2024年6月7日以降、PHPの脆弱性(CVE-2024-4577)を狙った攻撃が急増しているとIPAが発表しました。PHPで、企業のサイトや個人情報を扱うサイトを運用している方は放置せず。迅速に適切な対策を行うことが必要になってきます。

この記事では、PHPの脆弱性に対して、取るべき対処法・対策法について専門の立場で解説します。

もし、PHPの脆弱性を狙った攻撃の被害に遭われた方は、フォレンジック調査専門業者へ相談して、被害状況や攻撃経路について調査してもらいましょう。

＼サイバーセキュリティ専門家へ24時間365日で無料相談／

最近狙われているPHPの脆弱性(CVE-2024-4577)

2024年6月7日以降、PHP CGIモードにおける脆弱性(CVE-2042-4577)を狙った攻撃がに急増しているとIPAが発表しました。PHPを利用して企業サイトや個人情報を扱うサイトを運用している人は脆弱性を放置せず、迅速に適切な対策を行うことが必要です。

• PHP：ユーザー情報に基づいて変化するようなコンテンツ作成に向いているプログラミング言語
• CGI：クライアント側のWebブラウザの要求に応じてWebサーバが実行結果をクライアントのWebブラウザに送信する仕組み

現在は、PHPの脆弱性(CVE-2042-4577)を悪用したネットワーク貫通型攻撃による被害が確認されているようです。ネットワーク貫通型攻撃を受けてしまうと、ネットワーク内部へ不正アクセスし保有情報の漏洩や改ざんを行ったり、他組織への攻撃の踏み台になるなどの大きな被害が予想されます。

出典：IPA

PHPの脆弱性(CVE-2024-4577)の対策

PHPの脆弱性(CVE-2024-4577)を狙った攻撃の対象とならないためにすぐにでも行うべき対策法を解説します。

PHPのアップデート

脆弱性(CVE-2042-4577)の影響を受けるPHPのバージョンは下記のものになります。

• PHP 8.1.28以前の8.1系
• PHP 8.2.19以前の8.2系
• PHP 8.3.7以前の8.3系

開発者によると、5系、7系および8.0系については現在サポート終了しているようです。

上記で記したバージョンはNVD等で、影響を受ける可能性があるという情報もあるため、サポートされているバージョンへアップデートするようにしましょう。

定期チェック

定期的に下記のものをチェックするようにしましょう。

• アクセスログ監視による不審アクセスの有無確認
• 製品やセキュリティベンダから発信されている情報収集
• 利用しているネットワーク機器などの情報が外部に対する公開状態確認

環境整備

もしもの時に対応できるような備えとして下記の対策に取り組みましょう。

• 製品ベンダから発信された情報を基に環境構築の見直し
• ゼロデイの脆弱性情報または、攻撃を受けた際の対応手順の確認
• 上記二つが正しく運用、対応できるかどうかの確認と改善点の改善

出典：IPA

PHPの脆弱性(CVE-2024-4577)の攻撃被害

PHPの脆弱性（CVE-2024-4577）をつかれた攻撃被害について以下にまとめました。

確認されている被害

脆弱性(CVE-2042-4577)を悪用したネットワーク貫通型攻撃による被害として国内の複数組織が当該Webサービスにwebshellが設置されていたと報告されているそうです。

webshellとは、Web経由でコマンドの実行を可能にするバックドアの一種です。

出典：IPA/TrendMicro

想定される被害

以下のような行為を可能にするwebshellを攻撃者が設置することが考えられます。

• 組織内のネットワークへの侵入
• 他組織への攻撃活動の踏み台　　等

上記の機能が実現したら下記のような被害が想定されます。

• 情報・データを収集し窃取
• データの暗号化
• 組織内のネットワークにマルウェアを拡散
• 侵入したネットワーク内システムの破壊
• 他組織への攻撃活動に加担したとみなされる　　　等

上記のような被害拡大を最小限に抑え、復旧を目指すためには、独自の判断で復旧作業を試みるのではなく、速やかにIT部門や外部の専門家に連絡し、状況を報告する必要があります。

