2025.12.09
リスキャナ・レーダー
最新調査からの実践的な知見— 第21号
Rescanaのセキュリティ最新情報(隔週版)
CISA、SCADAエクスプロイトを警告
CISAは、ハクティビストが ScadaBR の CVE-2021-26829 を悪用して産業制御システム攻撃を実行したことを受け、緊急警報を発令した。錆びた門をすり抜けるデジタル破壊者のように、攻撃者はこの既知の脆弱性を悪用し、現実世界の運用を制御する操作パネルに侵入した。危険性は極めて高い— ソフトウェアの弱点から始まったものが、連鎖的なシステム停止、安全上の危険、そして長い間バグは修正済みだと信じていた事業者にとって深刻な評判の失墜を引き起こすリスクがある。現在、防御側は時間との戦いにあり、次の悪用が起きる前にパッチ適用、影響を受けたインスタンスの隔離、侵害の兆候の捜索に取り組んでいる追跡を急ぐ必要がある。このスリリングな展開の次章が始まる前に、攻撃の軌跡を追跡し、CISAの推奨事項に従い、SCADAシステムの境界を強化する方法を以下で確認してください。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
高度な Android 脅威が 400超のアプリを対象に端末内不正操作と VNC 画面制御を実行
主なポイント:
• Malware-as-a-Service としての Albiriox は規模と影響を劇的に拡大する。高度な Android の銀行/暗号資産の不正操作機能をパッケージ化し、犯罪者に貸し出すことで、(400以上の標的アプリを通じて)ユーザーと機関に対する大規模な悪用を可能にし、広範囲の金融窃盗、アカウント乗っ取り、規制上のリスク、対象サービスの評判への損害のリスクを高めている。
• このマルウェアの機能— 端末内不正操作とVNC型のリモート画面制御 — により攻撃者は一般的な防御策を回避できる(オーバーレイ、アクセシビリティの悪用、SMS傍受、セッションハイジャック、自動署名など)。端末上に秘匿的に滞在し、リアルタイムで不正取引を実行できるため、検知は難しく、パスワードや SMS OTP などの単純な認証だけでは不十分となる。
• 防御は多層的かつデバイス中心であるべき:感染防止(サイドローディング禁止、信頼できるアプリストアのみ使用、OS・アプリ更新、Play Protect/アンチマルウェア使用)、高リスク権限の制限(アクセシビリティ、デバイス管理者権限)、ハードウェア支援の認証と端末アテステーション(FIDO2、Play Integrity/SafetyNet)、モバイル脅威防御/EDR、行動・取引監視で異常検出、さらに安全なコーディング対策(証明書ピンニング、オーバーレイ/フォアグラウンドチェック)。また、ユーザー教育により不審なアプリの削除と権限の即時取り消しを促す必要がある。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
産業制御システムを標的に
主なポイント:
• 現在進行形の緊急リスク— CISA は ScadaBR の CVE-2021-26829 がハクティビストにより積極的に悪用されていると警告しており、ScadaBR を使用している組織は現実的な脅威として即時の対処を優先すべきである。
• 運用・安全への影響— ICS/SCADA 製品の悪用は、不正な制御、プロセスの混乱、データ窃取や改ざんを許し、現実世界での安全性や可用性に影響する可能性がある。国家ではないハクティビストでも大きな運用被害を引き起こし得る。
• 即時および長期的な対策— CISA のガイダンスに従い、ベンダーパッチまたは公式ワークアラウンドをASAP で適用し、影響を受けたシステムをインターネットから隔離/除去し、リモートアクセスを制限・監視し、侵害兆候を捜索し、防御を強化する(IT/OT セグメンテーション、最小権限、管理画面への MFA、IDS/IPS・ログの最新化、テスト済みのインシデント対応計画)。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
日本の事業が混乱し、150万件の情報が流出
主なポイント:
• ランサムウェアは運用停止とデータ流出の両面を引き起こす— Qilin 侵害によりアサヒの日本事業は停止し、150万件のデータが漏えいした。現代のランサムウェアは暗号化だけでなくデータ流出も含む。対策:イミュータブルでオフラインなバックアップを維持し、完全復旧とBCP手順を定期的にテストすることで、ダウンタイムを最小化し身代金の交渉力を下げる。
• ラテラルムーブメントと特権アクセスの侵害が大規模流出を可能にする— 攻撃者は足がかりを得ると権限を昇格し、大量データを持ち出すことが可能。対策:最小権限、MFA、強固な資格情報管理、ネットワークセグメンテーション(マイクロセグメンテーション)、EDR/XDR、SIEM、DLP により横移動と流出を早期に阻止。
• 事前準備・サプライチェーンリスク・規制対応が重要— 組織は法的・評判・サプライチェーンへの影響に直面する。対策:最新のインシデント対応計画(フォレンジック・コミュニケーション手順)、演習、ベンダーリスク評価、パッチ管理、脅威インテリジェンスの購読で検知・対応を高速化。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
会員データが窃取されるサイバー攻撃
主なポイント:
• 管理用クラブ管理プラットフォームの認証情報侵害により会員の個人データが窃取— 正規資格情報を得た攻撃者は境界防御を回避し、大量の PII、会員記録、支払い情報、管理機能にアクセス可能。対策:すべての管理・リモートアクセスに MFA を必須化、強固なパスワードポリシー、インシデント後の即時資格情報ローテーション。
