クラウドセキュリティを軽視しない～「クラウドを使えばセキュリティとデータ保護に関するすべての責任を移譲できる」みたいな甘い話は存在しない～

クラウドコンピューティングは便利になったが、問題がなくなったわけではない。クラウドアプリケーションのサイバーセキュリティ計画に不備があり、たとえば単純なパスワードを使用できるようにしている場合や、多要素認証を使用しない場合、パッチやアップデートを適用しない場合は、攻撃に対して無防備になるおそれがある。

サイバーセキュリティの管理は、以前から多くの企業とその経営陣にとっての課題だった。そこにクラウドが加わったことで、多くの企業において、脅威にさらされる可能性のある領域が広がり、複雑さが増している。

これが特に当てはまるのは、クラウドサービスに関して自社のサイバーセキュリティの責任を認識さえしていないような”ザンネン”な組織だ。

”ザンネン”な組織は「いったん設定したら忘れていい」と考えていたり、「クラウドを使えばセキュリティとデータ保護に関するすべての責任を移譲できる」という考えが多いらしい。

しかし、これらの組織は今も多くの責任を負っており、適切な環境を整えて、クラウドを正しく設定し、きちんと保護されていないデータが「徘徊する」のを防ぐために、対策を実施しなければならない。

クラウドサービスの設定と保護に対する理解が不十分だと、機密情報が公開されたままになるおそれがある。さらには、オープンインターネットに直接公開されて、悪意あるサイバー犯罪者を含むあらゆる人の目に触れることにもなりかねない。

これは単なる理論上の問題ではなく、クラウド環境の設定ミスによって機密情報が公開されてしまう事例が頻繁に発覚している。

企業はクラウド環境を完全には理解していない。専門知識とスキルセットが不足しているため、一連の適切なセキュリティ制御を特定して実施し、クラウド運用を保護するのは難しい。

クラウドセキュリティを完全に無視しているように思える企業もある。その原因として考えられるのは、理解不足、スキルと専門知識の欠如、企業イニシアチブの競合に起因する時間的な制約、主要ツールに投資する予算の制約などだ。

しかし、クラウドセキュリティは無視してよいものではない。クラウドのアプリケーションやサーバーを使用しているなら、セキュリティ対策は必須だ。何と言っても、サイバー犯罪者やその他の悪意あるハッカーは、保護が不十分なサービスがないか目を光らせて、それを悪用して比較的少ない労力でネットワークにアクセスしようとしている。

たとえば、クラウドアプリケーションスイートを電子メールやドキュメント管理などの日常業務に使用する企業と従業員が大幅に増加している。これは従業員にとって有益だが、それらのアカウントが適切に保護されていなければ、攻撃者に簡単に侵入されてしまうおそれがある。

自社のクラウドセキュリティ戦略をしっかり把握していないと、情報セキュリティチームが不審な活動の初期の兆候を簡単に見逃していまい、手遅れになるまで気づけず、その頃にはすでに情報が盗まれているか、ネットワークがランサムウェアによって暗号化されているかもしれない。

クラウドサービスのサイバーセキュリティ防御を強化するために、情報セキュリティチームが実行できる追加の手順もある。たとえば、多要素認証を全ユーザーに展開するという対策だ。これを実施すれば、攻撃者が正しいパスワードを持っていたとしても、そのログイン試行が正当なものであることを確認する必要があるため、悪質な侵入を発生前に阻止して検出する機会が得られる。

IDアクセス管理と、権限を持つ関係者しかネットワークのデータシステムサービスにアクセスできないようにする機能は、本当に重要だ。重要なアカウントや重要なサービスでの多要素認証といった基本的なことを考慮しても、それらの機能は広い範囲で必要性が高まっている。

また、ソフトウェアがクラウドベースであるからといって、セキュリティパッチやアップデートが不要というわけではない。クラウドソフトウェアのセキュリティアップデートが提供されたら、できるだけ早く適用すべきだ。特に、サイバー犯罪者もその脆弱性を把握しており、全力で悪用しようとしているため、早期の適用が望ましい。そのためには、適切なクラウドベンダーを選ぶことが重要だ。

