はてなブックマーク

近年、製造業において、ランサムウェア感染により生産が一時停止する等、産業制御システムがセキュリティインシデントの影響を受ける事案が散見されています。当該システムにおいて被害が起こった場合、被害組織の事業影響のみならず、取引先まで影響が拡大する場合もあり、被害の社会的な影響が懸念されています。こうした中、産業制御システムが影響を受けるインシデントが発生した際に対応するSecurity Incident Response Team（いわゆるSIRT）の機能への関心が産業界で見られるようになり、製造業においても産業制御システムを対象としたSIRT（以下、「制御系SIRT」という。）の必要性が取り上げられるようになりました。その立ち上げが進んできている状況はJPCERT/CCの活動からも伺え、いくつか関連する相談に対応してきました。一方で、「制御系SIRT」においては、先行して構築・運用が進められ

1. 概況 JPCERT/CCでは、インターネット上に複数の観測用センサーを分散配置し、 一定のIPアドレス帯に向けて網羅的に発信されるパケットを観測しています。こうしたパケットの発信は特定の機器や特定のサービス機能を探索するために行われていると考えられます。JPCERT/CCでは、センサーで観測されたパケットを継続的に収集し、宛先ポート番号や送信元地域ごとに分類して、これを脆弱性情報、マルウェアや攻撃ツールの情報などと対比して分析することで、攻撃活動や準備活動の捕捉に努めています。センサーから収集したデータを分析し、問題が見つかれば、解決できる可能性がある関係者に情報を提供し、対処を依頼しています。 本レポートでは、本四半期にTSUBAME（インターネット定点観測システム）が観測した結果とその分析の概要を述べます。 本四半期に探索された国内のサービスのトップ5は［表1］に示すとおりでした

2024年6月、一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）は、サイバーセキュリティ対策活動に特に顕著なご貢献をいただいた方に感謝の意を表して感謝状を贈呈しました。 JPCERT/CCは、さまざまな国内のサイバー攻撃の被害を低減するために、インシデントへの対応支援活動、インシデントを未然に防ぐための早期警戒活動、マルウェア分析、ソフトウェア製品等の脆弱性に関する調整活動を行っています。これらの活動を円滑かつ効果的に進めるためには、皆さまからの情報提供やさまざまなご協力が欠かせません。 JPCERT/CCでは、サイバーセキュリティ対策活動に対する皆さまからのご厚意とお力添えに深く思いをいたし、2024年度は次の方に感謝状を贈呈いたしました。 日本国内の企業や組織に対する標的型攻撃が増加し始めた2010年代から現在に至るまで、大手新聞社を対象とする攻撃活動は活発に行

JPCERT-AT-2024-0013 JPCERT/CC 2024-06-25 本注意喚起の公開直前に、国内組織のサイバー攻撃被害に関する報道が出ていますが、本注意喚起との関係はありません。 I. 概要2023年5月に重要インフラなどを狙う「Volt Typhoon」の攻撃活動が公表されて以来、Living off the Land戦術を用いて長期間・断続的に攻撃キャンペーンを行うAPTアクターの活動に対して警戒が高まっています。JPCERT/CCでは2023年から日本の組織も狙う同様の攻撃活動（Operation Blotless）を注視しており、同攻撃キャンペーンの実行者はマイクロソフト社などが示すVolt Typhoonと多くの共通点があると考えていますが、Volt Typhoonによる攻撃活動だけなのか、これ以外に同様の戦術を用いる別のアクターによる活動も含まれているのか、現時点

