ぼくの備忘録

セキュリティに関するニュースで気になったものを、個人的なメモと共に残していきます。

2024/12/7

【インシデントに関する情報】

11社のサイトで顧客情報流出か タリーズコーヒーなど 警視庁捜査 | 毎日新聞

東京都内に拠点を置く11の企業や団体の電子商取引(EC)サイトが不正なプログラムを仕掛けられて改ざんされ、少なくとも10万件以上の顧客情報が抜き取られたとみられる。

東京都内に拠点を置く11の企業や団体の電子商取引(EC)サイトが不正なプログラムを仕掛けられて改ざんされ、少なくとも10万件以上の顧客情報が抜き取られたとみられる。

 

【攻撃の傾向・手法】

正規サービスを悪用した攻撃グループAPT-C-60による攻撃 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

JPCERT/CCでは、2024年8月ごろに攻撃グループAPT-C-60によるものとみられる国内の組織に対する攻撃を確認しました。 この攻撃は、入社希望者を装ったメールを組織の採用担当窓口に送信し、マルウェアに感染させるものでした。

Hackers Use Corrupted ZIPs and Office Docs to Evade Antivirus and Email Defenses

How Attackers Use Corrupted Files to Slip Past Security

電子メール防御を回避する手段として破損した Microsoft Office ドキュメントや ZIP アーカイブを利用する新しいフィッシング キャンペーンについて。悪意のある活動には、セキュリティ ツールでスキャンできないように意図的に破損した ZIP アーカイブまたは Office 添付ファイルを含む電子メールの送信が含まれます。これらのメッセージの目的は、従業員の福利厚生やボーナスに関する虚偽の約束でユーザーを騙して添付ファイルを開かせることです。
ファイルが破損した状態であるということは、電子メール フィルターやウイルス対策ソフトウェアによって、疑わしいファイルや悪意のあるファイルとしてフラグが付けられないことを意味します。ただし、Word、Outlook、WinRAR などのプログラムに組み込まれている回復メカニズムを利用して、破損したファイルを回復モードで再起動するため、この攻撃は依然として有効です。文書には QR コードが埋め込まれており、スキャンすると、マルウェアを展開するための不正な Web サイトや、認証情報の盗難のための偽のログイン ページに被害者をリダイレクトします

 

【攻撃組織の動向】

攻撃グループ「Earth Estries」による持続的なサイバー活動の戦略 | トレンドマイクロ | トレンドマイクロ (JP)

Microsoft Exchangesサーバやネットワークアダプタ・管理ツールのアタックサーフェス(攻撃対象領域)を不正利用する点で、ある程度類似しています。しかし、使用するツールやその配備法が明確に異なります。具体的に第1の攻撃チェーンでは、水平移動・内部活動の手段としてリモートアクセスツール「PsExec」やWMIコマンドライン(WMIC)を利用する他、攻撃ツール「Cobalt Strike」や「TrillClient」、「Hemigate」、「Crowdoor」などをCABパッケージに格納して配布します。これに対して第2の攻撃チェーンでは、マルウェア「Zingdoor」、「SnappyBee」、「Cobalt Strike」や、ユーティリティ「PortScan」、「NinjaCopy」を通信コマンド「cURL」でダウンロードし、利用します。

Black Basta Ransomware Campaign Drops Zbot, DarkGate, & Custom Malware | Rapid7 Blog

BlackBestaによる攻撃手法のアップデート。標的型メールを送信後、レスポンスがあった対象者に対して、ヘルプデスクやITサポートを名乗ってTeamsなどで連絡を取り、対応に必要だからと言ってツールを実行させる模様。

 

脆弱性情報】

HPE IceWall Flaw Let Attackers cause Unauthorized Data Modification

CVE-2024-11856の根本的な問題は、IceWall モジュールが失敗したパスワード試行を不適切に管理する機能にあります。この欠陥により、ユーザーは失敗したログイン試行の意図された制限を超え、適切な承認なしにデータを変更する潜在的なアクセス権を取得できるようになります。
Cisco NX-OS Flaw Let Attackers Bypass Image Signature Verification
Cisco NX-OS ソフトウェアのブートローダに重大な脆弱性が見つかりました。これにより、攻撃者がイメージ署名の検証をバイパスできる可能性があります。権限のないユーザーが影響を受けるデバイスに未検証のソフトウェアをロードできる可能性があります。この欠陥を悪用するには、デバイスへの物理的なアクセス、またはローカル攻撃者からの管理者認証情報が必要です。

 

【当局関連の動き、法規則等】

内閣官房 サイバー安全保障分野での対応能力の向上に向けた提言 (2024.11.29): まるちゃんの情報セキュリティ気まぐれ日記

 

【調査結果・ベンダーレポート】

パロアルトネットワークス、「国内民間企業・公共機関の サイバーセキュリティ施策と投資動向」 ~ 実態調査の結果を発表 - Palo Alto Networks

2024年上半期の被害経験率:全体の69%が何らかのセキュリティインシデントによる被害を経験  (民間企業の72%、公共機関の47%)

2025年以降のサイバーセキュリティの予算:83%が増加する」と回答、加えてインシデントを経験した組織では「予算増」の回答が88%にのぼる。

 

【セキュリティ対策機器、ツールの紹介記事】

AWSが新たなセキュリティサービスを発表 24時間体制でインシデント対応を支援:セキュリティソリューション - ITmedia エンタープライズ

Amazon Web Services(以下、AWS)は2024年12月1日(現地時間)、組織がサイバー攻撃から迅速に回復するための新たなサービス「AWS Security Incident Response」を発表した。

AWS Security Incident Responseは、マネージド型脅威検出サービス「Amazon GuardDuty」やクラウドセキュリティ体制管理サービス「AWS Security Hub」を介したセキュリティ検出結果を自動的にトリアージし、優先度の高いインシデントを特定する機能を提供するサービスだ。AWSの専門チームであるカスタマーインシデントレスポンスチーム(CIRT)が24時間365日体制でサポートし、セキュリティイベントの調査や対応を支援する。

セキュリティインシデント対応のパフォーマンスを測定や改善するための指標を備えたダッシュボードも提供する。指標には平均修復時間(MTTR)や特定期間内のアクティブおよびクローズされたケースの数、トリアージされた検出結果の数、その他の主要業績評価指標(KPI)が含まれる。

IT運用とセキュリティの課題を解決する「自律型エンドポイント管理(AEM)」とは?──ガートナーとタニウムが語る自律型プラットフォーム (1/3)|EnterpriseZine(エンタープライズジン)

AEM(自律型エンドポイント管理)は、UEM(統合エンドポイント管理)の機能を基盤にしながら、AIを活用した自律的な運用とセキュリティ管理を実現する次世代ソリューションだ。リアルタイムデータとAIモデルが連携することで、従来手作業だったプロセスを大幅に効率化。事前設定されたプレイブックによる運用タスクの自動化や、状況に応じたワークフロー生成など、人間の介入を最小限に抑えながらも柔軟な対応が可能だ。即時に洞察を得て、それを基にAIが適切なアクションを実行する仕組み。

 

