2022年度3Qのセキュリティ動向、「パスキー」「ショーケース漏えい事件」などを分析【NTTデータ調べ】

2022年10月~12月におけるセキュリティ技術、サイバー攻撃の事案から、4つのトピックを解説

NTTデータは、「グローバルセキュリティ動向四半期レポート(2022年度第3四半期)」を発表した。2022年10月~12月におけるセキュリティ関連の動向を分析した内容。

「グローバルセキュリティ動向四半期レポート(2022年度第3四半期)」表紙

2022年10月~12月のサイバーセキュリティトピックを網羅

今回のグローバルセキュリティ動向四半期レポートでは、「ISMAP-LIU(ISMAP for Low-Impact Use)制度」「パスキー対応の本格化」、さらに「ショーケース社情報漏えい事件」や「Microsoft Exchange Serverにおけるリモートコード実行の脆弱性」が注目トピックとして採り上げられている。

ISMAP-LIU(ISMAP for Low-Impact Use)制度

リスクの小さな業務・情報の処理に用いるSaaSサービスを対象とした制度「ISMAP-LIU」を、2022年11月1日からデジタル庁が開始。ISMAPよりコスト削減が見込める一方で、内部監査の報告が必須で、社内に監査を実施できる人員・体制が必要だ。

ISMAPとISMAP-LIUとの外部監査対象項目数の比較(NTTデータの発表資料より)

パスキー対応の本格化

将来的なパスワードレス認証の拡大を視野に、Apple、Google、Microsoftの3社はマルチデバイス対応FIDO認証資格情報、通称「パスキー」を提供すると2022年5月に発表した。現在パスワードレス認証では、国際標準規格の「FIDO(Fast Identify Online)」があるが、デバイの機種変更・紛失時にFIDO鍵の再登録が必要など、煩雑な面があった。「パスキー」は、鍵をクラウドにバックアップすることでこの問題を解消している。

パスキー(マルチデバイス対応FIDO認証資格情報)と従来FIDOとの比較(NTTデータの発表資料より)

ショーケース社情報漏えい事件

2022年10月25日、ショーケース社が不正アクセスを受けた。これにより同社サービスを利用していたECサイトから情報が漏えい。利用企業12社が被害内容や経緯を発表した。この攻撃では、「フォームアシスト」「サイト・パーソナライザ」「スマートフォン・コンバータ」の3つのサービスが不正に書き換えられ、個人情報が攻撃者のサーバへ送信された。

NTTデータでは類似ケースについて、ソフトウェアサプライチェーンの把握、相談や対処を依頼する情報セキュリティの専門会社選定、サイバー保険といった対応を、ECサイト運営者は検討すべきとしている。

攻撃の流れ(NTTデータの発表資料より)

Microsoft Exchange Serverにおけるリモートコード実行の脆弱性

通称「ProxyNotShell」と呼ばれるMicrosoft Exchange Serverの脆弱性を、ベトナムのセキュリティ企業GTSCが2022年9月に発表。サイバー犯罪者による攻撃も実際に確認された。

この攻撃は、複数の脆弱性を組み合わせることでリモートコード実行を可能とするもので、Exchange Server 2013/2016/2019が対象となる(Exchange Onlineは対象外)。Microsoftは2022年11月に修正パッチを配布した。

ProxyNotShell発見から修正パッチ公開までの時系列(NTTデータの発表資料より)

「グローバルセキュリティ動向四半期レポート(2022年度第3四半期)」は、NTTデータのサイトよりダウンロード可能。

この記事が役に立ったらシェア!
メルマガの登録はこちら Web担当者に役立つ情報をサクッとゲット!

人気記事トップ10(過去7日間)

今日の用語

レコメンド
Web サイトの行動履歴、購入履歴、会員情報などをもとに興味関心の高い情報を自動 ...→用語集へ

インフォメーション

RSSフィード


Web担を応援して支えてくださっている企業さま [各サービス/製品の紹介はこちらから]