総務省「クラウドの設定ミス対策ガイドブック」を公表 04/22-28
一週間を始めるにあたって、押さえておきたい先週気になったセキュリティニュースのまとめです。セキュリティニュースは毎日多数の情報が溢れかえっており「重要なニュース」を探すことが大変です。海外の報道を中心にCISO視点で重要なインシデント、法案や規制に関して「これを知っておけば、最低限、恥はかかない」をコンセプトに、コンパクトにまとめることを心がけています。
■総務省、「クラウドの設定ミス対策ガイドブック」の公表
総務省から「クラウドの設定ミス対策ガイドブック」が公開されました。「クラウドの設定ミス」を予防するために総務省では令和4年10月に「クラウドサービス利用・提供における適切な設定のためのガイドライン」を公表していました。
しかし、ガイドライン公開後も「クラウドの設定ミス」による情報漏えいが相次いでいるため、ガイドラインの内容をわかりやすく解説するのが、今回新たに公開されたガイドブックの目的となります。
IPAが毎年発表している「情報セキュリティ10大脅威」でも、2024年には「不注意による情報漏えい等の被害」が6位にランクインしているため、「クラウドの設定ミス」について問題がないか点検することを推奨します。
■Residential Proxiesを悪用するブルートフォース攻撃の増加
Cisco Talos は、世界的にブルートフォース攻撃(総当たり攻撃)が急増しており、仮想プライベートネットワーク(VPN)サービス、Web アプリケーション認証インターフェイス、SSH サービスなどが狙われている、と警告しています。
この攻撃で利用される「送信元IP」として、下記に示すプロキシサービスが悪用されているとしています。
- TOR
- VPN Gate
- IPIDEA Proxy
- BigMama Proxy
- Space Proxies
- Nexus Proxy
- Proxy Rack
OKTA社もクレデンシャルスタッフィング攻撃の急増を確認しており、Cisco Talosが観測したものと同様のインフラストラクチャ、Residential Proxieサービスから仕掛けられていると推測していると報じています。
Residential ProxieサービスとはVPNと似たような技術であり、正規の送信元IPとは異なるIPで通信することが可能になります。CISAもロシアのサイバー攻撃グループSVRがResidential Proxieサービスを悪用していると警告しています。
サイバー攻撃にResidential Proxieサービスを利用すると「普通のISPを利用するユーザ」のように見えるため、脅威インテリジェンス等の送信IPで脅威通信をブロックするような技術を迂回することが可能になります。
このようなResidential Proxieサービスを悪用する攻撃に対しては、認可クラウドサービス等にIPアクセス制限を適用することで攻撃を緩和することが可能です。
クラウドサービス側でIPアクセス制限が実施出来ない場合でもSSO連携は可能という場合には、OKTAとNetskope ZTNA NEXT L7を利用している企業であれば、ソースIPアンカリングを利用することでOKTAの認証実行時にNetskopeのIPアドレスからだけ認証を実行するという制限も可能になります。
■TikTok “米事業売却しなければ国内配信禁止”法律成立 米上院
中国企業であるバイトダンス(字節跳動)が運営する動画共有アプリTikTokについて、アメリカでの事業を売却しなければ国内での配信を禁止することを盛り込んだ対外支援法案が24日、成立しました。
この法律はバイトダンスに対し、TikTokの株式を270日以内に米国企業に売却することを義務付けています。売却が実現できなければ、米国全土で完全に禁止されます。
運営側は法律が違憲として提訴する考えを示していますが、主張が認められなければ米国事業の売却かサービス停止を迫られる見通しです。
★国内、海外における重要な注意喚起★
該当期間中に発表された、CISAのKEVとJPCERT/CCを掲載します。自社で該当する製品を利用されている場合は優先度を上げて対応することを推奨します。
- Microsoft Windows Print Spooler Privilege Escalation Vulnerability
- CrushFTP VFS Sandbox Escape Vulnerability
- Cisco ASA and FTD Privilege Escalation Vulnerability
- Cisco ASA and FTD Denial of Service Vulnerability
・JPCERTコーディネーションセンター(JPCERT/CC)注意喚起
- Palo Alto Networks社製PAN-OS GlobalProtectのOSコマンドインジェクションの脆弱性(CVE-2024-3400)に関する注意喚起 (更新)