情報セキュリティ
最終更新日:2024年4月18日
注釈:追記すべき情報がある場合には、その都度このページを更新する予定です。
近年、インターネット境界に設置された装置の脆弱性の悪用を伴うネットワーク貫通型攻撃が脅威となっています。昨年 8 月に IPA が公開した、「インターネット境界に設置された装置に対するサイバー攻撃について ~ネットワーク貫通型攻撃に注意しましょう~」脚注1 においても注意を呼び掛けています。
そのような中、 IPA では、アドビ社が提供する Adobe ColdFusion の脆弱性 (CVE-2023-29300) を悪用した攻撃による被害を確認しています。具体的には、国内の複数組織においてこの脆弱性が悪用され、当該製品が稼働する装置に webshell が設置されていました脚注2。
この脆弱性は、リモートからのコード実行が可能となるもので、CISA 脚注3 の KEV カタログ(Known Exploited Vulnerabilities Catalog 脚注4) にも、悪用された脆弱性として掲載されている状況です。
台湾のセキュリティベンダ TeamT5 社が 2024 年 3 月 18 日に公開した脅威情報によると、日本国内で少なくとも 66 台の装置が当該脆弱性によるセキュリティ侵害を受けているとされています脚注5。
ネットワーク貫通型攻撃では、設置された webshell を通じて組織内ネットワークへの侵入が試みられることや他組織への踏み台としての機能が仕組まれることがあります。踏み台のケースにおいては、意図せずに他組織への攻撃活動に加担してしまうことに繋がるため、一種の ORB (Operational Relay Box 脚注6) となるおそれが高まります。なお、ORB 化を伴う攻撃事例として、C2 サーバとの通信の中継や攻撃元の隠蔽を目的として利用するケースを確認しています。
欧米においても、ネットワーク機器の脆弱性を悪用したうえで C2 サーバとの中継装置として利用し、重要インフラを標的とする攻撃キャンペーン「Volt Typhoon」が大きな脅威となっています脚注7。昨年には、APT 攻撃グループによる、日本でも利用者の多い TP-Link 社 (普聯技術有限公司) 製のルータ製品などを対象とした攻撃キャンペーンがあり、被害に遭った製品は ORB 化し、更なる攻撃に利用されたとの旨のレポートも公表されています脚注8。
ネットワーク貫通型攻撃では、企業や組織のネットワークとインターネットとの境界に設置されるセキュリティ製品や VPN 機器、サーバなどの脆弱性が狙われます。そのため、日々の確認や平時の備えが重要です。
IPA では、アドビ社が提供する Adobe ColdFusion の脆弱性 (CVE-2023-29300) を悪用したネットワーク貫通型攻撃による被害を確認しています。国内の複数組織においてこの脆弱性が悪用され、当該装置に webshell が設置されていました。
今後も、APT 攻撃グループによって、本件脆弱性を悪用するネットワーク貫通型攻撃が行われる可能性があります。また、ORB 化についても注意が必要な状況です。
Adobe ColdFusion を利用されている場合は、早急に修正対策プログラムを適用してください。また、既に修正対策プログラムを適用している場合であっても、ORB 化を含め、攻撃被害の確認を通信ログなどから行ってください。もし、攻撃による何らかの被害が生じた可能性が確認された場合には、「本件に関する情報提供窓口」まで届出することをご検討ください。
CVE-2023-29300 について、悪用した攻撃が日本国内において発生しているという情報を確認しています。
また、CVE-2023-29300 について公表したアドビ社のアドバイザリ「APSB23-40」脚注9 では、CVE-2023-29300 のほかに 2 件の脆弱性が含まれていますので、併せてご確認ください。
注釈:最新の情報は、アドビ社のアドバイザリ脚注9 をご確認ください。
注釈:最新の情報は、アドビ社のアドバイザリ脚注9 をご確認ください。
経済産業省は、2023 年 5 月 29 日に「ASM (Attack Surface Management) 導入ガイダンス ~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~」脚注10 を公表しています。攻撃面 (アタックサーフェス脚注11) のリスク評価等についても触れられていますので、ご活用ください。
独立行政法人情報処理推進機構(IPA) セキュリティセンター
コンピュータウイルス・不正アクセスに関する情報提供窓口
注釈:個別のシステムおよび環境に関するご質問はシステム・製品等を調達したベンダ・保守事業者・販社などの契約先にお問合せください。
2024年4月18日
掲載