特にサイバー攻撃被害を受けた時、原因究明などのためにコンピュータに残された不正の証拠を調査する「フォレンジック」の専門家に依頼することで、 攻撃手口の調査、侵入経路、被害の拡大防止、復旧プランの作成など、適切な対応を取ることが出来ます。

被害に遭った場合、速やかに調査を実施し、被害を最小限に抑えましょう。

フォレンジック調査では、ランサムウェアによる被害を正確に把握し、信頼性のある調査報告書を作成するとともに、再発防止策を効率的に打つことも可能です。

＼法人様・個人様問わず対応　24時間365日無料相談OK！／

企業の情報漏えいインシデント対応が義務化されています

2022年4月からは、個人情報保護法が改正された影響で、情報漏えいが発生した場合、被害者と個人情報保護委員会に報告する義務化されました。

したがって、企業が個人情報を漏えいした場合、不正行為の経路や、漏えいの被害範囲や有無を調べ、同様の事故が再発しない措置を講じるなど、迅速な対応が求められます。

同法に基づき、企業は以下にあげる被害の全容を把握し、対策を練る必要があります。

• 漏えいした情報の種類と件数
• 漏えいした個人情報の項目
• 漏えい経路
• 漏えい時期

基本ステップとしては漏えいの兆候や具体的な事実を確認後、速やかに対応体制を整え、情報の隔離、ネットワーク遮断、サービスの停止などの措置を取り、不正アクセスの状況を調べます。その後、関係者への通知、監督官庁や警察への届出、公表の検討も行いましょう。

改正個人情報保護法に準拠した対応および被害事例はこちら

情報漏えいにおける個人情報保護委員会への報告義務についてはこちら

最高1億円の罰金が科せられる恐れも

仮に「悪質な管理体制で個人情報の不正流用が発生した」もしくは「措置命令違反があった」場合、最高1億円の罰金が科せられる恐れもあります。

このため、顧客情報を取り扱う企業や組織は、情報漏えいが発生時、どの情報が、どのような経緯や経路で漏えいしたのかを調査し、今後の対応や予防策を考える必要があります。

ただ、被害調査を行う場合、専門技術が必要です。これは自社のみでの対応が困難のため、第三者調査機関であるサイバーセキュリティ専門家と提携しての調査をおすすめします。

私たちデジタルデータフォレンジック（DDF）には、官公庁、上場企業、捜査機関等を含む幅広いインシデントに対応経験がある専門エンジニアが多数在籍しており、これまで無数のインシデント被害を調査してきました。

具体的な被害調査や情報漏えい有無の確認を行いたい場合、まずはお気軽にご相談ください。24時間365日体制で相談や見積もりを無料で受け付けております。

＼相談から最短30分でWeb打ち合わせを開催／

データ漏えいの調査でフォレンジックが有効な理由

サイバー攻撃を受けた再、システムやデバイスにマルウェアが感染している可能性を払拭するためにもフォレンジック調査が必要です。

フォレンジック調査は、コンピュータやネットワーク機器、ログファイルなどを分析し、不正アクセスの原因や、具体的な被害状況を明らかする専門的な調査手法です。

脆弱性を放置すると、さらなる不正アクセスが発生する恐れがあるため、被害を受けた場合は、マルウェア感染や不正アクセスの調査を行い、被害を拡大させないことが重要です。

フォレンジック調査が有効な理由としては、以下の3つが挙げられます。

1. 被害原因・侵入経路を特定できる
2. 被害の規模を把握できる
3. 被害の拡大を防げる

①被害原因・侵入経路を特定できる

フォレンジック調査では、不正アクセスの痕跡を分析し、被害の原因を特定します。

例えば、社員のログイン情報が不正に使用されたと疑われる場合、悪意のある人物が自社のネットワークに侵入した可能性があるため、被害の原因や侵入経路を特定するための適切な調査が必要となります。

