〇 OS、アプリケーション、アンチウイルスのデータベース等を常に最新の状態に保つ
〇 UTM導入等によるネットワーク全体の防御を行う
– 11/27号 目次 –
01. ルーター・VPN機器の脆弱性・設定不備を突くネットワーク貫通型攻撃…IPA注意喚起
02. 委託業者への不正アクセス、国会図書館利用者の個人情報など漏洩
03. 10月度フィッシング報告件数は225,796件…19万件台⇔22万件台の推移続く
ルーター・VPN機器の脆弱性・設定不備を突くネットワーク貫通型攻撃…IPA注意喚起
– 10月31日(日本時間)、IPAより、家庭用ルーターやIoTルーター、VPN機器等ネットワークの境界上にある機器を狙う「ネットワーク貫通型攻撃」および機器を踏み台とする「ORB(Operational Relay Box)」に関する注意喚起が出されています。
– 機器の未修正の脆弱性や、設定の不備を突いてのネットワーク貫通型攻撃により、機器を経由して組織内ネットワークに侵入される恐れ、さらには機器が乗っ取られ、ORBとして他組織への攻撃の踏み台に利用される恐れがあるとしています。
– その他の影響として、長期潜伏により、内部偵察・継続的な攻撃の基盤とされる、および組織の信用失墜等も挙げられています。
https://scan.netsecurity.ne.jp/article/2025/11/07/53969.html
https://www.ipa.go.jp/security/security-alert/2025/alert20251031_router.html
https://www.ipa.go.jp/security/security-alert/2025/alert20251031_vpn.html
AUSからの所感
IPAではネットワーク貫通型攻撃とORBに対する注意喚起を度々行っており、例えばゴールデンウィーク・夏季・年末年始の長期休暇時期の注意喚起(https://www.ipa.go.jp/security/anshin/heads-up/index.html )では毎回企業・組織に対しこの話題で注意を呼び掛けています。
機器の設定不備としては、管理画面等のポートに外部からアクセス可能な状態になっている、パスワードが初期状態から変更されていない、等のケースがあり、そういった状態の機器を検索するサーチエンジンとして「Syodan」「Censys」が知られている他、2019年に総務省・情報通信研究機構(NICT)等が機器調査および対策を促すためのプロジェクト「NOTICE」を立ち上げています。
ただしNOTICEが行う調査は機器のユーザーの了承を得ていないこともあって簡易的な調査に留まり、攻撃者が狙うようなより入り組んだ部分の対策として、機器のファームウェアを最新に保つ(サポート切れの機器についてはリプレースする)、パスワードを確実に推測されにくいものに変更する、また機器を踏み台に内外あらゆる場所にアクセスされるのを防ぐための機器自体の設定やネットワークの分割構成を検討することも重要です。
委託業者への不正アクセス、国会図書館利用者の個人情報など漏洩く
– 11月11日(日本時間)、国立国会図書館より、新たな館内サービスの開発環境が不正アクセスを受け、個人情報が流出した可能性があると発表されました。
– 同25日の続報では、被害を受けたとされるのは、2025年3月15日~同27日に関西館に来館した利用者のID(943件)、9月24日~10月22日に東京本館・関西館・国際子ども図書館に来館し資料のプリントアウト指示を行った利用者のID・氏名およびプリントアウトに関する各種情報(4,360人、40,373件)とのことです。
– 開発を委託したIIJ社から再委託を受けた業者のネットワークが何者かの侵入を受け、開発環境にアクセスされたのが原因とされています。
https://www.itmedia.co.jp/news/articles/2511/25/news103.html
https://www.ndl.go.jp/jp/news/fy2025/251125_02.html
https://www.iij.ad.jp/news/information/2025/1111.html
AUSからの所感
委託先やいわゆるサプライチェーンを狙った攻撃は、IPAが毎年発表している「情報セキュリティ10大脅威」において組織側の脅威として上位にランクインしており(https://www.ipa.go.jp/security/10threats/10threats2025.html )、また11月においても大学内のネットワーク管理を委託された業者がサーバーに不正アクセスを受け、ランサムウェアに感染したという事例等が報告されています。
委託先であることや開発中の環境であることからセキュリティ上の警戒が本番環境よりも薄くなり狙われやすいという問題があり、本番環境と同様にセキュリティ診断を行うというわけにはいかなくとも、例えばクラウド上に構築している環境であれば第三者からアクセスできないことを自動的にチェックする機構やサービスの導入検討、また本番環境からのデータが一部持ち込まれた所に侵入を受けたという問題についても、ダミーデータやマスクされたデータを利用するよう十分留意すべきでしょう。
10月度フィッシング報告件数は225,796件…19万件台⇔22万件台の推移続く
– 11月21日(日本時間)、フィッシング対策協議会より、10月に寄せられたフィッシング報告状況が発表されました。
– 10月度の報告件数は225,796件で、9月度(https://www.antiphishing.jp/report/monthly/202509.html )の224,693件から1,103件
増加しています。
– 悪用されたブランド件数は115件で9月度(111件)から4件増加、割合が多かったものとしてAmazon(約11.2%)、Apple(約6.9%)が挙げら
れ、次いで報告されたJCB、佐川急便、ANAと合わせて約30.0%、さらに1,000件以上報告された45ブランドまで含めると約94.5%を占めたとのことです。
– フィッシングサイトのURL件数は48,533件で9月度(69,077件)から20,544件減少、使用されるTLD(トップレベルドメイン名)の割合は上位に .cn(約46.2%)、 .com(約28.4%)、次いで10,000件以上の報告があった .shop(約6.0%)、 .net(約5.1%)と併せて約85.7%を占めています。
AUSからの所感
5月度以降、報告件数は19万件台と22万件台での増減を繰り返していますが、過去の状況から、年末年始等のタイミングで急増したり、以後現状よりもさらに高い水準となったりする可能性は、十分に考えられます。
送信元IPアドレスにDNS PTRレコード(IPアドレスからの逆引き)が設定されていないフィッシングメールが全体の約93.2%を占めている他、設定されているもののうちさらに約66.4%(全体からの割合では約4.5%)が、末尾に「bc.googleusercontent.com」が付く、即ちGoogle Cloud サービスが送信元であるとしています(同協議会では8月度以降bc.googleusercontent. comの傾向にも言及しています)。
大手メールサービスでは既にPTRレコード未設定の送信元のメールを受信しない設定も一般的とされており、独自に構築しているメールサーバーでも同様の設定ないしFCrDNS(逆引きで得たホスト名をさらに正引きして検証)によるチェックを行うことがフィッシング・スパムメールの大幅な遮断に繋がる可能性があるとみられますが、実際の取引相手でDNS設定が正しくない送信元のメールを遮断しないよう、設定には細心の注意を払うべきでしょう。