【コラム系】

悪意のある QR コードは、実際にどの程度問題なのか? - Cisco Japan Blog

QR コードはスパム対策フィルターの多くを非常に効果的に回避できます。なぜなら、ほとんどのスパム対策フィルターは、画像に QR コードが存在することを認識して QR コードをデコードするようには設計されていないからです。Cisco Talos のデータによると、QR コードを含む電子メールの約 60% はスパムです。

 

【その他】

OAuth/OIDCのJWTまとめ #openid_connect - Qiita

JWTの説明

突き破って学ぶコンテナセキュリティ/container-breakout-cncj-lt - Speaker Deck

コンテナの脅威の1つとして、"コンテナブレークアウト"の紹介

KnowBe4、年末年始にサイバー被害に遭わないために2024年度版「Holiday Cybersecurity Resource Kit(ホリデーサイバーセキュリティ学習キット)」を今年も無償公開

フィッシング等の個人を標的にした脅威に対する内容

Salesforce Applications Vulnerability Could Allow Full Account Takeover

Salesforceのゲストユーザー権限に不必要に権限が付与されていないか確認する方法。

2024/12/1

【インシデントに関する情報】

イオンカード、不正利用に関するNHK報道を受け声明 「1日も速く調査結果を報告できるようにする」 - ITmedia NEWS

NHKは28日、テレビ番組「午後LIVE ニュースーン」と「首都圏ネットワーク」内で、同カードの不正利用被害などを取り上げていた。これを受け、イオンフィナンシャルサービスは「1日も速く調査結果を報告できるようにする」と表明した。

同社で実施している不正利用の調査によると、手口のほとんどが、偽のメールやWebサイトなどからユーザー情報をだまし取るフィッシング詐欺であったという。同社からメールやSMSを通じ、カード番号やパスワードなどの入力を依頼することはないとして、「万が一、入力画面を開いてしまっても、決してカード情報や個人情報を入力しないでほしい」と注意を呼び掛けた。

 

【攻撃の傾向・手法】

Latest Multi-Stage Attack Scenarios with Real-World Examples

多段階の攻撃シナリオの解説。

 

【攻撃組織の動向】

 

脆弱性情報】

7-Zip RCE Vulnerability Let Attackers Execute Remote Code

CVE-2024-11477 として識別されるこの欠陥は、Zstandard 解凍実装における整数アンダーフローに起因するもので、リモート コード実行(RCE) につながる可能性があります。

この脆弱性はCVSS スコア 7.8 で、重大度が高いと分類されています。この脆弱性を悪用すると、攻撃者が現在のユーザーの権限でコードを実行できるため、機密性、整合性、可用性が損なわれる可能性があります。7-Zip 開発チームはバージョン 24.07 でこの脆弱性に対処しました。CVE-2024-11477 の重大性は、CVSS スコア 7.8によって強調されており、影響度の高い脆弱性を示しています。任意のコードを実行すると、不正なデータ アクセス、システム ハイジャック、組織のネットワーク内でのマルウェア潜在的な拡散など、さまざまなセキュリティ侵害が発生する可能性があります。

 

【当局関連の動き、法規則等】

www.ncsc.gov.uk

取締役会と協力してサイバーセキュリティリスクの管理を改善する

サイバー セキュリティは戦略的な問題です。つまり、サイバー リスクが理解され、管理され、軽減されるようにするには、取締役会の条件と言語で取締役会と連携する必要があります。

すべての詳細を知る必要はありません (また知る必要もありません) トップダウンの立場を思い出し、必要に応じて質問するだけで、戦略的アジェンダに関連した適切な方法でサイバーについて話すことができます。他の聴衆と同様に、取締役会にとって何が重要か、取締役会の状況、取締役会の働き方について理解することに時間を費やすことで、より効果的なコミュニケーションができるようになります。

サイバーセキュリティ専門家の役割は以下。

戦略的決定のサイバーセキュリティへの影響が意思決定者に理解されるようにします。
組織の戦略を実行する上でのリスクが、ビジネスのリスク許容度に沿って特定、評価、軽減されるようにします。

取締役会がすでに慣れ親しんでいるリスクのフレームワークと用語に合わせることは有益です。これにより、取締役会メンバーにとって馴染みのある領域に「サイバー」を位置付けることができます。あなたの役割は、サイバーリスクがビジネスリスクとしてどのように現れるか、その潜在的な影響、そして (彼らのサポートを得て) それを回避または軽減するために何をするかを、彼らに理解してもらうことです。

取締役会は、リスクと現在の状況について、正直で事実に基づいた評価を期待しています。リスクを軽視したり、リスクの軽減策を誇張したりしても役に立ちません。

注目度の高いインシデントは、情報提供、最新情報の提供、アドバイスの機会となります。サイバーがニュースで取り上げられることはよくありますが、そのニュースを利用して、経営陣や取締役会向けの短いブリーフィングを作成してください。

取締役は、ガバナンス責任を果たすために、あなたのような専門家のアドバイスに頼っています。あなたの役割は、取締役をトレーニングして職務を遂行させることではなく、取締役が企業戦略やサイバーリスクについて十分な情報に基づいた決定を下せるようにすることです。

www.ncsc.gov.uk

https://www.ncsc.gov.uk/files/NCSC_Board-Toolkit-Cyber-Security-101.pdf

 

【調査結果・ベンダーレポート】

ラック、セキュリティ専門家が発刊する「LAC Security Insight 第10号 2024 秋」を公開(2024年11月25日)| 株式会社ラック

前四半期と比較してインターネットからの攻撃によるインシデントは検知がない月が発生するなどの減少傾向がみられる一方で、ネットワーク内部からの通信によるインシデントは急増しました。依然としてクラウドサービスのアカウント情報が不正利⽤されるケースが多く見受けられます。

特徴として、SSL-VPN機器や仮想化プラットフォームを起点とする攻撃手法が見受けられているため、それらを中心に近年増加しているランサムウェアの攻撃の流れを解説します。広く普及している SSL-VPN 機器では脆弱性の情報が公開されてから数日以内、早い場合には数時間程度で悪用されるケースもあります。これを防ぐためには、日常的な脆弱性管理に加え、緊急時のメンテナンス基準や対応手順を整備することが不可欠です

サイバーセキュリティに関するグローバル動向四半期レポート(2024年4月~6月)を公開 | NTTデータグループ - NTT DATA GROUP

ランサムウェア攻撃の脅威は未だ健在であり、2024年度第1四半期の攻撃件数や1件あたりの身代金支払い金額は、2023年度の同時期と比較して上昇傾向にあります 。二重脅迫型のランサムウェアに感染する組織が増えているため、結果的にイセトー社や髙野総合会計事務所のような多くの顧客先情報を抱える企業から委託元組織の情報が漏洩してしまう事例が多く発生しています。サプライチェーン攻撃の手法は「①委託先組織を踏み台にした攻撃」「②ソフトウェアサプライチェーン」「③委託先組織からの情報窃取」の3つに分類されます 。

チェック・ポイント・リサーチ、2024年10月に最も活発だったマルウェアを発表 〜個人情報を狙う「インフォスティーラー」が急増 – SecurityInsight | セキュリティインサイト

