株式会社ラック

トップレベルのセキュリティ技術を駆使した
ITトータルソリューションで、未来をきり拓く

セキュリティ事故発生時はこちら
閉じる

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティに係るお客様の緊急事態に際し迅速にお客様をご支援する緊急対応サービスです。
緊急事態が発生したら今すぐ「サイバー救急センター」にご相談ください。

電話で相談する

メールで相談する

サイバー救急センター®のメールアドレス

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティ事故発生時はすぐにご連絡ください

LAC WATCH
2017年04月27日 | 注意喚起

セキュリティ更新プログラム適用前に、遠隔操作ウイルスに感染していた事案に関して

ラックは、救急対応サービスを提供する専門組織「サイバー救急センター」を運営しており、24時間態勢でサイバー攻撃被害への対応支援を行っています。 本情報は、セキュリティ修正プログラムの公開・適用前にサイバー攻撃を受けていたことが原因で、プログラムを適用した後も継続して遠隔操作ウイルスによる侵入を許した事案を踏まえて、組織内部の通信を棚卸し調査する必要性を注意喚起するものです。

2016年中にサイバー救急センターが調査依頼を受けた中で、遠隔操作ウイルスに侵入されてから数カ月、長いものでは2年を超える期間発見されなかった事案が確認されています。

このうちの何件かは、Sky株式会社が2016年12月21日に公開した「SKYSEA Client View」の脆弱性が悪用されたことが確認されています。被害に遭った組織は、「SKYSEA Client View」のセキュリティ修正プログラムが公開された後、これを即座に適用するなどセキュリティ対策は適切に行われていたにもかかわらず感染被害を受けていました。原因は、本脆弱性を悪用したサイバー攻撃が、セキュリティ修正プログラムの公開前に実行されていたことでした。これらの感染は、当該端末を外部に持ち出した際にグローバルIPでインターネットに接続したことで発生したと推測されます。つまり攻撃者は、当該ソフトを搭載し、インターネットに直接接続されている端末を探査し、侵入を図ったものと考えられます。このことから、当該ソフトを使用している組織で、外部に持ち出しグローバルIPでインターネット接続した端末が存在する場合は、セキュリティ修正プログラムを適用してセキュリティ対策を完了させていても、それ以前に侵入を許している危険性があることを考慮してください。

本事案より得られる課題として考えられることは、次の通りです。

得られる課題

  1. セキュリティ修正プログラムが提供される前にサイバー攻撃が行われる、いわゆる「ゼロデイ攻撃」が行われる
  2. セキュリティ修正プログラムが公開されてから適用するまでの期間に、サイバー攻撃が行われる

多くの組織は、脆弱性を悪用した攻撃が日常的に行われているとは思っていません。しかし実際には、攻撃者にとって脆弱性を悪用する攻撃は秘密裏に実行でき、かつ成功率の高い大変便利な方法です。そのため今後も同様の攻撃が継続すると考えられます。

セキュリティ更新プログラムを速やかに適用することは重要ですが、ゼロデイの脆弱性が公表された時には、適切な情報収集を行い、公表前に自組織が攻撃対象となっていた可能性があるかを判断してください。攻撃の対象となった可能性が高い場合は、内部のネットワークに遠隔操作ウイルスなどが侵入していないかをチェックする必要があります。

今回、チェックが必要だと思われる組織は以下の通りです。

チェックが必要だと思われる組織

  1. SKYSEA Client View Ver.11.221.03 および それ以前のバージョンを使用していた
  2. 会社端末を社外で4G回線等を通じ直接インターネット接続していた
  3. 上記端末を内部のネットワークに直接 または VPN等で接続して利用していた

今後も、脆弱性発見時に既に攻撃が発生している場合(ゼロデイ脆弱性)は、自社が対象となりうるかを判断して内部のネットワークに遠隔操作ウイルスなどが侵入していないかのチェックをしてください。

ラックでは、情報漏えいチェックサービスおよびプロキシログ解析サービスで対応可能です。

参考情報

サイバーセキュリティに関する
様々な情報をお届けします

メルマガでは、より厳選した情報を
月に2〜3回配信しています
詳しくはこちら

page top