この際、フォレンジック調査では、収集したデータを用いて、不正アクセスの方法、攻撃が行われた時間、侵入された経路、影響を受けたデータなどを解析します。

また調査を通じて得られた情報をもとに、セキュリティポリシーの更新、システムの強化、従業員への教育の強化など、具体的な対策につなげることができます。

②被害の規模を把握できる

フォレンジック調査では、不正アクセスによって流出した情報の種類、規模を把握することができます。

例えば「何の情報が漏れたか」「どのような影響を受けたか」などの情報をフォレンジック調査で具体的かつ正確に把握することで被害状況をはじめ、影響を受けた利用者がどう対応すべきか適切に通知することができます。

③再発防止や被害拡大を防げる

フォレンジック調査では、インシデントの原因となった脆弱性や攻撃手法を明らかにし、再発防止につなげることができます。

このように、フォレンジック調査は、情報漏えいやマルウェア感染の被害を受けた宿泊業者にとって、被害の拡大を防ぎ、信用回復につなげるための重要な手段となります。

私たちデジタルデータフォレンジック（DDF）には、官公庁、上場企業、捜査機関等を含む幅広いインシデントに対応経験がある専門エンジニアが多数在籍しており、相談や見積もりを無料で受け付けています。

いつでも対応できるよう、24時間365日体制でご相談を受け付けておりますので、まずはお気軽にご相談ください。

＼累計3.9万件の相談実績　24時間365日 相談受付／

警察の「サイバー犯罪対策課」に相談しても有効な手段を講じることは難しい

不正アクセス被害に遭遇した場合、警察の「サイバー犯罪対策課」に相談に行っても、有効な手段を講じることができないケースは少なくありません。

その理由は、以下の3つにまとめられます。

警察の捜査やリソースには限界がある

警察のサイバー犯罪対策課は限られた予算や技術リソースを有しており、サイバー犯罪の増加に追いつくことが難しい状況があります。

また近年は膨大な数の不正アクセス事件が発生しており、国外からの攻撃であることも多く、それぞれの事件に対処するためには膨大な時間と労力がかかります。その結果、特定の被害者の個別の事件に効果的に対応するのは難しい傾向があります。

技術的な知識や専門性が要求される

サイバー犯罪は高度で複雑な技術を用いたものが多く、捜査には高度な技術的知識と専門性が求められます。サイバー犯罪者の多くは匿名性を保ちつつ、様々な手法で犯罪を行うため、通常の捜査手法だけでなく、サイバーセキュリティやネットワークの専門知識が必要です。警察機関がこれらのスキルを十分に持っていない場合、迅速な捜査が難しくなります。

不正アクセス禁止法の要件を満たす必要がある

不正アクセス禁止法には特定の要件があり、これを満たさないと捜査や起訴が難しい場合があります。また犯罪者が国外を経由している場合、法的な障壁が生じることがあります。これにより、法執行機関でも簡単に犯罪者を追跡・摘発することが難しくなります。

これらの理由から、単に被害者が警察に相談しても、不正アクセス事件に対して迅速かつ有効な対策を講じることは難しい場合があります。

被害調査が必要なときは、専門業者へ依頼する

PHPのアカウントの不正利用を防ぐためにすべきこと

PHPのアカウントの不正利用を防ぐためにすべきことは次のとおりです。

不正利用の兆候に気づく

PHPのアカウントの不正利用の兆候としては、以下のようなものが挙げられます。

• ログイン履歴に心当たりのないアクセスがある
• PHPのアカウントの設定が変更されている
• PHPのアカウントから不審なメールやメッセージが送信されている
• PHPのアカウントから不正な取引が行われている

これらの兆候が見られたら、不正利用の可能性が考えられます。

不正利用・不正アクセスからPHPのアカウントを保護する

不正利用からPHPのアカウントを保護する場合、これ以上の被害を防ぐために、複雑で予測しにくいパスワードを使用し、定期的に変更することでPHPのアカウントを保護します。パスワードは英数字や特殊文字を含む複雑なものが望ましいでしょう。