一週間を始めるにあたって、抑えておきたい先週気になったセキュリティニュースのまとめです。セキュリティニュースは毎日多数の情報が溢れかえっており「重要なニュース」を探すことが大変です。海外の報道を中心にCISO視点で重要なインシデント、法案や規制に関して「これを知っておけば、最低限、恥はかかない」をコンセプトに、コンパクトにまとめることを心がけています。

■国際的なRaaS"LockBit"を囲む国際包囲網

先週大きな話題を集めたのが、ランサムウェアの中で現在最も影響力があると言われているLockBitの主要メンバーが逮捕されたというニュースでした。

LockBitは2019年9月から活動が確認されていた国際的なRaaS (Ransomware-as-a-Service)グループです。

このグループは、まず機密データを盗み、身代金が支払われない場合には「盗んだ情報を公開する」と脅迫する「二重恐喝」を好むことで知られています。

2023年に確認されたリークサイト全体への投稿は約4000件であるのに対して、Lockbitによるリークが928件あり、全体の23%を占めるなど、現在世界で最も影響力のあるRaaSでした。

現在LockBitを巡っては「Cronos」と呼ばれる作戦が、欧州警察機構（ユーロポール）、米、英、仏、豪等の世界の警察が手を組み、共同捜査が行われています。

また、日本の警察庁がロックビットによって暗号化されたデータを修復するツールを開発したと発表しており、これは世界初の快挙となります。

■CISA、水道インフラに対するサイバー行動指針を発表

CISA、環境保護庁 (EPA)、および連邦捜査局 (FBI) は、「水道システムの安全を確保するためのサイバー行動指針」を発表しました。

このような背景には、近年、水道施設がサイバー攻撃の標的となる傾向があり、重要なインフラのセキュリティが侵害され、公共の安全に対する懸念が高まっているためです。Veolia North Americaや英国のSouthern Waterといった幾つかの「水」に関連する企業がランサムウェアの被害にあっておりシステム停止を余儀なくされていました。

■FTC、アバストに対し、1650万ドルの支払いを命令

米連邦取引委員会(FTC)は無料のセキュリティソフト「Avast Antivirus」で知られるAvastに対し、ユーザーのウェブサイト閲覧データを販売したとして、1650万ドルの支払いと、Avast製品を使用するユーザーから収集された閲覧データを第三者に販売することを禁止すると命じました。

bleepingcomputerによれば、本件についてAVASTとFTCは和解に達したとのことです。

Avastは消費者に対して「ウェブブラウザによる閲覧活動に関するデータを収集する迷惑な追跡クッキーをブロックし、プライバシーを保護すると約束」していましたが、実際には消費者の同意を得ること無く、閲覧データ等を第三者に販売していたというのが、FTCの主張です。

「プライバシーを保護する目的」で利用していたら、実はこっそりプライバシーが売られていたというのは非常に怖い話です。しかし、これは「クラウドサービスは第三者にデータを預ける行為」である、というリスクが改めて浮き彫りとなった事件と言えるでしょう。

★国内、海外における重要な注意喚起★

該当期間中に発表された、CISAのKEVとJPCERT/CCを掲載します。自社で該当する製品を利用されている場合は優先度を上げて対応することを推奨します。

・CISA 悪用された既知の脆弱性カタログ登録状況

- ConnectWise ScreenConnect Authentication Bypass Vulnerability

・JPCERTコーディネーションセンター（JPCERT/CC）注意喚起

- 該当期間における追記無し