【インシデントに関する情報】
・LINEヤフー、個人情報30万2569件等流出--韓NAVER Cloudシステムからマルウェア感染で - CNET Japan
・LINEヤフー、不正アクセスで約44万件超の個人情報が漏えい - INTERNET Watch
→ LINEヤフーは11月27日、個人情報30万2569件などが漏えいしたと発表した。同社および同社の関係会社となる韓国NAVER Cloudが委託する企業で、従業者のPCがマルウェアに感染。同PCは、LINEヤフーとNAVER Cloudの従業者情報を扱う共通の認証基盤で管理する、旧LINEの社内システムネットワークへの接続が許可されていたという。
→11月27日時点で漏えいおよび漏えいの可能性が確認できている情報としては、ユーザーに関する個人情報が30万2569件(うち日本ユーザーは12万9894件)。
・Japan's Space Program at Risk After Microsoft Active Directory Breach
・Japan’s space agency suffers cyber attack • The Register
・Okta: Breach Affected All Customer Support Users – Krebs on Security
・顧客サポートシステムに関する全ユーザーの情報が漏えいか Okta、10月のネットワーク侵入で - ITmedia NEWS
→Oktaは先月、2023年9月下旬から数週間にわたり、侵入者が同社のカスタマーサポートケース管理システムにアクセスしていたことを認めたハッカーは一部の Okta 顧客から認証トークンを盗むことができ、攻撃者はそれを使用して、承認されたユーザーの追加や変更など、顧客アカウントに変更を加えることができました。
・マツダ、不正アクセス発生による個人情報流出可能性に関する続報 セキュリティ専門家による調査を元に改善を実施(Car Watch) - Yahoo!ニュース
→不正アクセスを受けたサーバーにはユーザーの個人情報は保管しておらず、流出はないとのこと。サーバーに保管されていたのは、マツダとグループ会社の社員、協力会社社員、取引先担当者のアカウント情報などで、一部が外部へ流出した可能性がある
【攻撃の傾向・手法】
・9月末で申請終了した「マイナポイント」関連のフィッシングが急増、BBSSが2023年10月度のフィッシング詐欺レポート公開 - INTERNET Watch
→9月末で申請期限が終了したマイナポイントだが、関連するフィッシングサイトは9月と比べて実数で9倍に増加した。
・海外を中心に「街中のQRコードを不正利用して個人情報を抜き取る」という「クイッシング詐欺」が流行しているらしい - Togetter
→QRコードを読み込んだら、不正なサイトに飛ばされて、情報漏洩につながるリスクがある、という話。
→カメラアプリで読み込んだ場合、ドメイン名が表示されるくらいで、不審サイトか見抜くのが難しい。サイトにアクセスる前にもうワンクッション確認する仕組みを設けるか、QRコードは利用しないようにする等の対策が必要となってくるかもしれない。
【当局関連の動き、法規則等】
・企業が自社のサイバー攻撃被害を公表する4つの理由 なぜ法で強制されていないのに自ら情報を発信するのか - ログミーBiz
→サステナビリティ情報にはいろいろなものが入りますが、金融庁はその中に「サイバーセキュリティやデータセキュリティ等が含まれうる」と書いています。もしかすると今後、これに基づいて有価証券報告書にサイバーセキュリティ関係でどういう対策をしているかを書かないといけないということになるかもしれません。
→米国証券取引委員会、SECと呼ばれるところが、2023年7月に開示に関するルールを定めました。主な内容は2つあり、1つがサイバーセキュリティ体制に関する定期的な開示義務で、サイバーセキュリティに関するリスク管理・戦略・ガバナンスを開示しないといけないと定めています。もう1つが、インシデントが起こった場合に「そのインシデントが重大であると判断してから、4営業日以内に提出しましょう」という義務です。
【調査結果・ベンダーレポート】
・受け身ではなく先回り:CISO はサイバー脅威インテリジェンスをどう読むべきか | ScanNetSecurity
→脅威インテリジェンスを新たな脅威の検知のみならず、攻撃者の活動についての知見を入手するツールとしても活用すべき
【コラム系】
・7 Uses for Generative AI to Enhance Security Operations
・サイバー攻撃の標的となる各組織の「隙」が、ダークウェブの「地下フォーラム」で情報交換されている(ニューズウィーク日本版) - Yahoo!ニュース
→ASMと脅威インテリジェンスを合わせた上で、それをさらに拡充する、ETLM(External Threat Landscape Management=外部脅威情勢管理プラットフォーム)というモデルだ。 巷で起きているサイバー攻撃のトレンドから、攻撃者の情報や攻撃実績、攻撃戦略などについても徹底した情報収集を行う。自社のブランドが悪用されていないかを調べたり、ダークウェブでやりとりされる組織の認証情報などもすべて把握するシステムである。
【その他】
・Windowsの指紋認証をハックして誰でもサインイン可能にする攻撃手法が発見される - GIGAZINE
→Windows Helloによる指紋認証を他人の指紋で突破できるようにする攻撃手法がセキュリティ研究機関の「Blackwing Intelligence」によって発見されてしまいました。
→今回発見された攻撃手法では「攻撃対象のマシンにLinuxをインストールする」という作業が必要です。このため、海外メディアのXDA Developersは「攻撃が実行される可能性は非常に低い」と指摘しています。
→画像系の生成AIで人物の画像などを生成すると指の数を間違えやすいといった問題が起こりやすい。
→今年2月にMisterCh0c氏がポスト(当時はツイート)した内容で、犯罪者が新たな6本目の指が生えたようなアクセサリを身につけて犯罪を行うことで、撮影された写真をAI生成と主張し、証拠写真を無効化するというアイデアとなっている。
・こんなセキュリティの間違いをしていませんか?認証システム開発で得た教訓 - NTT Communications Engineers' Blog
→理想と現実、という感じの話。必要な通信のみ制御することは理想だけど、要件が大量にある場合は、管理がしきれなくなり、トラブルの原因となる。一方で、マイクロセグメンテーションの考え方を取り入れたい場合は、どうすればいいのか、とも思うが。
→記事にもある通り、ゼロトラストの考え方を取り入れて、NDRで通信の状況を見るとか、EDRでサーバ側の挙動を見るとか、監視強化で対応していくか。
・「退職した人から管理者アカウント引き継げなかった、どうしよう……」 AWS公式Q&Aのよくある質問が地獄すぎる - ITmedia NEWS
→怖い話。
