最近話題になったセキュリティ関連のニュースから、気になるものをピックアップしてお届けします。

2022/12/5

ルーター等の一部商品における複数の脆弱性とその対処方法

https://www.buffalo.jp/news/detail/20221205-01.html

「対象製品」には次の脆弱性があります。

脆弱性①
OSコマンドインジェクション (CWE-78)
脆弱性②
OSコマンドインジェクション (CWE-78)
脆弱性③
ドキュメント化されていないデバッグ機能を有効化される問題 (CWE-912)

対象のWi-Fiルーター・Wi-Fi中継機は脆弱性を対策したファームウェアをダウンロードして、アップデートの実施するよう呼び掛けています。

2022/12/5

[ドイツBSI] 産業用制御システム（ICS）のセキュリティ -10大脅威と対策

https://www.ipa.go.jp/security/controlsystem/bsi2022.html

産業用制御システムのセキュリティ10大脅威（2022年）

リムーバルメディアや外部機器経由のマルウェア感染
インターネットやイントラネット経由のマルウェア感染
ヒューマンエラーと妨害行為
外部ネットワークやクラウドコンポーネントの攻撃
ソーシャルエンジニアリングとフィッシング
DoS/DDoS攻撃
インターネットに接続された制御コンポーネント
リモートメンテナンスアクセスからの侵入
技術的な不具合と不可抗力
サプライチェーンにおけるソフトウェアおよびハードウェアの脆弱性

情報処理推進機構（IPA）は、ドイツ連邦政府情報セキュリティ庁（BSI）が2022年5月作成した「産業用制御システムのセキュリティ 10大脅威と対策2022」の日本語訳をBSIの許可を得て公開しました。
こちらは日本国内でも共通の事項が多く、これらの脅威とその発生要因・具体的な手口・および対策を体系的に理解することに役立つとされています。

2022/12/6

2022/11 フィッシング報告状況

https://www.antiphishing.jp/report/monthly/202211.html

Amazon をかたるフィッシングの報告が急増し、報告数全体の約 36.5 % を占めました。
次いで報告が多かった国税庁、楽天＋楽天カード、セゾンカード、えきねっとをかたるフィッシングの報告をあわせると、全体の約 74.9 % を占めました。
また、1,000 件以上の大量の報告を受領したブランドは 12 ブランドあり、これらで全体の約 91.9 % を占めました。

Amazon をかたる文面も報告が続いていたそうです。ブラックフライデーで利用者が増えた影響もありそうです。

2022/12/8

医療機関向けサイバーセキュリティ対策研修を開始します

https://www.mhlw.go.jp/stf/newpage_29579.html　厚生労働省HP
https://mhlw-training.saj.or.jp/　医療機関向けセキュリティ教育支援ポータルサイト

本ポータルサイトでは、医療機関の更なるサイバーセキュリティ対策の強化を図ることを目的に、
・医療機関の経営層や医療従事者など階層別のサイバーセキュリティ対策研修の実施
・医療機関内でのサイバーセキュリティ教育に活用できるコンテンツ集の掲載
・サイバーセキュリティインシデント発生時の相談・初動対応依頼窓口の設置
を実施いたします。

最近医療機関への攻撃が増えていた印象でした。12/20から研修が開始されるそうです。

まとめのまとめ

Amazonから決済不可のメールが届き、フィッシングかと思ったら利用していないカードで決済しようとしてました。
ブラックフライデーでは、向こう半年困らないくらいマスクを買いました。

担当：UMA