2021年1月から3月にかけて、利用数の多い製品に関する脆弱性の悪用について報告されたり、マルウェアEmotetに関して感染した端末の利用者に対して通知が行われたりしています。
2021年1月以降に確認された影響範囲の広い脆弱性情報や脅威情報などをまとめました。以下を参考に対策をご検討ください。
I.Microsoft Exchange Serverの複数の脆弱性について
[1]概要
2021年3月2日(米国時間)、マイクロソフトはMicrosoft Exchange Serverの複数の脆弱性に関する情報を公開しました。マイクロソフトによると公開した脆弱性のうち、4件の脆弱性について悪用した攻撃があったことが確認されています。また同社のブログでは、攻撃で確認された活動、攻撃の被害有無を確認するための調査方法やインジケーター情報が公開されています。
JPCERT/CC
Microsoft Exchange Serverの複数の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210012.html
マイクロソフト株式会社
Exchange Server のセキュリティ更新プログラムの公開 (定例外)
https://msrc-blog.microsoft.com/2021/03/02/20210303_exchangeoob/
[2]対策
下記の対策をご検討ください。
- 脆弱性の影響を受けるか、製品およびバージョンといった利用状況を確認する
- 脆弱性の影響を受ける場合、開発者が提供している情報をもとに対策を実施する
- 開発者が提供している情報をもとに、脆弱性を悪用する攻撃の有無を調査する
- 今後、新たな脆弱性を発見した際に、アップデートや回避策の適用を早期に実施するため、対応手順や体制などを整備する
II.SSL-VPN製品を含むネットワーク製品の脆弱性について
[1]SonicWall製SMA100シリーズの脆弱性について
2021年2月3日(米国時間)、SonicWallは同社製SMA100シリーズの脆弱性(CVE-2021-20016)に関する情報を公開しました。SonicWallは本脆弱性の悪用による被害を報告しており、速やかにバージョンアップを行うことを推奨しています。
JPCERT/CC
SonicWall製SMA100シリーズの脆弱性(CVE-2021-20016)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210006.html
[2]複数のBIG-IP製品の脆弱性について
2021年3月10日(米国時間)、F5 NetworksはBIG-IP製品の複数の脆弱性に関する情報を公開しました。JPCERT/CCは、公開された脆弱性のうち、脆弱性(CVE-2021-22986)を実証したとするコードの情報や、本脆弱性の影響を受ける機器を探索するスキャン、本脆弱性の悪用を試みたと推察される通信の情報を確認しています。そのため、速やかに対策を実施することを推奨します。
JPCERT/CC
複数のBIG-IP製品の脆弱性(CVE-2021-22986)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210014.html
[3]対策
下記の対策をご検討ください。
- 脆弱性の影響を受けるか、製品およびバージョンといった利用状況を確認する
- 脆弱性の影響を受ける場合、開発者が提供している情報をもとに対策を実施する
- 対策済みである場合も、対策実施前にパスワードを窃取された可能性を考慮し、該当機器のパスワードを変更する
- 外部からシステムにアクセス可能なIPアドレス、ポートを必要最小限に制限する
- 今後、新たな脆弱性を発見した際にアップデートや回避策の適用を早期に実施するため、対応手順や体制などを整備する
III.マルウェアEmotetのテイクダウンと感染端末に対する通知について
[1]概要
2019年10月以降、日本国内にてEmotetの感染事例が多数報告されていましたが、2021年1月に海外の捜査当局によるEmotetのテイクダウンが行われました。
Emotetは無害化されましたが、感染した端末への対応が必要です。海外の捜査当局からの情報をもとに総務省、警察庁、一般社団法人ICT-ISAC、ISP各社からEmotetに感染している端末の利用者への通知が行われています。
総務省
マルウェアに感染している機器の利用者に対する注意喚起の実施
https://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00095.html
JPCERT/CC
マルウェアEmotetのテイクダウンと感染端末に対する通知
https://blogs.jpcert.or.jp/ja/2021/02/emotet-notice.html
EmoCheck
https://github.com/JPCERTCC/EmoCheck
[2]対策
通知を受けた場合は、下記の対策を検討してください。
- 「EmoCheck」などを利用し、感染端末を特定する
- 端末やブラウザーに保存されたアカウント、パスワードなどの認証情報を変更する
- 感染端末で利用していたメールアカウントを利用停止する
- 別のマルウェアに感染していないかを確認する
IV.クラウドサービスの運用、設定について
[1]概要
クラウドサービスは、システム運用やサービス提供などを安価で実現する方法として広く普及しています。一方でクライアントアプリなど脆弱性が存在する場合や適切な設定が行われていない場合、アカウントの不正利用や情報漏えいなどの被害を受ける可能性があります。現在の運用や設定が適切に行われているかを確認することを推奨します。
[2]対策
下記の対策をご検討ください。
- クラウドサービスプロバイダーが提供しているセキュリティに関するベストプラクティスをもとに、現在の運用方法や設定が適切かを確認する
- サービス利用利用部門が、規定外の利用を行っていないかを確認する
- サービス利用規約を定期的に確認し、利用者側の管理責任範囲を明確化する
[3]事例
前四半期では、不適切なアクセス制御の権限設定に起因した情報漏えいが報告されています。
Salesforce
Salesforceサイトおよびコミュニティにおけるゲストユーザのアクセス制御の権限設定について
