独立行政法人情報処理推進機構(IPA)は10月19日、「オンラインストレージの脆弱性対策について」を「重要なセキュリティ情報」として発表した。オンラインストレージが広く利活用される中、未だ適切な対応がなされていない運用組織が多く存在しているとして懸念を示した。
IPAが8月に発表した「インターネット境界に設置された装置に対するサイバー攻撃について」にあるように、インターネットに接続されたオンラインストレージの脆弱性を悪用した攻撃が継続している。
特に、国家を背景としたAPT攻撃などに関わる事案も確認されており、組織間のデータ授受をオンラインストレージで行うケースも増えており、注意が必要としている。例えば、「Proself」には管理者権限での認証バイパス(CVE-2023-39415)およびOSコマンドインジェクション(CVE-2023-39416)の脆弱性が確認されており、これらの脆弱性を悪用する攻撃もすでに確認されている。
またProselfに関しては、XML外部実体参照(XXE)に関する脆弱性の悪用についても、IPAでは新たな情報公開を行っている。オンラインストレージでは過去にも「FileZen」、「MOVEit」などにおける脆弱性侵害を起点とした情報漏えい事案に関してAPT攻撃の可能性が指摘されており、早急な対策が求められる。
これらに限らず、オンラインストレージを使用する各組織は、製品の販売元、製品を含むシステム運用・保守等を行う各組織にも相談し、適切な対策を行う必要がある。また、脆弱性が公表されている製品のOEM製品を使用している場合は、公開済みの脆弱性の影響を受ける可能性も考えられる。自組織で使用する製品のサプライチェーンセキュリティについても留意するよう呼びかけている。
IPAでは対策として、「ログ監視による不審なアクセス等がないか」「製品ベンダより発信される情報」を日々確認すること、平時の備えとして「製品ベンダから発信された情報をもとに対応するための体制の整備」「ゼロデイの脆弱性情報または、攻撃を確認した際の対応手順の整備」「整備した体制、対応手順が運用可能なものであるかの確認」をすることを挙げている。