1. 概況 JPCERT/CCでは、インターネット上に複数の観測用センサーを分散配置し、 一定のIPアドレス帯に向けて網羅的に発信されるパケットを観測しています。こうしたパケットの発信は特定の機器や特定のサービス機能を探索するために行われていると考えられます。JPCERT/CCでは、センサーで観測されたパケットを継続的に収集し、宛先ポート番号や送信元地域ごとに分類して、これを脆弱性情報、マルウェアや攻撃ツールの情報などと対比して分析することで、攻撃活動や準備活動の捕捉に努めています。センサーから収集したデータを分析し、問題が見つかれば、解決できる可能性がある関係者に情報を提供し、対処を依頼しています。 本レポートでは、本四半期にTSUBAME（インターネット定点観測システム）が観測した結果とその分析の概要を述べます。 本四半期に探索された国内のサービスのトップ5は［表1］に示すとおりでした

HOME緊急情報を確認するPalo Alto Networks社製PAN-OS GlobalProtectのOSコマンドインジェクションの脆弱性（CVE-2024-3400）に関する注意喚起 Palo Alto Networks社製PAN-OS GlobalProtectのOSコマンドインジェクションの脆弱性（CVE-2024-3400）に関する注意喚起 JPCERT-AT-2024-0009 JPCERT/CC 2024-04-13（公開） 2024-04-25（更新） I. 概要2024年4月12日（現地日付）、Palo Alto Networksは、PAN-OSのGlobalProtect機能におけるOSコマンドインジェクションの脆弱性（CVE-2024-3400）に関するアドバイザリを公開しました。GlobalProtectはリモートアクセス（VPN）などを提供する機能です。本脆弱

(1) 概要 2024年3月29日（現地時間）、複数のLinuxディストリビューションなどで利用されているファイル可逆圧縮ツールであるXZ Utilsに悪意のあるコードが挿入された問題（CVE-2024-3094）が確認されたとして、ツールの開発元であるThe Tukaani Projectの開発者やディストリビューターなどが情報を公開しています。同問題は同ツールの共同開発者により2024年2月24日頃に挿入され、悪意のあるコードが挿入されたバージョンのツールがインストールされたシステムでは、特定条件下でSSHポート経由で外部から攻撃者が接続できるような改ざんが行われる可能性があるとのことです。XZ Utilsを使っている可能性があるLinuxディストリビューションを利用している場合、同ツールの開発者や各ディストリビューターが公開する最新の情報を参照し、影響の有無の調査や必要な対処の実施を

近年、産業用制御システム（Industrial Control System以下、「ICS」という。）におけるセキュリティ対策が重要視されるようになり、関連するセキュリティインシデントへの対応体制に取り組む組織も増えつつあります。一方で、ICSセキュリティ担当者が、ICSを対象としたSIRT（以下、便宜的に「制御系SIRT 」という。）に必要な機能等を検討する際の手がかりが少なく、JPCERT/CCに対して、製造業のICSセキュリティ担当者からのご相談を少なからずいただいたこともあり、「制御系SIRT」が備えるべき機能およびそのために必要な要件等がしるされた参考文献が求められていました。 そこで、さまざまな業種の製造業のICSセキュリティ担当者にご参加いただいたJPCERT/CCが主催するコミュニティーにおいて、製造業における「制御系SIRT」が備えるべき機能およびそのために必要な要件等の

(1) 概要 本ページでは、2024年1月以降に公開されたIvanti Connect Secure（旧: Pulse Connect Secure）およびIvanti Policy Secureゲートウェイなどにおける深刻度の高い脆弱性に関する情報を掲載します。脆弱性情報の公開日やアドバイザリのリンク、回避策や対策（修正パッチ）情報の公開開始日、脆弱性の実証コード（PoC）の公開日、既知の悪用事例などに関する情報をまとめています。 2024年1月10日以降、複数の脆弱性に関する情報が公開され、頻繁に更新されている状況です。同製品を利用している場合、Ivantiなどが提供する最新の情報を参考に、脆弱性に関する調査や対策実施をご検討ください。対象となる製品名やバージョン、対策方法、調査方法などに関する詳細や最新の情報は、Ivantiが提供するアドバイザリの最新の情報をご確認ください。 (2)

