第2回：Microsoft Exchange ServerやOSSライブラリーを悪用する手法

今回は「第2回：Microsoft Exchange ServerやOSSライブラリーを悪用する手法」についてご紹介します。

関連ワード （セキュリティ、ソフトウェアサプライチェーン攻撃の5つの手法等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　前回は、ソフトウェアサプライチェーンが、ソフトウェアへの信頼を生み出し、依存している企業やユーザーに膨大なリスクを課している理由と仕組みを説明しました。また、ソフトウェアベンダーへの不正アクセスを通じた攻撃例を紹介しました。

　大きく5つに分類されるサプライチェーン攻撃の手法について、今回は（2）サードパーティーアプリケーションと（3）オープンソースライブラリーを悪用した手法を詳しく取り上げます。

2.サードパーティーアプリケーションの悪用

　一般的に使用されるサードパーティーアプリケーション（互換性のある非純正のアプリケーション）の「ゼロデイ」（パッチ未適用のセキュリティバグ）を標的とする攻撃も、ソフトウェアのサプライチェーンから想定されるリスクです。

　通常サードパーティーアプリケーションには、ユーザー自身でコードをもたない既成のさまざまなソフトウェア、サービスなどが含まれます。組織が自らのビジネスに必要とするプロセスを全て開発することはもはや現実的ではなく、今日ではシステム全体がさまざまなサードパーティーアプリケーションの集合体といっても過言ではありません。

　ソフトウェア開発は困難なプロセスであり、不完全な要件やリリース期限のプレッシャーにより、完璧とは言い難いソフトウェアが提供されるケースも多くあります。そして、多くのソフトウェア開発者は、プログラムに破滅的なエラーをもたらすバグの解消を優先します。そのため攻撃者は、破壊的なシステム障害を起こさないようなバグを探し当て、ユーザーの認証情報の窃盗や、データベース全体の読み取りなど、想定外の動作をソフトウェアに行わせます。

　2021年3月のMicrosoft Exchange Serverに対する攻撃は、この種のソフトウェアサプライチェーン攻撃の最新事例に過ぎません。攻撃者はExchange Serverのバグを利用し、電子メールを読み取り、ウェブシェルをインストールしました。

　ウェブシェルとは、攻撃者がウェブサイトにアップロードする、追加のウェブページを意味します。攻撃者はサーバー上のウェブページを改ざんすることで、ウェブシェルを既存のページに組み込めるようにします。そして、追加・変更されたページ内のコードは、ウェブサーバー上でOSコマンドの実行、システム内のファイルの読み取り、マルウェアのインストールなどを可能にします。ウェブシェルは、ウェブサーバーへの追加のネットワーク接続を確立する必要なく、バックドアと同様に機能します。

　この問題を複雑化させる点として、公開されたソフトウェアの脆弱性を攻撃者に次々と悪用される点が挙げられます。一方、パッチの開発と公開は慎重に行われる上、利用可能になった段階で全ての場所に適用できるケースもまれです。こうした溝を埋めるための対策として、ウェブアプリケーションファイアウォール（WAF）の導入が挙げられます。

　しかし、いかに優れたWAFでも、最新シグネチャーの開発・試験・導入・更新や、機械学習モデルの調整、異常状態を検知し将来阻止する必要性を手動で確認するなど、適用には時間がかかります。さらに、こうした「仮想パッチ」は、導入前にそれぞれの企業の環境で試験を行い、望まない副作用が発生しないか確認する必要があります。

　ゼロデイ攻撃を従来の対策で回避することは、ますます困難になっています。例えば、Zoho Manage Engine Desktop Serverのゼロデイ脆弱性は、公開から数日以内には広く悪用されました。

ランサムウェアをめぐる「5つの嘘」 あなたの会社をハッカーと身代金から守るには | サイバーセキュリティ専門家が解説 ...

アメリカでは最近、東海岸の燃料輸送を担うパイプラインや最大手の食肉加工会社などが相次いでランサムウェア攻撃を受け、大きな問題になっている。ただし、ランサムウェアをめぐる情報や防御策については不正確なものも目立つ。そこで米タフツ大学のサイバーセキュリティ専門家が、ランサムウェアにまつわる5つの誤解を解き明かす。「ランサ…

侵害を前提にした時、セキュリティ対策はどう考えるべきか？ - 【キーマンズネット】It、It製品の比較・事例・価格情報サイト

侵害を前提にした時、セキュリティ対策はどう考えるべきか？のITセミナー情報です。キーマンズネットはIT製品の導入をサポートします！スペックや導入事例、価格情報・比較情報も充実。資料請求も簡単に出来るIT情報サイトです。

