【インシデント事例】
・マルウェア感染による個人情報漏洩の可能性に関するお知らせとお詫びにつきまして(
https://www.shopro.co.jp/news/220804/220804.pdf)
→保育施設でなりすましメールの添付ファイルを開封し、マルウェア感染、PC内に保存されていたファイルが外部に送信されている可能性がある、という事案。
→恐再発防止策として、技術的対策の強化が挙がっておらず、人的対策・組織的対策に終止していることが気になりました(人が行う対策は100%徹底することが難しいので)。例えばセキュリティソフトのアップデートはきちんとされていたのでしょうか。。
【攻撃の傾向・手法】
・Cybercriminals Developing BugDrop Malware to Bypass Android Security Features
→GooglePlayストアでダウンロードしたアプリであっても、ユーザーの認証情報の窃取につながるような行為を行うものが確認されているとのこと。Googleが施しているセキュリティ対策も対応されているケースがあり、アプリの作成者やプライバシーポリシーを確認せよと注意喚起を促している状況。
→ストアにアップする審査だけでは限界があるんですかね。ユーザー側がいくら注意してもフィッシングメール同様巧妙に正規のアプリになりすましそうですし。。
・Russian APT29 hackers abuse Azure services to hack Microsoft 365 users
・ロシアのハッカーグループ、不正アクセスに「OneDrive」を悪用--MSが警告 - ZDNet Japan
→標的の組織のOneDriveに不正アクセスして情報漏えいを図ることに加え、OneDrive上のファイルに見せかけたファイルを送り、開かせようとする手口が確認されているとのこと。
→業務で使われているクラウドサービスを、攻撃者が悪用する行為が目立ってきていると思われる。クラウドサービス毎のアクセス制御だけでなく、クラウドサービス内のテナントやサービス毎のアクセス制御にも配慮する必要がある、ということですかね。
【当局関連の動き、法規則等】
・【セキュリティ ニュース】「ICTサイバーセキュリティ総合対策2022」を公開 - 総務省(1ページ目 / 全1ページ):Security NEXT
→総務省における、サイバーセキュリティ関連の動向分析と監督下の事業者に求めてきたこと、及び今後求めたい事項(≒総務省が考えている施策の方向性)のまとめの位置づけだと思われます。
【技術関連】
→AWSの各種セキュリティ機能をまとめた資料へのリファレンス+SecurityHubを中心としたセキュリティ管理について。
・[レポート] 診断員と考えるサーバーレスアプリケーションのセキュリティ #devio2022 | DevelopersIO
→FaaS利用時のセキュリティ対策の考え方について
【セキュリティに関する考え方、マインドセット】
【調査結果・ベンダーレポート】
・How EDR Security Supports Defenders in a Data Breach
→EDRは情報漏えいに繋がる攻撃前、攻撃の最中、攻撃後の各フェーズで有用。攻撃前のフェーズでは、攻撃者によるターゲットの環境への偵察活動に対してEDRが検知・防御を行うことで、攻撃を未然に認識・対応することを可能とする。攻撃の最中においても、当該攻撃を迅速に検知・防御及び攻撃を受けた端末の隔離が行える他、攻撃に関連する情報のブラックリスト登録、配布が行えるなど、他の機器に対する防御も速やかに実施可能。攻撃後に置いては、収集したログから一連の攻撃者の行動を再現し、修正すべきポイントや攻撃活動に関わるIoC情報の収集が可能、とのこと。
→EDRを入れたとは言え、上記に照らしてどこまで使えているかorインシデント時に使うことが想定できているか(ただの攻撃検知用ツールになっていないか)、振り返る必要があるかと。
・最新のHPセキュリティレポートを公開、進化するサイバー犯罪とその対策
→サイバー攻撃を行う難易度が下がっているので、引き続き基本的な対策からセキュリティ強化を進めていきましょう、とのこと。
【その他】
・メール訓練手引書(NCA)https://www.nca.gr.jp/activity/imgs/nca-mail-exercise-guidebook-v1.0.pdf
→業務の参考に。
