セキュリティエンジニアが気になったニュースまとめ 2023/9/25～10/1

1 不正アクセスによるNHK従業者等の個人情報漏えいのおせれについて -NHK
2 中国を背景とするサイバー攻撃グループ BlackTech によるサイバー攻撃について（注意喚起）
3 偽の警告表示に「Ｍｉｃｒｏｓｏｆｔ」のロゴを用いて信用させ、ウイルス駆除等を行うなどと称して多額の金銭を支払わせる事業者に関する注意喚起ー消費者庁

最近話題になったセキュリティ関連のニュースから、気になるものをピックアップしてお届けします。

2023/9/26

不正アクセスによるNHK従業者等の個人情報漏えいのおせれについて -NHK

https://www.nhk.or.jp/info/otherpress/pdf/2023/20230926.pdf

NHK放送センター（東京都渋谷区）の業務用サーバー機器が外部からの不正アクセスを受け、従業者等の個人情報が漏えいしたおそれがあることが判明しました。
これらの個人情報は、23,435人の「氏名」「メールアドレス」などです。現段階で不正利用などの二次被害は確認されていません。
なお、不正アクセスを受けたサーバーには、「受信契約者情報」「取材に関する情報」は一切含まれていません。

今回は、従業員の個人情報が漏えいしたおそれがあるということでした。
しかし、受信契約者の身になるととても不安になってしまうニュースです。

2023/9/27

中国を背景とするサイバー攻撃グループ BlackTech によるサイバー攻撃について（注意喚起）

https://www.nisc.go.jp/pdf/press/20230927NISC_press.pdf

警察庁及び内閣サイバーセキュリティセンターは、米国家安全保障局（NSA）、米連邦捜査局
（FBI）及び米国土安全保障省サイバーセキュリティ・インフラ庁（CISA）とともに、下記の中国を背景
とするサイバー攻撃グループ「BlackTech」（ブラックテック）によるサイバー攻撃に関する合同の注
意喚起を発出しました。
注意喚起：People’s Republic of China-Linked Cyber Actors Hide in Router Firmware
BlackTech は、2010 年頃から日本を含む東アジアと米国の政府、産業、技術、メディア、エレクト
ロニクス及び電気通信分野を標的とし、情報窃取を目的としたサイバー攻撃を行っていることが確
認されています。
この注意喚起は、BlackTech によるサイバー攻撃の手口を公表することで、標的となる組織や事
業者に、直面するサイバー空間の脅威を認識いただくとともに、サイバー攻撃の被害拡大を防止
するための適切なセキュリティ対策を講じていただくことを目的としております。あわせて、ネットワ
ークの不審な通信を検知した際には、速やかに所管省庁、警察、セキュリティ関係機関等に情報
提供いただきますようお願いします。

海外子会社からの侵入という具体的な手口が挙げられていました。
対策としては、以下の
・セキュリティパッチの適切な実施
・セキュリティ対策ソフト導入などの端末の保護
・本人認証の強化、多要素認証の実施
・継続的な監視を行う
などがあります。
できるところから対策を行っていきたいです。

2023/9/28

偽の警告表示に「Ｍｉｃｒｏｓｏｆｔ」のロゴを用いて信用させ、ウイルス駆除等を行うなどと称して多額の金銭を支払わせる事業者に関する注意喚起ー消費者庁

https://www.caa.go.jp/notice/assets/consume_policy_cms103_230928_01.pdf

パソコンでウェブサイトの閲覧等をしていると、「Microsoft」のロゴに併せて、「Windows Defender セキュリティセンター」や「検出された脅威:トロイの木馬スパイウェア」、「Windows サポートへのお問い合わせ:(電話番号)」等の偽の警告が表示されると共に、ピーといった警告音や「コンピュータのロック解除をするにはすぐにサポートに連絡してください」などのアナウンスが流れます。
驚いた消費者が表示された電話番号に電話を架けると、「マイクロソフト」の社員等と名乗る者から、「あなたのパソコンは危険です」などと説明され、パソコンを遠隔操作されてインターネットバンキング(以下「ネットバンキング」といいます。)により多額の送金等をしてしまったなどという相談が、各地の消費生活センター等に数多く寄せられています。
消費者庁が調査を行ったところ、上記行為を行う事業者が、消費者の利益を不当に害するおそれのある行為(消費者を欺く行為)を行っていたことを確認したため、消費者安全法(平成21年法律第50号)第38条第1項の規定に基づき、消費者被害の発生又は拡大の防止に資する情報を公表し、消費者の皆様に注意を呼びかけます。
また、この情報を都道府県及び市町村に提供し、周知します。

自身のPCから急にピーという警告音が発せられたら、さすがに動揺して正常な判断が出来なくなってしまいそうです。
このような注意喚起の情報を日々取得することで、冷静な対処ができるようにしたいです。

まとめのまとめ

皆さん「〇〇の秋」といえば、何を思い浮かべますでしょうか。
私はもっぱら「読書の秋」と「食欲の秋」なのですが、『セキュリティの秋』なんて言葉が流行ったりしないですかね。
年末年始に向け、セキュリティ意識を高めるためにもいいと思うのですが..。

担当：OS

不正アクセスによるNHK従業者等の個人情報漏えいのおせれについて -NHK

中国を背景とするサイバー攻撃グループ BlackTech によるサイバー攻撃について（注意喚起）

偽の警告表示に「Ｍｉｃｒｏｓｏｆｔ」のロゴを用いて信用させ、ウイルス駆除等を行うなどと称して多額の金銭を支払わせる事業者に関する注意喚起 ー消費者庁

偽の警告表示に「Ｍｉｃｒｏｓｏｆｔ」のロゴを用いて信用させ、ウイルス駆除等を行うなどと称して多額の金銭を支払わせる事業者に関する注意喚起ー消費者庁