Cyber Security Intelligence Vox

ITmediaNewsは『法人向けに電気料金削減のコンサルティングを提供するエネクラウド（東京都渋谷区）は5月16日、クラウド上のデータが削除される不正アクセス被害を受けたと発表した。』と報道している。

『同社は4月18日に被害の発生を公表しており、今回はその調査結果として詳細を明らかにした。AWS（Amazon Web Services）に設定していたアクセスキーが、外部から不正に使用されていたという。』と報告している。

『被害は4月9日未明に発生。AWSのクラウドストレージ「Amazon S3」において、外部から不正に使用されたアクセスキーを通じて45件のS3バケットが削除された。同社では4月14日午前8時50分に異常を認識し、調査を開始したという。』ということで、バックアップもしくは特殊なサルベージ方法でもない限り復旧は無理という事になります。

いわゆるランサムウェアは、情報を搾取して暗号化し、その暗号化キーの提供を身代金とするものですが、これは情報集出や搾取もなく、削除して復旧の対価を要求するものとしています。

クラウドサービスの権限管理とアクセスキーの管理は、今回の様なケースでなはないが、問題を起こしていて、こうした「キーの管理」の難しさを感じさせます。

https://www.itmedia.co.jp/news/articles/2505/20/news088.html

クラウド狙う“削除型ランサム”被害　エネクラウドがデータ消失を公表、顧客情報漏えいの可能性も

SecurityNEXTは『日本ネットワークセキュリティ協会（JNSA）は、「今すぐ実践できる工場セキュリティハンドブック」の「サイバー対応IT-BCP編」をあらたに公開した。』と報道している。

『同資料は、製造業の中小企業を想定し、工場におけるセキュリティ対策を進めるためのポイントを解説した参考資料。』で、『2022年以降、「リスクアセスメント編」「リスク対策編」「リスク対策集」を提供してきたが、「サイバー対応IT-BCP編」をあらたに追加し、今回でシリーズが完結した。』と報告している。

「サイバー対応IT-BCP編」では、サイバー攻撃の検知から被害発生時におけるシステムの復旧までを中心に、工場のIT面における事業継続計画を策定するためのノウハウを取りまとめている。との事なので、BCPの作成方法が分からないとか、担当者がいない、といった場合でも活用しやすくなっています。

さらに、『事業継続計画のひな型はもちろん、ひな型と生成AIを活用し、質問へ回答することで自組織に適した計画を作成できるツールなども紹介した。』とあり、まさに手取り足取りガイドしてくれます。

サプライチェーンの中でも、工場は最も影響の大きい被攻撃箇所となりますので、このプランを立てる過程を通じて、より強固なプランとして欲しいと思います。

https://www.security-next.com/170232

サイバー攻撃に備えた工場向けBCP支援ツール - JNSAが無償公開

アドビからPDFファイル作成・変換ソフトウェアAdobe AcrobatおよびPDFファイル閲覧ソフトウェアAdobe Acrobat Readerにおける脆弱性に関する情報（APSB25-57）が公開されました。

脆弱性を悪用したコンテンツをユーザーが開いた場合、任意のコードが実行されるなどの可能性があります。詳細については、アドビの情報を確認してください。

https://helpx.adobe.com/security/products/acrobat/apsb25-57.html

Security update available for Adobe Acrobat and Reader|APSB25-57

マイクロソフトから同社製品の脆弱性を修正する2025年6月のセキュリティ更新プログラムが公開されました。これらの脆弱性を悪用された場合、リモートからの攻撃によって任意のコードが実行されるなどの可能性があります。

マイクロソフトは、発表されている脆弱性のうち、「Web分散オーサリングとバージョン管理(WebDAV)のリモートでコードが実行される脆弱性」が悪用されていることを公表しています。マイクロソフトが提供する最新の情報をご確認してください。

https://msrc.microsoft.com/update-guide/ja-jp/releaseNote/2025-Junl

2025 年 6 月のセキュリティ更新プログラム