【インシデント事例】
○Fireeyeへのサイバー攻撃により、レッドチームのツールが漏洩
・サイバーセキュリティ企業のFireEyeが「一流の攻撃能力を備えた国」にハッキングされる
https://gigazine.net/news/20201209-fireeye-security-tool-stolen/
・Unauthorized Access of FireEye Red Team Tools
・Theft of FireEye Red Team Tools
https://us-cert.cisa.gov/ncas/current-activity/2020/12/08/theft-fireeye-red-team-tools
・FireEye Says Nation-State Attackers Stole Pen Test Tools
https://www.bankinfosecurity.com/fireeye-says-nation-state-attackers-stole-pen-test-tools-a-15555
→国家支援(ロシア?)のあるハッキングチームがFireeyeへのサイバー攻撃を実施。Fireeyeからレッドチームがペネトレーションテストの実施の際に利用するツール(既知の脆弱性を利用するようなもので、ゼロデイを利用するものではない)が漏洩した模様。
→漏洩したツールが利用されることを想定した場合の対応策をGithub上で公開。
→セキュリティベンダーも狙われていることが分かる良い事例。本当はゼロデイを突く攻撃ツールか、顧客情報(ターゲットのテスト結果?)が欲しかったのかなと推察。
【攻撃の傾向・手法、攻撃組織の動向】
○M365アカウントを狙うフィッシング攻撃
・Attackers Know Microsoft 365 Better Than You Do
・Phishing Campaign Targets 200M Microsoft 365 Accounts
→最近定期的に出てくる内容。
【脆弱性情報】
・今日は毎月恒例「Windows Update」の日
https://gigazine.net/news/20201209-windows-update/
【その他・法規則関連など】
・セキュリティの再定義と拡張が必要、ガートナーが未来志向型の指針を発表
https://www.atmarkit.co.jp/ait/articles/2012/09/news038.html
・コロナ禍で世界は、サイバー攻撃はどう変わったか、ゼロトラストセキュリティのポイントは?
https://www.atmarkit.co.jp/ait/articles/2012/08/news005.html
→ココ重要「いずれにせよ重要なポイントは、システムやユーザーを“やみくも”に信頼するのではなく、信用すべきものを最低限にとどめることだ。そして、強力な認証とID管理、IDガバナンスのライフサイクル管理、インフラやネットワーク、エンドポイントのモニタリング・管理といった手段を通して、システムやユーザーが何をしているかを“検証”する仕組みを整えることが重要だ。さらに、ゼロトラストは製品でもなければフレームワークでも、戦略でもない。リスクに向き合う“マインドセット”であり、マーケティング上のはやり言葉に踊らされず、全体像と自社が解決したい問題に、そしてリスクを削減していくことにフォーカスすることが重要だ」
→様々な環境下からアクセスを許す代わりに、常にユーザーを検証し、その状況に応じた認証、認可を行う体勢を整えていく必要がある。
【一言】
今週は休暇取得していたこともあり、溜めに溜めてしまいました。
ゼロトラスト、確かに新しいテーマとして流行っている言葉であるが、 イマイチ何を目指したいのかわからない。どのような環境下からのアクセスでも許す代わりに、常に認証認可を行い続けるような考え方だと思うのだけど、わざわざそれに振り切る必要はあるんだろうか。これまでに積み上げてきた境界防御の考え方も使いつつ、何をどこまでしたいのか、明らかにしていかないと間違った方向に向かう気がしている。