Nickブログ

セキュリティを中心に過ごしているNickのブログです。

Webサイトへの不正アクセスによる情報漏えいが多い気がした (ニュースまとめ ver 5 2021年3月5週、4月1週)

f:id:NickShadows:20210327112309j:plain

今週は気になるものが多かったです。

ネットワーク機器の脆弱性を利用された漏洩

https://www.initio.co.jp/image/news/20210324_illegal_access.pdf

「ネットワーク機器」とあるので、最近のCVE事情を見ていると、何の製品かある程度予想ができてしまいそうです。

対応完了も早かったので、おそらくバージョンアップだと思います。

会社内で取り扱っている製品の脆弱性情報を追い続けるのは非常に難しそうです。

専用の人がいないと出来なさそうですが、一般的にはどうやっているのでしょうか?

Webサイトの脆弱性を利用された漏洩

gamebiz.jp

新規登録ページ改ざんによる情報漏えいとのことです。

新規登録ページなので、漏洩している情報の種類も豊富です。
なんの脆弱性なんでしょうか。

(2)システムの脆弱性診断を定期的に実施し、セキュリティ対策を強化して参ります。


クレジットカード情報を取り扱うので、定期的な脆弱性診断は必須じゃないのでしょうかと思ってしまいました。

また、公式のニュースリリースが見つけられなかったです。


ファイルアップロードの脆弱性が悪用された例

www.apparelx.jp

不正アクセスの脆弱性内容が公表されるのは珍しい気がします。

内容的に、任意のファイルがアップロード出来てしまったのと、任意のディレクトリに設置できてしまっていたような感じがします。

脆弱性の内容公開はずいぶんと思い切ったなと思いました。


無理やりクレカ情報保持させて情報漏えい

www.sunmillion-ikiiki.jp

無理やりクレカ情報保持するようにして漏洩させた事例です。

ひどいことしますね。


iOSゼロデイあり?パッチ情報

iOSのパッチ情報です。
support.apple.com
悪用された可能性があるとのことなので、早めのアップデートが必要です。

Webkitの脆弱性でユニバーサルXSSが発生するようです。
アップデートしない状態でブラウジングするのは至難の業なので、やはりアップデートは必須ですね。


従業員ストレスがサイバーリスク?

threatpost.com

タイトルが気になって読んでみましたが、「色んな理由でストレス抱えるよね」みたいに読めました。

私は通勤しなくなってストレスが減ったのですが、「その時間をどう使うか」でプレッシャーを感じ、それがストレスになってしまう人もいるそうです。

会社としては、メンタルケアが重要な要素の一つになってきそうです。


1500のExchangeサーバを攻撃

www.bleepingcomputer.com

1500のサーバでWebシェルを確認できたとのことです。

Proxylogonが公表されたのが3月頭とは思えないスピードでの攻撃です。
防御側は1ヶ月じゃ何も出来ないところもあるのではないでしょうか。

脆弱性を悪用した攻撃+ランサムウェアがトレンドらしいですね。

セキュリティエンジニアとしては「脆弱性を悪用した攻撃」をなんとしてでも防ぎたいものです。


Facebook公式Wordpressテーマに脆弱性

www.wordfence.com
www.infosecurity-magazine.com

安全でないデシリアライズによるPHPオブジェクトインジェクションだそうです。

安全でないデシリアライズの脆弱性の実例は.netかJavaくらいしか見ていなかったので新鮮な気持ちです。

PHPオブジェクトインジェクションに気を取られていましたが、もうひとつの脆弱性はCSRFでした。

CSRFは対策が明確なので、少なくなっていくのかなと思っていましたが、まだまだ現役のようです。


yukiyamaで不正アクセスによるデータ全削除

www.yuki-yama.com

不正アクセスでデータが消えてしまうという事例は、私は見たことがありませんでした。

個人情報が無事というのが不幸中の幸いというやつでしょうか。

DELETEメソッドや、削除APIのワイルドカード受け取りなどで全部消えてしまったんでしょうか?


PHPソースコードにRCE可能なバックドア

portswigger.net

アプリケーションだけではなく、プログラミング言語のソースコードまで攻撃される時代になりました。

ソースコードに攻撃を示す文字列が入っていたということから、腕試しのようなものという解釈もあるらしいですが、詳細はわかりません。
現在も調査中とのことです。

今回はPHPで発覚しましたが、これが他のソフトウェアのソースコードとかで気づかれていない場合だと、日常で使っているソフトウェアにもバックドアがある可能性が考えられます。

とてもインパクトが大きい事例だと思いました。


退職者による漏洩

https://www.tokyu-com.co.jp/cms_wp/wp-content/uploads/2021/03/20210329.pdf
www.itmedia.co.jp

退職者による第三者法人への個人情報の漏洩です。

対策に「社内業務管理システムへのアクセス制限を強化」とありますが、もともと職務担当者以外も個人情報を見れる状態だったのでしょうか?

発覚したきっかけである「外部からの指摘」もどうやって気づいたのかが気になります。


アクセス集中回避の追加措置で個人情報が閲覧可能に

scan.netsecurity.ne.jp

情報漏えいの事例です。

アクセス負荷対策すると個人情報が閲覧可能になってしまう理由が気になります。


セキュリティ研究者を狙った攻撃の更新

blog.google

セキュリティ研究者を狙った攻撃の情報が更新されました。

偽の会社を作り、SNSアカウントも作っているそうです。

Twitterアカウントを見てみましたが、どれも凍結されていたので安心しました。

ますます情報収集が難しくなっていると思います。

感想

Webサイトへの不正アクセスによる情報漏えいが多い気がしました。

私だったらどうやって攻撃を検知するかを考えてみましたが、IDS/IPSを導入するくらいしか思いつきませんでした。

後は、シンプルな脆弱性を突かれている気がするので、定期的に脆弱性診断をすることくらいでしょうか。

攻撃的に守るものの代表である「バグバウンティ」の情報も日々見ているのですが、攻撃の手法は進んでおり、基本的なものは浸透しつつあります。

チートシートやスキャナ、ツールも揃ってきつつあります。

hackeroneのレポートでも、大多数のバグハンターがWebを対象にバグハントしているというデータもあり、Webに対する検査技術は底上げされているんだなと感じます。


その一方、守る側が追いついていない気はします。
ちゃんと守ろうとすると、人件費か、セキュリティの費用がかかってしまうのが難しいところです。

「守る」というのは難しいなと感じた週でした。