JPCERT-AT-2024-0004 JPCERT/CC 2024-02-09（公開） 2024-02-29（更新） I. 概要2024年2月8日（現地時間）、FortinetはFortiOSおよびFortiProxyにおける境域外書き込みの脆弱性（CVE-2024-21762）に関するアドバイザリ（FG-IR-24-015）を公開しました。本脆弱性が悪用されると、認証されていない遠隔の第三者が、細工したHTTPリクエストを送信し、結果として任意のコードまたはコマンドを実行する可能性があります。 Fortinetは、アドバイザリにて本脆弱性に対して悪用の可能性を示唆しています。ただし、現時点（2024年2月15日）では影響範囲や対策についての情報のみです。今後もFortinetが提供する最新の情報を確認し、対策や調査の実施を推奨します。 Fortinet FortiOS/FortiPro

複数の被害組織での調査や攻撃活動の追跡が並行して行われており、今後、記載したもの以外の製品の脆弱性や通信先等のインディケータ情報を追記、更新する見込みですので、今後の情報更新もご確認ください。 I. 概要JPCERT/CCは、2022年5月以降におけるArray Networks Array AGシリーズの脆弱性を悪用する標的型サイバー攻撃に対する侵害調査を進めてきました。 Array Networks Array AGシリーズの脆弱性を悪用する複数の標的型サイバー攻撃活動に関する注意喚起 https://www.jpcert.or.jp/at/2023/at230020.html JPCERT/CCでは注意喚起に対するフィードバックや、サイバーセキュリティ協議会の活動を通じて、注意喚起に掲載した攻撃活動に関連すると考えられる活動を認識しました。「II. 攻撃活動の概要」の概要やインディケ

JPCERT-AT-2023-0026 JPCERT/CC 2023-10-20（公開） 2023-11-21（更新） I. 概要2023年10月10日（現地時間）、CitrixはCitrix NetScaler ADC（Citrix ADC）およびNetScaler Gateway（Citrix Gateway）における脆弱性（CVE-2023-4966、CVE-2023-4967）に関する情報を公開しました。本脆弱性が悪用されると、認証されていない遠隔の第三者が、認証を回避して機密情報を取得するなどの可能性があります。 Citrix NetScaler ADC and NetScaler Gateway Security Bulletin for CVE-2023-4966 and CVE-2023-4967 https://support.citrix.com/article/CTX

JPCERT-AT-2023-0025 JPCERT/CC 2023-10-18（公開） 2023-10-23（更新） I. 概要2023年10月16日（現地時間）、CiscoはCisco IOS XE ソフトウェアのWeb UI機能における権限昇格の脆弱性に関する情報を公開しています。同製品のWeb UI機能をインターネットまたは信頼されないネットワークに公開している場合、本脆弱性が悪用され、遠隔の認証されていない第三者が、最上位の特権アカウントを作成し、当該システムを制御する可能性があります。 更新: 2023年10月23日追記 2023年10月22日（現地時間）、Ciscoはアドバイザリを更新し、新たな脆弱性の情報と攻撃の内容に関する情報を公開しています。Ciscoは、CVE-2023-20198に加えて、新たにWeb UI機能の別コンポーネントの脆弱性にCVE-2023-20273

JPCERT-AT-2023-0022 JPCERT/CC 2023-10-10（公開） 2023-10-18（更新） 2023-10-26（更新） I. 概要2023年10月10日、株式会社ノースグリッドはオンラインストレージ構築パッケージ製品「Proself」について、XML外部実体参照（XXE）に関する脆弱性があることを公開しました。 株式会社ノースグリッド [至急]Proselfのゼロデイ脆弱性(CVE-2023-45727)による攻撃発生について(更新) https://www.proself.jp/information/153/ ノースグリッド社によると、本脆弱性の悪用を含む一連の攻撃が確認されています。攻撃を受けた場合、システム内の任意のファイルを外部へ送信されるとのことです。同社の情報には、攻撃の痕跡を確認する手順、アップデート版をリリースするまでの暫定対応方法が掲載され