SolarWindsハッキング事件から学ぶサイバーセキュリティ15の心構え (1) | TECH+

昨年末に米国で明らかになったSolarWinds製品のハッキング事件では、NSA（米国家安全保障局）を含む何千もの大規模な組織が、事態が発覚するまで6～9カ月もの間、侵害されていた。本稿では、この事件から学ぶべき15の心構えを紹介しよう。

NRIセキュア、リスク可視化と対策状況評価「ファストセキュリティアセスメント」提供 | ScanNetSecurity

NRIセキュアテクノロジーズ株式会社（NRIセキュア）は7月8日、企業の情報セキュリティに関するリスクを可視化し対策状況を評価する「ファストセキュリティアセスメント」の提供を同日から開始すると発表した。

初代『タイタンフォール』セキュリティ問題を対処するスタッフは「1, 2人」―コミュニティ担当者が配信で明かす

初代『タイタンフォール』セキュリティ問題を対処するスタッフは「1, 2人」―コミュニティ担当者が配信で明かす

SolarWindsがセキュリティアドバイザリーを公開--マイクロソフトが脆弱性の悪用を報告 - ZDNet Japan

SolarWindsが同社の製品に関するセキュリティアドバイザリーを公開した。発見された脆弱性はマイクロソフトが通報した。

Nriセキュア、リスク可視化と対策状況評価「ファストセキュリティアセスメント」提供 (2021年7月13日 ...

NRIセキュアテクノロジーズ株式会社（NRIセキュア）は7月8日、企業の情報セキュリティに関するリスクを可視化し対策状況を評価する「ファストセキュリティアセスメント」の提供を同日から開始すると発表した...

ジェイズ、「自治体のセキュリティ対策」に関する調査を実施 - 週刊bcn+

ジェイズ・コミュニケーション（ジェイズ）は、自治体の情報・IT技術職の関連部門に所属もしくはセキュリティ関連のプロジェクトに関与している289人を対象に「自治体のセキュリティ対策」に関する調査を6月11日から22日まで実施した。

ゼロデイマルウェアが74％、ウォッチガードが「インターネットセキュリティレポート」の2021年第1四半期版を発表 ...

ウォッチガード・テクノロジー・ジャパンは、「インターネットセキュリティレポート」の2021年第1四半期版を発表した。WatchGuardのアプライアンスが検知したネットワーク攻撃は400万以上あるという。

【大事なのは対策ではなく"復旧"】サイバー攻撃を受けた8割の企業がセキュリティ対策システムを導入していた!？ 投稿 ...

最新投稿日時:2021/07/13 12:48 - 「【大事なのは対策ではなく“復旧”】サイバー攻撃を受けた8割の企業がセキュリティ対策システムを導入していた！？」（PR TIMES）

セキュリティゲートの種類は？駅や空港で幅広く導入 | セキュリティゲート機の専門メーカー 株式会社ナック電子

フラッパー式自動改札機製造販売セキュリティゲート機の専門メーカー使用される媒体(バーコードチケット、ＩＣカード、コイン、磁気カード、生体認証など)を組込むことを可能にし、いろいろな分野でご利用いただいております。

株式会社ハンモック：セキュリティインシデントとは何か？事故・問題・脅威・攻撃の種類や対策方法を解説 | 朝日新聞 ...

セキュリティインシデントに関する基礎知識｜セキュリティインシデントの種類｜セキュリティインシデントの対策方法｜まとめ：セキュリティに絶対はないからこそ、改善し続ける体制を作るべきインターネットに接続して何らかの業務を行っている場合、セキュリティインシデントと無縁な企業・組織はありません。 なぜなら、サイバー攻撃を行うよ...

スマートグリッドセキュリティ市場、2021年から2026年の間、Cagr12.1%で成長見込み｜株式会社グローバル ...

株式会社グローバルインフォメーションのプレスリリース（2021年7月13日 12時00分）スマートグリッドセキュリティ市場、2021年から2026年の間、CAGR12.1%で成長見込み

「セキュリティ」ゆ♪のブログ ｜ ゆ♪ - みんカラ

セキュリティ. 持ち主の目の前で車が持っていかれたあの事件・・・. セリカも海外に持っていけばそれなりに売れるだろうしバラして部品で売ればけっこう儲かるはず。. 実際にここ数年のヤフオクとかでの部品の値段がとんでもなく上がってるからねぇ ...

テレワークで露呈したセキュリティと労務の課題は「操作ログ」で解決 - ホワイトペーパー：日経クロステック Active

　テレワークやクラウドサービスの利用拡大によって、企業は新たなセキュリティ脅威にさらされている。有効な対策が操作ログによる証跡管理だ。その管理システムと導入事例を紹介する。

Microsoft、Webのリスク管理企業RiskIQを買収 サイバーセキュリティ強化へ (2021年7月13日 ...

米Microsoftは7月12日（現地時間）、ネットのリスク管理ツールを手掛ける米RiskIQを買収することで合意したと発表した。買収総額などの詳細は公表されていないが、米Bloombergは総額は5...

