早いもので、2021年も残すところあと僅かとなりました。サイバーセキュリティーに関しては様々なニュースが話題となりましたが、今年の後半に起こった出来事の中から、印象に残った事案について振り返ってみます。

「PR TIMES」へ不正アクセス、公表前のPDF・画像ファイル 不正取得

企業のプレスリリースを配信するシステムにおいて、登録されていた公表前のプレスリリースに関係する資料が不正取得された事案です。報道機関・出版社にとっては、公開予定の情報が意図しないタイミングや対象者に漏れてしまうことは致命的となりかねないと思います。
この件では顧客企業の業務運営に悪影響や損害を与えてしまう恐れがあり、情報管理の重要性が浮き彫りになりました。

LINE Pay、約13万人の決済情報が「GitHub」で公開状態に　グループ会社従業員が無断アップロード

決済サービスで実際にユーザーが利用した決済記録の情報が、開発者に広く使用されているGitHub上で公開状態となっていた事案です。ポイント付与に関する調査作業を行う中で、不適切な環境で本番システムのデータを利用した作業を行い、その結果意図しない誤操作により一般公開できてしまう状態でアップロードしてしまったと思われます。
このような事態を防ぐために機密情報を取り扱う際の作業ルールを定めて徹底することや、手作業での調査を行わずに済むよう予め解析ツールを整備するなどの対策が考えられます。

ランサム攻撃でカルテ暗号化　徳島の病院、インフラ打撃

病院の院内ネットワークが攻撃を受け、ランサムウエアに感染した電子カルテシステムが使用不能となり、診療業務に混乱を来したり患者の受け入れを一部中断する等の重大な被害を受けました。ランサムウェア対策ではデータバックアップを適切に行い、ネットワークから隔離して保持することが有力な備えとなります。
この事案では、保守管理業者が設けたサーバー遠隔保守用の通信回線が侵入経路である可能性が指摘されており、脆弱性が確認されていたVPN機器を使用していたとのことです。システムを常に最新の状態に更新し脆弱性を回避することが重要です。

【緊急】HeartbleedやShellshockに並ぶ最悪の脆弱性「Log4Shell」とは？

現在進行形で対応が進められている事案です。主にサーバー環境で広く用いられているJava用のログ記録ライブラリである「Apache Log4j」に、遠隔から意図しない操作を行われてしまう脆弱性が発見され、深刻なことに攻撃が成立するための条件が非常に容易であるという特徴があります。今のところ顕著な被害報告は確認されていないようですが、放置すると大変危険であることは間違いありません。
深刻度が高い脆弱性ですが、対応方法は通常と変わらず、システムを最新版へアップデートすることや、攻撃を受けないよう設定を変更し、脆弱性の影響を受けない状態にすることが大切です。

まとめ

今年のIPA脅威トップ10の1位は「ランサムウェアの被害」でしたが、予測の通り大きな被害が報告されました。また昨今のコロナ禍においては、リモートワークの広がりにより情報の利用場所が分散する現状となり、アクセス制御や流出・漏洩への対策といったリスク管理もまた重要性を増しています。
来年も引き続き、サイバーセキュリティー上の脅威に対して予防策を講じ、着実な対策を行っていくことが重要です。