最近話題になったセキュリティ関連のニュースから、気になるものをピックアップしてお届けします。

2022/10/31

DV被害者の個人情報が加害者に漏洩

https://www.city.satsumasendai.lg.jp/www/contents/1666855457749/index.html

支援措置対象者名簿の作成過程において、相手方の戸籍附票の発行抑止を解除した後、再設定を遺漏したことから、相手方の住所等の個人情報が漏えいいたしました。
支援措置対象者名簿を更新して関係課へ情報提供するため、戸籍システム上で発行抑止設定を一時的に解除した後、支援措置申出者の住所等情報を閲覧し、名簿に書き写す作業を行いました。
この作業後は、発行抑止の再設定を行う必要がありますが、その作業を遺漏したことから、戸籍システム上で相手方の情報の閲覧や証明書の発行ができる状態のままとなり、戸籍謄本と附票を発行したことにより、相手方の住所等の情報が漏えいしたものであります。

作業を行った際、個人情報の発行制限を解除したまま元に戻すことを忘れていた事から起こった情報漏洩です。
DV加害者から被害者への接触があり情報漏洩が発覚。被害者は転居を余儀なくされ、市は和解金７０万２８００円を支払い和解となったそうです。
閲覧作業を本番環境で行っていた事にも問題があったと説明されており、今後は閲覧等の作業は予備のシステムで行う事、証明書の発行時には２重のチェックなどを行い、再発防止を図るとの事です。

2022/11/1

「OpenSSL」にセキュリティアップデート

https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/

X.509 証明書の検証、特に名前の制約チェックでバッファオーバーフローが発生する可能性があります。
攻撃者は悪意のある電子メール アドレスを作成して、スタック上で攻撃者が制御する 4 バイトをオーバーフローさせることができます。このバッファ
オーバーフローにより、クラッシュ (サービス拒否の原因) が発生したり、リモートでコードが実行される可能性があります。

OpenSSL バージョン 3.0.0 から 3.0.6 は、この問題に対して脆弱です。
OpenSSL 3.0 ユーザーは、OpenSSL 3.0.7 にアップグレードする必要があります。

OpenSSLとは、インターネット上で標準的に利用される暗号通信プロトコルであるSSL/TLSの機能を実装したオープンソースのライブラリです。
今回発見された脆弱性の重要度は最も高い「CRITICAL」に位置付けられていましたが、検証の結果、最新のプラットフォームの多くはスタック オーバーフロー保護を実装しており、
リモートコード実行は困難という判断で現在重要度は「High」へと格下げされています。
OpenSSLに重大度「CRITICAL」の脆弱性が発見されたのは2014年に報告された「Heartbleed」以来2度目の事であったとのことです。

2022/11/04

Google検索結果のトップに偽サイトが表示

We have been informed of an apparently targeted attack via a Google ad, trying to lure people looking for GIMP to a malicious download see https://t.co/S6VqF9oEui

The users are taken to a site that has copied the look of https://t.co/oiIecrOYbx, but the downloads are different.

— GIMP (@GIMP_Official) October 29, 2022

GIMP を探している人々を悪意のあるダウンロードに誘い込もうとする、Google の広告を介した明らかに標的を絞った攻撃についての情報がありました。
ユーザーは https://gimp.org の外観をコピーしたサイトに移動しますが、ダウンロードは異なります。
※Googleによる翻訳

無料で様々な機能が使える画像編集ソフト「GIMP」の名前をGoogleで検索するとトップにGIMPの偽サイトが表示される状態であったことが判明しました。
見た目は正規サイトと同じですが、ダウンロードするファイルにはマルウエアが含まれていたとの事です。
検索結果に表示された偽サイトのURLは「https://www.gimp.org/」と、一見本物のサイトと同一のURLに見えますが、アルファベット「i(アイ)」の部分がキリル文字の「і(イー)」なのではないかという指摘があるようです。

また、岩手県警察サイバー犯罪対策課のSNS投稿によると東日本旅客鉄道が提供するサービス「えきねっと」においても同様の事象が確認されているらしく、
「えきねっと」のフィッシングサイト（偽サイト）が検索結果ページのトップに表示される事態が発生したとの事です。
こちらは「https://eki-net.com」が正しいURLだったのに対し、偽サイトでは「.ru」（ロシアのトップレベルドメイン）となっていたそうです。「URLをよく確認する」「検索上位のサイトは安全」などの対策意識が通用しない事例ですね。

2022/11/4

マルウェアEmotetの感染再拡大に関する注意喚起

https://www.jpcert.or.jp/at/2022/at220006.html

JPCERT/CCでは、2021年11月後半より活動の再開が確認されているマルウェアEmotetの感染に関して相談を多数受けています。
特に2022年2月の第一週よりEmotetの感染が急速に拡大していることを確認しています。
感染や被害の拡大を防ぐためにも、改めて適切な対策や対処ができているかの確認や点検を推奨します。

2022年11月、Emotetの感染に至るxlsファイルで、xlsファイルを特定のフォルダにコピーして実行するよう促すものが観測されています。
Officeの設定で「信頼できる場所」に登録されているようなフォルダパスにxlsファイルをコピーさせた後に実行させることで、警告を表示させずに悪性なマクロを実行することを試みていると考えられます。

Emotetとは、感染者のメールに関する情報を収集し、主にマクロ付きのExcelやWordファイル、あるいはこれらをパスワード付きZipファイルとして添付したなりすましメールを送り、受信者がファイルを開封後にマクロを有効化する操作を実行することで感染に繋がるマルウェアの一種です。
Emotetから送信されるなりすましメールには、件名やメール末尾の引用のような部分で全体的に、返信メールのように見せかける巧妙な文章が記載されています。

今回の注意喚起では、添付ファイルを特定のフォルダにコピーして実行するよう促すものが観測されており、これはOfficeの設定の「信頼できる場所※」に設定されているようなフォルダパスへコピーするよう誘導し、そこから実行させることでセキュリティ警告を発生させずにマクロを実行させようとする試みであると考えられています。
※ファイルに対してセキュリティ センターによるチェックを行わないようにする場合や、ファイルを保護ビューで開かないようにする場合に利用する設定。信頼できる場所に保存されているファイルは、システムによって安全であると見なされ、セキュリティ チェックの一部がバイパスされます。

まとめのまとめ

今回は身近に起こり得る被害に関する記事をまとめてみました。
Emotetの攻撃手法やフィッシングサイトなどは、日を追うごとに新たな手段が講じられて見分ける事はどんどん難しくなっていっている印象がありますが、こういった事例を知っておくだけでもいざという時に警戒できるので、最新の情報は細かく追っていきたいと思います。

担当：YA