優良クラウドサービスプロバイダーは、自社製品のセキュリティ脆弱性を認識したら、できるだけ早く顧客にパッチを提供し、エクスプロイトを悪用する攻撃から保護された状態を維持する最大限の機会を得られるようにしている。ただ、それは顧客がアップデートを遅れずに適用する場合の話だ。

しかし、クラウドサービスプロバイダーの選択によって、クラウドセキュリティ戦略全体に大きな違いが生まれる可能性がある。多くのベンダーは対応が早く、クラウドソフトウェアの問題に関するアップデートや修正を迅速に提供するが、そうでないベンダーもある。契約書に署名する前に、そのベンダーが前者なのか後者なのかを見極めることが重要だ。

サービスの料金が非常に安くても、定期的なパッチ提供や攻撃対象領域の監視をしないクラウドプロバイダーは、選択する意味がない。結局のところ、漏えいのおそれがあるのは利用企業のデータだからだ。

クラウド関連のサイバーセキュリティ戦略を策定しても、それで終わりではない。クラウドサービスを最初に使い始めたときと同じように、セキュリティを無視して何も起きないことを祈る、というわけにはいかない。サイバーセキュリティは常に進化しており、新たな脅威が次々と出現する。ネットワークとユーザーを可能な限り安全に保護するために、新しい戦略を適用する必要がある。

出典：クラウドセキュリティを軽視しない--不十分な保護が招く多大なリスク -

日経メディカル Online への不正アクセスについて 2022年6月24日 株式会社日経BP

株式会社日経BPが運営する医療従事者専門サイト「日経メディカル Online」（https://medical.nikkeibp.co.jp/）において、2022年6月24日にお知らせした不正アクセスに関連して、6月28日以降に海外のIPアドレスからのサイバー攻撃があり、４千件を超える会員登録情報の一部が盗まれた可能性があることが判明しました。

会員の皆様をはじめ、関係者の皆様に多大なご迷惑およびご心配をおかけする事態が続いておりますことを深くお詫び申し上げます。これ以上の不正アクセスを阻止するため包括的な対策を講じるとともに、一刻も早く原因を究明し、再発防止策をご案内させていただきます。

●サイトの一時停止とパスワードの初期化

会員の皆様の情報を守ることを最優先に、本日午後からメディカルOnlineのサイトを一時停止し、88万人の全会員の皆様のパスワードを初期化させていただくことに致しました。パスワードの初期化が完了した後、サイトを速やかに再開いたしますので、会員の皆様には誠にご迷惑をおかけしますが、パスワード（初期化前に比べて文字数や文字種類を増やして複雑さを高めたもの）の再設定をお願いいたします。パスワードの再設定後はメディカルOnlineのサービスを引き続きご利用いただけるようになります。

また、6月24日に本欄でお知らせした不正アクセスのうち少数について、会員登録情報の一部が書き換えられていたこともわかりました。被害拡大を防ぐため、これまでの電子ギフトコードの表示画面停止に加え、登録情報の変更画面なども停止させていただくことと致しました。万一、電子ギフトコードが不正利用されてしまった場合に備え、補償させていただく方法を検討しております。ご不便をおかけする状況が続いており、大変申し訳ございません。一時停止した機能については、不正アクセスの対応が完了し次第、再開させていただきます。

●今後の対応と会員の皆様へのお願い

弊社では、本件を個人情報保護委員会に報告するとともに、捜査当局や専門調査機関とも協力し、事態解明と被害阻止に向けた対策を急いでおります。今後、セキュリティ体制のさらなる強化を図り、情報管理の徹底に努めてまいりたいと存じます。

プレスリリース（アーカイブ）

沖縄県電子申請サービスのヘルプデスクを利用した方のメール情報流出の恐れについて 2022年7月1日 沖縄県

2022年7月1日、沖縄県電子申請サービスの受託事業者より、ヘルプデスク業務にて利用しているパソコンがマルウェア（Emotet）に感染し、メール情報流出の恐れがあるとの連絡がありましたので、お知らせします。

