【インシデント事例】
・テスラが機密ファイル2万6000件を盗み出したとして元従業員を告訴、本人は作業ミスと否定
https://gigazine.net/news/20210125-tesla-sues-former-employee/
→自分のPCに業務ファイルをコピーするよう指示するなんて、俄に信じがたいですが果たして。。
【攻撃の傾向・手法、攻撃組織の動向】
・Business executives targeted with Office 365-themed phishing emails
→C職のO365 アカウントが狙われているのは昨年からの傾向ですね。アカウントを奪えてしまえば、不正アクセス、BEC、いろいろ使いみちがありそうです。
・【注意喚起】ウイルスバスターのメンテナンス通知を装う偽のメールに注意
https://is702.jp/news/3806/partner/101_g/
・Jokerの初心者向けガイド
https://foxsecurity.hatenablog.com/entry/2021/01/24/113000
【技術関連】
・Microsoft365とAzureの Active Directoryバックドアの検出
・AWSアクセスキーをGithubにあげてしまった時の対処方法
https://qiita.com/ksuzu/items/7db2d12e3183ae92fcc6
・GCPでセキュリティガードレールを作るための方法と推しテク
【その他】
・CrowdStrike Blog:アイデンティティ保護の重要性:最近注目されたサイバー侵害から学ぶ重要なポイント
https://scan.netsecurity.ne.jp/article/2021/01/26/45098.html
・2020年 企業へのサイバー攻撃動向総括 ~ 盗まれた認証情報はいくらで売りに出されるか
https://scan.netsecurity.ne.jp/article/2021/01/25/45093.html
→侵入した環境にボットを送り込みC&Cサーバとして悪用するケースもあり、EMOTETが接続するC&Cサーバの所在地で日本が同率2位であることから、日本の企業内にC&Cサーバが立ち上げられている可能性が高いとした。
→もはやIDとパスワードだけの認証はセキュリティの担保にならない。
→さらに、企業への侵入に成功した攻撃者が、その権限を販売するケースも確認されている。トレンドマイクロでは「AaaS(Access as a Service)」と呼んでいるが、RDPや侵入済みのRAT、クラウドストレージへのアクセス権、経営層レベルの認証情報など、さまざまな形態のアクセス権がアンダーグラウンド市場で販売されている。
・マイクロソフト「Edge 88」、「パスワードモニター」など複数の新機能
https://japan.zdnet.com/article/35165509/
【一言】
AzureAD周りの仕様と、最近のセキュリティ推奨事項の整理を しておきたい。。