リサーチャーたちは先月、偽のCAPTCHA画面を利用してLumma Stealerマルウェアを拡散させる新たな感染経路を発見した。Lumma Stealerは、10月のマルウェアランキングで4位に上昇している。

従業員は「最新のサイバー脅威との戦い」を強いられている セキュリティ教育に不満を持つ理由の1位は?:フォーティネット調査 - @IT

サイバー犯罪者はAI(人工知能)を利用してフィッシング詐欺を巧妙化し、発見を困難にしており、企業は従業員に攻撃の被害者にならないための方法を周知することを最も重視しているという。

 

【セキュリティ対策機器、ツールの紹介記事】

無償で使える脆弱性対応プラットフォーム「Intel」が登場 その性能とは?:セキュリティニュースアラート - ITmedia エンタープライズ

Intelは新たな脅威への迅速な対応と脆弱性の優先順位付けを支援する脆弱性インテリジェンスプラットフォームだ。セキュリティ分野でのリソース不足を補うことを目的に開発されており、無償で利用できる。米国国立標準技術研究所(NIST)が管理する脆弱性情報データベース(NVD)や米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)などの信頼性の高いソースからのデータを統合し、重要な脆弱性情報を一元的に提供している。

 

【その他】

ランサムウェアで「現場は崩壊寸前」、ガートナー流セキュリティ社員メンタル対策術 |ビジネス+IT

中国や北朝鮮によるサイバー攻撃を日本が名指しで非難 脅威アクターに対する「パブリックアトリビューション」の意義 | ログミーBusiness

「なんでこのタイミングで、このアクター、このグループが名指しされたのか」という経緯や背景は、やはり十分に理解してもらったほうがいいなとは思っています。私たち側が取っている対策は、実はすでにこういったアクターが行っている攻撃に対して、十分に有効とならない可能性もあるので、「なんでこのタイミングで出たのかな?」というのは、流し読みだけせずにしっかり見て(いただきたいです)。

やはりインシデントというかたちで公開されている情報を常々整理しつつ、脅威アクターやアトリビューションの情報が出た時には、そのへんの話がうまくつながるところがないかを見ていっていただく。

検知が難しいサイバー攻撃が増加中 サイバーセキュリティの専門家を唸らせた脅威アクターの実例 | ログミーBusiness

サイバーセキュリティとは?をわかりやすく解説【要約つき】言葉の意味や種類、対策すべきサイバー攻撃を手軽に学ぼう | 情シスマン

「この投資詐欺、freeeから漏れた情報を悪用してるかも」──そのとき、社員はどう動く 同社のセキュリティ訓練が再び(1/4 ページ) - ITmedia NEWS

「サポートとセールス、それぞれ別々に連絡が行ったときに、思った以上に情報の合流に時間がかかることが分かりました。組織が大きくなり、部署ごとのカルチャーにも微妙に違いがある中での情報の共有には難しさがあるという学びが得られ、まだまだやれることもたくさんありそうだと思いました」今回の障害訓練では、ある部署から別の部署、あるいは経営層へのエスカレーションをどのように行うかの取捨選択に迷う場面があったという。それも決して面倒だからというわけではなく、相手を不必要に混乱させたくないと、よかれと思っての行動だった。

セキュリティー投資は売上高の「0.5%」を目指せ、ただし投資しすぎても無意味 | 日経クロステック(xTECH)

JCICはセキュリティー投資額の目安として「連結売上高の0.5%以上」というシンプルなアプローチを推奨する。この投資額には人件費やアウトソース費用、セキュリティーシステムの購入費や利用費などが含まれる。ただし新規システムの導入やインシデント対応等の状況により、セキュリティーリソースが連結売上高の0.5%よりも必要になる場合がある。 「0.5%以上」という目安は、非営利の国際組織FS-ISAC(Financial Services Information Sharing and Analysis Center) と米Deloitte(デロイト)が実施した金融機関の調査データから設定した。

2024/11/23

【インシデントに関する情報】

(緊急/重要)【たよれーる Microsoft365】セキュリティ侵害事象のお問い合わせをいただいています |お客様マイページ|大塚商会

一部のお客様にて、複数の海外アドレスからの不正アクセスによるMicrosoft 365サービスのセキュリティ侵害事象が発生しています。アカウント侵害の方法によっては、強固なパスワードへの再設定だけでは対策不十分の可能性があります。

キタイ設計のサーバに不正アクセス、業務関連データが外部送信された可能性否定できず | ScanNetSecurity

 

 

【攻撃の傾向・手法】

60% of Emails with QR Codes Classified as Spam or Malicious - Infosecurity Magazine

QR コードを含む電子メールの約 60% がスパムとして分類され、さらに少数の電子メールが明らかに悪意のあるもので、フィッシング詐欺や認証情報の盗難でユーザーを狙っていることが明らかになりました。QR コードは画像として表示されるため、従来の検出方法を回避します。効果的な識別には、画像をデコードして結果データを分析する必要がありますが、多くのスパム対策システムはこのプロセスに対応していません。

偽のセキュリティ警告画面を閉じる 2 つの方法 ~ IPA 注意喚起 | ScanNetSecurity

IPAでは、偽のセキュリティ警告画面が表示されたが電話をかけていない場合、偽のセキュリティ警告画面を閉じる方法として下記の2つを案内している。
・キーボードのESCキーを3秒程度間長押しするとフルスクリーン状態が解除され、画面右上の「×」(閉じる)ボタンが表示されるのでクリックして画面を閉じる。
・ESCキーを長押ししても「×」ボタンが表示されない場合は、【Ctrl】【Alt】【Delete】キーを同時に押して、表示された画面から再起動を選択する。

CISA says BianLian ransomware now focuses only on data theft

「BianLianグループは当初、データを流出させた後に被害者のシステムを暗号化するという二重の恐喝モデルを採用していたが、2023年1月頃には主に流出ベースの恐喝に移行し、2024年1月頃には流出ベースの恐喝のみに移行した」とCISAの更新された勧告には記されている。CISA は、RDP の使用を厳しく制限し、コマンドラインおよびスクリプトの権限を無効にし、Windows システムでの PowerShell の使用を制限することを推奨しています。

 

【攻撃組織の動向】

Ransomware gang Akira leaks unprecedented number of victims’ data in one day

サイバー犯罪の闇の世界で存在感を高めているランサムウェア・アズ・ア・サービスのギャング集団「Akira」は、ダークネットの漏洩サイトに1日で記録的な数の新たな被害者を公開した。本稿執筆時点で月曜日には35人が公開されており、さらに追加され続けているようだ。

ソーシャルメディアで、この売却は「最終的な閉鎖前のちょっとした大売り出し」のような感じだと推測されていたが、ブレイ氏は、アキラは「おそらく最後の一撃を放っているのではなく」、サイバー犯罪エコシステムにおける積極的かつ拡大する活動を見せびらかしているだけだと述べた。

ブライ氏は、リストの急増には、被害者から金銭をゆすり取るためにこの手口を利用する新たなアフィリエイトの増加から、アキラの管理者が以前のリークを隠蔽することを選択したことまで、さまざまな原因が考えられると付け加えた。

