一週間を始めるにあたって、抑えておきたい先週気になったセキュリティニュースのまとめです。セキュリティニュースは毎日多数の情報が溢れかえっており「重要なニュース」を探すことが大変です。海外の報道を中心にCISO視点で重要なインシデント、法案や規制に関して「これを知っておけば、最低限、恥はかかない」をコンセプトに、コンパクトにまとめることを心がけています。

1.グループ会社の内部不正により、親会社社長が辞任

NTT西日本の森林正彰社長が2月29日、グループ会社で顧客情報が不正に流出した責任を取り、3月末で辞任すると表明しました。

本件はNTT西日本の子会社であるNTTビジネスソリューションズ元派遣社員による十年間に及ぶ情報漏えいについての責任を、NTT西日本のトップが責任を取る形となりました。

NTT西日本の新社長4月1日付でNTT東日本の北村亮太氏が就任予定です。また、情報漏えい対策に100億円を投じる計画も発表されています。

同事件は不正競争防止法違反として元派遣社員が逮捕、起訴されています。元派遣社員は金銭目的であったと供述しており928万件の個人情報を売却し総額で約2000万円程の利益を得ていたと報道されています。

総額で見ると大きな金額ですが、山田養蜂場の3万2759人分の顧客情報売却で得た収入は僅か2万円で名簿業者に売却していたとのことでした。企業の情報セキュリティ責任者は従業員が僅か数万円のために犯罪行為に手を染めることがあるという事実を認識しなければなりません。

ランサムウェア等の外部の攻撃者から受ける攻撃は企業側は「被害者」ですが、社内の人間による内部犯行は企業は「加害者」として報道されます。一従業員が起こした犯罪によって、連日のように社名入りで報道され、逮捕者まで出たとなれば、顧客や取引先に対する信頼回復にかかる努力は多大なものとなります。

IPA情報セキュリティ10大脅威 2024でも内部不正は第三位にランクインするなど重大な脅威として認識されています。内部不正対策の再点検を推奨します。

2.NIST、サイバーセキュリティフレームワーク2.0を公開

2月26日、NISTは、「NIST サイバーセキュリティフレームワーク（NIST Cybersecurity Framework：NIST CSF）」のバージョン2.0を正式に公開しました。2014年4月に初版であるNIST CSF 1.0が公表されて以来、約10年ぶりの大幅改訂となります。

NIST CSF 1.0、1.1は重要インフラを対象とし、セキュリティに関心の高い組織が参照するものと考えられてきましたが、CSF 2.0は組織のサイバーセキュリティの洗練度に関係なく、小規模の学校や非営利団体から最大規模の機関や企業に至るまで、あらゆる対象者、業界セクター、組織タイプを対象に設計されています。

NIST CSF 2.0の改訂では、従来の5つの機能「ID（特定)」「PR（防御）」「DE（検知）」「RS（対応）」「RC（復旧）」に加えて、6つ目の新たな機能として「Govern（統治）」が追加されました。また、「サプライチェーンリスク」についても強く言及されている点が大きな変更点となります。

NIST CSFは米国だけでなく、世界各国の様々な組織が発行するガイドライン等でも参照されており、バージョン1.1と1.0は13言語に翻訳されていました。NIST CSF 2.0の公開に伴い様々な国のガイドライン等が改定される可能性があります。

3.クラウドサービスへの攻撃対象領域の変化

英国の国家サイバーセキュリティセンター（NCSC）、NSA、CISA、FBI、オーストラリア、カナダ、ニュージーランドのサイバーセキュリティ機関が共同勧告を発表し、ロシアの国家支援が疑われる脅威グループAPT29がクラウドに対する攻撃に徐々に移行していると報道しました。

このグループは過去にはSolarWindsを悪用するサプライチェーン攻撃を仕掛けていたと考えられており、高度な攻撃能力を有しているとされています。

発表では、標的となる組織がシステムの最新化を続け、クラウドに移行するにつれて変化に適応してきており、オンプレミスネットワーク内のソフトウェアの脆弱性を悪用する従来の初期アクセス手段の代わりにクラウドサービス自体をターゲットにしてきているとしています。

主な攻撃手段として以下の4つが挙げられています。

1.サービスおよび休眠アカウントを介したアクセス

2.クラウドベースのトークン認証

3.新しいデバイスをクラウドに登録する

4.Residential Proxy利用による送信元IPベースでの防御を迂回

サイバー攻撃者は標的となる組織のITインフラ環境に変化があれば、変化に対応しようとします。防御側も柔軟に対応する必要があるでしょう。

★国内、海外における重要な注意喚起★

該当期間中に発表された、CISAのKEVとJPCERT/CCを掲載します。自社で該当する製品を利用されている場合は優先度を上げて対応することを推奨します。

・CISA 悪用された既知の脆弱性カタログ登録状況

- Microsoft Streaming Service Untrusted Pointer Dereference Vulnerability

・JPCERTコーディネーションセンター（JPCERT/CC）注意喚起

- Fortinet製FortiOSの境域外書き込みの脆弱性（CVE-2024-21762）に関する注意喚起 (更新)

- Ivanti Connect SecureおよびIvanti Policy Secureの脆弱性（CVE-2023-46805およびCVE-2024-21887）に関する注意喚起 (更新)