https://www.salesforce.com/jp/company/news-press/stories/salesforce-update/
V.JPCERT/CCからのお願い
JPCERT/CCでは、改ざんされたWebサイトや不正なプログラムの配布サイトなどに対して、関係機関を通じて調整活動を行っています。 もし、これらに関する情報をお持ちの場合は、以下のWebフォーム、または電子メールで、JPCERT/CCまでご連絡ください。
JPCERT/CCインシデント報告(発見報告・被害報告・被害対応依頼) | |
---|---|
info@jpcert.or.jp | |
Webフォーム | https://www.jpcert.or.jp/form/#web_form |
※インシデント報告、対応依頼の詳細はhttps://www.jpcert.or.jp/form/をご覧ください。
VI.ゴールデンウィークに備えて
[1]概要
⻑期休暇期間中は、インシデント発⽣に気付きにくく、発⾒が遅れる可能性があります。休暇期間中にインシデントが発覚した場合に備えて、対応体制や関係者への連絡⽅法などを事前に調整し、休暇明けには、不審なアクセスや侵⼊の痕跡がないか、機器のログを確認することを推奨します。
[2]実施事項
[システム管理者向け]
1.インシデント発生時の緊急連絡網が整備・周知されていることを確認する
2.休暇中に稼動する必要最小限の機器を確認し、休暇中に稼働の必要がない機器は、電源を落とすなどの適切な対応を行う
3.重要なデータのバックアップを行う
4.サーバーのOSやソフトウェアなどに最新の修正プログラムが適用されていることを確認するとともに、Webサーバー上で動作するWebアプリケーションの更新もあわせて行う
5.社員が業務で使用している機器(PCやスマートフォンを含む)のOSやソフトウェアに修正プログラムの適用漏れがないかを確認し、社員向けに同様の確認を行うように周知する
6.休暇後に不審なアクセスを確認するために、休暇中のシステム管理者や社員、職員によるサーバーなどの利用予定を把握しておく
[社員、職員向け]
1.インシデント発生時の連絡先を確認する
2.業務で使用しているPCやスマートフォンのOSやソフトウェアなどに、最新の修正プログラムが適用されていることを確認する
3.パスワードに容易に推測できる文字列や単純な文字列を設定していたり、異なるシステムで同じパスワードを設定したりしている場合は、適切に変更する
4.業務のため、PCやデータを持ち出す際には、自組織のポリシーに従い、取り扱いや情報漏えいに細心の注意を払う
VII.修正プログラム情報
最近公開された重要な修正プログラムは以下をご参照ください。
[マイクロソフト]
2021 年 4 月のセキュリティ更新プログラム
https://msrc.microsoft.com/update-guide/ja-JP/releaseNote/2021-Apr
Microsoft Update カタログ
https://www.catalog.update.microsoft.com/
Windows Update:よくあるご質問
https://support.microsoft.com/ja-JP/help/12373/windows-update-faq
[アドビ]
Security update available for RoboHelp | APSB21-20
https://helpx.adobe.com/security/products/robohelp/apsb21-20.html
Security Updates Available for Adobe Bridge | APSB21-23
https://helpx.adobe.com/security/products/bridge/apsb21-23.html
Security Updates Available for Adobe Digital Editions | APSB21-26
https://helpx.adobe.com/security/products/Digital-Editions/apsb21-26.html
Security updates available for Adobe Photoshop | APSB21-28
https://helpx.adobe.com/security/products/photoshop/apsb21-28.html
** 更新: 2021年4月28日 *******************************************
- [Oracle]
Oracle Critical Patch Update Advisory - April 2021
https://www.oracle.com/security-alerts/cpuapr2021.html
** 更新終了 ******************************************************
VIII.参考情報
[JPCERT/CC]
インシデント報告対応レポート
https://www.jpcert.or.jp/ir/report.html
STOP! パスワード使い回し!
https://www.jpcert.or.jp/pr/stop-password.html
適切なパスワードの設定・管理方法について
https://www.jpcert.or.jp/newsflash/2018040401.html
ログを活用したActive Directoryに対する攻撃の検知と対策
https://www.jpcert.or.jp/research/AD.html
マルウエアEmotetへの対応FAQ
https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html
[IPA]
サーバ用オープンソースソフトウェアに関する製品情報およびセキュリティ情報
https://www.ipa.go.jp/security/announce/sw_security_info.html
改訂履歴
2021-04-15 初版
2021-04-28 「VII.修正プログラム情報」の追記
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email: ew-info@jpcert.or.jp