ブログ - NISCの電子メール関連システムで外部漏洩の可能性の件
テレビでも報道されていた件だけど,業界?ではNISCに対応をJPCERT/CCが批判していて内輪喧嘩!と話題になったので,状態を確認してみた.
2023/08/04 NISC
内閣サイバーセキュリティセンターの電子メール関連システムからのメールデータの漏えいの可能性について -
https://www.nisc.go.jp/news/20230804.html
引用:
2023/08/05 NHK
不正アクセス受けたシステム 同種の攻撃受けた米企業のもの - NHK
https://www3.nhk.or.jp/news/html/20230805/k10014153901000.html
引用:
NISCからの連絡が無いということで,同じ政府系ということで親戚と思われているJPCERT/CCから苦言が発表されたことが話題.
2023/08/07 JPCERT/CC
電子メール関連システムからのメールデータ漏えい被害が公表されている件について
https://www.jpcert.or.jp/press/2023/PR20230807_notice1.html
引用:
2023/08/07 JPCERT/CC
なぜ被害公表時に原因を明示するのか/しないのか~個別被害公表と事案全体のコーディネーションの観点から~
https://blogs.jpcert.or.jp/ja/2023/08/incident-disclosure-and-coordination.html
引用:
公表の是非についてはさまざまな考え方,意見があると思うけど,JPCERT/CCの考え方には賛同.関係の有無を判断して上長に報告したいしね.
「秘匿され続ける可能性が低い」というのは正しいかな.NISCの人とやり取りしたら,メールヘッダとかでわかるかもしれないね. 実際,Barracuda ESGを使っていたということで事は整理されている模様.
2023/05/23 MANDIANT
中国との関連が疑われる攻撃的、かつ高度なスキルを持つ攻撃者が Barracuda ESGのゼロデイ脆弱性(CVE-2023-2868)を悪用
https://www.mandiant.jp/resources/blog/barracuda-esg-exploited-globally
2023/06/12 Security NEXT
Barracuda、「ESGアプライアンス」の交換を呼びかけ
https://www.security-next.com/146896
引用:
NISCが電子メール関連システムにおいて不正通信の痕跡を確認したのが6月13日.停止して交換したのが6月14日.
追記2023/08/17
こういうニュースもあった.
米国証券取引委員会、上場企業のサイバーセキュリティインシデント開示を義務化へ
https://atmarkit.itmedia.co.jp/ait/articles/2308/16/news070.html
引用:
追記2023/08/19
時期的に一致している?けど日本政府は否定しているのが現状.関連があるかわからないけど,このブログにメモとして貼り付けとく.
中国のハッカー集団が日本の防衛機密ネットワークに侵入していたとの報道
https://gigazine.net/news/20230808-china-japan-hack/
引用:
追記2023/08/29
現時点では関連は確認されてないけど,一応これ.
「Barracuda ESG」へのゼロデイ攻撃 - フォレンジック調査に対抗、活動を隠蔽
https://www.security-next.com/148905
引用:
感染したら交換.
追記2023/09/01
こういうのもあった.
「ずさんなセキュリティ」「無責任」──不正アクセス巡り、米Microsoftへの批判噴出
https://www.itmedia.co.jp/news/articles/2308/15/news065.html
引用:
Barracudaのようなアプライアンスを入れてても,Exchange Onlineのようなクラウドのサービスを使っていても,対策をしっかりしてなければリスクは同じという例.
2023/08/04 NISC
内閣サイバーセキュリティセンターの電子メール関連システムからのメールデータの漏えいの可能性について -
https://www.nisc.go.jp/news/20230804.html
引用:
今般、内閣サイバーセキュリティセンター(NISC)の電子メール関連システムに対し、不正通信があり、個人情報を含むメールデータの一部が外部に漏えいした可能性があることが判明しました。
これは、メーカーにおいて確認できていなかった電子メール関連システムに係る機器の脆弱性を原因とするものであると考えられ、同様の事案は国外においても確認されています。
2023/08/05 NHK
不正アクセス受けたシステム 同種の攻撃受けた米企業のもの - NHK
https://www3.nhk.or.jp/news/html/20230805/k10014153901000.html
引用:
内閣サイバーセキュリティセンターのメールのシステムが不正アクセスを受けた問題で、このシステムは中国を支援するハッカー集団にサイバー攻撃を受けたとされるアメリカの企業のものであることが関係者への取材でわかりました。
NISCからの連絡が無いということで,同じ政府系ということで親戚と思われているJPCERT/CCから苦言が発表されたことが話題.
2023/08/07 JPCERT/CC
電子メール関連システムからのメールデータ漏えい被害が公表されている件について
https://www.jpcert.or.jp/press/2023/PR20230807_notice1.html
引用:
他方で、どのようなメールの情報が漏えいしたのか、技術的な報告を受領していないため、その他の二次被害等の影響を判断できていない状況です。
また、被害公表に「外部専門機関等による調査」とありますが、JPCERT/CCは本件調査に関与していません。
なお、悪用された脆弱性等について言及がなされていない点について指摘する声がありますが、JPCERT/CCとしては、どのような分野の被害組織であれ、被害公表だけでなく、情報共有や専門機関との連携含め、「サイバー攻撃被害に係る情報の共有・公表ガイダンス」で示されている対応がなされることで、被害組織のインシデント対応に適切な評価が得られるようになるだけでなく、他の被害組織を含め、あらゆる関係者にとって必要な情報の非対称性が解消され、国全体として攻撃活動への対処がなされるものと考えています。
2023/08/07 JPCERT/CC
なぜ被害公表時に原因を明示するのか/しないのか~個別被害公表と事案全体のコーディネーションの観点から~
https://blogs.jpcert.or.jp/ja/2023/08/incident-disclosure-and-coordination.html
引用:
サイバー攻撃に係るさまざまな情報の特性から、非公表とした情報が完全に秘匿され続ける可能性は低く、侵害原因について「セキュリティの問題上答えられない」という回答は現実的ではありません。
公表の是非についてはさまざまな考え方,意見があると思うけど,JPCERT/CCの考え方には賛同.関係の有無を判断して上長に報告したいしね.