 

【当局関連の動き、法規則等】

Increased GDPR Enforcement Highlights the Need for Data Security

重要なのは、GDPR が、健康記録や財務詳細を含む「特別なカテゴリ」の機密データに保護範囲を拡大していることです。

高度なデータ セキュリティ ポスチャ管理 ( DSPM ) ツールは、組織がデータのプライバシーとセキュリティに関連するリスクを特定して管理するのに役立ちます。

  • 特に国境を越えて転送される場合、データが GDPR に準拠していることを確認するために継続的にデータを監視します
  • データを正確に分類して機密情報を検出し、適切なセキュリティ対策を適用します。
  • データ違反が発生するとリアルタイムで警告し、組織に問題を迅速に修復してリスクを軽減するためのツールを提供します。

 

【調査結果・ベンダーレポート】

チェック・ポイント・リサーチ、より高度化したマルウェア「ElizaRAT」を使用したサイバー攻撃を確認 – SecurityInsight | セキュリティインサイト

チェック・ポイント・リサーチ(CPR)は11月21日、サイバースパイ活動にElizaRATと呼ばれる高度なマルウェアが使用されていることを確認したことを発表した。ElizaRATを使用した一連の攻撃では、マルウェアに感染したパソコンがインド標準時に設定されているかどうかを確認している。つまり、インド関連のシステムを標的としていることを示唆している。

 

 

【セキュリティ対策機器、ツールの紹介記事】

新ログイン認証「kCAPTCHA」KDDIが開発 AIで画像生成「人間に解きやすく、攻撃検知精度も高い」 - ITmedia NEWS

reCAPTCHAのレベルアップ版。AIを使った攻撃への対応。

 

【コラム系】

「え、こんなところからマルウェアに感染?」 BYODに潜む大きな“ワナ”:半径300メートルのIT - ITmedia エンタープライズ

個人と組織の情報は、まずは「正しく分ける」ことが重要です。「会社のアカウントは自分のパスワード管理ツールに覚えさせない」を肝に銘じつつ、シングルサインオンや多要素認証は必ず実装しましょう。

Breaches Don't Have to Be Disasters

本当の損害は金銭的なものにとどまりません。組織がどれだけ早く回復し、強化できるかが問題です。予防のみに焦点を当てるのは時代遅れです。

組織は、「侵害をどう阻止するか」という問いから、「侵害からどう立ち直るか」という問いへと転換する必要があります。

ある金融クライアントは、自己隔離型ネットワークを採用することで、復旧時間を 50% 短縮しました。疑わしいアクティビティが検出されると、ネットワークが作動し、脅威を隔離して拡散を阻止しました。 

「セキュリティ劇場」の幕を下ろすために:Gartner Insights Pickup(378) - @IT

セキュリティ劇場」。この言葉が表す事象は、いまだに驚くほど一般的だ。それは「一見リスクを軽減できそうな、実効性のないセキュリティ対策をすること」だ。残念ながら、こうしたセキュリティ対策が横行している。問題は、デジタル資産があまりにも大規模かつ複雑になり、サイバーセキュリティのリーダーが全てを保護できないのはもちろん、全てを保護できるふりをすることすらできなくなっていることだ。

実のところ、理論上有効なセキュリティ対策の多くは、複雑過ぎて実行するのが困難であることが判明している。一方、一定以上の順守度を期待できるほどシンプルな対策は、ほとんど役に立たない。企業が差し迫ったリスクを認識しても、その重大性や費用対効果の高い軽減方法に関するデータがあまりない場合に、何とかしようとして行う一般的な対応が、セキュリティ劇場だからだ。

ただし、セキュリティ劇場は、全く無意味というわけではない。何も対策が講じられていなければ、セキュリティ上の不安から、ITを活用した効果的なビジネス活動に後ろ向きになってしまうような従業員も、セキュリティ劇場によって安心させられる。また、はっきりと目に見える管理プロセスによって、攻撃者、従業員、顧客、監査人に、自社がセキュリティにリソースを投入しているというシグナルを送ることができる。

一般的な企業が使用する無数のデジタル資産について、サイバーセキュリティチームが高度な保証を提供することは、もはや現実的ではない。サイバーセキュリティチームの責任範囲を明確にすることがますます重要になっている。期待管理をしなければ、サイバーセキュリティチームの目的と担当範囲についての非現実的で非生産的な思い込みが拡大し続けることになる。

セキュリティ劇場から脱却する唯一の方法は、デジタルリスクとデジタルメリットのバランスを考慮した新しい責任モデルを構築することだ。一部のセキュリティプロセスについてはサイバーセキュリティチームが引き続き責任を負うだろうが、他のプロセスについては開発者やビジネス部門の技術者、あるいはクラウドなどのサービスプロバイダーが責任を負うかもしれない。

 

【その他】

脆弱性管理のはじめかた(公開版) | ドクセル

脆弱性管理のプロセスの切り分け方に納得感がある。自社のプロセスを分析するときに立ち返りたい。

脆弱性トリアージガイドライン作成の手引き | 脆弱性トリアージガイドライン作成の手引き

国内の複数組織に影響が及んだSalesforceのシステム障害についてまとめてみた - piyolog

増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由:ランサムウェア被害対応の専門家とpiyokango氏が議論 - @IT

VPN機器などの保守や脆弱性管理をベンダーに依頼している場合、責任分界点や役割が不明確だったり、インシデントが起きた場合のフローが整備されていなかったりして、誰が何をすればよいのか全く分からない状況に陥っているケースもあります」

CVSS(Common Vulnerability Scoring System:共通脆弱性評価システム)の値が高い脆弱性だけでも、ものすごい件数に上り、きちんと管理することが非常に難しくなっています

CVEが採番されていない脆弱性も無数にあり、もっともっと多くの脆弱性があっても不自然ではないとみていいでしょう。

KEVは、CISAが米国政府の関連組織向けに対応を促すべくまとめているリストだ。従って、米国で悪用が確認された脆弱性の情報は掲載されるが、日本で悪用が確認された脆弱性情報は基本的に掲載されない。

脆弱性の悪用は「スピード勝負」で、情報が出た翌日、悪くすれば当日中に悪用されることさえあり、なかなか厳しい状況にあるとした。

脆弱性対応は速さ勝負であるにもかかわらず、ルーティンになってしまっています。どれだけ迅速に対応できるかも含め、どこまで運用の柔軟性を確保できるかが重要な課題の一つになってきている印象です

 

 

2024/11/16

【インシデントに関する情報】

122 million people's business contact info leaked by data broker | Malwarebytes

データブローカーは、1億3,280万件の記録を含む企業連絡先情報データベースがオンラインで漏洩したことを確認した。

https://www.welcia-yakkyoku.co.jp/wp-content/uploads/2024/11/info_241108.pdf

当社が運営する公式通販サイト「ウエルシアドットコム」に携わる従業員が業務に
使用するパソコン端末において、サポート詐欺による不正アクセスを受け、個人情報が漏えいしたおそれがあることが判明しました。

