サイバーセキュリティ最前線 第1回 終わらない戦い、サイバー攻撃に備えるための最新情報

実際のところ、現状ではセキュリティ担当者が全てのソフトウエアおよびハードウエアのアップデートを正確にモニタリングし、それを適時に適用することは困難だ。大規模な組織においては管理すべきシステムやデバイスが膨大であり、それらを網羅的に監視することは簡単ではない。中小企業ではセキュリティ担当者が存在していないこともある。その結果、重要なアップデートが見落とされ、脆弱性が放置されるリスクが高まっている。

そこで本連載では、セキュリティ担当者が不足している現実を踏まえ、1週間ごとに最新の脆弱性情報や脅威情報を簡潔にまとめて提供する。サイバーセキュリティに関する知識を常にアップデートし効果的な対策を講じることで、セキュリティの強化を支援することが目的だ。セキュリティ担当の方などにご活用いただければ嬉しく思う。

セキュリティの課題解決のヒントになるホワイトペーパーはこちら

9/30～10/6 の最新サイバーセキュリティトピックス

9/30～10/6の間にも、全方位にわたって新しいサイバーセキュリティ情報が報告されている。その中でもまず、セイコーエプソンの複数の製品にセキュリティ脆弱性が報告された件を確認してほしい。今回はこれ以外にも注目しておきたいサイバーセキュリティ情報について紹介。また、今後取り上げるジャンルなども説明する。
○393のセイコーエプソン製品に「重要」な脆弱性、ただちに確認と対処を

セイコーエプソンの複数の製品にセキュリティ脆弱性が報告された。

セイコーエプソンの393製品に脆弱性、デバイスを乗っ取られる可能性 | TECH+（テックプラス）

セキュリティ脆弱性の深刻度は共通脆弱性評価システム（CVSS：Common Vulnerability Scoring System）v3のスコア値で8.1であり「重要」と評価されている。そしてこの発表は対象となる製品が393製品とかなりの数に上る点に注意が必要だ。セイコーエプソンの製品を使っている場合には一覧に使用している製品がないか確認するとともに、指示に従って対応することが望まれる。

業務で広く使われている電子デバイスのセキュリティ脆弱性情報は頻繁に公開されており、毎回確実にチェックして対策を取りたい。特にルーターのような外部からの侵入を許しかねないデバイスの脆弱性については迅速に対応する必要がある。

製造業などで使われることが多い運用・制御技術（OT：Operational Technology）/モノのインターネット（IoT：Internet of Things）関係の脆弱性情報も頻繁に公開されているが、これらは直接の関係者数がそれほど多くないためか、メディアに取り上げられることは少ない印象を受ける。製造業においてサイバーセキュリティを担当している場合には、こうした脆弱性についても注目しておきたい。日本であれば情報処理推進機構（IPA：Information-technology Promotion Agency, Japan）やJPCERTコーディネーションセンター（JPCERT/CC：Japan Computer Emergency Response Team Coordination Center）、世界的には米国国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁（CISA：Cybersecurity and Infrastructure Security Agency）の提供する情報は確実に押さえておこう。
○フィッシング詐欺：JCB をかたるフィッシング