「秘匿され続ける可能性が低い」というのは正しいかな.NISCの人とやり取りしたら,メールヘッダとかでわかるかもしれないね. 実際,Barracuda ESGを使っていたということで事は整理されている模様.
2023/05/23 MANDIANT
中国との関連が疑われる攻撃的、かつ高度なスキルを持つ攻撃者が Barracuda ESGのゼロデイ脆弱性(CVE-2023-2868)を悪用
https://www.mandiant.jp/resources/blog/barracuda-esg-exploited-globally
2023/06/12 Security NEXT
Barracuda、「ESGアプライアンス」の交換を呼びかけ
https://www.security-next.com/146896
引用:
Barracuda Networksが提供する「Email Security Gatewayアプライアンス(ESG)」に脆弱性「CVE-2023-2868」が明らかとなった問題で、影響を受けたアプライアンスはすぐに交換が必要であるとして同社は利用者に注意を呼びかけた。
「CVE-2023-2868」は、リモートコマンドインジェクションの脆弱性。現地時間5月20日にリリースした「BNSF-36456」をはじめ、顧客向けに複数のパッチを展開。アドバイザリなどを通じて注意を呼びかけてきた。同脆弱性に関しては、少なくとも2022年10月には悪用されたことが判明している。
NISCが電子メール関連システムにおいて不正通信の痕跡を確認したのが6月13日.停止して交換したのが6月14日.
追記2023/08/17
こういうニュースもあった.
米国証券取引委員会、上場企業のサイバーセキュリティインシデント開示を義務化へ
https://atmarkit.itmedia.co.jp/ait/articles/2308/16/news070.html
引用:
新しい規則により、上場企業は、重大であると判断したセキュリティインシデントを「Form 8-K Item 1.05」を通じて開示し、インシデントの性質や時期、範囲および登録企業に対する重要な影響または合理的に起こり得る影響の側面を説明することが義務付けられる。
上場企業において重大なサイバーセキュリティインシデントが発生した場合、4営業日以内に開示する必要がある。ただし、米国司法長官が、即時開示が国家安全保障または公共の安全に対する重大なリスクをもたらすと判断し、そのような判断を書面でSECに通知した場合は、開示が延期されることもある。
追記2023/08/19
時期的に一致している?けど日本政府は否定しているのが現状.関連があるかわからないけど,このブログにメモとして貼り付けとく.
中国のハッカー集団が日本の防衛機密ネットワークに侵入していたとの報道
https://gigazine.net/news/20230808-china-japan-hack/
引用:
中国の軍事ハッカーが2020年に日本の防衛機密ネットワークに侵入していたと、アメリカの日刊紙・The Washington Postが匿名の元アメリカ政府高官による証言をもとに報じました。このサイバー攻撃はアメリカの国家安全保障局(NSA)によって検知され、「日本の近代史において最も有害なハッキングのひとつ」と日本の政府関係者に伝えられたそうです。
追記2023/08/29
現時点では関連は確認されてないけど,一応これ.
「Barracuda ESG」へのゼロデイ攻撃 - フォレンジック調査に対抗、活動を隠蔽
https://www.security-next.com/148905
引用:
Barracudaより脆弱性を修正するパッチもリリースされているが、脆弱性を悪用されたあとではパッチを適用しても効果はなく、引き続き中国に関連するサイバー攻撃グループによってネットワークを侵入され続けるおそれがあると注意を喚起した。
感染したら交換.
追記2023/09/01
こういうのもあった.
「ずさんなセキュリティ」「無責任」──不正アクセス巡り、米Microsoftへの批判噴出
https://www.itmedia.co.jp/news/articles/2308/15/news065.html
引用:
Microsoftのクラウドサービスを利用していた米国務省や商務省の電子メールアカウントが、不正アクセスの被害に遭っていたことが分かった。ハッカー集団はクラウドサービスにアクセスするための暗号鍵を入手し、Microsoftのシステムの脆弱性を悪用していたとされ、Microsoftに対して「セキュリティ慣行がずさん」「無責任」などと非難する声が上がっている。
米政府機関など約25の組織の電子メールに対する不正アクセスについて、Microsoftが明らかにしたのは7月11日だった。電子メールサービス「Exchange Online」のデータに対する不審なアクセスについて6月16日に顧客から連絡があり、調べた結果、中国のスパイ活動を目的とする組織「Storm-0558」が5月15日から不正アクセスを続けていたことが分かったと発表した。
Barracudaのようなアプライアンスを入れてても,Exchange Onlineのようなクラウドのサービスを使っていても,対策をしっかりしてなければリスクは同じという例.