JPCERT-AT-2023-0021 JPCERT/CC 2023-09-19 I. 概要2023年9月19日、トレンドマイクロ株式会社は、複数の企業向けエンドポイントセキュリティ製品の脆弱性（CVE-2023-41179）に関する注意喚起を公開しました。本脆弱性が悪用された場合、当該製品の管理コンソールにログイン可能な攻撃者によって、セキュリティエージェントがインストールされている端末上で、システム権限で任意のコードを実行される可能性があります。トレンドマイクロ株式会社は、本脆弱性を悪用した攻撃を確認しているとのことです。 トレンドマイクロ株式会社 アラート/アドバイザリ：トレンドマイクロのエンドポイント向け製品のサードパーティセキュリティ製品をアンインストールする機能における任意コード実行の脆弱性について https://success.trendmicro.com/jp/solut

JPCERT-AT-2023-0020 JPCERT/CC 2023-09-14（新規） 2023-09-22（更新） I. 概要JPCERT/CCでは、2022年5月以降、サイバーセキュリティ協議会の活動などを通じて、Array Networks Array AGシリーズの脆弱性を悪用したと思われる複数の標的型サイバー攻撃を断続的に確認しています。後述のとおり、複数の攻撃グループ／攻撃活動が本製品の脆弱性を悪用していると考えられ、また、国内のみならず海外拠点も標的となっているため、自組織の海外拠点における対策や侵害有無の調査も推奨します。 攻撃活動が確認され始める前後および期間中には、本製品において、次の脆弱性が公表および修正されています。 - CVE-2022-42897（2022年4月公表、2022年9月修正） - CVE-2023-28461（2023年3月公表、2023年3月修正

HOME緊急情報を確認するBarracuda Email Security Gateway（ESG）の脆弱性（CVE-2023-2868）を悪用する継続的な攻撃活動に関する注意喚起 JPCERT-AT-2023-0017 JPCERT/CC 2023-09-05 I. 概要2023年8月23日（現地時間）、米連邦捜査局（FBI）はBarracuda Email Security Gateway（ESG）の脆弱性（CVE-2023-2868）を悪用した攻撃について、すでに修正対応などを済ませたユーザー組織においても追加で侵害調査を行うよう再度の注意喚起を公開しました。また同月29日、同脆弱性の悪用事案に関する調査を行っているMandiantは追加の分析レポートを公表し、5月以降に本脆弱性の影響を受けてBarracuda Networksから通知を受けたユーザー組織のうち、限定された数のユーザ

先日、内閣サイバーセキュリティセンター（以下、NISCという。）から、電子メール関連システムへ不正アクセスがあり情報が漏えいしたとの公表がありました。 内閣サイバーセキュリティセンターの電子メール関連システムからのメールデータの漏えいの可能性について https://www.nisc.go.jp/news/20230804.html 一般社団法人JPCERTコーディネーションセンター（以下、JPCERT/CCという。）はNISCとパートナーシップを締結しており、日ごろから情報提供等を行っておりますが、当該漏えい対象期間（昨年10月上旬～今年6月中旬）におけるNISCとの間のメールのやり取りにおいて、JPCERT/CCが関係するインシデント事案等に関する機微な情報の提供は行っておりません。したがって、インシデント対応支援先等にただちに二次被害等の影響が及ぶ可能性はないと考えております。 他方

JPCERT-AT-2023-0014 JPCERT/CC 2023-08-01（新規） 2023-08-18（更新） I. 概要2023年7月20日から、株式会社ノースグリッドはオンラインストレージ構築パッケージ製品「Proself」の認証バイパスおよびリモートコード実行の脆弱性に関する情報を公開しています。すでに多くの利用組織が本件の調査や対応を進めている状況であると認識していますが、まだ本件を確認できていない利用組織が存在している可能性を危惧し、本注意喚起を公開し、本製品の販売や提供、運用や保守などを行う利用組織に対しても問題の認識や調査、対策実施を呼び掛けることにいたしました。 株式会社ノースグリッド [至急]Proselfのゼロディ脆弱性による攻撃発生について https://www.proself.jp/information/149/ 同脆弱性を悪用する攻撃がすでに確認されて

