最新の注目ニュースをまとめてチェック！【2024年11月17日週】

NCSCによるセキュリティガイダンスが公開

NCSCは、企業の取締役会や役員層がサイバーセキュリティをビジネスリスクとして認識するためのガイダンスを発表した。

取締役会とセキュリティ担当者の間には認識のギャップがあり、サイバーセキュリティ担当者・専門家が直接コミュニケーションを取る機会が少ないため、適切な対策が進まないという問題が発生している。

NCSCは、取締役会に「教育」ではなく「助言」を提供し、シンプルで一貫した説明を通じてリテラシー向上を図ることが重要だとしている。

▼詳細はこちらをチェック！

組織一丸のリテラシー向上を。NCSCによるセキュリティガイダンスが公開

PAN-OSの脆弱性を悪用したサイバー攻撃について JPCERT/CCが注意喚起

11月19日、Palo Alto Networks社が提供する「PAN-OS」の管理インターフェースに存在する複数の脆弱性（CVE-2024-0012、CVE-2024-9474）を悪用した攻撃活動が確認されたことを受け、JPCERT/CCは注意喚起を実施した。

Palo Alto Networks社によれば、この脆弱性は限定的ではあるものの、影響を受けた場合、製品上でコマンド実行やWebshellの設置が行われる可能性があるため、注意が必要であるとしている。すでに修正パッチが提供されていることから、対象OSを利用している場合は、迅速な適用が推奨される。

Apple社、「macOS」向けのセキュリティアップデートを配布

11月19日（現地時間）、Apple社は最新OS「macOS Sequoia 15.1.1」をリリースした。

今回のセキュリティアップデートでは、JavaScriptエンジン「JavaScriptCore」における任意コード実行の脆弱性（CVE-2024-44308）と、Cookie管理の不備によるクロスサイトスクリプティング（XSS）の脆弱性（CVE-2024-44309）の2件が修正されている。

これらの脆弱性を悪用されると、任意のコードが実行される可能性があるため、利用されている場合は速やかな適用が推奨される。

研究室サーバで不正アクセス被害、学生データが流出の可能性

ある大学は、研究室のサーバーが不正アクセスを受け、在学生および卒業生150名以上の個人情報が流出した可能性があると発表した。

同大学によれば、研究室のサーバーで不正アクセスが確認された後、教員のアカウントが乗っ取られ、不正ログインが行われたことが判明したという。被害を受けたサーバーには、氏名、住所、電話番号などの個人情報が保存されており、流出の可能性があるとしている。

問題が発覚した後、同大学は研究室のネットワークを停止し、関係者のアカウントのパスワードを変更したとのこと。また、サーバーや端末のマルウェア感染の有無を調査しており、現時点では個人情報の不正使用は確認されていないとしている。

Microsoftへのなりすましメールが巧妙化。その対策とは

最近、偽のMicrosoftメールによるサイバー攻撃が増加している。これらのメールは非常に巧妙に作られており、従来のフィルタリングでは対処が難しいことから問題視されている。

これに対し、AIを活用した新しいメールセキュリティサービスが開発されており、偽メールと本物のメールを区別する能力が向上している。また、対策の一部としてユーザーのセキュリティリテラシー向上も重要となっている。

▼詳細はこちらをチェック！

本物そっくりの「偽」Microsoftメール。ユーザー保護に有効なメール無害化対策は？

Apache Traffic Serverに複数のセキュリティ上の問題

キャッシュ機能を備えたリバースプロキシサーバ「Apache Traffic Server（ATS）」に複数の脆弱性が確認され、開発チームは最新版への更新を呼びかけている。

特に深刻とされる脆弱性として、起動時に権限が適切に解放されない「CVE-2024-50306」（CVSSv3.1スコア：9.1）や、キャッシュキーの検証不備によりキャッシュポイズニング攻撃が可能となる「CVE-2024-38479」（CVSSv3.1スコア：7.5）などが報告されている。

開発チームは、これらの脆弱性に対処するため、2024年11月13日および14日にバージョン10.0.2および9.2.6をリリースした。該当バージョンを使用しているユーザーは、速やかに最新バージョンへのアップデートを実施することが強く推奨される。

元従業員による個人情報の不正流用が発覚―人材派遣会社

とある人材派遣会社で、元従業員が同社のサービス登録者や取引先の個人情報を不正に持ち出し、転職先企業に提供していたことが判明した。

同社によると、影響を受けたのは1,300名分を超える個人情報で、氏名、住所、電話番号、生年月日、メールアドレス、勤務先の会社名や部署名などが含まれているという。

事態が発覚したきっかけは、登録者から「元従業員から直接連絡があった」との報告を受け、同社が調査を進めた結果、元従業員が在職中に個人情報を持ち出していた事実が確認された。

再発防止策として、退職者によるデータの不正持ち出しを防ぐためのログ監視の強化やセキュリティ対策の見直しを進めるとともに、従業員教育の徹底を図るとしている。

HSSEDI、「2024年版危険なソフトウェア脆弱性タイプトップ25（CWE Top 25）」を発表

サイバーセキュリティや技術研究を支援するアメリカの非営利組織 MITERが運営する国土安全保障システム技術開発研究所（HSSEDI）は、「2024年版危険なソフトウェア脆弱性タイプトップ25（CWE Top 25）」を発表した。このランキングは、2023年6月1日から2024年6月1日までの1年間に公開された31,770件のCVEデータベースを基に、脆弱性の「共通弱点タイプ（CWE）」を分析・集計したもの。

ランキングの上位には、前回に引き続き「クロスサイトスクリプティング（CWE-79）」や「バッファオーバーフロー（CWE-787）」が含まれている。一方で、これまで順位があまり高くなかった「コードインジェクション（CWE-94）」や「権限管理の不備（CWE-269）」といったタイプが急上昇している。