本件では、10 月 24 日に当社従業員がサポート詐欺のウェブサイトへ誘導され、遠隔操作ソフトをインストールさせられたことにより、不正なアクセスを受けたことが判明いたしました。
当該事実の判明後、本従業員のパソコン端末のインターネットおよび社内ネットワーク接続を遮断いたしましたが、一定の時間「ウエルシアドットコム」で過去にお買い物をされた一部のお客様の情報および当社従業員の情報が漏えいしたおそれがございます。 

 

【攻撃の傾向・手法】

攻撃者が著作権侵害のフィッシング詐欺で情報窃取マルウェアを展開 - Cisco Japan Blog

  • 企業の法務部門になりすまして「著作権侵害」といったファイル名の偽 PDF を添付した詐欺メールを送り付け、被害者が焦ってマルウェアをダウンロードし、実行するように仕向けるという手口です。
  • この攻撃では、標的のマシンに情報窃取マルウェアを送り込むために、Google の Appspot[.]com ドメイン、短縮 URL、Dropbox サービスを悪用してネットワークセキュリティ製品による検出を回避しています。

Malicious QR codes sent in the mail deliver malware | Malwarebytes

スイス国立サイバーセキュリティセンター(NCSC)が発した警告によると、マルウェアをダウンロードするよう人々を騙すQRコードが入った物理的な手紙が郵便で送られているという。この手紙は、スイス連邦気象気候庁(MeteoSwiss)から送られたかのように送信されており、受信者に新しい「悪天候アプリ」をインストールするよう促している。

ZIPファイルの連結手法でマルウェアを隠蔽 Windowsユーザーは要注意:セキュリティニュースアラート - ITmedia エンタープライズ

 ZIPファイルの連結、ファイル構造や圧縮展開ツールの動作の違いを悪用し、複数のZIPファイルを単一ファイルのように見せかける攻撃手法とされている。脅威アクターはこの手法を悪用して悪意のあるペイロードを配信していることが分かった。

確認された攻撃では運送会社を装ったフィッシングメールが使われている。電子メールには「SHIPPING_INV_PL_BL_pdf.rar」というファイルが添付されており、拡張子はRARだが実際には連結されたZIPファイルであることが判明している。このファイルを7-Zipで開いた場合は無害なファイルのみが表示されるが、WinRARやWindowsファイルエクスプローラーで開いた場合は隠された悪意のある実行ファイル「SHIPPING_INV_PL_BL_pdf.exe」も含めて表示されることが報告されている。

 

脆弱性情報】

CISA warns of more Palo Alto Networks bugs exploited in attacks

Citrix, Cisco, Fortinet Zero-Days Among 2023s Most Exploited Vulnerabilities - SecurityWeek

認証されていないコマンド インジェクション ( CVE-2024-9463 ) と SQL インジェクション ( CVE-2024-9465 ) の 2 つの脆弱性を利用して、Checkpoint、Cisco、およびその他のサポート対象ベンダーからの構成の移行に役立つ同社の Expedition 移行ツールを実行しているパッチ未適用のシステムにハッキングする可能性があります。

「Palo Alto Networks Expedition の複数の脆弱性により、攻撃者は Expedition データベースの内容や任意のファイルを読み取ったり、Expedition システム上の一時保存場所に任意のファイルを書き込んだりできる」と Palo Alto Networks は10 月初旬に公開したセキュリティ アドバイザリで付け加えた・

「Expeditionの修正バージョンにアップグレードした後、Expeditionのすべてのユーザー名、パスワード、APIキーをローテーションする必要があります。Expeditionによって処理されるファイアウォールのユーザー名、パスワード、APIキーはすべて、アップデート後にローテーションする必要があります」

FBI, CISA, and NSA reveal most exploited vulnerabilities of 2023

FBI、NSA、ファイブアイズサイバーセキュリティ当局は、昨年を通じて日常的に悪用された上位15の脆弱性のリストを公開しました。そのほとんどは、最初はゼロデイとして悪用されました。

「2023年に最も頻繁に悪用された脆弱性の大部分は、当初ゼロデイとして悪用されました。これは、最も悪用された脆弱性の半分未満がゼロデイとして悪用された2022年から増加しています。」実際に日常的に悪用されている上位15の脆弱性のうち12は昨年対処されており、脅威アクターがゼロデイ(公開されているがまだ修正されていないセキュリティ上の欠陥)に攻撃を集中させていると警告しているのと一致する。

 

【当局関連の動き、法規則等】

米国 NIST IR 8547(初期公開ドラフト) 耐量子暗号標準への移行について: まるちゃんの情報セキュリティ気まぐれ日記

 

【調査結果・ベンダーレポート】

チェック・ポイント・リサーチ、ランサムウェアの最新動向レポートを発表 〜データ侵害の手口の進化とRansomHubの台頭でサイバー攻撃の脅威が深刻化 – SecurityInsight | セキュリティインサイト

RansomHubは2024年2月に登場した比較的新しい攻撃グループだが、ランサムウェア分野で急速に頭角を現している。

2024年9月、RansomHubによる被害件数は全ランサムウェア被害の19%を占め、新規の被害は74件に達した。

2024年9月、Lockbitによる新規の被害件数は20件で、全体の5%まで激減した。これは過去数年の最盛期と比べると大幅な減少となっている。

トレンドマイクロ、世界サイバーリスクレポート2024年版を公開 ~日本の組織はパッチの適用に1か月以上要することが課題 – SecurityInsight | セキュリティインサイト

世界の地域と日本のリスク指標を比較すると、日本は他の地域と比較して最も低い38.2というスコアをマークしている。

2024年上半期の日本における平均MTTP(Mean Time To Patch:パッチ適用までにかかる時間)は36.4日で1か月以上要していることが分かった。これは他の地域と比較して最長であり、平均MTTPが26.5日の欧州地域と比較すると、およそ10日遅い。

2024年版「最もよく使われるパスワード」が公開される、日本企業からは「ニャンまげ」が謎のランクイン - GIGAZINE

 

【その他】

「能動的サイバー防御で日本は“蚊帳の外”」名和利男氏、新井悠氏、辻伸弘氏が示す官民連携への道筋 (1/3)|EnterpriseZine(エンタープライズジン)

多くの国が攻撃を完全に防ぐことは難しいという前提に立ち、攻撃を受けた後の迅速な復旧と事業継続性の確保に重点を置く「回復力のあるサイバーディフェンス」を採用しています。

最近は侵入後の対応ばかり強調されていて、事前対策が忘れられている気がします。「侵入前提」という言葉が多用され、侵入されることを諦めているのではないかと感じています。実際、攻撃者は下調べをして準備を進め、タイミングを見計らって攻撃します。守る側も同様に準備が必要です

2024/11/10

【攻撃の傾向・手法】

米国CISAが注意を呼びかけたRDP構成ファイルを添付したフィッシングについてまとめてみた - piyolog

米国CISAが注意を呼びかけたのはRDP構成ファイル(拡張子.rdp)が添付されたフィッシングメール各報告によれば、一連のフィッシングは諜報活動を目的に行われたもの分析されており、さらにMicrosoftはこの活動が継続中であると分析している。

