【インシデント事例】
・ランサムウェアの要求に従うも、データが流出される事例が発生 - ZDNet Japan
→タイトルの通り。やはり身代金払えば約束を守ってもらえると思ってはいけない。。
・台湾のグループ会社に対するサイバー攻撃について (SOMPOHD)
https://www.sompo-hd.com/-/media/hd/files/news/2022/20220823_1.pdf?la=ja-JP
【攻撃の傾向・手法】
・AiTM phishing campaign also targets G Suite usersSecurity Affairs
→不正アクセスを狙うフィッシングが、Gsuiteユーザにも拡大。不正アクセス後は、BECを狙うとのこと。多要素認証を実装しているから、フィッシング攻撃が成功する可能性はゼロとは最早言えず、攻撃動向を注視しながらモニタリングや追加の強化策を施す可能性がある状況。今後、同様な被害が他のサービスに広がっていくのでは。
・Oktaのアカウント盗むサイバー攻撃確認、130超の組織が標的 | TECH+(テックプラス)
・Twilio Hackers Scarf 10K Okta Credentials in Sprawling Supply-Chain Attack
→上記記事に関連して。Oktaのアカウントも狙われている模様。
・Hackers use AiTM attack to monitor Microsoft 365 accounts for BEC scams
→引き続きM365も狙われている状況。認証情報を窃取して不正アクセスを行った後、攻撃者自身の電話番号を登録し、不正アクセスを永続化する事例も発生。認証に使う出電話番号の変更は監査ログで確認可能(だから見ておく必要があるということか?)。
【当局関連の動き、法規則等】
→量子暗号による暗号技術への影響とその備えについて。
【技術関連】
・CrowdStrike Blog:カーネル攻撃の検知と防御 | ScanNetSecurity
【セキュリティに関する考え方、マインドセット】
・CISA or CVSS: How Today's Vulnerability Databases Work Together
→脆弱性ハンドリングにおいて、CVSSとCISAのカタログの両者をどのようにとらえ、脆弱性を評価するかについて。悪用されているか?も一つのファクターだが、それだけけに重きを置くのも避けるべき。
→"CVEがCVSS(重要度)に照らしてどれほど深刻であっても、本当に重要なのは、攻撃者が実際にそれを悪用しているかどうかです。可能性のあるリスクは、どんなに深刻であっても、証明された進行中の問題よりも常に緊急度が低いのです。" "とはいえ、CISAカタログは完璧ではありません。結局のところ、注目し、優先順位をつけるに値する未活用の脆弱性が数多く存在するのです。" "結局のところ、CISAカタログをCVSSの代替物とは考えないでください。むしろ、有用な追加資料として捉えてください。"
・Log4j問題は大したことなかった? 脆弱性対応はスプリント&マラソン? SBOMで解決?――piyokango氏に聞いた:特集:1P情シスのための脆弱性管理/対策の現実解(1) - @IT
【調査結果・ベンダーレポート】
・サイバー犯罪の進化:ダークウェブが脅威の現状を急激に悪化させている理由とそ
の対策(HP社):https://jp.ext.hp.com/content/dam/jp-ext-hp-com/jp/ja/ec/lib/info/newsroom/hp_wolf_security_evolution_of_cybercrime_report.pdf
・個人情報を取得する企業が「気を付けるべきこと」とは? 警察庁やフィッシング対策協議会らが解説 - INTERNET Watch
→"2022年5月以降、大量のドメイン、サブドメイン、パラメータなどを組み合わせて大量にURLを生成する異常ともいえる動きが出ている。同一のURLが少なく、生存期間も短いという特徴があり、今まで主流だったURLフィルタリングによる対策が効きにくい状況になっている。今後は、誘導元となるフィッシングメールへの対策を行うことが被害抑制には有効である"
・「ゼロトラスト」なら境界型防御は不要? バズワードになって発生した“勘違い”(1/2 ページ) - ITmedia NEWS
【セキュリティ対策機器、ツールの紹介記事】
・GMOあおぞらネット銀行、なりすまし不正を防止する認証サービスを新たに導入 - ZDNet Japan
→「Auth Face」は口座開設時(身元確認時)に登録した顔写真を使って、サービス利用時の認証をおこなう、という趣旨なんだろうか。身元確認時のデータと紐付けられるのは強固だなと思いました。
・面倒なセキュリティ運用を自動化する「SOAR」とは、歴史と主な4つの機能――ゼロトラストの自動化と連携:働き方改革時代の「ゼロトラスト」セキュリティ(21) - @IT
【コラム系】
【その他】
・Lloyd’s Will No Longer Include Nation-State Attacks in its Cyber Insurance Policies
→ロイズが、戦争起因や国家支援のハッカーによるサイバー攻撃被害については、サイバー保険の補償対象外とする、とのこと。
→この観点、正確に評価・判定するのは難しいのではないかなとも思います。サイバー攻撃のアトリビューションをいかに行うか、は明確な結論が出ている状況ではないと思いますし、セキュリティベンダーが色々レポート出していますが、これらもあくまで分析結果だと思いますし。。保険会社はどのように判定するのでしょうか。。
・「Excel」に新関数「IMAGE」が追加 ~セルへインターネットの画像を簡単に挿入できる - 窓の杜
→インターネット上の任意の場所から画像ファイルをダウンロードできる関数が新たに開発されているとのこと。
→画像ファイルを使ったマルウェア感染も確認されていますし、新たな攻撃手法にも使われそうな気がします。
・Dockerコンテナのpostgresqlがマルウェアに感染した件について - Qiita
→Dockerがマルウェアに感染した実例をもとに、セキュリティ対策の勘所を紹介されています。