1. 流出した可能性のある情報
   2022年3月10日から6月8日までに、沖縄県電子申請サービスのヘルプデスクあてにメールにて問い合わせした情報（メールアドレス、問い合わせ内容）
   件数：2,312件（うち、沖縄県電子申請サービス関係52件）
   
   
2. 現時点で判明している不審メール件数
   7団体9件
   ※現時点で沖縄県電子申請サービス関係での不審メールは確認されていません
   
   
3. 不審メールの一例
   差出人：（表記は「電子申請サービスコールセンター」）
   　（正規：*******@s-kantan.jp<*******@s-kantan.jp>）
   　不審メール：*******@s-kantan.jp<xxx@xxx.xxx.xxx>
   　　　　　　　　　　　　　　　　　　　　　↑第三者のアドレス
   件名：RE:（過去にやり取りしたメールの件名）
   本文：過去の問い合わせ内容を流用したり、本文が文字化けしている場合があります。
   　zipなどのファイルが添付されている場合があります。
   
   
4. お願い
   上記のような@s-kantan.jpを騙る不審なメールを受け取られた方は、絶対に添付ファイルやメール本文中のURLをクリックせず、メールを削除してください。
   
   
5. 今後の対応
   沖縄県電子申請サービスヘルプデスクから、該当するメール送信者あて、お詫びと不審メールを開かないよう注意喚起を行います。

沖縄県プレスリリース（アーカイブ）

NTTデータ関西プレスリリース（アーカイブ）

「ぐんま電子申請受付システム」ヘルプデスクの 運営事業者によるメール情報流出事案について 2022年7月1日 群馬県

本県と県内２７市町村（※）は、インターネットを通じて様々な申請等が行える「ぐんま電子申請受付システム」を共同利用しておりますが、そのヘルプデスク（コールセンター業務）を運営している事業者（(株)NTT データ関西）が使用しているパソコン 1 台がマルウェア「Emotet（エモテット）」に感染したことにより、利用者のメールアドレス等が流出しました。

このことにより、同ヘルプデスクを装った第三者からの不審なメールが発信されている事実が判明しました。不審なメールを受信された場合は、添付ファイルやメール本文の URL を開かず、メールを削除していただくようお願いします。

（※）前橋市、高崎市、太田市、館林市、渋川市、藤岡市、安中市、みどり市、吉岡町、上野村、神流町、下仁田町、南牧村、甘楽町、中之条町、長野原町、嬬恋村、草津町、高山村、東吾妻町、片品村、川場村、昭和村、みなかみ町、板倉町、明和町、邑楽町

群馬県プレスリリース（アーカイブ）

NTTデータ関西プレスリリース（アーカイブ）

ウイルス感染メールのご注意とメールアドレス変更のお知らせ 2022年7月1日 和泉書院

このたび、弊社の使用するパソコン 1 台が「Emotet（エモテット）」というウィルスに感染し（駆除済み）、当該パソコンのメールアドレスなどの漏えいが原因と考えられる不審・なりすましメール送信が発生しましたので、メールアドレスを下記に変更し、旧メールアドレスの送信を停止いたしました。

不審・なりすましメールの内容

１、不審・なりすましメールは、差出人として弊社・弊社社員の名前だけでなく、関係者・知人の個人名・会社名を騙っている。

２、「正規メールへの返信や転送を装った」メールがある。

３、複数回送信されてくる（10 回以上の場合もある）。

４、未だ送信は止まっておりません。

５、期日を空けて送られることもある。

不審・なりすましメールの対応

少しでも不審なメールは、添付ファイル並びにメール内に記載の URL を開かず、メール自体を削除して下さい。

再発防止に向けて

社として従業員に不審・なりすましメールに対する注意喚起を徹底すると共に、セキュリティ対策のさらなる強化を図ってまいります。

皆様には、大変なご迷惑をおかけいたしましたこと、深くお詫び申し上げます。 

プレスリリース（アーカイブ）

防災局メルアカ乗っ取り被害、スパムの踏み台に - 新潟県

新潟県防災局危機対策課のヘリコプター管理事務所で利用するメールアカウントが何者かに乗っ取られ、スパムメールを送信するための踏み台に悪用されたことがわかった。同県では、被害状況や原因などを調べている。