攻撃者が送ってきたRDP構成ファイルも、設定された内容で攻撃者が用意したサーバーにリモートデスクトップ接続することが可能となっていた。さらに接続をする側、つまりメールを受け取った側のWindows端末のローカルシステムの機能およびリソースが攻撃者側が用意したサーバーに拡張される設定がされていた。

フィッシングメールに使用していたおとりの内容(ルアー)について、Microsoftの従業員や他のクラウドサービスプロバイダに偽装していたケースが確認されている。攻撃者が用意したリモートデスクトップサーバーも一部はAWSを想起させるドメイン名が用いられていた。

 

【攻撃組織の動向】

中国と連携していると考えているハッキング集団「ミラーフェイス」が送るスピアフィッシングメール内の誘導文書は日本をテーマにしており、「2025年に日本で開催される万博」と題する文書をダウンロードするよう標的に促していた。ESETは「MirrorFaceの通常の標的に対する活動は止まらなかった。脅威アクターが研究機関や政党など、さまざまな日本の組織を標的にし続けているのを確認した。」中国とつながりのある脅威グループによる日本の機関への攻撃疑惑は近年増加している。昨年8月、日本のサイバーセキュリティ機関は、自らがハッキングを受け、攻撃者が発見されるまでの9か月間、機密データにアクセスしていた可能性があると発表した

 

脆弱性情報】

Microsoft SharePoint RCE bug exploited to breach corporate network

最近公開された Microsoft SharePoint のリモート コード実行 (RCE) の脆弱性 (CVE-2024-38094 として追跡) が、企業ネットワークへの初期アクセスを取得するために悪用されています。Rapid7 は、攻撃者が CVE-2024-38094 を使用して脆弱な SharePoint サーバーに不正アクセスし、Web シェルを埋め込んだと報告しています。

 

【当局関連の動き、法規則等】

「ランサムウェア・インシデント発生時の組織向けガイダンス」公表 [2024.10.03] | ScanNetSecurity

警察庁は10月3日、米国時間9月30日から10月3日にかけて米国で開催された「第4回カウンターランサムウェア・イニシアティブ会合」にて、「ランサムウェア・インシデント発生時の組織向けガイダンス」が発出されたと発表。

ランサムウェア・インシデント発生時の組織向けガイダンス」は、ランサムウェア・インシデントが組織に及ぼす影響全体を最小限に抑え、かつ「業務の妨害とコスト」「ランサムウェア被害組織による身代金の支払件数」「ランサムウェア被害組織による身代金の支払額」の軽減を目的としたもので、ランサムウェ ア犯罪者への支払いを検討する前に、組織が講じるべき手順の全体的な概要を提供。

 

【調査結果・ベンダーレポート】

Rise Of Ransomware-As-A-Service Leads To Decline Of Custom Tools

Raasについて。

Hackers Using AV/EDR Bypass Tool From Cybercrime Forums To Bypass Endpoints

EDRSandBlast ソース コードから派生した disableder.exe ツールは、脆弱なドライバー wnbios.sys または WN_64.sys を利用して特権アクセスを行うことで、ユーザー モードとカーネル モードの EDR フックをターゲットにして削除します。 

Monthly Threat Actor Group Intelligence Report, August 2024 (JPN) – Red Alert

(日本に関係あるもの)

SectorA01:採用担当者として偽装して採用テストやソースコードレビューテストなどのファイル名に偽装した圧縮ファイルを使用し、圧縮ファイル内部の悪性のスクリプトの実行を誘導した。

SectorA04:アンチウイルスソフトの管理システムに存在する知られざるの脆弱性を悪用し、システムやネットワーク接続情報などを収集する機能を実行するマルウェアを配布した。

チェック・ポイント、2025年のサイバーセキュリティ予測を発表 〜AIと量子技術の台頭による新たなサイバー脅威に加えて、ソーシャルメディアを悪用した攻撃が激化 – SecurityInsight | セキュリティインサイト

重要なサプライチェーンを狙った攻撃が行われるようになり、業界全体に影響を及ぼすような大規模なランサムウェア攻撃がより一般的になる。攻撃者たちは、AIを駆使したフィッシングメールやディープフェイクによるなりすましを使って、防御を突破していく。

【セキュリティ ニュース】DDoS攻撃、前月から約3割減、最大攻撃規模も縮小 - IIJレポート(1ページ目 / 全1ページ):Security NEXT

インターネットイニシアティブIIJ)は、同社サービスやバックボーンで9月に観測したDDoS攻撃の状況を取りまとめた。件数や攻撃の最大規模は前月から大きく減少している。

 

【セキュリティ対策機器、ツールの紹介記事】

Antivirus, Anti-Malware Lead Demand for AI/ML Tools

アンチウィルスにはAIや機械学習が含まれている、という。。

 

【コラム系】

特殊詐欺のコミュニティで行われている活動について - NTT Communications Engineers' Blog

AIコーディングの主なセキュリティリスクと対処法:Gartner Insights Pickup(376) - @IT

総じて生成AIのアウトプットについて、脆弱性やちょさっ権侵害がないか等、リスクに対する目線を決めて、きちんと確認する体制が必要。。

 

【その他】

Introduction | ASM導入検討を進めるためのガイダンス(基礎編)

2024/10/26

【インシデントに関する情報】

保険会社の顧客データ盗み恐喝 さらに空売り投資家をたきつけ | ScanNetSecurity

10 月 17 日発表された米国証券取引委員会(SEC)に提出された報告書の中で、グローブ・ライフは最近「当社とその独立代理店が保有・使用している特定の情報」を、公表しない代わりに金銭を要求する正体不明の脅威アクターから連絡を受けたと明らかにしている。

被害を受けた個人はすべて同社子会社のアメリカン・インカム・ライフ・インシュアランス・カンパニー(AIL)の顧客で、氏名や電子メールアドレス、電話番号、住所、社会保障番号、健康データなどのデータが盗まれたが、金融情報は盗まれていないという。

調査終了 11 月以降予定 ~ 東京損保鑑定にランサムウェア攻撃 | ScanNetSecurity

東京損保鑑定株式会社は10月7日、同社サーバへのランサムウェア攻撃について発表した。これは同社のサーバに第三者から不正アクセスがあり、同サーバ内に保存されていたファイルがランサムウェアにより暗号化されたというもの。Insurance admin Landmark says data breach impacts 800,000 people
保険事務サービス会社ランドマーク・アドミンは、5月のサイバー攻撃によるデータ侵害が80万人以上に影響を及ぼすと警告している。
Landmark Admin は保険会社向けのサードパーティ管理者であり、大手保険会社向けに新規ビジネス処理や請求管理などのバックオフィス サービスを提供しています。
2024年5月13日に不審な活動を検知し、攻撃の拡大を防ぐためにITシステムとネットワークへのリモートアクセスをシャットダウンしたと述べています。
ランドマークは、インシデントを修復し、攻撃でデータが盗まれたかどうかを調査するために、サードパーティのサイバーセキュリティ企業と協力しました。
ランドマーク社は、今回の調査で、攻撃者が攻撃中に806,519人の個人情報を含むファイルにアクセスした証拠を発見したと述べている。

