週間情報通信ニュースインデックスno.1371 2023/3/25


1.東海国立大学機構がランサム被害、原因は2カ月前のファイアウオール設定変更(3.24 日経XTEC)
東海国立大学機構は2022年10月、ランサムウエア被害に見舞われた。攻撃を受けたのは、学生や職員のアカウント情報を管理するサーバーだった。氏名や生年月日など計4万815件の個人情報が流出した可能性がある。原因は2022年8月に実施したファイアウオールの設定変更時のミスだった。全アカウントのパスワード変更を含め、サーバーの再構築作業に追われた。

 「パスワードが変更できない」―─。東海国立大学機構でランサムウエア(身代金要求型ウイルス)攻撃の被害が発覚したきっかけは、2022年10月17日の午後に職員から寄せられた1件の問い合わせだった。情報システムの運用などを手掛ける情報環境部の担当者が調査したところ、学生や職員のアカウントを管理する「機構統合認証システム」の一部に対する不正アクセスが判明した。

 東海国立大学機構は、名古屋大学と岐阜大学が統合して2020年4月に発足した国立大学法人である。機構統合認証システムでは2022年5月以降に岐阜大学に所属していた、または所属中の教職員、並びに2021年7月以降に名古屋大学に所属していた、または所属中の学生と教職員のアカウントとひも付いた個人情報を管理していた。これら学生や教職員の氏名や性別、生年月日、学生番号・職員番号、メールアドレス、アカウントの認証パスワード(暗号化された状態)など、計4万815件の個人情報が流出した可能性がある。

 外部からランサムウエアの侵入を許した原因は2カ月前に実施した作業におけるファイアウオールの設定ミスだった。業務の継続に影響はなかったとするが、全アカウントのパスワード変更を含め、サーバーの再構築が完了したのは2022年12月1日だった。

攻撃者のものと思われる連絡先へすぐさま連絡するよう要求する脅迫文も残っていた。事の重大性に気付いた情報環境部の担当者は、上長を通じてCISO(最高情報セキュリティー責任者)の武田一哉機構長補佐名古屋大学副総長に報告。武田機構長補佐の指揮の下、サイバー攻撃のインシデント対応などを務める情報連携統括本部や情報環境部の職員など約20人で構成するインシデント対応チームを同日中に結成した。同チームにはシステム開発に携わった外部ベンダーの担当者を入れなかった。

 同チームが調査した結果、攻撃者の侵入を許した原因はファイアウオールの設定ミスだった。2022年8月に実施した設定変更作業の際に生じたものだ。ファイアウオールは通常、明示的に許可しなければ外部からのアクセスを拒否する仕様になっているが、東海国立大学機構が利用していた機器は「デフォルト設定がアクセス拒否ではなく、アクセス許可となっている機器だった。作業者がデフォルト設定をアクセス拒否と誤認してしまったため、設定ミスが生じた」(武田機構長補佐)と主張している。

2.エリクソンとメディアテック、FDDとTDDのCAで5G下り速度4.36Gビット/秒を達成(3.24 日経XTEC)
スウェーデンEricsson(エリクソン)は2023年3月16日(現地時間)、台湾MediaTek(メディアテック)と協力して行ったFDD(周波数分割複信)の1キャリアとTDD(時分割複信)の3キャリアを束ねるキャリアアグリゲーション(CA)にて、下り速度4.36Gビット/秒を実現したと発表した。

 5Gデータ通信を使った音声通話実験を通して確認した。5G NRのFR1(Frequency Range 1)に含まれる低周波数帯1チャネルとサブ7(7GHz未満の周波数帯)の中周波数帯3チャネルが使われている。具体的には、AWS(Advanced Wireless Service)帯の帯域幅20MHzと米国の共有周波数帯であるCBRS(Citizens Broadband Radio Service、市民ブロードバンド無線サービス)帯の同80MHz、Cバンドの同200MHzを組み合わせることで、約4.4Gビット/秒のビーク時下り速度を達成した。

3.懲りないマルウエアEmotetがまたも襲来、今度は謎の巨大化で500Mバイト以上に(3.22 日経XTEC)
国内外のセキュリティー組織やセキュリティーベンダーは、マルウエア(コンピューターウイルス)の「Emotet(エモテット)」が2023年3月7日に活動を再開したとして注意を呼びかけた。Emotetの感染を広げるメールがおよそ4カ月ぶりに確認されたという。

 Emotetは2014年に最初に確認されて以降、活動停止と再開を何度も繰り返して現在に至っている。そして再開のたびに新しい手口が登場している。今回の手口は一体何なのだろうか。

 Emotetはメールで感染を広げるマルウエア。不正なマクロが仕込まれたWordやExcelのファイルがメールに添付されて送られてくる。その添付ファイルを開いてマクロを有効にすると、Emotetの本体がダウンロードされて感染する。

 感染するとパソコンに保存されているメールやアドレス帳などが盗まれて、Emotetの感染を広げるメールに悪用される。他のマルウエアをダウンロードして感染させる場合もある。

 Emotet本体の基本的な挙動はほとんど変わらない。だが感染を広げる手口は変化している。

 例えばEmotetが世界的に流行した第1波(2019年9月〜2020年2月)では、添付ファイルではなくメール中のリンクを使う手口も登場。リンクをクリックすると、不正なマクロが仕込まれたファイルがダウンロードされる。

 第2波(2020年7月〜2021年1月)では、不正なマクロを仕込んだファイルをパスワード付きZIPファイルにして添付する手口が出現した。セキュリティーソフトなどに検出されにくくするためだ。パスワードはメールの本文に記載されている。

