2022年度3Qのセキュリティ動向、「パスキー」「ショーケース漏えい事件」などを分析【NTTデータ調べ】

NTTデータは、「グローバルセキュリティ動向四半期レポート（2022年度第3四半期）」を発表した。2022年10月～12月におけるセキュリティ関連の動向を分析した内容。

2022年10月～12月のサイバーセキュリティトピックを網羅

今回のグローバルセキュリティ動向四半期レポートでは、「ISMAP-LIU（ISMAP for Low-Impact Use）制度」「パスキー対応の本格化」、さらに「ショーケース社情報漏えい事件」や「Microsoft Exchange Serverにおけるリモートコード実行の脆弱性」が注目トピックとして採り上げられている。

ISMAP-LIU（ISMAP for Low-Impact Use）制度

リスクの小さな業務・情報の処理に用いるSaaSサービスを対象とした制度「ISMAP-LIU」を、2022年11月1日からデジタル庁が開始。ISMAPよりコスト削減が見込める一方で、内部監査の報告が必須で、社内に監査を実施できる人員・体制が必要だ。

パスキー対応の本格化

将来的なパスワードレス認証の拡大を視野に、Apple、Google、Microsoftの3社はマルチデバイス対応FIDO認証資格情報、通称「パスキー」を提供すると2022年5月に発表した。現在パスワードレス認証では、国際標準規格の「FIDO（Fast Identify Online）」があるが、デバイの機種変更・紛失時にFIDO鍵の再登録が必要など、煩雑な面があった。「パスキー」は、鍵をクラウドにバックアップすることでこの問題を解消している。

ショーケース社情報漏えい事件

2022年10月25日、ショーケース社が不正アクセスを受けた。これにより同社サービスを利用していたECサイトから情報が漏えい。利用企業12社が被害内容や経緯を発表した。この攻撃では、「フォームアシスト」「サイト・パーソナライザ」「スマートフォン・コンバータ」の3つのサービスが不正に書き換えられ、個人情報が攻撃者のサーバへ送信された。

NTTデータでは類似ケースについて、ソフトウェアサプライチェーンの把握、相談や対処を依頼する情報セキュリティの専門会社選定、サイバー保険といった対応を、ECサイト運営者は検討すべきとしている。

Microsoft Exchange Serverにおけるリモートコード実行の脆弱性

通称「ProxyNotShell」と呼ばれるMicrosoft Exchange Serverの脆弱性を、ベトナムのセキュリティ企業GTSCが2022年9月に発表。サイバー犯罪者による攻撃も実際に確認された。

この攻撃は、複数の脆弱性を組み合わせることでリモートコード実行を可能とするもので、Exchange Server 2013／2016／2019が対象となる（Exchange Onlineは対象外）。Microsoftは2022年11月に修正パッチを配布した。

「グローバルセキュリティ動向四半期レポート（2022年度第3四半期）」は、NTTデータのサイトよりダウンロード可能。