ぼくの備忘録

セキュリティに関するニュース等で気になったものを残していきます。毎日更新が理想ですが、更新に時間を要することも有ります。。

2020/12/7-10

インシデント事例

○Fireeyeへのサイバー攻撃により、レッドチームのツールが漏洩

・サイバーセキュリティ企業のFireEyeが「一流の攻撃能力を備えた国」にハッキングされる

https://gigazine.net/news/20201209-fireeye-security-tool-stolen/

・Unauthorized Access of FireEye Red Team Tools

https://www.fireeye.com/blog/threat-research/2020/12/unauthorized-access-of-fireeye-red-team-tools.html

・Theft of FireEye Red Team Tools

https://us-cert.cisa.gov/ncas/current-activity/2020/12/08/theft-fireeye-red-team-tools

・FireEye Says Nation-State Attackers Stole Pen Test Tools

https://www.bankinfosecurity.com/fireeye-says-nation-state-attackers-stole-pen-test-tools-a-15555

→国家支援(ロシア?)のあるハッキングチームがFireeyeへのサイバー攻撃を実施。Fireeyeからレッドチームがペネトレーションテストの実施の際に利用するツール(既知の脆弱性を利用するようなもので、ゼロデイを利用するものではない)が漏洩した模様。

→漏洩したツールが利用されることを想定した場合の対応策をGithub上で公開。

→セキュリティベンダーも狙われていることが分かる良い事例。本当はゼロデイを突く攻撃ツールか、顧客情報(ターゲットのテスト結果?)が欲しかったのかなと推察。

 

【攻撃の傾向・手法、攻撃組織の動向】

○M365アカウントを狙うフィッシング攻撃

・Attackers Know Microsoft 365 Better Than You Do

https://www.darkreading.com/cloud/attackers-know-microsoft-365-better-than-you-do/a/d-id/1339404?_mc=rss_x_drr_edt_aud_dr_x_x-rss-simple

Phishing Campaign Targets 200M Microsoft 365 Accounts

https://www.darkreading.com/threat-intelligence/phishing-campaign-targets-200m-microsoft-365-accounts/d/d-id/1339637?_mc=rss_x_drr_edt_aud_dr_x_x-rss-simple

→最近定期的に出てくる内容。

 

脆弱性情報】

・今日は毎月恒例「Windows Update」の日

https://gigazine.net/news/20201209-windows-update/

 

【その他・法規則関連など】

・セキュリティの再定義と拡張が必要、ガートナーが未来志向型の指針を発表

https://www.atmarkit.co.jp/ait/articles/2012/09/news038.html

・コロナ禍で世界は、サイバー攻撃はどう変わったか、ゼロトラストセキュリティのポイントは?

https://www.atmarkit.co.jp/ait/articles/2012/08/news005.html

 →ココ重要「いずれにせよ重要なポイントは、システムやユーザーを“やみくも”に信頼するのではなく、信用すべきものを最低限にとどめることだ。そして、強力な認証とID管理、IDガバナンスのライフサイクル管理、インフラやネットワーク、エンドポイントのモニタリング・管理といった手段を通して、システムやユーザーが何をしているかを“検証”する仕組みを整えることが重要だ。さらに、ゼロトラストは製品でもなければフレームワークでも、戦略でもない。リスクに向き合う“マインドセット”であり、マーケティング上のはやり言葉に踊らされず、全体像と自社が解決したい問題に、そしてリスクを削減していくことにフォーカスすることが重要だ」

→様々な環境下からアクセスを許す代わりに、常にユーザーを検証し、その状況に応じた認証、認可を行う体勢を整えていく必要がある。

 

【一言】

今週は休暇取得していたこともあり、溜めに溜めてしまいました。

ゼロトラスト、確かに新しいテーマとして流行っている言葉であるが、 イマイチ何を目指したいのかわからない。どのような環境下からのアクセスでも許す代わりに、常に認証認可を行い続けるような考え方だと思うのだけど、わざわざそれに振り切る必要はあるんだろうか。これまでに積み上げてきた境界防御の考え方も使いつつ、何をどこまでしたいのか、明らかにしていかないと間違った方向に向かう気がしている。