 第3波(2021年11月〜2022年7月)では、ショートカットファイル(LNKファイル)を使う手口が確認された。メールに添付されたショートカットファイルを開くと、Emotet本体がダウンロードおよび実行される。

 第4波(2022年11月)では、不正なマクロを仕込んだファイルを特定のフォルダー(Templatesフォルダー)にコピーして開くよう指示する手口が現れた。Templatesフォルダーでは、ファイルを開くだけで仕込まれているマクロが実行されるからだ。ただしこのときは、感染を拡大させるメール(感染拡大メール)が確認されたのは10日程度だった。

 そして今回、およそ4カ月ぶりに感染拡大メールが確認された。感染拡大メールには、不正なマクロを仕込んだWordファイルが添付されている。ここまでは従来通りだが、異なるのはWordファイルの大きさである。ファイルサイズが500Mバイト以上なのだ。

 メールに添付されたZIPファイルを解凍(展開)すると、この巨大ファイルが出現する。ただZIPファイルのサイズは700kバイト弱である。トレンドマイクロによると、大量のヌルコード(0x00)を含めることでWordファイルを巨大化させているという。このため圧縮すると極端に小さくなる。

 Wordファイルを開いてマクロを有効にすると、Emotetの本体(DLLファイル)がダウンロードされて実行される。このEmotet本体も、ファイルサイズが500Mバイトを超えている。こちらもWordファイルと同様に、ファイルサイズを大きくするために実行されないデータが大量に含まれている。

 なぜファイルを巨大化させているのか。注意を呼びかけた組織やベンダーは「セキュリティー製品による検知を回避するため」としている。セキュリティー製品によっては、サイズが大きいファイルについてはマルウエア検査をスキップするためだ。ファイルの一部しか検査しない製品もあるという。

 手を替え品を替え何度でも復活するEmotet。だがその勢いはそがれている。WordやExcelのセキュリティー強化が影響していると考えられる。

 米Microsoft(マイクロソフト)は2022年7月、インターネットからダウンロードしたWordやExcelのファイルのマクロを既定で無効にした。以前とは異なり「編集を有効にする」や「コンテンツの有効化」などのボタンは表示されないため、簡単には有効化できない。

4.見えたSaaS活用3カ条、先進企業JALやトリドールが試行錯誤で導いた勘所とは(3.22 日経XTEC)
SaaS(ソフトウエア・アズ・ア・サービス)活用先進企業の試行錯誤から、エンタープライズSaaSを業務システム開発に生かし効果を引き出す勘所が見えてきた。SaaSを活用した上でシステムの全体最適をとるにはいかなるポイントを押さえるべきか。先進企業の試行錯誤から見えた3つの勘所を見ていこう。

 「データ連係が最も重要だ」――。先進企業各社は、こう口をそろえる。複数のSaaSを組み合わせて1つの業務システムのように動かすコンポーザブルなアーキテクチャーを実践するには、SaaS間などでデータを共有・処理できる必要があるからだ。

 例えば、商品や人、店舗といったマスターデータを複数のシステムで共有し、現場の使い勝手を高めると同時に一元管理が容易になる。顧客の購買データや原料の仕入れデータなど、日々更新・蓄積していくトランザクションデータについても、複数のSaaSを横断してやり取りできれば、あるSaaSから別のSaaSへと手作業でデータを移し替えるよりはるかに効率よく業務を処理したり施策立案に役立てたりできる。

 データ連係基盤の構築には、様々なシステムとの間を取り持つ仲介役のクラウドサービス「iPaaS(インテグレーション・プラットフォーム・アズ・ア・サービス)」を使うケースが多い。例えばトリドールHDはマジックソフトウェア・ジャパンが販売するiPaaS製品「Magic xpi Integration Platform」を使う。選定理由について磯村CIO兼CTOは「取引履歴やデータの正確性を検証するためのモニタリング機能が充実している」とした。

5.全銀ネットが全銀システムのオープン化を表明、開発言語はCOBOLからJavaに(3.20 日経XTEC)
全国銀行資金決済ネットワーク(全銀ネット)は2023年3月16日、2027年の稼働を予定する次期全銀システムの基本方針を明らかにした。現行システムの動作プラットフォームである富士通製メインフレームの製造・販売や保守の終了が決まっていることなどを踏まえ、オープン基盤に切り替える方針だ。

 運営元の全銀ネットは外部関係者や加盟銀行で構成するタスクフォースやワーキンググループでの議論などを基に、このほど「次期全銀システム基本方針」を策定した。銀行間送金を担う「全国銀行データ通信システム(全銀システム)」は1973年の稼働で、現在は第7次全銀システムが稼働している。

 次期全銀システムは内国為替や資金清算などの主要業務を担う「ミッションクリティカルエリア」と、付加的な機能・サービスを提供するための「アジャイルエリア」に大きく分ける。ミッションクリティカルエリアはオンプレミスを維持しながら、オープン化を図る。開発言語はCOBOLからJavaなどへの移行を想定する。アジャイルエリアはクラウドの利用も念頭に置く。

 銀行などが全銀システムに直接接続するために必要な「中継コンピュータ(RC)」は2035年までに廃止する予定だ。全銀ネットは独自仕様のRCによる接続を代替するものとしてAPI(アプリケーション・プログラミング・インターフェース)ゲートウエイの構築を打ち出しており、2025年7月のサービス提供開始を予定している。

 ホームページへ