【インシデント事例】
・Taiwan authorities look into Apple supplier hack - BBC News
・REvil ransomware gang recommends that Apple buy back its data stolen in Quanta hackSecurity Affairs
→Appleほか複数社(日本だと富士通、東芝当たり?)が製品の製造を委託している台湾のメーカーがランサムの被害に。
→Appleの機密データを入手したらしく、身代金支払い要求がAppleに行っている点が特徴的。
・国内約200組織へ行われたサイバー攻撃と関係者の書類送検についてまとめてみた - piyolog
→国内にも入り込んで、工作活動が行われていることが分かりやすい事例。
・Codecovへの新たなサプライチェーン攻撃 - Fox on Security
・Linuxカーネルへの意図的な脆弱性混入、ミネソタ大が証明してしまったリスク - ITmedia エンタープライズ
・Linux team in public bust-up over fake “patches” to introduce bugs – Naked Security
・Linuxカーネルに意図的にバグを混入したとして大学にコミュニティ出禁措置 - GIGAZINE
→Linuxは、レビュアーがちゃんとレビューを行って、品質が確認された上で配布されているのですね。OSSについてはこうした品質確保プロセスの観点で見てみるのも大事なのかも。
・Password Manager Suffers 'Supply Chain' Attack
【攻撃の傾向・手法、攻撃組織の動向】
・「Exchange Server」の脆弱性を突く「Prometei」ボットネットがまん延 - ZDNet Japan
・Dark Reading | Security | Protect The Business(Insider Data Leaks: A Growing Enterprise Threat)
→ 組織内の人員のミスによる情報漏えいが増加しているとのこと。特にCOVID-19によるリモートワークが進んだことにより、更に漏洩の可能性が増えている状況。
・REvil ransomware - what you need to know about the criminal enterprise
・狙った企業は逃さない「ビジネスメール詐欺」、送金先は別の詐欺で盗んだ個人情報を悪用するケースも【被害事例に学ぶ、高齢者のためのデジタルリテラシー】 - INTERNET Watch
→なりすましが巧妙であるほど、情報が漏洩していると思ったほうが良いですね。
→送金先口座も漏洩したもの、とすると資金化のルートを洗う難易度が一段と上がりますね。。
【当局関連の動き、法規則等】
・改正個人情報保護法とIT部門の付き合い方 データ活用を進める鍵とは (1/3):EnterpriseZine(エンタープライズジン)
【その他】
・SOC 2 Attestation Tips for SaaS Companies
・オープンソースソフトウェアの利活用及びそのセキュリティ確保に向けた管理手法に関する事例集を取りまとめました (METI/経済産業省)
・敵を知り己を知れば百戦危うからず - Fox on Security
・三井倉庫HDがシンクライアントを普通のノートPCにリプレース、秘密分散技術でデータ保護 | IT Leaders
・全日空、秘密分散を採用した次世代クライアントPCを全社展開へ | IT Leaders
・カスペルスキー、「Kasperskyサイバー脅威レポート:2020年金融関連の脅威」を公開 - SecurityInsight | セキュリティインサイト
・今週の気になるセキュリティニュース - Issue #11 | Revue
【一言】
引き続き「サプライチェーン」は大きなキーワードですね。
ビジネス上の委託元・先という意味での「サプライチェーン」と、自社が利用するITシステム(特にソフトウェア)が開発・運用される中での「サプライチェーン」の両方に注意が必要なのかなと思います。
攻撃者は、手段がどうあれ、標的とする組織に入り込めればいいので、「どのようなルートが入り口になりうるか?」という思考実験をしながら、範囲を広げて対応しなくては行けない状況ですね。