FortiGateの脆弱性、iPhoneの「BlastDoor」回避のゼロクリック攻撃などを報告

　レポートは、この時期に実施された東京2020オリンピック・パラリンピック競技大会から見たサイバー攻撃の動向とともに、悪用による被害報告が続いているFortiGateの脆弱性、iPhoneの「BlastDoor」も回避するゼロクリック攻撃などをとり上げた。

　同時に、この四半期もECサイト構築ツール「EC-CUBE」を利用したECサイトでWebスキミング被害が多発。脆弱性を放置したままで改ざんに気づかないサイトが現状でも存在すると想定され、EC-CUBEに関連するECサイトのインシデントの公表が継続すると予想している。

東京オリ・パラで運営に影響はしなかったが多くのサイバー攻撃が発生

　東京オリ・パラでは、大会運営に影響があるようなサイバー攻撃は起こらなかったが、多くのサイバー攻撃が発生した。大会組織委員会などの主催組織本体を狙った攻撃の一方で、システムの依頼先などのサプライチェーンや観戦者といった周辺のステークホルダへのサイバー攻撃も発生し、個人情報の漏えいなどのインシデントもあった。

　コロナ禍での行動変化や世の中のサイバー攻撃の流行が、周辺のステークホルダへの攻撃に移った一因とし、間近に迫った北京オリ・パラでも、東京と同様に、ステークホルダを狙ったフィッシング攻撃やサプライチェーン攻撃が行われると推測している。

　さらに、スパイウェア「Pegasus」を使ったiPhoneへのゼロクリック攻撃にも言及。攻撃者は、iPhoneに含まれる脆弱性を悪用して、処理領域外へのメモリアクセスを可能にすることでPegasusをインストールし、端末内の情報を盗聴していた。iOS 14で実装されたセキュリティ機能である「BlastDoor」や、既存のiOSの脆弱性悪用防止の仕組みを回避していることが判明している。iPhoneをiOS 14.8以降にアップデートすることで脆弱性を修正できる。

EC-CUBEの脆弱性で被害発生

　攻撃者の本来の目的は、Pegasusを使って特定の活動家を密かに継続的に監視すること。広範な標的を攻撃すると、誰かが攻撃に気づいて攻撃方法を解析して検知できるようになってしまうため、目的にそぐわなくなる。一般利用者を攻撃することはなく、すでに発見されて対策も提供済みのため、アップデートを実施すれば被害は拡大しないとした。

　EC-CUBEのクロスサイトスクリプティングの脆弱性については、21年度第1四半期のレポートでも取り上げて注意を促したが、第2四半期でも、EC-CUBEを利用したECサイトでWebスキミングの被害が継続して発生していた。EC-CUBEの脆弱性は、21年5月と6月に7つ発見され、今後も、まだ新しい脆弱性が発見されるおそれがある。

　7月～9月のEC-CUBEを利用したECサイトのインシデント事例（公表日・サイト名・運営会社）は、（1）7/6 Hoick （株）ソングブックカフェ／(2) 7/12 コスモスオンラインストア （株）コスモス薬品／（3）7/13 TRANSIC TRANSIC（株）／（4）7/14 よみファねっと （株）読売情報開発大阪／（5）7/20 ECサイトプロショップ匠 （株）キャンディルデザイン／（6）7/21 毎日元気公式ショッピングサイト （有）毎日元気／（7）7/26 KQLFT TOOLS （株）SONS-MARKET／（8）8/16 FUKUYAONLINE （株）フクヤ／（9）8/18 THE HAIR BAR TOKYO オンラインストア ギャップインターナショナル（株）／（10）8/23 コマキ楽器WEBサイト （株）コマキ楽器／（11）9/7 たち吉オンラインショップ （株）たち吉／（12）9/14 伊勢せきやオンラインショップ （株）関谷食品 ／（13）9/16 オムニECシステム （株）ジーアールとなっている。