を紹介します。

・デンソー独法人 ランサムウェア感染
トヨタ自動車系の国内部品メーカーである株式会社デンソーは、ドイツの現地法人がランサムウェアに感染したことを明らかにしました。
窃盗されたデータは、設計図や発注書の画像、メールやプリンターの印刷データなどの計15万7,000件超で、生産拠点への影響は現時点で確認されていないということです。デンソーは身代金の支払い有無については明言しておらず、「詳細は確認中」と述べています[2][3]。

・ブリヂストン米子会社 ランサムウェア感染
タイヤ製造大手のブリヂストンは、アメリカの子会社がランサムウェアに感染したことを明らかにしました。被害の拡大を防ぐため、生産や販売に関連するITシステムを一時遮断しており、生産や販売などの事業活動に一時支障が出たということです。被害の経路や身代金の要求の有無については、調査中とのことです[4][5]。

・森永製菓 不正アクセス
森永製菓株式会社は不正アクセスを受け、約164万人分の顧客情報が流出した可能性があることを明らかにしました。対象は同社の通信販売サービスを利用した顧客で、氏名や住所、電話番号のほかメールアドレスや購入履歴となっており、クレジットカード情報については含まれていないということです[6][7]。

・東映アニメーション 不正アクセス
東映アニメーション株式会社は、同社ネットワークへ不正アクセスを受け、システム障害の被害が発生したことを明らかにしました。これにより、放映予定であったテレビアニメ「ドラゴンクエスト ダイの大冒険」「デリシャスパーティ プリキュア」「デジモンゴーストゲーム」「ONE PIECE」の放映スケジュールに遅延が発生しました。同社では社内システムの一部を停止し、詳細について調査を続けています[8][9]。

主要なOS、ミドルウェアにおけるインシデントを紹介します。

該当する製品を利用されている場合は、システムへの影響などに鑑み、対策などを速やかに実施することが推奨されています。

・ISC BIND9における複数の脆弱性
ISC(Internet Systems Consortium)が提供するISC BIND9には、複数の脆弱性が存在します。
本脆弱性が悪用された場合、リモートからの攻撃によってnamedが異常終了するなどの可能性があります。バージョンによって影響を受ける脆弱性が異なるため、影響を受ける脆弱性を確認し、各脆弱性に応じた対応を推奨されています[10]。

・Trend Micro Apex CentralおよびTrend Micro Apex Central as a Serviceにおけるファイルコンテンツの検証不備の脆弱性
トレンドマイクロ株式会社が提供するTrend Micro Apex CentralおよびTrend Micro Apex Central as a Serviceに、ファイルコンテンツの検証不備の脆弱性が発見されました。
本脆弱性が悪用された場合、遠隔の第三者によって、任意のファイルがアップロードされる可能性があります。その結果、任意のコード実行が行われるおそれがあります。該当のサービスをご利用の場合は、早急にパッチの適応を行うことを推奨されています[11]。

・i-FILTER 失効したサーバ証明書における検証不備の脆弱性
デジタルアーツ株式会社が提供するi-FILTERに、失効したサーバ証明書の検証不備の脆弱性(CWE-299)が発見されました。中間者攻撃(man-in-the-middle attack)による暗号通信の盗聴などが行われる可能性があり、メーカーは最新版への速やかなアップデートを呼びかけています[12]。

その他、政府・業界動向などに関連する記事を紹介します。

・Gartner 2022年度のセキュリティ/リスクマネジメントのトレンドを発表
IT分野の調査を行うGartnerは、2022年の戦略的テクノロジのトップ・トレンドについて発表しました。今年は「信頼の構築」「変化の形成」「成長の加速」の3つをテーマとしているとのことです[13][14]。

出典

最後に

本記事は、2022年3月に報道されたセキュリティニュースをもとに、特に注目するセキュリティ情報を掲載しています。
注目するセキュリティニュースをまとめて掲載することで、読者の皆さまがよりセキュリティに興味を持ち、日々の対策にご活用いただくきっかけとなれば幸いです。


エムオーテックス株式会社
SecureOWLセキュリティニュースチーム

掲載されている情報は、発表日現在の情報です。最新の情報と異なる場合がありますのでご了承ください。

ページトップへ