2021年セキュリティ事件まとめ 22年にも注意すべき脅威とは?(3/3 ページ)
2021年のITニュースを振り返ってみると、サイバーセキュリティに関する報道が引き続き多い1年だった。本稿では、21年に発生したインシデントをカテゴリー別でまとめてみた。
スパイウェア「Pegasus」
イスラエルのサイバー戦争を専門とするNSO Groupが開発したスパイウェア「Pegasus」も大きな話題となった。ジャーナリストや活動家、政府要人をターゲットにしたスパイウェアで、iOSの脆弱性を利用し、メッセージ閲覧、通話/位置情報の追跡などが可能としている。米Appleは修正アップデートを配信し対処にあたった他、NSOを提訴。米商務省も同社をエンティティリスト(取引制限リスト)に加えている。
- スパイウェア「Pegasus」は世界中の記者や人権活動家の端末にインストール済みとの調査結果
- Apple、iPhoneスパイウェア「Pegasus」のNSOを提訴
- 米商務省、スパイウェア「Pegasus」のNSO Groupをエンティティリストに追加
世界中のサーバに影響を与える「Log4j」関連
21年も師走に入ったころ、Apache Software Foundation(ASF)のJava向けログ出力ツール「Log4j」で脆弱性が発見された。出力されたログに記録された任意のコードを実行し、外部からプログラムを読み込んでしまうというもの。Log4jはさまざまなサーバで利用されており、脆弱性の発見後から間を置かずに無差別攻撃も始まっている。このため、被害が拡大する恐れがある。ASFは修正アップデートを配布するなど対応を進めているが、別の脆弱性が発見されるなど、翌年も混乱は続きそうだ。
- 「やばすぎる」 Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能 iCloudやSteam、Minecraftなど広範囲のJava製品に影響か
- 「Log4j」のトラブルってどうヤバいの? 非エンジニアにも分かるように副編集長に解説させた
- 「Log4j」に新たな脆弱性、深刻度は「High」 バージョン2.17.0へのアップデートを呼び掛け
2022年も警戒が必要なサイバーセキュリティ
コロナ禍や働き方改革の影響を受け、企業のデジタル化が急速に進んでいる。自宅や遠隔地からでもスムーズに仕事をこなせる時代になった一方で、SaaSやクラウドツールへの依存度が増えるほど、それに応じてセキュリティリスクも高くなる。利用しているSaaSの権限設定や情報共有の範囲が適切か、一度見直すのも手だ。SaaS利用やリモート環境が一般化するにつれ、社内外を区別せずアクセスを信頼しない(=都度認証が必要)「ゼロトラスト・セキュリティ」を推奨する声も出ている。
- クラウドの設定ミスを防ぐコツは? 100を超えるSaaSを比較した“SaaSおじさん”に聞く
- いま注目「何も信頼しない」セキュリティ対策とは? 開発部門の在宅勤務率9割、NTTデータ先端技術に聞く
- 相次ぐ漏えい事件、本格的に狙われ出したSaaSベンダー 見過ごされてきた“死角”への対策は
組織犯行的なランサムウェアの法人被害も深刻化している。バックアップ環境まで暗号化されたケースも散見される他、窃取した機密データを公開すると脅す多重恐喝の手口も横行し始めているという。万が一攻撃を受けた場合でも早期に復旧できるよう、オフラインを含めメイン環境から切り離されたバックアップ体制の構築も必要だろう。
身の回りを見ると、Twitterアカウントの乗っ取り被害など、法人/個人でSNSに関するトラブルも多く見られた。直近では、「凍結屋」と呼ばれる、アカウントを凍結させると脅し金銭を狙うグループも出現している。フィッシング詐欺被害も依然多くみられる。フィッシング用のキットをサブスクリプションで販売する「Phising-as-a-Serive」(PHaaS)なるサービスも出現し、より手軽に攻撃できてしまう環境が整いつつある。昨今のフィッシングでは、ニセのメール/Webサイトも区別がつかないほど巧妙なものも多い。アカウント周りでは多要素認証を設定し、WebサイトでID/パスワードや個人情報を入力する際はURLが正規のものか確認するなど、22年も引き続き注意が必要だ。
関連記事
- 「gmail」を「gmai」と誤記 新潟県職員、個人情報入りメール誤送信
新潟県職員がメール誤送信で個人情報流出。送信先ドメインを「gmail.com」にすべきところを「gmai.com」と誤記したため。 - パナソニックに不正アクセス、ファイルサーバの一部データが読み出される
パナソニックは、同社のネットワークが第三者による不正アクセスを受けたと発表した。ファイルサーバの一部データが不正に読み出されたとしている。 - デジタル庁がメール誤配信 CC・BCC設定ミスで約400件のアドレスが公開状態に
デジタル庁が報道関係者へのメールを配信する際に、宛先の設定ミスにより約400件のメールアドレスが流出したことを明らかにした。 - 「エヴァ」公式ECでクレカ情報流出か セキュリティコード含む1万7828件
アニメ「エヴァンゲリオン」シリーズなどの著作権管理を行うグラウンドワークス:は、ECサイト「EVANGELION STORE(オンライン)」が第三者の不正アクセスにより、顧客のクレジットカード情報1万7828件が漏えいした可能性があると発表。 - マッチングアプリ「Omiai」に不正アクセス 免許証など本人確認書類の写し約171万件が流出した可能性
ネットマーケティングが、婚活マッチングサービス「Omiai」の情報を管理するサーバに不正アクセスを受け、年齢確認に利用した免許証やマイナンバーカードの画像など171万1756件の画像が流出した可能性があると発表した。
Copyright © ITmedia, Inc. All Rights Reserved.