【攻撃の傾向・手法】

LinkedIn bots and spear phishers target job seekers | Malwarebytes

最近、解雇されたばかりの人々を狙う偽の LinkedIn アカウントが見つかりました。投稿から数分以内に、数十のアカウントがリンクを添えて返信したり、つながりとして追加するようリクエストしたりします。

彼らの主な目的は、求職者を支援するふりをして人脈を築くことのようです。これにより、彼らのプロフィールの信憑性が高まり、彼らを締め出すのが難しくなる可能性があります。

→攻撃者は求職者に対して、マルウェアに感染させるための資料を送り付け、認証情報の奪取等を狙っている模様

Akira is encrypting again after abandoning double extortion • The Register

Akira ランサムウェア攻撃が、典型的な二重の恐喝戦術から抜け出して、被害者のファイルを暗号化するという古い手口を再び行っていると考えている。

Akira は今年初めにランサムウェア暗号化ツールの新バージョンを開発しましたが、私たちはつい最近、Windows ホストと Linux ホストの両方を標的とする暗号化ツールの新たなバージョンを確認しました。

 

【攻撃組織の動向】

Lazarus Group Exploits Google Chrome Vulnerability to Control Infected Devices

Lazarus Groupとして知られる北朝鮮の脅威アクターは、現在パッチが適用されているGoogle Chromeのセキュリティ上の欠陥をゼロデイで悪用し、感染したデバイスの制御を奪取したとされている。

問題となっている脆弱性Google が 2024 年 5 月中旬に修正した V8 JavaScript および WebAssembly エンジンの型混乱バグであるCVE-2024-4947です。これらの攻撃は、電子メールやメッセージング プラットフォームを通じて潜在的なターゲットにアプローチし、投資機会を探しているブロックチェーン企業やゲーム開発者を装って、ゲームをインストールするように仕向けることで実行されます。

Black Basta ransomware poses as IT support on Microsoft Teams to breach networks

BlackBasta ランサムウェア攻撃は、ソーシャル エンジニアリング攻撃を Microsoft Teams に移行し、企業のヘルプ デスクを装って従業員に連絡し、進行中のスパム攻撃への対応を支援しています。

5 月に、   Rapid7ReliaQuest は、標的の従業員の受信トレイに何千ものメールを大量に送信した新しい Black Basta ソーシャル エンジニアリング キャンペーンに関する勧告を発表しました。これらのメールは悪意のあるものではなく、主にニュースレター、サインアップ確認、メール検証で構成されていましたが、ユーザーの受信トレイをすぐに圧倒しました。その後、脅威アクターは、対応に追われている従業員に電話をかけ、会社の IT ヘルプデスクを装ってスパム問題の解決を助けます。

攻撃者はユーザーを騙して AnyDesk リモート サポート ツールをインストールさせたり、Windows Quick Assist リモート コントロールおよび画面共有ツールを起動して Windowsバイスへのリモート アクセスを提供させたりします。そこから、攻撃者は、ユーザーの企業デバイスへの継続的なリモートアクセスを提供する ScreenConnect、NetSupport Manager、Cobalt Strike などのさまざまなペイロードをインストールするスクリプトを実行します。

研究者らは、Black Basta の関連組織が 10 月に Microsoft Teams を活用して戦術を進化させていることを確認した。攻撃者は電話をかける代わりに、外部ユーザーとして Microsoft Teams を通じて従業員に連絡し、企業の IT ヘルプデスクになりすまして従業員に連絡し、スパム問題の解決を支援しています。目的は、再びターゲットを騙して AnyDesk をインストールさせたり、Quick Assist を起動させたりして、脅威アクターがデバイスにリモートアクセスできるようにすることです。

 

脆弱性情報】

AWS CDK flaw exposed accounts to full takeover • The Register

Amazon Web Services は、オープンソースの Cloud Development Kit に存在する、適切な条件下では攻撃者がユーザーのアカウントを完全に乗っ取る可能性がある欠陥を修正しました。

Cloud Development Kit (CDK) は、AWS が開発したオープンソースフレームワークであり、開発者は Python、TypeScript、JavaScript、Go などのプログラミング言語を使用してクラウドアプリケーションインフラストラクチャをコードとして定義し、AWS CloudFormation を通じてこれらのリソースをプロビジョニングできます。

これらの CDK ステージング バケットは、"cdk-{Qualifier}-{Description}-{Account-ID}-{Region}" という決まった命名カニズムに従っています。これにより、AWS アカウント ID と CDK がデプロイされたリージョンがわかっていれば、簡単に予測できます。

 

【調査結果・ベンダーレポート】

「M-Trends 2024」で示された“脆弱性攻撃”の台頭──検知能力は改善も、依然として外部依存 (1/3)|EnterpriseZine(エンタープライズジン)

脅威検知の能力については顕著な改善が見られます。全世界の平均検知時間は、2022年に「16日」だったものが2023年には「10日」に短縮されました。また、アジア地域では、2017年に「約500日」だった検知時間が、2023年には「9日」にまで短縮されています

「13%のケースで半年以上も脅威が検知されていない」という結果が報告されており、長期にわたる未検知の脅威が組織に潜在していることも露呈しました。さらに、“脅威の検知ソース”に関しても課題があります。全世界で54%、アジア地域では69%もの組織が外部からの通知に依存しており、組織内部での脅威検知能力が低く、ここに大きな改善の余地が残されているのです。

サイバーセキュリティクラウド、2024年第3四半期「Webアプリケーションを狙ったサイバー攻撃検知レポート」を発表 ~個人情報とクレジットカード情報の流出件数で最も多かった業界は食品・飲料製造業 – SecurityInsight | セキュリティインサイト

検知された攻撃元を国別に2023年同期比でみると、攻撃件数の上位は1位アメリカ、2位日本、3位イギリス、フランス、オーストラリアと続いていた。最も多い攻撃種別は、攻撃の対象を探索・調査、また無作為に行われる単純な攻撃で脆弱性を探すなどの「攻撃の予兆」である「Web scan」が全体の40%。続いて脆弱性スキャンツールなどを利用したBotによる攻撃である「Bad user agent」が23%。2023年7月からの動向を見ると、SQLインジェクション攻撃の検知数が増加傾向にある

 

【セキュリティ対策機器、ツールの紹介記事】

ガートナー「日本におけるセキュリティハイプ・サイクル」2024年版 | ScanNetSecurity

2024年版では、サイバーセキュリティの継続的なコンプライアンスの自動化、サイバーリスク・マネジメントにおけるAI、サイバー・フィジカル・システムのリスク・マネジメントの3項目を追加している。

サイバーセキュリティの継続的なコンプライアンスの自動化ツールは、継続的なコンプライアンス監視、証拠収集、外部監査と認証プロセスのサポートなどの機能を提供する。

サイバーリスク・マネジメントにAIを採用することで、プロセスの顕著な効率化を実現し、サイバーセキュリティの防御を強化し、複雑で進化を続けるサイバーリスクの状況をより良くナビゲート可能となる。