JPCERT-AT-2023-0013 JPCERT/CC 2023-07-19（新規） 2023-10-11（更新） I. 概要2023年7月18日（現地時間）、CitrixはCitrix NetScaler ADC（Citrix ADC）およびNetScaler Gateway（Citrix Gateway）における複数の脆弱性に関する情報を公開しました。本脆弱性が悪用されると、認証されていない遠隔の第三者が任意のコードを実行するなどの可能性があります。 Citrix Citrix ADC and Citrix Gateway Security Bulletin for CVE-2023-3519, CVE-2023-3466, CVE-2023-3467 https://support.citrix.com/article/CTX561482/citrix-adc-and-citri

J-CLICS 攻撃経路対策編では、攻撃者が侵入する際に使用される恐れがある制御システム（以下、「ICS」という。）との接続点を攻撃経路と定義し、想定される4つの攻撃経路を設定しています。設定した攻撃経路ごとに侵害手順と実施すべきセキュリティ対策を検討しており、その対策の実施状況を確認する「チェックリスト」およびその「設問項目ガイド」で構成されています。さらに、攻撃経路ごとに攻撃が成立する条件を整理した「対策マップ」を加え、評価する際の参考図書としています。 J-CLICSの名称をもつICSの自己評価ツールには、「J-CLICS STEP1／STEP2」と「J-CLICS 攻撃経路対策編」の2種があります。J-CLICS STEP1／STEP2は、これからICSのセキュリティ対策に取り組む方向けで、ベースラインアプローチとして現在のICSにおけるセキュリティ対策状況を可視化し、重要度が高く

2023年2月3日（現地時間）より、VMware ESXiが稼働するサーバーを標的としたランサムウェア攻撃に関する情報が仏CERT-FRやOVHcloud、BleepingComputerなどから公開されています。同製品の既知のOpenSLPのヒープオーバーフローの脆弱性（CVE-2021-21974）を悪用した攻撃とみられ、攻撃を受けるとファイルが暗号化され身代金の支払いを求めるメッセージが残されます。 日本国内でもインターネットから接続可能な状態で同製品が稼働するホストが確認でき、今後こうした攻撃の被害を受ける可能性があるため、同製品を利用している場合、引き続き関連する情報を注視いただきながら、次のような対応をご検討ください。 推奨対策 既知の脆弱性に対する対策や回避策の適用（参考: VMware Security Advisories） 稼働するサービスやアクセス制限の見直し（参考:

2022年10月から12月にかけて確認された影響範囲の広い脆弱性情報や脅威情報などをまとめました。当期間中もランサムウェアを用いた攻撃が国内で観測されており、SSL-VPN製品やファイアウォール製品で深刻な脆弱性に関する情報が公開されています。マルウェア感染に繋がるメールについては年末年始期間中にも注意が必要です。以下を参考に対策をご検討ください。 I. ランサムウェアを用いた攻撃 ［1］概要 当期間中も国内組織でランサムウェアを用いた攻撃の被害が多数報告されています。こうした攻撃では、SSL-VPN製品の脆弱性の悪用やリモートデスクトップサービスの認証突破など、主に外部から接続可能なシステムの脆弱性やリモートアクセスの出入口などが侵入経路として悪用されます。また、取引先や海外拠点のネットワークに侵入した攻撃者が、別の組織や国内拠点に侵入するケースも確認されています。 [画像: 侵入型ラン