同県によれば、同事務所で利用するメールアカウントが乗っ取られ、外部に迷惑メールが送信された痕跡があることが、2022年6月30日に判明したもの。問題のメールは「HELLO!DEAR!GOOD NEWS TO YOU,」といった件名で送信されており、メールの本文は英文で記載されていた。

メールアドレスは、同県ドメインによるものではなく、プロバイダより貸与されたものだが、以前よりおもに関係機関との連絡で公的に用いていたという。同県では、メールが送信された日時、件数、個人情報の流出状況などを調べている。

また不正アクセスを受けたメールアカウントに関しては、脆弱なパスワードを利用していたことが明らかとなっており、原因についてもくわしく調査している。

同県では、メールアカウントのパスワードを変更するとともに、メールでやり取りがあった関係者に注意喚起を実施。また「新潟県消防防災航空隊」や同事務所のメールアドレスより着信したメールについて注意するよう広く呼びかけている。

プレスリリース（アーカイブ）

出典：防災局メルアカ乗っ取り被害、スパムの踏み台に - 新潟県

電子申請サービス受託事業者のヘルプデスクパソコンのウイルス感染に伴うメール情報の流出及び不審メールの発信について 2022年7月1日 広島県

１　事案の概要

広島県・市町電子申請サービスを運営する受託事業者（（株）ＮＴＴデータ関西）のヘルプデスクで使用しているパソコン８台のうち１台がマルウェア（Emotet）に感染し，当該パソコンに保存されていた送受信メール情報が流出しました。

現在，ヘルプデスクを装った第三者からの不審なメールの発信が確認されています。

　（現時点で判明している不審メールは，複数件。広島県関係はない。）

２　流出した可能性のある情報等

令和４年３月10日から６月８日までに，メールでヘルプデスクに問い合わせを行った方のメールアドレス，問い合わせ内容

件数：2,312件。うち，広島県関係33件。

※ヘルプデスクへ送信された問い合わせメール内容の流出であり，広島県・市町電子申請サービスで申請された申請データの漏洩ではありません。ネットワークで切り離されており，同サービスへの影響はありません。

３　経緯（受託業者からの報告による）

日　付	内容
５月20日	受託事業者においてヘルプデスクに届いた不審メールの添付ファイルを実行し，マルウェアに感染。アンチウイルスソフトによって検知されず。
６月６日	ヘルプデスクアドレスをかたった不審メール１件の申告を受託事業者が受領。以降，複数の利用団体から不審メールの申告を受託事業者が受領。
６月８日	受託事業者においてアンチウイルスソフトによりマルウェアを無害化。
６月23日	業務パソコン１台が過去にマルウェア感染していた痕跡を検出し，５月20日に感染したことが判明。
６月29日	当該パソコンから情報流出したメール（2,312件）を特定。
７月１日	受託事業者から広島県に連絡あり。受託事業者がお詫びと注意喚起を実施。

４　県民の皆様へのお願い事項

 

該当期間にヘルプデスク（help-shinsei-hiroshima@s-kantan.com）にお問い合わせをいただいた方に，不審なメールが届く可能性があります。

　〇　心当たりのないメールは開かないでください。

　〇　コールセンターからのメールであっても，不用意に添付ファイルを開いたり，URLリンクをクリックしないでください。

　不審なメールの一例

これ以外にも類似したパターンで発信されている可能性があります。

差出人 ：第三者のメールアドレス（表記は受託事業者ヘルプデスク） 　正規： ******* @s-kantan.jp <******* @s-kantan.jp > 　不正： ******* @s-kantan.jp <xxx@xxx.xxx.xxx> 　↑第三者のアドレス 件名    ： RE:（過去にやり取りしたメールの件名）　 添付ファイル ： zipファイルが添付されていることが多い