サイバーセキュリティ・サンドボックス市場は、2027年までに150億米ドルに達すると予測されています。 | Newscast

Report Ocean Co. Ltd. 2021-07-12 06:00. サイバーセキュリティ・サンドボックスの世界市場は、前年比で潜在的な成長率を示しており、2020年には73億米ドルに達しています。. さらに、2021年から2027年（予測期間）の間に11.8%のCAGRで成長し、2027年には150億米ドルに ...

テレワークに潜むセキュリティリスクにどう向き合うか ｜ みんなの経営応援通信 - 経理や経営に役立つ情報が満載

ソリマチ みんなの経営応援通信は、経営者、個人事業主の方をはじめ「会計、経理、税務、確定申告、給与計算、起業」をテーマに情報を発信しています。

情報セキュリティ方針 | ニッセン・クレジットサービス株式会社

情報セキュリティ・ポリシー. 当社は、情報セキュリティ理念に基づき、次のとおり、情報セキュリティを確保し、業務を遂行します。. 1.情報セキュリティ管理に関する組織と体制を確立し、維持運営します。. 2.適正かつ適切な情報セキュリティ・ポリシー ...

携行できる小型セキュリティボックス。ダイヤル錠とワイヤーで貴重品を守る - トラベル Watch

サンワサプライは7月13日、貴重品の盗難をダイヤル錠とワイヤーで防止するセキュリティボックス「200-SL085」を発売した。価格は3980円。 4桁のダイヤル錠で中身を守ることができる。付属のワイヤーを柱などの支柱に ...

機能安全と組込みセキュリティのギャップ概説（オンラインセミナー） - 【キーマンズネット】It、It製品の比較・事例 ...

機能安全と組込みセキュリティのギャップ概説（オンラインセミナー）のITセミナー情報です。キーマンズネットはIT製品の導入をサポートします！スペックや導入事例、価格情報・比較情報も充実。資料請求も簡単に出来るIT情報サイトです。

ラックとドコモgacco、セキュリティ対策のオンライン教育で連携、「ラックセキュリティアカデミー情報セキュリティ講座 ...

ラックとドコモgacco、セキュリティ対策のオンライン教育で連携、「ラックセキュリティアカデミー情報セキュリティ講座」 を提供 三柳 英樹 2021 ...

内閣サイバーセキュリティセンター、サイバーセキュリティ戦略本部第30回会合の決定事項などを発表 ...

SecurityInsight（セキュリティインサイト）は情報セキュリティを中心としたエンタープライズITの情報サイトです。

サイバーセキュリティ・サンドボックス市場は、2027年までに150億米ドルに達すると予測されています。 - 芸能社会 ...

　画像 : https://newscast.jp/attachments/LtWs9ZXpfgR9ZK3elQKI.jpg　サイバーセキュリティ・サンドボック…

エポック社、メール誤配信で利用者1名のアドレス流出｜サイバーセキュリティ.com

画像：株式会社エポック社より引用 玩具販売などで知られる株式会社エポック社は2021年7月11日、同社が運営する「シルバニアファミリーオンラインショップ」にて配信した電子メールについて誤送信が発生し、特定の利用者1名のメールアドレスが

「ランサムウェア対策」に関するアンケート - TechTargetジャパン セキュリティ

簡単なアンケートにご回答いただいた方の中から抽選で1名様にiPhone SE（第2世代／64GB）をプレゼント。

ラック、gacco、情報漏えいやサイバー攻撃対策のオンライン教育で連携「ラックセキュリティアカデミー情報セキュリティ ...

セキュリティ技術を駆使したITトータルソリューションサービスを提供する株式会社ラック（本社：東京都千代田区、代表取締役社長 西本 逸郎 ...

マイクロソフト、サイバーセキュリティ企業RiskIQを買収へ - CNET Japan

Microsoftは米国時間7月12日、サンフランシスコを拠点とするサイバーセキュリティ企業RiskIQを買収すると発表した。セキュリティポートフォリオを ...

7/27(火)開催!ビットフォレスト、SST共催ウェビナー 「【Webサイト管理者・責任者向け】今すぐ自社で実現 ...

株式会社ビットフォレスト株式会社セキュアスカイ・テクノロジーのプレスリリース：7/27(火)開催！ビットフォレスト、SST共催ウェビナー　「【Webサイト管理者・責任者向け】今すぐ自社で実現できる！2つのセキュリティ対策とは　～クラウド型WAFと脆弱性診断ツールの選び方～」

第2回：Microsoft Exchange ServerやOSSライブラリーを悪用 ...

ソフトウェアのサプライチェーンに対するサイバー攻撃のリスクが顕在化する今、大きく5つに分類されるその手法について解説します。