多くの企業ではセキュリティ対策よりも新しいサービスの開始や維持が優先される傾向にあり、CPSの環境にはセキュリティ上の脆弱性が多く、それらを狙ったセキュリティ脅威がますます増加しているという。サイバー・フィジカル・システム(CPS)のリスク・マネジメントで、企業はCPS特有のセキュリティおよび安全性のリスクを効果的に管理が可能となる。

2024年10月21日コンソーシアム知見集「セキュリティ透明性確保に向けた可視化データ活用~脆弱性管理編~」公開 - Security Transparency Consortium

 

【コラム系】

What NIST's post-quantum cryptography standards mean for data security

国国立標準技術研究所 (NIST) は、初のポスト量子暗号 (PQC) 標準規格を発表しました。

量子安全性」を実現するには、暗号の成熟度を高め、その過程で暗号プログラムを変革する必要があります。目標は、量子によるリスクに対する耐性を含む強力な暗号態勢です。

量子耐性への道のりは、多くの場合、リスクの分析や修復の優先順位付けなど、企業全体の暗号インベントリを可視化するためのデータの検出と分類から始まります。検出と分類の先には、暗号の俊敏性、つまりプラットフォーム、システム、アプリケーションが適切かつ速やかに次の暗号化方式に移行できるようにしておくことが必要。

近ごろよく耳にする「ゼロトラスト」の基本原則と構成要素をおさらいしよう:ビジネスパーソンのためのIT用語基礎解説 - @IT

ゼロトラストの基本的なコンセプトの説明

NIST が打ち出したパスワードに関する新ガイドラインの内容と、従来の方式が機能しなかった理由 - Cisco Japan Blog

NISTの新たなガイドラインの推奨事項により、ユーザーや管理者にとっては、従来から採用しているテキストベースのログイン情報がより管理しやすいものになるはずです。調査によるとpopup_icon特殊文字と数字をパスワードの要件にしていることが、「$ummer2024!」や「P@ssword」のような推測されやすいパスワードが生成される原因になっているとのことです。
パスワードの変更を求めるポリシーは、記憶するのがほぼ不可能に近いパスワードをユーザーが生成する事態を招いてきました。ユーザーは仕方なく、パスワードを紙にメモしてパソコンの近くなど目に入りやすい場所に保管したり、テキストファイル形式でデスクトップに保存したりしていますpopup_icon
NIST の期待popup_iconは、長いパスワードを要件とすることで攻撃者に推測されにくくなり、ユーザーが比較的パスワードを管理しやすくなる点にあるでしょう。

 

2024/10/19

【インシデントに関する情報】

Casio Confirms Ransomware Outage and Data Breach - Infosecurity Magazine

カシオは、1週間以上前にランサムウェア攻撃を受けた後、同社の一部の企業システムとサービスが依然として被害を受けており、個人情報が漏洩していることを明らかにした。

US insurance giant extorted over leaked customer data • The Register

すでに法的トラブルに悩まされている米国の保険会社グローブ・ライフは、顧客データの盗難をめぐる恐喝未遂という新たな問題に直面している。

グローブ・ライフは本日、米国証券取引委員会に提出した報告書の中で、最近、身元不明の脅威者から連絡があり、「同社とその独立代理店が保有し、使用している特定の情報」を公開しない代わりに金銭を要求すると発表している。

ロシア系ハッカー集団 日本の自治体サイトなどサイバー攻撃か | NHK | サイバー攻撃

ロシア系のハッカー集団が日本の自治体や交通機関などのウェブサイトに大量の通信を送りつけるサイバー攻撃を行ったとSNS上で主張していて、一部のサイトで閲覧しづらくなるなどの障害が出ています。

大量の通信を送りつけてサイトをダウンさせる「DDoS攻撃」を行っているとみられ、内閣サイバーセキュリティセンターでは被害の拡大を防ぐため、情報収集を進めているとしています。

https://www.saizeriya.co.jp/PDF/irpdf001511.pdf

当社におけるランサムウェア被害に伴うサービスの一部停止と情報漏えいに関するお知らせ(サイゼリヤ

 

【攻撃の傾向・手法】

EDRSilencer red team tool used in attacks to bypass security

EDRSilencer は、独自のペンテスト ツールである MdSec NightHawk FireBlock にヒントを得たオープン ソースツールで、実行中の EDR プロセスを検出し、Windows Filtering Platform (WFP) を使用して IPv4 および IPv6 通信プロトコル上のネットワーク トラフィックを監視、ブロック、または変更します。カスタム ルールを設定すると、攻撃者は EDR ツールとその管理サーバー間の継続的なデータ交換を妨害し、アラートや詳細なテレメトリ レポートの配信を阻止できます。

「ハードコードされたリストに含まれていない追加のプロセスを特定してブロックした後、EDRツールはログを送信できなかったため、ツールの有効性が確認されました」

「これにより、マルウェアやその他の悪意のある活動が検出されず、検出や介入なしに攻撃が成功する可能性が高まる」と研究者らは述べている。

多要素認証を回避しMicrosoftアカウントを狙うサイバー攻撃に注意 | TECH+(テックプラス)

被害者の誘導には、メールの添付ファイルやストレージサービスから配布されるHTMLファイルを使用する。HTMLファイルは無害なコンテンツの中に悪意のあるJavaScriptを含み、表示するとフィッシングサイトにリダイレクトされる。フィッシングサイトはOneDrive、SharePoint、ボイスメールまたは通常のMicrosoftサイトを模倣したサインインページを表示する。

Mamba 2FAには次の機能があり、一部の多要素認証(MFA: Multi-Factor Authentication)を回避してMicrosoftアカウントの認証情報とCookieを窃取する。

 

【調査結果・ベンダーレポート】

More ransomware is stopped before reaching encryption • The Register

Microsoft Digital Defense Report (MDDR) のデータによると、暗号化段階に至る攻撃の数は過去 2 年間で 3 分の 1 に減少しています。

このレポートでは、この減少傾向は自動攻撃検出と妨害によるものだとしており、組織が支払うセキュリティ ソリューションが、ランサムウェア攻撃が最大の被害をもたらす前に阻止していることを意味します。

3.8Tbps巨大DDoS攻撃を回避したCloudflare、世界記録を更新 | TECH+(テックプラス)

Cloudflareは10月2日(米国時間)、「How Cloudflare auto-mitigated world record 3.8 Tbps DDoS attack」において、世界記録となる3.8Tbps(ピーク値)の分散型サービス拒否攻撃(DDoS: Distributed Denial of Service attack)を回避したと発表した。

攻撃キャンペーンの主な標的は金融、インターネット、通信業界とされる。プロトコルUDP(User Datagram Protocol)の固定ポートが使用され、大部分がベトナム、ロシア、ブラジル、スペイン、米国から送信された

 

【コラム系】

Understand these seven password attacks and how to stop them

認証情報不明時に不正アクセスを試みる手口の種類と対策について

 

【その他】

2024年にセキュリティプログラムに影響を与えるITセキュリティトレンド:Gartner Insights Pickup(373) - @IT