• 流出した会員データは、ID盗難、標的型フィッシング、詐欺、他サービスでのアカウント乗っ取りなどの二次リスクを生む — GDPRなどのデータ保護法に基づく重大な法的・評判リスクもあり得る。対策:迅速な通知、必要に応じたクレジット/ID監視の提供、流出データと利用者が取るべき行動を説明するコミュニケーション。
• 事件はシステム的な制御の欠陥を示す— 不十分なアクセス制御、ログ・監視、ベンダー/セキュリティ衛生が流出を可能にした。対策:最小権限とロール分離、包括的な監査ログと異常管理者動作のアラート、定期的な第三者セキュリティ評価、データ静止時・転送時の暗号化、フォレンジック・封じ込め・復旧を含むインシデント対応計画。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
OtterCookieマルウェアを拡散
主なポイント:
• サプライチェーンのリスクと規模:国家支援APTが197の悪意あるnpmパッケージを通じてOtterCookieを配布。オープンソース生態系を武器化し、数千のプロジェクトや開発環境に到達可能であることを示す。推移的依存関係やタイポスクワッティングがリスクを拡大。
• 重大で発見困難な影響:パッケージに埋め込まれたマルウェアは資格情報窃取、開発マシンやCIランナーでの永続化、プロダクションビルドへのバックドア挿入が可能。通常の依存関係として見えるため手動レビューでは検知困難で、広範な悪用が観測されるまで未検出の可能性。
• 実践的な対策:依存関係衛生(バージョン固定、不要依存削除)、SCAツールとマルウェア自動スキャン、プライベートレジストリ/検証済みミラー、メンテナの2FA義務化、署名・チェックサム・SBOM によるパッケージ完全性確認、CI資格情報の最小化、隔離されたビルド環境、秘密情報のローテーションと依存関係の迅速な入れ替えを含むインシデント対応計画。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
28の金融機関に影響
主なポイント:
• MSPサプライチェーンリスク:単一のMSP侵害が多数の顧客に連鎖的影響を与える。MSPのリモート管理や資格情報が侵害されると、攻撃者は複数の組織へ迅速に横展開可能。対策:厳格なベンダーセキュリティ(MFA、最小権限、PAM、ログ)、第三者評価、ゼロトラスト原則の適用。
• ランサムウェア+データ流出が金融業に与える影響:Qilinが28の金融機関に被害を与えた例は、運用停止、機密データ窃取、規制リスク、金銭的損失の複合リスクを示す。対策:イミュータブル/オフラインバックアップ、定期的復旧テスト、EDR、ネットワークセグメンテーション、迅速なパッチ適用、強固なアクセス制御とMFA。
• 準備・検知・調整された対応:迅速な封じ込めと復旧には積極的な監視、脅威ハンティング、証拠保全を含むIRプレイブックが必要。対策:テレメトリ集約、SIEM/EDRアラート、MSP含む演習、業界団体との情報共有、サイバー保険と契約上の役割の明確化。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
主なポイント:
• 影響とリスク:個人プロフィールデータ(名前、メール、位置情報)は、パスワードや支払い情報がなくても、フィッシング、標的型攻撃、詐欺、ID関連付けのリスクを高める。組織は重大なプライバシー・評判リスクとして扱い、規制・通知義務を迅速に検討すべき。
• 根本原因とアクセス制御の教訓:攻撃者は昇格された権限を利用してデータセットをエクスポート。ベンダーツールには最小権限、テレメトリの本番・非本番分離、SSO/MFA、エクスポート・管理機能の最小化が必要。
• 即時および長期的な対策:短期— Mixpanel利用状況の棚卸し、影響データの特定、ログ収集、APIキー・トークンのローテーション、関係者通知、後続攻撃の監視。長期— ベンダーリスク管理強化、データ最小化・保持ポリシー、機微データ暗号化、大規模エクスポートと異常管理者操作の検知。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
主なポイント:
• 広範に利用されるインターネット公開アプリは高価値標的— Oracle E-Business Suite のゼロデイは Clop のようなグループにより迅速に武器化される可能性。対策:公開されているインスタンスの棚卸し、パッチ or ワークアラウンドの即時適用、管理コンソールとレガシーエンドポイントのインターネット公開の削減。
• 成功した悪用はランサムウェアだけでなく大規模データ流出と恐喝につながるため、従来のバックアップだけでは不十分。対策:ネットワークセグメンテーション、最小権限、MFA、EDR、暗号化、DLP、エアギャップ/イミュータブルバックアップ。
• 組織は迅速な悪用を前提に準備すべき:パッチが出るまで仮想パッチ/WAF/IDS/IPS サインを適用、ログ集中、IOCハンティング、フォレンジック・通知を含むIRプロセス、IOC共有。継続的なスキャン、優先度付きパッチ、演習が検知・対応速度を向上。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
リスキャナは、サードパーティリスク管理(TPRM)の分野におけるリーディングカンパニーです。組織がデジタルサプライチェーン全体に潜むサイバーリスクを特定・評価・軽減できるよう支援しています。リスキャナ・プラットフォームは、リアルタイム脅威インテリジェンス、自動リスクスコアリング、継続的モニタリングを活用し、セキュリティチームが新興脅威への露出を最小化し、サイバー・レジリエンスを強化できるよう設計されています。
ご興味をお持ちのお客様へはシステムのデモやサンプルレポートのご提供等のご相談も承っておりますので、ご遠慮なくお申し付けください。
お問い合わせはこちらまで。