今宵のサイバーセキュリティについて気になること:本番環境のコンテナー イメージは87%が重大な脆弱性あり, FENICSインターネットサービスの不正アクセスについて, Fortiguard PSIRT アドバイザリー, VMware Carbon Black App Control Critical な脆弱性, AIは学習で量が質を変える現象「相転移」, Twitter は脆弱なSMSを使った2要素認証を有料化, 欧州委員会と EU 理事会の職員TikTokの使用を禁止, サイバー人材「100万人育成」資格団体 無料教材提供

本番環境のコンテナー イメージは87%が重大な脆弱性あり

シアトルで開催されたCloudNativeSecurityConでは、800 人の DevSecOps 実践者が集まり、コンテナー イメージのセキュリティやソフトウェア サプライ チェーンに対するゼロトラストについて話し合われました。

そこで、セキュリティ ポリシーの欠如は、設定ミスによる脆弱性の増加に拍車をかけています。 Sysdig 2023 Cloud-Native Security and Usage Report によると、本番環境のコンテナー イメージは87%が重大な脆弱性があり、1 年前の 75% から増加しています。組織の 79% がゼロトラスト環境に移行してません。

Sysdig のレポートによると、付与されたアクセス許可の 90% が使用されておらず、資格情報を奪えるパスが作成されてしまっています。レポートによると、「ゼロトラストは最小権限のアクセスを実現する必要があり、それには現状の権限を把握する必要があります。」

FENICSインターネットサービスの不正アクセスについて

外部への不正通信が技術的に可能であったネットワーク機器の特定と、本事象による影響範囲を確定した模様です。これにより、外部から窃取可能である通信を行っていたお客様に報告を進めております。

FENICSインターネットサービスに関するネットワーク機器からの不正な通信について(調査結果)

対策

リモートアクセス端末やイントラ業務システムなどのお客様ネットワークに対するセキュリティリスクとインターネットとの通信トラフィックリスクが高まっています。

富士通の場合であれば、例えばゼロトラストセキュリティGWとリモートアクセスGWで構成される「FENICSⅡ ユニバーサルコネクト アドバンスゼロトラストネットワーク」があります。

FENICSⅡ ユニバーサルコネクト アドバンスゼロトラストネットワーク

ゼロトラストセキュリティGWは、多要素認証を行うID管理・認証サーバを持ち、管理者は、ユーザID毎の様々なセキュリティログや通信ログを管理者ダッシュボードで参照できます。

このようなサービスを導入することをお勧めします。

事例

株式会社TKCより「TKC会員事務所が利用しているFENICSインターネットサービスの認証情報の一部が傍受された可能性があります。しかし、データ漏洩は発生していません。」が発表されました。

TKC会員事務所がTISCとの通信で利用しているセキュリティ・ゲートウェイサービスとFENICSの接続ポイントにおける認証情報の一部が、外部から傍受された可能性があることが判明しました。しかし、上記の接続ポイントでは、複数の要素で認証を行っており、今回傍受された可能性のある情報は、その認証情報の一部のみであり、この情報だけで外部からネットワークに侵入することはできません。そのため、TKC会員事務所への不正アクセスや、データ漏洩は発生しておりません。

Fortiguard PSIRT アドバイザリー(2月)

FortiWeb、FortiOS、FortiNAC、FortiProxy などのセキュリティ アップデート40件 をリリースしました。

重大度:Critical 2件

  • FortiNAC – keyUpload スクリプトレットでのファイル名またはパスの外部制御 CVE-2022-39952 CVSS 9.8
  • FortiWeb – Proxyd でのスタックベースのバッファ オーバーフロー CVE-2021-42756 CVSS 9.8

その他、重大度:High 15件、 Medium 22件、 Low 1件

修正済みバージョンへ更新することをお勧め致します。

VMware Carbon Black App Control Critical な脆弱性

CVSS9.1 App Control 管理コンソールへ管理権限でアクセスできる攻撃者は、細工を施したインジェクションにより、基盤となるサーバーオペレーティングシステムにアクセスすることができる可能性があります。

回避策が無いため修正済みバージョンへ更新することをお勧め致します。

AIは学習で量が質を変える現象「相転移」

最近、AIは学習で量が質を変える現象「相転移」によって、計算量やデータ量が多いほど性能が劇的に向上することが分かってきました。MicrosoftのAIは、あらゆる種類のデバイス、アプリケーション、プラットフォーム、エンドポイントから1 日あたり65兆ものシグナルを得ています。

Microsoft Security が新たなマイルストーンに到達 ― インクルーシブで顧客志向のソリューションが成果をもたらす

将来的にはMicrosoftのSOCはAIによって、様々なセキュリティサービスが提供されると考えます。

Twitter は脆弱なSMSを使った2要素認証を有料化

Twitter は脆弱なSMSを使った2要素認証を有料化しました。代わりに Google やMicrosoftなどのAuthenticatorまたはセキュリティキーを導入することをお勧めします。

なお、SMS認証は、SMSインターセプトやMFA Fatigue攻撃などで攻略できるため安全ではありません。

欧州委員会と EU 理事会の職員TikTokの使用を禁止

欧州委員会と EU 理事会は、セキュリティ上の懸念から、スタッフが中国のソーシャル メディア アプリ TikTok を使用することを禁止しました。 広報担当のEric MamerとSonya Gospodinovaは、制限は「絶え間ない見直しと再評価の下で一時的なものである」と述べました。
なお、アプリが EU 幹部に重大なサイバーセキュリティとデータのリスクをもたらすと結論付けた情報を開示することを拒否しました。  

サイバー人材「100万人育成」資格団体 無料教材提供

悪意を持つハッカーに資格はない。ルールも無い、誰でもなれる、そして実力ある者だけが生き残れる世界
そんな相手と戦っていくために、資格のあり方も変わっていくと感じます。

投稿者: 二本松 哲也

SPbD:Security&Privacy by Design Founder ー OWASP Member ー ITは人々の生活をあらゆる面でより良い方向に変化させること ー 競争原理から共創原理へ