JPCERT-AT-2022-0032 JPCERT/CC 2022-12-13（新規） 2022-12-19（更新） I. 概要2022年12月12日（現地時間）、FortinetはFortiOS SSL-VPNにおけるヒープベースのバッファーオーバーフローの脆弱性（CVE-2022-42475）に関するアドバイザリ（FG-IR-22-398）を公開しました。本脆弱性が悪用されると、認証されていない遠隔の第三者が、細工したリクエストを送信し、任意のコードやコマンドを実行する可能性があります。 Fortinet FortiOS - heap-based buffer overflow in sslvpnd https://www.fortiguard.com/psirt/FG-IR-22-398 Fortinetは、本脆弱性を悪用する攻撃を確認しています。影響を受ける製品を利用している場合

2022年7月から9月にかけて確認された影響範囲の広い脆弱性情報や脅威情報などをまとめました。当期間中もランサムウェアを用いた攻撃やフィッシング詐欺が国内で観測されています。また、深刻かつ影響範囲の広い脆弱性についてJPCERT/CCは注意喚起を発行しています。以下を参考に対策をご検討ください。 I. ランサムウェアを用いた攻撃 ［1］概要 当期間中も国内組織でランサムウェアを用いた攻撃の被害が多数報告されています。ランサムウェア攻撃は、一台から数台の端末の感染被害から、業務停止を引き起こす大規模な感染被害に至るものまでさまざまです。被害予防のための対策や有事に備えた対応の検討を推奨します。 [画像: 侵入型ランサムウェア攻撃などのイメージ図] ［2］代表的な侵入経路 こうした攻撃では、SSL-VPN製品の脆弱性の悪用や、外部から接続可能なリモートデスクトップサービスの認証突破など、主に外

HOME緊急情報を確認するFortinet製FortiOS、FortiProxyおよびFortiSwitchManagerの認証バイパスの脆弱性（CVE-2022-40684）に関する注意喚起 Fortinet製FortiOS、FortiProxyおよびFortiSwitchManagerの認証バイパスの脆弱性（CVE-2022-40684）に関する注意喚起 JPCERT-AT-2022-0025 JPCERT/CC 2022-10-11（新規） 2022-10-14（更新） I. 概要2022年10月10日（現地時間）、FortinetはFortiOS、FortiProxyおよびFortiSwitchManagerにおける認証バイパスの脆弱性（CVE-2022-40684）に関するアドバイザリ（FG-IR-22-377）を公開しました。本脆弱性が悪用されると、認証されていない遠隔の第三者

JPCERT-AT-2022-0023 JPCERT/CC 2022-09-13 I. 概要2022年9月13日、トレンドマイクロ株式会社は、Trend Micro Apex OneおよびTrend Micro Apex One SaaSの脆弱性（CVE-2022-40139）に関する注意喚起を公開しました。本脆弱性が悪用された場合、当該製品の管理コンソールにログイン可能な遠隔の第三者が、任意のコードを実行する可能性があります。トレンドマイクロ株式会社によると、本脆弱性を悪用した攻撃をすでに確認しているとのことです。 トレンドマイクロ株式会社 【注意喚起】Trend Micro Apex One / Trend Micro Apex One SaaS の複数の脆弱性および脆弱性を悪用した攻撃(CVE-2022-40139)を確認したことによる修正プログラム適用のお願いについて（2022年9

IEC 62443は、十数分冊からなる制御システム(ICS)のセキュリティに関するシリーズ標準です。国際標準の中でも10冊以上の分冊を擁する規模のシリーズ標準は珍しい存在と言えると思いますが、さまざまな観点からのセキュリティ対策が包括的にまとまっていて、ICSセキュリティを学ぶための良い手引きにもなっています。その一方で、現場の方々から、標準の存在は知っているけれど、膨大な文書量に躊躇したままで活用するに至っていないとの声も漏れ聞きます。 JPCERT/CCでは、IEC 62443シリーズという貴重な情報源を現場の方々に少しでも役立てていただくために、その中に書かれている主なセキュリティ概念を順次取り上げて紹介する、「標準から学ぶICSセキュリティ」と題した、気軽に読んでいただける連載記事を公開しています。IEC 62443シリーズ標準の概要を理解するとともに、必要に応じて的確に原典を入手