2022年度3Qのセキュリティ動向、「パスキー」「ショーケース漏えい事件」などを分析【NTTデータ調べ】

2022年10月~12月におけるセキュリティ技術、サイバー攻撃の事案から、4つのトピックを解説

NTTデータは、「グローバルセキュリティ動向四半期レポート(2022年度第3四半期)」を発表した。2022年10月~12月におけるセキュリティ関連の動向を分析した内容。

「グローバルセキュリティ動向四半期レポート(2022年度第3四半期)」表紙

2022年10月~12月のサイバーセキュリティトピックを網羅

今回のグローバルセキュリティ動向四半期レポートでは、「ISMAP-LIU(ISMAP for Low-Impact Use)制度」「パスキー対応の本格化」、さらに「ショーケース社情報漏えい事件」や「Microsoft Exchange Serverにおけるリモートコード実行の脆弱性」が注目トピックとして採り上げられている。

ISMAP-LIU(ISMAP for Low-Impact Use)制度

リスクの小さな業務・情報の処理に用いるSaaSサービスを対象とした制度「ISMAP-LIU」を、2022年11月1日からデジタル庁が開始。ISMAPよりコスト削減が見込める一方で、内部監査の報告が必須で、社内に監査を実施できる人員・体制が必要だ。

ISMAPとISMAP-LIUとの外部監査対象項目数の比較(NTTデータの発表資料より)

パスキー対応の本格化

将来的なパスワードレス認証の拡大を視野に、Apple、Google、Microsoftの3社はマルチデバイス対応FIDO認証資格情報、通称「パスキー」を提供すると2022年5月に発表した。現在パスワードレス認証では、国際標準規格の「FIDO(Fast Identify Online)」があるが、デバイの機種変更・紛失時にFIDO鍵の再登録が必要など、煩雑な面があった。「パスキー」は、鍵をクラウドにバックアップすることでこの問題を解消している。

パスキー(マルチデバイス対応FIDO認証資格情報)と従来FIDOとの比較(NTTデータの発表資料より)

ショーケース社情報漏えい事件

2022年10月25日、ショーケース社が不正アクセスを受けた。これにより同社サービスを利用していたECサイトから情報が漏えい。利用企業12社が被害内容や経緯を発表した。この攻撃では、「フォームアシスト」「サイト・パーソナライザ」「スマートフォン・コンバータ」の3つのサービスが不正に書き換えられ、個人情報が攻撃者のサーバへ送信された。

NTTデータでは類似ケースについて、ソフトウェアサプライチェーンの把握、相談や対処を依頼する情報セキュリティの専門会社選定、サイバー保険といった対応を、ECサイト運営者は検討すべきとしている。

攻撃の流れ(NTTデータの発表資料より)

Microsoft Exchange Serverにおけるリモートコード実行の脆弱性

通称「ProxyNotShell」と呼ばれるMicrosoft Exchange Serverの脆弱性を、ベトナムのセキュリティ企業GTSCが2022年9月に発表。サイバー犯罪者による攻撃も実際に確認された。

この攻撃は、複数の脆弱性を組み合わせることでリモートコード実行を可能とするもので、Exchange Server 2013/2016/2019が対象となる(Exchange Onlineは対象外)。Microsoftは2022年11月に修正パッチを配布した。

ProxyNotShell発見から修正パッチ公開までの時系列(NTTデータの発表資料より)

「グローバルセキュリティ動向四半期レポート(2022年度第3四半期)」は、NTTデータのサイトよりダウンロード可能。

この記事が役に立ったらシェア!
メルマガの登録はこちら Web担当者に役立つ情報をサクッとゲット!

人気記事トップ10(過去7日間)

今日の用語

クロスリスティング
株式会社クロスリスティングが提供する検索連動型広告など検索エンジンマーケティング ...→用語集へ

インフォメーション

RSSフィード


Web担を応援して支えてくださっている企業さま [各サービス/製品の紹介はこちらから]