広島県プレスリリース（アーカイブ）

NTTデータ関西プレスリリース（アーカイブ）

個人情報（メールアドレス等）の流出について 2022年7月1日 熊本県

県及び市町村が利用する電子申請受付サービスを提供する株式会社ＮＴＴデータ関西から、個人情報が流出する事案が発生しました。（県委託事業者）

電子申請受付サービス（本県を含め26県が利用）に付随するヘルプデスクサービスを利用された県内利用者のメール（75件）が流出した可能性があります。​

1 事案の概要

・令和4年5月20日、株式会社ＮＴＴデータ関西（以下「ＮＴＴデータ関西」という。）が管理するヘルプデスクサービスを提供するパソコンがマルウェア（悪意のあるプログラム）であるEmotet（エモテット）に感染しました。

・令和4年3月10日から6月8日までの、お問い合わせメールが全国で2，312件流出した可能性があります。また、一部、ヘルプデスクサービスを装った第三者からの不審なメールが発信されています。

・本県（市町村含む）を含む26県が利用している電子申請受付サービスに付随する

ヘルプデスクサービスであり、上記のうち、本県（市町村含む）の電子申請に関係す

るお問い合わせ75件（69メールアドレス）が流出した可能性があります。

2 経緯

 

5月20日（金曜日）	ＮＴＴデータ関西がヘルプデスクサービスに届いた不審メールの添付ファイルを実行し、マルウェアに感染。 ※この時点ではアンチウィルスソフトで検知されず。
6月 6日（月曜日）	ＮＴＴデータ関西がヘルプデスクサービスを装った不審メール（なりすまし）が発生していることを確認。
6月23日（木曜日）	ＮＴＴデータ関西のパソコン1台のマルウェア感染を検出。
6月29日（水曜日）	ＮＴＴデータ関西が流出した可能性のあるメールを特定し、本県を含む各県に連絡。

3 流出した情報

・メール送信日時、メールアドレス、メール件名、メール本文、添付ファイル

　※メール本文には、個人の氏名、所属、住所、電話番号、Fax番号等が含まれるものがあります。

　※添付ファイルは、マイナンバーカード表面（マイナンバーは記載されていない）や運転免許証のコピーなどがあり、生年月日や顔写真などの情報が含まれます。

4 現時点で判明している不審メール

・システムを利用している団体のうち、7団体の名前をかたり、9件の不審メールが確認されています。（熊本県関係は含まれていない。）

【不審メールの例】

　(1)メール送信元：第三者のメールアドレス（表記は電子申請ヘルプデスク）

　　正規：xxxxxxx@s-kantan.com< xxxxxx@s-kantan.com>

　　不正：xxxxxxx@s-kantan.com＜xxxxxx@xxx.xxx.xxx>

　(2)件名：過去にヘルプデスクサービスに問合せたメール件名

　(3)本文：過去の問合せ内容を流用していたり、文字化け（？の羅列など）している場合があります。

　(4)添付ファイル：ZIPファイル等が添付されている場合があります。絶対に開かず、メールを削除してください。

5 現時点での対応状況

・流出したメールの該当者には事案の内容とお詫びのメールをお送りしています。

・今後、該当者からのお問い合わせに丁寧に対応して参ります。

・マルウェアに感染したパソコンは隔離済みであり、現時点で本事案による被害などの情報は寄せられておりません。

・ヘルプデスクサービスのパソコンと電子申請受付サービス本体はネットワークとして切り離されており、電子申請受付サービスへの影響はありません。

・ＮＴＴデータ関西に対して、社員への再発防止研修及び再発防止策の実施について指示しました。

熊本県プレスリリース（アーカイブ）

NTTデータ関西プレスリリース（アーカイブ）